ICS35040

L80.

中華人民共和國國家標準

GB/T29241—2012

信息安全技術公鑰基礎設施

PKI互操作性評估準則

Informationsecuritytechnology—Publickeyinfrastructure—

PKIinteroperabilityevaluationcriteria

2012-12-31發布2013-06-01實施

中華人民共和國國家質量監督檢驗檢疫總局發布

中國國家標準化管理委員會

GB/T29241—2012

目次

前言…………………………

Ⅲ

引言…………………………

Ⅳ

范圍………………………

11

規范性引用文件…………………………

21

術語和定義………………

31

縮略語……………………

42

評估模型…………………

53

互操作性能……………………

5.1PKI3

評估對象……………

5.23

互操作能力評估……………………

5.33

互操作能力等級劃分原則…………

5.44

評估內容…………………

66

第一級格式正確級…………………

6.1:6

第二級內容明確級………………

6.2:10

第三級功能完善級………………

6.3:17

第四級執行標準化級……………

6.4:26

第五級安全審計級………………

6.5:32

附錄規范性附錄系統評估內容列表…………

A()PKI35

附錄規范性附錄應用評估內容列表…………

B()PKI57

Ⅰ

GB/T29241—2012

前言

本標準按照規則起草

GB/T1.1—2009。

本標準由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本標準起草單位中國科學院數據與通信保護研究教育中心贊嘉電子科技北京有限公司

:、()。

本標準主要起草人荊繼武馬存慶林璟鏘查達仁吳晶晶張帆王平建

:、、、、、、。

Ⅲ

GB/T29241—2012

引言

系統作為普適性的安全基礎設施同時為各種不同的應用提供安全服務通過提供的安

PKI,。PKI

全服務信息應用可以獲得真實性保密性完整性非否認等安全服務

,PKI、、、。

由于系統的設計建設和運行維護所依據的標準和規范具有較大的靈活性和可選自由度應用

PKI,

從系統獲得的服務數據也就具有一定的不確定性證書私有擴展大量使用和證書策略意義不明

PKI。

確撤銷狀態信息不全面等問題都會影響安全服務的使用甚至導致應用無法獲得安全服務上述問

、,,。

題對于跨域的事務尤為突出由于跨域的應用和系統通常由不同的廠商或設計開發

,PKI。PKIPKI

人員實現雙方對于各種服務數據的理解和使用不一致更加明顯導致二者之間難以互操作難以獲取

,,,

安全服務

。

當系統進行互聯互通時就必須考慮系統為跨域應用提供安全服務信息的水平也

PKI,PKIPKI,

就是系統與應用之間的互操作問題為更多的跨域應用提供全面的安全服務信息是

PKIPKI。,PKI

系統進行互操作能力優化和改進的目標如果系統僅限于為特定的少數應用提供服務那么

。PKIPKI,

該系統則難以在互聯互通中發揮效用作為一種安全基礎設施系統應該面向各種應用采

PKI。,PKI,

取有效的辦法提高互操作能力為網絡通信做好全面的安全基礎另一方面用戶會希望自己的

,。,PKI

應用能夠與更多的系統互操作有能力從不同的電子認證服務機構獲得安全服務

PKI,。

本標準考慮了安全服務相關的各種信息及其性能系統提供安全服務的方式是生成各

PKI。PKI

種證書的相關信息包括證書證書撤銷狀態信息證書策略和認證業務聲明等應用就是利用上

,:、、。PKI

述信息獲得安全服務安全服務信息的格式是否正確設置內容是否明確表達功能體現是否完善操

。、、、

作過程是否按標準化執行信息來源是否可靠等問題都會影響安全服務的提供

、,。

本標準分別從系統和應用個方面提出了分等級的互操作性評估準則高等級的

PKIPKI2,。PKI

系統能夠為更多的應用提供更全面可靠的安全服務高等級的應用能夠從更多的系

,PKI。PKI,PKI

統中獲取更全面的安全服務

。

本標準通過分等級的互操作評估為系統和應用都指出了改進的方向將促進建設和開

,PKIPKI,

發具有全面互操作能力的系統和應用從而為系統的全面互聯互通為最終形成統一的認證

PKI,PKI,

體系奠定堅實的基礎

,。

Ⅳ

GB/T29241—2012

信息安全技術公鑰基礎設施

PKI互操作性評估準則

1范圍

本標準規定了系統和應用的五個互操作能力等級完成了分等級的互操作性評估

PKIPKI,PKI

準則為系統和應用提供了互操作能力等級評估的依據

,PKIPKI。

本標準適用于需要進行跨域互操作的系統和應用可用于系統和應用的設計

PKIPKI,PKIPKI、

開發制造采購測試評估使用等過程

、、、、、。

2規范性引用文件

下列文件對于本文件的應用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息技術開放系統互連目錄第部分公鑰和屬性證書框架

GB/T16264.8—20058:

信息技術安全技術公鑰基礎設施在線證書狀態協議

GB/T19713—2005

信息安全技術公鑰基礎設施數字證書格式

GB/T20518—2006

橢圓曲線公鑰密碼算法

GM/T0003—2012SM2

密碼雜湊算法

GM/T0004—2012SM3

因特網公鑰基礎設施證書策略和認證業務框架

RFC3647X.509:(InternetX.509PublicKey

Infrastructure:CertificatePolicyandCertificationPracticesFramework)

因特網公鑰基礎設施證書中的徽標

RFC3709X.509:X.509(InternetX.509PublicKeyInfra-

structure:LogotypesinX.509Certificates)

用于地址和標識符的證書擴展

RFC3779IPASX.509(X.509ExtensionsforIPAddressesand

ASIdentifiers)

因特網公鑰基礎設施擔保信息證書擴展

RFC4059X.509:(InternetX.509PublicKeyInfra-

structure:WarrantyCertificateExtension)

支持點對點協議和無線