ｌＣＳ ３５．０２０ Ｌ ８０ 园雪 中华人民共和国国家标准 ＧＢ／Ｔ ２６８５５—２０ １ １ 信息安全技术公钥基础设施 证书策略与认证业务声明框架 Ｉｎｆｏｒｍａｔｉｏｎ ｓｅｃｕｒｉｔｙ ｔｅｃｈｎｏｌｏｇｙ－－Ｐｕｂｌｉｃ ｋｅｙ ｉｎｆｒａｓｔｒｕｃｔｕｒｅ－－－ Ｃｅｒｔｉｆｉｃａｔｅ ｐｏｌｉｃｙ ａｎｄ ｃｅｒｔｉｆｉｃａｔｉｏｎ ｐｒａｃｔｉｃｅ ｓｔａｔｅｍｅｎｔ ｆｒａｍｅｗｏｒｋ ２０１ １－０７—２９发布 ２０１１－１卜０１实施 宰瞀粥鬻瓣警襻瞥星发布 中国国家标准化管理委员会促１９ ＧＢ／Ｉ＂２６８５５－－２０ １１ 目 次 前言………………………………………………・・ 引言……・・・………………………・………………・ １范围………………………・…・・………………－ ２规范性引用文件…………………・・・…………・ ３术语和定义……・……………………・・……・… ４缩略语…………………………………………・ ⅢⅣ●●●０ ５概念…・・・………………………………………・ ０ ５．１证书策略・・・………………………・・……・－ ０ ＧＢ／Ｔ １６２６４．８证书域…………・・・・・…・－ ４ ５．３认证业务声明………・…・・………………・ ０ ５．２ ５．４证书策略与认证业务声明之间的关系…・ ５．５ ＣＰ、ＣＰＳ与协议以及其他文档之间的关系 ５．６条款集说明…・…………………………… ６条款集内容………………・…………………・・・ ０，，０ ６．０说明…・・・・・・………………………・・・……－ ０ ６．１引言……………………・・・………………・ ０ ６．２发布和信息库责任………………・・・……－－ ｍ ６．３标识与鉴别………・・……………………・・・ ｍ ６．４证书生命周期操作要求…………………．． ｕ ６．５设施、管理和操作控制…………・………・ Ｍ ６．６技术安全控制・・・……………………・・・…一 ６．７证书、ＣＲＬ和ＯＣＳＰ…・…………………・ ６．８一致性审计和其他评估………………・…・ ６．９业务和法律事务・・・・・……………………・・・ 附录Ａ（规范性附录）条款集框架……………・・ 附录Ｂ（资料性附录）证书策略………………・・ 参考文献・…………………………………………・ Ｍ¨ｎ加孔钉驼 ＧＢ／Ｔ ２６８５５－－２０１ 刖 吾 本标准由全国信息安全标准化技术委员会（ＳＡＣ／ＴＣ ２６０）提出并归口。 本标准起草单位：国家信息中心、吉大正元信息技术股份有限公司。 本标准主要起草人：刘海龙、李伟平、何长龙、于海波、李丹、罗红斌、龙毅宏、姜玉琳。 Ⅲ １ ＧＢ／Ｔ ２６８５５－－２０ １ １ 引 言 本标准凡涉及密码算法相关内容，按国家有关法规实施。 本标准中引用的ＲＳＡ和ＳＨＡ－１密码算法为举例性说明，具体使用时均须采用国家密码管理局批 准的相应算法。 证书策略（ｃＰ）和认证业务声明（ＣＰＳ）是公钥基础设施（ＰＫＩ）建设中两份重要的文档。ＣＰ是“一套 指定的规则集，用以指明证书对具有相同安全需求的一个特定团体和（或者）应用类型的适用性”。依赖 方可使用ＣＰ来帮助其决定一个证书（连同其中的绑定）是否足够可信、是否适用于特定的应用。ＣＰＳ 是证书认证机构在颁发证书中所遵循的业务实践的声明。通常，ＣＰＳ也描述全部证书服务生命周期中 的业务实践（如签发、管理、吊销、更新证书或密钥），并且ＣＰＳ提供其他业务、法律和技术方面的细节。 ＲＦＣ３６４７是由因特网工程任务组（ＩＥＴＦ）制定的关于ＣＰ和ＣＰＳ的框架标准，在国际上得到了广 泛的认可。本标准是根据ＲＦＣ３６４７制定的，主体框架与ＲＦＣ３６４７一致，主要做了两方面修改：其一将 与国内密码政策不符的部分进行了修改或删除；其二是将不必要的解释性文字删除，使标准更加简洁。 此外，还将原标准中部分前后不一致的地方进行了改正。 Ⅳ ＧＢ／Ｔ ２６８５５－－２０ １１ 信息安全技术公钥基础设施 证书策略与认证业务声明框架 １范围 本标准规定了证书策略（ｃＰ）和认证业务声明（ＣＰＳ）的概念，解释二者之间的区别，并规定了ＣＰ和 ＣＰＳ应共同遵守的文档标题框架，包括在标题中所应包含的信息类型。本标准提出的框架一般假设使 用ＧＢ／Ｔ １６２６４．８—２００５证书格式，但并不意味着此框架仅限于使用这种证书格式。此框架也可用于 其他格式的证书。 本标准适用于ＣＰ和ＣＰＳ的撰写和比较。本标准所给出的框架应作为一个灵活的工具来使用，用 以指明在特定的ＣＰ或ＣＰＳ中所应考虑的主题，而不是作为生成ＣＰ或ＣＰＳ的固定公式。 本标准不适用于通用安全策略的定义，如组织安全策略、系统安全策略或数据标记策略。 ２规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文 件。凡是不注日ｊ朝的引用文件，其最新版本（包括所有的修改单）适用于本文件。 ＧＢ １３０００．１—１９９３信息技术通用多八位编码字符集（ｕｃｓ） 第１部分：体系结构与基本多文 种平面（ｉｄｔ ＩＳ０／ｉＥＣ １０６４６—１：１９９３） ＧＢ／Ｔ １６２６４．２ ２００８信息技术 开放系统互连 目录 第２部分：模型（Ｉｓ０／ＩＥｃ ９５９４—２： ２００５，ＩＤＴ） ＧＢ／Ｔ １６２６４．８—２００５信息技术开放系统互连 目录第８部分：公钥和属性证书框架（ＩｓＯ／ ＩＥＣ ９５９４－８：２００１，ＩＤＴ） ＧＢ／Ｔ １６２８４．１ ２００８信息技术信报处理系统（ＭＨｓ） 第１部分：系统和服务概述（ｉｓｏ／ ＩＥＣ １００２１—１：２００３，ＩＤＴ） ＧＢ／Ｔ １９７１３－－２００５信息技术安全技术公钥基础设施在线证书状态协议 ＧＢ／Ｔ ２０５１８ ＲＦＣ ８２２：１９８２ Ｔｅｘｔ ２００６信息安全技术公钥基础设施数字证书格式 ＡＲＰＡ因特网文本消息格式标准（Ｓｔａｎｄａｒｄ Ｆｏｒ Ｔｈｅ Ｆｏｒｍａｔ ｏｆ ＡＲＰＡ ｆｎｔｅｒｎｅｔ Ｍｅｓｓａｇｅｓ） ＲＦＣ ５２８０：２００８因特网Ｘ．５０９公钥基础设施证书和证书撤销列表轮廓（Ｉｎｔｅｒｎｅｔ Ｘ．５０９ Ｐｕｂｌｉｃ Ｋｅｙ Ｉｎｆｒａｓｔｒｕｃｔｕｒｅ Ｃｅｒｔｉｆｉｃａｔｅ ａｎｄ Ｃｅｒｔｉｆｉｃａｔｅ Ｒｅｖｏｃａｔｉｏｎ Ｌｉｓｔ（ＣＲＬ）Ｐｒｏｆｉｌｅ） ３术语和定义 ＧＢ／Ｔ １６２６４．８—２００５确立的以及下列术语和定义适用于本文件。 ３．１ 激活数据ａｃｔｉｖａｔｉｏｎ ｄａｔａ 用于操作密码模块所必需的，并且需要被保护的非密钥数据值（例如ＰＩＮ、口令或人工控制的密钥 共享部分）。 １ ＧＢ／Ｔ ２６８５５－－２０ １ １ ３．２ 鉴别 ａｕｔｈｅｎｔｉｃａｔｉｏｎ 确定个人、组织或事物如其所声称的个人、组织或事物的过程。在ＰＫＩ上下文中，鉴别指的是证实 以某个特定名称申请或试图访问某事物的个人或组织确实为真实的个人或组织的过程。 ３．３ 认证业务声明ｃｅｒｔｉｆｉｃａｔｉｏｎ ｐｒａｃｔｉｃｅ ｓｔａｔｅｍｅｎｔ 证书认证机构在签发、管理、撤销或更新证书、密钥过程中所采纳的业务实践的通告。 洼：在国内，认证业务声明也称为电子认证业务规则，ＣＡ机构在开展电子认证业务前，需要将本机构的电子认证业 务规则提交至国家工业及信息化部的相关部门进行备案。 ３．４ ＣＰＳ摘要ＣＰＳ ａｂｓｔｒａｃｔ 由一个ＣＡ公布的、关于其完整ＣＰＳ的一个子集。 ３．５ 标识 ｉｄｅｎｔｉｆｉｃａｔｉｏｎ 建立个人或组织的身份的过程，也就是指明某个人或组织是特定的个人或组织。在ＰＫＩ上下文 中，标识包含两个过程： ａ） 确定某个人或组织的给定名称与真实世界中该个人或组织的身份相联系。 ｂ）确定在该名称之下申请或试图访问某事物的个人或组织确实为指定的个人或组织。寻求标 识的人可能是证书申请者，或者是ＰＫＩ系统中可信职位的申请者，或者是试图访问网络或应 用软件的人（如ＣＡ管理员试图访问ＣＡ系统）。 ３．６ 签发证书认证机构ｉｓｓｕｉｎｇ ｃｅｒｔｉｆｉｃａｔｉｏｎ ａｕｔｈｏｒｉｔｙ 在特定的ＣＡ证书上下文中，签发ＣＡ是签发证书的ＣＡ（见主体ｃＡ）。 ３．７ 参与者ｐａｒｔｉｃｉｐａｎｔ 在一个给定ＰＫＩ中扮演某一角色的个人或组织，如订户、依赖方、ＣＡ、ＲＡ、证书制作机构、信息库 服务提供者，或类似实体。 ３．８ ＰＫＩ信息披露声明ＰＫＩ ｄｉｓｃｌｏｓｕｒｅ ｓｔａｔｅｍｅｎｔ 关于ＣＰ或ＣＰＳ的补充手段，用于公开证书策略和ＣＡ／ＰＫＩ业务中的关键信息。ＰＤＳ是公开和强 调信息的载体工具，这些信息通常在相关ＣＰ或ＣＰＳ中作更详细描述。因此，ＰＤＳ并不能替代ＣＰ 或ＣＰＳ。 ３．９ 策略限定符ｐｏｌｉｃｙ ｑｕａｌｉｆｉｅｒ 依赖于策略的信息，可能与ＣＰ标识符共同出现在ＧＢ／Ｔ１６２６４．８ ２００５证书中。该信息中可能包 含指向适用ＣＰＳ或依赖方协议的ＵＲＬ指针，也可能包含证书使用条款的文字（或引起文字出现的数 字）。 ３．１０ 注册机构ｒｅｇｉｓｔｒａｔｉｏｎ ａｕｔｈｏｒｉｔｙ 具有下列一项或多项功能的实体：标识和鉴别证书申请者，同意或拒绝证书申请，在某些环境下主 动吊销或挂起证书，处理订户吊销或挂起其证书的请求，同意或拒绝订户更新其证书或密钥的请求。但 是，ＲＡ并不签发证书（即ＲＡ代表ＣＡ承担某些任务）。 注：在其他文档中可能使用本地注册机构（ＬＲＡ），是相同的概念。 ２ ＧＢ／Ｔ ２６８５５－－２０ １１ ３．１１ 依赖方ｒｅｌｙｉｎｇ ｐａｒｔｙ 证书的接收者，他依赖于该证书和（或）可通过该证书所验证的数字签名。在本标准中，术语“证书 使用者”与“依赖方”可互换使用。 ３．１２ 依赖方协议ｒｅｌｙｉｎｇ ｐａｒｔｙ ａｇｒｅｅｍｅｎｔ 证书认证机构与依赖方所签署的协议，通常规定了在验证数字签名或其他使用证书的过程中有关 方所拥有的权利和义务。 ３．１３ 条款集ｓｅｔ ｏｆ ｐｒｏｖｉｓｉｏｎｓ 关于业务实施和（或）策略声明的集合，覆盖了一定范围的标准主题，用于使用本框架中所描述的方 法来表达ＣＰ或ＣＰＳ。 ３．１４ 主体证书认证机构ｓｕｈｊｅｃｔ ｃｅｒｔｉｆｉｃａｔｉｏｎ ａｕｔｈｏｒｉｔｙ 在特定的ＣＡ证书上下文中，主体ＣＡ指的是在证书中其公钥被认证的ＣＡ（见签发ＣＡ）。 ３．１５ 订户 ｓｕｂｓｃｒｉｂｅｒ 被颁发给一张证书的证书主体。 ３．１６ 订户协议ｓｕｂｓｃｒｉｂｅｒ ａｇｒｅｅｍｅｎｔ ＣＡ与订户之间签署的协议，规定了双方在颁发