04-信息安全技术 公钥基础设施 证书分级规范(报批稿).docVIP

目 次 前 言 2 引 言 3 1 范围 4 2 规范性引用文件 4 3 术语和定义 4 3.1 公钥基础设施 public key infrastructure 4 3.2交叉认证 cross certification 4 3.3交叉认证协议备忘 cross-certification memorandum of agreement 4 3.4 证书策略 certificate policy 4 3.5实体CA entity CA 4 3.6订户 subscriber 4 3.7激活数据 activation data 4 4 缩略语 5 5 安全保证等级 5 5.1概述 5 5.2测试级 5 5.2.1 导引 5 5.2.2 信息发布与管理 5 5.2.3 身份标识与鉴别 5 5.2.4 证书生命周期操作要求 6 5.2.5 认证机构设施、管理和操作控制 6 5.2.6 技术安全控制 6 5.2.7 证书、证书撤销列表和在线证书状态协议 6 5.2.8 符合性审计和其他评估 6 5.2.9 其他商务和法律问题 6 5.3初级 6 5.3.1 导引 6 5.3.2 信息与发布管理 7 5.3.3 身份标识与鉴别 7 5.3.4 证书生命周期操作要求 7 5.3.5 认证机构设施、管理和操作控制 7 5.3.6 技术安全控制 7 5.3.7 证书、证书撤销列表和在线证书状态协议 8 5.3.8 符合性审计和其他评估 8 5.3.9 其他商务和法律问题 8 5.4基本级 8 5.4.1 导引 8 5.4.2 信息与发布管理 8 5.4.3 身份标识与鉴别 8 5.4.4 证书生命周期操作要求 9 5.4.5 认证机构设施、管理和操作控制 9 5.4.6 技术安全控制 10 5.4.7 证书、证书撤销列表和在线证书状态协议 10 5.4.8 符合性审计和其他评估 10 5.4.9 其他商务和法律问题 10 5.5中级 10 5.5.1 导引 10 5.5.2 信息与发布管理 11 5.5.3 身份标识与鉴别 11 5.5.4 证书生命周期操作要求 11 5.5.5 认证机构设施、管理和操作控制 11 5.5.6 技术安全控制 13 5.5.7 证书、证书撤销列表和在线证书状态协议 13 5.5.8 符合性审计和其他评估 13 5.5.9 其他商务和法律问题 13 5.6高级 13 5.6.1 导引 13 5.6.2 信息与发布管理 13 5.6.3 身份标识与鉴别 14 5.6.4 证书生命周期操作要求 14 5.6.5 认证机构设施、管理和操作控制 14 5.6.6 技术安全控制 15 5.6.7 证书、证书撤销列表和在线证书状态协议 16 5.6.8 符合性审计和其他评估 16 5.6.9 其他商务和法律问题 16 附录A 17 附录B 20 参考文献 21 前 言 本标准的附录A和附录B为规范性附录。 本标准由中国电子标准化研究所提出并归口。 本标准起草单位：国家信息中心 中国科学院信息安全国家重点实验室 本标准主要起草人：吴亚非 任金强 罗红斌 张凡 高能 引 言 本标准对证书策略的安全保证级别规定了分级标准，并划分为四个应用等级：初级、基本级、中级、高级和测试级共五个级别。本标准参照RFC3647，对各级别的证书策略做出了明确说明，用以指导设计者如何设计和实现相应级别的证书策略。每个级别针对九个方面的不同内容做出了要求，保证了证书策略从初级到高级，其安全程度随之递增，其适应的安全环境也随之更加严格。信息安全技术 公钥基础设施 证书分级规范 范围 本标准按照对证书的策略要求，将证书划分为四个应用级别和测试级共五个等级并说明了对各级别的技术要求，四个应用级别是：初级、基本级、中级、高级。其中测试级规范的是用于交叉认证测试的证书，四个应用等级（初级、基本级、中级和高级）所规范的证书安全级别逐次增高。 本标准适用于交叉认证时证书策略的设计与实现。 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注明日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准。凡是未注明日期的引用文件，其最新版本适用于本标准。 RFC3647 互联网X.509公钥基础设施 证书策略和证书运行框架公钥基础设施ublic key infrastructure 支持公钥管理体制的基础设施，提供鉴别、加密、完整性和不可否认性服务。 3.2交叉认证 cross certification 两个CA之间建立信任关系的一个过程。通过这个过程，使它们可以互相信任和依赖任何一方发放的证书。 3.3交叉认证协议备忘 cross-certification memorandum of agreeme