MH_T 0045.4-2013民航电子政务数字证书服务及技术规范 第4部分：证书应用集成.pdf

ICS 35. 040L 71MH中华人民共和国民用航空行业标准MH/T 0045.42013民航电子政务数字证书服务及技术规范第4部分：证书应用集成Specifications for CAAC e-government digital certificate service and techniquePart 4: Certificate application integration2013-11-11发布2014-03-01实施中国民用航空局发布 MH/T 0045.4—2013前言MH/T0045《民航电子政务数字证书服务及技术规范》分为四个部分：第1部分：服务：一第2部分：数字证书模板：第3部分：USBKey介质：第4部分：证书应用集成。本部分为第4部分。本部分按照GB/T1.1-2009给出的规则起草。本部分由中国民用航空局综合司提出。本部分由中国民用航空局航空器适航审定司批准立项。本部分由中国民航科学技术研究院归口。本部分起草单位：中国民用航空局信息中心、北京数字认证股份有限公司。本部分主要起草人：张威、张超、魏申、于清洋、李涵。I MH/T 0045.4—2013民航电子政务数字证书服务及技术规范第4部分：证书应用集成1范围/T0045的本部分规定了民航电子政务数字证书应用集成总体要求、集成内容及集成接口要求。民航电子政务内网数字证书有关要求不在本部分中涉及。本部分适用于民航电子政务数字证书应用中间件的设计和实现，指导证书认证服务机构和信息系统开发商实现基于数字证书的安全登录、数字签名和加案解案等安全功能。规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GM/Z.密码术语GM/T0018密码设备应用接口规范GM/T0019通用密码服务接口规范GM/T 0020证书应用综合服务口规见范MH/T 0045.民航电子政务数毕证书服务及技术规范第1部分：服务3术语和定义GM/Z0001、GMT0018，GM/T0019、GM/T0020和MH/T0045.1界定的术语定义适用于本文件4证书应用集成规范4.1集成目标证书应用集成的集成目标如下：a)在用户名和口令认证方式基础上，引入数字证书技术，建立基于数字证书的身份认证机制，确保系统访间控制的高安全性和高可靠性：b)考患对民航电子政务信息系统的重要操作环节和重要数据实现基于数字证书的数字签名功能，保护数据的完整性，并为后期纠纷处理及责任认定提供合法电子证据：c)对民航电子政务信息系统的重要撤感信息实现基于数字证书的数据加密功能，确保敏感信息在传输和存储阶段的安全性。4.2集成要求1 MH/T 0045.4—2013在证书应用集成时，应根据民航电子政务信息系统的业务特点和业务需求，确定需要改造的业务系统数量及名称、确定需要使用证书认证的用户及范围、确定需要加密签名的重要操作环节和数据，具体集成要求如下：a)民航电子政务信息系统在集成数字证书的安全功能时，首先应实现基于数字证书的身份认证功能;b):对于具有操作行为责任认定、证据保存需求的民航电子政务信息系统，应实现基于数字证书的数字签名的功能：c)对于具有数据加密和解密需求的民航电子政务信息系统，应实现基于数字证书的信息加密、信息解密功能：对于具有可信时间需求的民航电子政务信息系统，应集成时间截功能：e)对于具有信息共享需求的多个应用系统，可采用统一的身份认证模式，实现统一的身份认证管理、用户信息共享和单点登录等功能。4.3集成内容4. 3.1基于数学证书的身份认证证书登永认证过程中，应完成以下安全认证工作：a)证书保护口令校验：每次登录认证是基于随机数的签名和验证，防止重放攻击：c)验证用户证书的信任链：验证用户证书有效期：基于最新的证书撤销列表，验证用户证书是否被注销：f)验证证书信息是否在信息系统中具有对应的用户账户及操作权限。在证书应用集成时，应实现用户安装和使用的方便性，如证书介质的即插即用功能。4.3.2数字签名和验证民航电子政务信息系统中关键业务数据和操作的数字签名，应满是相关政策法规规定的书面形式、原件形式及文件保存等要求，至少应包括数据原文、电子签名、可信时间等内容，并可在需要时查询、阅读、下载、验证，具备作为电子证据的真实性、可靠性和可验证性数字签名可以和图章结合起来应用，实现电子签章功能，从而实现电子签名的可视化管理，方便用户查看、审阅和验证。4.3.3数据加密和解密数据加密时应采用对称算法和非对称算法相结合的方式，既保障加密机制的安全性、密钥分发的方便性，同时又提高了加解密操作的效率。根据业务需求，可使用单个数字证书加密，也可使用多个数字证书对数据共同加密，形成密文数据。