DB14∕T 2987-2024 山西电子政务外网电子认证系统总体架构

ICS35.080

CCSL73

14

山西省地方标准

DB14/T2987—2024

山西电子政务外网电子认证系统总体架构

2024-02-08发布2024-05-07实施

山西省市场监督管理局发布

DB14/T2987—2024

目次

前言.................................................................................II

1范围...............................................................................1

2规范性引用文件.....................................................................1

3术语和定义.........................................................................1

4缩略语.............................................................................2

5电子认证体系.......................................................................2

6电子认证系统架构...................................................................3

7注册系统...........................................................................3

8移动证书管理系统...................................................................4

9证书自助服务系统...................................................................4

10从目录服务系统....................................................................5

11数据库系统........................................................................5

12身份认证系统......................................................................5

13安全保障体系......................................................................6

14标准规范体系......................................................................6

I

DB14/T2987—2024

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

本文件由山西省政务信息管理局提出、组织实施和监督检查。

本文件由山西省市场监督管理局对标准的组织实施情况进行监督检查。

本文件由山西省电子政务信息标准化技术委员会归口。

本文件起草单位：山西省数字政府服务中心、太原理工大学。

本文件主要起草人：张一梅、马志红、赵栓驹、李灯熬、王晶、宇昕、郝戍峰、郑超。

II

DB14/T2987—2024

山西电子政务外网电子认证系统总体架构

1范围

本文件规定了山西电子政务外网电子认证的电子认证体系、电子认证系统架构、注册系统、移动证

书管理系统、证书自助服务系统、从目录服务系统、数据库系统、身份认证系统、安全保障体系、标准

规范体系等。

本文件适用于山西电子政务外网电子认证系统建设。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T37092信息安全技术密码模块安全要求

3术语和定义

GB/T37092界定的以及下列术语和定义适用于本文件。

3.1

政务CA

国家电子政务外网数字证书中心，又称“政务CA”，是国家电子政务外网电子认证工作统一对外管

理和服务窗口，政务CA是专业化的电子政务电子认证服务机构，设有独立密钥管理中心。

3.2

山西政务RA

国家电子政务外网山西省电子认证注册服务中心，又称“山西政务RA”，是经政务CA许可，承担山

西电子政务外网电子认证服务业务的相关管理和服务工作的注册服务中心。

3.3

山西政务LRA

山西政务LRA是经山西政务RA许可，在山西各市电子政务外网内开展电子认证服务业务的注册服务

分中心。

3.4

电子认证

采用电子技术检验用户真实性的操作，是以PKI技术为基础，通过政务CA签发的数字证书对电子政

务外网上传输的信息进行加密、解密、数字签名和签名验签，保证信息的保密性、完整性和不可抵赖性。

3.5

数字证书

又称“证书”，是由政务CA签名的包含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及

一些扩展信息的数字文件。

3.6

电子认证系统

1

DB14/T2987—2024

对数字证书的申请、审核、签发、更新、冻结、解冻、撤销、归档等数字证书全生命周期进行管理

的系统。

3.7

电子政务用户

在山西电子政务外网范围内从事电子政务服务活动的政务部门、企事业单位、社会团体和社会公众

等用户。

3.8

密码模块

实现了安全功能的硬件、软件和/或固件的集合，并且被包含在密码边界内。

注：密码模块根据其组成，可分为软件密码模块、硬件密码模块、固件密码模块、组合密码模块。

4缩略语

下列符号适用于本文件。

CACertificationAuthority认证机构

RARegistrationAuthority注册机构

LRALocalRegistrationAuthority注册机构受理点

PKIPublicKeyInfrastructure公钥基础设施

USBKEYUniversalSerialBusKey采用USB接口的证书存储介质

CRLCertificationRevocationList证书撤销列表

OCSPOnlineCertificateStatusProtocol在线证书状态协议

LDAPLightweightDirectoryAccessProtocol轻量级目录访问协议

5电子认证体系

电子政务外网电子认证体系由国家电子政务外网数字证书中心（政务CA）、省电子认证注册服务中

心(政务RA)、市电子认证注册服务分中心(政务LRA)构成，形成“国家-省-市”三级体系架构，见图1。

图1电子认证体系架构图

2

DB14/T2987—2024

6电子认证系统架构

电子认证系统依托电子政务外网建设，为山西电子政务外网范围内的单位机构及相关人员、设备在

政务应用中提供基于数字证书的身份认证、数字签名、信息加密等服务。山西政务RA、山西政务LRA电

子认证系统按照政务CA电子认证体系架构要求建设，由注册系统、移动证书管理系统、证书自助服务系

统、从目录服务系统、身份认证系统等构成，数据库系统在省级建设。安全保障体系支撑系统安全稳定

运行，标准规范体系规范系统建设。电子认证系统架构见图2。

图2电子认证系统架构图

7注册系统

7.1山西政务RA注册系统

山西政务RA注册系统（简称RA系统）功能包括但不限于：

a)证书申请者的信息录入、审核，证书制作、更新、撤销、冻结、解冻、归档等；

b)与政务CA系统连通，将审核通过后的申请信息发送给CA系统，证书制作或更新，CA系统签

发证书并返回给RA系统，其他申请CA系统返回操作结果；

c)证书下载，证书签发成功后下载至存储介质或保存为文件，存储介质包括USBKEY、密码机等；

d)证书模板配置，不同的证书类别由不同的证书模板确定，证书模板内容包括相应类别证书的

基本项和证书的扩展项，证书模板包括用户双证书模板、用户单证书模板、机构双证书模板、

机构单证书模板、设备证书模板、代码签名证书模板等；

e)USBKEY类型配置；

f)证书有效期设置；

g)证书查询、统计；

h)管理员权限管理，包括系统管理员、审计管理员、安全管理员、录入员、审核员、制证员、

LRA管理员等权限管理；

i)LRA机构管理；

j)对外提供服务接口，供第三方进行应用开发。

3

DB14/T2987—2024

7.2山西政务LRA注册系统

山西政务LRA注册系统（简称LRA系统）功能包括但不限于：

a)证书申请者的信息录入、审核，证书制作、更新、撤销、冻结、解冻等；

b)与RA系统连通，通过调用RA系统的功能接口完成证书的制作、更新、撤销、冻结、解冻等；

c)证书下载，证书签发成功后下载至存储介质或保存为文件，存储介质包括USBKEY、密码机等；

d)证书有效期设置；

e)证书查询、统计；

f)管理员权限管理，包括系统管理员、审计管理员、安全管理员、录入员、审核员、制证员等

权限管理；

g)对外提供服务接口，供第三方进行应用开发。

7.3服务器密码机

服务器密码机，分别与RA系统、LRA系统直连，为RA系统和LRA系统与政务CA系统的通讯提供签名验

签服务及信息传输密码技术保护服务，功能包括但不限于：

a)随机数生成；

b)对称密钥、非对称密钥的产生；

c)对称密钥密码算法的加解密运算、非对称密钥密码算法的加解密运算；

d)数据摘要运算；

e)密钥的存储、安全备份和导入导出；

f)支持国产密码算法，包括SM2、SM3等。

8移动证书管理系统

移动证书管理系统功能包括但不限于：

a)移动智能终端应用APP集成移动证书管理系统的客户端，通过移动证书管理系统在线申请证

书制作、更新、撤销、冻结、解冻等；

b)政务RA移动证书管理系统与RA系统连通，将申请信息提交RA系统，证书签发成功或申请处

理完成后RA系统将结果返回给政务RA移动证书管理系统；政务LRA移动证书管理系统与RA

系统连通，将申请信息提交RA系统,证书签发成功或申请处理完成后RA系统将结果返回给

政务LRA移动证书管理系统；

c)证书下载，支持下载至移动智能终端的软件密码模块、SIM卡等，软件密码模块应达到GB/T

37092规定的安全二级及以上要求；

d)证书有效期设置。

9证书自助服务系统

证书自助服务系统功能包括但不限于：

a)政务RA证书自助服务系统与RA系统连通，将证书持有者的请求信息提交RA系统，证书请求

处理完成后返回给政务RA证书自助服务系统；政务LRA证书自助服务系统与RA系统连通，

将证书持有者的请求信息提交RA系统，证书请求处理完成后返回给政务LRA证书自助服务系

统；

b)配置证书自助更新操作的时间范围，默认设置为证书有效期终止日期前30天；

4

DB14/T2987—2024

c)配置证书自助更新的有效期，默认设置为延长有效期1年；

d)配置证书自助更新策略，默认设置为证书主题不变、密钥更新；

e)下载证书，证书持有者按照系统提示输入需下载证书的凭证码，将证书下载至存储介质或保

存为文件；

f)更新证书，证书持有者按照系统提示输入PIN码更新证书，不在自助更新时间范围内的证书

不能进行自助更新操作。

10从目录服务系统

从目录（LDAP）服务系统功能包括但不限于：

a)政务RA从目录服务系统与国家政务CA主目录服务系统连通；政务LRA从目录服务系统与政

务RA从目录服务系统连通，政务LRA如不建设从目录服务系统或系统出现故障，可使用政务

RA从目录服务系统；

b)政务RA从目录服务系统从政务CA主目录服务系统获取山西的证书数据，政务LRA从目录服

务系统从政务RA从目录服务系统获取本市的证书数据，存储于目录数据库中，提供查询服务；

c)政务RA从目录服务系统从政务CA主目录服务系统获取证书撤销列表（CRL）数据，政务LRA

从目录服务系统从政务RA从目录服务系统获取证书撤销列表（CRL）数据，存储于目录数据

库中，为身份认证系统提供查询下载服务。政务CA发布CRL，发布频率不超过24小时一次，

山西政务RA、山西政务LRA的CRL更新频率不超过24小时一次；

d)支持一主多从模式，子树、级联方式。

11数据库系统

数据库系统功能包括但不限于：

a)存储证书申请者信息。证书申请者信息包括个人姓名、身份证件信息、机构名称、统一社会

信用代码、机构法人信息、设备IP地址、经办人信息等；

b)存储证书信息。证书信息包括公钥证书拥有者信息、公钥证书、证书生效时间、证书失效时

间、证书状态、证书签发机构等；

c)数据冗余，具备容错和备份能力；

d)政务LRA不建设数据库系统，数据存储在政务RA的数据库系统。

12身份认证系统

身份认证系统功能包括但不限于：

a)政务RA身份认