I C S35.040
L80
中華人民共和國國家標準
G B/T29241 2012
信息安全技術公鑰基礎設施
P K I互操作性評估準則
I n f o r m a t i o n s e c u r i t y t e c h n o l o g y P u b l i c k e y i n f r a s t r u c t u r e
P K I i n t e r o p e r a b i l i t y e v a l u a t i o n c r i t e r i a
2012-12-31發布2013-06-01實施中華人民共和國國家質量監督檢驗檢疫總局
目次
…………………………………………………………………………………………………………前言Ⅲ…………………………………………………………………………………………………………引言Ⅳ1范圍1………………………………………………………………………………………………………2規范性引用文件1…………………………………………………………………………………………3術語和定義1………………………………………………………………………………………………4縮略語2……………………………………………………………………………………………………5評估模型3…………………………………………………………………………………………………5.1 P K I互操作性能3
……………………………………………………………………………………5.2評估對象3
……………………………………………………………………………………………5.3互操作能力評估3
……………………………………………………………………………………5.4互操作能力等級劃分原則4
…………………………………………………………………………6評估內容6…………………………………………………………………………………………………6.1第一級:格式正確級6
…………………………………………………………………………………6.2第二級:內容明確級10
………………………………………………………………………………6.3第三級:功能完善級17
………………………………………………………………………………6.4第四級:執行標準化級26
……………………………………………………………………………6.5第五級:安全審計級32
………………………………………………………………………………附錄A(規范性附錄) P K I系統評估內容列表35
…………………………………………………………
…………………………………………………………附錄B(規范性附錄) P K I應用評估內容列表57
前言
本標準按照G B/T1.1 2009規則起草三
本標準由全國信息安全標準化技術委員會(S A C/T C260)提出并歸口三
本標準起草單位:中國科學院數據與通信保護研究教育中心二贊嘉電子科技(北京)有限公司三本標準主要起草人:荊繼武二馬存慶二林璟鏘二查達仁二吳晶晶二張帆二王平建三
G B/T29241 2012
引言
P K I系統作為普適性的安全基礎設施,同時為各種不同的應用提供安全服務三通過P K I提供的安全服務信息,P K I應用可以獲得真實性二保密性二完整性二非否認等安全服務三
由于P K I系統的設計建設和運行維護所依據的標準和規范具有較大的靈活性和可選自由度,應用從P K I系統獲得的服務數據也就具有一定的不確定性三證書私有擴展大量使用和證書策略意義不明確二撤銷狀態信息不全面等問題,都會影響安全服務的使用,甚至導致應用無法獲得安全服務三上述問題,對于跨域的P K I事務尤為突出三由于跨域的P K I應用和P K I系統通常由不同的廠商或設計開發人員實
現,雙方對于各種服務數據的理解和使用不一致更加明顯,導致二者之間難以互操作,難以獲取安全服務三
當P K I系統進行互聯互通時,就必須考慮P K I系統為跨域P K I應用提供安全服務信息的水平,也就是P K I系統與P K I應用之間的互操作問題三為更多的跨域應用提供全面的安全服務信息,是P K I 系統進行互操作能力優化和改進的目標三如果P K I系統僅限于為特定的少數P K I應用提供服務,那么該P K I系統則難以在互聯互通中發揮效用三作為一種安全基礎設施,P K I系統應該面向各種應用,采取有效的辦法提高互操作能力,為網絡通信做好全面的安全基礎三另一方面,用戶會希望自己的P K I 應用能夠與更多的P K I系統互操作,有能力從不同的電子認證服務機構獲得安全服務三
本標準考慮了P K I安全服務相關的各種信息及其性能三P K I系統提供安全服務的方式是生成各種證書的相關信息,包括:證書二證書撤銷狀態信息二證書策略和認證業務聲明等三P K I應用就是利用上述信息獲得安全服務三安全服務信息的格式是否正確設置二內容是否明確表達二功能體現是否完善二操作過程是否按標準化執行二信息來源是否可靠等問題,都會影響安全服務的提供三
本標準分別從P K I系統和P K I應用2個方面,提出了分等級的互操作性評估準則三高等級的P K I 系統,能夠為更多的P K I應用提供更全面可靠的安全服務三高等級的P K I應用,能夠從更多的P K I系統中獲取更全面的安全服務三
本標準通過分等級的互操作評估,為P K I系統和P K I應用都指出了改進的方向,將促進建設和開發具有全面互操作能力的P K I系統和應用,從而為P K I系統的全面互聯互通,為最終形成統一的認證體系,奠定堅實的基礎三
G B/T29241 2012
信息安全技術公鑰基礎設施
P K I互操作性評估準則
1范圍
本標準規定了P K I系統和P K I應用的五個互操作能力等級,完成了分等級的P K I互操作性評估準則,為P K I系統和P K I應用提供了互操作能力等級評估的依據三
本標準適用于需要進行跨域互操作的P K I系統和P K I應用,可用于P K I系統和P K I應用的設計二開發二制造二采購二測試二評估二使用等過程三
2規范性引用文件
下列文件對于本文件的應用是必不可少的三凡是注日期的引用文件,僅注日期的版本適用于本文件三凡是不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件三
G B/T16264.8 2005信息技術開放系統互連目錄第8部分:公鑰和屬性證書框架
G B/T19713 2005信息技術安全技術公鑰基礎設施在線證書狀態協議
G B/T20518 2006信息安全技術公鑰基礎設施數字證書格式
GM/T0003 2012S M2橢圓曲線公鑰密碼算法
GM/T0004 2012S M3密碼雜湊算法
R F C3647因特網X.509公鑰基礎設施:證書策略和認證業務框架(I n t e r n e tX.509P u b l i cK e y I n f r a s t r u c t u r e:C e r t i f i c a t eP o l i c y a n dC e r t i f i c a t i o nP r a c t i c e sF r a m e w o r k)
R F C3709因特網X.509公鑰基礎設施:X.509證書中的徽標(I n t e r n e tX.509P u b l i cK e y I n f r a-s t r u c t u r e:L o g o t y p e s i nX.509C e r t i f i c a t e s)
R F C3779用于I P地址和A S標識符的X.509證書擴展(X.509E x t e n s i o n s f o r I PA d d r e s s e s a n d A S I d e n t i f i e r s)
R F C4059因特網X.509公鑰基礎設施:擔保信息證書擴展(I n t e r n e tX.509P u b l i cK e y I n f r a-s t r u c t u r e:W a r r a n t y C e r t i f i c a t eE x t e n s i o n)
R F C4334支持點對點協議(P P P)和無線局域網(W L A N)鑒別的證書擴展和屬性[C e r t i f i c a t e E x t e n s i o n s a n dA t t r i b u t e sS u p p o r t i n g A u t h e n t i c a t i o n i nP o i n t-t o-P o i n tP r o t o c o l(P P P)a n d W i r e l e s s L o c a lA r e aN e t w o r k s(W L A N)]
R F C4387因特網X.509公鑰基礎設施操作協議:通過H T T P訪問證書存儲(I n t e r n e tX.509 P u b l i cK e y I n f r a s t r u c t u r eO p e r a t i o n a l P r o t o c o l s:C e r t i f i c a t eS t o r eA c c e s s v i aH T T P)
R F C4523用于X.509證書的輕量級目錄訪問協議(L D A P)模式定義(L i g h t w e i g h t D i r e c t o r y A c-c e s sP r o t o c o l(L D A P)S c h e m aD e f i n i t i o n s f o rX.509C e r t i f i c a t e s)
R F C5280因特網X.509公鑰基礎設施:證書和證書撤銷列表(C R L)概要(I n t e r n e tX.509P u b l i c K e y I n f r a s t r u c t u r e:C e r t i f i c a t e a n dC e r t i f i c a t eR e v o c a t i o nL i s t(C R L)P r o f i l e)
3術語和定義
G B/T16264.8 2005界定的以及下列術語和定義適用于本文件三
