GB/T 29243-2012信息安全技術(shù)數(shù)字證書代理認證路徑構(gòu)造和代理驗證規(guī)范

ICS35040

L80.

中華人民共和國國家標準

GB/T29243—2012

信息安全技術(shù)數(shù)字證書代理認證路徑

構(gòu)造和代理驗證規(guī)范

Informationsecuritytechnology—Specificationsofdelegatedcertificationpath

constructionanddelegatedvalidationfordigitalcertificate

2012-12-31發(fā)布2013-06-01實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標準化管理委員會

GB/T29243—2012

目次

前言…………………………

Ⅲ

引言…………………………

Ⅳ

范圍………………………

11

規(guī)范性引用文件…………………………

21

術(shù)語和定義………………

31

縮略語……………………

42

代理服務(wù)…………………

52

服務(wù)基本模式………………………

5.12

代理認證路徑構(gòu)造…………………

5.22

代理驗證……………

5.33

代理服務(wù)策略………………………

5.43

代理服務(wù)協(xié)議要求………………………

64

概述…………………

6.14

代理認證路徑構(gòu)造協(xié)議要求………………………

6.24

代理驗證協(xié)議要求…………………

6.35

策略查詢協(xié)議要求…………………

6.46

代理服務(wù)協(xié)議……………

76

基本請求響應(yīng)消息…………………

7.1/6

策略配置請求響應(yīng)消息…………

7.2/26

附錄資料性附錄代理服務(wù)基本原理………………

A()31

概述…………………

A.131

數(shù)字證書代理認證路徑構(gòu)造………………………

A.231

數(shù)字證書代理驗證…………………

A.331

Ⅰ

GB/T29243—2012

前言

本標準按照給出的規(guī)則起草

GB/T1.1—2009。

本標準由全國信息安全標準化技術(shù)委員會提出并歸口

(SAC/TC260)。

本標準起草單位中國科學(xué)院數(shù)據(jù)與通信保護研究教育中心

:。

本標準主要起草人夏魯寧王瓊霄荊繼武林璟鏘向繼

:、、、、。

本標準為首次制定

。

Ⅲ

GB/T29243—2012

引言

隨著中華人民共和國電子簽名法的推廣我國的電子認證服務(wù)業(yè)和系統(tǒng)的建設(shè)應(yīng)用也進入

《》,PKI

了新的發(fā)展階段同時隨著互聯(lián)網(wǎng)的進一步發(fā)展更多類型的終端接入網(wǎng)絡(luò)對于某些類型的終端

。,,。,

如手機傳感器等由于其計算或通信資源的限制難以獨立完成證書認證路徑構(gòu)造或證書驗證需要

、,,,

系統(tǒng)提供代理服務(wù)來協(xié)助完成上述兩種任務(wù)

PKI。

對于依賴方來說證書認證路徑構(gòu)造和證書驗證是必要的過程但是該過程中所需要的證書

PKI,,

查找撤銷信息查找證書驗證計算等需要較大的帶寬和計算資源消耗在計算或通信資源受限

、、/CRL,,

的環(huán)境下會有不同程度的困難代理技術(shù)是解決上述困難的重要方法將證書認證路徑構(gòu)造或證書驗

。,

證委托給代理服務(wù)器能夠大大減輕客戶端的計算負擔(dān)和通信消耗

,PKI。

代理認證路徑構(gòu)造和代理驗證是兩種安全等級不一樣的代理服務(wù)對于代理認證路徑構(gòu)造代理

。,

服務(wù)器返回驗證該證書所需要的完整路徑包括證書鏈通信消息等然后由客戶端自己

(、CRL、OCSP),

進行驗證這種方式下可以明顯減少客戶端的通信消耗且不要求客戶端信任服務(wù)器對于代理驗證

。,;,

代理服務(wù)器直接返回被驗證的證書是否有效這種方式下客戶端的計算負擔(dān)和通信消耗都明顯減少

。,

但客戶端應(yīng)信任代理服務(wù)器為了滿足不同交易的安全等級需求一般要求系統(tǒng)同時提供這兩種

。,PKI

不同的服務(wù)

。

本標準將定義代理認證路徑構(gòu)造和代理驗證兩種服務(wù)的概念和協(xié)議要求并根據(jù)協(xié)議要求給出一

,

種標準化的客戶端和服務(wù)器交互的代理服務(wù)協(xié)議

。

Ⅳ

GB/T29243—2012

信息安全技術(shù)數(shù)字證書代理認證路徑

構(gòu)造和代理驗證規(guī)范

1范圍

本標準規(guī)定了數(shù)字證書代理認證路徑構(gòu)造和代理驗證兩種服務(wù)的概念和協(xié)議要求以及滿足協(xié)議

,

要求的代理服務(wù)協(xié)議

。

本標準適用于系統(tǒng)運營機構(gòu)的代理認證路徑構(gòu)造和代理驗證服務(wù)的實現(xiàn)和應(yīng)用

PKI。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息技術(shù)編碼規(guī)則第部分基本編碼規(guī)則正則編碼

GB/T16263.1—2006ASN.11:(BER)、

規(guī)則和非典型編碼規(guī)則規(guī)范

(CER)(DER)

信息技術(shù)開放系統(tǒng)互連目錄第部分公鑰和屬性證書框架

GB/T16264.8—20058:

密碼消息語法

RFC3852(CryptographicMessageSyntax,CMS)

3術(shù)語和定義

界定的以及以下術(shù)語和定義適用于本文件

GB/T16264.8—2005。

31

.

數(shù)字證書代理驗證delegatedvalidationfordigitalcertificate

由代理服務(wù)器為依賴方實現(xiàn)數(shù)字證書驗證的過程

PKI。

32