GMT 0014-2012 数字证书认证系统密码协议规范

本文档为GMT 0014-2012 数字证书认证系统密码协议规范，清晰度高。GM/T0014—2012A.3加密值···········+.27A.4PKI消息的状态码和故障信息………………………………………………28A.5证书识别………………………………………A.6带外根CA公钥QA.7存档选项…………………………………………………30A.8发布信息…鲁+··++.30附录B(资料性附录)RA与CA间相关协议31B.1RA的服务模式…………………………看B.2RA前台页面程序B.3RA后台服务程序…………。非DE谁B.4证书申请协议B.5证书撤销协议…………………………………38B.6证书更新协议………………………………………………………………8B.7证书冻结协议.·:··38B.8证书解冻协议38B.9密钥恢复协议38附录C(资料性附录)协议报文实例………………………………………40C.1 PKIMessage通用协议实例…………………………40证书申请、回应协议报文实例41C.3证书查询下载协议报文实例…·······.·········.·:;·………………………………46C.4OCSP证书状态查询协议报文实例……………:···::·:·:48C.5密钥恢复协议报文……………………………………·,b4p+tb。.附录D(规范性附录)非实时发布证书协议流程………………52GM/T0014-—2012前言本标准依据GB/T1.1—209给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准的附录A、附录D为规范性附录,附录B、附录C为资料性附录本标准由国家密码管理局提出并归口本标准起草单位:上海信息安全工程技术研究中心、国家信息安全工程技术研究中心、上海格尔软件股份有限公司、海泰方圆科技有限公司、北京数字认证股份有限公司本标准主要起草人:袁文恭、刘平、郭晓雷、袁峰、李增欣、杨恒亮、谢安明、谭武征、柳增寿、李元正。GM/T0014-2012引言本标准是为我国信息安全基础设施建设中关于数字证书认证系统密码协议提供的规范。本标准描述了证书认证和数字签名中通用的安全协议流程、数据格式和密码函数接口等。安全协议以密码技术为基础,为网络内的数字证书认证系统密码协议提供统一、通用的通联协议服务,以满足网络内的实体对数宇让书认证系统的真实性、保密性、完整性、可认证性和不可否认性等安全需求本祘准凡涉及密码算法相关内容,按照国家有关法规实施GM/T0014—2012数字证书认证系统密码协议规范1范围本标准适用于电子政务/电子商务基于密码技术的数字证书认证系统的设计、建设、检测、运营及管理,规范数字证书认证系统中密码协议的标准化应用,推动数字证书认证系统密码协议的互连互通和相互认证。对于组织或机构内部使用的数字证书认证系统密码协议的建设运营及管理,可参考使用。同时本标准还可为安全产品生产商提供产品和技术的准确定位和标准化的参考,提高安全产品的可信性和互操作性。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注明日期的引用文件,仅注期的版木适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T16264.8信息技术开放系统互连目录第8部分:公钥和属性证书框架GB/T19713信息技术安全技术公钥基础设施在线证书状态协议GB/T19714信息安仝安全技术公钥基础设施证书管理协议GB/T25056信息安全技术证书认证系统密码及其相关安全技术规范GB/T25059信息安全技术公钥基础设施简易在线证书状态协议GM/T306密码应用标识规范GM/T09SM2密码算法使用规范GM/To10SM2密码算法加密签名消息语法规范GM/T0015基于SM2密码算法的数字证书格式规范3术语和定义CA撤销列表 certificate authority revocation list;CARL标记已经被撤销的CA的公钥证书的列表,表小这些证书已经无效3.2证书认证系统 certificate authentication system对生存周期内的数字证书进行全过程管理的安仝系统证书认证路径 certification path在目录信息树中对象证书的一个有序的序列。路径的初始节点是最初待验证对象的公钥,可以通过路径获得最终的顶点的公钥。证书策略 certificate policy个指定的规则集合,它指出证书对于具有普通安全需求的一个特定团体和(或)具体应用类的适GM/T0014-2012用性。例如,一个特定的证书策略可以指出一个类型的证书对在一定的价格幅度下商品交易的电子数据处理的认证的适用性。证书撤销列表发布点 certificate revocation list distribution poin一个日录条目或其他的证书撒销列表发布源,一个通过证书撤销列表发布点发布的证书撤销列表,可以包括由一个CA发布的所有证书中的一个证书子集的撤销条目,也可以包括全部证书的撤销条目。4缩略语下列缩略语适用于本标准:DIT目录信息树系统 irectory Information treeKM密钥管理系统( Key Management)OCSP在线书状态询协议( Online certificate Status ProtocolOID对象标符( Object Identifier)PKCS#1/公钥旗密标准1RSA加密( Public-Key Cryptography Standards(PKCS)#⊥RSAPKCS钥加标准密文消息请法可 Key Cryptography Standards(PCS)#7sxs简明在线速状态间协 mpl online certificate Seus protocolTBS待答名的B( o Be Signed)5相关协议5.1概述及协议流程5.1.1内容機述本标准以安全协议权主体,给出了数字证书认证系统的相关密码协议。凡涉联互通的协议应作为规范性协议,例啊CA与KM之间的协议、RA同用户载体之间的协谈以及博书签发证书验证、证书查询协议等需要作分规范以促进我国数字证书认证系统密码协的标產化体系建设。对不涉及互联互通的内部操作协议标准给出基本要求提供了技术支持,力球统一,但可不作强制。本标准涉及的相关协议指数字证书认证系统中涉及到密码技术的安全协议,特别是证书认证系统使用的有关安全协议。这些协议包括用户终端同RA之间的安全协议;RA同CA之间的安全协议:CA同KM之间的安全协议;CA同LDAP服务之间的安全协议;CA同OCSP服务之间的安全协议;用户同IDAP服务之间的安全协议;用户同OCSP服务之间的安全协议等本标准给岀了与协议直接相关的格式、语法等内容。其中凡涉及RSA密码算法的,其密钥结构遵循PK(S#1规范,其封装结构遵循PKCS井7规范;凡涉及SM2算法的,其密钥结构遵照GM/T0009,其封装结构遵循GM/T0010。凡涉及对象标识符的,遵循GM/T006。5.1.2协议流程本标准定义的相关协议流程用以下图1给出GM/T0014-2012用户端CA用户证书安全载体申请、录入、审核向CA申请签发证书向KM申请加密密钥对用户信息、签名公钥提交RACA通过通过验证验证验证退出失败失败失败返回错误信息返回错误信息返回错误信息通过由备用库取出加密密钥对密文验证与错误返回信息同上流程入在用库写入用户载体签发签证传脱密、验证君验书数据密钥对签名、加密签袋拥证书及密钥数据下传从LDLDAP申请成功图隼秭议流程阁非实时发布证书的协流程见附录D。5.1.2.1RA同客户端间协议流程(见图2)证书申请RA前台受理录入数据打包形式审查申请签发审核注册服客户端务器签名服客户证书载体下载证书下载验证响应数据包脱密/验证/存储RA系统图2RA与客户端协议流程GM/T0014-20125.1.2.2RA同CA间协议流程(见图3)登录、证书申请申请加密密钥对验证验证与数据打包验证验证证书载体返回双证书与私钥返回密钥数据包安全下载回执注册服签名服密钥管务器务器理系统图3RA与CA协议流程5.1.2.3CA同KM间协议流程(见图4)验证申请、从备用库调出密钥发送申请数据包将该密钥加密送入在用库申请加密密钥对私钥加密一连同公钥等信息打包、签名接收、验证重组数据包发送发加密密钥数据包证书签名系统A密钥管理系统KM图4CA与KM协议流程5.1.2.4CA同发布系统间协议流程(见图5)定时生成CERT/CRL签名接收数据包、验证、存储于本地数据包发送 ERT/CRL签名数据库数据包从IDAP接收回执生成回执数据服务器发送回执同步证书签名服务器主LDAP服务器图5CA与发布系统协议流程GM/T0014-20125.1.2.5用户与目录服务间协议流程见LDAP相关协议标准。5.1.2.6CA与证书状态查询服务间协议流程见GB/T19713。见简化在线证书状态协议 SOCSP标准GB/T25059。5.1.2.7用户与证书状态查询服务间协议流程见GB/T19713见简化在线证书状态协议 SOCSP标准GB/T25059。SOCSP一般用于运行比较频繁的应用服务器对访间者身份证书有效性的验证,采用该协议可以提高验证的效率5.2CA与KM系统间相关协议5.2.1概述KM系统接收CA系统的密钥服务请求,将处理结果返回给CA。本标准中的密钥服务协议包括申请密钥对、恢复密钥对和撤销密钥对,每个服务都按照请求-响应的步骤执行。请求:由CA提出,发送到KM。CA在生成用户加密证书、更新加密证书或者撒销加密证书时,首先组织密钥服务请求,发送到KM,并延缓自身的事务处理过程,等待KM响应返回响应:由KM发起,发送到CA。KM在接收到来自CA的请求后,检查确定请求合法性,处理服务请求,并将结果返回给CA。整个服务过程可以使用图6示意表示。组织申请数据建立服务,等待申请制作服务请求接收服务请求请求处理请求接收处理KM响应制作响应响应继续事务处理图6CA和KM通讯过程下面的协议内容将按照这个框架进行