GB/T 29241-2012
基本信息
标准号: GB/T 29241-2012
中文名称:信息安全技术 公钥基础设施 PKI互操作性评估准则
标准类别:国家标准(GB)
标准状态:现行
出版语种:简体中文
下载格式:.rar .pdf
下载大小:2748KB
标准分类号
关联标准
出版信息
相关单位信息
标准简介
GB/T 29241-2012 信息安全技术 公钥基础设施 PKI互操作性评估准则
GB/T29241-2012
标准压缩包解压密码:www.bzxz.net
标准图片预览
标准内容
ICS35.040
中华人民共和国国家标准
GB/T29241—2012
信息安全技术
公钥基础设施
PKI互操作性评估准则
Information security technologyPublic key infrastructurc-PKi interoperability evaluation criteria2012-12-31发布
中华人民共和国国家质量监督检验检疫总局中国国家标化管理委员会
2013-06-01实施
1范围
规范性引用文件
3术语和定义
缩略语
5评估模型
5. 1PKIT操作性能
评估对象
互操作能力评估
互操作能力等级划分原则
6评估内容
第一级:格式止确级
第二级:内容明确级
第三级:功能完善级
第四级:执行标准化级
第五级:安全审计级
附录A(规范性附录)PKI系统评估内容列表附录3(规范性附录)PKI应用评估内齐列表次
GB/T 29241—2012
本标准按照GB/T1.1—2009规则起草。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。GB/T29241—2012下载标准就来标准下载网
本标准起革单位:中国科学院数据与通信保护研究教育中心、赞嘉电子科技(北京)有限公司。本标准主要起草人:荆继武、马存庆、林璟、查达仁、吴晶晶、张帆、王平建。GB/T 29241-2012
PKI系统作为普适性的安全基础设施,同时为各种不同的应用投供安全服务。通过PKI提供的安全服务信息,PKI应用可以获得真实性、保密性、完整性.非否认等安全服务。由于PK1系统的设计建设和运行维护所依据的标准和规范具有较大的灵活性和可选自由度,应用从PK1系统获得的服务数据也就具有一定的不确定性。证书私有扩展大量使用和证书策略意义不明确,撤销状态信息不全面等问题,都会影响安全服务的使用,甚至导致应用儿法获得安全服务,上述问题,对于跨域的PKI亦务北为突出。由丁跨域的PKI应用和PKI系统通常由不同的厂商或设计开发人员实现,双力对于各种服务数据的理解和使用不一致更加明显,导致一者之间难以操作,难以获取安全服务。
当PKI系统进行五联互通时,就必须考虑PKI系统为跨域PK1应用提供安全服务信息的水平,也就是PKI系统与PKI应用之间的互操作问题。为更多的跨域应用提供全面的安全服务信息,是PKI系统进行百.操作能力优化和改进的目标。如果PKI系统仅限丁为特定的少数PKI应用提供服务,那么该PKI系统则难以在互联互通中发挥效用。作为一种安全基础设施,PKI系统应该面向各种应用,采取有效的办法提高互操作能力,为网络避信做好全面的安全基。另方面,用户会希望自已的PKI应用能够与更多的PKI系统互操作,有能力从不同的电子认证服务机构获得安全服务。本标准考虑了PKI安全服务相关的各种信息及其性能。PKI系统提供安全服务的方式是生成各种证-的相关信息,包括:证书、证书撤销状态信息、证策略和认证业务声明等。PKI应用就是利用上述信息获得安全服务。安全服务信总的格式是否正确设置、内容是否明确表达、功能体现是否完善、操作过程是否按标准化执行、信息来源是否可靠等问题,都会影响安全服务的提供。本标准分别从PKI系统和PKI应用2个方面,提出了分等级的互操作性评估准则。高等级的PKT系统,能够为更多的PKT应用提供更全面可靠的安全服务。高等级的PKI应用,能够从更多的PKI系统中获取更全面的安全服务。
本标准通过分等级的万操作评估,为PKI系统和PKI应用都指出了收进的方向,将促逊建设和开发具有全面互操作能力的PKI系统和应用,从而为PK1系统的全面T联互通,为最终形成统一的认证体系,奠定坚实的基础。
-rKacadaaiKAca
1范围
信息安全技术公钥基础设施
PKI互操作性评估准则
GB/T 29241—2012
本标准规定了KI系统和KI应用的五个万操作能力等级,完成了分等级的PKI互操作性评估推则,为PKI系统和PKI应用提供了互操作能力等级评估的依据。本标准适用于需要进行跨域互操作的PKI系统和PKI应用.川用于PKI系统和PKI应用的设计,开发、制道、采购、测试、评估、使用等过程。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注凡期的引用文件,仅注口期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T16264.8一2005信息技术放系统互连目录第8部分:公钥和属性证书框架GB/T19713-2005信息技术安全技术公钥基础设施在线证诺状态协议GB/T205182006信息安全技术公销其础设施·数字证书格式GM/T0003—20125M2椭圆曲线公钥密码算法GM/TC004—2012SM3密码杂凑算法RFC3547国特网X.509公钥基础设施:证书策略和认证业务框架(IntcrnctX.509PublicKcyInfrastructuret Certificale Policy and Ccrtification Practices Framework)RFC3709因特网X.509公钥基础设施:X.509证书中的徽标(1nternetX.509PuhlicKcyInfra-structure: Logotypes in X. 5og Certificates)RFC3779用于IP地址和AS标识符的X.509证书扩展(X.509ExtensionsforIPAddressesandAs ldentifiers)
RFC4059因特网X.S09公钥基础设施:担保信息证书扩展(Internetx.50gPublicKeyInfrastructure: Warranty Certificale Fxtension)RFC334支持点对点协议(PPP)和无线局域网(WLAN)鉴别的证书扩展和属性「CertificateExtensions and Attributes Supporting Anthentication in Pcint-to-Point Protouol (PPP) and WirclessLocal Area Networks (WLAN)]
RFC4387因特网X.509公钥基础设施操作协议:通过IITTP访问证书存储(InletnerX.509Public Kcy Infrastructure Operational Protoculs: Ceriilicatr: Store Access via H'I'TP)RF1523用十X.509证书的轻量级月录访问协议(LDAP)模式定义(LightwcightDirectoryAccess Protocol(ll)AP) Schena Definitions for X, 509 Certificates)RFC5280因特网X.509公钥基础设施:证书和证书撤销列表(CRL)概要(IntermerX.509PublicKcy Infrastructute: Certificate and Certificale Revaratinn List (CRL) Profile)3术语和定义
GB/T16264.8--2005界定的以及下列术语和定义适用于本文件。1
GB/T 29241—2012
PKI 系统 PKI syslem
提供证书的颁发以及相关服务的软硬件设备和人员的总称。3.2
PKI 应用 PKI application
使用数字证书以及相关信息,获得安全服务的软硬件系统。3.3
PKI应用管理者administratorafPKIapplication配置、控制、操作和使用PKI应用的人员。3.4
PKI互操作性能PKIinteroperability两个以上(含)PKI系统或PKI应用正确地交互和使用证I以及相关安全信息的性能3.5
完全互操作PkI系统fullyinleroperablePKIsystem概念性的PKI系统,能够与所有PKI应用实现完全的万操作。3.6
完全互操作PKI应用fullyinleruperablePKIapplication概念性的PKI应用-能够与所有PKI系统实现完全的互操作。3.7
PKI互操作能力等级PKI interoperability level特定PKI系统与完全PKI应用的PKI互操作性能的量化结果,或者是特定PKI应用与完全PKI系统的PKT互操作性能的量化结果。4缩略语
下列缩略语适用于本文件
基本编码规则(BasicEncodingRules)证认证机构(CertificateAuthority)证书策略(CertificateFolicy)认证业务声明(CertifirationPracticeStatement)证书撤销列表(CertificateRevocationList)可辨编码规则(DistinguishedEncodingRules)可辨别名称(DistinguishedName)完全互操作PKl应用(FullyinteroperablePKIApplicntion)完全T操作 PKI系统 (Fully intcroperable: PKI Syslein)超文本传输协议(HyperTextTransferProtocol)互操作能力等级(InteruperabilityIevel)互操作能力第·级(lntcruperabilityLevel1)互操作能力第二级(InteroperabilityLevel2)互操作能力第三级(InteroperabilityIeve:l3)互操作能力第四级(InteroperabilityIevel4)万操作能力第五级(Interopcrability Ltvel 5)轻量级日录访向协议(1.ighrweightL)irecturyAccessProtocol)rrKaicaOnaiKAca
5评估模型
在线证书状态协议(Online Certificate Status Protocul)对象标识符(OhjcctIdentifier)相对可辨别名称(RelativcDistinguishedName)评估对象(Targel of Evaluatian)统一资源标识符(Universal ResourceIdentifier)5.1PK1互操作性能
GB/T 29241—2012
PKI互操作性能是指两个以上(含)PKI 系统或PK1 应用正确地交互和使用证书以及相关安全信息的性能(在不引起混滑的情况下,木标准将PKI互操作性能简称为互操作性)。万.操作性同时取决于参加事务过程的PKI系统和PKI应用:PKI系统提供的信息不足,或者FKI应用所能理解接受的信息不足,都可能导致事务失败、无法获取安全服务。互操作性具有相对性,与参加事务过程的对象相关。相同的PKI系统,与不同的PKI应用进行事务时,其互操作性可能完全不一样。同样,相同的PKI应用,与不同的PKI系统进行事务时,其互操作性也可能完余不样。
改进PKI系统和PKI应用,使二者对FKI安金服务相关信息的理解趋于一致,能够提高互操作性。但是,由于方操作性的相对性,针对某一些特定事务的改进,可能反而会导致其他事务的互操作性降低例如,对某PKI应用app-1进行改进,使其与某PKI系统sys-1其有更好的互操作性,会同时导致app-1与另一个PKI系统sys-2的互操作性大大降低。所以,盲日的改进反而有可能导致互操作性的整体下降,
本标准通过分等级的互操作评估,同时为PKI系统和PK1应用指出了改进PKI互操作能力等级的方向(在不引起混滑的情况下,本标准将PKI互操作能力等级简称为万.操作能力).促进建设和开发具有企面互操作能力的PKI系统和 PKI应用。5.2评估对象
本标准的评估对象而以是PKl系统或者PKI应用。本标准分别针刘PK1系统和PK1应用给出了不同等级万操作能力的要求。本标准中的PKI系统和PKI应用是按照评估对象在事务中所起作用来区分:PK1系统在事务巾提供数字证书的颁发以及相关服务;PKI应用在事务中使用数字证书以及相关信息,获得安全服务。本标准所指的PKI系统和PKI应用不一定与现实概念中的PKI系统和PKI应用完全对应。例如,当某个CA系统间其他的PKI系统请求信息以获得安全服务时.则该CA系统在本标准中被视为PKI应用。当该CA系统提供数字证书服务时,划被视为PKI系统。5.3互操作能力评估
互操作能力是PK1系统或者PKI应用白身的性能,体现了评估对象的自身属性。与五操作性不同,互操作能力具有确定性,与事务的对象无关。对于特定的PKI系统或者PK1应用.即使在不同的事务中,它的五操作能力也是确定不变的。虽然互操作能力与特定的事务无关,但是再操作能力只有在事务中才能表现出来。从概念而言,互操作能力是TOE与所有PKI系统或者所有PKI应用进行事务的互操作性的综合度量。也就是说,需要与所有PKI应用或者所有PKI系统进行事务,才可以准确地量化PK1系统的安全服务对所有PK1应用的可用程度,或者PKI应用对所有PKI系统所提供的安全服努的理解接受能力。
与所有PK1系统或者所有PKI应用进行亦务·才能够准硫地量化TOF的互操作能力,但是使用3
GB/T 29241—2012
这种方法来评估万操作能力是不切合现实的。所以,本标准引人了完全互操作能力实体(完个互操作PKI系统和完全互操作PKI应用)的概念,通过评估TOF与完全互操作能力实体进行班务时影响互操作性的各种因素(即确定了与完个互操作能力实体的五操作性),从而确定TE的互操作能力等级IOL
互操作性和互操作能力具有如下特性:不同IOI.的PKI系统与PKI应用逊行事务时,其互操作性取决于IO低的方。当TOE与完全万操作能力实体进行事务时,事务的互操作性就只取决丁TOF的互操作能力,所以通过与完全互操作能力实休进行事务,能够得到TOE的互操作能力。即有如下,其中,I()表示事务的互操作性能,IOL)表示评估对象的T.操作能力等级,aPP表示被评估的PKI应用,sy表示被评估的PK1系统」:I(F-SYS,app)=IOI.(app)
I(sys,F-APP) =IOL(sys)
IO)L是TOE与完全互操作能力实体进行事务时的行.操作性能的量化,体现厂全部事务中被理解和使用的安全信息的程度,也体现了被评估的 PKI系统或者 PKI应用的与操作能力。本标准定义了五个互操作能力等级,高等级的PKI系统或者PKI应用其有更全面的互操作能力。本标准给出了各级1心L的互操作能力要求,也相当于指出了提高互操作能力的改进方向,需要注意:TOE互操作能力的提高改进并不意味省能够提高与该TOE的所有事务的操作性,而是说明该T()E可与更多的PKI系统或PKI应用更好地迹行亦务。5.4互操作能力等级划分原则
5.4.1划分依据
FK1系统与PKI应用在事务中交换和使用的倍息十要包括:e证阝信息。证书是PKI系统提供安全服务的最基本于段,也是PKI应用获得安全服务的最基本途径。证书信息是安全服务所需的基本信息,各种安全服务(真实性、保密性.完整性,非否认等)都是通过证书实现的,
e证书撤销状态信息。证书撤销状态信息是证书信息的补充,用于验证证书信息在特定的时刻是否有效。PKI应用在使用证书上的信息之前,需要检查其撤销状态,确定该证书是否有效。常见的证书撤销状态信息是CRL和OCSP。。其他多种辅助信息。辅助信息包括供PKI系统和PKI应用使用的CP/CPS、第三方审查认证结果、设计文档等等。CP/CPS作为证书信息的补充,用来表明证书上信息的可靠程度和适用范围等安全程度信息。PKI应用在使用安全服务之前,需要在PKI应用管理者的直接或者间接指导下,确定证书信息的安全程度是否适用、是否满足应用需求。依据各1OL的互操作能力要求的显著特点,本标准将五个1O1.等级分别称为格式正确级,内容明确级,功能完善级,执行标准化级和安全审计级:需要注意:IOL名称并不完全表示该等级的互操作能力要求的全部内容,只是给出了该级别的评估对象的重要特点,表示了互操作能力等级的主要要求。例如,IOL1格式正确级表亦本IOI的主要要求是格式正确,但是IOLI同时也对互操作能力的其他方面提出了要求。5. 4. 2 PKI 系统
PKI系统提供PKI应用使用的安全信息,其互操作能力表现为提供安全信息的全面程度:PKI系统的五个万操作能力等级逐一递逊,前者是后者的基础,后者是前者的增强。高等级的PKI系统能够为更大范制的PK1应用提供更多的可用安全服务信息:-iiKicaiaiKAca-
·IO1I的PKI系统能提供格式正确的信息:,[OL2的PKT系统能提供内容明确的信息,并满足IOI.1的要求;GB/T 29241—2012
·I0L3的PK1系统能执行完善的功能和提供对应的信息,并满足1OL2的要求;,IOL4的PKI系统能提供标准化执行而产尘的信息,并满足IOL3的要求:,TOL5的PKI系统能提供产生过程可中计的信.息,并满足IOL.1的要求。)I)L1格式正确级
本级PKI系统的重要特征是能够颁发格式正确的证书和CRL。格式正确是PKI应用接受安全服务信息的基础。如果格不正确,PK1应用就无法获取信息,相当于PKI系统提供的安全服务是不可用的。格式正确级主要考虑证书和CRL的基本格式、PKI系统的基本功能.确保达到本等级的PKI实体拥有基本的五.操作能力,能够正确生成证书和CRI,以及正确地使用私有拓展项。
b)1012 内容明确级
本级PKI系统的重要特征是能够颁发内容明确的证书和CRL,通过对证书扩展项和CRI.扩展项的使用,提供明确的信息:具有CPS,明确地描述证书服务过程;能够支持增量CRL或者CCSP,支持LDAP或者 HTTP发布证和 CRI.。安全服务依赖于从PKI系统获取的信息,充分明确的信息使更多的PKT应用能够接受安全服务。内容明确级要求PK1系统必须能够产生重要的证书和CRL扩项,支持增量CRL或者OCSP,间且对格式正确级中提出的各项评估指标有了进-步限制,明确了安余服务信息的内容。c)IOL3功能完善级
本级FKI系统的重要特征是具备证书服务的完善功能,能够同时支持增量CR1.和OCSP,同时支持I.DAP和IITTP发布证书和CRL.正确地设定证书扩展项,CRL扩展项及OCSP扩展项的值:具有CP,提供包含重要基本内容章节的CP/C:PS.并具备执行CP/CPS的各种操作的能力,功能完善级在内容明确级的基础.上增加了对CP和PKI系统操作的评估,协助PKI应用管理者判断PKI系统的安全服务能否适用丁特定的PKI应用。证书扩展项和CR.扩展项为PKI应用提供辅助信息,使得PKI应用史加准确地使用PKI系统提供的服务:功能完善的PKI系统应该能够支持所有的扩展项,并可正确有效地设定各种扩展项的取值,从而实现更加完善的功能。(l)TO1.4执行标难化级
本级PKI系统的重要特征是证书服务过程按照标准化流程执行.提供标准格式的完整CP/CPS,并按照标准流程执行该CP/CPS的客种操作。执行标准化级在功能完善级的基础1.加强了对PKI系统操作流程的要求,使得安服务信息更加标准化。按照标准化流程执行的PKI系统能更顺利地为不同的PKI应用提供服务,标准格式的完整CP/CPS更容易获得PKI应用管理者的认可。e)IOt.5安全审计级
本级PKI系统的重要特征是可审计的证书服务管理过程,在标准化服务的基础上,逃一步提供额外的叫供第三方检查的中计证明,并且在CP/CPS中有相应的安全程度声明。安全审计级在执行标准化级的基础上加强厂对PKI系统可审计项目的评估,对各评估项做广严格的限定,从而使互操作能力达到最强。通过可供第三方检查的中证明,PKI系统将会提供更安全可靠的证书服务,能够同时满足不同应用的安全需求(包括高安全程度需求和低安全程度需求),适用丁最人范围的 PKI应用。
5. 4. 3 PKI 应用
PKI应用直接或者问接地接受PKI系统提供的安全信息,其互操作能力表现为接受和理解安全信息的程度。
GB/T 29241--2012
PKI应用的五个操作能力等级逐一递进,前者是后者的基础.后者是前者的增强。高等级的PKI应用支持更大范国的PK1系统,接受更多的可用安全服务信息:1OI.1的PKI应用能接受格式正确的信息;·
1OL2的PKI应用能明确地获取和解释安全服务信息,并满足IOL1的要求:IOL3的PKI应用能完善助执行安全服务信息所对应的功能,并满足IOL2的要求;IO)L4的PKI应用按照标准化流程执行功能,并满足IOL3的要求;IO[.5的PKI应用以可审计的方式执行功能,并满足TO1.4的要求。a)10r.1格式正确级
本级PKI应用能够正确理解基本格式的证书和CRI.。支持证[和CRL基本格式是PKI应用获取安全服务的苯础。对证阝和CRI.的基本格式正确解析之后,PKI应用才能够正确地使用证书,格式正确级主要考虑对证B和CRI的基本格式支持,确保达到本等级的PKI实体能够使用证书和CR1.,能够使用基本的安全服务信息。b)1O12内容明确级
本级PKI应用能正确理解证书和CRI.中的各项内容,支持重要的证书扩展顶和CRL扩展项,能够使用增量CRL或者OCSP.使用LDAP或者HTTP获取证书和CRE.。获得更充分明确的信息(包括各种重要护展),PKI应用将能够更全面地接受安全服务,内容明确级要求PKI应用必须能够支持重要扩展项,从而明确地理解安个服务信息。)10L3功能完善级
本级PKI应用功能完善,能够完善地支持解析证书和CRL,包括各种证书护展项和CRI.扩展项,支特增量CRL和(OCSP功能:使用L.IDAP和HTTF获取证和CR1.功能完善级在内容明确级的基础上增加了对扩展项使用的评估,功能完善的PKI应用应该能够支持所有的护展项,能够处理各种扩展项的不同取值,从而实现史加完善的功能。d)IOL4执行标准化级
本级PKI应用应按照标准化的流程执行证书查询、下载与验证等操作。按照标准化流程执行的PKI应用能更顺利地从不同的PKI系统获得服务,标准化的执行流程会更容易获得PKI应用管理者的认可,执行标准化级在功能完善级的基础上强了对PKI应用操作流程的要求,使得获取和使用安全服务信息史加标准化,更为准确。e)IOL5安全审讲级
本级PKI应用可以提供应用程序的完全审计记录以及额外的可供第三方检查的保障。通过提供可供第三方检查的保障和完全审计记录,PKI应用的安全可靠性得到保证,适用于最大范国的PK1系统。安全审计级在执行标准化级的础上加强了对PKI应用可审计项日的评估,对各评估项做了最严格的限定。
第6章中将规定PKI系统和PKI应用各个互操作能力等级的具体要求,并在附录A和附录B中以表格的形式列出。
6评估内容
第一级:格式正确级
6. 1. 1 PKI 系统
6. 1. 1. 1
编解码方式
对编解码方式的要求下:
a)编码方式
-rrKicadhaiKAca
应使用BER编码,
b)解码方式
应支持 PER解码。
6. 1. 1.2证书格式
GB/T29241--2012
证书基本项的格式和编码应符合GB/T20518一2006的要求。对证书格式的要求如下:a)版本version
取值应为v1(0)、v2(1)或 v3(2)。h)序列号serialNumber
1)取值应为自然数;
2)对于相同CA颁发的证书,每个证书序列号应只出现一次;3)长度应不大于20字节。
签名算法 signature
1)应使用国家密码管理局批准的算法。经国家密码管理局许可后可使用下列算法中的一种:SM3 with SM2(见 GM/T 0C03 2012 和 GM/T 0004—2012),(MD2,MD4,MD5,SHA 1,SHA-224,SHA-256,SHIA-384,SHA-512) with RSA,(SHA-1,SHA-224,SHA256)with DSA,(SHA-I,SHA-221.SHA-256,SHA-381.SHA-512)with FCDSA,(SHA-1,SHA-224,SHA256,SHA-384,SHA-512)withRSASSA-PSS,GOSTR34.1J-94with (G0ST R 34.10-94,GOSTR 34.10-2001):2)本项取值应与signatureAlgorithm项取值一致。rl)颁发者issuer
I)应为非空的 X.5C1 DN;
RDN 应使用下列属:: country, organizaliun,organizaional unit, distinguished name2)
qualifier,stareor provincc nane,common name,serial number.locality,title,surname.given nameinilials,pseudlonym,gcncration gualifier.domain component,或 etnail arl-dress;
3)每个RDN应只有一个属性值。e)有效期validity
1)应对2049年以前的时间按照UT(Timc编码,2050年(含)以后的时问按照Generalized-Time编码;
2)notAfter子项衣示的时间应比nulBefore子项表示的时阅晚:3)使用GeneralizedTime格式时.不应编码为999912312359597.[ 主体 subjcct
RI)N应使用下列属性:country,organization,urgauizational unit,distinguishednamequalifier,stale or province name,common name, serial number,locality, lile, surnamc.given name,initials.pseudanyrn, generarion qualificr,damain component, email ad-dress;
每个RDN应只有一个属性值:
3)本项的DN为空时,subjeciAitName扩展项应包含士体名称信息,且标记为关键扩展。g)主体公钥信息smbjcetPublicKeylnfo应使用国家密码管埋局批准的算法。经国家密码管理局许可后可使用下列算法中的一种:SM2.RSA,RSASSAPSS,RSAES-OAFP,DSA,DH,KEA,ECDSA,ECDH,ECMQV.GOSTR 34. 10-94,G0ST R 34.10-2001.7
GB/T 29241—2012
h)颁发者唯标识符issuerUniqueID当版本为v1(0)时,不应使用本项。主体唯一标识符subjcctUniglciD当版本为v1(0)时,不应使用本项。6.1.1.3证书扩展
私有扩展应标记为非关键扩展。6. 1. 1. 4 CRI. 格式
CRI.基本项的格式和编码应符介RFC5280的要求。对CRI.格式的要求如下:a)版本version
不应使用本项或取值为v2(1)
b)签名算法signaturc
1)应使用国家密码管理局批准的算法。经国家密码管理局许可后可使用下列算法中的:种;SM3 with SM2.(MD2,MD4, MD5, SHA-1, SHA-224,SIIA-256, SHA-384,SHA512) with RSA, (SHA-1.SHA-221,SHA-256) with DSA,(SHA-1,SHA-224, SHA-256,SHA-384,SHA512)withECDSA,(SIIA-1,SHA-224,SHA256,SHA-384,SHA-512) wi1h RSASSA-PSS.GOST R 34. 11-94 with (GOST R 31. 10-94,GOST R 34. 10-2001);
2)本项取值应与signatureAlgorithm项取值致,c)颁发者issuer
1)应为非空的X,50 DN;
RDN应使用下列属性:country,organization,organizational unit,distinguished name2)
qualifier,state or province nane,common name,serial number, locality,title,surnamc,given name,initials:pseudonym,generation qualifier.domain component,或 cmail address
3)每个RDN应只有·-个属性值。d)本次更新thisUpdale
应对2049年以前的时间按照UTCTime编码,2050年(含)以后的时间按照(eneralizedTime编码。
e)下次更新 nextLpdate
1)应对2049年以前的时间按照LTCTirme编码,2050年(含)以后的时间按照Generalized-Time编码;
2)本项表示的时间应比ihisUpdate项表示的时间晚。f)被撒销的证书revokedCerlificates没有被撤销证书时,不应使用本项。6.1.1.5系统功能要求
对系统功能的要求如下:
a)颁发证书
系统应具备此功能。
颁发证书撤销状态信息
系统应颁发完全CRI.。
-rrKacaOaiKAca
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国国家标准
GB/T29241—2012
信息安全技术
公钥基础设施
PKI互操作性评估准则
Information security technologyPublic key infrastructurc-PKi interoperability evaluation criteria2012-12-31发布
中华人民共和国国家质量监督检验检疫总局中国国家标化管理委员会
2013-06-01实施
1范围
规范性引用文件
3术语和定义
缩略语
5评估模型
5. 1PKIT操作性能
评估对象
互操作能力评估
互操作能力等级划分原则
6评估内容
第一级:格式止确级
第二级:内容明确级
第三级:功能完善级
第四级:执行标准化级
第五级:安全审计级
附录A(规范性附录)PKI系统评估内容列表附录3(规范性附录)PKI应用评估内齐列表次
GB/T 29241—2012
本标准按照GB/T1.1—2009规则起草。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。GB/T29241—2012下载标准就来标准下载网
本标准起革单位:中国科学院数据与通信保护研究教育中心、赞嘉电子科技(北京)有限公司。本标准主要起草人:荆继武、马存庆、林璟、查达仁、吴晶晶、张帆、王平建。GB/T 29241-2012
PKI系统作为普适性的安全基础设施,同时为各种不同的应用投供安全服务。通过PKI提供的安全服务信息,PKI应用可以获得真实性、保密性、完整性.非否认等安全服务。由于PK1系统的设计建设和运行维护所依据的标准和规范具有较大的灵活性和可选自由度,应用从PK1系统获得的服务数据也就具有一定的不确定性。证书私有扩展大量使用和证书策略意义不明确,撤销状态信息不全面等问题,都会影响安全服务的使用,甚至导致应用儿法获得安全服务,上述问题,对于跨域的PKI亦务北为突出。由丁跨域的PKI应用和PKI系统通常由不同的厂商或设计开发人员实现,双力对于各种服务数据的理解和使用不一致更加明显,导致一者之间难以操作,难以获取安全服务。
当PKI系统进行五联互通时,就必须考虑PKI系统为跨域PK1应用提供安全服务信息的水平,也就是PKI系统与PKI应用之间的互操作问题。为更多的跨域应用提供全面的安全服务信息,是PKI系统进行百.操作能力优化和改进的目标。如果PKI系统仅限丁为特定的少数PKI应用提供服务,那么该PKI系统则难以在互联互通中发挥效用。作为一种安全基础设施,PKI系统应该面向各种应用,采取有效的办法提高互操作能力,为网络避信做好全面的安全基。另方面,用户会希望自已的PKI应用能够与更多的PKI系统互操作,有能力从不同的电子认证服务机构获得安全服务。本标准考虑了PKI安全服务相关的各种信息及其性能。PKI系统提供安全服务的方式是生成各种证-的相关信息,包括:证书、证书撤销状态信息、证策略和认证业务声明等。PKI应用就是利用上述信息获得安全服务。安全服务信总的格式是否正确设置、内容是否明确表达、功能体现是否完善、操作过程是否按标准化执行、信息来源是否可靠等问题,都会影响安全服务的提供。本标准分别从PKI系统和PKI应用2个方面,提出了分等级的互操作性评估准则。高等级的PKT系统,能够为更多的PKT应用提供更全面可靠的安全服务。高等级的PKI应用,能够从更多的PKI系统中获取更全面的安全服务。
本标准通过分等级的万操作评估,为PKI系统和PKI应用都指出了收进的方向,将促逊建设和开发具有全面互操作能力的PKI系统和应用,从而为PK1系统的全面T联互通,为最终形成统一的认证体系,奠定坚实的基础。
-rKacadaaiKAca
1范围
信息安全技术公钥基础设施
PKI互操作性评估准则
GB/T 29241—2012
本标准规定了KI系统和KI应用的五个万操作能力等级,完成了分等级的PKI互操作性评估推则,为PKI系统和PKI应用提供了互操作能力等级评估的依据。本标准适用于需要进行跨域互操作的PKI系统和PKI应用.川用于PKI系统和PKI应用的设计,开发、制道、采购、测试、评估、使用等过程。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注凡期的引用文件,仅注口期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T16264.8一2005信息技术放系统互连目录第8部分:公钥和属性证书框架GB/T19713-2005信息技术安全技术公钥基础设施在线证诺状态协议GB/T205182006信息安全技术公销其础设施·数字证书格式GM/T0003—20125M2椭圆曲线公钥密码算法GM/TC004—2012SM3密码杂凑算法RFC3547国特网X.509公钥基础设施:证书策略和认证业务框架(IntcrnctX.509PublicKcyInfrastructuret Certificale Policy and Ccrtification Practices Framework)RFC3709因特网X.509公钥基础设施:X.509证书中的徽标(1nternetX.509PuhlicKcyInfra-structure: Logotypes in X. 5og Certificates)RFC3779用于IP地址和AS标识符的X.509证书扩展(X.509ExtensionsforIPAddressesandAs ldentifiers)
RFC4059因特网X.S09公钥基础设施:担保信息证书扩展(Internetx.50gPublicKeyInfrastructure: Warranty Certificale Fxtension)RFC334支持点对点协议(PPP)和无线局域网(WLAN)鉴别的证书扩展和属性「CertificateExtensions and Attributes Supporting Anthentication in Pcint-to-Point Protouol (PPP) and WirclessLocal Area Networks (WLAN)]
RFC4387因特网X.509公钥基础设施操作协议:通过IITTP访问证书存储(InletnerX.509Public Kcy Infrastructure Operational Protoculs: Ceriilicatr: Store Access via H'I'TP)RF1523用十X.509证书的轻量级月录访问协议(LDAP)模式定义(LightwcightDirectoryAccess Protocol(ll)AP) Schena Definitions for X, 509 Certificates)RFC5280因特网X.509公钥基础设施:证书和证书撤销列表(CRL)概要(IntermerX.509PublicKcy Infrastructute: Certificate and Certificale Revaratinn List (CRL) Profile)3术语和定义
GB/T16264.8--2005界定的以及下列术语和定义适用于本文件。1
GB/T 29241—2012
PKI 系统 PKI syslem
提供证书的颁发以及相关服务的软硬件设备和人员的总称。3.2
PKI 应用 PKI application
使用数字证书以及相关信息,获得安全服务的软硬件系统。3.3
PKI应用管理者administratorafPKIapplication配置、控制、操作和使用PKI应用的人员。3.4
PKI互操作性能PKIinteroperability两个以上(含)PKI系统或PKI应用正确地交互和使用证I以及相关安全信息的性能3.5
完全互操作PkI系统fullyinleroperablePKIsystem概念性的PKI系统,能够与所有PKI应用实现完全的万操作。3.6
完全互操作PKI应用fullyinleruperablePKIapplication概念性的PKI应用-能够与所有PKI系统实现完全的互操作。3.7
PKI互操作能力等级PKI interoperability level特定PKI系统与完全PKI应用的PKI互操作性能的量化结果,或者是特定PKI应用与完全PKI系统的PKT互操作性能的量化结果。4缩略语
下列缩略语适用于本文件
基本编码规则(BasicEncodingRules)证认证机构(CertificateAuthority)证书策略(CertificateFolicy)认证业务声明(CertifirationPracticeStatement)证书撤销列表(CertificateRevocationList)可辨编码规则(DistinguishedEncodingRules)可辨别名称(DistinguishedName)完全互操作PKl应用(FullyinteroperablePKIApplicntion)完全T操作 PKI系统 (Fully intcroperable: PKI Syslein)超文本传输协议(HyperTextTransferProtocol)互操作能力等级(InteruperabilityIevel)互操作能力第·级(lntcruperabilityLevel1)互操作能力第二级(InteroperabilityLevel2)互操作能力第三级(InteroperabilityIeve:l3)互操作能力第四级(InteroperabilityIevel4)万操作能力第五级(Interopcrability Ltvel 5)轻量级日录访向协议(1.ighrweightL)irecturyAccessProtocol)rrKaicaOnaiKAca
5评估模型
在线证书状态协议(Online Certificate Status Protocul)对象标识符(OhjcctIdentifier)相对可辨别名称(RelativcDistinguishedName)评估对象(Targel of Evaluatian)统一资源标识符(Universal ResourceIdentifier)5.1PK1互操作性能
GB/T 29241—2012
PKI互操作性能是指两个以上(含)PKI 系统或PK1 应用正确地交互和使用证书以及相关安全信息的性能(在不引起混滑的情况下,木标准将PKI互操作性能简称为互操作性)。万.操作性同时取决于参加事务过程的PKI系统和PKI应用:PKI系统提供的信息不足,或者FKI应用所能理解接受的信息不足,都可能导致事务失败、无法获取安全服务。互操作性具有相对性,与参加事务过程的对象相关。相同的PKI系统,与不同的PKI应用进行事务时,其互操作性可能完全不一样。同样,相同的PKI应用,与不同的PKI系统进行事务时,其互操作性也可能完余不样。
改进PKI系统和PKI应用,使二者对FKI安金服务相关信息的理解趋于一致,能够提高互操作性。但是,由于方操作性的相对性,针对某一些特定事务的改进,可能反而会导致其他事务的互操作性降低例如,对某PKI应用app-1进行改进,使其与某PKI系统sys-1其有更好的互操作性,会同时导致app-1与另一个PKI系统sys-2的互操作性大大降低。所以,盲日的改进反而有可能导致互操作性的整体下降,
本标准通过分等级的互操作评估,同时为PKI系统和PK1应用指出了改进PKI互操作能力等级的方向(在不引起混滑的情况下,本标准将PKI互操作能力等级简称为万.操作能力).促进建设和开发具有企面互操作能力的PKI系统和 PKI应用。5.2评估对象
本标准的评估对象而以是PKl系统或者PKI应用。本标准分别针刘PK1系统和PK1应用给出了不同等级万操作能力的要求。本标准中的PKI系统和PKI应用是按照评估对象在事务中所起作用来区分:PK1系统在事务巾提供数字证书的颁发以及相关服务;PKI应用在事务中使用数字证书以及相关信息,获得安全服务。本标准所指的PKI系统和PKI应用不一定与现实概念中的PKI系统和PKI应用完全对应。例如,当某个CA系统间其他的PKI系统请求信息以获得安全服务时.则该CA系统在本标准中被视为PKI应用。当该CA系统提供数字证书服务时,划被视为PKI系统。5.3互操作能力评估
互操作能力是PK1系统或者PKI应用白身的性能,体现了评估对象的自身属性。与五操作性不同,互操作能力具有确定性,与事务的对象无关。对于特定的PKI系统或者PK1应用.即使在不同的事务中,它的五操作能力也是确定不变的。虽然互操作能力与特定的事务无关,但是再操作能力只有在事务中才能表现出来。从概念而言,互操作能力是TOE与所有PKI系统或者所有PKI应用进行事务的互操作性的综合度量。也就是说,需要与所有PKI应用或者所有PKI系统进行事务,才可以准确地量化PK1系统的安全服务对所有PK1应用的可用程度,或者PKI应用对所有PKI系统所提供的安全服努的理解接受能力。
与所有PK1系统或者所有PKI应用进行亦务·才能够准硫地量化TOF的互操作能力,但是使用3
GB/T 29241—2012
这种方法来评估万操作能力是不切合现实的。所以,本标准引人了完全互操作能力实体(完个互操作PKI系统和完全互操作PKI应用)的概念,通过评估TOF与完全互操作能力实体进行班务时影响互操作性的各种因素(即确定了与完个互操作能力实体的五操作性),从而确定TE的互操作能力等级IOL
互操作性和互操作能力具有如下特性:不同IOI.的PKI系统与PKI应用逊行事务时,其互操作性取决于IO低的方。当TOE与完全万操作能力实体进行事务时,事务的互操作性就只取决丁TOF的互操作能力,所以通过与完全互操作能力实休进行事务,能够得到TOE的互操作能力。即有如下,其中,I()表示事务的互操作性能,IOL)表示评估对象的T.操作能力等级,aPP表示被评估的PKI应用,sy表示被评估的PK1系统」:I(F-SYS,app)=IOI.(app)
I(sys,F-APP) =IOL(sys)
IO)L是TOE与完全互操作能力实体进行事务时的行.操作性能的量化,体现厂全部事务中被理解和使用的安全信息的程度,也体现了被评估的 PKI系统或者 PKI应用的与操作能力。本标准定义了五个互操作能力等级,高等级的PKI系统或者PKI应用其有更全面的互操作能力。本标准给出了各级1心L的互操作能力要求,也相当于指出了提高互操作能力的改进方向,需要注意:TOE互操作能力的提高改进并不意味省能够提高与该TOE的所有事务的操作性,而是说明该T()E可与更多的PKI系统或PKI应用更好地迹行亦务。5.4互操作能力等级划分原则
5.4.1划分依据
FK1系统与PKI应用在事务中交换和使用的倍息十要包括:e证阝信息。证书是PKI系统提供安全服务的最基本于段,也是PKI应用获得安全服务的最基本途径。证书信息是安全服务所需的基本信息,各种安全服务(真实性、保密性.完整性,非否认等)都是通过证书实现的,
e证书撤销状态信息。证书撤销状态信息是证书信息的补充,用于验证证书信息在特定的时刻是否有效。PKI应用在使用证书上的信息之前,需要检查其撤销状态,确定该证书是否有效。常见的证书撤销状态信息是CRL和OCSP。。其他多种辅助信息。辅助信息包括供PKI系统和PKI应用使用的CP/CPS、第三方审查认证结果、设计文档等等。CP/CPS作为证书信息的补充,用来表明证书上信息的可靠程度和适用范围等安全程度信息。PKI应用在使用安全服务之前,需要在PKI应用管理者的直接或者间接指导下,确定证书信息的安全程度是否适用、是否满足应用需求。依据各1OL的互操作能力要求的显著特点,本标准将五个1O1.等级分别称为格式正确级,内容明确级,功能完善级,执行标准化级和安全审计级:需要注意:IOL名称并不完全表示该等级的互操作能力要求的全部内容,只是给出了该级别的评估对象的重要特点,表示了互操作能力等级的主要要求。例如,IOL1格式正确级表亦本IOI的主要要求是格式正确,但是IOLI同时也对互操作能力的其他方面提出了要求。5. 4. 2 PKI 系统
PKI系统提供PKI应用使用的安全信息,其互操作能力表现为提供安全信息的全面程度:PKI系统的五个万操作能力等级逐一递逊,前者是后者的基础,后者是前者的增强。高等级的PKI系统能够为更大范制的PK1应用提供更多的可用安全服务信息:-iiKicaiaiKAca-
·IO1I的PKI系统能提供格式正确的信息:,[OL2的PKT系统能提供内容明确的信息,并满足IOI.1的要求;GB/T 29241—2012
·I0L3的PK1系统能执行完善的功能和提供对应的信息,并满足1OL2的要求;,IOL4的PKI系统能提供标准化执行而产尘的信息,并满足IOL3的要求:,TOL5的PKI系统能提供产生过程可中计的信.息,并满足IOL.1的要求。)I)L1格式正确级
本级PKI系统的重要特征是能够颁发格式正确的证书和CRL。格式正确是PKI应用接受安全服务信息的基础。如果格不正确,PK1应用就无法获取信息,相当于PKI系统提供的安全服务是不可用的。格式正确级主要考虑证书和CRL的基本格式、PKI系统的基本功能.确保达到本等级的PKI实体拥有基本的五.操作能力,能够正确生成证书和CRI,以及正确地使用私有拓展项。
b)1012 内容明确级
本级PKI系统的重要特征是能够颁发内容明确的证书和CRL,通过对证书扩展项和CRI.扩展项的使用,提供明确的信息:具有CPS,明确地描述证书服务过程;能够支持增量CRL或者CCSP,支持LDAP或者 HTTP发布证和 CRI.。安全服务依赖于从PKI系统获取的信息,充分明确的信息使更多的PKT应用能够接受安全服务。内容明确级要求PK1系统必须能够产生重要的证书和CRL扩项,支持增量CRL或者OCSP,间且对格式正确级中提出的各项评估指标有了进-步限制,明确了安余服务信息的内容。c)IOL3功能完善级
本级FKI系统的重要特征是具备证书服务的完善功能,能够同时支持增量CR1.和OCSP,同时支持I.DAP和IITTP发布证书和CRL.正确地设定证书扩展项,CRL扩展项及OCSP扩展项的值:具有CP,提供包含重要基本内容章节的CP/C:PS.并具备执行CP/CPS的各种操作的能力,功能完善级在内容明确级的基础.上增加了对CP和PKI系统操作的评估,协助PKI应用管理者判断PKI系统的安全服务能否适用丁特定的PKI应用。证书扩展项和CR.扩展项为PKI应用提供辅助信息,使得PKI应用史加准确地使用PKI系统提供的服务:功能完善的PKI系统应该能够支持所有的扩展项,并可正确有效地设定各种扩展项的取值,从而实现更加完善的功能。(l)TO1.4执行标难化级
本级PKI系统的重要特征是证书服务过程按照标准化流程执行.提供标准格式的完整CP/CPS,并按照标准流程执行该CP/CPS的客种操作。执行标准化级在功能完善级的基础1.加强了对PKI系统操作流程的要求,使得安服务信息更加标准化。按照标准化流程执行的PKI系统能更顺利地为不同的PKI应用提供服务,标准格式的完整CP/CPS更容易获得PKI应用管理者的认可。e)IOt.5安全审计级
本级PKI系统的重要特征是可审计的证书服务管理过程,在标准化服务的基础上,逃一步提供额外的叫供第三方检查的中计证明,并且在CP/CPS中有相应的安全程度声明。安全审计级在执行标准化级的基础上加强厂对PKI系统可审计项目的评估,对各评估项做广严格的限定,从而使互操作能力达到最强。通过可供第三方检查的中证明,PKI系统将会提供更安全可靠的证书服务,能够同时满足不同应用的安全需求(包括高安全程度需求和低安全程度需求),适用丁最人范围的 PKI应用。
5. 4. 3 PKI 应用
PKI应用直接或者问接地接受PKI系统提供的安全信息,其互操作能力表现为接受和理解安全信息的程度。
GB/T 29241--2012
PKI应用的五个操作能力等级逐一递进,前者是后者的基础.后者是前者的增强。高等级的PKI应用支持更大范国的PK1系统,接受更多的可用安全服务信息:1OI.1的PKI应用能接受格式正确的信息;·
1OL2的PKI应用能明确地获取和解释安全服务信息,并满足IOL1的要求:IOL3的PKI应用能完善助执行安全服务信息所对应的功能,并满足IOL2的要求;IO)L4的PKI应用按照标准化流程执行功能,并满足IOL3的要求;IO[.5的PKI应用以可审计的方式执行功能,并满足TO1.4的要求。a)10r.1格式正确级
本级PKI应用能够正确理解基本格式的证书和CRI.。支持证[和CRL基本格式是PKI应用获取安全服务的苯础。对证阝和CRI.的基本格式正确解析之后,PKI应用才能够正确地使用证书,格式正确级主要考虑对证B和CRI的基本格式支持,确保达到本等级的PKI实体能够使用证书和CR1.,能够使用基本的安全服务信息。b)1O12内容明确级
本级PKI应用能正确理解证书和CRI.中的各项内容,支持重要的证书扩展顶和CRL扩展项,能够使用增量CRL或者OCSP.使用LDAP或者HTTP获取证书和CRE.。获得更充分明确的信息(包括各种重要护展),PKI应用将能够更全面地接受安全服务,内容明确级要求PKI应用必须能够支持重要扩展项,从而明确地理解安个服务信息。)10L3功能完善级
本级PKI应用功能完善,能够完善地支持解析证书和CRL,包括各种证书护展项和CRI.扩展项,支特增量CRL和(OCSP功能:使用L.IDAP和HTTF获取证和CR1.功能完善级在内容明确级的基础上增加了对扩展项使用的评估,功能完善的PKI应用应该能够支持所有的护展项,能够处理各种扩展项的不同取值,从而实现史加完善的功能。d)IOL4执行标准化级
本级PKI应用应按照标准化的流程执行证书查询、下载与验证等操作。按照标准化流程执行的PKI应用能更顺利地从不同的PKI系统获得服务,标准化的执行流程会更容易获得PKI应用管理者的认可,执行标准化级在功能完善级的基础上强了对PKI应用操作流程的要求,使得获取和使用安全服务信息史加标准化,更为准确。e)IOL5安全审讲级
本级PKI应用可以提供应用程序的完全审计记录以及额外的可供第三方检查的保障。通过提供可供第三方检查的保障和完全审计记录,PKI应用的安全可靠性得到保证,适用于最大范国的PK1系统。安全审计级在执行标准化级的础上加强了对PKI应用可审计项日的评估,对各评估项做了最严格的限定。
第6章中将规定PKI系统和PKI应用各个互操作能力等级的具体要求,并在附录A和附录B中以表格的形式列出。
6评估内容
第一级:格式正确级
6. 1. 1 PKI 系统
6. 1. 1. 1
编解码方式
对编解码方式的要求下:
a)编码方式
-rrKicadhaiKAca
应使用BER编码,
b)解码方式
应支持 PER解码。
6. 1. 1.2证书格式
GB/T29241--2012
证书基本项的格式和编码应符合GB/T20518一2006的要求。对证书格式的要求如下:a)版本version
取值应为v1(0)、v2(1)或 v3(2)。h)序列号serialNumber
1)取值应为自然数;
2)对于相同CA颁发的证书,每个证书序列号应只出现一次;3)长度应不大于20字节。
签名算法 signature
1)应使用国家密码管理局批准的算法。经国家密码管理局许可后可使用下列算法中的一种:SM3 with SM2(见 GM/T 0C03 2012 和 GM/T 0004—2012),(MD2,MD4,MD5,SHA 1,SHA-224,SHA-256,SHIA-384,SHA-512) with RSA,(SHA-1,SHA-224,SHA256)with DSA,(SHA-I,SHA-221.SHA-256,SHA-381.SHA-512)with FCDSA,(SHA-1,SHA-224,SHA256,SHA-384,SHA-512)withRSASSA-PSS,GOSTR34.1J-94with (G0ST R 34.10-94,GOSTR 34.10-2001):2)本项取值应与signatureAlgorithm项取值一致。rl)颁发者issuer
I)应为非空的 X.5C1 DN;
RDN 应使用下列属:: country, organizaliun,organizaional unit, distinguished name2)
qualifier,stareor provincc nane,common name,serial number.locality,title,surname.given nameinilials,pseudlonym,gcncration gualifier.domain component,或 etnail arl-dress;
3)每个RDN应只有一个属性值。e)有效期validity
1)应对2049年以前的时间按照UT(Timc编码,2050年(含)以后的时问按照Generalized-Time编码;
2)notAfter子项衣示的时间应比nulBefore子项表示的时阅晚:3)使用GeneralizedTime格式时.不应编码为999912312359597.[ 主体 subjcct
RI)N应使用下列属性:country,organization,urgauizational unit,distinguishednamequalifier,stale or province name,common name, serial number,locality, lile, surnamc.given name,initials.pseudanyrn, generarion qualificr,damain component, email ad-dress;
每个RDN应只有一个属性值:
3)本项的DN为空时,subjeciAitName扩展项应包含士体名称信息,且标记为关键扩展。g)主体公钥信息smbjcetPublicKeylnfo应使用国家密码管埋局批准的算法。经国家密码管理局许可后可使用下列算法中的一种:SM2.RSA,RSASSAPSS,RSAES-OAFP,DSA,DH,KEA,ECDSA,ECDH,ECMQV.GOSTR 34. 10-94,G0ST R 34.10-2001.7
GB/T 29241—2012
h)颁发者唯标识符issuerUniqueID当版本为v1(0)时,不应使用本项。主体唯一标识符subjcctUniglciD当版本为v1(0)时,不应使用本项。6.1.1.3证书扩展
私有扩展应标记为非关键扩展。6. 1. 1. 4 CRI. 格式
CRI.基本项的格式和编码应符介RFC5280的要求。对CRI.格式的要求如下:a)版本version
不应使用本项或取值为v2(1)
b)签名算法signaturc
1)应使用国家密码管理局批准的算法。经国家密码管理局许可后可使用下列算法中的:种;SM3 with SM2.(MD2,MD4, MD5, SHA-1, SHA-224,SIIA-256, SHA-384,SHA512) with RSA, (SHA-1.SHA-221,SHA-256) with DSA,(SHA-1,SHA-224, SHA-256,SHA-384,SHA512)withECDSA,(SIIA-1,SHA-224,SHA256,SHA-384,SHA-512) wi1h RSASSA-PSS.GOST R 34. 11-94 with (GOST R 31. 10-94,GOST R 34. 10-2001);
2)本项取值应与signatureAlgorithm项取值致,c)颁发者issuer
1)应为非空的X,50 DN;
RDN应使用下列属性:country,organization,organizational unit,distinguished name2)
qualifier,state or province nane,common name,serial number, locality,title,surnamc,given name,initials:pseudonym,generation qualifier.domain component,或 cmail address
3)每个RDN应只有·-个属性值。d)本次更新thisUpdale
应对2049年以前的时间按照UTCTime编码,2050年(含)以后的时间按照(eneralizedTime编码。
e)下次更新 nextLpdate
1)应对2049年以前的时间按照LTCTirme编码,2050年(含)以后的时间按照Generalized-Time编码;
2)本项表示的时间应比ihisUpdate项表示的时间晚。f)被撒销的证书revokedCerlificates没有被撤销证书时,不应使用本项。6.1.1.5系统功能要求
对系统功能的要求如下:
a)颁发证书
系统应具备此功能。
颁发证书撤销状态信息
系统应颁发完全CRI.。
-rrKacaOaiKAca
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。