强调了证书治理和生命周期管理在公钥基础设施(PKI)系统中的重要性,这些是确保PKI安全、建立信任和提供必要保证的关键方面。然而,这些PKI系统的方面超出了ISO20-2022文档的范围。
证书本身并不提供关于证书持有者如何确保与证书相关联的私钥未被泄露的保证,也不提供证书持有者确实是其所声称身份的保证,以及CA在私钥被泄露时将采取的措施等。这些保证和对证书的信任来自于证书策略(Certificate Policy,CP)和认证实践声明(Certification Practice Statement,CPS)等文件。
证书策略(CP)和认证实践声明(CPS)包含了IETF RFC 3647定义的主题。X.509将CP定义为“一组命名的规则,表明证书适用于具有共同安全要求的特定社区和/或应用类别”。
根据IETF RFC 3647,当CA颁发证书时,它向证书用户(即依赖方)提供了一个声明,即特定的公钥与特定的实体(即证书主题)绑定。证书用户需要评估他们应该在多大程度上依赖这个声明。证书策略提供了证书用户可以用来决定是否信任证书的信息。
证书策略也用于建立CA之间的信任关系(即交叉认证)。当CA颁发交叉证书时,一个CA会评估并认可另一个CA的一个或多个证书策略。
通常,CA会公开发布CP、CPS、审计结果等,以便证书用户可以看到CA如何确保密钥的安全性、证书持有者的身份、管理证书生命周期等,并在CA上建立信任。这种透明度有助于证书用户了解CA的操作方式,并据此决定是否信任由该CA颁发的证书。
这些段落提供了关于车辆到电网(V2G)环境中证书治理结构的要求和说明:
- [V2G20-2349]:任何源自V2G根CA证书链、电子移动服务提供商(eMSP)根CA证书链或原始设备制造商(OEM)根CA证书链的证书,或者由这些根CA交叉签名的证书,都应遵循一个成熟建立的证书治理结构。这包括但不限于证书策略(CP)、认证实践声明(CPS)等。
- [V2G20-2350]:如果使用私有PE根CA证书链的私有SECC不计划支持即插即用充电(PnC),则不需要遵循[V2G20-2349]。注释说明,这并不意味着PE环境中不能使用治理结构,只是说这不是强制性的。
- [V2G20-2351]:如果使用私有PE根CA证书链的私有SECC计划支持使用合同证书的PnC,则必须遵循[V2G20-2349]。这意味着在计划支持PnC的情况下,私有SECC的证书治理需要符合特定的标准和实践。
这份文档没有提供任何具体的证书治理结构。由于有许多行业参与者,文档将定义最适合其用例的证书治理结构的任务留给了这些参与者,包括CA、PKI实施者等。预计行业会自动倾向于那些拥有强大的CP/CPS并提供定期审计结果以及可验证数据以证明他们实际遵守其CP/CPS的健壮和安全的CA。这样的CA能够提供更高的信任度和安全性,这对于确保V2G通信的安全性至关重要。
扫一扫
1548
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
