GB/T 29243-2012信息安全技术　数字证书代理认证路径构造和代理验证规范.pdf

ICS 35. 040 L 80 OB 中华人民共和国国彖标准 GB/T 29243—2012 信息安全技术数字证书代理认证路径 构造和代理验证规范 Information security technology ——Specifications of delegate certification path construction an delegate validation for digital certificate 2012-12-31 发布 2013-06-01 实施 GB/T 29243—2012 目 次 前言m 引言N 1范围1 2规范性引用文件1 3 术语和定义1 4缩略语 2 5代理服务 2 5. 1 服务基本模式 2 5.2代理认证路径构造 2 5.3代理验证3 5.4代理服务策略 3 6代理服务协议要求 4 6. 1 概述4 6.2 代理认证路径构造协议要求 4 6.3 代理验证协议要求 5 6.4 策略查询协议要求 6 7代理服务券议6 7. 1 基本请求/响应消息 6 7.2 策略配置请求/响应消息 26 附录A （资料性附录 ）代理服务基本原理 31 A. 1 概述 31 A.2数字证书代理认证路径构造 31 A.3数字证书代理验证31 T GB/T 29243—2012 ■ i r ■ ■ i 刖 吕 本标准按照GB/T 1. 1—2009给出的规则起草。 本标准由全国信息安全标准化技术委员会(SAC/TC 260)提出并归口。 本标准起草单位：中国科学院数据与通信保护研究教育中心。 本标准主要起草人:夏鲁宁、王琼霄、荆继武、林璟锵、向继。 本标准为首次制定。 m GB/T 29243—2012 引 言 随着 《中华人民共和国电子签名法》的推广，我国的电子认证服务业和PKI系统的建设应用也进入 了新的发展阶段 。同时，随着互联网的进一步发展，更多类型的终端接入网络 。对于某些类型的终端， 如手机、传感器等，由于其计算或通信资源的限制，难以独立完成证书认证路径构造或证书验证，需要 PKI系统提供代理服务来协助完成上述两种任务。 对于PKI依赖方来说，证书认证路径构造和证书验证是必要的过程，但是该过程中所需要的证书 查找、撤销信息查找、证书/CRL验证计算等，需要较大的带宽和计算资源消耗，在计算或通信资源受限 的环境下会有不同程度的困难.代理技术是解决上述困难的重要方法，将证书认证路径构造或证书验 证委托给代理服务器，能够大大减轻PKI客户端的计算负担和通信消耗。 代理认证路径构造和代理验证是两种安全等级不一样的代理服务 。对于代理认证路径构造，代理 服务器返回验证该证书所需要的完整路径(包括证书链 、CRL 、()CSP通信消息等)，然后由客户端自己 进行验证 。这种