GB/T 31508-2015信息安全技術(shù)公鑰基礎(chǔ)設(shè)施數(shù)字證書策略分類分級規(guī)范

ICS35040

L80.

中華人民共和國國家標(biāo)準(zhǔn)

GB/T31508—2015

信息安全技術(shù)公鑰基礎(chǔ)設(shè)施

數(shù)字證書策略分類分級規(guī)范

Informationsecuritytechniques—Publickeyinfrastructure—

Digitalcertificatepoliciesclassificationandgradingspecification

2015-05-15發(fā)布2016-01-01實(shí)施

中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國國家標(biāo)準(zhǔn)化管理委員會

GB/T31508—2015

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

縮略語

4……………………3

概述

5………………………3

信息發(fā)布和證書資料庫責(zé)任

6……………6

身份標(biāo)識與鑒別

7…………………………7

證書生命周期操作要求

8…………………12

設(shè)施管理和運(yùn)作控制

9、…………………20

技術(shù)安全控制

10…………………………31

證書證書撤銷列表和在線證書狀態(tài)協(xié)議

11、……………43

合規(guī)性審計(jì)和相關(guān)評估

12………………43

Ⅰ

GB/T31508—2015

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別這些專利的責(zé)任

。。

本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位中國科學(xué)院數(shù)據(jù)與通信保護(hù)研究教育中心北京數(shù)字證書認(rèn)證中心有限公司中

:、、

國科學(xué)院軟件所

。

本標(biāo)準(zhǔn)主要起草人荊繼武高能林璟鏘王展馬存慶向繼王躍武夏魯寧查達(dá)仁王平建

:、、、、、、、、、、

王瓊霄詹榜華連一峰

、、。

Ⅲ

GB/T31508—2015

引言

使用電子認(rèn)證服務(wù)進(jìn)行電子交易的實(shí)體主要關(guān)心兩個問題一是交易對象的合法公鑰是什么二是

:;

交易對象的數(shù)字證書的安全性能否用于本交易為了體現(xiàn)第二方面的信息數(shù)字證書中包含了一個由

。,

電子認(rèn)證服務(wù)機(jī)構(gòu)提供的證書策略標(biāo)識它表明了證書持有者公鑰所對應(yīng)的用戶的安全屬性數(shù)字

,()。

證書的依賴方可以通過閱讀相應(yīng)的證書策略文檔來評估證書的安全程度以便正確使用或依賴該證書

,

如僅用于測試的或者僅用于訪問網(wǎng)絡(luò)或者可用于金融交易并有萬元擔(dān)保因此證書策略的

(:,,10)。,

實(shí)施是數(shù)字證書實(shí)際應(yīng)用中不可缺少的一部分也是提供分層次可靠的電子認(rèn)證服務(wù)的基礎(chǔ)之一

,。

目前我國的電子認(rèn)證服務(wù)機(jī)構(gòu)簽發(fā)的數(shù)字證書均未包含證書策略的內(nèi)容即在證書中沒有說明公

,,

鑰可以應(yīng)用在什么場景適用于什么樣的安全需求這導(dǎo)致了證書的使用者對于證書的用途十分茫然

,。,

限制了數(shù)字證書的廣泛應(yīng)用另外由于缺乏數(shù)字證書使用范圍或質(zhì)量的標(biāo)準(zhǔn)各電子認(rèn)證服務(wù)機(jī)構(gòu)證

。,,

書簽發(fā)的安全措施如證書簽發(fā)過程中的身份鑒別物理設(shè)備安全責(zé)任和賠付等也存在較大差距

(:、、)。

這種不一致導(dǎo)致了證書依賴方的許多困惑阻礙了數(shù)字證書的跨區(qū)域跨行業(yè)應(yīng)用限制了應(yīng)用程序直接

,,

獲得證書的安全信息對證書進(jìn)行自動地驗(yàn)證而標(biāo)準(zhǔn)化的證書策略能夠使用戶清晰地認(rèn)識到證書的

,。

質(zhì)量和安全通途方便應(yīng)用系統(tǒng)的開發(fā)設(shè)計(jì)因此對證書策略進(jìn)行規(guī)范和標(biāo)準(zhǔn)化是推進(jìn)電子商務(wù)電

,。,,、

子政務(wù)系統(tǒng)之間互聯(lián)互通的重要一步

。

通過證書策略的標(biāo)準(zhǔn)化設(shè)計(jì)數(shù)字證書策略的分級分類規(guī)范可以為電子認(rèn)證服務(wù)市場規(guī)劃出分級

,,

的多層次的服務(wù)質(zhì)量體系為不同應(yīng)用系統(tǒng)實(shí)現(xiàn)適度的安全服務(wù)從而促進(jìn)電子認(rèn)證服務(wù)機(jī)構(gòu)之間的

、,,

良性競爭提升服務(wù)質(zhì)量推動電子認(rèn)證服務(wù)市場的有序發(fā)展另外隨著證書策略的分級分類逐步的

,,。,

實(shí)施也可以促進(jìn)電子認(rèn)證服務(wù)機(jī)構(gòu)評估和許可工作的規(guī)范化即審查電子認(rèn)證服務(wù)機(jī)構(gòu)是否真正地按

,,

照其證書策略要求的規(guī)范來運(yùn)營是否提供相應(yīng)的安全保障這也是構(gòu)建證書策略分級分類體系的重要

,,

意義

。

Ⅳ

GB/T31508—2015

信息安全技術(shù)公鑰基礎(chǔ)設(shè)施

數(shù)字證書策略分類分級規(guī)范

1范圍

本標(biāo)準(zhǔn)通過分類分級的方式規(guī)范了用于商業(yè)交易設(shè)備和公眾服務(wù)領(lǐng)域的電子認(rèn)證服務(wù)中的種

,、8

數(shù)字證書策略

。

本標(biāo)準(zhǔn)適用于我國電子商務(wù)和公眾服務(wù)中所涉及的數(shù)字證書

。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息安全技術(shù)公鑰基礎(chǔ)設(shè)施數(shù)字證書格式

GB/T20518—2006

信息安全技術(shù)公鑰基礎(chǔ)設(shè)施證書策略與認(rèn)證業(yè)務(wù)聲明框架

GB/T26855—2011

信息安全技術(shù)公鑰基礎(chǔ)設(shè)施互操作性評估準(zhǔn)則

GB/T29241—2012PKI

3術(shù)語和定義

下列術(shù)語和定義適用于本文件

。

31

.

證書簽發(fā)機(jī)構(gòu)certificationauthority

負(fù)責(zé)簽發(fā)證書和維護(hù)證書狀態(tài)的實(shí)體

。

32

.

訂戶注冊機(jī)構(gòu)registrationauthority

負(fù)責(zé)訂戶的標(biāo)識和鑒別批準(zhǔn)或拒絕訂戶的證書申請撤銷申請和掛起申請發(fā)起證書的撤銷和掛

,、,

起的實(shí)體

。

33

.

電子認(rèn)證服務(wù)機(jī)構(gòu)