GB/T 19714-2005信息技術(shù)安全技術(shù)公鑰基礎(chǔ)設(shè)施證書管理協(xié)議

ICS35.100.70L79中華人民共和國國家標(biāo)準(zhǔn)GB/T19714-2005信息技術(shù)安全技術(shù)公鑰基礎(chǔ)設(shè)施證書管理協(xié)議Informationtechnology-Securitytechnology-Internetpublickeyinfrastructure-Certificatemanagementprotocol2005-04-19發(fā)布2005-10-01實(shí)施中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布中國國家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T19714-2005三前言引言范圍2規(guī)范性引用文件術(shù)語和定義45PKI管理概述5.1PKI管理模型5.2PKI實(shí)體的定義5.3PKI管理要求5.4PKI管理操作6前提與限制６.1終端實(shí)體初始化6.2初始注冊(cè)/認(rèn)證…·6.3私鑰擁有證明6.4根CA的更新………數(shù)據(jù)結(jié)構(gòu)……127.1PKI消息綜述………127.2公共數(shù)據(jù)結(jié)構(gòu)·10與操作相關(guān)的數(shù)據(jù)結(jié)構(gòu)7.33必需的PKI管理功能8.1根CA初始化………8.2根CA密鑰更新…下級(jí)CA初始化………·8.38.4CRL產(chǎn)生-KI信息請(qǐng)求……8.58.6交叉認(rèn)證…8.7終端實(shí)體初始化·8.8證書請(qǐng)求…8.9密鑰更新………·傳輸…………··20基于文件的協(xié)議……….9.19.2直接基于TCP的管理協(xié)議9.3基于E-mail的管理協(xié)議9.4基于HTTP的管理協(xié)議，RA存在的原因附錄A(資料性附錄)附錄B(規(guī)范性附錄)必選的PKI管理消息結(jié)構(gòu)附錄C(規(guī)范性附錄)可選的PKI管理消息結(jié)構(gòu)36

GB/T19714一2005附錄D(資料性附錄）請(qǐng)請(qǐng)求消息行為說明42附錄E(資料性附錄）使用"口令短語”附錄F(規(guī)范性附錄)"可編譯”的ASN.1模塊…45附錄G(資料性附錄)用于E-MAIL或者HTTP的MIME類型參考文獻(xiàn)57

GB/T19714一2005前本標(biāo)準(zhǔn)是依據(jù)IETFRFC2510制定的。本標(biāo)準(zhǔn)凡涉及密碼算法相關(guān)內(nèi)容·按國家有關(guān)法規(guī)實(shí)施本標(biāo)準(zhǔn)中引用的RSA、SHAI.DH密碼算法均為舉例性說明,具體使用時(shí)均須采用國家商用密碼管理委員會(huì)批準(zhǔn)的相應(yīng)算法。本標(biāo)準(zhǔn)的附錄B、附錄C、附錄F為規(guī)范性附錄·附錄A、附錄D、附錄E、附錄G為資料性附錄本標(biāo)準(zhǔn)由中華人民共和國信息產(chǎn)業(yè)部提出。本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（TC260)歸口本標(biāo)準(zhǔn)主要起草單位：北京創(chuàng)原天地科技有限公司、中國電子技術(shù)標(biāo)準(zhǔn)化研究所。本標(biāo)準(zhǔn)主要起草人：林雪焰、吳志剛、王炳艷、陳震琦、張科研、李丹、羅鋒盈、陳星。

GB/T19714一2005引本標(biāo)準(zhǔn)描述了公鑰基礎(chǔ)設(shè)施(PKI)證書管理協(xié)議，定義了與證書產(chǎn)生和管理相關(guān)的各方面所需要的協(xié)議消息·主要包括：申請(qǐng)證書、撤銷證書、密鑰更新、密鑰恢復(fù)、交叉認(rèn)證等等。公鑰基礎(chǔ)設(shè)施中總共有四類實(shí)體：CA、RA、終端實(shí)體、證書/CRL庫，如何保證四實(shí)體之間的通信安全、在證書業(yè)務(wù)中如何對(duì)四類實(shí)體進(jìn)行管理，這些問題是本標(biāo)準(zhǔn)解決的主要問題。

GB/T19714-2005信息技術(shù)安全技術(shù)公鑰基礎(chǔ)設(shè)施證書管理協(xié)議1范圍本標(biāo)準(zhǔn)描述了公鑰基礎(chǔ)設(shè)施（PKI)中的證書管理協(xié)議，定義了與證書產(chǎn)生和管理相關(guān)的各方面所需要的協(xié)議消息·這些消息主要包括申請(qǐng)證書、撤銷證書、密鑰更新、密鑰恢復(fù)、交叉認(rèn)證等。本標(biāo)準(zhǔn)主要適用于在安全或不安全環(huán)境中實(shí)施PKI組件并實(shí)施管理，可作為PKI運(yùn)營機(jī)構(gòu)PKI組件開發(fā)者的參考指南。規(guī)范性引用文件下列文件中的條款通過本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注日期的引用文件，其隨后所有的修改單(不包括勒誤的內(nèi)容)或修訂版均不適用于本標(biāo)準(zhǔn)·然而，鼓勵(lì)根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。GB/T16264.8—2005信息技術(shù)開放系統(tǒng)互連目錄第8部分：公鑰和屬性證書框架(ISO/IEC9594-8:2001.IDT）RFC2511因特網(wǎng)X.509公開密鑰基礎(chǔ)設(shè)施證書消息格式3術(shù)語和定義下列術(shù)語和定義適用于本標(biāo)準(zhǔn)油象語法記法一（ASN.1）AhstractSyntaxNotation1（ASN.1)用來組織復(fù)雜數(shù)據(jù)對(duì)象的表示法。32公鑰證書publickeycertificate用戶的公鑰連同其他信息，并由發(fā)布該證書的證書認(rèn)證機(jī)構(gòu)的私鑰進(jìn)行加密使其不可偽造3.3證書持有者certificateholder有效證書的主體對(duì)應(yīng)的實(shí)體。證書用戶Certificateuser需要確切地知道另一實(shí)體的公開密鑰的某一實(shí)體3.5證書認(rèn)證機(jī)構(gòu)(CA）CertificateAuthoritv(CA)負(fù)責(zé)創(chuàng)建和分配證書·受用戶