1、书 书 书犐 犆犛 犆犆犛犔 中华人民共和国密码行业标准犌犕犜 简单证书注册协议规范犛 犻 犿狆 犾 犲犮 犲 狉 狋 犻 犳 犻 犮 犪 狋 犲犲 狀 狉 狅 犾 犾 犿犲 狀 狋狆 狉 狅 狋 狅 犮 狅 犾狊 狆 犲 犮 犻 犳 犻 犮 犪 狋 犻 狅 狀 发布 实施国家密码管理局发 布书 书 书目次前言引言范围规范性引用文件术语和定义缩略语功能 实体 客户端认证 注册认证 证书分发 证书注册 证书查询 查询 证书撤销安全消息对象 概述 消息 消息类型 简化的 数据类型 事务 获取证书 证书注册 证书轮询 证书查询 查询 获取下一个证书 传输协议 消息格式 消息 附录(规范性)消息 参考
2、文献 犌犕犜 前言本文件按照 标准化工作导则第部分:标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由密码行业标准化技术委员会提出并归口。本文件起草单位:长春吉大正元信息技术股份有限公司、北京信安世纪科技股份有限公司、格尔软件股份有限公司、成都卫士通信息产业股份有限公司、飞天诚信科技股份有限公司、北京数字认证股份有限公司、兴唐通信科技有限公司、上海市数字证书认证中心有限公司、北京握奇智能科技有限公司、北京华大智宝电子系统有限公司、北京创原天地科技有限公司、山东得安信息技术有限公司。本文件主要起草人:赵丽丽、张庆勇、郑强、张立
3、廷、罗俊、朱鹏飞、傅大鹏、王妮娜、韩玮、汪雪林、张渊、陈保儒、王晓晨、马洪富。犌犕犜 引言简单证书注册协议是一种证书管理的简单协议,主要用于客户端(用户)与服务端()之间的证书自动注册。它结合了和,保证了证书注册的安全可靠。而且在大规模的设备证书自动注册中简化了对请求者身份鉴别的工作,令设备证书的注册变得更为简单。本文件的内容参考了 的 稿,按照我国相关密码政策和规范,结合我国实际应用需求及产品生产厂商的实践经验,制定了适应我国证书体系和密码算法的简单证书注册协议。犌犕犜 简单证书注册协议规范范围本文件定义了使用算法进行证书注册的简单协议。本文件适用于指导研制提供证书自动注册的数字证书认证系统
4、,以及使用算法进行设备证书的自动注册。规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。信息安全技术公钥基础设施数字证书格式 (所有部分)信息安全技术椭圆曲线公钥密码算法 信息安全技术密码算法加密签名消息语法规范 基于算法的证书申请语法规范 密码术语术语和定义 界定的以及下列术语和定义适用于本文件。客户端犮 犾 犻 犲 狀 狋申请证书服务的设备。注:客户端也称请求端。服务端狊 犲 狉 狏 犲 狉提供证书服务的实体,包含和。数字信封犱 犻 犵 犻 狋
5、 犪 犾犲 狀 狏 犲 犾 狅 狆 犲一种数据结构,包含用对称密钥加密的密文和用公钥加密的该对称密钥。设备证书犱 犲 狏 犻 犮 犲犮 犲 狉 狋 犻 犳 犻 犮 犪 狋 犲数字证书的一种,由签名的包含设备的基本信息、设备公钥信息及其他补充信息等的一种数据结构。犛犕算法犛犕犪 犾 犵 狅 狉 犻 狋 犺犿由 (所有部分)定义的一种算法。犌犕犜 缩略语下列缩略语适用于本文件。:证书认证机构():证书撤销列表分发点():公共网关接口():证书撤销列表():轻量级目录访问协议():公钥基础设施():证书注册机构():简单证书注册协议()犛犆犈犘功能 犛犆犈犘实体 概述实体包含客户端和服务端。服务端由
6、和组成。描述客户端向服务端注册认证的协议流程及格式。实体关系见图。图犛犆犈犘实体关系图客户端在注册认证的过程中,如果以前没有获取证书,则应在任何操作启动之前申请获取证书,得到证书后进行证书注册流程,在进行注册认证后,客户端可以向进行证书查询和查询,在证书更新时及时获取下一个证书。客户端客户端开始一个事务之前,应至少有一张能够对消息进行签名的证书。客户端应配置如下的信息。)或的 地址或域名。)或的脚本路径。)的相关辨识信息,可以是证书的杂凑值。辨识信息或来自用户,或在协议交互时通过人工授权传递给终端用户。客户端应采取可靠措施,对这些信息的完整性进行保护。客户端可维护适用于多个的多个独立配置,这些配置并不影响协议操作。犌犕犜 犆犃是签发客户端证书的实体,的名字应出现在生成证书的签发者字段中。在任何操作发生之前,应获得一个符合 配置的证书,这可以是上级签发的证书。客户端应通过 的获取证书请求消息得到证书,并将获取证书响应消息所得到的证书通过证书杂凑值进行认证。应在线回应证书查询请求或通过提供证书查询结果。可实施任何策略并应用这些策略认证或拒绝客户端的请求。如果服务端已经为客户端签发过证书,且