公钥密码基础设施应用技术体系 基于SM2算法的密钥服务协议标准

2008-××-××发布2008-××-××实施发布ICSxx.xxx.xxLxx中华人民共和国国家标准GB/TXXXXX—200×公钥密码基础设施应用技术体系基于ECC算法的密钥服务协议标准PublicKeyInfrastructureApplicationTechnologyKeyServiceMessageSyntaxStandardBasedSM2（草稿）红色部分需要进一步讨论国家质量监督检验检疫总局发布GBXX/T××××.×-2008I目次前言.....................................................................II引言....................................................................III1范围......................................................................42规范性引用文件.............................................................43术语和定义.................................................................44符号和缩略语...............................................................45有用的类型.................................................................55.1Version..................................................................55.2EntName..................................................................55.3DataEnvelope.............................................................55.4CertificateSerialNumber..................................................65.5AlgorithmIndentifier.....................................................65.6SubjectPublicKeyInfo.....................................................65.7GeneralName..............................................................65.8PKIFreeText..............................................................65.9AppUserInfo..............................................................65.10RetKeyRespond...........................................................76通用语法...................................................................77CA请求....................................................................87.1ApplyKeyReq密钥申请请求..................................................97.2RestoreKeyReq密钥恢复请求...............................................107.3RevokeKeyReq密钥撤销请求................................................108KM响应...................................................................108.1ApplykeyRespond密钥申请响应.............................................118.2RestorekeyRespond密钥恢复响应...........................................118.3RevokekeyRespond密钥撤销响应............................................118.4ErrorPkgRespond出错响应...............................................129承载协议..................................................................1210通讯安全.................................................................12GBXX/T××××.×-2008II前言本标准是《公钥密码基础设施应用技术体系框架规范》系列规范之一。本标准制定了基于SM2算法的密钥服务协议标准，为基于SM2算法的密钥管理系统的研制和开发提供指导和依据。本规范由国家密码管理局提出并归口。本规范主要起草单位：上海格尔软件股份有限公司。本标准参与起草单位：长春吉大正元信息技术有限公司，北京数字认证中心。本规范主要起草人：谭武征本规范责任专家：刘平。GBXX/T××××.×-2008III引言商用密码安全服务是符合国家商用密码管理机构针对商用领域的对称与非对称密码使用和算法的管理规定的基础安全服务。在商用密码领域，主要的身份验证手段是使用基于公钥基础设施的数字证书进行验证和安全权标保护，为了保证商用密码应用的安全性，国家密码管理局签头相关单位研制了适用于我国商用密码领域专用的对称算法SM1、非对称算法SM2和摘要算法SM3。本标准的目标是为公钥密码基础设施应用体系框架下的基于SM2算法的密钥管理服务制定交互协议标准，为基于SM2的算法的证书认证系统和密钥管理系统的开发提供指导意见，减少不必要的重复建设，提高安全应用厂商产品的兼容性，以利于增强我国商用密码领域的安全保障建设。本标准是在《数字证书认证系统密码协议》中CA与KM间的协议基础上进行的改进，调整了其中不符合ASN通用定义的部分，增加了SM2算法相关的标识说明，将协议版本升级为V2。本标准编制过程中得到了国家商用密码应用技术体系总体工作组的指导。主要说明我们国家有了证书认证系统一套规范。其中这套规范有证书认证系统密码协议规范。里面它的****规定了CA与KM之间的交互协议标准。这个接口目前不适用于ECC算法的证书认证系统。原来的协议没法兼容。所以****GBXX/T××××.×-200841范围本规范规定了公钥密码基础设施体系中基于SM2算法的非对称密钥管理服务协议标准。本规范适用于公钥密码基础设施体系中基于SM2算法的证书认证系统和密钥管理系统的通讯协议交互。2规范性引用文件下列标准所包含的条文，通过本规范中的引用而构成本规范的条文。考虑到标准的修订，使用本规范时，应研究使用下列标准最新版本的可能性。GB/T16262.1-2006信息技术抽象语法记法一（ASN.1）：基本记法规范(ISO/IEC8824-1:2002，IDT)GB/T16263.1-2006信息技术ASN.1编码规则第1部分：基本编码规则（BER）、正则编码规则（CER）和非典型编码规则（DER）的规范(ISO/IEC8825-1:2002，IDT)GB/T16264.2信息技术开放系统互连目录第2部分：模型(GB/T16264.2-1996,idtISO/IEC9594-2:1990)GB/T15843.1-1999信息技术安全技术实体鉴别第1部分:概述ISO/IEC9798-1:1991GB/T15843.3-1998信息技术安全技术实体鉴别第3部分:用非对称签名技术的机制ISO/IEC9798-3:1997GB/T20518-2006《公钥基础设施数字证书格式》GB/TAAAAA信息技术安全技术密码术语GB/TBBBBB公钥密码基础设施应用技术体系框架规范GB/TCCCCC公钥密码基础设施应用技术体系标识规范GB/TXXXXX《数字证书认证系统密码协议规范》3术语和定义3.1算法标识algorithmidentifier一种定义算法和相关参数的类型，其中算法由对象标识符定义。3.2抽象语法标记abstractsyntaxnotationone×××3.3属性attribute一种包含属性类型和和一个或多个属性值的类型，其中属性类型由对象标识符定义。4符号和缩略语下列缩略语适用于本标准：ASN抽象语法标记GBXX/T××××.×-20085CA证书认证系统CertificationAuthorityKM密钥管理系统KeyManagementDNDistinguishedNameDSA数字签名算法DigitalSignatureAlgorithmECC椭圆曲线密码学EllipticCurveCryptographyECDSA椭圆曲线数字签名算法EllipticCurveDigitalSignatureAlgorithmPKI公钥基础设施PublicKeyInfrastructureHTTP超文本传输协议HypertextTransferProtocolIPInternetProtocolNIST美国国家标准研究所NationalInstituteofStandardsandTechnologyOID对象标识符objectidentifierRFCRequestForCommentsSM1国标对称加密算法SM2国标ECC椭圆曲线算法SM3国标密码杂凑算法SPKM简单公钥密钥交换协议VPN虚拟专用网5类型定义5.1Version通讯协议版本号，其ASN.1的定义如下：Version::=INTEGER{v2(1)}使用版本2来区别《数字证书认证系统密码协议规范》中的定义5.2EntNameEntName数据定义字段名称数据ASN.1类型含义hashAlgorithmAlgorithemIdentifier摘要算法(是否应该定死为SHA1)entNameGeneralName实体名称entPubKeyHashOCTETSTRING实体身份证书中公钥值的摘要值serialNumberCertificateSericalNumber实体身份证书的序列号实体标识，代表CA或KM的身份，其ASN.1的定义如下：EntName::=SEQUENCE{hashAlgorithmAlgorithemIdentifier,entNameGeneralName,entPubKeyHashOCTETSTRING,serialNumberCertificateSericalNumber}5.3DataEnvelope数字信封，用于打包传递加密证书私钥使用，其ASN.1定义为：GBXX/T××××.×-20086DataEnvelope::=SignedAndEnvelopedData(data)其中SignedAndEnvelopedData（数字信封）引用自PKCS75.4CertificateSerialNumbe