GB/T 29241-2012信息安全技術公鑰基礎設施PKI互操作性評估準則

ICS35040

L80.

中華人民共和國國家標準

GB/T29241—2012

信息安全技術公鑰基礎設施

PKI互操作性評估準則

Informationsecuritytechnology—Publickeyinfrastructure—

PKIinteroperabilityevaluationcriteria

2012-12-31發(fā)布2013-06-01實施

中華人民共和國國家質量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標準化管理委員會

GB/T29241—2012

目次

前言…………………………

Ⅲ

引言…………………………

Ⅳ

范圍………………………

11

規(guī)范性引用文件…………………………

21

術語和定義………………

31

縮略語……………………

42

評估模型…………………

53

互操作性能……………………

5.1PKI3

評估對象……………

5.23

互操作能力評估……………………

5.33

互操作能力等級劃分原則…………

5.44

評估內(nèi)容…………………

66

第一級格式正確級…………………

6.1:6

第二級內(nèi)容明確級………………

6.2:10

第三級功能完善級………………

6.3:17

第四級執(zhí)行標準化級……………

6.4:26

第五級安全審計級………………

6.5:32

附錄規(guī)范性附錄系統(tǒng)評估內(nèi)容列表…………

A()PKI35

附錄規(guī)范性附錄應用評估內(nèi)容列表…………

B()PKI57

Ⅰ

GB/T29241—2012

前言

本標準按照規(guī)則起草

GB/T1.1—2009。

本標準由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本標準起草單位中國科學院數(shù)據(jù)與通信保護研究教育中心贊嘉電子科技北京有限公司

:、()。

本標準主要起草人荊繼武馬存慶林璟鏘查達仁吳晶晶張帆王平建

:、、、、、、。

Ⅲ

GB/T29241—2012

引言

系統(tǒng)作為普適性的安全基礎設施同時為各種不同的應用提供安全服務通過提供的安

PKI,。PKI

全服務信息應用可以獲得真實性保密性完整性非否認等安全服務

,PKI、、、。

由于系統(tǒng)的設計建設和運行維護所依據(jù)的標準和規(guī)范具有較大的靈活性和可選自由度應用

PKI,

從系統(tǒng)獲得的服務數(shù)據(jù)也就具有一定的不確定性證書私有擴展大量使用和證書策略意義不明

PKI。

確撤銷狀態(tài)信息不全面等問題都會影響安全服務的使用甚至導致應用無法獲得安全服務上述問

、,,。

題對于跨域的事務尤為突出由于跨域的應用和系統(tǒng)通常由不同的廠商或設計開發(fā)

,PKI。PKIPKI

人員實現(xiàn)雙方對于各種服務數(shù)據(jù)的理解和使用不一致更加明顯導致二者之間難以互操作難以獲取

,,,

安全服務

。

當系統(tǒng)進行互聯(lián)互通時就必須考慮系統(tǒng)為跨域應用提供安全服務信息的水平也

PKI,PKIPKI,

就是系統(tǒng)與應用之間的互操作問題為更多的跨域應用提供全面的安全服務信息是

PKIPKI。,PKI

系統(tǒng)進行互操作能力優(yōu)化和改進的目標如果系統(tǒng)僅限于為特定的少數(shù)應用提供服務那么

。PKIPKI,

該系統(tǒng)則難以在互聯(lián)互通中發(fā)揮效用作為一種安全基礎設施系統(tǒng)應該面向各種應用采

PKI。,PKI,

取有效的辦法提高互操作能力為網(wǎng)絡通信做好全面的安全基礎另一方面用戶會希望自己的

,。,PKI

應用能夠與更多的系統(tǒng)互操作有能力從不同的電子認證服務機構獲得安全服務

PKI,。

本標準考慮了安全服務相關的各種信息及其性能系統(tǒng)提供安全服務的方式是生成各

PKI。PKI

種證書的相關信息包括證書證書撤銷狀態(tài)信息證書策略和認證業(yè)務聲明等應用就是利用上

,:、、。PKI

述信息獲得安全服務安全服務信息的格式是否正確設置內(nèi)容是否明確表達功能體現(xiàn)是否完善操

。、、、

作過程是否按標準化執(zhí)行信息來源是否可靠等問題都會影響安全服務的提供

、,。

本標準分別從系統(tǒng)和應用個方面提出了分等級的互操作性評估準則高等級的

PKIPKI2,。PKI

系統(tǒng)能夠為更多的應用提供更全面可靠的安全服務高等級的應用能夠從更多的系

,PKI。PKI,PKI

統(tǒng)中獲取更全面的安全服務

。

本標準通過分等級的互操作評估為系統(tǒng)和應用都指出了改進的方向將促進建設和開

,PKIPKI,

發(fā)具有全面互操作能力的系統(tǒng)和應用從而為系統(tǒng)的全面互聯(lián)互通為最終形成統(tǒng)一的認證

PKI,PKI,

體系奠定堅實的基礎

,。

Ⅳ

GB/T29241—2012

信息安全技術公鑰基礎設施

PKI互操作性評估準則

1范圍

本標準規(guī)定了系統(tǒng)和應用的五個互操作能力等級完成了分等級的互操作性評估

PKIPKI,PKI

準則為系統(tǒng)和應用提供了互操作能力等級評估的依據(jù)

,PKIPKI。

本標準適用于需要進行跨域互操作的系統(tǒng)和應用可用于系統(tǒng)和應用的設計

PKIPKI,PKIPKI、

開發(fā)制造采購測試評估使用等過程

、、、、、。

2規(guī)范性引用文件

下列文件對于本文件的應用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息技術開放系統(tǒng)互連目錄第部分公鑰和屬性證書框架

GB/T16264.8—20058:

信息技術安全技術公鑰基礎設施在線證書狀態(tài)協(xié)議

GB/T19713—2005

信息安全技術公鑰基礎設施數(shù)字證書格式

GB/T20518—2006

橢圓曲線公鑰密碼算法

GM/T0003—2012SM2

密碼雜湊算法

GM/T0004—2012SM3

因特網(wǎng)公鑰基礎設施證書策略和認證業(yè)務框架

RFC3647X.509:(InternetX.509PublicKey

Infrastructure:CertificatePolicyandCertificationPracticesFramework)

因特網(wǎng)公鑰基礎設施證書中的徽標

RFC3709X.509:X.509(InternetX.509PublicKeyInfra-

structure:LogotypesinX.509Certificates)

用于地址和標識符的證書擴展

RFC3779IPASX.509(X.509ExtensionsforIPAddressesand

ASIdentifiers)

因特網(wǎng)公鑰基礎設施擔保信息證書擴展

RFC4059X.509:(InternetX.509PublicKeyInfra-

structure:WarrantyCertificateExtension)

支持點對點協(xié)議和無線