ICS35.040 L80 中华人民共和国国家标准 GB/T31508—2015 信息安全技术 公钥基础设施 数字证书策略分类分级规范 Informationsecuritytechniques—Publickeyinfrastructure— Digitalcertificatepoliciesclassificationandgradingspecification 2015-05-15发布 2016-01-01实施 中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会发布目 次 前言 Ⅲ ………………………………………………………………………………………………………… 引言 Ⅳ ………………………………………………………………………………………………………… 1 范围 1 ……………………………………………………………………………………………………… 2 规范性引用文件 1 ………………………………………………………………………………………… 3 术语和定义 1 ……………………………………………………………………………………………… 4 缩略语 3 …………………………………………………………………………………………………… 5 概述 3 ……………………………………………………………………………………………………… 6 信息发布和证书资料库责任 6 …………………………………………………………………………… 7 身份标识与鉴别 7 ………………………………………………………………………………………… 8 证书生命周期操作要求 12 ………………………………………………………………………………… 9 设施、管理和运作控制 20 ………………………………………………………………………………… 10 技术安全控制 31 ………………………………………………………………………………………… 11 证书、证书撤销列表和在线证书状态协议 43 …………………………………………………………… 12 合规性审计和相关评估 43 ……………………………………………………………………………… ⅠGB/T31508—2015 前 言 本标准按照GB/T1.1—2009给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。 本标准起草单位:中国科学院数据与通信保护研究教育中心、北京数字证书认证中心有限公司、中 国科学院软件所。 本标准主要起草人:荆继武、高能、林璟锵、王展、马存庆、向继、王跃武、夏鲁宁、查达仁、王平建、 王琼霄、詹榜华、连一峰。 ⅢGB/T31508—2015 引 言 使用电子认证服务进行电子交易的实体主要关心两个问题:一是交易对象的合法公钥是什么;二是 交易对象的数字证书的安全性能否用于本交易。为了体现第二方面的信息,数字证书中包含了一个由 电子认证服务机构提供的证书策略标识,它表明了证书持有者(公钥所对应的用户)的安全属性。数字 证书的依赖方可以通过阅读相应的证书策略文档来评估证书的安全程度,以便正确使用或依赖该证书 (如:仅用于测试的,或者仅用于访问网络,或者可用于金融交易并有10万元担保)。因此,证书策略的 实施是数字证书实际应用中不可缺少的一部分,也是提供分层次可靠的电子认证服务的基础之一。 目前,我国的电子认证服务机构签发的数字证书均未包含证书策略的内容,即在证书中没有说明公 钥可以应用在什么场景,适用于什么样的安全需求。这导致了证书的使用者对于证书的用途十分茫然, 限制了数字证书的广泛应用。另外,由于缺乏数字证书使用范围或质量的标准,各电子认证服务机构证 书签发的安全措施(如:证书签发过程中的身份鉴别、物理设备安全、责任和赔付等)也存在较大差距。 这种不一致导致了证书依赖方的许多困惑,阻碍了数字证书的跨区域跨行业应用,限制了应用程序直接 获得证书的安全信息,对证书进行自动地验证。而标准化的证书策略能够使用户清晰地认识到证书的 质量和安全通途,方便应用系统的开发设计。因此,对证书策略进行规范和标准化,是推进电子商务、电 子政务系统之间互联互通的重要一步。 通过证书策略的标准化,设计数字证书策略的分级分类规范,可以为电子认证服务市场规划出分级 的、多层次的服务质量体系,为不同应用系统实现适度的安全服务,从而促进电子认证服务机构之间的 良性竞争,提升服务质量,推动电子认证服务市场的有序发展。另外,随着证书策略的分级分类逐步的 实施,也可以促进电子认证服务机构评估和许可工作的规范化,即审查电子认证服务机构是否真正地按 照其证书策略要求的规范来运营,是否提供相应的安全保障,这也是构建证书策略分级分类体系的重要 意义。 ⅣGB/T31508—2015 信息安全技术 公钥基础设施 数字证书策略分类分级规范 1 范围 本标准通过分类分级的方式,规范了用于商业交易、设备和公众服务领域的电子认证服务中的8种 数字证书策略。 本标准适用于我国电子商务和公众服务中所涉及的数字证书。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T20518—2006 信息安全技术 公钥基础设施 数字证书格式 GB/T26855—2011 信息安全技术 公钥基础设施 证书策略与认证业务声明框架 GB/T29241—2012 信息安全技术 公钥基础设施 PKI互操作性评估准则 3 术语和定义 下列术语和定义适用于本文件。 3.1 证书签发机构 certificationauthority 负责签发证书和维护证书状态的实体。 3.2 订户注册机构 registrationauthority 负责订户的标识和鉴别,批准或拒绝订户的证书申请、撤销申请和挂起申请,发起证书的撤销和挂 起的实体。 3.3 电子认证服务机构 certificationserviceprovider 依据《电子签名法》和《电子认证服务管理办法》获得《电子认证服务许可证》向公众提供电子认证业 务的机构,一般包含有证书签发机构和订户注册机构。 3.4 订户 subscriber 与电子认证服务机构签订协议,接受电子认证服务机构提供的服务的实体。订户应能对证书对应 的私钥的使用负有法律责任。 3.5 依赖方 relyingparty 接受电子认证服务机构的依赖方协议,独立地判断证书的安全性是否满足其应用的安全需求,并验 证证书和相应签名的实体。 1GB/T31508—2015 3.6 证书主体 subject 证书中的“主体(subject)”项指明的、持有与证书中载明公钥相对应之私钥的实体。 注:证书主体可以是订户自己,也可以是订户全权控制的设备、账号、域名、IP地址等。当订户是法人机构时,证书 主体还可以是该法人机构的下属机构、下属职员、签约人和设备等。 3.7 证书申请者 certificateapplicant 向电子认证服务机构申请证书的自然人或法人。 注:证书申请成功后,证书申请者即为订户。 3.8 证书申请递交人 certificateapplicationdeliverer 向电子认证服务机构递交证书申请的自然人,可以是订户或者订户的合法代表。 3.9 会话密钥 sessionkey 在一次会话中有效的对消息进行加密的密钥。 3.10 OCSP服务 OCSPservice 在线的证书状态查询服务,该服务的主要对象是依赖方。 3.11 可辨识名 distinguishedname 用于标识证书颁发机构和证书主体名称的序列,一般包括国家名称、省名、地理位置、机构名、机构 单元名称和正式名称。 3.12 带外方式 out-of-band 指当前的通信方式之外的方式,如电子认证服务机构以网络方式提供证书申请与查询等服务,带外 通讯方式包括但不限于报纸、电视、纸质文件、电话传真等。 3.13 激活数据 activationdata 用于使密码模块进入可操作状态的数据,可以是口令、生物特征等。 3.14 依赖方协议 relyingpartyagreement 电子认证服务机构在《电子认证业务规则》中或单独载明的与依赖方之间的协议,规定双方在证书 使用和管理过程中所承担的责任和义务。 3.15 订户协议 subscriberagreement 电子认证服务机构与订户所签署的协议,规定了双方在证书使用和管理过程中所承担的责任和 义务。 3.16 证书信任链 certificatechain 一个用于证书验证的有序证书序列,它包含一个终端订户证书和若干电子认证服务机构证书,证书 信任链起始于根证书,终止于终端订户证书。 3.17 证书撤销列表 certificaterevocationlist 由电子认证服务机构维护的,包含由于各种原因(例如:私钥泄露、证书中的信息发生改变)在有效 2GB/T31508—2015 期内被撤销的证书的列表。 3.18 对象标识符 objectidentifier 一串分段的数字,可以唯一地标识一个对象(例如:密码算法、证书策略等)。 3.19 公钥基础设施 publickeyinfrastructure 一套由硬件、软件、人员、策略和流程构成的,用于生成、管理、分发、使用、存储和撤销数字证书的, 利用公钥技术提供安全服务的基础设施。 3.20 证书策略 certificatepolicy 指定的一组规则,表明