<menu id="guoca"></menu>
<nav id="guoca"></nav><xmp id="guoca">
  • <xmp id="guoca">
  • <nav id="guoca"><code id="guoca"></code></nav>
  • <nav id="guoca"><code id="guoca"></code></nav>
    GB/T 19713—2005信息技術 安全技術 公鑰基礎設施 在線證書狀態協議
    展開或關閉
    前言
    前言
    1 范圍
    范圍
    2 規范性引用文件
    規范性引用文件
    3 術語和定義
    術語和定義
    4 縮略語
    縮略語
    5 總則
    5.1 概述 5.2 請求 5.3 響應 5.4 異常情況 5.5 thisUpdate、nextUpdate和producedAt的語義 5.6 預產生響應 5.7 OCSP簽名機構的委托 5.8 CA密鑰泄漏
    6 功能要求
    6.1 證書內容 6.2 簽名響應的接收要求
    7 具體協議
    7.1 約定 7.2 請求 7.3 響應 7.4 強制的密碼算法和可選的密碼算法 7.5 擴展
    8 安全考慮
    安全考慮
    附錄A(資料性附錄) HTTP上的OCSP
    附錄A(資料性附錄) HTTP上的OCSP
    附錄B(規范性附錄) 采用ASN.1定義的OCSP
    附錄B(規范性附錄) 采用ASN.1定義的OCSP

    7.5 擴展

    GB/T 19713—2005信息技術 安全技術 公鑰基礎設施 在線證書狀態協議 /

    本條定義了一些標準的擴展,這些擴展基于X.509的V3版本證書(見RFC2459)中使用的擴展模式。對客戶端和響應器而言,對所有擴展的支持都是可選的。對于每個擴展,定義指出了它被OCSP響應器處理時的語法,以及任何包含在相應響應中的擴展。

    7.5.1 Nonce(現時)

    Nonce通過秘密地加密綁定一個請求和一個響應,以防止重放攻擊。Nonce在請求中作為請求包中的一個requestExtensions而包括在請求中,然而在響應中,它將作為響應包中的一個responseExtensions包括在響應中。在請求和響應中,Nonce將由對象標識符id-pkix-ocsp-nonce標識,extnValue中包含了Nonce的值。

    id-pkix-ocsp-nonce OBJECT IDENTIFIER ::= { id-pkix-ocsp 2 }

    7.5.2 CRL參考

    對于OCSP響應器來說,在CRL上指出一個已撤銷的或在用的證書,可能更有價值。這一點在OCSP作為存儲庫和審計機制使用時非常有用。CRL可能由一個URL(CRL可以從這個URL處獲得),一個序列號(CRL序列號)或一個時間點(產生相應的CRL的時間點)指定。這些擴展被確定為singleExtensions。該擴展的標識符為id-pkix-ocsp-crl,值為CrlID。

       id-pkix-ocsp-crl       OBJECT  IDENTIFIER ::= { id-pkix-ocsp 3 }

   CrlID ::= SEQUENCE {

      crlUrl               [0]     EXPLICIT IA5String OPTIONAL,

      crlNum               [1]     EXPLICIT INTEGER OPTIONAL,

      crlTime              [2]     EXPLICIT GeneralizedTime OPTIONAL }

    選擇項crlUrl指定適用于CRL的URL,它的類型是IA5String;選擇項crlNum指定相關CRL的CRL序列號擴展的值,它的類型是INTEGER;選擇項crlTime指定發布相應CRL的時間點,它的類型是GeneralizedTime。

    7.5.3 可接受的響應類型

    一個OCSP客戶端可以希望指定其能理解的各種響應類型。為了達到這樣的目的,它應該包含id-pkix-ocsp-response擴展,值為AcceptableResponses。該擴展作為請求中的一個requestExtensions。包含在AcceptableResponses中的OIDs是該客戶端能夠接受的各種響應類型(例如:id-pkix-ocsp-basic)的OIDs。

    id-pkix-ocsp-response OBJECT IDENTIFIER ::= { id-pkix-ocsp 4 }

    AcceptableResponses ::= SEQUENCE OF OBJECT IDENTIFIER

    如7.3.1所述,OCSP響應器將能夠產生id-pkix-ocsp-basic類型的響應。相應的,OCSP的客戶端也將能接收和處理id-pkix-ocsp-basic類型的響應。

    7.5.4 存檔截止

    OCSP響應器可以選擇在證書過期后仍保留相應的撤銷信息。從響應的producedAt時間減去間隔保持值而得到的時間定義為證書的“存檔截止”時間。

    即便是所要驗證有效簽名的證書很久以前就過期了,激活的OCSP應用也能使用OCSP存檔截止時間,來提供數字簽名是否有效的證明。

    提供歷史參考支持的OCSP服務器應該在響應包里面包括存檔截止擴展。如果包括存檔截止擴展,將把這個值作為OCSP的singleExtensions擴展,并由id-pkix-ocsp-archive-cutoff和GeneralizedTime語法來識別。

    id-pkix-ocsp-archive-cutoff OBJECT IDENTIFIER ::= { id-pkix-ocsp 6 }

    ArchiveCutoff ::= GeneralizedTime

    舉例,如果服務器的操作具有采用7年保留期的策略,且produceAt值為t1,那么響應中Archive Cutoff值為(t1–7年)。

    000011.1.5 CRL入口擴展域

    所有指定為CRL入口擴展的擴展——見RFC2459的5.3。

    7.5.6 服務定位器

    一臺OCSP服務器也許以這樣一種模式運作,服務器接收到一個請求,并轉發該請求到能識別待驗證證書的OCSP服務器上。為此定義了serviceLocator請求擴展。這個擴展作為一個singleRequestExtensions包括在請求中。

       id-pkix-ocsp-service-locator OBJECT IDENTIFIER ::= { id-pkix-ocsp 7 }

   ServiceLocator ::= SEQUENCE {

       issuer    Name,

       locator   AuthorityInfoAccessSyntax OPTIONAL }

    這些字段的值可從主體證書的相應字段中獲得。

    本文章首發在 網安wangan.com 網站上。

    上一篇 下一篇
    安全俠
    Reserved 1.2k 聲望
    暫無個人描述~
    討論數量: 0
    只看當前版本


    暫無話題~
    ? 2021 WANGAN.COM 幫助網安從業者成長;關注產業發展,做網絡安全忠誠衛士!
    亚洲 欧美 自拍 唯美 另类