GB/T 31508-2015信息安全技術(shù)公鑰基礎(chǔ)設(shè)施數(shù)字證書策略分類分級規(guī)范

ICS35040

L80.

中華人民共和國國家標準

GB/T31508—2015

信息安全技術(shù)公鑰基礎(chǔ)設(shè)施

數(shù)字證書策略分類分級規(guī)范

Informationsecuritytechniques—Publickeyinfrastructure—

Digitalcertificatepoliciesclassificationandgradingspecification

2015-05-15發(fā)布2016-01-01實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標準化管理委員會

GB/T31508—2015

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

縮略語

4……………………3

概述

5………………………3

信息發(fā)布和證書資料庫責(zé)任

6……………6

身份標識與鑒別

7…………………………7

證書生命周期操作要求

8…………………12

設(shè)施管理和運作控制

9、…………………20

技術(shù)安全控制

10…………………………31

證書證書撤銷列表和在線證書狀態(tài)協(xié)議

11、……………43

合規(guī)性審計和相關(guān)評估

12………………43

Ⅰ

GB/T31508—2015

前言

本標準按照給出的規(guī)則起草

GB/T1.1—2009。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機構(gòu)不承擔識別這些專利的責(zé)任

。。

本標準由全國信息安全標準化技術(shù)委員會提出并歸口

(SAC/TC260)。

本標準起草單位中國科學(xué)院數(shù)據(jù)與通信保護研究教育中心北京數(shù)字證書認證中心有限公司中

:、、

國科學(xué)院軟件所

。

本標準主要起草人荊繼武高能林璟鏘王展馬存慶向繼王躍武夏魯寧查達仁王平建

:、、、、、、、、、、

王瓊霄詹榜華連一峰

、、。

Ⅲ

GB/T31508—2015

引言

使用電子認證服務(wù)進行電子交易的實體主要關(guān)心兩個問題一是交易對象的合法公鑰是什么二是

:;

交易對象的數(shù)字證書的安全性能否用于本交易為了體現(xiàn)第二方面的信息數(shù)字證書中包含了一個由

。,

電子認證服務(wù)機構(gòu)提供的證書策略標識它表明了證書持有者公鑰所對應(yīng)的用戶的安全屬性數(shù)字

,()。

證書的依賴方可以通過閱讀相應(yīng)的證書策略文檔來評估證書的安全程度以便正確使用或依賴該證書

,

如僅用于測試的或者僅用于訪問網(wǎng)絡(luò)或者可用于金融交易并有萬元擔保因此證書策略的

(:,,10)。,

實施是數(shù)字證書實際應(yīng)用中不可缺少的一部分也是提供分層次可靠的電子認證服務(wù)的基礎(chǔ)之一

,。

目前我國的電子認證服務(wù)機構(gòu)簽發(fā)的數(shù)字證書均未包含證書策略的內(nèi)容即在證書中沒有說明公

,,

鑰可以應(yīng)用在什么場景適用于什么樣的安全需求這導(dǎo)致了證書的使用者對于證書的用途十分茫然

,。,

限制了數(shù)字證書的廣泛應(yīng)用另外由于缺乏數(shù)字證書使用范圍或質(zhì)量的標準各電子認證服務(wù)機構(gòu)證

。,,

書簽發(fā)的安全措施如證書簽發(fā)過程中的身份鑒別物理設(shè)備安全責(zé)任和賠付等也存在較大差距

(:、、)。

這種不一致導(dǎo)致了證書依賴方的許多困惑阻礙了數(shù)字證書的跨區(qū)域跨行業(yè)應(yīng)用限制了應(yīng)用程序直接

,,

獲得證書的安全信息對證書進行自動地驗證而標準化的證書策略能夠使用戶清晰地認識到證書的

,。

質(zhì)量和安全通途方便應(yīng)用系統(tǒng)的開發(fā)設(shè)計因此對證書策略進行規(guī)范和標準化是推進電子商務(wù)電

,。,,、

子政務(wù)系統(tǒng)之間互聯(lián)互通的重要一步

。

通過證書策略的標準化設(shè)計數(shù)字證書策略的分級分類規(guī)范可以為電子認證服務(wù)市場規(guī)劃出分級

,,

的多層次的服務(wù)質(zhì)量體系為不同應(yīng)用系統(tǒng)實現(xiàn)適度的安全服務(wù)從而促進電子認證服務(wù)機構(gòu)之間的

、,,

良性競爭提升服務(wù)質(zhì)量推動電子認證服務(wù)市場的有序發(fā)展另外隨著證書策略的分級分類逐步的

,,。,

實施也可以促進電子認證服務(wù)機構(gòu)評估和許可工作的規(guī)范化即審查電子認證服務(wù)機構(gòu)是否真正地按

,,

照其證書策略要求的規(guī)范來運營是否提供相應(yīng)的安全保障這也是構(gòu)建證書策略分級分類體系的重要

,,

意義

。

Ⅳ

GB/T31508—2015

信息安全技術(shù)公鑰基礎(chǔ)設(shè)施

數(shù)字證書策略分類分級規(guī)范

1范圍

本標準通過分類分級的方式規(guī)范了用于商業(yè)交易設(shè)備和公眾服務(wù)領(lǐng)域的電子認證服務(wù)中的種

,、8

數(shù)字證書策略

。

本標準適用于我國電子商務(wù)和公眾服務(wù)中所涉及的數(shù)字證書

。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息安全技術(shù)公鑰基礎(chǔ)設(shè)施數(shù)字證書格式

GB/T20518—2006

信息安全技術(shù)公鑰基礎(chǔ)設(shè)施證書策略與認證業(yè)務(wù)聲明框架

GB/T26855—2011

信息安全技術(shù)公鑰基礎(chǔ)設(shè)施互操作性評估準則

GB/T29241—2012PKI

3術(shù)語和定義

下列術(shù)語和定義適用于本文件

。

31

.

證書簽發(fā)機構(gòu)certificationauthority

負責(zé)簽發(fā)證書和維護證書狀態(tài)的實體

。

32

.

訂戶注冊機構(gòu)registrationauthority

負責(zé)訂戶的標識和鑒別批準或拒絕訂戶的證書申請撤銷申請和掛起申請發(fā)起證書的撤銷和掛

,、,

起的實體

。

33

.

電子認證服務(wù)機構(gòu)