GB/T 29241-2012信息安全技術(shù)公鑰基礎(chǔ)設(shè)施PKI互操作性評估準(zhǔn)則

ICS35040

L80.

中華人民共和國國家標(biāo)準(zhǔn)

GB/T29241—2012

信息安全技術(shù)公鑰基礎(chǔ)設(shè)施

PKI互操作性評估準(zhǔn)則

Informationsecuritytechnology—Publickeyinfrastructure—

PKIinteroperabilityevaluationcriteria

2012-12-31發(fā)布2013-06-01實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標(biāo)準(zhǔn)化管理委員會

GB/T29241—2012

目次

前言…………………………

Ⅲ

引言…………………………

Ⅳ

范圍………………………

11

規(guī)范性引用文件…………………………

21

術(shù)語和定義………………

31

縮略語……………………

42

評估模型…………………

53

互操作性能……………………

5.1PKI3

評估對象……………

5.23

互操作能力評估……………………

5.33

互操作能力等級劃分原則…………

5.44

評估內(nèi)容…………………

66

第一級格式正確級…………………

6.1:6

第二級內(nèi)容明確級………………

6.2:10

第三級功能完善級………………

6.3:17

第四級執(zhí)行標(biāo)準(zhǔn)化級……………

6.4:26

第五級安全審計級………………

6.5:32

附錄規(guī)范性附錄系統(tǒng)評估內(nèi)容列表…………

A()PKI35

附錄規(guī)范性附錄應(yīng)用評估內(nèi)容列表…………

B()PKI57

Ⅰ

GB/T29241—2012

前言

本標(biāo)準(zhǔn)按照規(guī)則起草

GB/T1.1—2009。

本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位中國科學(xué)院數(shù)據(jù)與通信保護研究教育中心贊嘉電子科技北京有限公司

:、()。

本標(biāo)準(zhǔn)主要起草人荊繼武馬存慶林璟鏘查達仁吳晶晶張帆王平建

:、、、、、、。

Ⅲ

GB/T29241—2012

引言

系統(tǒng)作為普適性的安全基礎(chǔ)設(shè)施同時為各種不同的應(yīng)用提供安全服務(wù)通過提供的安

PKI,。PKI

全服務(wù)信息應(yīng)用可以獲得真實性保密性完整性非否認(rèn)等安全服務(wù)

,PKI、、、。

由于系統(tǒng)的設(shè)計建設(shè)和運行維護所依據(jù)的標(biāo)準(zhǔn)和規(guī)范具有較大的靈活性和可選自由度應(yīng)用

PKI,

從系統(tǒng)獲得的服務(wù)數(shù)據(jù)也就具有一定的不確定性證書私有擴展大量使用和證書策略意義不明

PKI。

確撤銷狀態(tài)信息不全面等問題都會影響安全服務(wù)的使用甚至導(dǎo)致應(yīng)用無法獲得安全服務(wù)上述問

、,,。

題對于跨域的事務(wù)尤為突出由于跨域的應(yīng)用和系統(tǒng)通常由不同的廠商或設(shè)計開發(fā)

,PKI。PKIPKI

人員實現(xiàn)雙方對于各種服務(wù)數(shù)據(jù)的理解和使用不一致更加明顯導(dǎo)致二者之間難以互操作難以獲取

,,,

安全服務(wù)

。

當(dāng)系統(tǒng)進行互聯(lián)互通時就必須考慮系統(tǒng)為跨域應(yīng)用提供安全服務(wù)信息的水平也

PKI,PKIPKI,

就是系統(tǒng)與應(yīng)用之間的互操作問題為更多的跨域應(yīng)用提供全面的安全服務(wù)信息是

PKIPKI。,PKI

系統(tǒng)進行互操作能力優(yōu)化和改進的目標(biāo)如果系統(tǒng)僅限于為特定的少數(shù)應(yīng)用提供服務(wù)那么

。PKIPKI,

該系統(tǒng)則難以在互聯(lián)互通中發(fā)揮效用作為一種安全基礎(chǔ)設(shè)施系統(tǒng)應(yīng)該面向各種應(yīng)用采

PKI。,PKI,

取有效的辦法提高互操作能力為網(wǎng)絡(luò)通信做好全面的安全基礎(chǔ)另一方面用戶會希望自己的

,。,PKI

應(yīng)用能夠與更多的系統(tǒng)互操作有能力從不同的電子認(rèn)證服務(wù)機構(gòu)獲得安全服務(wù)

PKI,。

本標(biāo)準(zhǔn)考慮了安全服務(wù)相關(guān)的各種信息及其性能系統(tǒng)提供安全服務(wù)的方式是生成各

PKI。PKI

種證書的相關(guān)信息包括證書證書撤銷狀態(tài)信息證書策略和認(rèn)證業(yè)務(wù)聲明等應(yīng)用就是利用上

,:、、。PKI

述信息獲得安全服務(wù)安全服務(wù)信息的格式是否正確設(shè)置內(nèi)容是否明確表達功能體現(xiàn)是否完善操

。、、、

作過程是否按標(biāo)準(zhǔn)化執(zhí)行信息來源是否可靠等問題都會影響安全服務(wù)的提供

、,。

本標(biāo)準(zhǔn)分別從系統(tǒng)和應(yīng)用個方面提出了分等級的互操作性評估準(zhǔn)則高等級的

PKIPKI2,。PKI

系統(tǒng)能夠為更多的應(yīng)用提供更全面可靠的安全服務(wù)高等級的應(yīng)用能夠從更多的系

,PKI。PKI,PKI

統(tǒng)中獲取更全面的安全服務(wù)

。

本標(biāo)準(zhǔn)通過分等級的互操作評估為系統(tǒng)和應(yīng)用都指出了改進的方向?qū)⒋龠M建設(shè)和開

,PKIPKI,

發(fā)具有全面互操作能力的系統(tǒng)和應(yīng)用從而為系統(tǒng)的全面互聯(lián)互通為最終形成統(tǒng)一的認(rèn)證

PKI,PKI,

體系奠定堅實的基礎(chǔ)

,。

Ⅳ

GB/T29241—2012

信息安全技術(shù)公鑰基礎(chǔ)設(shè)施

PKI互操作性評估準(zhǔn)則

1范圍

本標(biāo)準(zhǔn)規(guī)定了系統(tǒng)和應(yīng)用的五個互操作能力等級完成了分等級的互操作性評估

PKIPKI,PKI

準(zhǔn)則為系統(tǒng)和應(yīng)用提供了互操作能力等級評估的依據(jù)

,PKIPKI。

本標(biāo)準(zhǔn)適用于需要進行跨域互操作的系統(tǒng)和應(yīng)用可用于系統(tǒng)和應(yīng)用的設(shè)計

PKIPKI,PKIPKI、

開發(fā)制造采購測試評估使用等過程

、、、、、。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息技術(shù)開放系統(tǒng)互連目錄第部分公鑰和屬性證書框架

GB/T16264.8—20058:

信息技術(shù)安全技術(shù)公鑰基礎(chǔ)設(shè)施在線證書狀態(tài)協(xié)議

GB/T19713—2005

信息安全技術(shù)公鑰基礎(chǔ)設(shè)施數(shù)字證書格式

GB/T20518—2006

橢圓曲線公鑰密碼算法

GM/T0003—2012SM2

密碼雜湊算法

GM/T0004—2012SM3

因特網(wǎng)公鑰基礎(chǔ)設(shè)施證書策略和認(rèn)證業(yè)務(wù)框架

RFC3647X.509:(InternetX.509PublicKey

Infrastructure:CertificatePolicyandCertificationPracticesFramework)

因特網(wǎng)公鑰基礎(chǔ)設(shè)施證書中的徽標(biāo)

RFC3709X.509:X.509(InternetX.509PublicKeyInfra-

structure:LogotypesinX.509Certificates)

用于地址和標(biāo)識符的證書擴展

RFC3779IPASX.509(X.509ExtensionsforIPAddressesand

ASIdentifiers)

因特網(wǎng)公鑰基礎(chǔ)設(shè)施擔(dān)保信息證書擴展

RFC4059X.509:(InternetX.509PublicKeyInfra-

structure:WarrantyCertificateExtension)

支持點對點協(xié)議和無線