GM/T 0014-2023 数字证书认证系统密码协议规范

ICS35.030

CCSL80

中华人民共和国密码行业标准

/—

GMT00142023

代替/—

GMT00142012

数字证书认证系统密码协议规范

Diitalcertificateauthenticationsstemcrtorahrotocolsecification

gyypgpypp

2023-12-04发布2024-06-01实施

国家密码管理局发布

/—

GMT00142023

目次

前言…………………………Ⅲ

引言…………………………Ⅳ

1范围………………………1

2规范性引用文件…………………………1

3术语和定义………………1

4缩略语……………………1

5相关协议…………………1

5.1通则…………………1

5.2业务流程……………2

与系统间相关协议………………………

5.3CAKMC5

与服务间相关协议……………………

5.4CALDAP11

5.5用户与LDAP服务间相关协议…………………13

与服务间相关发布协议………………

5.6CAOCSP19

5.7用户与OCSP服务间相关协议……………………19

6协议报文语法……………20

6.1加密数据报文………………………20

6.2杂凑数据报文………………………20

6.3数字签名报文………………………20

6.4数字信封报文………………………20

()………………………

附录规范性系统与格式定义

A21

()…………………

附录规范性非实时发布证书流程

B25

()………………

附录资料性与间相关协议

CRACA26

()…………

附录资料性协议报文实例

D35

参考文献……………………47

Ⅰ

/—

GMT00142023

前言

/—《:》

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GBT1.120201

起草。

/—《》。/—

本文件代替GMT00142012数字证书认证系统密码协议规范与GMT00142012相

,,:

比除结构调整和编辑性改动外主要技术变化如下

)“”“”“”“”(

a删除了术语CA撤销列表证书认证路径证书策略证书撤销列表发布点见2012年版

的、、、);

3.13.33.43.5

)、();

增加了缩略语和见第章

bRACALDAP4

)(,);

更改了缩略语为见第章年版的第章

cKMKMC420124

)、、、();

删除了缩略语和见年版的第章

dOIDPKCS#1PKCS#7SOCSPTBS20124

)“”“”“”,(,

更改了概述及协议流程为通则和流程并相应递增后续编号见第章

e5.15.15.25

2012年版的5.1);

)();

删除了对的引用见年版的

fLDAPRFC20125.4.1

)(、);

g删除了SOCSP证书状态查询协议见2012年版的5.5.25.6.2

)_();

h删除了SHA1算法见2012年版的6.2

)“”“”(,)、“”“”(

i更改了名词IE浏览器为浏览器见C.12012年版的B.1ActiveX为组件见

,年版的)。

C.22012B.2

。。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

本文件由密码行业标准化技术委员会提出并归口。

:、、

本文件起草单位北京国脉信安科技有限公司上海信息安全工程技术研究中心国家信息安全工

、、、

程技术研究中心格尔软件股份有限公司北京海泰方圆科技股份有限公司北京数字认证股份有限公

、。

司北京信安世纪科技股份有限公司

:、、、、、、、、、、

本文件主要起草人袁文恭刘平郭晓雷袁峰李增欣杨恒亮谢安明谭武征郑强柳增寿

、、。

李元正汪宗斌封维端

本文件及其所代替文件的历次版本发布情况为:

———年首次发布为/—;

2012GMT00142012

———本次为第一次修订。

Ⅲ

/—

GMT00142023

引言

。

数字证书认证系统是我国信息安全基础设施建设中的重要内容本文件是为我国信息安全基础设

。,

施建设中关于数字证书认证系统密码协议提供的规范本文件中的安全协议以密码技术为基础为数

,、,

字证书认证系统中各组成部分之间的密码服务提供统一通用的通联协议以满足实体对数字证书认

、、,

证系统的真实性保密性完整性和不可否认性的安全需求支持数字证书认证系统中不同部分之间的

互联互通。

Ⅳ

/—

GMT00142023

数字证书认证系统密码协议规范

1范围

本文件规定了数字证书认证系统中的涉及密码技术的安全协议和协议报文。

、、、。

本文件适用于数字证书认证系统的设计建设检测运行及管理对于组织或机构内部使用的数

、,。

字证书认证系统密码协议的建设运行及管理可参考使用

2规范性引用文件

。,

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

,;,()

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

本文件。

/信息技术安全技术公钥基础设施在线证书状态协议

GBT19713

/信息安全技术公钥基础设施数字证书格式

GBT20518

/信息安全技术证书认证系统密码及其相关安全技术规范

GBT25056

/密码应用标识规范

GMT0006

/密码算法使用规范

GMT0009SM2

/密码算法加密签名消息语法规范

GMT0010SM2

/密码术语

GMZ4001

公钥加密标准加密[()—

PKCS#11RSAPublic-KecrtorahstandardsPKCS#1RSA

yypgpy

crtorahicmessaesntax]

ypgpgy

公钥加密标准密文消息语法[()—

PKCS#77Public-KecrtorahstandardsPKCS#7

yypgpy

Crtorahicmessaesntax]

ypgpgy

3术语和定义

/界定的术语和定义适用于本文件。

GMZ4001

4缩略语

下列缩略语适用于本文件。

:()

CA证书认证系统CertificateAuthenticationsstem

y

:目录信息树系统()

DITDirectorInformationTree

y

:()

KMC密钥管理中心KeManaementCenter

yg

:()

LDAP轻量级目录访问协议LihtweihtDirectorAccessProtocol

ggy

:()

OCSP在线证书状态查询协议OnlineCertificateStatusProtocol

:()

RA注册服务ReistrationAuthoritserver

gy

5相关协议

5.1通则

,、

本章给出了数字证书认证系统中各部分的相关流程和密码协议包括与客户端间和

RARACA

1