下载本文档
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
一、任务来源
根据国家标准化管理委员会2011年下达的国家标准制修订计划,国家标准《信息安全
技术公钥基础设施数字证书策略分类分级规范》由中科院数据与通信保护研究教育中心负
责主办,标准计划号为20111618-T-469(全国信息安全标准化技术委员会2010年信息安
全专项)。
二、编制原则
本标准参照了国家标准《GB/T20518-2006信息安全技术公钥基础设施数字证书格
式》和《GB/T26855-2011信息安全技术公钥基础设施证书策略与认证业务声明框架》、
国外公司证书策略文档以及国内各CA公司证书策略相关文档,根据国内数字证书技术的发
展需要,基于多方调研、征求意见后而制定的。
三、主要工作过程
(一)标准制定的主要工作过程如下:
1)2010年4月,本标准得到全国信息安全标准化技术委员会“2010年国家信息安全战略
研究与标准制定工作”专项任务《数字证书策略分级分类规范》的支持,组织了以荆继武教
授为组长的编制组,进行了广泛的资料调查和充分的研究。
2)2009年10月1日至2010年6月30日,本标准得到中华人民共和国工业和信息化部
“证书策略分级体系研究”课题支持,调研国内外证书策略体系及应用现状,分析国内相关
要求;多次参加工信部组织的专家会,探讨证书策略体系的构建;参加《基线证书策略》意
见征询会,听取国内各CA公司的建议,并进行了处理,最终完成《证书策略分级体系研究
报告》、《电子认证服务基线证书策略释疑》和《电子认证服务通用证书策略》。
3)2010年7月至2011年8月,编制组内分析、讨论和修改完善已有证书策略文档,并
综合上述成果,依据国家标准写作要求,形成《数字证书策略分级分类规范》标准草案。
4)2011年8月12日,WG3、WG4工作组专家对本标准情况进行了审查,共提出13条
建议。编制组成员分析讨论专家意见后,进行了相应的修改。
5)2011年12月16日,WG4工作组专家对本标准情况进行审查,共提出6条建议。编制
组成员分析讨论专家意见,并进行相应修改。
6)2013年5月23日,标准草案在WG4工作组内部征求意见,13家单位一致通过。
7)2013年6月4日-6月30日,送7个部门(安标委副主任单位)征求意见,并面向社
会在安标委TC260网站上对标准征求意见稿征求意见,收到4个部门反馈意见。
8)2013年7月24日,信安标委秘书处邀请专家集中对标准文本进行修改,根据专家意见
进行修改后,形成送审稿。
(二)标准征求意见的落实情况如下:
1)发送《标准草案稿》的单位包括安标委网站(征求意见)、工作组专家(评审)、全
体工作组成员(投票);回函的单位数为全体工作组成员,有建议或意见的单位数共计7个;
1
没有回函的单位数为0个。
2)发送《征求意见稿》的单位包括安标委副主任单位(8大部门)、安标委网站(征
求意见);回函的单位数为4个;有建议或意见的单位数为4个;没有回函的单位数为3个。
四、标准的主要内容及确定内容的依据
目前,我国的电子认证服务机构签发的数字证书均未包含证书策略的内容,即在证书
中没有说明公钥可以应用在什么场景,适用于什么样的安全需求。这导致了证书的使用者对
于证书的用途十分茫然,限制了数字证书的广泛应用。另外,由于缺乏数字证书使用范围或
质量的标准,各电子认证服务机构证书签发的安全措施(如:证书签发过程中的身份鉴别、
物理设备安全、责任和赔付等)也存在较大差距。这种不一致导致了证书依赖方的许多困惑,
阻碍了数字证书的跨区域跨行业应用,限制了应用程序直接获得证书的安全信息,对证书进
行自动地验证。而标准化的证书策略能够使用户清晰地认识到证书的质量和安全通途,方便
应用系统的开发设计。因此,对证书策略进行规范和标准化,是推进电子商务、电子政务系
统之间互联互通的重要一步。
通过证书策略的标准化,设计数字证书策略的分级分类规范,可以为电子认证服务市
场规划出分级的、多层次的服务质量体系,为不同应用系统实现适度的安全服务,从而促进
电子认证服务机构之间的良性竞争,提升服务质量,推动电子认证服务市场的有序发展。另
外,随着证书策略的分级分类逐步的实施,也可以促进电子认证服务机构评估和许可工作的
规范化,即审查电子认证服务机构是否真正地按照其证书策略要求的规范来运营,是否提供
相应的安全保障,这也是构建证书策略分级分类体系的重要意义。
国家标准《GB/T26855-2011信息安全技术公钥基础设施证书策略与认证业务声明
框架》中规范了证书策略中的内容,包括导言、信息发布和证书资料库职责、身份标识与鉴
别、证书生命周期操作要求、设施、管理和运作控制、技术安全控制、证书、证书撤销列表
和在线证书状态协议、合规性审计和相关评估、其它商业和法律事宜,共9部分内容。本
标准根据标准写作规范,加入了范围、规范性引用文件、术语和定义、缩略语4部分内容,
同时将证书策略文档中的导言加入到范围部分,形成了如下12部分的内容框架:
1范围
2规范性引用文件
3术语和定义
4缩略语
5概述
6信息发布和证书资料库职责
7身份标识与鉴别
8证书生命周期操作要求
9设施、管理和运作控制
10技术安全控制
11证书、证书撤销列表和在线证书状态协议
12合规性审计和相关评估
13其它商业和法律事宜
五、与相关法律法规及国家有关规定、国内相关标准的关系
本标准符合现有法律法规。国家标准《GB/T26855-2011信息安全技术公钥基础设
施证书策略与认证业务声明框架》规范了数字证书策略文档的结构和内容,而本标准是对
证书策略进行了分类分级,即规范不同级别的证书策略文档中各个部分应满足的具体要求。
六、有关专利的说明
本标准不涉及专利
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
评论
0/150
提交评论