GB-T 29241-2012 信息安全技术 公钥基础设施 PKI互操作性评估准则.pdf
- 文档编号:14661028
- 上传时间:2023-06-25
- 格式:PDF
- 页数:76
- 大小:5.83MB
GB-T 29241-2012 信息安全技术 公钥基础设施 PKI互操作性评估准则.pdf
《GB-T 29241-2012 信息安全技术 公钥基础设施 PKI互操作性评估准则.pdf》由会员分享,可在线阅读,更多相关《GB-T 29241-2012 信息安全技术 公钥基础设施 PKI互操作性评估准则.pdf(76页珍藏版)》请在冰点文库上搜索。
ICS35.040L80中华人民共和国国家标准GB/T292412012信息安全技术公钥基础设施PKI互操作性评估准则InformationsecuritytechnologyPublickeyinfrastructurePKIinteroperabilityevaluationcriteria2012-12-31发布2013-06-01实施中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会发布目次前言引言1范围12规范性引用文件13术语和定义14缩略语25评估模型35.1PKI互操作性能35.2评估对象35.3互操作能力评估35.4互操作能力等级划分原则46评估内容66.1第一级:
格式正确级66.2第二级:
内容明确级106.3第三级:
功能完善级176.4第四级:
执行标准化级266.5第五级:
安全审计级32附录A(规范性附录)PKI系统评估内容列表35附录B(规范性附录)PKI应用评估内容列表57GB/T292412012前言本标准按照GB/T1.12009规则起草。
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本标准起草单位:
中国科学院数据与通信保护研究教育中心、赞嘉电子科技(北京)有限公司。
本标准主要起草人:
荆继武、马存庆、林璟锵、查达仁、吴晶晶、张帆、王平建。
GB/T292412012引言PKI系统作为普适性的安全基础设施,同时为各种不同的应用提供安全服务。
通过PKI提供的安全服务信息,PKI应用可以获得真实性、保密性、完整性、非否认等安全服务。
由于PKI系统的设计建设和运行维护所依据的标准和规范具有较大的灵活性和可选自由度,应用从PKI系统获得的服务数据也就具有一定的不确定性。
证书私有扩展大量使用和证书策略意义不明确、撤销状态信息不全面等问题,都会影响安全服务的使用,甚至导致应用无法获得安全服务。
上述问题,对于跨域的PKI事务尤为突出。
由于跨域的PKI应用和PKI系统通常由不同的厂商或设计开发人员实现,双方对于各种服务数据的理解和使用不一致更加明显,导致二者之间难以互操作,难以获取安全服务。
当PKI系统进行互联互通时,就必须考虑PKI系统为跨域PKI应用提供安全服务信息的水平,也就是PKI系统与PKI应用之间的互操作问题。
为更多的跨域应用提供全面的安全服务信息,是PKI系统进行互操作能力优化和改进的目标。
如果PKI系统仅限于为特定的少数PKI应用提供服务,那么该PKI系统则难以在互联互通中发挥效用。
作为一种安全基础设施,PKI系统应该面向各种应用,采取有效的办法提高互操作能力,为网络通信做好全面的安全基础。
另一方面,用户会希望自己的PKI应用能够与更多的PKI系统互操作,有能力从不同的电子认证服务机构获得安全服务。
本标准考虑了PKI安全服务相关的各种信息及其性能。
PKI系统提供安全服务的方式是生成各种证书的相关信息,包括:
证书、证书撤销状态信息、证书策略和认证业务声明等。
PKI应用就是利用上述信息获得安全服务。
安全服务信息的格式是否正确设置、内容是否明确表达、功能体现是否完善、操作过程是否按标准化执行、信息来源是否可靠等问题,都会影响安全服务的提供。
本标准分别从PKI系统和PKI应用2个方面,提出了分等级的互操作性评估准则。
高等级的PKI系统,能够为更多的PKI应用提供更全面可靠的安全服务。
高等级的PKI应用,能够从更多的PKI系统中获取更全面的安全服务。
本标准通过分等级的互操作评估,为PKI系统和PKI应用都指出了改进的方向,将促进建设和开发具有全面互操作能力的PKI系统和应用,从而为PKI系统的全面互联互通,为最终形成统一的认证体系,奠定坚实的基础。
GB/T292412012信息安全技术公钥基础设施PKI互操作性评估准则1范围本标准规定了PKI系统和PKI应用的五个互操作能力等级,完成了分等级的PKI互操作性评估准则,为PKI系统和PKI应用提供了互操作能力等级评估的依据。
本标准适用于需要进行跨域互操作的PKI系统和PKI应用,可用于PKI系统和PKI应用的设计、开发、制造、采购、测试、评估、使用等过程。
2规范性引用文件下列文件对于本文件的应用是必不可少的。
凡是注日期的引用文件,仅注日期的版本适用于本文件。
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T16264.82005信息技术开放系统互连目录第8部分:
公钥和属性证书框架GB/T197132005信息技术安全技术公钥基础设施在线证书状态协议GB/T205182006信息安全技术公钥基础设施数字证书格式GM/T00032012SM2椭圆曲线公钥密码算法GM/T00042012SM3密码杂凑算法RFC3647因特网X.509公钥基础设施:
证书策略和认证业务框架(InternetX.509PublicKeyInfrastructure:
CertificatePolicyandCertificationPracticesFramework)RFC3709因特网X.509公钥基础设施:
X.509证书中的徽标(InternetX.509PublicKeyInfra-structure:
LogotypesinX.509Certificates)RFC3779用于IP地址和AS标识符的X.509证书扩展(X.509ExtensionsforIPAddressesandASIdentifiers)RFC4059因特网X.509公钥基础设施:
担保信息证书扩展(InternetX.509PublicKeyInfra-structure:
WarrantyCertificateExtension)RFC4334支持点对点协议(PPP)和无线局域网(WLAN)鉴别的证书扩展和属性CertificateExtensionsandAttributesSupportingAuthenticationinPoint-to-PointProtocol(PPP)andWirelessLocalAreaNetworks(WLAN)RFC4387因特网X.509公钥基础设施操作协议:
通过HTTP访问证书存储(InternetX.509PublicKeyInfrastructureOperationalProtocols:
CertificateStoreAccessviaHTTP)RFC4523用于X.509证书的轻量级目录访问协议(LDAP)模式定义(LightweightDirectoryAc-cessProtocol(LDAP)SchemaDefinitionsforX.509Certificates)RFC5280因特网X.509公钥基础设施:
证书和证书撤销列表(CRL)概要(InternetX.509PublicKeyInfrastructure:
CertificateandCertificateRevocationList(CRL)Profile)3术语和定义GB/T16264.82005界定的以及下列术语和定义适用于本文件。
1GB/T2924120123.1PKI系统PKIsystem提供证书的颁发以及相关服务的软硬件设备和人员的总称。
3.2PKI应用PKIapplication使用数字证书以及相关信息、获得安全服务的软硬件系统。
3.3PKI应用管理者administratorofPKIapplication配置、控制、操作和使用PKI应用的人员。
3.4PKI互操作性能PKIinteroperability两个以上(含)PKI系统或PKI应用正确地交互和使用证书以及相关安全信息的性能。
3.5完全互操作PKI系统fullyinteroperablePKIsystem概念性的PKI系统,能够与所有PKI应用实现完全的互操作。
3.6完全互操作PKI应用fullyinteroperablePKIapplication概念性的PKI应用,能够与所有PKI系统实现完全的互操作。
3.7PKI互操作能力等级PKIinteroperabilitylevel特定PKI系统与完全PKI应用的PKI互操作性能的量化结果,或者是特定PKI应用与完全PKI系统的PKI互操作性能的量化结果。
4缩略语下列缩略语适用于本文件。
BER基本编码规则(BasicEncodingRules)CA证书认证机构(CertificateAuthority)CP证书策略(CertificatePolicy)CPS认证业务声明(CertificationPracticeStatement)CRL证书撤销列表(CertificateRevocationList)DER可辨别编码规则(DistinguishedEncodingRules)DN可辨别名称(DistinguishedName)F-APP完全互操作PKI应用(FullyinteroperablePKIApplication)F-SYS完全互操作PKI系统(FullyinteroperablePKISystem)HTTP超文本传输协议(HyperTextTransferProtocol)IOL互操作能力等级(InteroperabilityLevel)IOL1互操作能力第一级(InteroperabilityLevel1)IOL2互操作能力第二级(InteroperabilityLevel2)IOL3互操作能力第三级(InteroperabilityLevel3)IOL4互操作能力第四级(InteroperabilityLevel4)IOL5互操作能力第五级(InteroperabilityLevel5)LDAP轻量级目录访问协议(LightweightDirectoryAccessProtocol)2GB/T292412012OCSP在线证书状态协议(OnlineCertificateStatusProtocol)OID对象标识符(ObjectIdentifier)RDN相对可辨别名称(RelativeDistinguishedName)TOE评估对象(TargetofEvaluation)URI统一资源标识符(UniversalResourceIdentifier)5评估模型5.1PKI互操作性能PKI互操作性能是指两个以上(含)PKI系统或PKI应用正确地交互和使用证书以及相关安全信息的性能(在不引起混淆的情况下,本标准将PKI互操作性能简称为互操作性)。
互操作性同时取决于参加事务过程的PKI系统和PKI应用:
PKI系统提供的信息不足,或者PKI应用所能理解接受的信息不足,都可能导致事务失败、无法获取安全服务。
互操作性具有相对性,与参加事务过程的对象相关。
相同的PKI系统,与不同的PKI应用进行事务时,其互操作性可能完全不一样。
同样,相同的PKI应用,与不同的PKI系统进行事务时,其互操作性也可能完全不一样。
改进PKI系统和PKI应用,使二者对PKI安全服务相关信息的理解趋于一致,能够提高互操作性。
但是,由于互操作性的相对性,针对某一些特定事务的改进,可能反而会导致其他事务的互操作性降低。
例如,对某PKI应用app-1进行改进,使其与某PKI系统sys-1具有更好的互操作性,会同时导致app-1与另一个PKI系统sys-2的互操作性大大降低。
所以,盲目的改进反而有可能导致互操作性的整体下降。
本标准通过分等级的互操作评估,同时为PKI系统和PKI应用指出了改进PKI互操作能力等级的方向(在不引起混淆的情况下,本标准将PKI互操作能力等级简称为互操作能力),促进建设和开发具有全面互操作能力的PKI系统和PKI应用。
5.2评估对象本标准的评估对象可以是PKI系统或者PKI应用。
本标准分别针对PKI系统和PKI应用给出了不同等级互操作能力的要求。
本标准中的PKI系统和PKI应用是按照评估对象在事务中所起作用来区分:
PKI系统在事务中提供数字证书的颁发以及相关服务;PKI应用在事务中使用数字证书以及相关信息、获得安全服务。
本标准所指的PKI系统和PKI应用不一定与现实概念中的PKI系统和PKI应用完全对应。
例如,当某个CA系统向其他的PKI系统请求信息以获得安全服务时,则该CA系统在本标准中被视为PKI应用。
当该CA系统提供数字证书服务时,则被视为PKI系统。
5.3互操作能力评估互操作能力是PKI系统或者PKI应用自身的性能,体现了评估对象的自身属性。
与互操作性不同,互操作能力具有确定性,与事务的对象无关。
对于特定的PKI系统或者PKI应用,即使在不同的事务中,它的互操作能力也是确定不变的。
虽然互操作能力与特定的事务无关,但是互操作能力只有在事务中才能表现出来。
从概念而言,互操作能力是TOE与所有PKI系统或者所有PKI应用进行事务的互操作性的综合度量。
也就是说,需要与所有PKI应用或者所有PKI系统进行事务,才可以准确地量化PKI系统的安全服务对所有PKI应用的可用程度,或者PKI应用对所有PKI系统所提供的安全服务的理解接受能力。
与所有PKI系统或者所有PKI应用进行事务,才能够准确地量化TOE的互操作能力。
但是使用3GB/T292412012这种方法来评估互操作能力是不切合现实的。
所以,本标准引入了完全互操作能力实体(完全互操作PKI系统和完全互操作PKI应用)的概念,通过评估TOE与完全互操作能力实体进行事务时影响互操作性的各种因素(即确定了与完全互操作能力实体的互操作性),从而确定TOE的互操作能力等级IOL。
互操作性和互操作能力具有如下特性:
不同IOL的PKI系统与PKI应用进行事务时,其互操作性取决于IOL低的一方。
当TOE与完全互操作能力实体进行事务时,事务的互操作性就只取决于TOE的互操作能力,所以通过与完全互操作能力实体进行事务,能够得到TOE的互操作能力。
即有如下其中,I()表示事务的互操作性能,IOL()表示评估对象的互操作能力等级,app表示被评估的PKI应用,sys表示被评估的PKI系统:
I(F-SYS,app)=IOL(app)或者I(sys,F-APP)=IOL(sys)IOL是TOE与完全互操作能力实体进行事务时的互操作性能的量化,体现了全部事务中被理解和使用的安全信息的程度,也体现了被评估的PKI系统或者PKI应用的互操作能力。
本标准定义了五个互操作能力等级,高等级的PKI系统或者PKI应用具有更全面的互操作能力。
本标准给出了各级IOL的互操作能力要求,也相当于指出了提高互操作能力的改进方向。
需要注意:
TOE互操作能力的提高改进并不意味着能够提高与该TOE的所有事务的互操作性,而是说明该TOE可与更多的PKI系统或PKI应用更好地进行事务。
5.4互操作能力等级划分原则5.4.1划分依据PKI系统与PKI应用在事务中交换和使用的信息主要包括:
证书信息。
证书是PKI系统提供安全服务的最基本手段,也是PKI应用获得安全服务的最基本途径。
证书信息是安全服务所需的基本信息。
各种安全服务(真实性、保密性、完整性、非否认等)都是通过证书实现的。
证书撤销状态信息。
证书撤销状态信息是证书信息的补充,用于验证证书信息在特定的时刻是否有效。
PKI应用在使用证书上的信息之前,需要检查其撤销状态,确定该证书是否有效。
常见的证书撤销状态信息是CRL和OCSP。
其他多种辅助信息。
辅助信息包括供PKI系统和PKI应用使用的CP/CPS、第三方审查认证结果、设计文档等等。
CP/CPS作为证书信息的补充,用来表明证书上信息的可靠程度和适用范围等安全程度信息。
PKI应用在使用安全服务之前,需要在PKI应用管理者的直接或者间接指导下,确定证书信息的安全程度是否适用、是否满足应用需求。
依据各IOL的互操作能力要求的显著特点,本标准将五个IOL等级分别称为格式正确级、内容明确级、功能完善级、执行标准化级和安全审计级。
需要注意:
IOL名称并不完全表示该等级的互操作能力要求的全部内容,只是给出了该级别的评估对象的重要特点,表示了互操作能力等级的主要要求。
例如,IOL1格式正确级表示本IOL的主要要求是格式正确,但是IOL1同时也对互操作能力的其他方面提出了要求。
5.4.2PKI系统PKI系统提供PKI应用使用的安全信息,其互操作能力表现为提供安全信息的全面程度。
PKI系统的五个互操作能力等级逐一递进,前者是后者的基础,后者是前者的增强。
高等级的PKI系统能够为更大范围的PKI应用提供更多的可用安全服务信息:
4GB/T292412012IOL1的PKI系统能提供格式正确的信息;IOL2的PKI系统能提供内容明确的信息,并满足IOL1的要求;IOL3的PKI系统能执行完善的功能和提供对应的信息,并满足IOL2的要求;IOL4的PKI系统能提供标准化执行而产生的信息,并满足IOL3的要求;IOL5的PKI系统能提供产生过程可审计的信息,并满足IOL4的要求。
a)IOL1格式正确级本级PKI系统的重要特征是能够颁发格式正确的证书和CRL。
格式正确是PKI应用接受安全服务信息的基础。
如果格式不正确,PKI应用就无法获取信息,相当于PKI系统提供的安全服务是不可用的。
格式正确级主要考虑证书和CRL的基本格式、PKI系统的基本功能,确保达到本等级的PKI实体拥有基本的互操作能力,能够正确生成证书和CRL,以及正确地使用私有扩展项。
b)IOL2内容明确级本级PKI系统的重要特征是能够颁发内容明确的证书和CRL,通过对证书扩展项和CRL扩展项的使用,提供明确的信息;具有CPS,明确地描述证书服务过程;能够支持增量CRL或者OCSP,支持LDAP或者HTTP发布证书和CRL。
安全服务依赖于从PKI系统获取的信息,充分明确的信息使更多的PKI应用能够接受安全服务。
内容明确级要求PKI系统必须能够产生重要的证书和CRL扩展项,支持增量CRL或者OCSP,而且对格式正确级中提出的各项评估指标有了进一步限制,明确了安全服务信息的内容。
c)IOL3功能完善级本级PKI系统的重要特征是具备证书服务的完善功能,能够同时支持增量CRL和OCSP,同时支持LDAP和HTTP发布证书和CRL,正确地设定证书扩展项、CRL扩展项及OCSP扩展项的取值;具有CP,提供包含重要基本内容章节的CP/CPS,并具备执行CP/CPS的各种操作的能力。
功能完善级在内容明确级的基础上增加了对CP和PKI系统操作的评估,协助PKI应用管理者判断PKI系统的安全服务能否适用于特定的PKI应用。
证书扩展项和CRL扩展项为PKI应用提供辅助信息,使得PKI应用更加准确地使用PKI系统提供的服务。
功能完善的PKI系统应该能够支持所有的扩展项,并可正确有效地设定各种扩展项的取值,从而实现更加完善的功能。
d)IOL4执行标准化级本级PKI系统的重要特征是证书服务过程按照标准化流程执行,提供标准格式的完整CP/CPS,并按照标准流程执行该CP/CPS的各种操作。
执行标准化级在功能完善级的基础上加强了对PKI系统操作流程的要求,使得安全服务信息更加标准化。
按照标准化流程执行的PKI系统能更顺利地为不同的PKI应用提供服务,标准格式的完整CP/CPS更容易获得
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- GB-T 29241-2012 信息安全技术 公钥基础设施 PKI互操作性评估准则 GB 29241 2012 信息 安全技术 基础设施 PKI 操作性 评估 准则