標(biāo)準(zhǔn)解讀

《GB/T 29243-2012 信息安全技術(shù) 數(shù)字證書代理認(rèn)證路徑構(gòu)造和代理驗(yàn)證規(guī)范》是一項(xiàng)國(guó)家標(biāo)準(zhǔn),旨在為數(shù)字證書的代理認(rèn)證提供一個(gè)統(tǒng)一的技術(shù)框架。該標(biāo)準(zhǔn)詳細(xì)規(guī)定了在使用數(shù)字證書進(jìn)行身份驗(yàn)證時(shí),如何通過代理機(jī)構(gòu)來構(gòu)建認(rèn)證路徑以及如何執(zhí)行代理驗(yàn)證的過程。其主要目的是確保不同組織或?qū)嶓w之間能夠安全、可靠地交換信息,并且保證通信雙方的身份真實(shí)可信。

根據(jù)此標(biāo)準(zhǔn),首先定義了幾個(gè)關(guān)鍵概念,包括但不限于數(shù)字證書、認(rèn)證路徑、代理認(rèn)證等。其中,數(shù)字證書是指包含公鑰及其所有者信息的數(shù)據(jù)結(jié)構(gòu);認(rèn)證路徑指的是從終端用戶證書到信任錨點(diǎn)(如根證書)的一系列證書鏈;而代理認(rèn)證則是指由第三方機(jī)構(gòu)代表一方對(duì)另一方的身份進(jìn)行驗(yàn)證的服務(wù)模式。

對(duì)于認(rèn)證路徑的構(gòu)造,《GB/T 29243-2012》提出了具體的要求與指導(dǎo)原則,強(qiáng)調(diào)了正確選擇中間CA(Certificate Authority, 認(rèn)證機(jī)構(gòu))、避免循環(huán)引用等問題的重要性。同時(shí),還介紹了幾種常見的認(rèn)證路徑構(gòu)造方法,幫助實(shí)現(xiàn)從客戶端到最終信任源之間的有效鏈接。

關(guān)于代理驗(yàn)證過程,該標(biāo)準(zhǔn)不僅明確了驗(yàn)證過程中應(yīng)遵循的基本流程,還特別強(qiáng)調(diào)了安全性方面的考慮。例如,在進(jìn)行代理驗(yàn)證之前,需要先確認(rèn)代理服務(wù)器本身的合法性及可靠性;此外,還需采用適當(dāng)?shù)陌踩珔f(xié)議和技術(shù)手段來保護(hù)數(shù)據(jù)傳輸過程中的機(jī)密性和完整性。


如需獲取更多詳盡信息,請(qǐng)直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標(biāo)準(zhǔn)文檔。

....

查看全部

  • 現(xiàn)行
  • 正在執(zhí)行有效
  • 2012-12-31 頒布
  • 2013-06-01 實(shí)施
?正版授權(quán)
GB/T 29243-2012信息安全技術(shù)數(shù)字證書代理認(rèn)證路徑構(gòu)造和代理驗(yàn)證規(guī)范_第1頁
GB/T 29243-2012信息安全技術(shù)數(shù)字證書代理認(rèn)證路徑構(gòu)造和代理驗(yàn)證規(guī)范_第2頁
GB/T 29243-2012信息安全技術(shù)數(shù)字證書代理認(rèn)證路徑構(gòu)造和代理驗(yàn)證規(guī)范_第3頁
GB/T 29243-2012信息安全技術(shù)數(shù)字證書代理認(rèn)證路徑構(gòu)造和代理驗(yàn)證規(guī)范_第4頁
GB/T 29243-2012信息安全技術(shù)數(shù)字證書代理認(rèn)證路徑構(gòu)造和代理驗(yàn)證規(guī)范_第5頁
免費(fèi)預(yù)覽已結(jié)束,剩余35頁可下載查看

下載本文檔

GB/T 29243-2012信息安全技術(shù)數(shù)字證書代理認(rèn)證路徑構(gòu)造和代理驗(yàn)證規(guī)范-免費(fèi)下載試讀頁

文檔簡(jiǎn)介

ICS35040

L80.

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T29243—2012

信息安全技術(shù)數(shù)字證書代理認(rèn)證路徑

構(gòu)造和代理驗(yàn)證規(guī)范

Informationsecuritytechnology—Specificationsofdelegatedcertificationpath

constructionanddelegatedvalidationfordigitalcertificate

2012-12-31發(fā)布2013-06-01實(shí)施

中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T29243—2012

目次

前言…………………………

引言…………………………

范圍………………………

11

規(guī)范性引用文件…………………………

21

術(shù)語和定義………………

31

縮略語……………………

42

代理服務(wù)…………………

52

服務(wù)基本模式………………………

5.12

代理認(rèn)證路徑構(gòu)造…………………

5.22

代理驗(yàn)證……………

5.33

代理服務(wù)策略………………………

5.43

代理服務(wù)協(xié)議要求………………………

64

概述…………………

6.14

代理認(rèn)證路徑構(gòu)造協(xié)議要求………………………

6.24

代理驗(yàn)證協(xié)議要求…………………

6.35

策略查詢協(xié)議要求…………………

6.46

代理服務(wù)協(xié)議……………

76

基本請(qǐng)求響應(yīng)消息…………………

7.1/6

策略配置請(qǐng)求響應(yīng)消息…………

7.2/26

附錄資料性附錄代理服務(wù)基本原理………………

A()31

概述…………………

A.131

數(shù)字證書代理認(rèn)證路徑構(gòu)造………………………

A.231

數(shù)字證書代理驗(yàn)證…………………

A.331

GB/T29243—2012

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

本標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位中國(guó)科學(xué)院數(shù)據(jù)與通信保護(hù)研究教育中心

:。

本標(biāo)準(zhǔn)主要起草人夏魯寧王瓊霄荊繼武林璟鏘向繼

:、、、、。

本標(biāo)準(zhǔn)為首次制定

。

GB/T29243—2012

引言

隨著中華人民共和國(guó)電子簽名法的推廣我國(guó)的電子認(rèn)證服務(wù)業(yè)和系統(tǒng)的建設(shè)應(yīng)用也進(jìn)入

《》,PKI

了新的發(fā)展階段同時(shí)隨著互聯(lián)網(wǎng)的進(jìn)一步發(fā)展更多類型的終端接入網(wǎng)絡(luò)對(duì)于某些類型的終端

。,,。,

如手機(jī)傳感器等由于其計(jì)算或通信資源的限制難以獨(dú)立完成證書認(rèn)證路徑構(gòu)造或證書驗(yàn)證需要

、,,,

系統(tǒng)提供代理服務(wù)來協(xié)助完成上述兩種任務(wù)

PKI。

對(duì)于依賴方來說證書認(rèn)證路徑構(gòu)造和證書驗(yàn)證是必要的過程但是該過程中所需要的證書

PKI,,

查找撤銷信息查找證書驗(yàn)證計(jì)算等需要較大的帶寬和計(jì)算資源消耗在計(jì)算或通信資源受限

、、/CRL,,

的環(huán)境下會(huì)有不同程度的困難代理技術(shù)是解決上述困難的重要方法將證書認(rèn)證路徑構(gòu)造或證書驗(yàn)

。,

證委托給代理服務(wù)器能夠大大減輕客戶端的計(jì)算負(fù)擔(dān)和通信消耗

,PKI。

代理認(rèn)證路徑構(gòu)造和代理驗(yàn)證是兩種安全等級(jí)不一樣的代理服務(wù)對(duì)于代理認(rèn)證路徑構(gòu)造代理

。,

服務(wù)器返回驗(yàn)證該證書所需要的完整路徑包括證書鏈通信消息等然后由客戶端自己

(、CRL、OCSP),

進(jìn)行驗(yàn)證這種方式下可以明顯減少客戶端的通信消耗且不要求客戶端信任服務(wù)器對(duì)于代理驗(yàn)證

。,;,

代理服務(wù)器直接返回被驗(yàn)證的證書是否有效這種方式下客戶端的計(jì)算負(fù)擔(dān)和通信消耗都明顯減少

。,

但客戶端應(yīng)信任代理服務(wù)器為了滿足不同交易的安全等級(jí)需求一般要求系統(tǒng)同時(shí)提供這兩種

。,PKI

不同的服務(wù)

。

本標(biāo)準(zhǔn)將定義代理認(rèn)證路徑構(gòu)造和代理驗(yàn)證兩種服務(wù)的概念和協(xié)議要求并根據(jù)協(xié)議要求給出一

,

種標(biāo)準(zhǔn)化的客戶端和服務(wù)器交互的代理服務(wù)協(xié)議

GB/T29243—2012

信息安全技術(shù)數(shù)字證書代理認(rèn)證路徑

構(gòu)造和代理驗(yàn)證規(guī)范

1范圍

本標(biāo)準(zhǔn)規(guī)定了數(shù)字證書代理認(rèn)證路徑構(gòu)造和代理驗(yàn)證兩種服務(wù)的概念和協(xié)議要求以及滿足協(xié)議

,

要求的代理服務(wù)協(xié)議

。

本標(biāo)準(zhǔn)適用于系統(tǒng)運(yùn)營(yíng)機(jī)構(gòu)的代理認(rèn)證路徑構(gòu)造和代理驗(yàn)證服務(wù)的實(shí)現(xiàn)和應(yīng)用

PKI。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息技術(shù)編碼規(guī)則第部分基本編碼規(guī)則正則編碼

GB/T16263.1—2006ASN.11:(BER)、

規(guī)則和非典型編碼規(guī)則規(guī)范

(CER)(DER)

信息技術(shù)開放系統(tǒng)互連目錄第部分公鑰和屬性證書框架

GB/T16264.8—20058:

密碼消息語法

RFC3852(CryptographicMessageSyntax,CMS)

3術(shù)語和定義

界定的以及以下術(shù)語和定義適用于本文件

GB/T16264.8—2005。

31

.

數(shù)字證書代理驗(yàn)證delegatedvalidationfordigitalcertificate

由代理服務(wù)器為依賴方實(shí)現(xiàn)數(shù)字證書驗(yàn)證的過程

PKI。

32

溫馨提示

  • 1. 本站所提供的標(biāo)準(zhǔn)文本僅供個(gè)人學(xué)習(xí)、研究之用,未經(jīng)授權(quán),嚴(yán)禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標(biāo)準(zhǔn)均為PDF格式電子版文本(可閱讀打印),因數(shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標(biāo)準(zhǔn)文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質(zhì)量問題。

評(píng)論

0/150

提交評(píng)論