信息安全技術(shù) 公鑰基礎(chǔ)設(shè)施 在線證書狀態(tài)協(xié)議-編制說(shuō)明

國(guó)家標(biāo)準(zhǔn)報(bào)批材料

一、工作簡(jiǎn)況

1.1任務(wù)來(lái)源

根據(jù)全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)下達(dá)的2022年制修訂網(wǎng)絡(luò)安全國(guó)家標(biāo)

準(zhǔn)項(xiàng)目計(jì)劃，國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)公鑰基礎(chǔ)設(shè)施在線證書狀態(tài)協(xié)議》由全

國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（SAC/TC260）提出并歸口，由普華誠(chéng)信信息技術(shù)

有限公司牽頭，計(jì)劃號(hào)：20230239-T-469。

1.2制定背景

本標(biāo)準(zhǔn)規(guī)定了一種無(wú)需請(qǐng)求證書撤銷列表（CRL）即可查詢數(shù)字證書狀態(tài)的

機(jī)制（即OCSP），該機(jī)制可替代CRL或作為周期性檢查CRL的一種補(bǔ)充方式，以

便及時(shí)獲得證書撤銷狀態(tài)的有關(guān)信息。本標(biāo)準(zhǔn)適用于各類基于公開密鑰基礎(chǔ)設(shè)施

的應(yīng)用程序和計(jì)算環(huán)境。由于GB/T25059-2010《信息安全技術(shù)公鑰基礎(chǔ)設(shè)施

簡(jiǎn)易在線證書狀態(tài)協(xié)議》已于2017年12月廢止，且本標(biāo)準(zhǔn)參考的RFC2560已被

替代，其最新版本為RFC6960，標(biāo)準(zhǔn)中使用的部分算法已經(jīng)不再使用，國(guó)內(nèi)已經(jīng)

升級(jí)到SM2算法，并制定了SM2算法、數(shù)字證書格式、數(shù)字證書認(rèn)證系統(tǒng)等一系

列標(biāo)準(zhǔn)規(guī)范，因此，本項(xiàng)目需要根據(jù)最新國(guó)際標(biāo)準(zhǔn)，并結(jié)合國(guó)內(nèi)相關(guān)信息安全標(biāo)

準(zhǔn)規(guī)范，對(duì)GB/T19713-2005《信息技術(shù)安全技術(shù)公鑰基礎(chǔ)設(shè)施在線證書狀態(tài)協(xié)

議》進(jìn)行修訂。

1.3起草過(guò)程

1)2022年1月，成立標(biāo)準(zhǔn)起草組，調(diào)研國(guó)際上最新相關(guān)標(biāo)準(zhǔn)，討論并確

定標(biāo)準(zhǔn)的范圍、框架及主要技術(shù)內(nèi)容。

2)2022年2月至3月，根據(jù)RFC6960、RFC8954、RFC5019等參考文件，

開展本標(biāo)準(zhǔn)的翻譯及編寫工作；標(biāo)準(zhǔn)起草組分工開展草案稿起草工作，內(nèi)

部討論和修訂，形成第一版草案稿。

3)2022年4月18日，參加WG4工作組2022年網(wǎng)絡(luò)安全國(guó)家標(biāo)準(zhǔn)立項(xiàng)研

討會(huì)，在立項(xiàng)研討會(huì)上，認(rèn)證聽取專家及其他工作組成員單位的意見。

國(guó)家標(biāo)準(zhǔn)報(bào)批材料

4)2022年5月-2022年6月，標(biāo)準(zhǔn)起草組對(duì)專家及其他工作組成員單位的

意見進(jìn)行研討，對(duì)草案進(jìn)行修改完善并提交秘書處。

5)2022年7月6日，參加全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)組織的網(wǎng)絡(luò)安

全國(guó)家標(biāo)準(zhǔn)立項(xiàng)評(píng)審會(huì)。

6)2022年10月30日，收到全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)的立項(xiàng)通

知，本標(biāo)準(zhǔn)通過(guò)立項(xiàng)。

7)2022年11月，征集標(biāo)準(zhǔn)參編單位，吸納相關(guān)單位加入標(biāo)準(zhǔn)編制組。

8)2022年12月6日，信安標(biāo)委秘書處將舉辦信安標(biāo)委2022年標(biāo)準(zhǔn)周活

動(dòng)，對(duì)標(biāo)準(zhǔn)草案進(jìn)行了匯報(bào)，認(rèn)證聽取專家及其他工作組成員單位的意

見。

9)2022年12月31日，根據(jù)據(jù)WG4工作組會(huì)議意見，對(duì)標(biāo)準(zhǔn)文本進(jìn)行了

修改，形成征求意見稿草案。

10)2023年1月16日，組織WG4工作組副組長(zhǎng)、責(zé)任專家、責(zé)任編輯

召開征求意見稿的集中評(píng)審會(huì)，并按照專家意見對(duì)標(biāo)準(zhǔn)進(jìn)行修改，形成形

成征求意見稿。

11)2023年2月16日，信安標(biāo)委秘書處組織召開《信息技術(shù)安全技術(shù)

公鑰基礎(chǔ)設(shè)施在線證書狀態(tài)協(xié)議》（征求意見稿）專家審查會(huì)，通過(guò)了標(biāo)

準(zhǔn)的審查。

1.4各階段意見處理情況

1)草案稿第1稿階段，2022年4月18日，TC260/WG4組織專家評(píng)審會(huì)，

共收到12條意見，采納了11條。

2)草案稿修改稿階段，2022年12月6日，TC260/WG4工作會(huì)議上，共收

到24條意見，對(duì)其中2條意見做了解釋，另外22條意見采納。

3)征求意見稿修改稿階段，2023年1月16日，組織了WG4工作組副組

長(zhǎng)、責(zé)任專家、責(zé)任編輯開征求意見稿草案的集中評(píng)審會(huì)，共收到41條意

見，對(duì)所有意見都采納。

二、標(biāo)準(zhǔn)編制原則、主要內(nèi)容及其確定依據(jù)

2.1標(biāo)準(zhǔn)編制原則

a)遵循現(xiàn)行國(guó)家標(biāo)準(zhǔn)，采用和借鑒國(guó)內(nèi)外先進(jìn)文獻(xiàn)/標(biāo)準(zhǔn)

國(guó)家標(biāo)準(zhǔn)報(bào)批材料

本標(biāo)準(zhǔn)按國(guó)家標(biāo)準(zhǔn)GB/T1.1-2020規(guī)定的格式予以編寫。

b)貫徹國(guó)家有關(guān)政策與法規(guī)

本標(biāo)準(zhǔn)中涉及的密碼算法遵循國(guó)家商用密碼的有關(guān)規(guī)定。

2.2主要內(nèi)容及其確定依據(jù)

本標(biāo)準(zhǔn)規(guī)定了一種無(wú)需請(qǐng)求證書撤銷列表(CRL)即可查詢數(shù)字證書狀態(tài)的機(jī)

制，可代替CRL或作為周期性檢查CRL的一種補(bǔ)充方式，以便及時(shí)獲得證書撤銷

狀態(tài)的有關(guān)信息。本文件包括在線證書狀態(tài)協(xié)議的總體要求（請(qǐng)求、響應(yīng)及異常

等）、功能要求、具體協(xié)議和安全考慮等。

本標(biāo)準(zhǔn)主要內(nèi)容是在GB/T19713-2005《信息技術(shù)安全技術(shù)公鑰基礎(chǔ)設(shè)施在

線證書狀態(tài)協(xié)議》基礎(chǔ)上，根據(jù)RFC6960、RFC5019、RFC8954等文獻(xiàn)，結(jié)合國(guó)內(nèi)

相關(guān)信息安全標(biāo)準(zhǔn)規(guī)范修訂。

2.3修訂前后技術(shù)內(nèi)容的對(duì)比[適用于國(guó)家標(biāo)準(zhǔn)修訂項(xiàng)目]

本項(xiàng)目是對(duì)國(guó)家標(biāo)準(zhǔn)GB/T19713-2005《信息技術(shù)安全技術(shù)公鑰基礎(chǔ)設(shè)施在

線證書狀態(tài)協(xié)議》進(jìn)行修訂，依據(jù)國(guó)際上IETF（互聯(lián)網(wǎng)工程特別工作組）發(fā)表的

RFC5019用于大容量環(huán)境的輕量級(jí)在線證書狀態(tài)協(xié)議(OCSP)語(yǔ)法、RFC6960X.509

互聯(lián)網(wǎng)公鑰基礎(chǔ)設(shè)施在線證書狀態(tài)協(xié)議、RFC8954在線證書狀態(tài)協(xié)議(OCSP)

Nonce擴(kuò)展等文件，并結(jié)合國(guó)產(chǎn)密碼算法和相關(guān)標(biāo)準(zhǔn)規(guī)范要求等，對(duì)GB/T19713-

2005《信息安全技術(shù)公鑰基礎(chǔ)設(shè)施在線證書狀態(tài)協(xié)議》進(jìn)行修改和完善。主要

修改內(nèi)容有：

1)19713-2005中使用的簽名算法還是DSA、RSA、SHA1算法等算法，這些

算法已經(jīng)不推薦使用。隨著國(guó)產(chǎn)密碼算法的推進(jìn)，需要在線證書狀態(tài)協(xié)議

算法對(duì)國(guó)產(chǎn)密碼算法支持。

2)19713-2005引用、參考的大部分都是國(guó)際標(biāo)準(zhǔn)、規(guī)范，國(guó)內(nèi)制定了

《GB/T20518-2018信息安全技術(shù)公鑰基礎(chǔ)設(shè)施數(shù)字證書格式》、《GM/T

0014-2012數(shù)字證書認(rèn)證系統(tǒng)密碼協(xié)議規(guī)范》等一系列證書相關(guān)標(biāo)準(zhǔn)?，F(xiàn)

在改成引用國(guó)內(nèi)標(biāo)準(zhǔn)。

3)19713-2005對(duì)協(xié)議不夠詳細(xì)的，參照RFC6960，擴(kuò)展了響應(yīng)狀態(tài)、異常

情況的使用范圍，規(guī)范了OCSP請(qǐng)求和響應(yīng)語(yǔ)法，擴(kuò)展并新增了標(biāo)準(zhǔn)的擴(kuò)展

項(xiàng)，解決了GB/T19713-2005標(biāo)準(zhǔn)中的不足。

國(guó)家標(biāo)準(zhǔn)報(bào)批材料

4)增加標(biāo)準(zhǔn)協(xié)議的安全處理，加強(qiáng)了算法的安全、中間人降級(jí)攻擊、拒絕

服務(wù)攻擊、重放攻擊、隨機(jī)數(shù)的安全規(guī)范要求。

5)增加了輕量級(jí)OCSP請(qǐng)求和響應(yīng)的語(yǔ)法規(guī)范，支持移動(dòng)網(wǎng)絡(luò)或云計(jì)算等

大規(guī)模應(yīng)用環(huán)境下的證書狀態(tài)查詢服務(wù)的需求。

三、試驗(yàn)驗(yàn)證的分析、綜述報(bào)告，技術(shù)經(jīng)濟(jì)論證，預(yù)期的經(jīng)濟(jì)效益、社會(huì)效

益和生態(tài)效益

3.1試驗(yàn)驗(yàn)證的分析、綜述報(bào)告

3.2技術(shù)經(jīng)濟(jì)論證

3.3預(yù)期的經(jīng)濟(jì)效益、社會(huì)效益和生態(tài)效益

本標(biāo)準(zhǔn)作為信息安全技術(shù)公鑰基礎(chǔ)設(shè)施數(shù)字證書應(yīng)用的基礎(chǔ)，完善了GB/T

19713-2005標(biāo)準(zhǔn)中不足、增加了國(guó)產(chǎn)密碼算法、輕量級(jí)在線證書狀態(tài)協(xié)議等，能

夠?yàn)閿?shù)字證書應(yīng)用提供更加安全、可靠、及時(shí)的狀態(tài)查詢服務(wù)，有力指導(dǎo)OCSP

服務(wù)合規(guī)、安全應(yīng)用，支撐我國(guó)信息安全產(chǎn)業(yè)的發(fā)展。

四、與國(guó)際、國(guó)外同類標(biāo)準(zhǔn)技術(shù)內(nèi)容的對(duì)比情況，或者與測(cè)試的國(guó)外樣品、

樣機(jī)的有關(guān)數(shù)據(jù)對(duì)比情況

本標(biāo)準(zhǔn)主要參考國(guó)際上IETF（互聯(lián)網(wǎng)工程特別工作組）發(fā)表的RFC6960、

RFC8954和RFC5019等標(biāo)準(zhǔn)修改，并增加了國(guó)產(chǎn)密碼算法。

本標(biāo)準(zhǔn)與國(guó)際、國(guó)外同類標(biāo)準(zhǔn)技術(shù)內(nèi)容的最大區(qū)別在于本標(biāo)準(zhǔn)即支持國(guó)際算

法同時(shí)也支持SM2、SM3國(guó)產(chǎn)密碼算法。

五、以國(guó)際標(biāo)準(zhǔn)為基礎(chǔ)的起草情況，以及是否合規(guī)引用或者采用國(guó)際國(guó)外標(biāo)

準(zhǔn)，并說(shuō)明未采用國(guó)際標(biāo)準(zhǔn)的原因

本標(biāo)準(zhǔn)是對(duì)國(guó)家標(biāo)準(zhǔn)GB/T19713-2005《信息技術(shù)安全技術(shù)公鑰基礎(chǔ)設(shè)施在

線證書狀態(tài)協(xié)議》進(jìn)行修改和完善，本標(biāo)準(zhǔn)合規(guī)采用或者參考的國(guó)際標(biāo)準(zhǔn)文獻(xiàn)有：

[1]RFC6960—X.509互聯(lián)網(wǎng)公鑰基礎(chǔ)設(shè)施在線證書狀態(tài)協(xié)議（Internet

publickeyinfrastructureOnlineCertificateStatusProtocol）

[2]RFC8954—在線證書狀態(tài)協(xié)議(OCSP)Nonce擴(kuò)展（RFC8954Online

Certi?cateStatusProtocol(OCSP)NonceExtension）

國(guó)家標(biāo)準(zhǔn)報(bào)批材料

[3]RFC5019—用于大容量環(huán)境的輕量級(jí)在線證書狀態(tài)協(xié)議(OCSP)語(yǔ)法

（RFC5019TheLightweightOnlineCertificateStatusProtocol(OCSP)

ProfileforHigh-VolumeEnvironments）

[4][RFC2616]超文本傳輸協(xié)議(HTTP1.1)"HypertextTransfer

Protocol--HTTP/1.1",June1999

六、與有關(guān)法律、行政法規(guī)及相關(guān)標(biāo)準(zhǔn)的關(guān)系

1、貫徹國(guó)家有關(guān)政策與法規(guī)

本標(biāo)準(zhǔn)中涉及的密碼算法遵循了國(guó)家商用密碼的有關(guān)規(guī)定。

2、與相關(guān)國(guó)內(nèi)相關(guān)標(biāo)準(zhǔn)的關(guān)系

本標(biāo)準(zhǔn)主要是對(duì)GB/T19713-2005《信息技術(shù)安全技術(shù)公鑰基礎(chǔ)設(shè)施在線證

書狀態(tài)協(xié)議》標(biāo)準(zhǔn)進(jìn)行修訂，與我國(guó)現(xiàn)行的法律、法規(guī)及國(guó)家標(biāo)準(zhǔn)不存在沖突問

題。

七、重大分歧意見的處理經(jīng)過(guò)和依據(jù)

在2022年4月工作組會(huì)議上，荊老師提的“荊老師提的問題，關(guān)于輕量級(jí)，

既然有輕量的方式可供查詢，為什么還需要用別的方式？”，在2022年12月6

日工作組會(huì)議專家也對(duì)這個(gè)輕量級(jí)OCSP提出了疑問，針對(duì)這個(gè)疑問進(jìn)行重點(diǎn)解

釋。

1)輕量級(jí)ocsp是常規(guī)的在線證書狀態(tài)協(xié)議（OCSP）的子集，其應(yīng)用場(chǎng)景

主要是為滿足非常大規(guī)模（高容量）PKI環(huán)境或需要減少帶寬和客戶端/響

應(yīng)器處理能力的PKI環(huán)境下使用在線證書狀態(tài)協(xié)議的需求。目前移動(dòng)互聯(lián)

網(wǎng)和云計(jì)算快速發(fā)展，輕量級(jí)ocsp應(yīng)用于移動(dòng)互聯(lián)網(wǎng)和云計(jì)算的環(huán)境下。

2)輕量級(jí)是相對(duì)普通的OCSP協(xié)議，其從請(qǐng)求和響應(yīng)的數(shù)據(jù)結(jié)構(gòu)和請(qǐng)求的

查詢數(shù)據(jù)量進(jìn)行了簡(jiǎn)化。在請(qǐng)求結(jié)構(gòu)上，可以不包括

singleRequestExtensions數(shù)據(jù)項(xiàng)、requestExtensions數(shù)據(jù)項(xiàng)等，請(qǐng)求的

數(shù)據(jù)上只請(qǐng)求一個(gè)證書，請(qǐng)求方可以不用對(duì)請(qǐng)求進(jìn)行簽名；在響應(yīng)數(shù)據(jù)結(jié)

構(gòu)上，只返回BasicOCSPResponse數(shù)據(jù)項(xiàng)，不返回responseExtensions數(shù)

據(jù)項(xiàng)，數(shù)據(jù)結(jié)構(gòu)上的簡(jiǎn)化，從而減少了帶寬和減少客戶端/響應(yīng)器處理能

力。在請(qǐng)求和響應(yīng)結(jié)構(gòu)中使用擴(kuò)展項(xiàng)有利于OCSP能夠適應(yīng)各種環(huán)境，輕量

級(jí)OCSP減少了擴(kuò)展項(xiàng)，其使用的靈活性、適應(yīng)性上會(huì)降低，而且每次只能

國(guó)家標(biāo)準(zhǔn)報(bào)批材料

查詢一個(gè)證書的狀態(tài)，其只適應(yīng)大規(guī)模（高容量）PKI環(huán)境的特定環(huán)境，

其他的通用、處理能力不受限制應(yīng)用環(huán)境還是需要常規(guī)的OCSP協(xié)議。

對(duì)于輕量級(jí)OCSP的名字是根據(jù)“RFC5019TheLightweightOnline

CertificateStatusProtocol(OCSP)ProfileforHigh-Volume

Environments”翻譯，其中對(duì)Lightweight進(jìn)行翻譯為“輕量級(jí)”，其與

LightweightDirectoryAccessProtocol（輕量級(jí)目錄訪問協(xié)議）中

Lightweight翻譯為一致。

八、涉及專利的有關(guān)說(shuō)明

本文件不涉及專利。

九、實(shí)施國(guó)家標(biāo)準(zhǔn)的要求，以及組織措施、技術(shù)措施、過(guò)渡期和實(shí)施日期的

建議等措施建議

本標(biāo)準(zhǔn)作為信息安全技術(shù)公鑰基礎(chǔ)設(shè)施數(shù)字證書應(yīng)用的基礎(chǔ)，為我國(guó)電子政

務(wù)、電子商務(wù)等領(lǐng)域中數(shù)字證書的應(yīng)用發(fā)揮了舉足輕重的作用，為我國(guó)電子認(rèn)證

技術(shù)的發(fā)展提供了重要依據(jù)和支撐。

本標(biāo)準(zhǔn)正式發(fā)布后，為了使標(biāo)準(zhǔn)的規(guī)定得到有效貫徹，建議WG4工作組、信

安標(biāo)委可以及時(shí)通知行業(yè)內(nèi)各單位本標(biāo)準(zhǔn)的發(fā)布信息，督促各單位依據(jù)最新標(biāo)準(zhǔn)

開展系統(tǒng)設(shè)計(jì)、評(píng)測(cè)以及應(yīng)用推廣等工作。

十、其他應(yīng)當(dāng)說(shuō)明的事項(xiàng)

無(wú)。

國(guó)家標(biāo)準(zhǔn)報(bào)批材料

一、工作簡(jiǎn)況

1.1任務(wù)來(lái)源

根據(jù)全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)下達(dá)的2022年制修訂網(wǎng)絡(luò)安全國(guó)家標(biāo)

準(zhǔn)項(xiàng)目計(jì)劃，國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)公鑰基礎(chǔ)設(shè)施在線證書狀態(tài)協(xié)議》由全

國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（SAC/TC260）提出并歸口，由普華誠(chéng)信信息技術(shù)

有限公司牽頭，計(jì)劃號(hào)：20230239-T-469。

1.2制定背景

本標(biāo)準(zhǔn)規(guī)定了一種無(wú)需請(qǐng)求證書撤銷列表（CRL）即可查詢數(shù)字證書狀態(tài)的

機(jī)制（即OCSP），該機(jī)制可替代CRL或作為周期性檢查CRL的一種補(bǔ)充方式，以

便及時(shí)獲得證書撤銷狀態(tài)的有關(guān)信息。本標(biāo)準(zhǔn)適用于各類基于公開密鑰基礎(chǔ)設(shè)施

的應(yīng)用程序和計(jì)算環(huán)境。由于GB/T25059-2010《信息安全技術(shù)公鑰基礎(chǔ)設(shè)施

簡(jiǎn)易在線證書狀態(tài)協(xié)議》已于2017年12月廢止，且本標(biāo)準(zhǔn)參考的RFC2560已被

替代，其最新版本為RFC6960，標(biāo)準(zhǔn)中使用的部分算法已經(jīng)不再使用，國(guó)內(nèi)已經(jīng)

升級(jí)到SM2算法，并制定了SM2算法、數(shù)字證書格式、數(shù)字證書認(rèn)證系統(tǒng)等一系

列標(biāo)準(zhǔn)規(guī)范，因此，本項(xiàng)目需要根據(jù)最新國(guó)際標(biāo)準(zhǔn)，并結(jié)合國(guó)內(nèi)相關(guān)信息安全標(biāo)

準(zhǔn)規(guī)范，對(duì)GB/T19713-2005《信息技術(shù)安全技術(shù)公鑰基礎(chǔ)設(shè)施在線證書狀態(tài)協(xié)

議》進(jìn)行修訂。

1.3起草過(guò)程

1)2022年1月，成立標(biāo)準(zhǔn)起草組，調(diào)研國(guó)際上最新相關(guān)標(biāo)準(zhǔn)，討論并確

定標(biāo)準(zhǔn)的范圍、框架及主要技術(shù)內(nèi)容。

2)2022年2月至3月，根據(jù)RFC6960、RFC8954、RFC5019等參考文件，

開展本標(biāo)準(zhǔn)的翻譯及編寫工作；標(biāo)準(zhǔn)起草組分工開展草案稿起草工作，內(nèi)

部討論和修訂，形成第一版草案稿。

3)2022年4月18日，參加WG4工作組2022年網(wǎng)絡(luò)安全國(guó)家標(biāo)準(zhǔn)立項(xiàng)研

討會(huì)，在立項(xiàng)研討會(huì)上，認(rèn)證聽取專家及其他工作組成員單位的意見。

國(guó)家標(biāo)準(zhǔn)報(bào)批材料

4)2022年5月-2022年6月，標(biāo)準(zhǔn)起草組對(duì)專家及其他工作組成員單位的

意見進(jìn)行研討，對(duì)草案進(jìn)行修改完善并提交秘書處。

5)2022年7月6日，參加全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)組織的網(wǎng)絡(luò)安

全國(guó)家標(biāo)準(zhǔn)立項(xiàng)評(píng)審會(huì)。

6)2022年10月30日，收到全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)的立項(xiàng)通

知，本標(biāo)準(zhǔn)通過(guò)立項(xiàng)。

7)2022年11月，征集標(biāo)準(zhǔn)參編單位，吸納相關(guān)單位加入標(biāo)準(zhǔn)編制組。

8)2022年12月6日，信安標(biāo)委秘書處將舉辦信安標(biāo)委2022年標(biāo)準(zhǔn)周活

動(dòng)，對(duì)標(biāo)準(zhǔn)草案進(jìn)行了匯報(bào)，認(rèn)證聽取專家及其他工作組成員單位的意

見。

9)2022年12月31日，根據(jù)據(jù)WG4工作組會(huì)議意見，對(duì)標(biāo)準(zhǔn)文本進(jìn)行了

修改，形成征求意見稿草案。

10)2023年1月16日，組織WG4工作組副組長(zhǎng)、責(zé)任專家、責(zé)任編輯

召開征求意見稿的集中評(píng)審會(huì)，并按照專家意見對(duì)標(biāo)準(zhǔn)進(jìn)行修改，形成形

成征求意見稿。

11)2023年2月16日，信安標(biāo)委秘書處組織召開《信息技術(shù)安全技術(shù)

公鑰基礎(chǔ)設(shè)施在線證書狀態(tài)協(xié)議》（征求意見稿）專家審查會(huì)，通過(guò)了標(biāo)

準(zhǔn)的審查。

1.4各階段意見處理情況

1)草案稿第1稿階段，2022年4月18日，TC260/WG4組織專家評(píng)審會(huì)，

共收到12條意見，采納了11條。

2)草案稿修改稿階段，2022年12月6日，TC260/WG4工作會(huì)議上，共收

到24條意見，對(duì)其中2條意見做了解釋，另外22條意見采納。

3)征求意見稿修改稿階段，2023年1月16日，組織了WG4工作組副組

長(zhǎng)、責(zé)任專家、責(zé)任編輯開征求意見稿草案的集中評(píng)審會(huì)，共收到41條意

見，對(duì)所有意見都采納。

二、標(biāo)準(zhǔn)編制原則、主要內(nèi)容及其確定依據(jù)

2.1標(biāo)準(zhǔn)編制原則

a)遵循現(xiàn)行國(guó)家標(biāo)準(zhǔn)，采用和借鑒國(guó)內(nèi)外先進(jìn)文獻(xiàn)/標(biāo)準(zhǔn)

國(guó)家標(biāo)準(zhǔn)報(bào)批材料

本標(biāo)準(zhǔn)按國(guó)家標(biāo)準(zhǔn)GB/T1.1-2020規(guī)定的格式予以編寫。

b)貫徹國(guó)家有關(guān)政策與法規(guī)

本標(biāo)準(zhǔn)中涉及的密碼算法遵循國(guó)家商用密碼的有關(guān)規(guī)定。

2.2主要內(nèi)容及其確定依據(jù)

本標(biāo)準(zhǔn)規(guī)定了一種無(wú)需請(qǐng)求證書撤銷列表(CRL)即可查詢數(shù)字證書狀態(tài)的機(jī)

制，可代替CRL或作為周期性檢查CRL的一種補(bǔ)充方式，以便及時(shí)獲得證書撤銷

狀態(tài)的有關(guān)信息。本文件包括在線證書狀態(tài)協(xié)議的總體要求（請(qǐng)求、響應(yīng)及異常

等）、功能要求、具體協(xié)議和安全考慮等。

本標(biāo)準(zhǔn)主要內(nèi)容是在GB/T19713-2005《信息技術(shù)安全技術(shù)公鑰基礎(chǔ)設(shè)施在

線證書狀態(tài)協(xié)議》基礎(chǔ)上，根據(jù)RFC6960、RFC5019、RFC8954等文獻(xiàn)，結(jié)合國(guó)內(nèi)

相關(guān)信息安全標(biāo)準(zhǔn)規(guī)范修訂。

2.3修訂前后技術(shù)內(nèi)容的對(duì)比[適用于國(guó)家標(biāo)準(zhǔn)修訂項(xiàng)目]

本項(xiàng)目是對(duì)國(guó)家標(biāo)準(zhǔn)GB/T19713-2005《信息技術(shù)安全技術(shù)公鑰基礎(chǔ)設(shè)施在

線證書狀態(tài)協(xié)議》進(jìn)行修訂，依據(jù)國(guó)際上IETF（互聯(lián)網(wǎng)工程特別工作組）發(fā)表的

RFC5019用于大容量環(huán)境的輕量級(jí)在線證書狀態(tài)協(xié)議(OCSP)語(yǔ)法、RFC6960X.509

互聯(lián)網(wǎng)公鑰基礎(chǔ)設(shè)施在線證書狀態(tài)協(xié)議、RFC8954在線證書狀態(tài)協(xié)議(OCSP)

Nonce擴(kuò)展等文件，并結(jié)合國(guó)產(chǎn)密碼算法和相關(guān)標(biāo)準(zhǔn)規(guī)范要求等，對(duì)GB/T19713-

2005《信息安全技術(shù)公鑰基礎(chǔ)設(shè)施在線證書狀態(tài)協(xié)議》進(jìn)行修改和完善。主要

修改內(nèi)容有：

1)19713-2005中使用的簽名算法還是DSA、RSA、SHA1算法等算法，這些

算法已經(jīng)不推薦使用。隨著國(guó)產(chǎn)密碼算法的推進(jìn)，需要在線證書狀態(tài)協(xié)議

算法對(duì)國(guó)產(chǎn)密碼算法支持。

2)19713-2005引用、參考的大部分都是國(guó)際標(biāo)準(zhǔn)、規(guī)范，國(guó)內(nèi)制定了

《GB/T20518-2018信息安全技術(shù)公鑰基礎(chǔ)設(shè)施數(shù)字證書格式》、《GM/T

0014-2012數(shù)字證書認(rèn)證系統(tǒng)密碼協(xié)議規(guī)范》等一系列證書相關(guān)標(biāo)準(zhǔn)?，F(xiàn)

在改成引用國(guó)內(nèi)標(biāo)準(zhǔn)。

3)19713-2005對(duì)協(xié)議不夠詳細(xì)的，參照RFC6960，擴(kuò)展了響應(yīng)狀態(tài)、異常

情況的使用范圍，規(guī)范了OCSP請(qǐng)求和響應(yīng)語(yǔ)法，擴(kuò)展并新增了標(biāo)準(zhǔn)的擴(kuò)展

項(xiàng)，解決了GB/T19713-2005標(biāo)準(zhǔn)中的不足。

國(guó)家標(biāo)準(zhǔn)報(bào)批材料

4)增加標(biāo)準(zhǔn)協(xié)議的安全處理，加強(qiáng)了算法的安全