GM/T 0089-2020 简单证书注册协议规范

犐犆犛３５．０４０犆犆犛犔８０中华人民共和国密码行业标准犌犕／犜００８９—２０２０简单证书注册协议规范犛犻犿狆犾犲犮犲狉狋犻犳犻犮犪狋犲犲狀狉狅犾犾犿犲狀狋狆狉狅狋狅犮狅犾狊狆犲犮犻犳犻犮犪狋犻狅狀２０２０１２２８发布２０２１０７０１实施国家密码管理局发布犌犕／犜００８９—２０２０目　　次前言 ………………………………………………………………………………………………………… Ⅲ 引言 ………………………………………………………………………………………………………… Ⅳ １　范围 ……………………………………………………………………………………………………… １２　规范性引用文件 ………………………………………………………………………………………… １３　术语和定义 ……………………………………………………………………………………………… １４　缩略语 …………………………………………………………………………………………………… ２５　ＳＣＥＰ功能 ……………………………………………………………………………………………… ２　５．１　ＳＣＥＰ实体 ………………………………………………………………………………………… ２　５．２　客户端认证 ………………………………………………………………………………………… ３　５．３　注册认证 …………………………………………………………………………………………… ３　５．４　ＣＡ／ＲＡ证书分发 …………………………………………………………………………………… ３　５．５　证书注册 …………………………………………………………………………………………… ４　５．６　证书查询 …………………………………………………………………………………………… ６　５．７　ＣＲＬ查询 …………………………………………………………………………………………… ６　５．８　证书撤销 …………………………………………………………………………………………… ６６　ＳＣＥＰ安全消息对象 …………………………………………………………………………………… ６　６．１　概述 ………………………………………………………………………………………………… ６　６．２　ＳＣＥＰ消息 ………………………………………………………………………………………… ７　６．３　ＳＣＥＰ消息类型 …………………………………………………………………………………… ９　６．４　简化的ＳｉｇｎｅｄＤａｔａ数据类型 …………………………………………………………………… １１７　ＳＣＥＰ事务 ……………………………………………………………………………………………… １１　７．１　获取ＣＡ证书 ……………………………………………………………………………………… １１　７．２　证书注册 …………………………………………………………………………………………… １１　７．３　证书轮询 …………………………………………………………………………………………… １２　７．４　证书查询 …………………………………………………………………………………………… １２　７．５　ＣＲＬ查询 ………………………………………………………………………………………… １２　７．６　获取下一个ＣＡ证书 ……………………………………………………………………………… １３８　ＳＣＥＰ传输协议 ………………………………………………………………………………………… １３　８．１　ＨＴＴＰ消息格式 …………………………………………………………………………………… １３　８．２　ＳＣＥＰ消息 ………………………………………………………………………………………… １４附录Ａ（规范性）　ＧｅｔＣＡＣａｐｓ消息 …………………………………………………………………… １６参考文献 …………………………………………………………………………………………………… １７ Ⅰ 犌犕／犜００８９—２０２０前　　言　　本文件按照ＧＢ／Ｔ１．１—２０２０《标准化工作导则　第１部分：标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由密码行业标准化技术委员会提出并归口。本文件起草单位：长春吉大正元信息技术股份有限公司、北京信安世纪科技股份有限公司、格尔软件股份有限公司、成都卫士通信息产业股份有限公司、飞天诚信科技股份有限公司、北京数字认证股份有限公司、兴唐通信科技有限公司、上海市数字证书认证中心有限公司、北京握奇智能科技有限公司、北京华大智宝电子系统有限公司、北京创原天地科技有限公司、山东得安信息技术有限公司。本文件主要起草人：赵丽丽、张庆勇、郑强、张立廷、罗俊、朱鹏飞、傅大鹏、王妮娜、韩玮、汪雪林、张渊、陈保儒、王晓晨、马洪富。 Ⅲ 犌犕／犜００８９—２０２０引　　言　　简单证书注册协议是一种证书管理的简单协议，主要用于客户端（用户）与服务端（ＣＡ／ＲＡ）之间的证书自动注册。它结合了ＰＫＣＳ＃７和ＰＫＣＳ＃１０，保证了证书注册的安全可靠。而且在大规模的设备证书自动注册中简化了对请求者身份鉴别的工作，令设备证书的注册变得更为简单。本文件的内容参考了ＩＥＴＦ的《ＳｉｍｐｌｅＣｅｒｔｉｆｉｃａｔｅＥｎｒｏｌｌｍｅｎｔＰｒｏｔｏｃｏｌ》ＩｎｔｅｒｎｅｔＤｒａｆｔ稿，按照我国相关密码政策和规范，结合我国实际应用需求及产品生产厂商的实践经验，制定了适应我国证书体系和密码算法的简单证书注册协议。 Ⅳ 犌犕／犜００８９—２０２０简单证书注册协议规范１　范围本文件定义了使用ＳＭ２算法进行证书注册的简单协议。本文件适用于指导研制提供证书自动注册的数字证书认证系统，以及使用ＳＭ２算法进行设备证书的自动注册。２　规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。ＧＢ／Ｔ２０５１８—２０１８　信息安全技术　公钥基础设施　数字证书格式ＧＢ／Ｔ３２９１８（所有部分）　信息安全技术　ＳＭ２椭圆曲线公钥密码算法ＧＢ／Ｔ３５２７５—２０１７　信息安全技术　ＳＭ２密码算法加密签名消息语法规范ＧＭ／Ｔ００９２　基于ＳＭ２算法的证书申请语法规范ＧＭ／Ｚ４００１　密码术语３　术语和定义３．１ＧＭ／Ｚ４００１界定的以及下列术语和定义适用于本文件。客户端　犮犾犻犲狀狋申请证书服务的设备。　　注：客户端也称请求端。３．２服务端　狊犲狉狏犲狉提供证书服务的实体，包含ＣＡ和ＲＡ。３．３数字信封　犱犻犵犻狋犪犾犲狀狏犲犾狅狆犲一种数据结构，包含用对称密钥加密的密文和用公钥加密的该对称密钥。３．４设备证书　犱犲狏犻犮犲犮犲狉狋犻犳犻犮犪狋犲数字证书的一种，由ＣＡ签名的包含设备的基本信息、设备公钥信息及其他补充信息等的一种数据结构。３．５犛犕２算法　犛犕２犪犾犵狅狉犻狋犺犿由ＧＢ／Ｔ３２９１８（所有部分）定义的一种算法。１犌犕／犜００８９—２０２０４　缩略语下列缩略语适用于本文件。ＣＡ：证书认证机构（ＣｅｒｔｉｆｉｃａｔｉｏｎＡｕｔｈｏｒｉｔｙ）ＣＤＰ：证书撤销列表分发点（ＣＲＬＤｉｓｔｒｉｂｕｔｉｏｎＰｏｉｎｔ）ＣＧＩ：公共网关接口（ＣｏｍｍｏｎＧａｔｅｗａｙＩｎｔｅｒｆａｃｅ）ＣＲＬ：证书撤销列表（ＣｅｒｔｉｆｉｃａｔｅＲｅｖｏｃａｔｉｏｎＬｉｓｔ）ＬＤＡＰ：轻量级目录访问协议（ＬｉｇｈｔｗｅｉｇｈｔＤｉｒｅｃｔｏｒｙＡｃｃｅｓｓＰｒｏｔｏｃｏｌ）ＰＫＩ：公钥基础设施（ＰｕｂｌｉｃＫｅｙＩｎｆｒａｓｔｒｕｃｔｕｒｅ）ＲＡ：证书注册机构（ＲｅｇｉｓｔｒａｔｉｏｎＡｕｔｈｏｒｉｔｙ）ＳＣＥＰ：简单证书注册协议（ＳｉｍｐｌｅＣｅｒｔｉｆｉｃａｔｅＥｎｒｏｌｌｍｅｎｔＰｒｏｔｏｃｏｌ）５　犛犆犈犘功能５．１　犛犆犈犘实体５．１．１　概述ＳＣＥＰ实体包含客户端和服务端。服务端由ＣＡ和ＲＡ组成。ＳＣＥＰ描述客户端向服务端注册认证的协议流程及格式。ＳＣＥＰ实体关系见图１。图１　犛犆犈犘实体关系图客户端在注册认证的过程中，如果以前没有获取ＣＡ／ＲＡ证书，则应在任何ＰＫＩ操作启动之前申请获取ＣＡ／ＲＡ证书，得到ＣＡ／ＲＡ证书后进行证书注册流程，在进行注册认证后，客户端可以向ＣＡ进行证书查询和ＣＲＬ查询，在ＣＡ证书更新时及时获取下一个ＣＡ证书。５．１．２　客户端客户端开始一个ＰＫＩ事务之前，应至少有一张能够对ＳＣＥＰ消息进行签名的证书。客户端应配置如下的信息。ａ）　ＣＡ或ＲＡ的ＩＰ地址或域名。ｂ）　ＣＡ或ＲＡ的ＨＴＴＰ脚本路径。ｃ）　ＣＡ的相关辨识信息，可以是ＣＡ证书的杂凑值。辨识信息或来自用户，或在协议交互时通过人工授权传递给终端用户。客户端应采取可靠措施，对这些信息的完整性进行保护。客户端可维护适用于多个ＣＡ的多个独立配置，这些配置并不影响协议操作。２犌犕／犜００８９—２０２０５．１．３　犆犃ＣＡ是签发客户端证书的实体，ＣＡ的名字应出现在生成证书的签发者字段中。在任何ＰＫＩ操作发生之前，ＣＡ应获得一个符合ＧＢ／Ｔ２０５１８—２０１８配置的ＣＡ证书，这可以是上级ＣＡ签发的ＣＡ证书。客户端应通过７．１．１的获取ＣＡ证书请求消息得到ＣＡ证书，并将获取ＣＡ证书响应消息所得到的ＣＡ证书通过证书杂凑值进行认证。ＣＡ应在线回应证书查询请求或通过ＬＤＡＰ提供证书查询结果。ＣＡ可实施任何策略并应用这些策略认证或拒绝客户端的请求。如果服务端已经为客户端签发过证书，且该证书在当前仍然有效，服务端可返回之前为客户端创建的证书。如果客户端在轮询一个挂起事务后进入超时状态，它应通过向服务端发送与证书注册事务名称、密钥和事务ＩＤ相同的请求，来