GM_T 0014-2012数字证书认证系统密码协议规范.pdf

ICS _35. 040L 80GM备案号，38312—2013中华人民共和国密码行业标准GM/T 0014—2012数字证书认证系统密码协议规范Digital certificate authentication system cryptography protocol specification2012-11-22发布2012-11-22实施国家密码管理局发布 GM/T 0014—2012目次前言引言范围规范性引用文件：术语和定义缩略语相关协议5.1概述及协议流程5. 1.1内容概述5. 1. 2协议流程5. 2CA与KM系统闻相关协议5. 2.1概速5, 2, 2协议内容5. 2. 3密钥申请协议5. 2. 4响应5.3CA与LDAP服务间相关协议5, 3. 1协议概述.5, 3, 2发布协议5. 4用户与LDAP服务间相关协议5. 4. 1协议概述5. 4. 2证书查询与下载协议135. 4. 3CRL查询与下载协议17CA与OCSP/SOCSP服务闻相关发布协议195. 5205, 5. 1证书状态发布协议··5. 5.220SOCSP证书状态查询协议用户与OCSP/SOCSP服务闻相关协议205. 6OCSP证书状态查询协议5. 6.15, 6.2SOCSP证书状态查询协议25协议报文语法256. 1加密数据报文摘要数据报文256. 26.3数字签名报文…·6. 426数字信封报文附录A（规范性附录）27A. 1证书模板格式27A. 2证书撤销列表CRL格式27 GM/T 0014—20125.2.2协议内容a)请求也称密钥服务请求，包含CA请求的类型、性质以及特性数据等，该请求将被发送到KM并得到服务。服务请求包括如下数据：协议版本（当前服本为2)；服务请求标识符；CA标识符；扩展的请求信息；请求信息的签名。b）响应是KM对来自CA请求的处理响应。KM的响应包括如下数据：协议版本(当前版本为2)；响应标识符；KM标识符；确应信息；响应信息的签名。c)异常情况当CA系统和KM系统任何一方处理发生错误时，均需要向对方发逆错误信息。错误可以是下列几类：验证请求失败：KM验证来自CA证书或CA请求数据失败，CA收到后应重新进行申请；内部处理失败；KM处理CA请求过程中发生内部错误，通知CA该请求处理失败，需要重新申请，本标准采用抽象语法表示法（ASN.1)来措速具体协议内容，如果无特殊说明，默认使用ASN.1显式标记。5.2.3密钥申请协议-请求数据格式CA请求的基本格式如下：CARequest +: SEQUENCE (ksRequestKSRequest,signatureAlgorithmAlgorithmIdentifier,signatureValueOCTET STRING)其中；KSRequest 1:= SSEQUENCE(versionVersion DEFAULT v2,caNameEntName,requestListSEQUENCE OF Request,requestTimeGeneralizedTime,taskNoINTEGER(6 GM/T 0014—2012Version : : = INTEGER ( v2(1))EntName ::= SEQUENCE (hashAlgorithmAlgorithmdentifier,entNameGeneralName,entPubKeyHashOCTET STRING,serialNumberCertificateSerialNumberCertificateSerialNumber : : INTEGERRequest : :=CHOICE(applyKeyReq[oJ IMPLICT ApplyKeyReq,restoreKeyReq[1] IMPLICT RestoreKeyReq,revokeKeyReq[2] IMPLICT RevokeKeyReq1（注：前面已直接定义为GerneralTime,此处应该不再表述）KSRequest及其结构解释KSRequest包含了请求语法中的重要信息，本条将对该结构作详细的捕述和解释，a)版本本项描了请求语法的版本号，当前版本为2，取整型值1。b)请求者标识符本项描述了请求者标识符。entName是申请者的难一名称，该值由实际运行CA和KM约定，entName结构中，entPubKeyHash是申请者公钥的哈希值，该值将通过对发布者证书中的主体公钥字段（不含标记和长度)进行计算，hashAlgorithm字段用来指明这些哈希计算所使用的哈希算法，serialNumber是申请者的证书序列号。c）请求类型本项描述了请求包类型，当值为applyKey时，表明该包为申请密钥申请包，为restore