I C S35.040
L80
中华人民共和国国家标准
G B/T29241 2012
信息安全技术公钥基础设施
P K I互操作性评估准则
I n f o r m a t i o n s e c u r i t y t e c h n o l o g y P u b l i c k e y i n f r a s t r u c t u r e
P K I i n t e r o p e r a b i l i t y e v a l u a t i o n c r i t e r i a
2012-12-31发布2013-06-01实施中华人民共和国国家质量监督检验检疫总局
目次
…………………………………………………………………………………………………………前言Ⅲ…………………………………………………………………………………………………………引言Ⅳ1范围1………………………………………………………………………………………………………2规范性引用文件1…………………………………………………………………………………………3术语和定义1………………………………………………………………………………………………4缩略语2……………………………………………………………………………………………………5评估模型3…………………………………………………………………………………………………5.1 P K I互操作性能3
……………………………………………………………………………………5.2评估对象3
……………………………………………………………………………………………5.3互操作能力评估3
……………………………………………………………………………………5.4互操作能力等级划分原则4
…………………………………………………………………………6评估内容6…………………………………………………………………………………………………6.1第一级:格式正确级6
…………………………………………………………………………………6.2第二级:内容明确级10
………………………………………………………………………………6.3第三级:功能完善级17
………………………………………………………………………………6.4第四级:执行标准化级26
……………………………………………………………………………6.5第五级:安全审计级32
………………………………………………………………………………附录A(规范性附录) P K I系统评估内容列表35
…………………………………………………………
…………………………………………………………附录B(规范性附录) P K I应用评估内容列表57
前言
本标准按照G B/T1.1 2009规则起草㊂
本标准由全国信息安全标准化技术委员会(S A C/T C260)提出并归口㊂
本标准起草单位:中国科学院数据与通信保护研究教育中心㊁赞嘉电子科技(北京)有限公司㊂本标准主要起草人:荆继武㊁马存庆㊁林璟锵㊁查达仁㊁吴晶晶㊁张帆㊁王平建㊂
G B/T29241 2012
引言
P K I系统作为普适性的安全基础设施,同时为各种不同的应用提供安全服务㊂通过P K I提供的安全服务信息,P K I应用可以获得真实性㊁保密性㊁完整性㊁非否认等安全服务㊂
由于P K I系统的设计建设和运行维护所依据的标准和规范具有较大的灵活性和可选自由度,应用从P K I系统获得的服务数据也就具有一定的不确定性㊂证书私有扩展大量使用和证书策略意义不明确㊁撤销状态信息不全面等问题,都会影响安全服务的使用,甚至导致应用无法获得安全服务㊂上述问题,对于跨域的P K I事务尤为突出㊂由于跨域的P K I应用和P K I系统通常由不同的厂商或设计开发人员实
现,双方对于各种服务数据的理解和使用不一致更加明显,导致二者之间难以互操作,难以获取安全服务㊂
当P K I系统进行互联互通时,就必须考虑P K I系统为跨域P K I应用提供安全服务信息的水平,也就是P K I系统与P K I应用之间的互操作问题㊂为更多的跨域应用提供全面的安全服务信息,是P K I 系统进行互操作能力优化和改进的目标㊂如果P K I系统仅限于为特定的少数P K I应用提供服务,那么该P K I系统则难以在互联互通中发挥效用㊂作为一种安全基础设施,P K I系统应该面向各种应用,采取有效的办法提高互操作能力,为网络通信做好全面的安全基础㊂另一方面,用户会希望自己的P K I 应用能够与更多的P K I系统互操作,有能力从不同的电子认证服务机构获得安全服务㊂
本标准考虑了P K I安全服务相关的各种信息及其性能㊂P K I系统提供安全服务的方式是生成各种证书的相关信息,包括:证书㊁证书撤销状态信息㊁证书策略和认证业务声明等㊂P K I应用就是利用上述信息获得安全服务㊂安全服务信息的格式是否正确设置㊁内容是否明确表达㊁功能体现是否完善㊁操作过程是否按标准化执行㊁信息来源是否可靠等问题,都会影响安全服务的提供㊂
本标准分别从P K I系统和P K I应用2个方面,提出了分等级的互操作性评估准则㊂高等级的P K I 系统,能够为更多的P K I应用提供更全面可靠的安全服务㊂高等级的P K I应用,能够从更多的P K I系统中获取更全面的安全服务㊂
本标准通过分等级的互操作评估,为P K I系统和P K I应用都指出了改进的方向,将促进建设和开发具有全面互操作能力的P K I系统和应用,从而为P K I系统的全面互联互通,为最终形成统一的认证体系,奠定坚实的基础㊂
G B/T29241 2012
信息安全技术公钥基础设施
P K I互操作性评估准则
1范围
本标准规定了P K I系统和P K I应用的五个互操作能力等级,完成了分等级的P K I互操作性评估准则,为P K I系统和P K I应用提供了互操作能力等级评估的依据㊂
本标准适用于需要进行跨域互操作的P K I系统和P K I应用,可用于P K I系统和P K I应用的设计㊁开发㊁制造㊁采购㊁测试㊁评估㊁使用等过程㊂
2规范性引用文件
下列文件对于本文件的应用是必不可少的㊂凡是注日期的引用文件,仅注日期的版本适用于本文件㊂凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件㊂
G B/T16264.8 2005信息技术开放系统互连目录第8部分:公钥和属性证书框架
G B/T19713 2005信息技术安全技术公钥基础设施在线证书状态协议
G B/T20518 2006信息安全技术公钥基础设施数字证书格式
GM/T0003 2012S M2椭圆曲线公钥密码算法
GM/T0004 2012S M3密码杂凑算法
R F C3647因特网X.509公钥基础设施:证书策略和认证业务框架(I n t e r n e tX.509P u b l i cK e y I n f r a s t r u c t u r e:C e r t i f i c a t eP o l i c y a n dC e r t i f i c a t i o nP r a c t i c e sF r a m e w o r k)
R F C3709因特网X.509公钥基础设施:X.509证书中的徽标(I n t e r n e tX.509P u b l i cK e y I n f r a-s t r u c t u r e:L o g o t y p e s i nX.509C e r t i f i c a t e s)
R F C3779用于I P地址和A S标识符的X.509证书扩展(X.509E x t e n s i o n s f o r I PA d d r e s s e s a n d A S I d e n t i f i e r s)
R F C4059因特网X.509公钥基础设施:担保信息证书扩展(I n t e r n e tX.509P u b l i cK e y I n f r a-s t r u c t u r e:W a r r a n t y C e r t i f i c a t eE x t e n s i o n)
R F C4334支持点对点协议(P P P)和无线局域网(W L A N)鉴别的证书扩展和属性[C e r t i f i c a t e E x t e n s i o n s a n dA t t r i b u t e sS u p p o r t i n g A u t h e n t i c a t i o n i nP o i n t-t o-P o i n tP r o t o c o l(P P P)a n d W i r e l e s s L o c a lA r e aN e t w o r k s(W L A N)]
R F C4387因特网X.509公钥基础设施操作协议:通过H T T P访问证书存储(I n t e r n e tX.509 P u b l i cK e y I n f r a s t r u c t u r eO p e r a t i o n a l P r o t o c o l s:C e r t i f i c a t eS t o r eA c c e s s v i aH T T P)
R F C4523用于X.509证书的轻量级目录访问协议(L D A P)模式定义(L i g h t w e i g h t D i r e c t o r y A c-c e s sP r o t o c o l(L D A P)S c h e m aD e f i n i t i o n s f o rX.509C e r t i f i c a t e s)
R F C5280因特网X.509公钥基础设施:证书和证书撤销列表(C R L)概要(I n t e r n e tX.509P u b l i c K e y I n f r a s t r u c t u r e:C e r t i f i c a t e a n dC e r t i f i c a t eR e v o c a t i o nL i s t(C R L)P r o f i l e)
3术语和定义
G B/T16264.8 2005界定的以及下列术语和定义适用于本文件㊂
