GB/T 31508-2015信息安全技術(shù)公鑰基礎(chǔ)設(shè)施數(shù)字證書策略分類分級(jí)規(guī)范

ICS35040

L80.

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T31508—2015

信息安全技術(shù)公鑰基礎(chǔ)設(shè)施

數(shù)字證書策略分類分級(jí)規(guī)范

Informationsecuritytechniques—Publickeyinfrastructure—

Digitalcertificatepoliciesclassificationandgradingspecification

2015-05-15發(fā)布2016-01-01實(shí)施

中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T31508—2015

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語(yǔ)和定義

3………………1

縮略語(yǔ)

4……………………3

概述

5………………………3

信息發(fā)布和證書資料庫(kù)責(zé)任

6……………6

身份標(biāo)識(shí)與鑒別

7…………………………7

證書生命周期操作要求

8…………………12

設(shè)施管理和運(yùn)作控制

9、…………………20

技術(shù)安全控制

10…………………………31

證書證書撤銷列表和在線證書狀態(tài)協(xié)議

11、……………43

合規(guī)性審計(jì)和相關(guān)評(píng)估

12………………43

Ⅰ

GB/T31508—2015

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專利的責(zé)任

。。

本標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位中國(guó)科學(xué)院數(shù)據(jù)與通信保護(hù)研究教育中心北京數(shù)字證書認(rèn)證中心有限公司中

:、、

國(guó)科學(xué)院軟件所

。

本標(biāo)準(zhǔn)主要起草人荊繼武高能林璟鏘王展馬存慶向繼王躍武夏魯寧查達(dá)仁王平建

:、、、、、、、、、、

王瓊霄詹榜華連一峰

、、。

Ⅲ

GB/T31508—2015

引言

使用電子認(rèn)證服務(wù)進(jìn)行電子交易的實(shí)體主要關(guān)心兩個(gè)問(wèn)題一是交易對(duì)象的合法公鑰是什么二是

:;

交易對(duì)象的數(shù)字證書的安全性能否用于本交易為了體現(xiàn)第二方面的信息數(shù)字證書中包含了一個(gè)由

。,

電子認(rèn)證服務(wù)機(jī)構(gòu)提供的證書策略標(biāo)識(shí)它表明了證書持有者公鑰所對(duì)應(yīng)的用戶的安全屬性數(shù)字

,()。

證書的依賴方可以通過(guò)閱讀相應(yīng)的證書策略文檔來(lái)評(píng)估證書的安全程度以便正確使用或依賴該證書

,

如僅用于測(cè)試的或者僅用于訪問(wèn)網(wǎng)絡(luò)或者可用于金融交易并有萬(wàn)元擔(dān)保因此證書策略的

(:,,10)。,

實(shí)施是數(shù)字證書實(shí)際應(yīng)用中不可缺少的一部分也是提供分層次可靠的電子認(rèn)證服務(wù)的基礎(chǔ)之一

,。

目前我國(guó)的電子認(rèn)證服務(wù)機(jī)構(gòu)簽發(fā)的數(shù)字證書均未包含證書策略的內(nèi)容即在證書中沒(méi)有說(shuō)明公

,,

鑰可以應(yīng)用在什么場(chǎng)景適用于什么樣的安全需求這導(dǎo)致了證書的使用者對(duì)于證書的用途十分茫然

,。,

限制了數(shù)字證書的廣泛應(yīng)用另外由于缺乏數(shù)字證書使用范圍或質(zhì)量的標(biāo)準(zhǔn)各電子認(rèn)證服務(wù)機(jī)構(gòu)證

。,,

書簽發(fā)的安全措施如證書簽發(fā)過(guò)程中的身份鑒別物理設(shè)備安全責(zé)任和賠付等也存在較大差距

(:、、)。

這種不一致導(dǎo)致了證書依賴方的許多困惑阻礙了數(shù)字證書的跨區(qū)域跨行業(yè)應(yīng)用限制了應(yīng)用程序直接

,,

獲得證書的安全信息對(duì)證書進(jìn)行自動(dòng)地驗(yàn)證而標(biāo)準(zhǔn)化的證書策略能夠使用戶清晰地認(rèn)識(shí)到證書的

,。

質(zhì)量和安全通途方便應(yīng)用系統(tǒng)的開發(fā)設(shè)計(jì)因此對(duì)證書策略進(jìn)行規(guī)范和標(biāo)準(zhǔn)化是推進(jìn)電子商務(wù)電

,。,,、

子政務(wù)系統(tǒng)之間互聯(lián)互通的重要一步

。

通過(guò)證書策略的標(biāo)準(zhǔn)化設(shè)計(jì)數(shù)字證書策略的分級(jí)分類規(guī)范可以為電子認(rèn)證服務(wù)市場(chǎng)規(guī)劃出分級(jí)

,,

的多層次的服務(wù)質(zhì)量體系為不同應(yīng)用系統(tǒng)實(shí)現(xiàn)適度的安全服務(wù)從而促進(jìn)電子認(rèn)證服務(wù)機(jī)構(gòu)之間的

、,,

良性競(jìng)爭(zhēng)提升服務(wù)質(zhì)量推動(dòng)電子認(rèn)證服務(wù)市場(chǎng)的有序發(fā)展另外隨著證書策略的分級(jí)分類逐步的

,,。,

實(shí)施也可以促進(jìn)電子認(rèn)證服務(wù)機(jī)構(gòu)評(píng)估和許可工作的規(guī)范化即審查電子認(rèn)證服務(wù)機(jī)構(gòu)是否真正地按

,,

照其證書策略要求的規(guī)范來(lái)運(yùn)營(yíng)是否提供相應(yīng)的安全保障這也是構(gòu)建證書策略分級(jí)分類體系的重要

,,

意義

。

Ⅳ

GB/T31508—2015

信息安全技術(shù)公鑰基礎(chǔ)設(shè)施

數(shù)字證書策略分類分級(jí)規(guī)范

1范圍

本標(biāo)準(zhǔn)通過(guò)分類分級(jí)的方式規(guī)范了用于商業(yè)交易設(shè)備和公眾服務(wù)領(lǐng)域的電子認(rèn)證服務(wù)中的種

,、8

數(shù)字證書策略

。

本標(biāo)準(zhǔn)適用于我國(guó)電子商務(wù)和公眾服務(wù)中所涉及的數(shù)字證書

。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息安全技術(shù)公鑰基礎(chǔ)設(shè)施數(shù)字證書格式

GB/T20518—2006

信息安全技術(shù)公鑰基礎(chǔ)設(shè)施證書策略與認(rèn)證業(yè)務(wù)聲明框架

GB/T26855—2011

信息安全技術(shù)公鑰基礎(chǔ)設(shè)施互操作性評(píng)估準(zhǔn)則

GB/T29241—2012PKI

3術(shù)語(yǔ)和定義

下列術(shù)語(yǔ)和定義適用于本文件

。

31

.

證書簽發(fā)機(jī)構(gòu)certificationauthority

負(fù)責(zé)簽發(fā)證書和維護(hù)證書狀態(tài)的實(shí)體

。

32

.

訂戶注冊(cè)機(jī)構(gòu)registrationauthority

負(fù)責(zé)訂戶的標(biāo)識(shí)和鑒別批準(zhǔn)或拒絕訂戶的證書申請(qǐng)撤銷申請(qǐng)和掛起申請(qǐng)發(fā)起證書的撤銷和掛

,、,

起的實(shí)體

。

33

.

電子認(rèn)證服務(wù)機(jī)構(gòu)