GB/T 29243-2012信息安全技术数字证书代理认证路径构造和代理验证规范

ICS35040

L80.

中华人民共和国国家标准

GB/T29243—2012

信息安全技术数字证书代理认证路径

构造和代理验证规范

Informationsecuritytechnology—Specificationsofdelegatedcertificationpath

constructionanddelegatedvalidationfordigitalcertificate

2012-12-31发布2013-06-01实施

中华人民共和国国家质量监督检验检疫总局发布

中国国家标准化管理委员会

GB/T29243—2012

目次

前言…………………………

Ⅲ

引言…………………………

Ⅳ

范围………………………

11

规范性引用文件…………………………

21

术语和定义………………

31

缩略语……………………

42

代理服务…………………

52

服务基本模式………………………

5.12

代理认证路径构造…………………

5.22

代理验证……………

5.33

代理服务策略………………………

5.43

代理服务协议要求………………………

64

概述…………………

6.14

代理认证路径构造协议要求………………………

6.24

代理验证协议要求…………………

6.35

策略查询协议要求…………………

6.46

代理服务协议……………

76

基本请求响应消息…………………

7.1/6

策略配置请求响应消息…………

7.2/26

附录资料性附录代理服务基本原理………………

A()31

概述…………………

A.131

数字证书代理认证路径构造………………………

A.231

数字证书代理验证…………………

A.331

Ⅰ

GB/T29243—2012

前言

本标准按照给出的规则起草

GB/T1.1—2009。

本标准由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本标准起草单位中国科学院数据与通信保护研究教育中心

:。

本标准主要起草人夏鲁宁王琼霄荆继武林璟锵向继

:、、、、。

本标准为首次制定

。

Ⅲ

GB/T29243—2012

引言

随着中华人民共和国电子签名法的推广我国的电子认证服务业和系统的建设应用也进入

《》,PKI

了新的发展阶段同时随着互联网的进一步发展更多类型的终端接入网络对于某些类型的终端

。,,。,

如手机传感器等由于其计算或通信资源的限制难以独立完成证书认证路径构造或证书验证需要

、,,,

系统提供代理服务来协助完成上述两种任务

PKI。

对于依赖方来说证书认证路径构造和证书验证是必要的过程但是该过程中所需要的证书

PKI,,

查找撤销信息查找证书验证计算等需要较大的带宽和计算资源消耗在计算或通信资源受限

、、/CRL,,

的环境下会有不同程度的困难代理技术是解决上述困难的重要方法将证书认证路径构造或证书验

。,

证委托给代理服务器能够大大减轻客户端的计算负担和通信消耗

,PKI。

代理认证路径构造和代理验证是两种安全等级不一样的代理服务对于代理认证路径构造代理

。,

服务器返回验证该证书所需要的完整路径包括证书链通信消息等然后由客户端自己

(、CRL、OCSP),

进行验证这种方式下可以明显减少客户端的通信消耗且不要求客户端信任服务器对于代理验证

。,;,

代理服务器直接返回被验证的证书是否有效这种方式下客户端的计算负担和通信消耗都明显减少

。,

但客户端应信任代理服务器为了满足不同交易的安全等级需求一般要求系统同时提供这两种

。,PKI

不同的服务

。

本标准将定义代理认证路径构造和代理验证两种服务的概念和协议要求并根据协议要求给出一

,

种标准化的客户端和服务器交互的代理服务协议

。

Ⅳ

GB/T29243—2012

信息安全技术数字证书代理认证路径

构造和代理验证规范

1范围

本标准规定了数字证书代理认证路径构造和代理验证两种服务的概念和协议要求以及满足协议

,

要求的代理服务协议

。

本标准适用于系统运营机构的代理认证路径构造和代理验证服务的实现和应用

PKI。

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

。,()。

信息技术编码规则第部分基本编码规则正则编码

GB/T16263.1—2006ASN.11:(BER)、

规则和非典型编码规则规范

(CER)(DER)

信息技术开放系统互连目录第部分公钥和属性证书框架

GB/T16264.8—20058:

密码消息语法

RFC3852(CryptographicMessageSyntax,CMS)

3术语和定义

界定的以及以下术语和定义适用于本文件

GB/T16264.8—2005。

31

.

数字证书代理验证delegatedvalidationfordigitalcertificate

由代理服务器为依赖方实现数字证书验证的过程

PKI。

32