《证书认证系统密码及其相关安全技术规范》征求意见处理情况说明070710.docVIP

《证书认证系统密码及其相关安全技术规范》征求意见处理情况说明070710.doc

  1. 1、本文档共10页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
PAGE PAGE 10 《证书认证系统密码及其相关安全技术规范》 征求意见处理情况说明 一、企业意见处理情况 编号 意见 提出单位 是否采纳 处理意见 1 规范表述形式:对规范中提到的功能和性能要求,明确性质,指出那些“必须实现”或“建议实现” 兴唐科技 采纳 已修改。 2 规范的重点应该放在互连互通和相互认证有关的技术 兴唐科技 部分采纳 目前规范中已经考虑到了这方面的问题,但是没有确定具体的相互认证的技术,需要根据具体的实现决定,因此在规范中没有阐述,这部分也不必要阐述。 3 与国际标准的结合:以国际标准为基础,将特定要求发展为我国的标准,对密码设备接口方面,建议至少支持PKCS#11标准 兴唐科技 部分采纳 标准中一般的规范的部分都是参照国际标准,但是涉及到双中心部分无论从产品结构和流程方面都没有标准可依,并且这部分也是我们工作的重点。关于硬件接口支持PKCS#11是应该的,在标准的制定过程中,我们考虑到目前厂商对PKCS#11的支持的实际情况,提出了这个接口。如果能够支持PKCS#11对CA的开发商和应用都是非常方便的。 4 规范的宽容度:系统的逻辑结构划分和各部分承担的功能、CA/RA的范畴、密钥的管理要求要求具有宽容度 兴唐科技 不采纳 在系统结构划分和各部分承担的功能以及CA/RA的功能方面可以作为建议实现的方式,但是在密钥管理包括密钥管理中心方面,是符合国家密码管理局要求的,不应该具有宽容度。 5 CA/RA概念模糊 兴唐科技 采纳 在术语定义中明确。 6 证书认证系统的的逻辑结构应该灵活 兴唐科技 采纳 将原来的逻辑结构改为“建议采用”的逻辑结构。 7 签名证书的密钥产生 兴唐科技 不采纳 在规范中使用的证书介质中,由用户产生密钥是合理的,即使用户用其他软件(如IE)申请证书,也能够产生签名密钥。(另外,在使用CA过程中,不能考虑用户对PKI概念完全不了解的情形,就象如果用户不知道鼠标是什么就不要使用计算机了)。 8 证书/CRL存储发布系统在逻辑结构中没有明确提出 兴唐科技 采纳 在逻辑结构中,标识清楚。 9 证书注销列表的生成与签发功能 兴唐科技 部分采纳 签发必须集中完成、发布可以采用分布式的方式。 10 整体设计原则:无法采用统一的数据接口 济南得安 采纳 已修改。 11 OCSP是否一定需要签名 济南得安 采纳 不允许无签名查询,查询结果由OCSP服务器完成。 12 证书载体接口函数:密钥的有效期属性与证书有效期一致性如何解决 济南得安 采纳 通常情况密钥的有效性不能超过证书的有效性,各个系统对这个问题的处理方式不尽相同,不宜写入标准中。 13 对于性能是否明确提出要求 济南得安 不采纳 所有的性能问题都涉及到硬件平台的选择,在标准中无法进行统一明确的规定,特别是交易响应时间以及并发性能方面。 14 可靠性指标 济南得安 采纳 无故障时间应大于500小时。 15 系统的多级审核功能 济南得安 采纳 实际上是这样做的,文字上未明确表示出。 16 证书类型应进一步细化 济南得安 采纳 采用模板的方式对分类的证书类型作要求。 17 KMC的操作员的岗位证书签发者进一步明确 济南得安 采纳 岗位证书由CA初始化时签发,不必建立KMC内部CA,岗位证书与一般证书的管理一致。KMC单独设置CA问题在第二版时确定。 18 KMC与CA之间的通信方式 济南得安 采纳 KMC与CA安全通信协议可以使用自主实现的SSL、SPKM等基于身份认证的安全协议。 19 规范重点应放在密钥和密码设备安全性方面 天融信 不采纳 这部分不是本规范的内容。 20 应侧重对系统架构安全性方面作出要求以保证密钥以及密码设备的安全 天融信 采纳 规范已经在这方面有所考虑,规定一个具体的协议的目的是容易使不同厂家的产品实现互连。 21 先粗后细、先重点后展开 天融信 采纳 建议先实施,然后根据具体情况进行修改。 22 是否支持单证书 信安世纪 不采纳 规范要求签发双证书。 23 交叉认证的定义以及要求 无锡江南信息安全技术工程中心 不采纳 交叉认证的定义以及要求不是本规范的内容。 24 CA系统内部的密钥管理没有基本要求;证书和密钥的保存年限没有给出要求 无锡江南信息安全技术工程中心 采纳 CA的密钥管理已经做了基本要求,证书保存年限由应用系统规定。 25 缺乏CA体系的扩展性规范,包括对交叉认证和桥CA的支持、对证书扩展的支持 上海格尔 不采纳 不在本规范的范围内。 26 缺少对存储介质支持的规定 上海格尔 采纳 已经做了规定。 27 密钥更新、恢复的安全规定 上海格尔 采纳 已经有规定。 28 证书管理的冻结、解冻、挂起和解挂功能 上海格尔 采纳 这些功能与证书作废和恢复的功能相同。冻结、解冻、挂起、解挂的文字表述本版不再单独给

您可能关注的文档

文档评论(0)

14j63r06g33ed14 + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档