<menu id="guoca"></menu>
<nav id="guoca"></nav><xmp id="guoca">
  • <xmp id="guoca">
  • <nav id="guoca"><code id="guoca"></code></nav>
  • <nav id="guoca"><code id="guoca"></code></nav>
    GB/T 19771—2005信息技術 安全技術 公鑰基礎設施 PKI組件最小互操作規范
    展開或關閉
    前 言
    前言
    引言
    引言
    1 范圍
    范圍
    2 規范性引用文件
    規范性引用文件
    3 術語和定義
    術語和定義
    4 縮略語
    縮略語
    5 PKI組件規范
    5.1 概述 5.2 證書認證機構(CA) 5.3 注冊機構(RA) 5.4 證書持有者規范 5.5 客戶規范
    6 數據格式
    6.1 數據格式概述 6.2 證書格式 6.3 證書撤銷列表 6.4 證書認證路徑 6.5 事務消息格式 6.6 PKI事務
    附錄A(規范性附錄) X.509 v3 Certificate ASN.1
    X.509 v3 Certificate ASN.1
    附錄B(規范性附錄) Certificate and CRL Extensions ASN.1
    Certificate and CRL Extensions ASN.1
    附錄C(規范性附錄) ASN.1 Module for transactions
    ASN.1 Module for transactions
    附錄D(規范性附錄) Certificate Request Message Format ASN.1 Module
    Certificate Request Message Format ASN.1 Module

    范圍

    GB/T 19771—2005信息技術 安全技術 公鑰基礎設施 PKI組件最小互操作規范 /

    本標準支持大規模公鑰基礎設施(PKI負責發布、撤銷和管理用于數字簽名及密鑰管理的公鑰證書)的互操作性。本標準為不同的PKI開發者所開發的組件產品提供了基本的互操作性參考。
    .本標準的內容涉及:
    · 公鑰證書的產生、更新和撤銷;
    · 簽名的產生和驗證;
    · 證書和證書認證路徑驗證。
    本標準主要包括了對證書、證書撤銷列表(CRL)擴展和一套事務的描述。這些事務包括證書申請、證書更新、證書撤銷以及從資料庫檢索證書和CRL。
    本標準主要以最終用戶的角度來看待PKI的互操作性,即怎樣申請和獲得一個證書;怎樣簽署文檔;怎樣檢索他人的證書;怎樣驗證簽名。就像下面所提及的,PKI的“內部”操作規范還沒有達到足夠成熟,因此它們沒有被詳細規定。
    在本標準中PKI被分成五個組件:
    · 頒發和撤銷證書的證書認證機構(CAs);
    · 確保公鑰和證書持有者的身份以及別的屬性之間綁定的注冊機構(RAs);
    · 獲得證書和簽署文檔的證書持有者;
    · 驗證簽名并且執行密鑰管理協議以及驗證證書認證路徑的客戶;
    · 存儲并提供對證書和CRL查詢的資料庫。
    許多實體在功能上既是證書持有者又是客戶。CAs和RAs也是如此。終端實體證書持有者通常也是客戶。當然,也有一些客戶并不是證書持有者。
    資料庫不必是證書持有者和客戶。本標準僅僅涉及資料庫協議的一部分,那就是客戶要求從資料庫中獲得證書和CRL的信息。
    本標準將輕型目錄訪問協議(LDAP)版本2作為用戶訪問資料庫的傳輸手段,因為它是被廣泛接受和采用的方法。例如,這種選擇既不強調CA用來更新資料庫的標準化協議,也不強調資料庫之間互相映射的協議,盡管它們都是需要的。前者可以具體情況具體分析以解決CA和資料庫之間的協議,后者也許并不必要。
    在通常的證書狀態確認(本標準遵循的)中,資料庫不是可信實體,CA對CRL的簽名更可靠。在線證書狀態實時確認機制要求資料庫是可信實體,而且它們也能讓客戶相信他們的身份。這樣的證書狀態確認協議超出了本標準的范圍,但是在一些應用中可能需要實時證書狀態確認,所以在以后的修訂版中可能會解決這個問題。
    本標準中沒有提供讓資料庫驗證使用者的協議,該協議是資料庫記費應用的前提。雖然這可能是資料庫重要的商用模式,但目前人們對該模式的看法還沒有達到一致,也沒有統一的支撐協議。在以后的修訂版中可能會解決這個問題。
    在一些情況下,帶外事務也是本標準中事務的一部分。帶外事務的形式和內容超出了本標準的范圍。
    本標準假定CA、RA和證書持有者是物理上分離的。如果這些實體在物理上是在一起的話,那么對特定接口的支持是不需要的。具體地說,如果一個PKI組件既包含RA又包含CA的功能,那么就不必支持這兩者之間的事務消息格式。然而,如果一個系統包括一個CA,該CA除了具有本地RA功能以外還支持遠程RA,那么它就必須支持和遠程RA之間的事務。在以下的論述中,我們假設CA和RA是單獨的PKI組件。
    本標準把CA和RA當作PKI系統的功能實體。這些實體的內部設計超出了本標準的范圍。
    本標準假設,從最小范圍來講,證書持有者有一個簽名密鑰和證書。可選的,證書持有者還可以獲得一個加密密鑰和證書。一旦證書持有者希望請求或者撤銷加密證書,它就需要用簽名密鑰來向CA證明自己。
    對那些沒有簽名密鑰對、不需要不可否認性服務的系統,本標準不予直接支持。當然,這些實體主要是這樣一些計算機系統(例如,路由器或是鏈路加密機),它們由管理員來維護。如果管理員有系統管理的簽名密鑰對,本標準的事務集合也可用來支持這些實體的證書請求和撤銷。
    本標準選定了一個成熟重要的數字簽名算法,新的標準算法很容易加入進來。
    本標準支持層狀和網狀信任模型。在層次模型中,CA通過認證一個次級CA來提供可信性。信任授權從根CA開始,該CA被所有節點信任。在網狀模型中,信任是建立在兩個同等關系的CA中的(即交叉認證),因此兩個CA之間可以有多個信任路徑。最小互操作規范假設GB/T 16264.8-200X證書的擴展basicConstraints, nameConstraints, keyUsage和 certificatePolicy 都會包含在證書中,以便對信任關系進行明確管理。
    本標準假設無需確認就可以從資料庫中檢索證書和CRL。客戶可以從適當的資料庫中獲得證書和CRL來進行路徑驗證。資料庫可以是X.500目錄或者使用通用資源標識符(URI)可訪問的目錄。希望資料庫能夠支持LDAP(即RFC 1777),因此相應的產品也要求支持這個協議。
    資料庫不必連接在一起,別的協議也可以用來獲得證書和CRL。本標準要求明確所使用的證書資料庫和檢索證書以及CRL的機制。
    CRL是一個廣泛使用的機制,它用于撤銷證書和驗證未到期證書的狀態。CRL的使用可能還沒有統一。一些CA選擇在線實時確認證書狀態的機制,CRL的產生對于別的CA的使用者來說應該具有互操作性。除了當前檢查證書的有效性,CRL還提供了一個重要的機制,即將證書以前的撤銷狀態存檔。如果一個帶日期簽名的簽名日期在證書的有效期內,那么該簽名是合法的,當前的CRL不會顯示證書被撤銷的信息。
    在本標準中,假設CA可以產生CRL,客戶在驗證證書時可以使用CRL。

    本文章首發在 網安wangan.com 網站上。

    上一篇 下一篇
    安全俠
    Reserved 1.2k 聲望
    暫無個人描述~
    討論數量: 0
    只看當前版本


    暫無話題~
    ? 2021 WANGAN.COM 幫助網安從業者成長;關注產業發展,做網絡安全忠誠衛士!
    亚洲 欧美 自拍 唯美 另类