ICS35.040 L80 中华人民共和国国家标准 GB/T29243—2012 信 息安全技术 数字证书代理认证路径 构造和代理验证规范 Informationsecuritytechnology—Specificationsofdelegatedcertificationpath constructionanddelegatedvalidationfordigitalcertificate 2012-12-31发布 2013-06-01实施 中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会发布目 次 前言 Ⅲ ………………………………………………………………………………………………………… 引言 Ⅳ ………………………………………………………………………………………………………… 1 范围 1 ……………………………………………………………………………………………………… 2 规范性引用文件 1 ………………………………………………………………………………………… 3 术语和定义 1 ……………………………………………………………………………………………… 4 缩略语 2 …………………………………………………………………………………………………… 5 代理服务 2 ………………………………………………………………………………………………… 5.1 服务基本模式 2 ……………………………………………………………………………………… 5.2 代理认证路径构造 2 ………………………………………………………………………………… 5.3 代理验证 3 …………………………………………………………………………………………… 5.4 代理服务策略 3 ……………………………………………………………………………………… 6 代理服务协议要求 4 ……………………………………………………………………………………… 6.1 概述 4 ………………………………………………………………………………………………… 6.2 代理认证路径构造协议要求 4 ……………………………………………………………………… 6.3 代理验证协议要求 5 ………………………………………………………………………………… 6.4 策略查询协议要求 6 ………………………………………………………………………………… 7 代理服务协议 6 …………………………………………………………………………………………… 7.1 基本请求/响应消息 6 ………………………………………………………………………………… 7.2 策略配置请求/响应消息 26 ………………………………………………………………………… 附录A(资料性附录) 代理服务基本原理 31 ……………………………………………………………… A.1 概述 31 ………………………………………………………………………………………………… A.2 数字证书代理认证路径构造 31 ……………………………………………………………………… A.3 数字证书代理验证 31 ………………………………………………………………………………… ⅠGB/T29243—2012 前 言 本标准按照GB/T1.1—2009给出的规则起草。 本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。 本标准起草单位:中国科学院数据与通信保护研究教育中心。 本标准主要起草人:夏鲁宁、王琼霄、荆继武、林璟锵、向继。 本标准为首次制定。 ⅢGB/T29243—2012 引 言 随着《中华人民共和国电子签名法》的推广,我国的电子认证服务业和PKI系统的建设应用也进入 了新的发展阶段。同时,随着互联网的进一步发展,更多类型的终端接入网络。对于某些类型的终端, 如手机、传感器等,由于其计算或通信资源的限制,难以独立完成证书认证路径构造或证书验证,需要 PKI系统提供代理服务来协助完成上述两种任务。 对于PKI依赖方来说,证书认证路径构造和证书验证是必要的过程,但是该过程中所需要的证书 查找、撤销信息查找、证书/CRL验证计算等,需要较大的带宽和计算资源消耗,在计算或通信资源受限 的环境下会有不同程度的困难。代理技术是解决上述困难的重要方法,将证书认证路径构造或证书验 证委托给代理服务器,能够大大减轻PKI客户端的计算负担和通信消耗。 代理认证路径构造和代理验证是两种安全等级不一样的代理服务。对于代理认证路径构造,代理 服务器返回验证该证书所需要的完整路径(包括证书链、CRL、OCSP通信消息等),然后由客户端自己 进行验证。这种方式下可以明显减少客户端的通信消耗,且不要求客户端信任服务器;对于代理验证, 代理服务器直接返回被验证的证书是否有效。这种方式下客户端的计算负担和通信消耗都明显减少, 但客户端应信任代理服务器。为了满足不同交易的安全等级需求,一般要求PKI系统同时提供这两种 不同的服务。 本标准将定义代理认证路径构造和代理验证两种服务的概念和协议要求,并根据协议要求给出一 种标准化的客户端和服务器交互的代理服务协议。 ⅣGB/T29243—2012 信息安全技术 数字证书代理认证路径 构造和代理验证规范 1 范围 本标准规定了数字证书代理认证路径构造和代理验证两种服务的概念和协议要求,以及满足协议 要求的代理服务协议。 本标准适用于PKI系统运营机构的代理认证路径构造和代理验证服务的实现和应用。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T16263.1—2006 信息技术 ASN.1编码规则 第1部分:基本编码规则(BER)、正则编码 规则(CER)和非典型编码规则(DER)规范 GB/T16264.8—2005 信息技术开放系统互连目录 第8部分:公钥和属性证书框架 RFC3852 密码消息语法(CryptographicMessageSyntax,CMS) 3 术语和定义 GB/T16264.8—2005界定的以及以下术语和定义适用于本文件。 3.1 数字证书代理验证 delegatedvalidationfordigitalcertificate 由代理服务器为PKI依赖方实现数字证书验证的过程。 3.2 代理验证 delegatedvalidation 在本标准范围内,与“数字证书代理验证”同义。 3.3 数字证书代理认证路径构造 delegatedcertificationpathconstructionfordigitalcertificate 由代理服务器为PKI依赖方实现数字证书认证路径构造的过程。 3.4 代理认证路径构造 delegatedcertificationpathconstruction 在本标准范围内,与“数字证书代理认证路径构造”同义。 3.5 代理验证策略 delegatedvalidationpolicy 表达代理验证应如何执行的一系列规则。 3.6 代理认证路径构造策略 delegatedcertificationpathconstructionpolicy 表达代理认证路径构造应如何执行的一系列规则。 1GB/T29243—2012 4 缩略语 下列缩略语适用于本文件。 ASN.1 抽象语法标记1(AbstractSyntaxNotationOne) CA 证书认证机构(CertificationAuthority) CRL 证书撤销列表(CertificateRevocationList) FTP 文件传输协议(FileTransferProtocol) HTTP 超文本传输协议(HyperTextTransferProtocol) LDAP 轻量级目录访问协议(LightweightDirectoryAccessProtocol) MAC 消息鉴别码(MessageAuthenticationCode) OCSP 在线证书状态协议(OnlineCertificateStatusProtocol) OID 对象标识符(ObjectIdentifier) PDA 个人数字助理(PersonalDigitalAssistant) PKI 公钥基础设施(PublicKeyInfrastructure) PKIX IETF的安全领域的公钥基础设施工作组(Public-KeyInfrastructureforX.509) 5 代理服务 5.1 服务基本模式 本标准定义的代理服务采用客户机/服务器模式,通过请求/响应消息对进行,即客户端依照自身需 要,构建请求消息,并发往服务器端;服务器端接收客户端的请求消息,提取出请求消息中的具体服务要 求并进行相应的处理,最后将处理结果通过响应消息返回给客户端,这就是一次代理服务的全过程。附 录A给出了关于代理服务基本原理的细节表述。 在实际环境中,客户端与服务器端的通信过程可能会受到各种类型的攻击,比如伪造消息、篡改消 息等,这可能会给代理服务带来严重的影响。因而在客户端与服务器端通信的过程中,应对消息进行保 护。通常情况下,可以采取的方式有数字签名和消息鉴别码(MAC),客户端和服务器端根据实际需要 选择消息保护类型。 根据服务器端的可信程度的不同,将其划分为可信、不必可信两种情况。每种情况下,服务器端可 以提供相应信任程度的代理服务。本标准中规定