GB/T 29241-2012信息安全技術(shù)公鑰基礎(chǔ)設(shè)施PKI互操作性評(píng)估準(zhǔn)則

ICS35040

L80.

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T29241—2012

信息安全技術(shù)公鑰基礎(chǔ)設(shè)施

PKI互操作性評(píng)估準(zhǔn)則

Informationsecuritytechnology—Publickeyinfrastructure—

PKIinteroperabilityevaluationcriteria

2012-12-31發(fā)布2013-06-01實(shí)施

中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T29241—2012

目次

前言…………………………

Ⅲ

引言…………………………

Ⅳ

范圍………………………

11

規(guī)范性引用文件…………………………

21

術(shù)語(yǔ)和定義………………

31

縮略語(yǔ)……………………

42

評(píng)估模型…………………

53

互操作性能……………………

5.1PKI3

評(píng)估對(duì)象……………

5.23

互操作能力評(píng)估……………………

5.33

互操作能力等級(jí)劃分原則…………

5.44

評(píng)估內(nèi)容…………………

66

第一級(jí)格式正確級(jí)…………………

6.1:6

第二級(jí)內(nèi)容明確級(jí)………………

6.2:10

第三級(jí)功能完善級(jí)………………

6.3:17

第四級(jí)執(zhí)行標(biāo)準(zhǔn)化級(jí)……………

6.4:26

第五級(jí)安全審計(jì)級(jí)………………

6.5:32

附錄規(guī)范性附錄系統(tǒng)評(píng)估內(nèi)容列表…………

A()PKI35

附錄規(guī)范性附錄應(yīng)用評(píng)估內(nèi)容列表…………

B()PKI57

Ⅰ

GB/T29241—2012

前言

本標(biāo)準(zhǔn)按照規(guī)則起草

GB/T1.1—2009。

本標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位中國(guó)科學(xué)院數(shù)據(jù)與通信保護(hù)研究教育中心贊嘉電子科技北京有限公司

:、()。

本標(biāo)準(zhǔn)主要起草人荊繼武馬存慶林璟鏘查達(dá)仁吳晶晶張帆王平建

:、、、、、、。

Ⅲ

GB/T29241—2012

引言

系統(tǒng)作為普適性的安全基礎(chǔ)設(shè)施同時(shí)為各種不同的應(yīng)用提供安全服務(wù)通過(guò)提供的安

PKI,。PKI

全服務(wù)信息應(yīng)用可以獲得真實(shí)性保密性完整性非否認(rèn)等安全服務(wù)

,PKI、、、。

由于系統(tǒng)的設(shè)計(jì)建設(shè)和運(yùn)行維護(hù)所依據(jù)的標(biāo)準(zhǔn)和規(guī)范具有較大的靈活性和可選自由度應(yīng)用

PKI,

從系統(tǒng)獲得的服務(wù)數(shù)據(jù)也就具有一定的不確定性證書(shū)私有擴(kuò)展大量使用和證書(shū)策略意義不明

PKI。

確撤銷(xiāo)狀態(tài)信息不全面等問(wèn)題都會(huì)影響安全服務(wù)的使用甚至導(dǎo)致應(yīng)用無(wú)法獲得安全服務(wù)上述問(wèn)

、,,。

題對(duì)于跨域的事務(wù)尤為突出由于跨域的應(yīng)用和系統(tǒng)通常由不同的廠商或設(shè)計(jì)開(kāi)發(fā)

,PKI。PKIPKI

人員實(shí)現(xiàn)雙方對(duì)于各種服務(wù)數(shù)據(jù)的理解和使用不一致更加明顯導(dǎo)致二者之間難以互操作難以獲取

,,,

安全服務(wù)

。

當(dāng)系統(tǒng)進(jìn)行互聯(lián)互通時(shí)就必須考慮系統(tǒng)為跨域應(yīng)用提供安全服務(wù)信息的水平也

PKI,PKIPKI,

就是系統(tǒng)與應(yīng)用之間的互操作問(wèn)題為更多的跨域應(yīng)用提供全面的安全服務(wù)信息是

PKIPKI。,PKI

系統(tǒng)進(jìn)行互操作能力優(yōu)化和改進(jìn)的目標(biāo)如果系統(tǒng)僅限于為特定的少數(shù)應(yīng)用提供服務(wù)那么

。PKIPKI,

該系統(tǒng)則難以在互聯(lián)互通中發(fā)揮效用作為一種安全基礎(chǔ)設(shè)施系統(tǒng)應(yīng)該面向各種應(yīng)用采

PKI。,PKI,

取有效的辦法提高互操作能力為網(wǎng)絡(luò)通信做好全面的安全基礎(chǔ)另一方面用戶(hù)會(huì)希望自己的

,。,PKI

應(yīng)用能夠與更多的系統(tǒng)互操作有能力從不同的電子認(rèn)證服務(wù)機(jī)構(gòu)獲得安全服務(wù)

PKI,。

本標(biāo)準(zhǔn)考慮了安全服務(wù)相關(guān)的各種信息及其性能系統(tǒng)提供安全服務(wù)的方式是生成各

PKI。PKI

種證書(shū)的相關(guān)信息包括證書(shū)證書(shū)撤銷(xiāo)狀態(tài)信息證書(shū)策略和認(rèn)證業(yè)務(wù)聲明等應(yīng)用就是利用上

,:、、。PKI

述信息獲得安全服務(wù)安全服務(wù)信息的格式是否正確設(shè)置內(nèi)容是否明確表達(dá)功能體現(xiàn)是否完善操

。、、、

作過(guò)程是否按標(biāo)準(zhǔn)化執(zhí)行信息來(lái)源是否可靠等問(wèn)題都會(huì)影響安全服務(wù)的提供

、,。

本標(biāo)準(zhǔn)分別從系統(tǒng)和應(yīng)用個(gè)方面提出了分等級(jí)的互操作性評(píng)估準(zhǔn)則高等級(jí)的

PKIPKI2,。PKI

系統(tǒng)能夠?yàn)楦嗟膽?yīng)用提供更全面可靠的安全服務(wù)高等級(jí)的應(yīng)用能夠從更多的系

,PKI。PKI,PKI

統(tǒng)中獲取更全面的安全服務(wù)

。

本標(biāo)準(zhǔn)通過(guò)分等級(jí)的互操作評(píng)估為系統(tǒng)和應(yīng)用都指出了改進(jìn)的方向?qū)⒋龠M(jìn)建設(shè)和開(kāi)

,PKIPKI,

發(fā)具有全面互操作能力的系統(tǒng)和應(yīng)用從而為系統(tǒng)的全面互聯(lián)互通為最終形成統(tǒng)一的認(rèn)證

PKI,PKI,

體系奠定堅(jiān)實(shí)的基礎(chǔ)

,。

Ⅳ

GB/T29241—2012

信息安全技術(shù)公鑰基礎(chǔ)設(shè)施

PKI互操作性評(píng)估準(zhǔn)則

1范圍

本標(biāo)準(zhǔn)規(guī)定了系統(tǒng)和應(yīng)用的五個(gè)互操作能力等級(jí)完成了分等級(jí)的互操作性評(píng)估

PKIPKI,PKI

準(zhǔn)則為系統(tǒng)和應(yīng)用提供了互操作能力等級(jí)評(píng)估的依據(jù)

,PKIPKI。

本標(biāo)準(zhǔn)適用于需要進(jìn)行跨域互操作的系統(tǒng)和應(yīng)用可用于系統(tǒng)和應(yīng)用的設(shè)計(jì)

PKIPKI,PKIPKI、

開(kāi)發(fā)制造采購(gòu)測(cè)試評(píng)估使用等過(guò)程

、、、、、。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息技術(shù)開(kāi)放系統(tǒng)互連目錄第部分公鑰和屬性證書(shū)框架

GB/T16264.8—20058:

信息技術(shù)安全技術(shù)公鑰基礎(chǔ)設(shè)施在線證書(shū)狀態(tài)協(xié)議

GB/T19713—2005

信息安全技術(shù)公鑰基礎(chǔ)設(shè)施數(shù)字證書(shū)格式

GB/T20518—2006

橢圓曲線公鑰密碼算法

GM/T0003—2012SM2

密碼雜湊算法

GM/T0004—2012SM3

因特網(wǎng)公鑰基礎(chǔ)設(shè)施證書(shū)策略和認(rèn)證業(yè)務(wù)框架

RFC3647X.509:(InternetX.509PublicKey

Infrastructure:CertificatePolicyandCertificationPracticesFramework)

因特網(wǎng)公鑰基礎(chǔ)設(shè)施證書(shū)中的徽標(biāo)

RFC3709X.509:X.509(InternetX.509PublicKeyInfra-

structure:LogotypesinX.509Certificates)

用于地址和標(biāo)識(shí)符的證書(shū)擴(kuò)展

RFC3779IPASX.509(X.509ExtensionsforIPAddressesand

ASIdentifiers)

因特網(wǎng)公鑰基礎(chǔ)設(shè)施擔(dān)保信息證書(shū)擴(kuò)展

RFC4059X.509:(InternetX.509PublicKeyInfra-

structure:WarrantyCertificateExtension)

支持點(diǎn)對(duì)點(diǎn)協(xié)議和無(wú)線