LD/T 02.1-2022标准规范下载简介
LD/T 02.1-2022 人力资源社会保障电子认证体系规范 第1部分:框架规范.pdfICS35.040 CCS L 80
中华人民共和国劳动和劳动安全行业标准
人力资源社会保障电子认证体系规范
Specificationsforhuman resources and social security electronic authentication system Part l:Architecture specification
甘12S2:给水工程.pdf中华人民共和国人力资源和社会保障部发布
中华人民共和国人力资源和社会保障部发布
寸言.. 引言, 范围 规范性引用文件 术语和定义 缩略语. 电子认证体系应用范围. 电子认证体系总体结构. 电子认证系统基础层. 7.1概述, 7.2电子认证系统整体建设规划 7.3部级电子认证系统.. 7.4省级电子认证系统.. 7.5市级电子认证系统.. 电子认证管理层. 8.1概述. 8.2证书综合管理系统 电子认证应用安全支撑层. 9.1概述. 9.2密码服务系统. 9.3基础应用接口 9.4高级应用接口
LD/T 02. 12022
人力资源社会保障电子认证体系规范 第1部分:框架规范
本文件给出了人力资源社会保障电子认证体系的应用范围、总体结构,规定了电子认证体系 围、电子认证体系总体结构以及电子认证系统基础层、电子认证管理层、电子认证应用安全支 间的关系和基本要求。 本文件适用于各级人力资源社会保障电子认证体系建设。
GB/T25056界定的以及下列术语和定义适用于
LD/T 02. 12022
下列缩略语适用于本文件。 CA:证书认证机构(CertificationAuthority) RA:证书注册机构(RegistrationAuthority) CRL:证书撤销列表(CertificateRevocationList) HTTP:超文本传输协议(HypertextTransferProtocol
5电子认证体系应用范围
人力资源社会保障电子认证体系所支撑的应用包括全国性、区域性的各类应用系统,按照业务类 别划分为以下四类: a)就业创业类:就业创业、失业监测等业务系统; b) 社会保障类:养老、工伤等社会保险业务系统、社会保障卡持卡库等业务系统、社会保险公 共服务平台; C) 人才人事类:事业单位人事管理、专业技术人员管理、人力资源市场、职业资格管理、职业 技能培训等业务系统; d)劳动关系类:劳动用工备案、调解仲裁、劳动监察等业务系统。
6电子认证体系总体结构
人力资源社会保障网络信任体系是以密码技术为支撑,以电子认证系统为基础设施,基于数字证 书的应用开发接口,面向人力资源社会保障各类业务系统,实现以身份认证、授权管理和责任认定为 主要内容的安全应用。电子认证体系是网络信任体系的基础,是基于密码技术,实现证书生命周期管 理,以及安全认证、加密保护、签名验证等证书应用功能的技术体系和管理体系。 人力资源社会保障电子认证体系总体结构见图1。
LD/T 02. 12022
1人力资源社会保障电子认证体系总体结构图
人力资源社会保障电子认证体系包含电子认证系统基础层、电子认证管理层、电子认证应用安全 支撑层以及相关标准规范和证书业务管理制度。电子认证系统基础层包括密钥管理系统、证书签发管 理系统、证书注册管理系统和证书查验服务系统等。电子认证管理层由证书综合管理系统组成,证书 宗合管理系统包括载体业务管理、电子认证系统运行监测、证书应用监测和证书在线自助服务等系 统。电子认证应用安全支撑层由应用安全支撑系统和应用服务接口组成,其中,应用安全支撑系统主 要包括应用密码机、签名验签服务器、应用安全网关、电子印章系统、时间戳系统、责任认定系统 等;应用服务接口包括基础应用接口和高级应用接口,依赖于应用安全支撑系统进行密码运算。
电子认证系统基础层是人力资源社会保障电子认证体系的基础设施,包括密钥管理设施和证书认 证设施。密钥管理设施主要指密钥管理系统,证书认证设施包括证书签发管理系统、证书注册管理系 统和证书查验服务系统。 电子认证系统基础层各系统的具体技术规范应符合LD/T02.2规定的要求,电子认证系统所签发 的数字证书和CRL的格式应符合LD/T02.3规定的要求,电子认证系统所采用的数字证书载体应符合
LD/T02.5规定的要求。
7.2电子认证系统整体建设规划
人力资源社会保障电子认证系统建设应遵循以下总体策略: a)人力资源社会保障部:接入国家电子认证体系,以金保工程业务专网为依托建设人力资源社 会保障行业CA和部级电子认证系统(业务CA),为部本级和全国性应用系统提供电子认证 服务; b) 省级人力资源社会保障部门:以人力资源社会保障行业CA为依托,建设省级电子认证系统 (业务CA或RA),为省本级和省内应用系统提供电子认证服务; C 地市级人力资源社会保障部门:以省级电子认证系统为依托建设市级电子认证系统(RA或 证书注册点),作为省级电子认证系统的延伸,为本地市应用系统提供电子认证服务。 根据上述策略,人力资源社会保障电子认证系统总体建设规划如图2所示。
7.3部级电子认证系统
部级电子认证系统的结构见图3
LD/T 02. 12022
图3部级电子认证系统结构图
人力资源社会保障电子认 根CA为人力资源社会保障部签发的CA证书,并以此为基础建设部级电子认证系统(业务CA),主要 包括:密钥管理系统、证书签发管理系统、证书注册管理系统、证书查验服务系统、证书综合管理系 统以及应用安全支撑系统等。 在部级公共服务网中,建设证书查验服务系统和应用安全支撑系统。业务专网和公共服务网进行 网络隔离,在安全控制的前提下,证书查验服务系统应实现主从系统的数据同步。
人力资源社会保障行业CA主要功能包括:导入国家电子认证根CA证书、国家电子认证根CA为 人力资源社会保障部签发的CA证书,签发业务CA证书,产生证书信任列表。 密钥管理系统对生命周期内的加密证书密钥对进行全过程管理,主要功能包括:密钥生成、密钥 存储、密钥分发、密钥备份、密钥更新、密钥撤销、密钥归档、密钥恢复以及安全管理等。 证书签发管理系统提供对生命周期内的数字证书进行全过程管理的功能,主要功能包括:证书注 册管理系统的管理,证书/证书撤销列表的生成、签发、存储、更新,并将证书/证书撤销列表发布到 证书查验服务系统等。 证书注册管理系统负责用户证书/证书撤销列表的申请、审核以及证书的制作,主要功能包括:用 户信息录入、修改、查询、审核以及用户证书下载等。 证书查验服务系统包括目录服务系统和证书状态查询系统,为用户和应用系统提供证书状态查询 服务。目录服务系统应采用下推方式由主目录服务系统向从目录服务系统进行自动映射,实现数据同 步,主要功能包括:证书/证书撤销列表的存储和发布。证书状态查询系统主要功能包括:证书状态查 询服务,支持CRL查询和在线证书状态查询两种方式。 证书综合管理系统要求见8.2。 应用安全支撑系统要求见9.2。
部级电子认证系统的基准性能要求: a)证书发放和管理能力(含第三代社会保障卡数字证书)不低于1000万张; b)可同时响应不低于50个RA系统的业务请求; c) 证书签发速度不低于50000次/小时;证书注册申请不低于30000次/小时;SM2密钥产生不 低于450对/秒; d) 密钥的保存期应大于10年:
采用完余设计,能够提供7*24小时不间断服务
7.4省级电子认证系统
按照分步实施的建设原则,结合本地实际情况,省级电子认证系统可以选择以下两种建设模式: a)模式一:建设证书注册管理系统 在部级电子认证系统的基础上,在省级业务专网中建设省级证书注册管理系统。 省级证书注册管理系统作为部级电子认证系统的延伸,直接接入部级电子认证系统,所有数 字证书由部级电子认证系统统一签发。 省级电子认证系统(模式一)的结构见图4
图4省级电子认证系统(模式一)结构图
省级电子认证系统(模式一)主要包括:证书注册管理系统、证书查验服务系统、证书在线 自助服务系统。有第三代社会保障卡发放需求的省份,需建设证书注册管理前置机。 在业务专网和公共服务网中,按需建设应用安全支撑系统。 b)模式二:建设省级电子认证系统 以部级电子认证系统为基础,在省级业务专网中建设省级电子认证系统。 省级电子认证系统向人力资源社会保障部提出申请,由部CA为其签发业务CA证书。省级电 子认证系统为一个独立运行的电子认证系统,日常证书业务不与部级电子认证系统实时通信,但 需按照相关要求及时向部级电子认证系统提供数据。该模式须征得当地密码管理部门同意。 省级电子认证系统(模式二)的结构见图5,
LD/T 02. 12022
图5省级电子认证系统(模式二)结构图
省级电子认证系统(模式二)主要包括:密钥管理系统、证书签发管理系统、证书注册管理 系统、证书综合管理系统、证书查验服务系统、证书在线自助服务系统等。有第三代社会保障卡 发放需求的省份,需建设证书注册管理前置机。 在业务专网和公共服务网中,按需建设应用安全支撑系统
a)省级电子认证系统(模式一) 证书注册管理系统负责用户证书/证书撤销列表的申请、审核以及证书的制作,主要功能包 括:用户信息录入、修改、查询、审核以及用户证书下载等。 证书查验服务系统主要功能包括:证书/证书撤销列表的存储和发布,为用户和应用系统提供 证书状态查询服务。 证书在线自助服务系统提供证书在线下载、在线更新、在线解锁等用户自助服务, 应用安全支撑系统要求见9.2。 b) 省级电子认证系统(模式二) 密钥管理系统对生命周期内的加密证书密钥对进行全过程管理,主要功能包括:密钥生成、 密钥存储、密钥分发、密钥备份、密钥更新、密钥撤销、密钥归档、密钥恢复以及安全管理等。 证书签发管理系统提供对生命周期内的数字证书进行全过程管理的功能,主要功能包括:证 书注册管理系统的管理,证书/证书撤销列表的生成、签发、存储、更新,并将证书/证书撤销列 表发布到证书查验服务系统等。 证书注册管理系统负责用户证书/证书撤销列表的申请、审核以及证书的制作,主要功能包 括:用户信息录入、修改、查询、审核以及用户证书下载等。 证书查验服务系统主要功能包括:证书/证书撤销列表的存储和发布,为用户和应用系统提供 证书状态查询服务。 证书在线自助服务系统提供证书在线下载、在线更新、在线解锁等用户自助服务。 证书综合管理系统要求见8.2。 应用安全支撑系统要求见9.2。
a)省级电子认证系统(模式一) 证书注册管理系统负责用户证书/证书撤销列表的申请、审核以及证书的制作,主要功能包 括:用户信息录入、修改、查询、审核以及用户证书下载等。 证书查验服务系统主要功能包括:证书/证书撤销列表的存储和发布,为用户和应用系统提供 证书状态查询服务。 证书在线自助服务系统提供证书在线下裁、在线更新、在线解锁等用户自助服务
省级电子认证系统(模式一)的基准性能要求: a)证书注册管理能力(含第三代社会保障卡数字证书)不低于500万张; b)证书注册申请不低于30000次/小时; c)系统采用穴余设计,能够提供7*24小时不间断服务。 省级电子认证系统(模式二)的基准性能要求: a)证书发放和管理能力(含第三代社会保障卡数字证书)不低于1000万张: b)可同时响应不低于10个RA系统的业务请求; c)证书签发速度不低于50000次/小时;证书注册申请不低于30000次/小时;SM2密钥产生不 低于450对/秒; 1) )密钥的保存期应大于10年; 系统采用允余设计教学楼安全施工组织设计,能够提供7*24小时不间断服务
7.5市级电子认证系统
市级电子认证系统的结构见图6。
图6市级电子认证系统结构图
在省级电子认证系统的基础上,在市级业务专网中可选择以下两种模式建设。 a 模式一:对应于省级模式一,在省级建设证书注册管理系统的基础上,按需建设证书注册 点、证书查验服务系统以及应用安全支撑系统。 模式二:对应于省级模式二,在省级建设业务CA系统的基础上,建设证书注册管理系统 按需建设证书查验服务系统和应用安全支撑系统。
a)市级电子认证系统(模式一) 证书注册点是证书注册管理系统的操作终端,是面向最终证书用户的服务窗口。主要功能包括: 用户信息录入、审核、证书下载等。 证书查验服务系统主要功能包括:证书/证书撤销列表的存储和发布,为用户和应用系统提供证书 状态查询和验证服务。 应用安全支撑系统要求见9.2
LD/T 02. 12022
b)市级电子认证系统(模式二) 证书注册管理系统负责用户证书/证书撤销列表的申请、审核以及证书的制作,主要功能包括:用 户信息录入、修改、查询、审核以及用户证书下载等。 证书查验服务系统主要功能包括:证书/证书撤销列表的存储和发布,为用户和应用系统提供证书 伏态查询和验证服务。 应用安全支撑系统要求见9.2。
市级电子认证系统的基准性能要求: a)证书管理能力不低于200万张; b)系统采用穴余设计电气(消防报警)系统施工组织设计,能够提供7*24小时不间断服务