ICS 35.030 GB CCS L 80 中华人民共和国国家标准 GB/T 19714—202X 网络安全技术公钥基础设施 证书管理协议 Cybersecurity technology - Public key infrastructure - Certificate management protocol (点击此处添加与国际标准一致性程度的标识) （征求意见稿） 在提交反馈意见时，请将您知道的相关专利连同支持性文件一并附上。 XXXX -XX -XX 发布 XXXX-XX-XX实施 玉家市场监督管理总局 发布 国家标准化管理委员会 GB/T 19714—202X 目次 前言， . IH1 1范围. 2规范性引用文件 3术语和定义. 4缩略语. 5证书管理概述 5.1概述.... 5.2PKI实体介绍. 6PKI消息数据结构.. 6.1PKI消息综述. 6.2公共数据结构. 6.3特定操作数据结构. 7证书管理协议. 7.1总则.. 18 7.2终端实体与证书及CRL存储发布与状态查询系统间相关协议. 18 7.3终端实体与RA系统间相关协议. 7.4 RA与 CA系统间相关协议 .25 7.5CA与KM系统间相关协议 .27 7.6CA与证书及CRL存储发布与状态查询系统间相关协议 .32 附录A（规范性）证书管理消息结构 ..36 A.1概述... .36 A.2消息结构解释的通用规则， A.3算法使用参数... A.4所有权证明消息结构. A.5初始的注册/认证（基本认证方案） .37 A.6证书请求... A.7密钥更新请求. .42 附录B（资料性）证书管理消息结构 .43 B.1概述.... .43 B.2结构解释的通用规则. 43 B.3算法使用参数. 43 B.4PKI信息请求/响应. .43 B.5使用外部身份证书进行初始化. 44 附录C（资料性）RA系统存在的原因. 附录D（资料性）版本协商 .47 47 D.2与GB/T19714一2005版本服务端对话的客户端 I GB/T 19714—202X D.3接收GB/T19714一2005版本消息的服务端， 附录E（资料性）使用“口令短语” ..48 附录F（资料性）可编译的使用1988版本的ASN.1模型 ..49 参考文献.．．．. ...57 II GB/T 19714—202X 前言 本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起 草。 本文件代替GB/T19714一2005《信息技术安全技术公钥基础设施证书管理协议》。与GB/T 19714一2005相比，主要技术变化如下： a）删除了引言（见2005版引言）； b）更改了范围（见第1章，2005版的第1章）； c）增加了规范性引用文件GB/T19713网络安全技术公钥基础设施在线证书状态协议、GB/T 20518一2018信息安全技术公钥基础设施数字证书格式、GB/T25056-2018信息安全技术证书认证系统 密码及其相关安全技术规范、GB/T33560-2017信息安全技术密码应用标识规范，删除了规范性引用文 件GB/T16264.8-2005信息技术开放系统互连目录第8部分：公钥和属性证书框架和RFC2511因特网 X.509公开密钥基础设施证书消息格式（见2）； d）删除了术语中的“抽象语法记法一”（见2005版的3.1）、“注册机构”、“公钥证书”（见2005 版的3.2）、“证书持有者”（见2005版的3.3）、“证书用户”（见2005版的3.4）、“证书认证机构” （见2005版的3.5）、“证书认证路径”（见2005版的3.6）、认证业务说明”（见2005版的3.7）交 叉证书”（见2005版的3.8）、“证书撤销列表分布点”（见2005版的3.9）、“证书撤销列表（见2005 版的3.10）、“发证”（见2005版的3.11）、“可辨别编码规则”（见2005版的3.12）、“目录服务” ））） 证码”（见2005版的3.18）、“消息摘要”（见2005版的3.19）、“策略映射”（见2005版的3.22）、 “资料库”（见2005版的3.24）、“自颁发证书”（见2005版的3.25）； e）增加了术语“公钥基础设施”（见3.1），更改了多个术语的描述，包括“数字签名”（见3.2）、 “杂凑函数”（见3.3）、“个人安全环境”（见3.4）； f）补充了缩略语英文全称、增加了缩略语“CMP”、“EE”、“IPSEC”、“KM”、“LDAP”、 “MAC”、“0CSP”（见第4章），删除了缩略语“TCP”（见2005版的第4章）； g）更改第5章标题为“证书管理概述”（见5）； h）更改5.1节标题为“概述”，删除了PKI管理模型相关内容，增加了主要内容概述（见5.1）； i）修改图1“与证书管理相关的实体交互关系”（见5.1）； j）增加了KM系统介绍（见5.2.4）和证书及CRL存储发布与状态查询系统介绍（见5.2.5）； k）删除了“PKI管理要求”相关内容（见2005版的5.3）和“PKI管理操作”相关内容（见2005版的 5.4），其中证书管理相关内容置于5.1节描述； 1）删除了加密密钥私钥拥有证明相关内容（见2005版的6.3.2和2005版的7.2.8）和协商密钥私钥 拥有证明相关内容（见2005版的6.3.3）； m）删除了根CA的更新相关内容（见2005版的6.4和2005版的第8章）； n）删除了原第6章，删除了其中与证书管理协议无关的内容，相关内容置于其它章节描述； o）调整原第7章为第6章，并增加了“PKI消息”章节（见6.1.1）； p）增加了“transactionID”的相关描述（见6.1.2.1）； q）增加协议版本字段取值的设置（见6.1.2.1）； r）正文增加了“隐式确认”（见6.1.2.2）、“确认等待时间”（见6.1.2.3）数据结构； s）在PKIHead的generalInfo扩展项增加对证书模板标识“certTemplateID”字段的支持，用以指 明证书申请者对申请的证书的要求（见6.1.2.4）； t）增加了“多重保护”相关描述（见6.1.4）； III