第第頁國家標準《網(wǎng)絡(luò)安全技術(shù)公鑰基礎(chǔ)設(shè)施證書管理協(xié)議》(征求意見稿)編制說明根據(jù)全國信息安全標準化技術(shù)委員會在2023年網(wǎng)絡(luò)安全國家標準制修訂計劃，《信息技術(shù)安全技術(shù)公鑰基礎(chǔ)設(shè)施證書管理協(xié)議》由北京數(shù)字認證股份有本標準描述了公鑰基礎(chǔ)設(shè)施(PKI)中的證書管理協(xié)議，定義了與證書產(chǎn)生等國際密碼算法，為貼合我國密碼事業(yè)發(fā)展的實際，有必要予以調(diào)整為本標準計劃結(jié)合我國的雙證書體制和各廠商的實際情況參考RFC4210和RFC9480對標準做適應(yīng)性修訂，2023年全國信息安全標準化技術(shù)委員會(以下2023年4月-2023年5月，成立編制組，提出標準修訂建議，初步擬定標準2023年5月，全國信息安全標準化技術(shù)委員會(以下簡稱“信安標委”)組織2023年第一次工作組會議周，在WG4工作組2023年網(wǎng)絡(luò)安全國家標準立項研討會上，向?qū)＜液凸ぷ鹘M其他成員單位匯報了標準草案修訂工作情況，聽取專家及工作組其他成員單位的意見，經(jīng)投票打分，會議同意本標準立項申請進入下一階段。2023年6月，編制組根據(jù)專家和工作組其他成員單位所提意見和建議對標準修訂內(nèi)容進行討論和完善，形成新版材料提交至秘書處。2023年7月-9月，信安標委召開2023年網(wǎng)絡(luò)安全國家標準立項專家評審會，在會上向?qū)＜医榻B了標準草案擬解決的問題與標準化解決方案。最后標準在信安標委委員范圍內(nèi)進行投票，同意立項。2023年9月，收到信安標委立項通知，征集標準參編單位，吸納相關(guān)單位加入標準編制組。參加信安標委召開的2023年度第一批網(wǎng)絡(luò)安全國家標準項目任務(wù)書評審會，并根據(jù)專家意見對任務(wù)書進行修改完善。持續(xù)修改完善標準草案，根據(jù)專家意見整理形成新版標準草案材料。2023年10月27日，參加WG4組內(nèi)草案評審會，根據(jù)專家對草案進一步修改完善。2023年10月30日，由標準牽頭單位北京數(shù)字認證股份有限公司主持召開了標準啟動會，確定了參與單位和任務(wù)分工。2023年11月3日，信安標委2023年第二次工作組“會議周”通過，推進到征求意見稿階段。2023年12月-6月，根據(jù)會議周專家意見對標準文本進行修改完善并向組內(nèi)提交征求意見稿標準材料；啟動標準試點工作，征集試點參與單位，完成試點工作方案編制并召開啟動會，明確試點任務(wù)分工及工作計劃。2024年6月14日，參加網(wǎng)安標委2024年第一次“會議周”活動，并根據(jù)會議周上收到的專家意見對標準文本進行修改完善。2024年7月26日-至今，參加征求意見稿專家評審會，并根據(jù)專家意見對標準文本進行修改完善。二、標準編制原則、主要內(nèi)容及其確定依據(jù)2.1標準編制原則1.符合性系統(tǒng)的實體之間，實現(xiàn)初始化注冊/認證、證書申請、證書更新、密鑰恢復(fù)、證本次修訂將應(yīng)用示例中的DES等國際算法調(diào)整為國家標準算法，增加國家標準算法的應(yīng)用示例；在PKIHead中的generalInfo字段增加對證書模板標識certTemplateID的支持，用以指明證書申請者對申請的證書的要求，實現(xiàn)證書申結(jié)構(gòu)由EncryptedValue改為SM2EnvelopedKey,需進行加密保護的傳輸數(shù)據(jù)如加密證書私鑰用此數(shù)據(jù)結(jié)構(gòu)進行封裝，與GM/T0014—2023保持一致；在附錄中增加版本協(xié)商相關(guān)內(nèi)容，用于客戶端和服務(wù)端運行GB/T19714—2005和GB/T本標準可為公鑰基礎(chǔ)設(shè)施的設(shè)計、開發(fā)、運行提供參考。a)刪除了引言(見2005版引言);b)更改了范圍(見第1章，2005版的第1章);c)增加了規(guī)范性引用文件GB/T19713網(wǎng)絡(luò)安全技術(shù)公鑰基礎(chǔ)設(shè)施在線證20518—2018信息安全技術(shù)公鑰基礎(chǔ)設(shè)施數(shù)字證書格式、信息安全技術(shù)證書認證系統(tǒng)密碼及其相關(guān)安全技術(shù)規(guī)范、信息安全技術(shù)密碼應(yīng)用標識規(guī)范，刪除了規(guī)范性引用文件GB/T16264.8—2005信息技術(shù)開放系統(tǒng)互連目錄第8部分：公鑰和屬性證書框架和RFC2511因特網(wǎng)X.509公開密鑰基礎(chǔ)設(shè)施證書消息格式(見2);版的3.6)、“認證業(yè)務(wù)說明”(見2005版的3.7)“交叉證書”(見2005版的3.8)、“證書撤銷列表分布點”(見2005版的3.9)、“證書撤務(wù)”(見2005版的3.14)、“終端實體”(見2005版的3.15)、“散列碼”(見2005 (見2005版的3.25);“LDAP”、“MAC”、“OCSP”(見第4章),刪除了縮略語“TCP”(見2005版的第4章);g)更改第5章標題為“證書管理概述”(見5);h)更改5.1節(jié)標題為“概述”,刪除了PKI管理模型相關(guān)內(nèi)容，增加了主要內(nèi)容概述(見5.1);i)修改圖1“與證書管理相關(guān)的實體交互關(guān)系”(見5.1);j)增加了KM系統(tǒng)介紹(見5.2.4)和證書及CRL存儲發(fā)布與狀態(tài)查詢系統(tǒng)介紹(見5.2.5);k)刪除了“PKI管理要求”相關(guān)內(nèi)容(見2005版的5.3)和“PKI管理操作”相關(guān)內(nèi)容(見2005版的5.4),其中證書管理相關(guān)內(nèi)容置于5.1節(jié)描述；1)刪除了加密密鑰私鑰擁有證明相關(guān)內(nèi)容(見2005版的6.3.2和2005版的7.2.8)和協(xié)商密鑰私鑰擁有證明相關(guān)內(nèi)容(見2005版的6.3.3);m)刪除了根CA的更新相關(guān)內(nèi)容(見2005版的6.4和2005版的第8章);n)刪除了原第6章，刪除了其中與證書管理協(xié)議無關(guān)的內(nèi)容，相關(guān)內(nèi)容置于其它章節(jié)描述；o)調(diào)整原第7章為第6章，并增加了“PKI消息”章節(jié)(見6.1.1);p)增加了“transactionID”的相關(guān)描述(見6.1.2.1);q)增加協(xié)議版本字段取值的設(shè)置(見6.1.2.1);r)正文增加了“隱式確認”(見6.1.2.2)、“確認等待時間”(見6.1.2.3)數(shù)據(jù)s)在PKIHead的generallnfo擴展項增加對證書模板標識“certTemplateID”字段的支持，用以指明證書申請者對申請的證書的要求(見6.1.2.4);t)增加了“多重保護”相關(guān)描述(見6.1.4);u)更改加密值數(shù)據(jù)結(jié)構(gòu)為“SM2EnvelopedKey”(見6.2.2),協(xié)議中加密數(shù)據(jù)統(tǒng)一更改使用“SM2EnvelopedKey”(見6.3.2,7.5.3.2.2);v)正文增加了證書確認內(nèi)容相關(guān)內(nèi)容(見6.1.3和6.3.15);w)正文增加了“輪詢請求和響應(yīng)”數(shù)據(jù)結(jié)構(gòu)(見6.3.19);x)增加了證書凍結(jié)和證書解凍請求與響應(yīng)相關(guān)內(nèi)容(見6.1.3,6.3.20和y)增加了有關(guān)失敗狀況的更多信息(見6.2.3);z)增加利用CertReqMessages進行多個證書的申請與利用CertRepMessage進行多個證書的響應(yīng)時，有多種實現(xiàn)方式的說明，明確了實現(xiàn)上可以有多種選擇(見aa)刪除了交叉認證相關(guān)內(nèi)容(見2005版的7.3.11、7.3.12和2005版的8.6);ab)添加第7章“證書管理協(xié)議”,介紹各PKI實體之間與證書管理相關(guān)的協(xié)議，其相關(guān)數(shù)據(jù)結(jié)構(gòu)主要引用第6章(見第7章);ac)更改密鑰的產(chǎn)生地點為“簽名密鑰由終端實體產(chǎn)生，加密密鑰由KM系統(tǒng)集中產(chǎn)生”(見7.1);ad)刪除了原第8章，刪除了其中與證書管理協(xié)議無關(guān)的內(nèi)容，相關(guān)內(nèi)容放ae)刪除了CMP協(xié)議的傳輸相關(guān)內(nèi)容(見2005版的第9章和2005版的附錄ag)增加了版本協(xié)商內(nèi)容(見附錄D);ah)刪除了“請求消息行為說明”(見2005版的附錄D),將其主要內(nèi)容放在正文中(見6.2.8節(jié)和6.3.1節(jié));ai)更改了證書管理協(xié)議OID(見附錄F);aj)增加了參考文獻條目(見參考文獻)。目前國際上對于證書管理協(xié)議，有國際標準RFC4210及其修訂標準RFC9480。GB/T19714參考其中的各類消息格式定義及協(xié)議流程，力求在與國際標準保持兼容的前提下基于國內(nèi)實際情況加入國產(chǎn)密碼算法以及雙證體制的支持(一)貫徹國家有關(guān)政策與法規(guī)(二)與相關(guān)國內(nèi)相關(guān)標準的關(guān)系GB/T19713信息安全技術(shù)公鑰基礎(chǔ)設(shè)施在線證書狀態(tài)協(xié)議GB/T20518—2018信息安全技術(shù)公鑰基礎(chǔ)設(shè)施數(shù)字證書格式GB/T25056—2018信息安全技術(shù)證書認證系統(tǒng)密碼及其相關(guān)安全技術(shù)規(guī)范GB/T33560—2017信息安全技術(shù)密碼應(yīng)用標識規(guī)范本標準起草過程中未出現(xiàn)重大分歧。八、標準性質(zhì)的建議根據(jù)本標準的性質(zhì)，建議本標準為推薦性標準。九、實施國家標準的要求，以及組織措施、技術(shù)措施、過渡期和實施日期的建議等措施建議十、其他應(yīng)當說明的事項2024年3月，致函國家標準委申請調(diào)整標準名稱前綴為“網(wǎng)絡(luò)安全技術(shù)”,調(diào)整后標準名稱為《網(wǎng)絡(luò)安全技術(shù)公鑰基礎(chǔ)設(shè)施證書管理協(xié)議》,歸口單位：全國網(wǎng)絡(luò)安全標準化技術(shù)委員會?！毒W(wǎng)絡(luò)安全技術(shù)公鑰基礎(chǔ)設(shè)施證書管理協(xié)議》編制工作組國家標準《網(wǎng)絡(luò)安全技術(shù)公鑰基礎(chǔ)設(shè)施證書管理協(xié)議》(征求意見稿)編制說明根據(jù)全國信息安全標準化技術(shù)委員會在2023年網(wǎng)絡(luò)安全國家標準制修訂計劃，《信息技術(shù)安全技術(shù)公鑰基礎(chǔ)設(shè)施證書管理協(xié)議》由北京數(shù)字認證股份有本標準描述了公鑰基礎(chǔ)設(shè)施(PKI)中的證書管理協(xié)議，定義了與證書產(chǎn)生等國際密碼算法，為貼合我國密碼事業(yè)發(fā)展的實際，有必要予以調(diào)整為本標準計劃結(jié)合我國的雙證書體制和各廠商的實際情況參考RFC4210和RFC9480對標準做適應(yīng)性修訂，2023年全國信息安全標準化技術(shù)委員會(以下2023年4月-2023年5月，成立編制組，提出標準修訂建議，初步擬定標準2023年5月，全國信息安全標準化技術(shù)委員會(以下簡稱“信安標委”)組織2023年第一次工作組會議周，在WG4工作組2023年網(wǎng)絡(luò)安全國家標準立項研討會上，向?qū)＜液凸ぷ鹘M其他成員單位匯報了標準草案修訂工作情況，聽取專家及工作組其他成員單位的意見，經(jīng)投票打分，會議同意本標準立項申請進入下一階段。2023年6月，編制組根據(jù)專家和工作組其他成員單位所提意見和建議對標準修訂內(nèi)容進行討論和完善，形成新版材料提交至秘書處。2023年7月-9月，信安標委召開2023年網(wǎng)絡(luò)安全國家標準立項專家評審會，在會上向?qū)＜医榻B了標準草案擬解決的問題與標準化解決方案。最后標準在信安標委委員范圍內(nèi)進行投票，同意立項。2023年9月，收到信安標委立項通知，征集標準參編單位，吸納相關(guān)單位加入標準編制組。參加信安標委召開的2023年度第一批網(wǎng)絡(luò)安全國家標準項目任務(wù)書評審會，并根據(jù)專家意見對任務(wù)書進行修改完善。持續(xù)修改完善標準草案，根據(jù)專家意見整理形成新版標準草案材料。2023年10月27日，參加WG4組內(nèi)草案評審會，根據(jù)專家對草案進一步修改完善。2023年10月30日，由標準牽頭單位北京數(shù)字認證股份有限公司主持召開了標準啟動會，確定了參與單位和任務(wù)分工。2023年11月3日，信安標委2023年第二次工作組“會議周”通過，推進到征求意見稿階段。2023年12月-6月，根據(jù)會議周專家意見對標準文本進行修改完善并向組內(nèi)提交征求意見稿標準材料；啟動標準試點工作，征集試點參與單位，完成試點工作方案編制并召開啟動會，明確試點任務(wù)分工及工作計劃。2024年6月14日，參加網(wǎng)安標委2024年第一次“會議周”活動，并根據(jù)會議周上收到的專家意見對標準文本進行修改完善。2024年7月26日-至今，參加征求意見稿專家評審會，并根據(jù)專家意見對標準文本進行修改完善。二、標準編制原則、主要內(nèi)容及其確定依據(jù)2.1標準編制原則1.符合性系統(tǒng)的實體之間，實現(xiàn)初始化注冊/認證、證書申請、證書更新、密鑰恢復(fù)、證本次修訂將應(yīng)用示例中的DES等國際算法調(diào)整為國家標準算法，增加國家標準算法的應(yīng)用示例；在PKIHead中的generalInfo字段增加對證書模板