標(biāo)準(zhǔn)解讀

GB/T 19771-2005 是一項(xiàng)由中國(guó)發(fā)布的國(guó)家標(biāo)準(zhǔn),全稱為《信息技術(shù) 安全技術(shù) 公鑰基礎(chǔ)設(shè)施PKI組件最小互操作規(guī)范》。這項(xiàng)標(biāo)準(zhǔn)旨在為公鑰基礎(chǔ)設(shè)施(Public Key Infrastructure, PKI)的各個(gè)組件之間建立一套統(tǒng)一的、最低限度的互操作要求,確保不同廠商開(kāi)發(fā)的PKI系統(tǒng)和產(chǎn)品能夠相互兼容與協(xié)同工作,從而促進(jìn)信息安全領(lǐng)域內(nèi)的互操作性和標(biāo)準(zhǔn)化。

標(biāo)準(zhǔn)內(nèi)容概覽

  1. 范圍:標(biāo)準(zhǔn)明確了其適用范圍,即規(guī)定了PKI系統(tǒng)中關(guān)鍵組件(如認(rèn)證機(jī)構(gòu)CA、注冊(cè)機(jī)構(gòu)RA、密鑰管理系統(tǒng)、證書(shū)庫(kù)、證書(shū)撤銷列表CRL及在線證書(shū)狀態(tài)協(xié)議OCSP服務(wù)等)在設(shè)計(jì)和實(shí)現(xiàn)時(shí)應(yīng)遵循的最小互操作性要求。

  2. 術(shù)語(yǔ)和定義:為確保文檔的準(zhǔn)確理解,標(biāo)準(zhǔn)首先定義了一系列與PKI相關(guān)的專業(yè)術(shù)語(yǔ),如證書(shū)、數(shù)字簽名、密鑰對(duì)、信任模型等。

  3. 參考文獻(xiàn):列出了制定該標(biāo)準(zhǔn)時(shí)參考的其他國(guó)際和國(guó)內(nèi)標(biāo)準(zhǔn)文獻(xiàn),為讀者提供進(jìn)一步學(xué)習(xí)和理解的資源。

  4. 互操作需求:詳細(xì)闡述了PKI各組件間進(jìn)行信息交換、操作流程、數(shù)據(jù)格式等方面應(yīng)滿足的最低標(biāo)準(zhǔn),以保證跨系統(tǒng)間的有效交互。這包括證書(shū)和CRL的格式、證書(shū)路徑驗(yàn)證規(guī)則、密鑰管理接口、時(shí)間戳服務(wù)交互等。

  5. 安全要求:強(qiáng)調(diào)了在實(shí)現(xiàn)互操作性的同時(shí),必須保持的安全水平,比如數(shù)據(jù)加密、訪問(wèn)控制、審計(jì)日志記錄等措施,確保整個(gè)PKI系統(tǒng)的安全性不受影響。

  6. 測(cè)試和評(píng)估準(zhǔn)則:為驗(yàn)證PKI組件是否符合互操作性及安全要求,提供了測(cè)試方法和評(píng)估準(zhǔn)則,幫助開(kāi)發(fā)者和用戶進(jìn)行自我檢查或第三方評(píng)測(cè)。

實(shí)踐意義

該標(biāo)準(zhǔn)的實(shí)施有助于減少因技術(shù)不兼容帶來(lái)的市場(chǎng)分割,促進(jìn)PKI技術(shù)在國(guó)內(nèi)乃至國(guó)際上的廣泛應(yīng)用,提升電子交易、電子政務(wù)、網(wǎng)絡(luò)安全等領(lǐng)域的信息安全保障能力。通過(guò)遵循這些規(guī)范,不同供應(yīng)商的產(chǎn)品和服務(wù)能夠在同一框架下協(xié)同作業(yè),降低集成成本,加速PKI技術(shù)的普及和深化應(yīng)用。

結(jié)構(gòu)性概述

  • 引言:簡(jiǎn)述標(biāo)準(zhǔn)的背景和目的。
  • 規(guī)范性引用文件:列出所依據(jù)的其他標(biāo)準(zhǔn)或文件。
  • 術(shù)語(yǔ)和定義:清晰界定專業(yè)詞匯的含義。
  • 互操作性框架:描述PKI組件間互操作的基本架構(gòu)。
  • 組件互操作要求:針對(duì)每個(gè)PKI組件提出具體的互操作需求。
  • 安全功能要求:規(guī)定必要的安全控制措施。
  • 評(píng)估和符合性測(cè)試:說(shuō)明如何驗(yàn)證PKI組件是否達(dá)標(biāo)。
  • 附錄:提供補(bǔ)充材料、示例或具體實(shí)現(xiàn)指南。

此標(biāo)準(zhǔn)通過(guò)細(xì)致的技術(shù)規(guī)范,為構(gòu)建一個(gè)安全、高效、可互操作的PKI生態(tài)系統(tǒng)奠定了基礎(chǔ)。


如需獲取更多詳盡信息,請(qǐng)直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標(biāo)準(zhǔn)文檔。

....

查看全部

  • 現(xiàn)行
  • 正在執(zhí)行有效
  • 2005-05-25 頒布
  • 2005-12-01 實(shí)施
?正版授權(quán)
GB/T 19771-2005信息技術(shù)安全技術(shù)公鑰基礎(chǔ)設(shè)施PKI組件最小互操作規(guī)范_第1頁(yè)
GB/T 19771-2005信息技術(shù)安全技術(shù)公鑰基礎(chǔ)設(shè)施PKI組件最小互操作規(guī)范_第2頁(yè)
GB/T 19771-2005信息技術(shù)安全技術(shù)公鑰基礎(chǔ)設(shè)施PKI組件最小互操作規(guī)范_第3頁(yè)
GB/T 19771-2005信息技術(shù)安全技術(shù)公鑰基礎(chǔ)設(shè)施PKI組件最小互操作規(guī)范_第4頁(yè)
GB/T 19771-2005信息技術(shù)安全技術(shù)公鑰基礎(chǔ)設(shè)施PKI組件最小互操作規(guī)范_第5頁(yè)
已閱讀5頁(yè),還剩71頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

文檔簡(jiǎn)介

ICS35.100.70L79中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)GB/T19771—2005信息技術(shù)安全技術(shù)公鑰基礎(chǔ)設(shè)施PKI組件最小互操作規(guī)范Informationtechnology-Securitytechnology-Pubiickeyinfrastructure-MinimuminteroperabilityspecificationforPKIcomponents2005-05-25發(fā)布2005-12-01實(shí)施中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T19771-2005三前言引言范圍2規(guī)范性引用文件3術(shù)語(yǔ)和定義45PKI組件規(guī)范……5.15.2證書(shū)認(rèn)證機(jī)構(gòu)(CA)…5.2.1概述5.2.2與互操作性有關(guān)的CA功能要求5.2.3電子事務(wù)集合5.3注冊(cè)機(jī)構(gòu)(RA)……..5.3.1達(dá)….……….·5.3.2與互操作性有關(guān)的RA功能要求55.3.3事務(wù)集合“·········:::::···::·:5.4證書(shū)持有者規(guī)范5.4.1概述…··…·…·…·5.4.2與互操作性相關(guān)的PKI證書(shū)持有者功能要求5.4.3證書(shū)持有者事務(wù)集合5.5客戶規(guī)范·5.5.1客戶概述………….105.5.2與互操作性相關(guān)的PKI客戶功能要求5.5.3PKI客戶事務(wù)集合……………………..數(shù)據(jù)格式…………6106.1數(shù)據(jù)格式概述…106.2證書(shū)格式….106.2.1證書(shū)字段………106.2.2加加密算法……6.2.3證書(shū)擴(kuò)展……………6.3證書(shū)撤銷列表…176.3.1證書(shū)撒銷列表概述………..6.3.2CRL字段186.3.3CRL擴(kuò)展6.3.4CRLEntry擴(kuò)展20證書(shū)認(rèn)證路徑………6.4216.5事務(wù)消息格式·6.5.1事務(wù)消息格式概述·33

GB/T19771-200566.5.2全體PKI消息組件6.5.3通用數(shù)據(jù)結(jié)構(gòu)……6.5.4特殊操作的數(shù)據(jù)結(jié)構(gòu)286.6PKI事務(wù)…306.6.1PKI事務(wù)概述·306.6.2RA發(fā)起的注冊(cè)請(qǐng)求306.6.3新實(shí)體的自我注冊(cè)請(qǐng)求…326.6.4知實(shí)體的自我注冊(cè)請(qǐng)求3466.6.5證書(shū)更新……·….366.6.6PKCS#10自我注冊(cè)請(qǐng)求6.6.7撒銷請(qǐng)求?……………6.6.8集中產(chǎn)生密鑰對(duì)和密鑰管理證書(shū)申請(qǐng).426.6.9咀合證書(shū)申請(qǐng)·+46.6.10從資料庫(kù)請(qǐng)求證書(shū)456.6.11從資料庫(kù)請(qǐng)求CRL附錄A(規(guī)范性附錄)X.509v3證書(shū)ASN.1附錄B(規(guī)范性附錄)證書(shū)和CRL擴(kuò)展ASN.150附錄C(規(guī)范性附錄)ASN.1Modulefortransactions58附錄D(規(guī)范性附錄)證書(shū)請(qǐng)求消息格式ASN.1Module65

GB/T19771-2005前本標(biāo)準(zhǔn)是在參考美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)提出的《公鑰基礎(chǔ)設(shè)施PKI組件最小互操作規(guī)范》第二版內(nèi)容的基礎(chǔ)上修改而成,同時(shí)本標(biāo)準(zhǔn)還參照了包括證書(shū)管理策略(CMP)、證書(shū)請(qǐng)求消息格式(CRMF).FIPS許可的密碼算法和X9密碼算法等相關(guān)的規(guī)范本標(biāo)準(zhǔn)凡涉及密碼算法相關(guān)內(nèi)容,按國(guó)家有關(guān)法規(guī)實(shí)施。本標(biāo)準(zhǔn)中引用的SHA-1.RSA、SHAI-MAC、SHAl-HMAC·DES-MAC.tDEA密碼算法均為舉例性說(shuō)明.具體使用時(shí)均須采用國(guó)家商用密碼管理委員會(huì)批準(zhǔn)的相應(yīng)算法。本標(biāo)準(zhǔn)的附錄A、附錄B、附錄C、附錄D為規(guī)范性附錄。本標(biāo)準(zhǔn)由中華人民共和國(guó)信息產(chǎn)業(yè)部提出。本標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(TC260)歸口。本標(biāo)準(zhǔn)起草單位:信息安全國(guó)家重點(diǎn)實(shí)驗(yàn)室、中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究所本標(biāo)準(zhǔn)主要起草人:馮登國(guó)、吳志剛、荊繼武、高能、向繼、張凱、周瑞輝、徐佳、林璨銷、曹政余婧、廖洪奎、李丹、羅鋒盈、陳星。

GB/T19771-2005數(shù)字簽名證書(shū)在政府服務(wù)商業(yè)和法律程序中代替手寫(xiě)簽名.并且允許以前沒(méi)有聯(lián)系的雙方可靠地鑒別對(duì)方以進(jìn)行商業(yè)事務(wù)。加密證書(shū)提供了加密傳輸和加密算法的應(yīng)用.來(lái)建立或保護(hù)對(duì)稱密鑰以提供機(jī)蜜性。這樣的一個(gè)公鑰基礎(chǔ)設(shè)施(PKI)系統(tǒng)和它相應(yīng)的證書(shū),也許遠(yuǎn)遠(yuǎn)超出了一些應(yīng)用的實(shí)際需要,對(duì)那些特別的應(yīng)用要求來(lái)說(shuō)改進(jìn)的證書(shū)和協(xié)議更合適。

GB/T19771-2005信息技術(shù)安全技術(shù)公鑰基礎(chǔ)設(shè)施PKI組件最小互操作規(guī)范1范圍本標(biāo)準(zhǔn)支持大規(guī)模公鑰基礎(chǔ)設(shè)施(PKI負(fù)責(zé)發(fā)布、撤銷和管理用于數(shù)字簽名及密鑰管理的公鑰證書(shū))的互操作性。本標(biāo)準(zhǔn)為不同的PKI開(kāi)發(fā)者所開(kāi)發(fā)的組件產(chǎn)品提供了基本的互操作性參考。本標(biāo)準(zhǔn)的內(nèi)容涉及:公鑰證書(shū)的產(chǎn)生、更新和撤銷;簽名的產(chǎn)生和驗(yàn)證;證書(shū)和證書(shū)認(rèn)證路徑驗(yàn)證。本標(biāo)準(zhǔn)主要包括了對(duì)證書(shū)、證書(shū)撤銷列表(CRL)擴(kuò)展和一套事務(wù)的描述。這些事務(wù)包括證書(shū)申請(qǐng)證書(shū)更新、證書(shū)撤銷以及從資料庫(kù)檢索證書(shū)和CRL本標(biāo)準(zhǔn)主要以最終用戶的角度來(lái)看待PKI的互操作性,即怎樣申請(qǐng)和獲得一個(gè)證書(shū):怎樣簽署文檔;怎樣檢索他人的證書(shū);怎樣驗(yàn)證簽名。就像下面所提及的,PKI的“內(nèi)部"操作規(guī)范還沒(méi)有達(dá)到足夠成熟,因此它們沒(méi)有被詳細(xì)規(guī)定。在本標(biāo)準(zhǔn)中PKI被分成五個(gè)組件:煩發(fā)和撤銷證書(shū)的證書(shū)認(rèn)證機(jī)構(gòu)(CAs):確保公鑰和證書(shū)持有者的身份以及別的屬性之間綁定的注冊(cè)機(jī)構(gòu)(RAs);獲得證書(shū)和簽署文檔的證書(shū)持有者:驗(yàn)證簽名并且執(zhí)行密鑰管理協(xié)議以及驗(yàn)證證書(shū)認(rèn)證路徑的客戶;存儲(chǔ)井提供對(duì)證書(shū)和CRL查詢的資料庫(kù)許多實(shí)體在功能上既是證書(shū)持有者又是客戶。CAs和RAs也是如此。終端實(shí)體證書(shū)持有者通常也是客戶。當(dāng)然,也有一些客戶并不是證書(shū)持有者。資資料庫(kù)不必是證書(shū)持有者和客戶。本標(biāo)準(zhǔn)僅僅涉及資料庫(kù)協(xié)議的一部分,那就是客戶要求從資料庫(kù)中獲得證書(shū)和CRL的信息。本標(biāo)準(zhǔn)將輕型目錄訪問(wèn)協(xié)議(LDAP)版本2作為用戶訪問(wèn)資料庫(kù)的傳輸手段,因?yàn)樗潜粡V泛接受和采用的方法。例如,這種選擇既不強(qiáng)調(diào)CA用來(lái)更新資料庫(kù)的標(biāo)準(zhǔn)化協(xié)議,也不強(qiáng)調(diào)資料庫(kù)之間互相映射的協(xié)議,盡管它們都是需要的。前者可以具體情況具體分析以解決CA和資料庫(kù)之間的協(xié)議.后者也許井不必要在通常的證書(shū)狀態(tài)確認(rèn)(本標(biāo)準(zhǔn)遵循的)中.資料庫(kù)不是可信實(shí)體,CA對(duì)CRL的簽名更可靠。在線證書(shū)狀態(tài)實(shí)時(shí)確認(rèn)機(jī)制要求資料庫(kù)是可信實(shí)體,而且它們也能讓客戶相信他們的身份。這樣的證書(shū)狀態(tài)確認(rèn)協(xié)議超出了本標(biāo)準(zhǔn)的范圍.但是在一些應(yīng)用中可能需要實(shí)時(shí)證書(shū)狀態(tài)確認(rèn).所以在以后的修訂版中可能會(huì)解決這個(gè)問(wèn)題。本標(biāo)準(zhǔn)中沒(méi)有提供讓資料庫(kù)驗(yàn)證使用者的協(xié)議,該協(xié)議是資料庫(kù)記費(fèi)應(yīng)用的前提。雖然這可能是資料庫(kù)重要的商

溫馨提示

  • 1. 本站所提供的標(biāo)準(zhǔn)文本僅供個(gè)人學(xué)習(xí)、研究之用,未經(jīng)授權(quán),嚴(yán)禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標(biāo)準(zhǔn)均為PDF格式電子版文本(可閱讀打?。驍?shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標(biāo)準(zhǔn)文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁(yè),非文檔質(zhì)量問(wèn)題。

最新文檔

評(píng)論

0/150

提交評(píng)論