YD-T-1322.3-2004.pdf

《YD-T-1322.3-2004.pdf》由会员分享，可在线阅读，更多相关《YD-T-1322.3-2004.pdf（63页珍藏版）》请在三一文库上搜索。

1、I CS 3 5 . 2 4 0 . 6 0 L 6 7 Yu 中华人民共和国通信行业标准 YD / T 1 3 2 2 . 3 - 2 0 0 4 电子商务技术要求 第三部分: 证书及认证系统 E l e c t r o n i c c o mme r c e t e c h n i c a l s p e c i f i c a t i o n P a r t t h r e e : c e r t i f i c a t e a n d c e r t i f i c a t e s y s t e m 2 0 0 4 - 0 8 - 0 4发布 2 0 0 5 - 0 1 - 0 1实

2、施 中华 人 民共 和 国信 息 产 业 部发布 YD / T 1 3 2 2 . 3 - 2 0 0 4 目次 前言 。 . . . . . . . . . . . . . . . . . . . . . . . . I I I 1 范围 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

3、 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 2 规范性引用文件 1 3 缩略语. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

4、. . . . . . . . . . . 2 4 定义， ， . . . . . . . . . . . 2 5 概述 。 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 5 . 1认证系统体系结构 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 一 5 .2 各级认证中 心的 职能 “ “ “ ” ” ” ”

5、” ” ” ” ” ” “ 一 6 职能认证系统的结构 九、一勺乙U了00了n了卜 7 认证系统提供的服务 二 注册服务 初始化服务 认证服务 密钥对恢复服务 密钥生成服务 ，.1，扮，、41勺 711/-了 7 . 6 密钥更新服务 交叉证书服务 .，7 注销服务 一 证书和注销注释分发和公布 ， 了OnC， : ，了月2 一 8 证书及证书扩展项 一 : ; 证书的格式与各项含义 证书扩展项 9 证书废弃表 : .; 证书废弃表及各项含义 C R L扩展项的格式及其含义 . . . . . . . . . . . . . 1 2 . . . . . . . . . . . . . . .

6、. . . . . . . . . 2 2 . . . . . 。 。 2 2 . . 。 2 4 一 1 0 支持的算法 2627 1 0 . 1 1 0 2 1 0 3 单向h a s h 算法 签名算法 公钥算法 . Z R 1 1 数据结构 1 1 . 1报文头 1 1 . 2 信体 1 1 . 3 证书请求报文语法 二2 8 二2 ， . . . . . 3 0 31 丫D厅 1 3 2 2. 3- 20 0 4 : : C M P 报文保护域 ( C M P M e s s a g e P r o t e c t i o n F ie l d ) . . . . . . . 一3

7、5 C MP报文类型 “ “ “ “ ” ” . . . 3 6 1 2 证书请求消息格式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 2 1 2 . 1 概述 ， . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 2 1 2 . 2 C e rt R e g M

8、e s s a g e句法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 3 1 2 . 3 拥有证明( P O P ) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

9、. . . . . . . . 4 3 1 2 .4 K e y E n c i p h e r m e n t K e y s . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 3 1 2 . 5 K e y A g r e e m e n t K e y s . . . . . . . . .

10、 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 4 1 2 .6 P r o o f o f P o s s e s s i o n S y n ta x . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

11、 . . . . . . . . . . . . . . .4 4 1 2 .7 U s e o f P a s s w o r d - B a s e d MA C . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 5 1 2 . 8 C e rt R e q u e s t S y n t a x . . . . .

12、 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 6 1 2 . 9 C o n t r o l s S y n t a x . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

13、 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 6 1 3 数据库管理要求 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

14、 . . . . . . . . . . . 4 9 1 3 . 1从数 据库中 读数据 ( L D A P R e p o s it o ry R e a d ) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 9 1 3 . 2 L D A P数据库查询 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

15、. . . . . . . . . . . . . 5 1 1 3 . 3 L D A P数据库更新 . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 2 1 3 .4 删除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

16、 . . . . . . . . . . . . . . . . . . . 5 4 1 3 . 5 Un b i n d . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 4 1 3 .6 非标准属性值编码 .

17、. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 4 1 4 操作协议 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

18、 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 4 1 4 . 1 L D A P v 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

19、 . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 4 1 4 . 2 F T P . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 5 1

20、 4 . 3 HT T P . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 5 1 4 .4 MI ME . . . . . . . . . . . . . . . . . . . . . . . . . . .

21、 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 5 1 5 证书状态查询协议 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 5 1 5 . 1 请求 . . . . . . . 5 5 1

22、 5 . 2 响应 ， . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 6 1 5 . 3 例外情况 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

23、 . . . . . . . . . . . 5 6 1 5 .4 时间字段的含义 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 7 1 5 . 5 事先生成响应 . . . . . . . . . . . . . . . . . . . . . . . . .

24、 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 7 1 5 .6 O C S P签名授权代表 ， . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 7 1 5 . 7 C A密钥具有安全问题 . . . . . . . . . . . . 5 7

25、1 5 . 8 对提供O C S P 服务的C A 功能的 要求 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 7 Y D / T 1 3 2 2 . 3 - 2 0 0 4 前言 本部分为电子商务系列标准之 一 本系列标准的结构及名称如下: L Y D / T 1 3 2 2 . 1 - 2 0 0 4 电子商务技术要求 第一部分: 基于扩充标记语言( X M L ) 的企业对消费者( B 2 C ) 电子 商务总体框架; 2 . Y D / 1 1 3 2 2 .2

26、 - 2 0 0 4 电 子商务技术要求 第二部分:支 付网 关; 3 . Y D / P 1 3 2 2 .3 - 2 0 0 4 电子商 务技 术要求 第三部分: 证书 及认证系 统; 4 . Y D / T 1 3 2 2 .4 - 2 0 0 4 电子商务技 术要求 第四 部分: 票 据的 表示层句法 本部分由中国通信标准化协会提出并归口。 本部分起草单位: 信息产业部电信研究院 本部分主要起草人:聂秀英刘述 YD/ T 1 3 22. 3- 20 0 4 电子商务技术要求 第三部分:证书及认证系统 1 范围 本部分规定了在进行电子商务交易过程中需要使用的数字证书及对数字证书进行认证的

27、认证系统的 技术要求， 还规定了认证系统的结构、 提供的服务、 证书及 C R L 、 支持的算法、 操作协议和管理协议的 相关技术要求。 本部分适用于电子商务认证系统。 2 规范性引用文件 下列文件中的条款通过在本部分中的引用而构成为本部分的条款。 凡是注日 期的引用文件， 其随后所 有的修改单 ( 不包括斟误的内容) 或修订版均不适用于本部分，然而， 鼓励根据本部分达成协议的各方 研究是否可使用这些文件的最新版本。凡是不注日 期的引用文件，其最新版本适用于本部分 I E T F R F C 1 9 8 1 )I P 协议v 4 I E T F R F C 7 9 1( 1 9 8 5 )

28、文件传输协议 ( F T P) V 2 .0 ( 1 9 8 5 . 1 0 ) I E T F R F C 1 0 3 4 ( 1 9 8 7 ) 域名 概念和设施 I E T F R F C 1 3 1 9 ( 1 9 8 7 ) M D 2消息摘要算法 I E T F R F C 1 3 2 1 ( 1 9 8 9 ) MD 5消息摘要算法 I E T F R F C 1 5 1 9 ( 1 9 9 3 )无类别域间 路由 地址分配和 集合策略 I E T F R F C 1 8 4 8 ( 1 9 9 5 ) 多用途因特网邮件扩充协议 M I M E ) ( 1 9 9 5 . 3 .

29、 1 ) I E T F R F C 1 8 8 3 ( 1 9 9 5 ) I P协议v 6 规范 I E T F R F C 1 8 9 1 ( 1 9 9 6 ) 简单邮件传输协议 ( S M T P) ( 1 9 9 6 . 1 . 1 5 ) I E T F R F C 2 0 6 8 ( 1 9 9 7 ) 超文本传输协议 ( H T T P V 1 . 1 ) ( 1 9 9 7 . 1 .6 ) I E T F R F C 2 3 1 3 ( 1 9 9 8 ) P K C S # I : R S A 加密版本 1 . 5 IE T F R F C 2 4 5 9 ( 1 9

30、9 9 )因特网 X .5 0 9公共基础设施 证书和C R L 轮廓 I E T F R F C 2 5 1 0 ( 1 9 9 9 ) 因特网X . 5 0 9公共基础设施证书管理协议 I E T F R F C 2 5 川 1 9 9 9 ) 因特网X .5 0 9公共基础设 施证书请 求消息协议 I E T F R F C 2 5 2 7 ( 1 9 9 9 )因特网X .5 0 9公共基础设 施证书 政策及证书实 施框架 IE T F R F C 2 5 2 8 ( 1 9 9 9 ) 因特网X .5 0 9公共基础设施证书中 密 钥互换算法 ( K E A 密 钥的 表示 I E

31、T F R F C 2 5 5 9 ( 1 9 9 9 ) 因特网X . 5 0 9公共基础设施操作协议 一 - - L D A P v 2 I E T F R F C 2 5 8 5 门9 9 9 ) 因特网X .5 0 9公共基础设施证书操作协议: F T P 和H T T P I E T F R F C 2 5 8 7 ( 1 9 9 9 ) 因特网X .5 0 9公共基础设施L D A P v 2 实施方案 I E T F R F C 2 5 6 0 ( 1 9 9 9 ) 因特网X .5 0 9公共密 钥基础设施在线证书 状态协议 I E T F R F C 2 7 9 7 ( 2

32、0 0 0 ) C M S 的证书管理消息 I E T F R F C 3 0 2 9 ( 2 0 0 ” 因 特网X .5 0 9公共密 钥基础设施数据有效性和证书服务器 协议 I E T F R F C 3 0 3 9 ( 2 0 0 1 ) 因特网X .5 0 9公共密钥基础设施资格证书轮廓 YD / T 1 3 2 2 . 3 - 2 0 0 4 I E T F R F C 3 1 6 1 ( 2 0 0 1 ) I T U- T X. 5 0 0( 1 9 9 7 ) I S O/ I E C 9 5 9 4 - 1 : 1 9 9 7 I T U - T X. 5 0 9 ( 2

33、0 0 0 ) I T U - T X . 6 9 0 ( 1 9 9 4 ) I S O / I E C 8 8 2 5 - 1 : 1 9 9 5 因特网X . 5 0 9 公共密钥基础设施时间戳协议 信息技术一开放系统互连一号码簿:概念、模型和业务概述 信息技术一开放系统互连一号码簿:认证框架 信息技术一A S N . l编码规则:基本编码规则 ( B E R ) 、 规范的编码规则 ( C E R )和区分编码规则 ( D E R ) 3 缩略语 下列缩略语适用于本部分。 A K I D A u t h o r i t y K e y I d e n t i f i e r C A C

34、 e r ti fi c a t e A u t h o r i t y C M S C ry p t o g r a p h i c M e s s a g e S y n t a x C R L C e rt i fi c a t e R e v o c a t i o n L i s t D E S D a t a E n c ryp t i o n S t a n d a r d D V C S P D a t a V a l i d a t i o n a n d C e rt i fi c a t i o n S e r v e r E - ma i l E l e c t r o

35、 n i c Ma i l I 刃 P F i l e T r a n s f e r P r o t o c o l H TTP H y p e r t e x t T r a n s f e r P r o t o c o l I D I d e n t i f i e r I P I n t e r n e t P r o t o c o l MI ME M u l t i p u r p o s e I n t e r n e t M a i l E x t e n s i o n O C S P O n li n e C e r t i fi c a t e S t a t e P

36、r o t o c o l O I D O b j e c t I d e n t i f i e r P K C P u b l i c K e y C e r t i fi c a t e P K I X P u b l i c - K e y I n fr a s t r u c t u r e ( X .5 0 9 ) P MI P r i v i l e g e M a n a g e m e n t I n f r a s t r u c t u r e R A R e g i s t ry A u t h o r i t y R CA Ro o t CA RS A S M T P

37、 S i m p l e M e s s a g e T r a n s f e r P r o t o c o l 定义 认证中 心密钥标识符 认证中心 加密消息句法 证书废弃表 ( 证书黑名单) 数据加密标准 数据和证书确认服务器协议 电子邮件 文件传输协议 超文本传输协议 个人标识符 网际协议 多用途的网际邮件扩充协议 在线证书查询协议 客体标识符 公共密钥证书 公共密钥基础设施 ( X . 5 0 9 ) 特权管理体系结构 受理机构 根 C A 一种公开密钥加密体系 简单邮件传输协议 下列定义适用于本部分 4 . 1 证书:可以 指属性证书或公共密钥证书。除非特别指出， 证书可用于表示

38、属性证书和公共密钥证书 ( P K 一 ) 4 . 2 认证中 心: 一 个或多个用户信任的、 生成和签署公共密钥证书的权威机构。 该机构在证书的整个生 存期内负责管理公共密钥证书 4 .3 受理中 心 R A )负 责在客 体注册时执行一 些必要的管理任务的 选用实体， 如 验证客 体的一 致 性、 YD I T 1 3 2 2 . 3 - 2 0 0 4 验证该客体具有与P K C请求的公用密钥相关联的私有密钥所有权值。 4 . 4 证书策略:表示公共密钥证书应用于 特定社团或具有安全要求的应用类别。例如， 特定证书策略可 能 表示 一 类公 共 密 钥证 书 应 用于 给定价 格范围内

39、商品贸 易的 电 子 数据 互 换 交易 4 . 5 证书实施说明:在签发公共密钥证书时， C A使用的实施说明。 4 . 6 C R L : C R L 是证书 作废表的缩写。 C R L中记录尚未过期但已声明作废的 用户证书序列号， 供证书使 用者在认证对方证书时查询使用。 C R L 通常被称为证书黑名单 4 . 9 端实体 ( E E ) : 在P K I X中 不是C A或在P M I 中不是A A的客体。 在P K I 中的E E 可以是P M I 中的 AA) 4 . 1 0 公共密钥证书 ( P K C ) :包含有关端实体的 公共密钥和一些其他信息的数据结构， 该证书具有签发

40、 该证书的C A的私有密钥数字签名 4 . 1 1 信任方: 用户或代理 ( 如客户机或服务器) ，在作出 决定时信任证书中的数据。 4 . 1 2 根C A : E E 直 接信任的C A : 即 安全 地获得根 C A 公共密钥值需要一些带外的步 骤 该术语并不是 说根C A必须在任何体系结构的顶端 4 .1 3 附属 C A : 对于 有问 题的 端实体而言， “ 附属 C A ” 不是根 C A 。 通常 情况下， 对任何实体而言， 附属 C A不是根C A ， 但这不是必备的 4 . 1 4 客体: 客体是在证书 ( P K C或A C ) 中命名的实体 ( A A , C A ,

41、或E E ) ， 客体可以由 用户、 计算机 ( 由 域名服务器 ( D N S )名称或I P 地址表示)或软件代理。 4 . 1 5 顶C A : P K I 体系结构的顶 5 概述 5 . 1 认证系统体系结构 认证系统组织结构如图 1 所示。原则上 在全国 设两级认证系统，即国家一级认证中心和国家二级认 证中心。 在每一级认证中 心下， 根据需要认证的 不同职能。设置各种职能认证中 心，如身份认证系统、 税收认证系统、 外贸认证系统等。 这些职能认证系统需要国家相应的权威机构授权相应的主管部门建设 运行。为与境外的认证中心进行相互认证，一级认证中心与一级桥认证中心连接。 国 家 一 级 认 记 中 心c 顶C A )卜一 月 桥 认 证 中 心( B C A )其他国家认证中心 职能认证中心 ( 】 ) 职 能 认 证 .P IC, (， ) 一 职 能 认 证 1P , (4 )