搜索结果: GB/T 29243-2012, GB/T29243-2012, GBT 29243-2012, GBT29243-2012
| 标准编号 | GB/T 29243-2012 (GB/T29243-2012) | | 中文名称 | 信息安全技术 数字证书代理认证路径构造和代理验证规范 | | 英文名称 | Information security technology -- Specifications of delegated certification path construction and delegated validation for digital certificate | | 行业 | 国家标准 (推荐) | | 中标分类 | L80 | | 国际标准分类 | 35.040 | | 字数估计 | 37,390 | | 引用标准 | GB/T 16263.1-2006; GB/T 16264.8-2005; RFC 3852 | | 标准依据 | 国家标准公告2012年第41号 | | 发布机构 | 中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会 | | 范围 | 本标准规定了数字证书代理认证路径构造和代理验证两种服务的概念和协议要求, 以及满足协议要求的代理服务协议。本标准适用于PKI系统运营机构的代理认证路径构造和代理验证服务的实现和应用。 | GB/T 29243-2012
ICS 35.040
L80
中华人民共和国国家标准
信息安全技术 数字证书代理认证路径
构造和代理验证规范
2012-12-31发布
2013-06-01实施
中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会发布
目次
前言 Ⅲ
引言 Ⅳ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 缩略语 2
5 代理服务 2
5.1 服务基本模式 2
5.2 代理认证路径构造 2
5.3 代理验证 3
5.4 代理服务策略 3
6 代理服务协议要求 4
6.1 概述 4
6.2 代理认证路径构造协议要求 4
6.3 代理验证协议要求 5
6.4 策略查询协议要求 6
7 代理服务协议 6
7.1 基本请求/响应消息 6
7.2 策略配置请求/响应消息 26
附录A(资料性附录) 代理服务基本原理 31
A.1 概述 31
A.2 数字证书代理认证路径构造 31
A.3 数字证书代理验证 31
前言
本标准按照GB/T 1.1-2009给出的规则起草。
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本标准起草单位:中国科学院数据与通信保护研究教育中心。
本标准主要起草人:夏鲁宁、王琼霄、荆继武、林璟锵、向继。
本标准为首次制定。
引 言
随着《中华人民共和国电子签名法》的推广,我国的电子认证服务业和PKI系统的建设应用也进入
了新的发展阶段。同时,随着互联网的进一步发展,更多类型的终端接入网络。对于某些类型的终端,
如手机、传感器等,由于其计算或通信资源的限制,难以独立完成证书认证路径构造或证书验证,需要
PKI系统提供代理服务来协助完成上述两种任务。
对于PKI依赖方来说,证书认证路径构造和证书验证是必要的过程,但是该过程中所需要的证书
查找、撤销信息查找、证书/CRL验证计算等,需要较大的带宽和计算资源消耗,在计算或通信资源受限
的环境下会有不同程度的困难。代理技术是解决上述困难的重要方法,将证书认证路径构造或证书验
证委托给代理服务器,能够大大减轻PKI客户端的计算负担和通信消耗。
代理认证路径构造和代理验证是两种安全等级不一样的代理服务。对于代理认证路径构造,代理
服务器返回验证该证书所需要的完整路径(包括证书链、CRL、OCSP通信消息等),然后由客户端自己
进行验证。这种方式下可以明显减少客户端的通信消耗,且不要求客户端信任服务器;对于代理验证,
代理服务器直接返回被验证的证书是否有效。这种方式下客户端的计算负担和通信消耗都明显减少,
但客户端应信任代理服务器。为了满足不同交易的安全等级需求,一般要求PKI系统同时提供这两种
不同的服务。
本标准将定义代理认证路径构造和代理验证两种服务的概念和协议要求,并根据协议要求给出一
种标准化的客户端和服务器交互的代理服务协议。
信息安全技术 数字证书代理认证路径
构造和代理验证规范
1 范围
本标准规定了数字证书代理认证路径构造和代理验证两种服务的概念和协议要求,以及满足协议
要求的代理服务协议。
本标准适用于PKI系统运营机构的代理认证路径构造和代理验证服务的实现和应用。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 16263.1-2006 信息技术 ASN.1编码规则 第1部分:基本编码规则(BER)、正则编码
规则(CER)和非典型编码规则(DER)规范
GB/T 16264.8-2005 信息技术开放系统互连目录 第8部分:公钥和属性证书框架
3 术语和定义
GB/T 16264.8-2005界定的以及以下术语和定义适用于本文件。
3.1
由代理服务器为PKI依赖方实现数字证书验证的过程。
3.2
代理验证 delegatedvalidation
在本标准范围内,与“数字证书代理验证”同义。
3.3
由代理服务器为PKI依赖方实现数字证书认证路径构造......
|