ICS35.040 L80 GB 中华人民共和国国家标准 GB/T31508-2015 信息安全技术公钥基础设施 数字证书策略分类分级规范 Information security techniques-Public key infrastructure- Digital certificate policies classification and grading specification 2015-05-15发布 2016-01-01实施 中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会 发布 GB/T31508-2015 目 次 前言 Ⅲ 引言 N 1范围 1 2规范性引用文件 1 3术语和定义 4缩略语 3 5概述 3 6信息发布和证书资料库责任 6 7身份标识与鉴别7 8证书生命周期操作要求 12 9设施、管理和运作控制 20 10技术安全控制 .31 11证书、证书撤销列表和在线证书状态协议43 12合规性审计和相关评估 43 I GB/T31508-2015 引言 使用电子认证服务进行电子交易的实体主要关心两个问题:一是交易对象的合法公钥是什么;二是 交易对象的数字证书的安全性能否用于本交易.为了体现第二方面的信息,数字证书中包含了一个由 电子认证服务机构提供的证书策略标识,它表明了证书持有者(公钥所对应的用户)的安全属性.数字 证书的依赖方可以通过阅读相应的证书策略文档来评估证书的安全程度,以便正确使用或依赖该证书 (如:仅用于测试的,或者仅用于访问网络,或者可用于金融交易并有10万元担保).因此,证书策略的 实施是数字证书实际应用中不可缺少的一部分,也是提供分层次可靠的电子认证服务的基础之一. 目前,我国的电子认证服务机构签发的数字证书均未包含证书策略的内容,即在证书中没有说明公 钥可以应用在什么场景,适用于什么样的安全需求.这导致了证书的使用者对于证书的用途十分茫然, 限制了数字证书的广泛应用.另外,由于缺乏数字证书使用范围或质量的标准,各电子认证服务机构证 书签发的安全措施(如:证书签发过程中的身份鉴别、物理设备安全、责任和赔付等)也存在较大差距. 这种不一致导致了证书依赖方的许多困惑,阻碍了数字证书的跨区域跨行业应用,限制了应用程序直接 获得证书的安全信息,对证书进行自动地验证.而标准化的证书策略能够使用户清晰地认识到证书的 质量和安全通途,方便应用系统的开发设计.因此,对证书策略进行规范和标准化,是推进电子商务、电 子政务系统之间互联互通的重要一步. 通过证书策略的标准化,设计数字证书策略的分级分类规范,可以为电子认证服务市场规划出分级 的、多层次的服务质量体系,为不同应用系统实现适度的安全服务,从而促进电子认证服务机构之间的 良性竞争,提升服务质量,推动电子认证服务市场的有序发展.另外,随着证书策略的分级分类逐步的 实施,也可以促进电子认证服务机构评估和许可工作的规范化,即审查电子认证服务机构是否真正地按 照其证书策略要求的规范来运营,是否提供相应的安全保障,这也是构建证书策略分级分类体系的重要 意义. ...