GB-T 35287-2017 信息安全技术 网站可信标识技术指南.pdf
- 文档编号:14661260
- 上传时间:2023-06-25
- 格式:PDF
- 页数:24
- 大小:1.72MB
GB-T 35287-2017 信息安全技术 网站可信标识技术指南.pdf
《GB-T 35287-2017 信息安全技术 网站可信标识技术指南.pdf》由会员分享,可在线阅读,更多相关《GB-T 35287-2017 信息安全技术 网站可信标识技术指南.pdf(24页珍藏版)》请在冰点文库上搜索。
书书书犐犆犛犔中华人民共和国国家标准犌犅犜信息安全技术网站可信标识技术指南犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔犌狌犻犱犲犾犻狀犲狊狅犳狋狉狌狊狋犲犱犻犱犲狀狋犻狋狔狋犲犮犺狀狅犾狅犵狔犳狅狉狑犲犫狊犻狋犲发布实施中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会发布书书书目次前言引言范围规范性引用文件术语和定义缩略语网站可信标识体系框架网站可信标识对象概述可信标识对象逻辑组成可信标识对象管理可信标识对象管理状态图可信标识申请可信标识生成可信标识发放可信标识部署可信标识更改可信标识过期可信标识撤销可信标识发布可信标识延期可信标识对象获取及验证数据格式与接口可信标识对象数据格式标识撤销列表数据格式信息发布标识状态实时查询附录(资料性附录)可信标识示例参考文献犌犅犜前言本标准按照给出的规则起草。
本标准由全国信息安全标准化技术委员会()提出并归口。
本标准主要起草单位:
上海格尔软件股份有限公司、上海凭安网络科技有限公司、北京奇虎科技有限公司、腾讯科技(北京)有限公司、西安西电捷通无线网络通信股份有限公司(无线网络安全技术国家工程实验室)、北京天威诚信电子商务服务有限公司、上海市数字证书认证中心有限公司、中金金融认证中心有限公司、北京数字认证股份有限公司、北龙中网(北京)科技有限责任公司、上海交通大学、四川大学、北京金山安全软件有限公司。
本标准主要起草人:
杨茂江、韩洪慧、任伟、石晓虹、叶枫、徐骥、黄振海、杜志强、胡亚楠、郝萱、崔久强、赵宇、付大鹏、高宁、范磊、陈兴蜀、王海舟、张志和、陶思男。
犌犅犜引言随着互联网快速发展,信息化已经深入社会的各个领域,并且发挥愈来愈重要的作用,同时安全问题对互联网行业的威胁也越来越大,其中假冒和钓鱼网站的危害尤为严重,如何保证网站身份真实性,有效抵制假冒、钓鱼网站已经成为国家信息系统安全建设急需解决的重要问题。
本标准定义了一种基于我国自主密码算法、可以承载网站真实信息的可信标识体系框架,并对可信标识对象、可信标识对象管理、可信标识对象获取与验证、数据格式与接口等内容进行了规范,旨在推动基于国家自主密码算法的互联网信任体系的建立。
网站可信标识以自主密码技术为基础,以开放和可扩展的方式建立全新的网站认证体系和管理体系。
犌犅犜信息安全技术网站可信标识技术指南范围本标准规定了用于识别网站真实信息的可信标识体系框架,并对可信标识对象、可信标识对象管理、可信标识对象获取与验证、数据格式与接口等内容进行了规范。
本标准适用于可信标识的管理系统、可信标识验证工具等系统的开发、实现和测评。
规范性引用文件下列文件对于本文件的应用是必不可少的。
凡是注日期的引用文件,仅注日期的版本适用于本文件。
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
(所有部分)信息技术抽象语法记法一()信息技术开放系统互连目录第部分:
公钥和属性证书框架计算机信息系统安全保护等级划分准则(所有部分)信息技术安全技术信息技术安全评估准则信息技术安全技术公钥基础设施在线证书状态协议信息安全技术术语(所有部分)椭圆曲线公钥密码算法密码杂凑算法轻量级目录访问协议()术语和定义、和界定的以及下列术语和定义适用于本文件。
网站可信标识狑犲犫狊犻狋犲狋狉狌狊狋犲犱犻犱犲狀狋犻狋狔具有唯一性、防伪造及可鉴别,用于描述网站真实信息的一段数据,简称可信标识。
标识权威机构犻犱犲狀狋犻狋狔犪狌狋犺狅狉犻狋狔负责网站可信标识整个生命周期(注册申请、签发、发布、撤销等)管理的机构。
可信应用狋狉狌狊狋犲犱犪狆狆犾犻犮犪狋犻狅狀支持网站可信标识验证及展示的应用,包括浏览器、搜索引擎、即时通讯软件等。
缩略语下列缩略语适用于本文件。
:
标识权威机构():
标识撤销列表():
超文本传输协议()犌犅犜网站可信标识体系框架网站可信标识体系框架由网站、标识权威机构()以及可信应用三部分组成,其关系如图所示。
图网站可信标识体系框架网站可信标识体系框架包括:
)标识权威机构():
指具备鉴证网站真实信息能力,能够签发网站可信标识的机构。
标识权威机构对网站进行认证,根据认证的信息为网站签发可信标识,同时对可信标识进行管理。
)网站:
指待认证实体,网络服务提供者,可信标识的持有者,需要向标识权威机构申请可信标识、部署可信标识。
)可信应用:
指支持网站可信标识的应用,包括但不限于浏览器、搜索引擎、即时通讯软件等。
可信应用可以对网站部署的可信标识进行验证,并向终端用户展示可信标识的信息。
可信标识的使用流程如下:
)网站到标识权威机构提交相关的身份信息和资料,申请可信标识。
)标识权威机构对网站信息和资料审核后,使用标识权威机构私钥对审核的信息进行签名,将用户资料、网站信息以及签名合成网站特有可信标识对象,发放给网站并公开发布。
)网站在网络服务器的根目录中部署可信标识。
)标识权威机构对外公开发布自身的数字证书(包含公钥信息)以及签发的可信标识信息,可信应用应正确获取并安装标识权威机构的数字证书信息。
可信应用如何获取标识权威机构的数字证书,本标准不对此行为做特殊约定。
)需要验证网站的认证信息时,可信应用从网站的根目录获取网站可信标识,使用安装的标识权威机构数字证书验证可信标识对象有效性,核对网站信息与可信标识中信息是否匹配。
)可信标识验证通过后,可信应用将可信标识中的内容向终端用户展示。
网站可信标识对象概述网站可信标识对象具有以下特性:
除了标识权威机构,没有其他机构能够更改可信标识对象,可信犌犅犜标识对象是不可伪造的。
由于可信标识对象是不可伪造的,所以可以通过将其放置在目录中来发布,可以采用通用方式传输,而不需要特意去保护它们。
标识权威机构通过对信息集合的签名来生成网站可信标识对象,信息集合包括可辨别的网站名称以及一个包含网站附加信息的唯一性标识符。
唯一性标识符可以是诸如网站域名、地址或是说明有关可辨别网站名称有效性的其他形式。
具体地说,如果一个可信标识对象的可辨别网站名称为,唯一性标识符为,并且该可信标识对象是由名为,其唯一性标识符为的标识权威机构生成的,则网站可信标识具有下列的形式:
,这里为版本;为序列号;为用来签署可信标识对象的算法标识符;为的唯一性标识符;为网站的唯一性标识符;表示可信标识的有效期,由两个日期组成,两者之间的时间段即是可信标识的有效期。
可信标识有效期是一个时间区间,在这个时间区间里,应保证维护该可信标识的状态信息,也就是发布有关撤销的信息数据。
由于假定在不小于的周期内变化,要求系统以协调世界时()为基准时间。
可信标识上的签名可被任何知道公钥的用户用来验证可信标识对象的有效性。
标识撤销列表()是签发的一个包含撤销可信标识的列表文件,该文件可用于可信应用鉴别可信标识的有效性。
可信标识对象逻辑组成可信标识对象的组成如表所示。
表可信标识对象组成标识信息域()签名算法()签名域()可信标识对象的组成包括:
)标识信息域:
需要签名的数据,包含网站实体信息、标识权威机构信息等,具体内容见表。
)签名算法:
描述签名使用的算法,目前仅为签名算法(:
)。
)签名域:
标识权威机构使用私钥对标识信息域信息的签名值。
标识信息域的组成如表所示。
表标识信息域名称说明版本号()默认为序列号()标识的唯一序列号,同一个标识机构发放的标识序列号不应重复颁发者()标识权威机构的名称等级()认证等级,用于区分网站类型,当前为有效期()起始有效期()标识生效时间终止有效期()标识失效时间犌犅犜表(续)名称说明网站名称()网站的全称网站别名()网站简称,少于个字符,用于在可信应用中简要显示。
可选网站首页()网站首页地址,可选网站认证详情页面地址()详情页面的地址,用于展示更详细的网站信息。
该地址通常指向标识权威机构维护的信息页面网站所有者()网站所有者的实体名称,如企业名称网站所有者类型()网站所有者的类型,如企业、个人、政府等网站域名()网站域名序列,验证时只有验证网站的域名在当前域名序列中才能验证通过。
表示的所有子域名网站地址()网站地址序列,支持及,验证时只有验证网站的地址在序列中才能验证通过。
可以用点分十进制表示,也可以用表示一个网段。
表示任意地址扩展信息()颁发机构的密钥标识()分发点()可选一个完整的可信标识对象示例参见附录。
可信标识对象管理可信标识对象管理状态图可信标识对象的管理状态关系如图所示。
犌犅犜图可信标识对象管理状态可信标识申请可信标识申请是网站向标识权威机构提交相关证明材料,标识权威机构对提交的申请和证明材料进行有效性核对和审核的过程。
可信标识生成可信标识生成是标识权威机构根据审核确认的网站信息,生成网站可信标识对象的过程。
标识权威机构将网站实体信息以及自身信息合并后,使用算法私钥对信息签名,产生可信标识对象,然后对可信标识对象进行编码后以文本文件存储。
标识权威机构的私钥是签发可信标识的关键,应遵循国家密码主管机构对密钥的相关规定进行安全存储和使用。
可信标识发放可信标识发放是标识权威机构将网站可信标识文件发送给网站的过程。
发送方式可采用在线下载、邮件传输、离线存储设备拷贝等方式。
可信标识部署可信标识的部署是网站收到可信标识文件后,按照约定部署到网站的过程,具体方式是以约定文件名称(如)部署在网站的根目录下,可信应用可以通过方式从网站根目录下获取可信标识(:
网站域名)。
可信标识更改由于网站实体内容的更改,如域名、或者网站所有者发生变化,则需要对原有可信标识进行更改。
可信标识的更改首先进入可信标识撤销流程,然后重新进入可信标识申请流程。
可信标识过期网站可信标识对象中的终止有效期早于当前时间时,可信标识处于过期状态,网站需要通过重新进犌犅犜入可信标识申请流程才能获取新的网站可信标识。
可信标识撤销可信标识撤销是标识权威机构将特定可信标识列入标识撤销列表的过程,标识撤销列表包含标识权威机构的签名信息。
当出现网站实体内容更换(如域名、地址或者网站所有者发生变化)情况时,网站应向标识权威机构提出可信标识撤销。
标识权威机构也可以主动撤销网站可信标识。
可信标识发布标识权威机构应及时对外发布可信标识信息以及标识撤销列表信息,可信应用可以根据发布的信息验证可信标识的有效性。
可信标识延期当可信标识有效期结束,网站需继续使用可信标识时,标识权威机构采用原有网站信息后重新生成可信标识,发放给网站继续使用。
可信标识对象获取及验证当可信应用需要对网站进行验证时,首先从网站根目录下获取网站的可信标识对象文件(:
网站域名),然后从文件中提取可信标识对象进行不少于以下步骤的验证:
)判断可信标识对象是否为合法的网站可信标识对象,即解析可信标识对象的数据内容是否符合所定义的数据格式。
)判断可信标识对象是否为信任的标识权威机构签发,即解析可信标识对象中的标识权威机构名称是否与可信应用信任的标识权威机构名称匹配。
)判断可信标识对象数据是否被篡改,即使用信任的标识权威机构公钥解密可信标识对象签名域,得出签名摘要值,对可信标识信息域进行摘要运算,将两个摘要值进行比较,摘要值相同,则可信标识对象未被篡改,摘要值不同,表明可信标识对象被篡改。
)验证可信标识对象有效期,即解析可信标识对象的起始有效期和终止有效期,与当前的时间对比,务必使当前时间处于起始有效期与终止有效期之间。
)验证可信标识对象是否已经被撤销。
验证可信标识对象是否已经被撤销的方法有两种:
)事先或实时获取标识撤销列表并解析,检查当前可信标识对象的序列号是否在标识的撤销列表中,如果存在,表明当前可信标识对象被撤销,如果不存在,表明可信标识对象未被撤销。
标识撤销列表的数据格式在中描述,发布及获取方式在中描述。
)采用标识状态查询方式实时获取可信标识对象的状态,判断可信标识对象有效还是撤销。
标识状态查询协议在中描述。
)验证可信标识中的信息是否与访问的网站信息匹配。
验证信息包括但不限于域名、地址。
以上步骤中任何一个步骤验证失败,都认为验证失败。
数据格式与接口可信标识对象数据格式综述本标准采用定义的编码规则对网站可信标识中的各项信息进行编码,组成特定的网犌犅犜站可信标识数据结构。
编码是关于每个元素的标识、长度和值的编码系统。
可信标识的数据结构可信标识数据结构的描述如下:
,:
,扩展项:
():
,:
,:
,:
():
,犌犅犜上述的网站可信标识数据结构由,和三个域构成。
这些域的含义如下:
域是待签名原文,包含了网站主体信息、颁发者信息、可信标识的有效期以及其他的相关信息。
域包含签发机构签发该可信标识对象所使用的密码算法的标识符。
一个算法标识符的结构如下:
,算法标识符用来标识一个密码算法,其中的部分标识了具体的算法。
其中可选参数的内容完全依赖于所标识的算法。
目前签名算法标识为,无参数。
关于签名算法,遵循的定义。
域包含了对域进行数字签名的结果。
采用编码的作为数字签名的输入,而签名的结果则按照编码成类型并保存在标识签名值域内。
犜犅犛犛犻狋犲犐犇及其数据结构综述包含了网站可信标识结构的主要信息。
这些信息主要有网站主体信息、颁发者的名称、主体的有效期、标识等级、版本号和序列号,有些还可以包含扩展项。
本条的下述段落描述这些项的语法和语义。
版本号版本号()描述了可信标识的版本号,当前应为()。
序列号序列号()是标识权威机构分配给每个可信标识的一个正整数,一个标识权威机构签发的每个网站可信标识的序列号应是唯一的(这样,通过颁发者的名字和序列号就可以唯一地确定一个标识),标识权威机构应保证序列号是非负整数。
序列号可以是长整数,网站可信标识用户应能够处理长达个位字节的序列号值。
标识权威机构应确保不使用大于个位字节的序列号。
颁发者颁发者()标识了网站可信标识签名和标识颁发的实体名称。
该项被定义为类型。
等级等级()描述认证等级,当前为。
数字越大,等级越高,需验证内容越多,验证内容的信息应在地址指向的详情页面中。
有效期综述有效期()是一个时间段,在这个时间段内,标识权威机构担保它将维护关于网站可信标识犌犅犜状态的信息。
该项被表示成一个具有两个时间值的类型数据:
网站可信标识有效期的起始时间()和网站可信标识有效期的终止时间()。
和这两个时间都可以作为类型或者类型进行编码。
编码类型要求遵循本标准的标识权威机构在年之前(包括年)应将该时间编码为类型,在年之后,编码为类型。
世界时间世界时间()是为国际应用设立的一个标准类型,在这里只有本地时间是不够的。
通过两个低位数确定年,时间精确到或。
包含(用于,或格林威治标准时间)或时间差。
在本项中,值应用格林威治标准时间()表示,并且应包含秒,即使秒的数值为零(即时间格式为)。
系统对年字段()应如下解释:
当大于或等于,年应解释为;当不到,年应解释为。
通用时间类型通用时间类型()是一个标准类型,表示时间的可变精确度。
字段能包含一个本地和格林威治标准时间之间的时间差。
本项中,值应用格林威治标准时间表示,且应包含秒,即使秒的数值为零(即时间格式为)。
值绝不能包含小数秒()。
网站名称网站名称()描述了网站可信标识相对应的网站名称,该项被定义为类型。
网站别名网站别名()描述了网站可信标识相对应的网站别名或者简称,该项主要用于在终端中的简要显示,被定义为类型,其长度不超过字符。
网站首页网站首页()描述了网站可信标识相对应的网站首页地址,该项被定义为类型。
网站认证详情页面地址网站认证详情页面地址()描述了网站可信标识相对应的网站信息详情页面地址,详情页面中将显示更详细的认证信息。
该项被定义为类型。
网站所有者网站所有者()描述了网站可信标识相对应的网站所有者名称,该项被定义为类型。
网站所有者类型网站所有者类型()描述了网站可信标识相对应的网站所有者类型,该项目被定义为类型,可以为政府机关、事业单位、企业单位、社会团体、个人用户、其他。
犌犅犜网站域名网站域名()是网站的一个或多个域名的序列(),每个域名定义为类型。
域名可以使用通配符表示,例如表示所有的子域名。
网站地址网站地址()是网站相对应的地址序列,表示该网站可以在该地址部署。
每个地址项被定义为类型。
地址支持和,每个地址可以用点分十进制表示,例如、:
,也可以用格式表示,例如。
当用通配符表示地址时,表示该网站地址不固定,可无需验证。
网站可信标识扩展域及其数据结构网站可信标识扩展本标准定义的可信标识扩展项提供了把一些附加属性同可信标识相关联的方法以及可信标识结构的管理方法。
可信标识允许定义标准扩展项和专用扩展项。
每个网站可信标识中的扩展可以定义成关键性的和非关键性的。
一个扩展含有三部分,它们分别是扩展类型、扩展关键度和扩展项值。
扩展关键度()告诉一个可信标识的使用者是否可以忽略某一扩展类型。
应用系统如果不能识别关键的扩展时,应拒绝接受该可信标识,如果不能识别非关键的扩展,则可以忽略该扩展项的信息。
本条定义一些标准的扩展项。
需要特别注意的是,在实际应用过程中,如果采用了关键性的扩展,可能导致在一些通用的应用中无法使用该可信标识。
每个扩展项包括一个对象标识符和一个结构。
当网站可信标识中出现一个扩展时,作为项出现,其对应的编码结构就是字符串的值。
一个扩展中包含一个布尔型的值用来表示该扩展的关键性,其缺省值为,即非关键的。
每个扩展的正文指出了关键性项的可接收的值。
遵循本标准的标识权威机构应支持分发点、颁发者密钥标识符等扩展。
标识权威机构还可以支持本标准定义之外的其他的扩展。
颁发者应注意,如果这些扩展被定义为关键的,则可能会给互操作性带来障碍。
遵循本标准的应用应至少能够识别分发点、颁发者密钥标识符信息。
本项定义网站可信标识的标准扩展,每个扩展与中定义的一个相关。
这些都是的成员,其定义如下:
()()颁发机构密钥标识符颁发机构密钥标识符()提供了一种方式,以识别与标识签名私钥相应的公钥。
当颁发者由于有多个密钥共存或由于发生变化而具有多个签名密钥时使用该扩展。
识别可基于颁发者证书中的主体密钥标识符或基于颁发者的名称和序列号。
相应产生的标识应包括扩展的项,以便于链的建立。
:
,(,犌犅犜,):
项的值应从用于证实标识签名的公钥导出或用产生唯一值的方法导出。
公开密钥的密钥标识符可采用下述两种通用的方法生成:
)由值的散列值组成(去掉标签、长度和若干不使用的字节);)由加上后跟的值的散列值中最低位的组成。
算法遵循的定义。
所有的可信标识应包含本扩展,而且要包含项。
如果可信标识的颁发者的证书有扩展,则本扩展中项应与颁发者的证书的扩展的值一致,如果可信标识的颁发者的证书没有扩展,则可以使用上边介绍的两种方法之一来产生。
网站可信标识撤销列表分发点综述网站可信标识撤销列表分发点()用来描述如何获得信息,本扩展仅作为可信标识扩展使用。
本项指定了分发点或可信标识用户的查阅点以确定可信标识是否已被撤销。
可信标识用户能从可用分发点获得一个,或者可以从标识权威机构目录项获得当前完整的。
定义:
():
,:
,:
(),(),(),犌犅犜(),(),(),()说明字段描述如何能够获得的位置。
如果此字段缺省,分发点名称默认为颁发者的名称。
当使用替代名称或应用默认时,分发点名称可以有多种名称形式。
同一名称(至少用其名称形式之一)应存在于颁发的分发点扩展的字段中。
不要求可信标识使用系统能处理所有名称形式。
它可以只处理分发点提供的诸多名称形式中的一种。
如果不能处理某一分发点的任何名称形式,但能从另一个信任源得到必要的撤销信息,例如另一个分发点。
如果分发点被赋于一个直接从属于颁发者的目录名称的目录名,则只能使用字段。
此时,字段传送与颁发者目录名称有关的可甄别名。
字段指明由此所包含的撤销原因。
如果没有字段,相应的分发点发布包含此可信标识(如果此可信标识已被撤销)的项的,而不管撤销原因。
否则,值指明相应的分发点所包含的那些撤销原因。
字段描述颁发和签署的机构。
如果没有此字段,颁发者的名称默认为可信标识颁发者的名称。
此扩展可以是关键的或非关键的,由可信标识颁发者选择,建议该扩展设置为非关键的,但应用应支持该扩展。
如果该扩展描述为关键,标识权威机构则要保证分发点包含所用的撤销原因代码兼容。
如果此扩展描述为非关键的,当可信标识使用系统未能识别此扩展项类型时,则只有在下列情况中,该系统可忽略此扩展:
它能从标识权威机构获得一份完整并检查它;根据本地策略不要求撤销检查;用其他手段完成撤销检查。
标识撤销列表数据格式综述本标准采用的特定编码规则()对下列标识撤销列表项中的各项信息进行编码,组成特定的标识撤销列表数据结构。
编码是关于每个元素的标识、长度和值的编码系统。
犐犚犔的数据结构数据结构的描述如下:
,犌犅犜:
,上述的数据结构由、和三个域构成。
这些域的含义如下:
域包含了主体名称和颁发者名称、颁发日期、撤销的标识信息和的扩展信息。
域包含标识机构签发该所使用的算法标识符。
一个算法标识符的结构如下:
,算法标识符用来标识一个密码算法,其中的部分标识了具体的算法。
其中可选参数的内容完全依赖于所标识的算法。
该域的算法标识符应与中的标识的签名算法项相同。
此处签名算法定义为算法,算法签名以及数据格式遵循的定义。
域包含了对域进行数字签名的结果。
采用编码的作为数字签名的输入,而签名的结果则按照编码成类型并保存在签名值域内。
犜犅犛犐犱犲狀狋犻狋狔犔犻狊狋及其数据结构综述主要包含了版本号、颁发者、生效日期、下次更新日期、签名算法、签发机构密钥标识符、撤销的标识信息。
有些还可以包含可选的扩展项。
本条的下述段落描述这些项的语法和语义。
版本号版本号()可选项描述了编码的版本号。
如果使用了项,则此项应存在,且其值应是(用整数表示)。
犌犅犜签名算法签名算法()包含标识机构签发该所使用的密码算法的标识符,这个算法标识符应与中项的算法标识符相同。
使用国家密码管理主管部门审核批准的相关算法,此处为。
颁发者颁发者()描述了签名和颁发的实体。
它应包含一个非空的甄别名称()。
该项被定义为类型。
的编码规则同。
生效日期生效日期()标明了的颁发日期,使用编码。
遵循本标准的颁发者在年之前(包括年)应将该时间编码为类型,在年之后,编码为类型。
的编码规则同。
的编码规则同。
下次更新日期下次更新日期()标明了下一次将要发布的时间。
下一次可以在此时间前签发,但不能晚于此时间签发。
使用编码。
遵循本标准的颁发者应在签发的中包含项。
遵循本标准的颁发者在年之前(包括年)应将该时间编码为类型,在年之后,编码为类型。
的编码规则同。
的编码规则同。
撤销列表撤销列表()该域标明被撤销的可信标识序列号、撤销时间和撤销原因。
如果没有被撤销的可信标识,此项不存在。
否则,列出被撤销可信标识的序列号,并指定撤销的日期。
扩展项扩展项()只可在出现。
如果出现,此项由一个或多个扩展的序列组成。
犐犚犔扩展项及其数据结构颁发机构密钥标识符颁发机构密钥标识符()提供了一种方式,以识别与签名私钥相应的公钥。
当颁发者由于有多个密钥共存或由于发生变化而具有多个签名密钥时使用该扩展。
识别可基于颁发者的主体密钥标识符或基于颁发者的名称和序列号。
颁发者替换名称颁发者替换名称()包含一个或多个替换名称(可使用多种名称形式中的任一个),犌犅犜以供颁发者使用。
标识撤销列表号标识撤销列表号()是一个非关键的扩展,表示在给定的颁发者和范围内一个单调递增序列。
这个扩展可以让用户方便地确定一个特定的何时取代另一个。
标识撤销列表号也支持鉴别一个附件的完整和增量。
如果颁发者在一个特定范围内除了生成完整外,还生成增量,完整和增量应共享同一个编号序列。
如果完整和增量在同一时间
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- GB-T 35287-2017 信息安全技术 网站可信标识技术指南 GB 35287 2017 信息 安全技术 网站 可信 标识 技术 指南