GB/T 19713-2025 網絡安全技術 公鑰基礎設施 在線證書狀態協議

#政策法規 ·2025-10-13 15:20:04

本文件按照GB/T1.1-2020《標準化工作導則第1部分：標準化文件的結構和起草規則》的規定起草。

本文件代替GB/T19713-2005《信息技術安全技術公鑰基礎設施在線證書狀態協議》，與GB/T19713-2005相比，除結構調整和編輯性改動外，主要技術變化如下：

a)更改“本標準適用于各類基于公開密鑰基礎設施的應用程序和計算環境”為“本文件適用于公鑰基礎設施的建設以及基于在線證書狀態協議的安全應用等”（見第1章，2005年版的第1章)；

b）在“通則”中增加了OCSP協議中各方之間的關系圖（見5.1，2005年版的5.1）；

c）更改了“響應的哈希簽名”為“響應的數字簽名”[見5.3b），2005年版的5.3f）]；

d)更改了revoked(已撤銷)狀態的使用范圍，允許對從未簽發過的證書使用此響應狀態[見5.3d）,2005年版的5.3]；

e)增加了對未簽發證書狀態請求的響應要求[見5.3e)]；

f）更改了unauthorized(未授權）錯誤響應的使用范圍（見5.4,2005年版的5.4）；

g）增加了revocationTime(撤銷時間）語義的定義（見5.5)；

h）增加了SM2、SM3算法的支持（見7.1和7.2）；

7. i) 增加了OCSP ASN.1語法中 Signature、Extensions、CertificateSerialNumber、SubjectPublicK-eyInfo、Name、AlgorithmIdentifier和CRLReason結構的定義(見1);

j）增加了輕量級OCSP請求語法的注解（見7.2.2）；

k）增加了輕量級OCSP協議對時間的要求（見7.3.2.1）；

l)更改了“本地配置的OCSP簽名權威實體中包含了與待驗證狀態的證書相匹配的證書”為“本地配置的OCSP響應者證書與OCSP響應者證書相匹配”（見7.3.2.2.2,2005年版的7.3.2.2）；

m）增加了輕量級OCSP環境下授權響應者的撤銷狀態檢查方法[見7.3.2.2.3d）]；

n）增加了“7.3.2.3 基礎響應”，并闡明了ResponderID字段對應于OCSP響應者簽名證書（見7.3.2.3);

o）增加了輕量級OCSP響應中對OCSPResponse結構的要求[見7.3.2.3e)]；

p）增加了“7.3.2.2.4證書狀態發布”，對OCSP響應者獲取證書狀態應遵循的標準進行了描述(見7.3.2.2.4);

q）刪除了強制的密碼算法和可選的密碼算法（見2005年版的7.4）；

r）更改了Nonce的ASN.1語法，并規定了Nonce的長度范圍（見7.4.2,2005年版的7.5.1）；

s）更改了CRL條目擴展應遵循的標準（見7.4.6，2005年版的7.5.5）；

t）增加了“優先使用的簽名算法”擴展，該擴展可包含在請求消息中，以指定請求者希望響應者使用的簽名算法，建議優先算法使用SM3WithSM2（見7.4.8）；

u)增加了“擴展撤銷定義”擴展，該擴展表明響應者支持對5.3中定義的未簽發證書的“revoked（已撤銷）”響應的擴展使用（見7.4.9）；

v）更改了使用ASN.1的2008語法的ASN.1模塊，增加支持使用SM2、SM3算法（見附錄A，2005年版的附錄B)；增加了輕量級OCSPASN.1的語法規范，并增加支持使用SM2、SM3算法（見附錄A)；

w）增加了輕量級OCSP請求及響應構造（見附錄B.2）；

x)更改正文的“安全考慮”為附錄D，并補充完善了內容（見附錄D，2005年版的第8章）。

請注意本文件的某些內容可能涉及專利。本文件的發布機構不承擔識別專利的責任。本文件由全國網絡安全標準化技術委員會（SAC/TC260）提出并歸口。

本文件起草單位：普華誠信信息技術有限公司、上海信息安全基礎設施研究中心有限責任公司、上海市數字證書認證中心有限公司、北京數字認證股份有限公司、鄭州信大捷安信息技術股份有限公司、深圳市電子商務安全證書管理有限公司、中電科網絡安全科技股份有限公司、河南金盾信安檢測評估中心有限公司、國家密碼管理局商用密碼檢測中心、格爾軟件股份有限公司、三六零數字安全科技集團有限公司、數安時代科技股份有限公司、華為技術有限公司。

本文件主要起草人：梁佐泉、顧青、田文晉、王亞紅、馮四風、高五星、張子鳴、付麗麗、王志威、黃成杭、趙艷紅、石韶博、陳犖祺、趙鷹俠、張永強、劉為華、鄭會濤、岳小陽、梁宏、張紹博、鄭強、張志磊、杜志強、曾光。

本文件及其所代替文件的歷次版本發布情況為：

——2005年首次發布為GB/T19713-2005；

——本次為第一次修訂。