实例介绍
【实例简介】
本文档为GMT 0014-2012 数字证书认证系统密码协议规范,清晰度高。
GM/T0014—2012 A.3加密值 ···········+. 27 A.4PKI消息的状态码和故障信息 ………………………………………………28 A.5证书识别……………………………………… A.6带外根CA公钥 Q A.7存档选项…………………………………… ……………30 A.8发布信息… 鲁+ ··++. 30 附录B(资料性附录)RA与CA间相关协议 31 B.1RA的服务模式………………………… 看 B.2RA前台页面程序 B.3RA后台服务程序………… 。非DE谁 B.4证书申请协议 B.5证书撤销协议 …………………………………38 B.6证书更新协议……………………………………………………………… 8 B.7证书冻结协议 .·:·· 38 B.8证书解冻协议 38 B.9密钥恢复协议 38 附录C(资料性附录)协议报文实例…… …………………………………40 C.1 PKIMessage通用协议实例……………………… …40 证书申请、回应协议报文实例 41 C.3证书查询下载协议报文实例… ·······.·········.·:;· ………………………………46 C.4OCSP证书状态查询协议报文实例…………… :···::·:·: 48 C.5密钥恢复协议报文…………………………………… ·,b4p+tb。. 附录D(规范性附录)非实时发布证书协议流程……………… 52 GM/T0014-—2012 前言 本标准依据GB/T1.1—209给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准的附录A、附录D为规范性附录,附录B、附录C为资料性附录 本标准由国家密码管理局提出并归口 本标准起草单位:上海信息安全工程技术研究中心、国家信息安全工程技术研究中心、上海格尔软 件股份有限公司、海泰方圆科技有限公司、北京数字认证股份有限公司 本标准主要起草人:袁文恭、刘平、郭晓雷、袁峰、李增欣、杨恒亮、谢安明、谭武征、柳增寿、李元正。 GM/T0014-2012 引言 本标准是为我国信息安全基础设施建设中关于数字证书认证系统密码协议提供的规范。本标准描 述了证书认证和数字签名中通用的安全协议流程、数据格式和密码函数接口等。安全协议以密码技术 为基础,为网络内的数字证书认证系统密码协议提供统一、通用的通联协议服务,以满足网络内的实体 对数宇让书认证系统的真实性、保密性、完整性、可认证性和不可否认性等安全需求 本祘准凡涉及密码算法相关内容,按照国家有关法规实施 GM/T0014—2012 数字证书认证系统密码协议规范 1范围 本标准适用于电子政务/电子商务基于密码技术的数字证书认证系统的设计、建设、检测、运营及管 理,规范数字证书认证系统中密码协议的标准化应用,推动数字证书认证系统密码协议的互连互通和相 互认证。对于组织或机构内部使用的数字证书认证系统密码协议的建设运营及管理,可参考使用。 同时本标准还可为安全产品生产商提供产品和技术的准确定位和标准化的参考,提高安全产品的 可信性和互操作性。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注明日期的引用文件,仅注期的版木适用于本 文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T16264.8信息技术开放系统互连目录第8部分:公钥和属性证书框架 GB/T19713信息技术安全技术公钥基础设施在线证书状态协议 GB/T19714信息安仝安全技术公钥基础设施证书管理协议 GB/T25056信息安全技术证书认证系统密码及其相关安全技术规范 GB/T25059信息安全技术公钥基础设施简易在线证书状态协议 GM/T306密码应用标识规范 GM/T09SM2密码算法使用规范 GM/To10SM2密码算法加密签名消息语法规范 GM/T0015基于SM2密码算法的数字证书格式规范 3术语和定义 CA撤销列表 certificate authority revocation list;CARL 标记已经被撤销的CA的公钥证书的列表,表小这些证书已经无效 3.2 证书认证系统 certificate authentication system 对生存周期内的数字证书进行全过程管理的安仝系统 证书认证路径 certification path 在目录信息树中对象证书的一个有序的序列。路径的初始节点是最初待验证对象的公钥,可以通 过路径获得最终的顶点的公钥。 证书策略 certificate policy 个指定的规则集合,它指出证书对于具有普通安全需求的一个特定团体和(或)具体应用类的适 GM/T0014-2012 用性。例如,一个特定的证书策略可以指出一个类型的证书对在一定的价格幅度下商品交易的电子数 据处理的认证的适用性。 证书撤销列表发布点 certificate revocation list distribution poin 一个日录条目或其他的证书撒销列表发布源,一个通过证书撤销列表发布点发布的证书撤销列表, 可以包括由一个CA发布的所有证书中的一个证书子集的撤销条目,也可以包括全部证书的撤销条目。 4缩略语 下列缩略语适用于本标准: DIT 目录信息树系统 irectory Information tree KM 密钥管理系统( Key Management) OCSP 在线书状态询协议( Online certificate Status Protocol OID 对象标符( Object Identifier) PKCS#1/公钥旗密标准1RSA加密( Public-Key Cryptography Standards(PKCS)#⊥RSA PKCS 钥加标准密文消息请法可 Key Cryptography Standards(PCS)#7 sxs简明在线速状态间协 mpl online certificate Seus protocol TBS 待答名的B( o Be Signed) 5相关协议 5.1概述及协议流程 5.1.1内容機述 本标准以安全协议权主体,给出了数字证书认证系统的相关密码协议。凡涉联互通的协议应 作为规范性协议,例啊CA与KM之间的协议、RA同用户载体之间的协谈以及博书签发证书验证、证 书查询协议等需要作分规范以促进我国数字证书认证系统密码协的标產化体系建设。对不涉及 互联互通的内部操作协议标准给出基本要求提供了技术支持,力球统一,但可不作强制。 本标准涉及的相关协议指数字证书认证系统中涉及到密码技术的安全协议,特别是证书认证系统 使用的有关安全协议。这些协议包括用户终端同RA之间的安全协议;RA同CA之间的安全协议:CA 同KM之间的安全协议;CA同LDAP服务之间的安全协议;CA同OCSP服务之间的安全协议;用户 同IDAP服务之间的安全协议;用户同OCSP服务之间的安全协议等 本标准给岀了与协议直接相关的格式、语法等内容。其中凡涉及RSA密码算法的,其密钥结构遵循 PK(S#1规范,其封装结构遵循PKCS井7规范;凡涉及SM2算法的,其密钥结构遵照GM/T0009,其封装 结构遵循GM/T0010。凡涉及对象标识符的,遵循GM/T006。 5.1.2协议流程 本标准定义的相关协议流程用以下图1给出 GM/T0014-2012 用户端 CA 用户证书安全载体 申请、录入、审核 向CA申请签发证书 向KM申请加密密钥对 用户信息、签名公钥提交RACA 通过 通过 验证 验证 验证 退出 失败 失败 失败 返回错误信息 返回错误信息 返回错误信息通过 由备用库取出 加密密钥对密文 验证与错误返回信息同上流程 入在用库 写入用户载体 签发签证传 脱密、验证 君验 书数据 密钥对签名、加密 签袋拥 证书及密钥数据下传 从LD LDAP 申请成功 图隼秭议流程阁 非实时发布证书的协流程见附录D。 5.1.2.1RA同客户端间协议流程(见图2) 证书申请 RA前台受理 录入 数据打包 形式审查 申请签发 审核 注册服 客户端 务器 签名 服 客户证书载体 下载 证书下载 验证 响应数据包 脱密/验证/存储 RA系统 图2RA与客户端协议流程 GM/T0014-2012 5.1.2.2RA同CA间协议流程(见图3) 登录、证书申请 申请加密密钥对 验证 验证与 数据打包 验证 验证 证书载体 返回双证书与私钥 返回密钥数据包 安全下载 回执 注册服 签名服 密钥管 务器 务器 理系统 图3RA与CA协议流程 5.1.2.3CA同KM间协议流程(见图4) 验证申请、从备用库调出密钥 发送申请数据包 将该密钥加密送入在用库 申请加密密钥对 私钥加密一连同公钥等信息打 包、签名 接收、验证 重组数据包 发送 发加密密钥数据包 证书签名系统A 密钥管理系统KM 图4CA与KM协议流程 5.1.2.4CA同发布系统间协议流程(见图5) 定时生成CERT/CRL签名 接收数据包、验证、存储于本地 数据包 发送 ERT/CRL签名数据库 数据包 从IDAP 接收回执 生成回执 数据服务器 发送回执 同步 证书签名服务器 主LDAP服务器 图5CA与发布系统协议流程 GM/T0014-2012 5.1.2.5用户与目录服务间协议流程 见LDAP相关协议标准。 5.1.2.6CA与证书状态查询服务间协议流程 见GB/T19713。 见简化在线证书状态协议 SOCSP标准GB/T25059。 5.1.2.7用户与证书状态查询服务间协议流程 见GB/T19713 见简化在线证书状态协议 SOCSP标准GB/T25059。 SOCSP一般用于运行比较频繁的应用服务器对访间者身份证书有效性的验证,采用该协议可以提 高验证的效率 5.2CA与KM系统间相关协议 5.2.1概述 KM系统接收CA系统的密钥服务请求,将处理结果返回给CA。本标准中的密钥服务协议包括申 请密钥对、恢复密钥对和撤销密钥对,每个服务都按照请求-响应的步骤执行。 请求:由CA提出,发送到KM。CA在生成用户加密证书、更新加密证书或者撒销加密证书时,首 先组织密钥服务请求,发送到KM,并延缓自身的事务处理过程,等待KM响应返回 响应:由KM发起,发送到CA。KM在接收到来自CA的请求后,检查确定请求合法性,处理服务 请求,并将结果返回给CA。 整个服务过程可以使用图6示意表示。 组织申请数据 建立服务,等待申请 制作服务请求 接收服务请求 请求 处理请求 接收处理KM响应 制作响应 响应 继续事务处理 图6CA和KM通讯过程 下面的协议内容将按照这个框架进行 【实例截图】
【核心代码】
本文档为GMT 0014-2012 数字证书认证系统密码协议规范,清晰度高。
GM/T0014—2012 A.3加密值 ···········+. 27 A.4PKI消息的状态码和故障信息 ………………………………………………28 A.5证书识别……………………………………… A.6带外根CA公钥 Q A.7存档选项…………………………………… ……………30 A.8发布信息… 鲁+ ··++. 30 附录B(资料性附录)RA与CA间相关协议 31 B.1RA的服务模式………………………… 看 B.2RA前台页面程序 B.3RA后台服务程序………… 。非DE谁 B.4证书申请协议 B.5证书撤销协议 …………………………………38 B.6证书更新协议……………………………………………………………… 8 B.7证书冻结协议 .·:·· 38 B.8证书解冻协议 38 B.9密钥恢复协议 38 附录C(资料性附录)协议报文实例…… …………………………………40 C.1 PKIMessage通用协议实例……………………… …40 证书申请、回应协议报文实例 41 C.3证书查询下载协议报文实例… ·······.·········.·:;· ………………………………46 C.4OCSP证书状态查询协议报文实例…………… :···::·:·: 48 C.5密钥恢复协议报文…………………………………… ·,b4p+tb。. 附录D(规范性附录)非实时发布证书协议流程……………… 52 GM/T0014-—2012 前言 本标准依据GB/T1.1—209给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准的附录A、附录D为规范性附录,附录B、附录C为资料性附录 本标准由国家密码管理局提出并归口 本标准起草单位:上海信息安全工程技术研究中心、国家信息安全工程技术研究中心、上海格尔软 件股份有限公司、海泰方圆科技有限公司、北京数字认证股份有限公司 本标准主要起草人:袁文恭、刘平、郭晓雷、袁峰、李增欣、杨恒亮、谢安明、谭武征、柳增寿、李元正。 GM/T0014-2012 引言 本标准是为我国信息安全基础设施建设中关于数字证书认证系统密码协议提供的规范。本标准描 述了证书认证和数字签名中通用的安全协议流程、数据格式和密码函数接口等。安全协议以密码技术 为基础,为网络内的数字证书认证系统密码协议提供统一、通用的通联协议服务,以满足网络内的实体 对数宇让书认证系统的真实性、保密性、完整性、可认证性和不可否认性等安全需求 本祘准凡涉及密码算法相关内容,按照国家有关法规实施 GM/T0014—2012 数字证书认证系统密码协议规范 1范围 本标准适用于电子政务/电子商务基于密码技术的数字证书认证系统的设计、建设、检测、运营及管 理,规范数字证书认证系统中密码协议的标准化应用,推动数字证书认证系统密码协议的互连互通和相 互认证。对于组织或机构内部使用的数字证书认证系统密码协议的建设运营及管理,可参考使用。 同时本标准还可为安全产品生产商提供产品和技术的准确定位和标准化的参考,提高安全产品的 可信性和互操作性。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注明日期的引用文件,仅注期的版木适用于本 文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T16264.8信息技术开放系统互连目录第8部分:公钥和属性证书框架 GB/T19713信息技术安全技术公钥基础设施在线证书状态协议 GB/T19714信息安仝安全技术公钥基础设施证书管理协议 GB/T25056信息安全技术证书认证系统密码及其相关安全技术规范 GB/T25059信息安全技术公钥基础设施简易在线证书状态协议 GM/T306密码应用标识规范 GM/T09SM2密码算法使用规范 GM/To10SM2密码算法加密签名消息语法规范 GM/T0015基于SM2密码算法的数字证书格式规范 3术语和定义 CA撤销列表 certificate authority revocation list;CARL 标记已经被撤销的CA的公钥证书的列表,表小这些证书已经无效 3.2 证书认证系统 certificate authentication system 对生存周期内的数字证书进行全过程管理的安仝系统 证书认证路径 certification path 在目录信息树中对象证书的一个有序的序列。路径的初始节点是最初待验证对象的公钥,可以通 过路径获得最终的顶点的公钥。 证书策略 certificate policy 个指定的规则集合,它指出证书对于具有普通安全需求的一个特定团体和(或)具体应用类的适 GM/T0014-2012 用性。例如,一个特定的证书策略可以指出一个类型的证书对在一定的价格幅度下商品交易的电子数 据处理的认证的适用性。 证书撤销列表发布点 certificate revocation list distribution poin 一个日录条目或其他的证书撒销列表发布源,一个通过证书撤销列表发布点发布的证书撤销列表, 可以包括由一个CA发布的所有证书中的一个证书子集的撤销条目,也可以包括全部证书的撤销条目。 4缩略语 下列缩略语适用于本标准: DIT 目录信息树系统 irectory Information tree KM 密钥管理系统( Key Management) OCSP 在线书状态询协议( Online certificate Status Protocol OID 对象标符( Object Identifier) PKCS#1/公钥旗密标准1RSA加密( Public-Key Cryptography Standards(PKCS)#⊥RSA PKCS 钥加标准密文消息请法可 Key Cryptography Standards(PCS)#7 sxs简明在线速状态间协 mpl online certificate Seus protocol TBS 待答名的B( o Be Signed) 5相关协议 5.1概述及协议流程 5.1.1内容機述 本标准以安全协议权主体,给出了数字证书认证系统的相关密码协议。凡涉联互通的协议应 作为规范性协议,例啊CA与KM之间的协议、RA同用户载体之间的协谈以及博书签发证书验证、证 书查询协议等需要作分规范以促进我国数字证书认证系统密码协的标產化体系建设。对不涉及 互联互通的内部操作协议标准给出基本要求提供了技术支持,力球统一,但可不作强制。 本标准涉及的相关协议指数字证书认证系统中涉及到密码技术的安全协议,特别是证书认证系统 使用的有关安全协议。这些协议包括用户终端同RA之间的安全协议;RA同CA之间的安全协议:CA 同KM之间的安全协议;CA同LDAP服务之间的安全协议;CA同OCSP服务之间的安全协议;用户 同IDAP服务之间的安全协议;用户同OCSP服务之间的安全协议等 本标准给岀了与协议直接相关的格式、语法等内容。其中凡涉及RSA密码算法的,其密钥结构遵循 PK(S#1规范,其封装结构遵循PKCS井7规范;凡涉及SM2算法的,其密钥结构遵照GM/T0009,其封装 结构遵循GM/T0010。凡涉及对象标识符的,遵循GM/T006。 5.1.2协议流程 本标准定义的相关协议流程用以下图1给出 GM/T0014-2012 用户端 CA 用户证书安全载体 申请、录入、审核 向CA申请签发证书 向KM申请加密密钥对 用户信息、签名公钥提交RACA 通过 通过 验证 验证 验证 退出 失败 失败 失败 返回错误信息 返回错误信息 返回错误信息通过 由备用库取出 加密密钥对密文 验证与错误返回信息同上流程 入在用库 写入用户载体 签发签证传 脱密、验证 君验 书数据 密钥对签名、加密 签袋拥 证书及密钥数据下传 从LD LDAP 申请成功 图隼秭议流程阁 非实时发布证书的协流程见附录D。 5.1.2.1RA同客户端间协议流程(见图2) 证书申请 RA前台受理 录入 数据打包 形式审查 申请签发 审核 注册服 客户端 务器 签名 服 客户证书载体 下载 证书下载 验证 响应数据包 脱密/验证/存储 RA系统 图2RA与客户端协议流程 GM/T0014-2012 5.1.2.2RA同CA间协议流程(见图3) 登录、证书申请 申请加密密钥对 验证 验证与 数据打包 验证 验证 证书载体 返回双证书与私钥 返回密钥数据包 安全下载 回执 注册服 签名服 密钥管 务器 务器 理系统 图3RA与CA协议流程 5.1.2.3CA同KM间协议流程(见图4) 验证申请、从备用库调出密钥 发送申请数据包 将该密钥加密送入在用库 申请加密密钥对 私钥加密一连同公钥等信息打 包、签名 接收、验证 重组数据包 发送 发加密密钥数据包 证书签名系统A 密钥管理系统KM 图4CA与KM协议流程 5.1.2.4CA同发布系统间协议流程(见图5) 定时生成CERT/CRL签名 接收数据包、验证、存储于本地 数据包 发送 ERT/CRL签名数据库 数据包 从IDAP 接收回执 生成回执 数据服务器 发送回执 同步 证书签名服务器 主LDAP服务器 图5CA与发布系统协议流程 GM/T0014-2012 5.1.2.5用户与目录服务间协议流程 见LDAP相关协议标准。 5.1.2.6CA与证书状态查询服务间协议流程 见GB/T19713。 见简化在线证书状态协议 SOCSP标准GB/T25059。 5.1.2.7用户与证书状态查询服务间协议流程 见GB/T19713 见简化在线证书状态协议 SOCSP标准GB/T25059。 SOCSP一般用于运行比较频繁的应用服务器对访间者身份证书有效性的验证,采用该协议可以提 高验证的效率 5.2CA与KM系统间相关协议 5.2.1概述 KM系统接收CA系统的密钥服务请求,将处理结果返回给CA。本标准中的密钥服务协议包括申 请密钥对、恢复密钥对和撤销密钥对,每个服务都按照请求-响应的步骤执行。 请求:由CA提出,发送到KM。CA在生成用户加密证书、更新加密证书或者撒销加密证书时,首 先组织密钥服务请求,发送到KM,并延缓自身的事务处理过程,等待KM响应返回 响应:由KM发起,发送到CA。KM在接收到来自CA的请求后,检查确定请求合法性,处理服务 请求,并将结果返回给CA。 整个服务过程可以使用图6示意表示。 组织申请数据 建立服务,等待申请 制作服务请求 接收服务请求 请求 处理请求 接收处理KM响应 制作响应 响应 继续事务处理 图6CA和KM通讯过程 下面的协议内容将按照这个框架进行 【实例截图】
【核心代码】
标签:
好例子网口号:伸出你的我的手 — 分享!
小贴士
感谢您为本站写下的评论,您的评论对其它用户来说具有重要的参考价值,所以请认真填写。
- 类似“顶”、“沙发”之类没有营养的文字,对勤劳贡献的楼主来说是令人沮丧的反馈信息。
- 相信您也不想看到一排文字/表情墙,所以请不要反馈意义不大的重复字符,也请尽量不要纯表情的回复。
- 提问之前请再仔细看一遍楼主的说明,或许是您遗漏了。
- 请勿到处挖坑绊人、招贴广告。既占空间让人厌烦,又没人会搭理,于人于己都无利。
关于好例子网
本站旨在为广大IT学习爱好者提供一个非营利性互相学习交流分享平台。本站所有资源都可以被免费获取学习研究。本站资源来自网友分享,对搜索内容的合法性不具有预见性、识别性、控制性,仅供学习研究,请务必在下载后24小时内给予删除,不得用于其他任何用途,否则后果自负。基于互联网的特殊性,平台无法对用户传输的作品、信息、内容的权属或合法性、安全性、合规性、真实性、科学性、完整权、有效性等进行实质审查;无论平台是否已进行审查,用户均应自行承担因其传输的作品、信息、内容而可能或已经产生的侵权或权属纠纷等法律责任。本站所有资源不代表本站的观点或立场,基于网友分享,根据中国法律《信息网络传播权保护条例》第二十二与二十三条之规定,若资源存在侵权或相关问题请联系本站客服人员,点此联系我们。关于更多版权及免责申明参见 版权及免责申明
网友评论
我要评论