搜索结果: GB/T 19714-2025, GB/T19714-2025, GBT 19714-2025, GBT19714-2025
| 标准编号 | GB/T 19714-2025 (GB/T19714-2025) | | 中文名称 | 网络安全技术 公钥基础设施 证书管理协议 | | 英文名称 | Cybersecurity technology - Public key infrastructure - Certificate management protocol | | 行业 | 国家标准 (推荐) | | 中标分类 | L80 | | 国际标准分类 | 35.030 | | 字数估计 | 62,696 | | 发布日期 | 2025-08-01 | | 实施日期 | 2026-02-01 | | 旧标准 (被替代) | GB/T 19714-2005 | | 发布机构 | 国家市场监督管理总局、国家标准化管理委员会 | GB/T 19714-2025: 网络安全技术 公钥基础设施 证书管理协议
ICS 35.030
CCSL80
中华人民共和国国家标准
代替GB/T 19714-2005
网络安全技术 公钥基础设施
证书管理协议
2025-08-01发布
2026-02-01实施
国 家 市 场 监 督 管 理 总 局
国 家 标 准 化 管 理 委 员 会 发 布
目次
前言 Ⅲ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 缩略语 2
5 通则 2
6 流程与消息结构 3
6.1 终端与RA系统间协议 3
6.2 RA系统与CA系统间协议 4
6.3 CA系统与KM系统间协议 6
6.4 CA系统与资料库间协议 12
6.5 终端与资料库间协议 14
附录A(规范性) 必选的证书管理消息结构 22
A.1 概述 22
A.2 消息结构解释的通用规则 22
A.3 算法使用参数 22
A.4 所有权证明消息结构 23
A.5 初始的注册/认证(基本认证方案) 23
A.6 证书请求 28
A.7 密钥更新请求 28
附录B(资料性) 可选的证书管理消息结构 29
B.1 概述 29
B.2 结构解释的通用规则 29
B.3 算法使用参数 29
B.4 PKI信息请求/响应 29
B.5 使用外部身份证书进行初始化 30
附录C(规范性) PKI消息数据结构 32
C.1 PKI消息综述 32
C.2 公共数据结构 36
C.3 特定操作数据结构 41
附录D(资料性) 版本协商 47
D.1 通则 47
D.2 与GB/T 19714-2005版本服务端对话的客户端 47
D.3 接收GB/T 19714-2005版本消息的服务端 47
附录E(资料性) 使用“口令短语” 48
附录F(资料性) 证书管理协议ASN.1描述 49
参考文献 57
前言
本文件按照GB/T 1.1-2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定
起草。
本文件代替GB/T 19714-2005《信息技术 安全技术 公钥基础设施 证书管理协议》。与
GB/T 19714-2005相比,除结构调整和编辑性改动外,主要技术变化如下:
a) 更改了标准的范围(见第1章,2005年版的第1章);
b) 删除了PKI管理概述内容(见2005年版的第5章);
c) 删除了加密密钥私钥拥有证明(见2005年版的6.3.2、7.2.8)和协商密钥私钥拥有证明相关内
容(见2005年版的6.3.3);
d) 删除了根CA的更新的相关内容(见2005年版的6.4、8.2);
e) 删除了终端实体初始化和初始注册/认证相关的前提与限制(见2005年版的第6章);
f) 增加了“流程与消息结构”,描述各PKI组件间证书管理的流程与消息结构(见第6章);
g) 增加了协议支持的国家标准算法以及算法OID(见附录A的表A.1);
h) 增加了“transactionID”的相关描述(见附录C的C.1.2.1);
i) 增加了协议版本字段取值的设置(见C.1.2.1);
j) 增加了“隐式确认”数据结构(见C.1.2.2)和“确认等待时间”数据结构(见C.1.2.3);
k) 在PKIHead的generalInfo扩展项增加了对证书模板标识“certTemplateID”字段的支持(见
C.1.2.4);
l) 增加了“多重保护”相关描述(见C.1.4);
m) 更改了加密值数据结构,修改为“SM2EnvelopedKey”(见C.2.2,2005年版的7.2.2),协议中加
密数据统一更改使用“SM2EnvelopedKey”(见C.3.2、6.2.2,2005年版的7.3.2、附录E);
n) 增加了证书确认相关内容(见C.1.3、C.3.15);
o) 增加了“轮询请求和响应”数据结构(见C.3.19);
p) 增加了证书冻结和证书解冻请求与响应相关内容(见C.1.3、C.3.20、C.3.21);
q) 增加了有关失败状况的更多信息(见C.2.3);
r) 增加了利用CertReqMessages进行多个证书的申请与利用CertRepMessage进行多个证书的
响应时,有多种实现方式的说明,明确了实现上可有多种选择(见C.3.1和C.3.2),明确了一种
常见的实现方式(见A.5);
s) 删除了交叉认证相关内容(见2005年版的7.3.11、7.3.12、8.6);
t) 删除了CA初始化、终端实体初始化相关的PKI管理功能内容(见2005年版的第8章);
u) 删除了CMP协议的传输相关内容(见2005年版的第9章和附录G);
v) 删除了“请求消息行为说明”(见2005年版的附录D),将其主要内容纳入附录C中(见C.2.8、
C.3.1);
w) 更改了证书管理协议OID(见附录F,2005年版的附录F)。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由全国网络安全标准化技术委员会(SAC/TC260)提出并归口。
本文件起草单位:北京数字认证股份有限公司、中国电子技术标准化研究院、西安西电捷通无线网
络通信股份有限公司、博雅中科(北京)信息技术有限公司、长春吉大正元信息技术股份有限公司、上海
市数字证书认证中心有限公司、华为技术有限公司、武汉大学、公安部第一研究所、亚数信息科技(上海)
有限公司、长扬科技(北京)股份有限公司、深圳市电子商务安全证书管理有限公司、陕西省信息化工程
研究院、江南信安(北京)科技有限公司、郑州信大捷安信息技术股份有限公司、清华大学、格尔软件股份
有限公司、广东省电子商务认证有限公司、同智伟业软件股份有限公司、北京时代新威信息技术有限公
司、北京中关村实验室、浙江大华技术股份有限公司、工业和信息化部网络安全产业发展中心(工业和信
息化部信息中心)、工信通(北京)信息技术有限公司、中国电子信息产业集团有限公司第六研究所、国网
区块链科技(北京)有限公司、中科信息安全共性技术国家工程研究中心有限公司、数安时代科技股份有
限公司、奇安信网神信息技术(北京)股份有限公司、中电科网络安全科技股份有限公司。
本文件主要起草人:高文华、高文举、李彦峰、李琴、王秉新、丁肇伟、王玉林、曾光、何德彪、胡光俊、
林雪焰、夏鲁宁、夏冰冰、李向锋、傅大鹏、刘中、王月辉、张国强、李志勇、田玉存、李亮、郭燕飞、丁蓓菁、
邓晨、刘斌、赵婧、张紫薇、魏一才、赵华、沈志淳、张鑫、苏金岩、王志辉、郑会涛、赵晓荣、徐剑南、王彤、
汪海洋、刘为华、贾珂婷、郑强、陈树乐、焦正坤、俞政臣、朱威儒、赵博鑫、张剑青、陈子雄、王进、王斌、
王龙、杨珂、高振鹏、杜志强、安锦程、寇建波。
本文件及其所代替文件的历次版本发布情况为:
---2005年首次发布为GB/T 19714-2005;
---本次为第一次修订。
网络安全技术 公钥基础设施
证书管理协议
1 范围
本文件给出了公钥基础设施(PKI)中证书管理协议的结构和内容,规定了证书产生和管理所需要
的协议消息格式。
本文件适用于公钥基础设施相关产品的研制,以及用于指导公钥基础设施相关产品的设计、开发和
管理。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文
件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于
本文件。
GB/T 19713 网络安全技术 公钥基础设施 在线证书状态协议
GB/T 20518-2018 信息安全技术 公钥基础设施 数字证书格式
GB/T 25056 信息安全技术 证书认证系统密码及其相关安全技术规范
GB/T 25069-2022 信息安全技术 术语
GB/T 33560 信息安全技术 密码应用标识规范
GB/T 35276-2017 信息安全技术 SM2密码算法使用规范
3 术语和定义
GB/T 25069-2022界定的以及下列术语和定义适用于本文件。
3.1
数字签名 digitalsignature
被数据单元的接收者用以确认数据单元的来源和完整性,达到保护数据,防止被伪造的目的,附加
在......
|