




版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
国家标准报批材料
一、工作简况
1.1任务来源
根据全国信息安全标准化技术委员会下达的2022年制修订网络安全国家标
准项目计划,国家标准《信息安全技术公钥基础设施在线证书状态协议》由全
国信息安全标准化技术委员会(SAC/TC260)提出并归口,由普华诚信信息技术
有限公司牵头,计划号:20230239-T-469。
1.2制定背景
本标准规定了一种无需请求证书撤销列表(CRL)即可查询数字证书状态的
机制(即OCSP),该机制可替代CRL或作为周期性检查CRL的一种补充方式,以
便及时获得证书撤销状态的有关信息。本标准适用于各类基于公开密钥基础设施
的应用程序和计算环境。由于GB/T25059-2010《信息安全技术公钥基础设施
简易在线证书状态协议》已于2017年12月废止,且本标准参考的RFC2560已被
替代,其最新版本为RFC6960,标准中使用的部分算法已经不再使用,国内已经
升级到SM2算法,并制定了SM2算法、数字证书格式、数字证书认证系统等一系
列标准规范,因此,本项目需要根据最新国际标准,并结合国内相关信息安全标
准规范,对GB/T19713-2005《信息技术安全技术公钥基础设施在线证书状态协
议》进行修订。
1.3起草过程
1)2022年1月,成立标准起草组,调研国际上最新相关标准,讨论并确
定标准的范围、框架及主要技术内容。
2)2022年2月至3月,根据RFC6960、RFC8954、RFC5019等参考文件,
开展本标准的翻译及编写工作;标准起草组分工开展草案稿起草工作,内
部讨论和修订,形成第一版草案稿。
3)2022年4月18日,参加WG4工作组2022年网络安全国家标准立项研
讨会,在立项研讨会上,认证听取专家及其他工作组成员单位的意见。
国家标准报批材料
4)2022年5月-2022年6月,标准起草组对专家及其他工作组成员单位的
意见进行研讨,对草案进行修改完善并提交秘书处。
5)2022年7月6日,参加全国信息安全标准化技术委员会组织的网络安
全国家标准立项评审会。
6)2022年10月30日,收到全国信息安全标准化技术委员会的立项通
知,本标准通过立项。
7)2022年11月,征集标准参编单位,吸纳相关单位加入标准编制组。
8)2022年12月6日,信安标委秘书处将举办信安标委2022年标准周活
动,对标准草案进行了汇报,认证听取专家及其他工作组成员单位的意
见。
9)2022年12月31日,根据据WG4工作组会议意见,对标准文本进行了
修改,形成征求意见稿草案。
10)2023年1月16日,组织WG4工作组副组长、责任专家、责任编辑
召开征求意见稿的集中评审会,并按照专家意见对标准进行修改,形成形
成征求意见稿。
11)2023年2月16日,信安标委秘书处组织召开《信息技术安全技术
公钥基础设施在线证书状态协议》(征求意见稿)专家审查会,通过了标
准的审查。
1.4各阶段意见处理情况
1)草案稿第1稿阶段,2022年4月18日,TC260/WG4组织专家评审会,
共收到12条意见,采纳了11条。
2)草案稿修改稿阶段,2022年12月6日,TC260/WG4工作会议上,共收
到24条意见,对其中2条意见做了解释,另外22条意见采纳。
3)征求意见稿修改稿阶段,2023年1月16日,组织了WG4工作组副组
长、责任专家、责任编辑开征求意见稿草案的集中评审会,共收到41条意
见,对所有意见都采纳。
二、标准编制原则、主要内容及其确定依据
2.1标准编制原则
a)遵循现行国家标准,采用和借鉴国内外先进文献/标准
国家标准报批材料
本标准按国家标准GB/T1.1-2020规定的格式予以编写。
b)贯彻国家有关政策与法规
本标准中涉及的密码算法遵循国家商用密码的有关规定。
2.2主要内容及其确定依据
本标准规定了一种无需请求证书撤销列表(CRL)即可查询数字证书状态的机
制,可代替CRL或作为周期性检查CRL的一种补充方式,以便及时获得证书撤销
状态的有关信息。本文件包括在线证书状态协议的总体要求(请求、响应及异常
等)、功能要求、具体协议和安全考虑等。
本标准主要内容是在GB/T19713-2005《信息技术安全技术公钥基础设施在
线证书状态协议》基础上,根据RFC6960、RFC5019、RFC8954等文献,结合国内
相关信息安全标准规范修订。
2.3修订前后技术内容的对比[适用于国家标准修订项目]
本项目是对国家标准GB/T19713-2005《信息技术安全技术公钥基础设施在
线证书状态协议》进行修订,依据国际上IETF(互联网工程特别工作组)发表的
RFC5019用于大容量环境的轻量级在线证书状态协议(OCSP)语法、RFC6960X.509
互联网公钥基础设施在线证书状态协议、RFC8954在线证书状态协议(OCSP)
Nonce扩展等文件,并结合国产密码算法和相关标准规范要求等,对GB/T19713-
2005《信息安全技术公钥基础设施在线证书状态协议》进行修改和完善。主要
修改内容有:
1)19713-2005中使用的签名算法还是DSA、RSA、SHA1算法等算法,这些
算法已经不推荐使用。随着国产密码算法的推进,需要在线证书状态协议
算法对国产密码算法支持。
2)19713-2005引用、参考的大部分都是国际标准、规范,国内制定了
《GB/T20518-2018信息安全技术公钥基础设施数字证书格式》、《GM/T
0014-2012数字证书认证系统密码协议规范》等一系列证书相关标准。现
在改成引用国内标准。
3)19713-2005对协议不够详细的,参照RFC6960,扩展了响应状态、异常
情况的使用范围,规范了OCSP请求和响应语法,扩展并新增了标准的扩展
项,解决了GB/T19713-2005标准中的不足。
国家标准报批材料
4)增加标准协议的安全处理,加强了算法的安全、中间人降级攻击、拒绝
服务攻击、重放攻击、随机数的安全规范要求。
5)增加了轻量级OCSP请求和响应的语法规范,支持移动网络或云计算等
大规模应用环境下的证书状态查询服务的需求。
三、试验验证的分析、综述报告,技术经济论证,预期的经济效益、社会效
益和生态效益
3.1试验验证的分析、综述报告
3.2技术经济论证
3.3预期的经济效益、社会效益和生态效益
本标准作为信息安全技术公钥基础设施数字证书应用的基础,完善了GB/T
19713-2005标准中不足、增加了国产密码算法、轻量级在线证书状态协议等,能
够为数字证书应用提供更加安全、可靠、及时的状态查询服务,有力指导OCSP
服务合规、安全应用,支撑我国信息安全产业的发展。
四、与国际、国外同类标准技术内容的对比情况,或者与测试的国外样品、
样机的有关数据对比情况
本标准主要参考国际上IETF(互联网工程特别工作组)发表的RFC6960、
RFC8954和RFC5019等标准修改,并增加了国产密码算法。
本标准与国际、国外同类标准技术内容的最大区别在于本标准即支持国际算
法同时也支持SM2、SM3国产密码算法。
五、以国际标准为基础的起草情况,以及是否合规引用或者采用国际国外标
准,并说明未采用国际标准的原因
本标准是对国家标准GB/T19713-2005《信息技术安全技术公钥基础设施在
线证书状态协议》进行修改和完善,本标准合规采用或者参考的国际标准文献有:
[1]RFC6960—X.509互联网公钥基础设施在线证书状态协议(Internet
publickeyinfrastructureOnlineCertificateStatusProtocol)
[2]RFC8954—在线证书状态协议(OCSP)Nonce扩展(RFC8954Online
CertificateStatusProtocol(OCSP)NonceExtension)
国家标准报批材料
[3]RFC5019—用于大容量环境的轻量级在线证书状态协议(OCSP)语法
(RFC5019TheLightweightOnlineCertificateStatusProtocol(OCSP)
ProfileforHigh-VolumeEnvironments)
[4][RFC2616]超文本传输协议(HTTP1.1)"HypertextTransfer
Protocol--HTTP/1.1",June1999
六、与有关法律、行政法规及相关标准的关系
1、贯彻国家有关政策与法规
本标准中涉及的密码算法遵循了国家商用密码的有关规定。
2、与相关国内相关标准的关系
本标准主要是对GB/T19713-2005《信息技术安全技术公钥基础设施在线证
书状态协议》标准进行修订,与我国现行的法律、法规及国家标准不存在冲突问
题。
七、重大分歧意见的处理经过和依据
在2022年4月工作组会议上,荆老师提的“荆老师提的问题,关于轻量级,
既然有轻量的方式可供查询,为什么还需要用别的方式?”,在2022年12月6
日工作组会议专家也对这个轻量级OCSP提出了疑问,针对这个疑问进行重点解
释。
1)轻量级ocsp是常规的在线证书状态协议(OCSP)的子集,其应用场景
主要是为满足非常大规模(高容量)PKI环境或需要减少带宽和客户端/响
应器处理能力的PKI环境下使用在线证书状态协议的需求。目前移动互联
网和云计算快速发展,轻量级ocsp应用于移动互联网和云计算的环境下。
2)轻量级是相对普通的OCSP协议,其从请求和响应的数据结构和请求的
查询数据量进行了简化。在请求结构上,可以不包括
singleRequestExtensions数据项、requestExtensions数据项等,请求的
数据上只请求一个证书,请求方可以不用对请求进行签名;在响应数据结
构上,只返回BasicOCSPResponse数据项,不返回responseExtensions数
据项,数据结构上的简化,从而减少了带宽和减少客户端/响应器处理能
力。在请求和响应结构中使用扩展项有利于OCSP能够适应各种环境,轻量
级OCSP减少了扩展项,其使用的灵活性、适应性上会降低,而且每次只能
国家标准报批材料
查询一个证书的状态,其只适应大规模(高容量)PKI环境的特定环境,
其他的通用、处理能力不受限制应用环境还是需要常规的OCSP协议。
对于轻量级OCSP的名字是根据“RFC5019TheLightweightOnline
CertificateStatusProtocol(OCSP)ProfileforHigh-Volume
Environments”翻译,其中对Lightweight进行翻译为“轻量级”,其与
LightweightDirectoryAccessProtocol(轻量级目录访问协议)中
Lightweight翻译为一致。
八、涉及专利的有关说明
本文件不涉及专利。
九、实施国家标准的要求,以及组织措施、技术措施、过渡期和实施日期的
建议等措施建议
本标准作为信息安全技术公钥基础设施数字证书应用的基础,为我国电子政
务、电子商务等领域中数字证书的应用发挥了举足轻重的作用,为我国电子认证
技术的发展提供了重要依据和支撑。
本标准正式发布后,为了使标准的规定得到有效贯彻,建议WG4工作组、信
安标委可以及时通知行业内各单位本标准的发布信息,督促各单位依据最新标准
开展系统设计、评测以及应用推广等工作。
十、其他应当说明的事项
无。
国家标准报批材料
一、工作简况
1.1任务来源
根据全国信息安全标准化技术委员会下达的2022年制修订网络安全国家标
准项目计划,国家标准《信息安全技术公钥基础设施在线证书状态协议》由全
国信息安全标准化技术委员会(SAC/TC260)提出并归口,由普华诚信信息技术
有限公司牵头,计划号:20230239-T-469。
1.2制定背景
本标准规定了一种无需请求证书撤销列表(CRL)即可查询数字证书状态的
机制(即OCSP),该机制可替代CRL或作为周期性检查CRL的一种补充方式,以
便及时获得证书撤销状态的有关信息。本标准适用于各类基于公开密钥基础设施
的应用程序和计算环境。由于GB/T25059-2010《信息安全技术公钥基础设施
简易在线证书状态协议》已于2017年12月废止,且本标准参考的RFC2560已被
替代,其最新版本为RFC6960,标准中使用的部分算法已经不再使用,国内已经
升级到SM2算法,并制定了SM2算法、数字证书格式、数字证书认证系统等一系
列标准规范,因此,本项目需要根据最新国际标准,并结合国内相关信息安全标
准规范,对GB/T19713-2005《信息技术安全技术公钥基础设施在线证书状态协
议》进行修订。
1.3起草过程
1)2022年1月,成立标准起草组,调研国际上最新相关标准,讨论并确
定标准的范围、框架及主要技术内容。
2)2022年2月至3月,根据RFC6960、RFC8954、RFC5019等参考文件,
开展本标准的翻译及编写工作;标准起草组分工开展草案稿起草工作,内
部讨论和修订,形成第一版草案稿。
3)2022年4月18日,参加WG4工作组2022年网络安全国家标准立项研
讨会,在立项研讨会上,认证听取专家及其他工作组成员单位的意见。
国家标准报批材料
4)2022年5月-2022年6月,标准起草组对专家及其他工作组成员单位的
意见进行研讨,对草案进行修改完善并提交秘书处。
5)2022年7月6日,参加全国信息安全标准化技术委员会组织的网络安
全国家标准立项评审会。
6)2022年10月30日,收到全国信息安全标准化技术委员会的立项通
知,本标准通过立项。
7)2022年11月,征集标准参编单位,吸纳相关单位加入标准编制组。
8)2022年12月6日,信安标委秘书处将举办信安标委2022年标准周活
动,对标准草案进行了汇报,认证听取专家及其他工作组成员单位的意
见。
9)2022年12月31日,根据据WG4工作组会议意见,对标准文本进行了
修改,形成征求意见稿草案。
10)2023年1月16日,组织WG4工作组副组长、责任专家、责任编辑
召开征求意见稿的集中评审会,并按照专家意见对标准进行修改,形成形
成征求意见稿。
11)2023年2月16日,信安标委秘书处组织召开《信息技术安全技术
公钥基础设施在线证书状态协议》(征求意见稿)专家审查会,通过了标
准的审查。
1.4各阶段意见处理情况
1)草案稿第1稿阶段,2022年4月18日,TC260/WG4组织专家评审会,
共收到12条意见,采纳了11条。
2)草案稿修改稿阶段,2022年12月6日,TC260/WG4工作会议上,共收
到24条意见,对其中2条意见做了解释,另外22条意见采纳。
3)征求意见稿修改稿阶段,2023年1月16日,组织了WG4工作组副组
长、责任专家、责任编辑开征求意见稿草案的集中评审会,共收到41条意
见,对所有意见都采纳。
二、标准编制原则、主要内容及其确定依据
2.1标准编制原则
a)遵循现行国家标准,采用和借鉴国内外先进文献/标准
国家标准报批材料
本标准按国家标准GB/T1.1-2020规定的格式予以编写。
b)贯彻国家有关政策与法规
本标准中涉及的密码算法遵循国家商用密码的有关规定。
2.2主要内容及其确定依据
本标准规定了一种无需请求证书撤销列表(CRL)即可查询数字证书状态的机
制,可代替CRL或作为周期性检查CRL的一种补充方式,以便及时获得证书撤销
状态的有关信息。本文件包括在线证书状态协议的总体要求(请求、响应及异常
等)、功能要求、具体协议和安全考虑等。
本标准主要内容是在GB/T19713-2005《信息技术安全技术公钥基础设施在
线证书状态协议》基础上,根据RFC6960、RFC5019、RFC8954等文献,结合国内
相关信息安全标准规范修订。
2.3修订前后技术内容的对比[适用于国家标准修订项目]
本项目是对国家标准GB/T19713-2005《信息技术安全技术公钥基础设施在
线证书状态协议》进行修订,依据国际上IETF(互联网工程特别工作组)发表的
RFC5019用于大容量环境的轻量级在线证书状态协议(OCSP)语法、RFC6960X.509
互联网公钥基础设施在线证书状态协议、RFC8954在线证书状态协议(OCSP)
Nonce扩展等文件,并结合国产密码算法和相关标准规范要求等,对GB/T19713-
2005《信息安全技术公钥基础设施在线证书状态协议》进行修改和完善。主要
修改内容有:
1)19713-2005中使用的签名算法还是DSA、RSA、SHA1算法等算法,这些
算法已经不推荐使用。随着国产密码算法的推进,需要在线证书状态协议
算法对国产密码算法支持。
2)19713-2005引用、参考的大部分都是国际标准、规范,国内制定了
《GB/T20518-2018信息安全技术公钥基础设施数字证书格式》、《GM/T
0014-2012数字证书认证系统密码协议规范》等一系列证书相关标准。现
在改成引用国内标准。
3)19713-2005对协议不够详细的,参照RFC6960,扩展了响应状态、异常
情况的使用范围,规范了OCSP请求和响应语法,扩展并新增了标准的扩展
项,解决了GB/T19713-2005标准中的不足。
国家标准报批材料
4)增加标准协议的安全处理,加强了算法的安全
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 高血压的基础知识
- 厕所文明与安全
- 小学彩虹美术课件
- 第一章 专题强化练5 力学规律的综合应用-2025版高二物理选择性必修一
- 第七章 作业22 同步卫星及其综合问题-2025版高一物理必修二
- 江苏省扬州市仪征市联考2024-2025学年九年级(上)期末历史试卷
- 2024年CFA考试详细试题及答案
- 2024年特许金融分析师考试个人备考试题及答案
- 支教工作个人总结8
- 特许金融分析师考试论文写作试题及答案
- 2025年中国邮政福州分公司招聘笔试参考题库含答案解析
- 2025年《茶馆》新解读:老舍笔下的人间百态
- 安装木地板合同范本2025年
- 小红书种草营销师(初级)认证考试题库(附答案)
- GB/T 45089-20240~3岁婴幼儿居家照护服务规范
- 品管圈PDCA获奖案例-心血管内科降低经皮冠状动脉介入术后肢体肿胀发生率医院品质管理成果汇报
- 2024年高考真题-地理(河北卷) 含答案
- DB11∕T 2077-2023 城市副中心 新型电力系统10kV及以下配电网设施配置技术规范
- 石油钻井平台受限空间作业规范
- 屋顶分布式光伏电站专项施工方案
- 2024年中考语文考点专题复习标点符号含解析
评论
0/150
提交评论