標準解讀

GB/T 19771-2005 是一項由中國發(fā)布的國家標準,全稱為《信息技術(shù) 安全技術(shù) 公鑰基礎(chǔ)設施PKI組件最小互操作規(guī)范》。這項標準旨在為公鑰基礎(chǔ)設施(Public Key Infrastructure, PKI)的各個組件之間建立一套統(tǒng)一的、最低限度的互操作要求,確保不同廠商開發(fā)的PKI系統(tǒng)和產(chǎn)品能夠相互兼容與協(xié)同工作,從而促進信息安全領(lǐng)域內(nèi)的互操作性和標準化。

標準內(nèi)容概覽

  1. 范圍:標準明確了其適用范圍,即規(guī)定了PKI系統(tǒng)中關(guān)鍵組件(如認證機構(gòu)CA、注冊機構(gòu)RA、密鑰管理系統(tǒng)、證書庫、證書撤銷列表CRL及在線證書狀態(tài)協(xié)議OCSP服務等)在設計和實現(xiàn)時應遵循的最小互操作性要求。

  2. 術(shù)語和定義:為確保文檔的準確理解,標準首先定義了一系列與PKI相關(guān)的專業(yè)術(shù)語,如證書、數(shù)字簽名、密鑰對、信任模型等。

  3. 參考文獻:列出了制定該標準時參考的其他國際和國內(nèi)標準文獻,為讀者提供進一步學習和理解的資源。

  4. 互操作需求:詳細闡述了PKI各組件間進行信息交換、操作流程、數(shù)據(jù)格式等方面應滿足的最低標準,以保證跨系統(tǒng)間的有效交互。這包括證書和CRL的格式、證書路徑驗證規(guī)則、密鑰管理接口、時間戳服務交互等。

  5. 安全要求:強調(diào)了在實現(xiàn)互操作性的同時,必須保持的安全水平,比如數(shù)據(jù)加密、訪問控制、審計日志記錄等措施,確保整個PKI系統(tǒng)的安全性不受影響。

  6. 測試和評估準則:為驗證PKI組件是否符合互操作性及安全要求,提供了測試方法和評估準則,幫助開發(fā)者和用戶進行自我檢查或第三方評測。

實踐意義

該標準的實施有助于減少因技術(shù)不兼容帶來的市場分割,促進PKI技術(shù)在國內(nèi)乃至國際上的廣泛應用,提升電子交易、電子政務、網(wǎng)絡安全等領(lǐng)域的信息安全保障能力。通過遵循這些規(guī)范,不同供應商的產(chǎn)品和服務能夠在同一框架下協(xié)同作業(yè),降低集成成本,加速PKI技術(shù)的普及和深化應用。

結(jié)構(gòu)性概述

  • 引言:簡述標準的背景和目的。
  • 規(guī)范性引用文件:列出所依據(jù)的其他標準或文件。
  • 術(shù)語和定義:清晰界定專業(yè)詞匯的含義。
  • 互操作性框架:描述PKI組件間互操作的基本架構(gòu)。
  • 組件互操作要求:針對每個PKI組件提出具體的互操作需求。
  • 安全功能要求:規(guī)定必要的安全控制措施。
  • 評估和符合性測試:說明如何驗證PKI組件是否達標。
  • 附錄:提供補充材料、示例或具體實現(xiàn)指南。

此標準通過細致的技術(shù)規(guī)范,為構(gòu)建一個安全、高效、可互操作的PKI生態(tài)系統(tǒng)奠定了基礎(chǔ)。


如需獲取更多詳盡信息,請直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標準文檔。

....

查看全部

  • 現(xiàn)行
  • 正在執(zhí)行有效
  • 2005-05-25 頒布
  • 2005-12-01 實施
?正版授權(quán)
GB/T 19771-2005信息技術(shù)安全技術(shù)公鑰基礎(chǔ)設施PKI組件最小互操作規(guī)范_第1頁
GB/T 19771-2005信息技術(shù)安全技術(shù)公鑰基礎(chǔ)設施PKI組件最小互操作規(guī)范_第2頁
GB/T 19771-2005信息技術(shù)安全技術(shù)公鑰基礎(chǔ)設施PKI組件最小互操作規(guī)范_第3頁
GB/T 19771-2005信息技術(shù)安全技術(shù)公鑰基礎(chǔ)設施PKI組件最小互操作規(guī)范_第4頁
GB/T 19771-2005信息技術(shù)安全技術(shù)公鑰基礎(chǔ)設施PKI組件最小互操作規(guī)范_第5頁
已閱讀5頁,還剩71頁未讀, 繼續(xù)免費閱讀

下載本文檔

免費下載試讀頁

文檔簡介

ICS35.100.70L79中華人民共和國國家標準GB/T19771—2005信息技術(shù)安全技術(shù)公鑰基礎(chǔ)設施PKI組件最小互操作規(guī)范Informationtechnology-Securitytechnology-Pubiickeyinfrastructure-MinimuminteroperabilityspecificationforPKIcomponents2005-05-25發(fā)布2005-12-01實施中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局發(fā)布中國國家標準化管理委員會

GB/T19771-2005三前言引言范圍2規(guī)范性引用文件3術(shù)語和定義45PKI組件規(guī)范……5.15.2證書認證機構(gòu)(CA)…5.2.1概述5.2.2與互操作性有關(guān)的CA功能要求5.2.3電子事務集合5.3注冊機構(gòu)(RA)……..5.3.1達….……….·5.3.2與互操作性有關(guān)的RA功能要求55.3.3事務集合“·········:::::···::·:5.4證書持有者規(guī)范5.4.1概述…··…·…·…·5.4.2與互操作性相關(guān)的PKI證書持有者功能要求5.4.3證書持有者事務集合5.5客戶規(guī)范·5.5.1客戶概述………….105.5.2與互操作性相關(guān)的PKI客戶功能要求5.5.3PKI客戶事務集合……………………..數(shù)據(jù)格式…………6106.1數(shù)據(jù)格式概述…106.2證書格式….106.2.1證書字段………106.2.2加加密算法……6.2.3證書擴展……………6.3證書撤銷列表…176.3.1證書撒銷列表概述………..6.3.2CRL字段186.3.3CRL擴展6.3.4CRLEntry擴展20證書認證路徑………6.4216.5事務消息格式·6.5.1事務消息格式概述·33

GB/T19771-200566.5.2全體PKI消息組件6.5.3通用數(shù)據(jù)結(jié)構(gòu)……6.5.4特殊操作的數(shù)據(jù)結(jié)構(gòu)286.6PKI事務…306.6.1PKI事務概述·306.6.2RA發(fā)起的注冊請求306.6.3新實體的自我注冊請求…326.6.4知實體的自我注冊請求3466.6.5證書更新……·….366.6.6PKCS#10自我注冊請求6.6.7撒銷請求?……………6.6.8集中產(chǎn)生密鑰對和密鑰管理證書申請.426.6.9咀合證書申請·+46.6.10從資料庫請求證書456.6.11從資料庫請求CRL附錄A(規(guī)范性附錄)X.509v3證書ASN.1附錄B(規(guī)范性附錄)證書和CRL擴展ASN.150附錄C(規(guī)范性附錄)ASN.1Modulefortransactions58附錄D(規(guī)范性附錄)證書請求消息格式ASN.1Module65

GB/T19771-2005前本標準是在參考美國國家標準與技術(shù)研究院(NIST)提出的《公鑰基礎(chǔ)設施PKI組件最小互操作規(guī)范》第二版內(nèi)容的基礎(chǔ)上修改而成,同時本標準還參照了包括證書管理策略(CMP)、證書請求消息格式(CRMF).FIPS許可的密碼算法和X9密碼算法等相關(guān)的規(guī)范本標準凡涉及密碼算法相關(guān)內(nèi)容,按國家有關(guān)法規(guī)實施。本標準中引用的SHA-1.RSA、SHAI-MAC、SHAl-HMAC·DES-MAC.tDEA密碼算法均為舉例性說明.具體使用時均須采用國家商用密碼管理委員會批準的相應算法。本標準的附錄A、附錄B、附錄C、附錄D為規(guī)范性附錄。本標準由中華人民共和國信息產(chǎn)業(yè)部提出。本標準由全國信息安全標準化技術(shù)委員會(TC260)歸口。本標準起草單位:信息安全國家重點實驗室、中國電子技術(shù)標準化研究所本標準主要起草人:馮登國、吳志剛、荊繼武、高能、向繼、張凱、周瑞輝、徐佳、林璨銷、曹政余婧、廖洪奎、李丹、羅鋒盈、陳星。

GB/T19771-2005數(shù)字簽名證書在政府服務商業(yè)和法律程序中代替手寫簽名.并且允許以前沒有聯(lián)系的雙方可靠地鑒別對方以進行商業(yè)事務。加密證書提供了加密傳輸和加密算法的應用.來建立或保護對稱密鑰以提供機蜜性。這樣的一個公鑰基礎(chǔ)設施(PKI)系統(tǒng)和它相應的證書,也許遠遠超出了一些應用的實際需要,對那些特別的應用要求來說改進的證書和協(xié)議更合適。

GB/T19771-2005信息技術(shù)安全技術(shù)公鑰基礎(chǔ)設施PKI組件最小互操作規(guī)范1范圍本標準支持大規(guī)模公鑰基礎(chǔ)設施(PKI負責發(fā)布、撤銷和管理用于數(shù)字簽名及密鑰管理的公鑰證書)的互操作性。本標準為不同的PKI開發(fā)者所開發(fā)的組件產(chǎn)品提供了基本的互操作性參考。本標準的內(nèi)容涉及:公鑰證書的產(chǎn)生、更新和撤銷;簽名的產(chǎn)生和驗證;證書和證書認證路徑驗證。本標準主要包括了對證書、證書撤銷列表(CRL)擴展和一套事務的描述。這些事務包括證書申請證書更新、證書撤銷以及從資料庫檢索證書和CRL本標準主要以最終用戶的角度來看待PKI的互操作性,即怎樣申請和獲得一個證書:怎樣簽署文檔;怎樣檢索他人的證書;怎樣驗證簽名。就像下面所提及的,PKI的“內(nèi)部"操作規(guī)范還沒有達到足夠成熟,因此它們沒有被詳細規(guī)定。在本標準中PKI被分成五個組件:煩發(fā)和撤銷證書的證書認證機構(gòu)(CAs):確保公鑰和證書持有者的身份以及別的屬性之間綁定的注冊機構(gòu)(RAs);獲得證書和簽署文檔的證書持有者:驗證簽名并且執(zhí)行密鑰管理協(xié)議以及驗證證書認證路徑的客戶;存儲井提供對證書和CRL查詢的資料庫許多實體在功能上既是證書持有者又是客戶。CAs和RAs也是如此。終端實體證書持有者通常也是客戶。當然,也有一些客戶并不是證書持有者。資資料庫不必是證書持有者和客戶。本標準僅僅涉及資料庫協(xié)議的一部分,那就是客戶要求從資料庫中獲得證書和CRL的信息。本標準將輕型目錄訪問協(xié)議(LDAP)版本2作為用戶訪問資料庫的傳輸手段,因為它是被廣泛接受和采用的方法。例如,這種選擇既不強調(diào)CA用來更新資料庫的標準化協(xié)議,也不強調(diào)資料庫之間互相映射的協(xié)議,盡管它們都是需要的。前者可以具體情況具體分析以解決CA和資料庫之間的協(xié)議.后者也許井不必要在通常的證書狀態(tài)確認(本標準遵循的)中.資料庫不是可信實體,CA對CRL的簽名更可靠。在線證書狀態(tài)實時確認機制要求資料庫是可信實體,而且它們也能讓客戶相信他們的身份。這樣的證書狀態(tài)確認協(xié)議超出了本標準的范圍.但是在一些應用中可能需要實時證書狀態(tài)確認.所以在以后的修訂版中可能會解決這個問題。本標準中沒有提供讓資料庫驗證使用者的協(xié)議,該協(xié)議是資料庫記費應用的前提。雖然這可能是資料庫重要的商

溫馨提示

  • 1. 本站所提供的標準文本僅供個人學習、研究之用,未經(jīng)授權(quán),嚴禁復制、發(fā)行、匯編、翻譯或網(wǎng)絡傳播等,侵權(quán)必究。
  • 2. 本站所提供的標準均為PDF格式電子版文本(可閱讀打印),因數(shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務。
  • 3. 標準文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質(zhì)量問題。

評論

0/150

提交評論