04 資訊保安技術公鑰基礎設施證書分級規範 報批稿

2022-05-28 17:27:04 字數 3052 閱讀 4778

目次前言 2

引言 3

1 範圍 4

2 規範性引用檔案 4

3 術語和定義 4

3.1 公鑰基礎設施 public key infrastructure 4

3.2交叉認證 cross certification 4

3.3交叉認證協議備忘 cross-certification memorandum of agreement 4

3.4 證書策略 certificate policy 4

3.5實體ca entity ca 4

3.6訂戶 subscriber 4

3.7啟用資料 activation data 4

4 縮略語 5

5 安全保證等級 5

5.1概述 5

5.2測試級 5

5.2.1 導引 5

5.2.2 資訊發布與管理 5

5.2.3 身份標識與鑑別 5

5.2.4 證書生命週期操作要求 6

5.2.5 認證機構設施、管理和操作控制 6

5.2.6 技術安全控制 6

5.2.7 證書、證書撤銷列表和**證書狀態協議 6

5.2.8 符合性審計和其他評估 6

5.2.9 其他商務和法律問題 6

5.3初級 6

5.3.1 導引 6

5.3.2 資訊與發布管理 7

5.3.3 身份標識與鑑別 7

5.3.4 證書生命週期操作要求 7

5.3.5 認證機構設施、管理和操作控制 7

5.3.6 技術安全控制 7

5.3.7 證書、證書撤銷列表和**證書狀態協議 8

5.3.8 符合性審計和其他評估 8

5.3.9 其他商務和法律問題 8

5.4基本級 8

5.4.1 導引 8

5.4.2 資訊與發布管理 8

5.4.3 身份標識與鑑別 8

5.4.4 證書生命週期操作要求 9

5.4.5 認證機構設施、管理和操作控制 9

5.4.6 技術安全控制 10

5.4.7 證書、證書撤銷列表和**證書狀態協議 10

5.4.8 符合性審計和其他評估 10

5.4.9 其他商務和法律問題 10

5.5中級 10

5.5.1 導引 10

5.5.2 資訊與發布管理 11

5.5.3 身份標識與鑑別 11

5.5.4 證書生命週期操作要求 11

5.5.5 認證機構設施、管理和操作控制 11

5.5.6 技術安全控制 13

5.5.7 證書、證書撤銷列表和**證書狀態協議 13

5.5.8 符合性審計和其他評估 13

5.5.9 其他商務和法律問題 13

5.6高階 13

5.6.1 導引 13

5.6.2 資訊與發布管理 13

5.6.3 身份標識與鑑別 14

5.6.4 證書生命週期操作要求 14

5.6.5 認證機構設施、管理和操作控制 14

5.6.6 技術安全控制 15

5.6.7 證書、證書撤銷列表和**證書狀態協議 16

5.6.8 符合性審計和其他評估 16

5.6.9 其他商務和法律問題 16

附錄a 17

附錄b 20

參考文獻 21

本標準的附錄a和附錄b為規範性附錄。

本標準由中國電子標準化研究所提出並歸口。

本標準起草單位:國家資訊中心中國科學院資訊保安國家重點實驗室

本標準主要起草人:吳亞非任金強羅紅斌張凡高能

本標準對證書策略的安全保證級別規定了分級標準,並劃分為四個應用等級:初級、基本級、中級、高階和測試級共五個級別。本標準參照rfc3647,對各級別的證書策略做出了明確說明,用以指導設計者如何設計和實現相應級別的證書策略。

每個級別針對九個方面的不同內容做出了要求,保證了證書策略從初級到高階,其安全程度隨之遞增,其適應的安全環境也隨之更加嚴格。

資訊保安技術公鑰基礎設施證書分級規範

本標準按照對證書的策略要求,將證書劃分為四個應用級別和測試級共五個等級並說明了對各級別的技術要求,四個應用級別是:初級、基本級、中級、高階。其中測試級規範的是用於交叉認證測試的證書,四個應用等級(初級、基本級、中級和高階)所規範的證書安全級別逐次增高。

本標準適用於交叉認證時證書策略的設計與實現。

下列檔案中的條款通過本標準的引用而成為本標準的條款。凡是註明日期的引用檔案,其隨後所有的修改單(不包括勘誤的內容)或修訂版均不適用於本標準。凡是未註明日期的引用檔案,其最新版本適用於本標準。

rfc3647 網際網路x.509公鑰基礎設施證書策略和證書執行框架

rfc3280 網際網路x.509公鑰基礎設施證書和證書撤銷列表輪廓

下列術語和定義適用於本標準。

兩個ca之間建立信任關係的乙個過程。通過這個過程,使它們可以互相信任和依賴任何一方發放的證書。

確定兩個ca之間關係的乙個協議,規定了雙方互通後享有的信任程度。

證書策略是指定好的一組規則,指出證書對具有公共安全要求的特定團體和/或應用的適用範圍。例如,乙個特定的證書策略表明,用於確認電子資料交換**證書的適用範圍是**在某一預定範圍內的交易。

實體ca是指要求幫助交叉認證的具體根ca。

從ca接收數字證書的實體。

啟用資料指的是用於操作密碼模組所必需的、並且需要被保護的資料值(例如pin、口令、或人工控制的金鑰共享部分),而不是金鑰。

關鍵資訊基礎設施確定指南

試行 一 什麼是關鍵資訊基礎設施 關鍵資訊基礎設施是指面向公眾提供網路資訊服務或支撐能源 通訊 金融 交通 公用事業等重要行業執行的資訊系統或工業控制系統,且這些系統一旦發生網路安全事故,會影響重要行業正常執行,對國家政治 經濟 科技 社會 文化 國防 環境以及人民生命財產造成嚴重損失。關鍵資訊基礎...

市政基礎設施工程竣工驗收技術封面

第一冊道路 橋梁工程 第一分冊工程建設前期法定建設程式檔案 市政基礎設施工程竣工驗收技術資料 第一冊道路 橋梁工程 第二分冊施工組織管理記錄 市政基礎設施工程竣工驗收技術資料 第一冊道路 橋梁工程 第三分冊材料 裝置出廠質量合格證及檢 試 驗報告 市政基礎設施工程竣工驗收技術資料 第一冊道路 橋梁工...

學校教育資訊基礎設施建設內容與要求

a.基礎設施建設 注 教師辦公和數位化閱覽室 編號a20 a25 適用於 百所數字校園示範校 建設標準,其它中小學可不考慮。b.數字資源建設 注 校本選修課 編號b15 b20 適用於 百所數字校園示範校 建設標準,其它中小學可不考慮。c.管理應用 備註 本專案的管理應用,由區教委統一配備數字校園綜...