國家標準報批材料

一、工作簡況

1.1任務來源

根據全國信息安全標準化技術委員會下達的2022年制修訂網絡安全國家標

準項目計劃，國家標準《信息安全技術公鑰基礎設施在線證書狀態協議》由全

國信息安全標準化技術委員會（SAC/TC260）提出并歸口，由普華誠信信息技術

有限公司牽頭，計劃號：20230239-T-469。

1.2制定背景

本標準規定了一種無需請求證書撤銷列表（CRL）即可查詢數字證書狀態的

機制（即OCSP），該機制可替代CRL或作為周期性檢查CRL的一種補充方式，以

便及時獲得證書撤銷狀態的有關信息。本標準適用于各類基于公開密鑰基礎設施

的應用程序和計算環境。由于GB/T25059-2010《信息安全技術公鑰基礎設施

簡易在線證書狀態協議》已于2017年12月廢止，且本標準參考的RFC2560已被

替代，其最新版本為RFC6960，標準中使用的部分算法已經不再使用，國內已經

升級到SM2算法，并制定了SM2算法、數字證書格式、數字證書認證系統等一系

列標準規范，因此，本項目需要根據最新國際標準，并結合國內相關信息安全標

準規范，對GB/T19713-2005《信息技術安全技術公鑰基礎設施在線證書狀態協

議》進行修訂。

1.3起草過程

1)2022年1月，成立標準起草組，調研國際上最新相關標準，討論并確

定標準的范圍、框架及主要技術內容。

2)2022年2月至3月，根據RFC6960、RFC8954、RFC5019等參考文件，

開展本標準的翻譯及編寫工作；標準起草組分工開展草案稿起草工作，內

部討論和修訂，形成第一版草案稿。

3)2022年4月18日，參加WG4工作組2022年網絡安全國家標準立項研

討會，在立項研討會上，認證聽取專家及其他工作組成員單位的意見。

國家標準報批材料

4)2022年5月-2022年6月，標準起草組對專家及其他工作組成員單位的

意見進行研討，對草案進行修改完善并提交秘書處。

5)2022年7月6日，參加全國信息安全標準化技術委員會組織的網絡安

全國家標準立項評審會。

6)2022年10月30日，收到全國信息安全標準化技術委員會的立項通

知，本標準通過立項。

7)2022年11月，征集標準參編單位，吸納相關單位加入標準編制組。

8)2022年12月6日，信安標委秘書處將舉辦信安標委2022年標準周活

動，對標準草案進行了匯報，認證聽取專家及其他工作組成員單位的意

見。

9)2022年12月31日，根據據WG4工作組會議意見，對標準文本進行了

修改，形成征求意見稿草案。

10)2023年1月16日，組織WG4工作組副組長、責任專家、責任編輯

召開征求意見稿的集中評審會，并按照專家意見對標準進行修改，形成形

成征求意見稿。

11)2023年2月16日，信安標委秘書處組織召開《信息技術安全技術

公鑰基礎設施在線證書狀態協議》（征求意見稿）專家審查會，通過了標

準的審查。

1.4各階段意見處理情況

1)草案稿第1稿階段，2022年4月18日，TC260/WG4組織專家評審會，

共收到12條意見，采納了11條。

2)草案稿修改稿階段，2022年12月6日，TC260/WG4工作會議上，共收

到24條意見，對其中2條意見做了解釋，另外22條意見采納。

3)征求意見稿修改稿階段，2023年1月16日，組織了WG4工作組副組

長、責任專家、責任編輯開征求意見稿草案的集中評審會，共收到41條意

見，對所有意見都采納。

二、標準編制原則、主要內容及其確定依據

2.1標準編制原則

a)遵循現行國家標準，采用和借鑒國內外先進文獻/標準

國家標準報批材料

本標準按國家標準GB/T1.1-2020規定的格式予以編寫。

b)貫徹國家有關政策與法規

本標準中涉及的密碼算法遵循國家商用密碼的有關規定。

2.2主要內容及其確定依據

本標準規定了一種無需請求證書撤銷列表(CRL)即可查詢數字證書狀態的機

制，可代替CRL或作為周期性檢查CRL的一種補充方式，以便及時獲得證書撤銷

狀態的有關信息。本文件包括在線證書狀態協議的總體要求（請求、響應及異常

等）、功能要求、具體協議和安全考慮等。

本標準主要內容是在GB/T19713-2005《信息技術安全技術公鑰基礎設施在

線證書狀態協議》基礎上，根據RFC6960、RFC5019、RFC8954等文獻，結合國內

相關信息安全標準規范修訂。

2.3修訂前后技術內容的對比[適用于國家標準修訂項目]

本項目是對國家標準GB/T19713-2005《信息技術安全技術公鑰基礎設施在

線證書狀態協議》進行修訂，依據國際上IETF（互聯網工程特別工作組）發表的

RFC5019用于大容量環境的輕量級在線證書狀態協議(OCSP)語法、RFC6960X.509

互聯網公鑰基礎設施在線證書狀態協議、RFC8954在線證書狀態協議(OCSP)

Nonce擴展等文件，并結合國產密碼算法和相關標準規范要求等，對GB/T19713-

2005《信息安全技術公鑰基礎設施在線證書狀態協議》進行修改和完善。主要

修改內容有：

1)19713-2005中使用的簽名算法還是DSA、RSA、SHA1算法等算法，這些

算法已經不推薦使用。隨著國產密碼算法的推進，需要在線證書狀態協議

算法對國產密碼算法支持。

2)19713-2005引用、參考的大部分都是國際標準、規范，國內制定了

《GB/T20518-2018信息安全技術公鑰基礎設施數字證書格式》、《GM/T

0014-2012數字證書認證系統密碼協議規范》等一系列證書相關標準。現

在改成引用國內標準。

3)19713-2005對協議不夠詳細的，參照RFC6960，擴展了響應狀態、異常

情況的使用范圍，規范了OCSP請求和響應語法，擴展并新增了標準的擴展

項，解決了GB/T19713-2005標準中的不足。

國家標準報批材料

4)增加標準協議的安全處理，加強了算法的安全、中間人降級攻擊、拒絕

服務攻擊、重放攻擊、隨機數的安全規范要求。

5)增加了輕量級OCSP請求和響應的語法規范，支持移動網絡或云計算等

大規模應用環境下的證書狀態查詢服務的需求。

三、試驗驗證的分析、綜述報告，技術經濟論證，預期的經濟效益、社會效

益和生態效益

3.1試驗驗證的分析、綜述報告

3.2技術經濟論證

3.3預期的經濟效益、社會效益和生態效益

本標準作為信息安全技術公鑰基礎設施數字證書應用的基礎，完善了GB/T

19713-2005標準中不足、增加了國產密碼算法、輕量級在線證書狀態協議等，能

夠為數字證書應用提供更加安全、可靠、及時的狀態查詢服務，有力指導OCSP

服務合規、安全應用，支撐我國信息安全產業的發展。

四、與國際、國外同類標準技術內容的對比情況，或者與測試的國外樣品、

樣機的有關數據對比情況

本標準主要參考國際上IETF（互聯網工程特別工作組）發表的RFC6960、

RFC8954和RFC5019等標準修改，并增加了國產密碼算法。

本標準與國際、國外同類標準技術內容的最大區別在于本標準即支持國際算

法同時也支持SM2、SM3國產密碼算法。

五、以國際標準為基礎的起草情況，以及是否合規引用或者采用國際國外標

準，并說明未采用國際標準的原因

本標準是對國家標準GB/T19713-2005《信息技術安全技術公鑰基礎設施在

線證書狀態協議》進行修改和完善，本標準合規采用或者參考的國際標準文獻有：

[1]RFC6960—X.509互聯網公鑰基礎設施在線證書狀態協議（Internet

publickeyinfrastructureOnlineCertificateStatusProtocol）

[2]RFC8954—在線證書狀態協議(OCSP)Nonce擴展（RFC8954Online

Certi?cateStatusProtocol(OCSP)NonceExtension）

國家標準報批材料

[3]RFC5019—用于大容量環境的輕量級在線證書狀態協議(OCSP)語法

（RFC5019TheLightweightOnlineCertificateStatusProtocol(OCSP)

ProfileforHigh-VolumeEnvironments）

[4][RFC2616]超文本傳輸協議(HTTP1.1)"HypertextTransfer

Protocol--HTTP/1.1",June1999

六、與有關法律、行政法規及相關標準的關系

1、貫徹國家有關政策與法規

本標準中涉及的密碼算法遵循了國家商用密碼的有關規定。

2、與相關國內相關標準的關系

本標準主要是對GB/T19713-2005《信息技術安全技術公鑰基礎設施在線證

書狀態協議》標準進行修訂，與我國現行的法律、法規及國家標準不存在沖突問

題。

七、重大分歧意見的處理經過和依據

在2022年4月工作組會議上，荊老師提的“荊老師提的問題，關于輕量級，

既然有輕量的方式可供查詢，為什么還需要用別的方式？”，在2022年12月6

日工作組會議專家也對這個輕量級OCSP提出了疑問，針對這個疑問進行重點解

釋。

1)輕量級ocsp是常規的在線證書狀態協議（OCSP）的子集，其應用場景

主要是為滿足非常大規模（高容量）PKI環境或需要減少帶寬和客戶端/響

應器處理能力的PKI環境下使用在線證書狀態協議的需求。目前移動互聯

網和云計算快速發展，輕量級ocsp應用于移動互聯網和云計算的環境下。

2)輕量級是相對普通的OCSP協議，其從請求和響應的數據結構和請求的

查詢數據量進行了簡化。在請求結構上，可以不包括

singleRequestExtensions數據項、requestExtensions數據項等，請求的

數據上只請求一個證書，請求方可以不用對請求進行簽名；在響應數據結

構上，只返回BasicOCSPResponse數據項，不返回responseExtensions數

據項，數據結構上的簡化，從而減少了帶寬和減少客戶端/響應器處理能

力。在請求和響應結構中使用擴展項有利于OCSP能夠適應各種環境，輕量

級OCSP減少了擴展項，其使用的靈活性、適應性上會降低，而且每次只能

國家標準報批材料

查詢一個證書的狀態，其只適應大規模（高容量）PKI環境的特定環境，

其他的通用、處理能力不受限制應用環境還是需要常規的OCSP協議。

對于輕量級OCSP的名字是根據“RFC5019TheLightweightOnline

CertificateStatusProtocol(OCSP)ProfileforHigh-Volume

Environments”翻譯，其中對Lightweight進行翻譯為“輕量級”，其與

LightweightDirectoryAccessProtocol（輕量級目錄訪問協議）中

Lightweight翻譯為一致。

八、涉及專利的有關說明

本文件不涉及專利。

九、實施國家標準的要求，以及組織措施、技術措施、過渡期和實施日期的

建議等措施建議

本標準作為信息安全技術公鑰基礎設施數字證書應用的基礎，為我國電子政

務、電子商務等領域中數字證書的應用發揮了舉足輕重的作用，為我國電子認證

技術的發展提供了重要依據和支撐。

本標準正式發布后，為了使標準的規定得到有效貫徹，建議WG4工作組、信

安標委可以及時通知行業內各單位本標準的發布信息，督促各單位依據最新標準

開展系統設計、評測以及應用推廣等工作。

十、其他應當說明的事項

無。

國家標準報批材料

一、工作簡況

1.1任務來源

根據全國信息安全標準化技術委員會下達的2022年制修訂網絡安全國家標

準項目計劃，國家標準《信息安全技術公鑰基礎設施在線證書狀態協議》由全

國信息安全標準化技術委員會（SAC/TC260）提出并歸口，由普華誠信信息技術

有限公司牽頭，計劃號：20230239-T-469。

1.2制定背景

本標準規定了一種無需請求證書撤銷列表（CRL）即可查詢數字證書狀態的

機制（即OCSP），該機制可替代CRL或作為周期性檢查CRL的一種補充方式，以

便及時獲得證書撤銷狀態的有關信息。本標準適用于各類基于公開密鑰基礎設施

的應用程序和計算環境。由于GB/T25059-2010《信息安全技術公鑰基礎設施

簡易在線證書狀態協議》已于2017年12月廢止，且本標準參考的RFC2560已被

替代，其最新版本為RFC6960，標準中使用的部分算法已經不再使用，國內已經

升級到SM2算法，并制定了SM2算法、數字證書格式、數字證書認證系統等一系

列標準規范，因此，本項目需要根據最新國際標準，并結合國內相關信息安全標

準規范，對GB/T19713-2005《信息技術安全技術公鑰基礎設施在線證書狀態協

議》進行修訂。

1.3起草過程

1)2022年1月，成立標準起草組，調研國際上最新相關標準，討論并確

定標準的范圍、框架及主要技術內容。

2)2022年2月至3月，根據RFC6960、RFC8954、RFC5019等參考文件，

開展本標準的翻譯及編寫工作；標準起草組分工開展草案稿起草工作，內

部討論和修訂，形成第一版草案稿。

3)2022年4月18日，參加WG4工作組2022年網絡安全國家標準立項研

討會，在立項研討會上，認證聽取專家及其他工作組成員單位的意見。

國家標準報批材料

4)2022年5月-2022年6月，標準起草組對專家及其他工作組成員單位的

意見進行研討，對草案進行修改完善并提交秘書處。

5)2022年7月6日，參加全國信息安全標準化技術委員會組織的網絡安

全國家標準立項評審會。

6)2022年10月30日，收到全國信息安全標準化技術委員會的立項通

知，本標準通過立項。

7)2022年11月，征集標準參編單位，吸納相關單位加入標準編制組。

8)2022年12月6日，信安標委秘書處將舉辦信安標委2022年標準周活

動，對標準草案進行了匯報，認證聽取專家及其他工作組成員單位的意

見。

9)2022年12月31日，根據據WG4工作組會議意見，對標準文本進行了

修改，形成征求意見稿草案。

10)2023年1月16日，組織WG4工作組副組長、責任專家、責任編輯

召開征求意見稿的集中評審會，并按照專家意見對標準進行修改，形成形

成征求意見稿。

11)2023年2月16日，信安標委秘書處組織召開《信息技術安全技術

公鑰基礎設施在線證書狀態協議》（征求意見稿）專家審查會，通過了標

準的審查。

1.4各階段意見處理情況

1)草案稿第1稿階段，2022年4月18日，TC260/WG4組織專家評審會，

共收到12條意見，采納了11條。

2)草案稿修改稿階段，2022年12月6日，TC260/WG4工作會議上，共收

到24條意見，對其中2條意見做了解釋，另外22條意見采納。

3)征求意見稿修改稿階段，2023年1月16日，組織了WG4工作組副組

長、責任專家、責任編輯開征求意見稿草案的集中評審會，共收到41條意

見，對所有意見都采納。

二、標準編制原則、主要內容及其確定依據

2.1標準編制原則

a)遵循現行國家標準，采用和借鑒國內外先進文獻/標準

國家標準報批材料

本標準按國家標準GB/T1.1-2020規定的格式予以編寫。

b)貫徹國家有關政策與法規

本標準中涉及的密碼算法遵循國家商用密碼的有關規定。

2.2主要內容及其確定依據

本標準規定了一種無需請求證書撤銷列表(CRL)即可查詢數字證書狀態的機

制，可代替CRL或作為周期性檢查CRL的一種補充方式，以便及時獲得證書撤銷

狀態的有關信息。本文件包括在線證書狀態協議的總體要求（請求、響應及異常

等）、功能要求、具體協議和安全考慮等。

本標準主要內容是在GB/T19713-2005《信息技術安全技術公鑰基礎設施在

線證書狀態協議》基礎上，根據RFC6960、RFC5019、RFC8954等文獻，結合國內

相關信息安全標準規范修訂。

2.3修訂前后技術內容的對比[適用于國家標準修訂項目]

本項目是對國家標準GB/T19713-2005《信息技術安全技術公鑰基礎設施在

線證書狀態協議》進行修訂，依據國際上IETF（互聯網工程特別工作組）發表的

RFC5019用于大容量環境的輕量級在線證書狀態協議(OCSP)語法、RFC6960X.509

互聯網公鑰基礎設施在線證書狀態協議、RFC8954在線證書狀態協議(OCSP)

Nonce擴展等文件，并結合國產密碼算法和相關標準規范要求等，對GB/T19713-

2005《信息安全技術公鑰基礎設施在線證書狀態協議》進行修改和完善。主要

修改內容有：

1)19713-2005中使用的簽名算法還是DSA、RSA、SHA1算法等算法，這些

算法已經不推薦使用。隨著國產密碼算法的推進，需要在線證書狀態協議

算法對國產密碼算法支持。

2)19713-2005引用、參考的大部分都是國際標準、規范，國內制定了

《GB/T20518-2018信息安全技術公鑰基礎設施數字證書格式》、《GM/T

0014-2012數字證書認證系統密碼協議規范》等一系列證書相關標準。現

在改成引用國內標準。

3)19713-2005對協議不夠詳細的，參照RFC6960，擴展了響應狀態、異常

情況的使用范圍，規范了OCSP請求和響應語法，擴展并新增了標準的擴展

項，解決了GB/T19713-2005標準中的不足。

國家標準報批材料

4)增加標準協議的安全處理，加強了算法的安全