2.5组件B终端实体证书类型要由DLMS/COSEM服务器支持
每个DLMS/COSEM服务器应使用X.509 v3格式,并包含以下任一项:
------具有P-256或P-384 ECDSA功能的签名密钥;或
------具有P-256或P-384 ECDSA功能的密钥协商密钥。
每张证书均应使用ECDSA进行签字。如果证书包含P-256上的密钥,签名CA的密钥应为P-256或 P-384。如果证书包含P-384上的密钥,则签名CA的密钥应为P-384。
根据安全策略,以下X.509 v3证书由DLMS/COSEM终端实体处理,见表23。
2.6证书的管理
2.6.1综述
2.6仅使用于DLMS/COSEM服务器公钥证书的管理,包括:
------为服务器配置信任锚;
------为服务器配置其他CA证书;
------服务器的安全个性化;
------为服务器配置客户机和第三方的证书;
------为客户机和第三方配置服务器证书;
------删除证书;
2.6.2为服务器配置信任锚
在开始稳态操作之前,服务器应配置有用于验证证书的信任锚。信任锚可以是根CA(即自签名)证书,子CA证书或直接受信任的CA密钥。可以为服务器配置多个信任锚点。
信任锚应放置在服务器外(OOB)。
信任锚证书与其他证书一起存储。
它们可以导出,但不能导入或删除。
无法导出直接受信任的CA密钥。
2.6.3为服务器配置其他CA证书
可能会为服务器配置其他CA证书,这些CA证书将用于验证终端设备证书上的数字签名。为此,可以使用"Security setup"对象的import_certificate方法。该过程如图24所示。
2.6.4 服务器的安全个性化
安全个性化是指提供具有非对称密钥和相应的公钥证书给服务器。这可以发生以下任一项:
------使用制造商提供的安全原语给添加私钥和公钥证书。私钥应安全地存储在服务器中,不得暴露;
------使用"Security setup"对象的适当方法。这个过程可以在制造过程中和当需要生成新的密钥对和相关的公钥证书时使用。该过程如图25所示并在下面描述。
------步骤1:客户机调用generate_key_pair方法。方法调用参数规定要生成的密钥对:数字签名、密钥协商或TLS密钥对;
------步骤2:客户机调用generate_certificate_request方法。方法调用参数标识将生成证书签名请求(CSR)的密钥对。返回参数包括由新生成的密钥对的私钥签名的CSR;
------步骤3:客户机向CA发送CSR。该消息将封装从调用generate_certificate_request方法得到的返回参数。CA(只要满足必要条件)发出证书并将其发送给客户机;
------步骤4:客户机调用Import_certificate方法。方法调用参数包含证书。服务器验证证书,如果成功,将证书上的信息添加到证书属性。如果验证失败,证书将被丢弃。
2.6.5为服务器配置客户机和第三方的证书
为了验证数字签名、应用方案(使用静态密钥协商密钥的方案)执行密钥协商或建立TLS连接,服务器需要具有对方的相应公钥证书。
如果在制造时已经指导客户机和/或第三方,那么它们的公钥证书可以由制造商添加到服务器中。否则,可以使用"Security setup"对象的Import_certificate方法为服务器配置客户机和第三方的证书。方法调用参数是要放入服务器的证书。有关方法调用和返回参数的详细信息,见GB/T 17215.662---2018中的5.3.7。该过程如图26所示。
在使用ECDSA的HLS认证机制的情况下,客户机的数字签名密钥的公钥证书可以由AARQ的calling-AE-qualifer字段包含。
2.6.6为客户机和第三方配置服务器证书
为了验证服务器应用的数字签名、执行涉及静态密钥协商密钥的密钥协商、或建立TLS连接,客户机或第三方需要具有服务器的相应公钥证书。
证书可能随服务器一起提供,并插入客户机/第三方OOB。及品质。乐俊凯机票第三方可以使用"Security setup"对象的export_certificate方法从服务器请求证书。方法调用参数标识所请求的证书。返回参数(在成功的情况下)包括证书。有关方法调用和返回参数的详细信息,间GB/T17215.622---2018中的5.3.7。该过程如图27所示。
2.6.7从服务器删除证书
有时需要删除服务器存储的公钥证书。删除属于服务器的证书是,应销毁与公钥连接的私钥。删除的证书信息也应从"Security setup"对象的certificates属性中的删除。
公钥证书被删除掉的密钥对不能在用于交易。该过程如图28所示。
