网络安全技术 公钥基础设施 PKI组件最小互操作规范、时间戳规范、证书管理协议、网络身份认证公共服务 应用接入规范

网络安全技术 公钥基础设施 PKI组件最小互操作规范.pdf 网络安全技术 公钥基础设施 时间戳规范.pdf 网络安全技术 公钥基础设施 证书管理协议.pdf 网络安全技术 网络身份认证公共服务 应用接入规范.pdf ICS35.030 CCS L 80 中中华华人人民民共共和和国国国国家家标标准准 GB/T 19771XXXX 网络安全技术 公钥基础设施 PKI 组件最 小互操作规范 Cyberspace security technology – Public key infrastructure – Minimum interoperability specification for PKI components 点击此处添加与国际标准一致性程度的标识 （征求意见稿） 在提交反馈意见时，请将您知道的相关专利连同支持性文件一并附上。在提交反馈意见时，请将您知道的相关专利连同支持性文件一并附上。 XXXX - XX - XX 发布XXXX - XX - XX 实施 GB/T 19771XXXX I 目次 前言.错误未定义书签。错误未定义书签。 1 范围 . 1 2 规范性引用文件 . 1 3 术语和定义 . 1 4 缩略语 . 2 5 PKI 组件互操作的基本功能要求 2 概述 . 2 证书认证机构 . 3 注册机构 . 4 证书持有者 . 4 证书使用者 . 5 密码算法 . 5 6 数据格式 . 6 数字证书 . 6 PKI 事务 6 7 测评方法 12 证书认证机构（CA） 12 证书注册机构（RA） 错误未定义书签。错误未定义书签。 证书持有者 错误未定义书签。错误未定义书签。 证书使用者 错误未定义书签。错误未定义书签。 II 前言 本文件按照GB/T 1.12020标准化工作导则第1部分标准化文件的结构和起草规则的规定 起草。 本文件代替 GB/T 19771-2005信息技术 安全技术 公钥基础设施 PKI组件最小互操作规范，与 GB/T 19771-2005相比，除结构调整和编辑性改动外，主要技术变化如下 a标准名称调整为网络安全技术 公钥基础设施 PKI组件最小互操作规范 ； b更改了“范围”的内容，重新界定了文件的标准化对象和所覆盖的各个方面，并更改了文件的 适用界限（见第1章） ； c更改了“规范性引用文件”的文件，适应修订后文件内容（见第2章） ； d修改和删除了部分术语及缩略语（见第3章、第4章） ； e修改完善了四个PKI组件的基本功能要求，增加了对BYOD请求证书的功能要求，增加了验证证 书的最小步骤要求，增加了对商用密码算法的支持（见第5章） ； f修改完善了第6章的技术内容；删除了2005版中数字证书的数据结构、证书扩展、证书撤销列 表的格式要求，要求其符合GB/T 20518-2018；删除了2005版中PKI事务消息格式的内容，要求 其符合GB/T 19714-XXXX；更改了PKI事务的消息内容（见第6章） ； g增加了对证书认证机构（CA） 、证书注册机构（RA） 、证书持有者、PKI客户的测评方法（见第7 章） ； h删除了规范性附录A“X.509 v3证书ASN.1” （见2005版的附录A） ；删除了规范性附录B“证书和 CRL扩展ASN.1” （见2005版的附录B） ；删除了规范性附录C“ASN.1 Module for transactions” （见2005版的附录C） ；删除了规范性附录D“证书请求消息格式ASN.1 Module” （见2005版的附 录D） 。 本文件由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。 本文件起草单位 本文件主要起草人 GB/T 19771XXXX 1 网络安全技术 公钥基础设施 PKI 组件最小互操作规范 1范围 本文件规定了公钥基础设组件最小互操作的基本功能要求和数据格式要求，给出了测试评价方法。 本文件适用于电子签名、电子签章、身份管理等中的PKI的设计、开发、测试及其应用。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中， 注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 15852.2信息技术 安全技术 消息鉴别码 第2部分 采用专门设计的杂凑函数的机制 GB/T 16262.1信息技术 抽象语法记法 GB.T 19714-XXXX网络安全技术 公钥基础设施 证书管理协议 GB/T 20518-2018信息安全技术 公钥基础设施 数字证书格式 GB/T 32905-2016信息安全技术 SM3密码杂凑算法 GB/T 32907-2016信息安全技术 SM4分组密码算法 GB/T 32918.2-2016信息安全技术 SM2椭圆曲线公钥密码算法 第2部分数字签名算法 GB/T 37092-2018信息安全技术 密码模块安全要求 3术语和定义 下列术语和定义适用于本文件。 公钥基础设施public key infrastructure 基于公钥密码技术，具有普适性，可用于提供保密性、完整性、真实性及抗抵赖性等安全服务的基 础设施。 [来源GM/Z 4001-2013，2.29，有修改] 数字证书digital certificate 也称公钥证书，由证书认证机构对用户的公钥和身份信息进行确认，并用私钥进行签名的数据。 加密证书encipherment certificate 用于证明加密公钥的数字证书。 [来源GM/Z 4001-2013，2.43，有修改] 证书认证机构Certificate Authority 负责创建和颁发证书，受用户信任的权威机构。 GB/T 19771XXXX 2 注册机构Registration Authority 为用户办理证书申请、身份审核、证书下载、证书更新、证书注销以及密钥恢复等实际业务的办事 机构或业务受理点。 证书持有者certificate holder 与有效证书的主体相对应的实体。 证书使用者certificate user 需要获取另一实体的公钥，并利用PKI获取证书并执行验证证书和签名功能的实体。 资料库repository 存储数字证书和CRL等信息，并提供无需验证的信息检索服务的数据库。 证书策略certificate policy 预先定义的界定证书的通用安全要求和适用范围的一组规则集。 认证业务声明Certification Practice Statement 证书认证机构颁发某证书策略的证书时遵循的相关业务操作的声明。 证书认证路径certification path 基于起始可信证书的有序证书序列。 注通过处理该有序序列及其起始对象的公钥能得知该路径的末端对象的公钥。 证书撤销列表Certificate Revocation List 列出一组证书发布者认为无效的已签名列表。 4缩略语 下列缩略语适用于本文件。 BYOD自带设备（Bring Your Own Device） CA证书认证机构（Certific