ICS35040

L80.

中華人民共和國國家標(biāo)準(zhǔn)

GB/T29243—2012

信息安全技術(shù)數(shù)字證書代理認(rèn)證路徑

構(gòu)造和代理驗(yàn)證規(guī)范

Informationsecuritytechnology—Specificationsofdelegatedcertificationpath

constructionanddelegatedvalidationfordigitalcertificate

2012-12-31發(fā)布2013-06-01實(shí)施

中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國國家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T29243—2012

目次

前言…………………………

Ⅲ

引言…………………………

Ⅳ

范圍………………………

11

規(guī)范性引用文件…………………………

21

術(shù)語和定義………………

31

縮略語……………………

42

代理服務(wù)…………………

52

服務(wù)基本模式………………………

5.12

代理認(rèn)證路徑構(gòu)造…………………

5.22

代理驗(yàn)證……………

5.33

代理服務(wù)策略………………………

5.43

代理服務(wù)協(xié)議要求………………………

64

概述…………………

6.14

代理認(rèn)證路徑構(gòu)造協(xié)議要求………………………

6.24

代理驗(yàn)證協(xié)議要求…………………

6.35

策略查詢協(xié)議要求…………………

6.46

代理服務(wù)協(xié)議……………

76

基本請(qǐng)求響應(yīng)消息…………………

7.1/6

策略配置請(qǐng)求響應(yīng)消息…………

7.2/26

附錄資料性附錄代理服務(wù)基本原理………………

A()31

概述…………………

A.131

數(shù)字證書代理認(rèn)證路徑構(gòu)造………………………

A.231

數(shù)字證書代理驗(yàn)證…………………

A.331

Ⅰ

GB/T29243—2012

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位中國科學(xué)院數(shù)據(jù)與通信保護(hù)研究教育中心

:。

本標(biāo)準(zhǔn)主要起草人夏魯寧王瓊霄荊繼武林璟鏘向繼

:、、、、。

本標(biāo)準(zhǔn)為首次制定

。

Ⅲ

GB/T29243—2012

引言

隨著中華人民共和國電子簽名法的推廣我國的電子認(rèn)證服務(wù)業(yè)和系統(tǒng)的建設(shè)應(yīng)用也進(jìn)入

《》,PKI

了新的發(fā)展階段同時(shí)隨著互聯(lián)網(wǎng)的進(jìn)一步發(fā)展更多類型的終端接入網(wǎng)絡(luò)對(duì)于某些類型的終端

。,,。,

如手機(jī)傳感器等由于其計(jì)算或通信資源的限制難以獨(dú)立完成證書認(rèn)證路徑構(gòu)造或證書驗(yàn)證需要

、,,,

系統(tǒng)提供代理服務(wù)來協(xié)助完成上述兩種任務(wù)

PKI。

對(duì)于依賴方來說證書認(rèn)證路徑構(gòu)造和證書驗(yàn)證是必要的過程但是該過程中所需要的證書

PKI,,

查找撤銷信息查找證書驗(yàn)證計(jì)算等需要較大的帶寬和計(jì)算資源消耗在計(jì)算或通信資源受限

、、/CRL,,

的環(huán)境下會(huì)有不同程度的困難代理技術(shù)是解決上述困難的重要方法將證書認(rèn)證路徑構(gòu)造或證書驗(yàn)

。,

證委托給代理服務(wù)器能夠大大減輕客戶端的計(jì)算負(fù)擔(dān)和通信消耗

,PKI。

代理認(rèn)證路徑構(gòu)造和代理驗(yàn)證是兩種安全等級(jí)不一樣的代理服務(wù)對(duì)于代理認(rèn)證路徑構(gòu)造代理

。,

服務(wù)器返回驗(yàn)證該證書所需要的完整路徑包括證書鏈通信消息等然后由客戶端自己

(、CRL、OCSP),

進(jìn)行驗(yàn)證這種方式下可以明顯減少客戶端的通信消耗且不要求客戶端信任服務(wù)器對(duì)于代理驗(yàn)證

。,;,

代理服務(wù)器直接返回被驗(yàn)證的證書是否有效這種方式下客戶端的計(jì)算負(fù)擔(dān)和通信消耗都明顯減少

。,

但客戶端應(yīng)信任代理服務(wù)器為了滿足不同交易的安全等級(jí)需求一般要求系統(tǒng)同時(shí)提供這兩種

。,PKI

不同的服務(wù)

。

本標(biāo)準(zhǔn)將定義代理認(rèn)證路徑構(gòu)造和代理驗(yàn)證兩種服務(wù)的概念和協(xié)議要求并根據(jù)協(xié)議要求給出一

,

種標(biāo)準(zhǔn)化的客戶端和服務(wù)器交互的代理服務(wù)協(xié)議

。

Ⅳ

GB/T29243—2012

信息安全技術(shù)數(shù)字證書代理認(rèn)證路徑

構(gòu)造和代理驗(yàn)證規(guī)范

1范圍

本標(biāo)準(zhǔn)規(guī)定了數(shù)字證書代理認(rèn)證路徑構(gòu)造和代理驗(yàn)證兩種服務(wù)的概念和協(xié)議要求以及滿足協(xié)議

,

要求的代理服務(wù)協(xié)議

。

本標(biāo)準(zhǔn)適用于系統(tǒng)運(yùn)營(yíng)機(jī)構(gòu)的代理認(rèn)證路徑構(gòu)造和代理驗(yàn)證服務(wù)的實(shí)現(xiàn)和應(yīng)用

PKI。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息技術(shù)編碼規(guī)則第部分基本編碼規(guī)則正則編碼

GB/T16263.1—2006ASN.11:(BER)、

規(guī)則和非典型編碼規(guī)則規(guī)范

(CER)(DER)

信息技術(shù)開放系統(tǒng)互連目錄第部分公鑰和屬性證書框架

GB/T16264.8—20058:

密碼消息語法

RFC3852(CryptographicMessageSyntax,CMS)

3術(shù)語和定義

界定的以及以下術(shù)語和定義適用于本文件

GB/T16264.8—2005。

31

.

數(shù)字證書代理驗(yàn)證delegatedvalidationfordigitalcertificate

由代理服務(wù)器為依賴方實(shí)現(xiàn)數(shù)字證書驗(yàn)證的過程

PKI。

32