1、中华人民共和国国家标准用于行政商业和运输业电子数据交换的应用级语法规则语法版本号第 部分 安全密钥和证书管理报文报文类型为发布 实施国家质量技术监督局 发布前言本标准等同采用 用于行政商业和运输业电子数据交换的应用级语法规则语法版本号 第 部分 安全密钥和证书管理报文报文类型为系列标准在用于行政商业和运输业电子数据交换的应用级语法规则语法版本号的总标题下包括下列 个部分第 部分公用的语法规则及语法服务目录第 部分批式电子数据交换专用的语法规则第 部分交互式电子数据交换专用的语法规则第 部分批式电子数据交换语法和服务报告报文报文类型为第 部分批式电子数据交换安全规则真实性完整性和源抗抵赖性第 部
2、分安全鉴别和确认报文报文类型为第 部分批式电子数据交换安全规则保密性第 部分电子数据交换中的相关数据第 部分安全密钥和证书管理报文报文类型为将来还有可能增加新的部分系列标准对应于 第 版虽然 替代了早期各版但根据 的有关规定用户仍可使用早期各版 有鉴于此我国于 年根据 的 版 版和 版制定的国家标准亦可在今后一段时间内继续使用 因此本系列标准的发布与实施不替代在本标准中附录 和附录 是标准的附录是本标准不可分割的组成部分 附录 到附录 是提示的附录本标准由中国标准研究中心提出本标准由全国电子业务标准化技术委员会归口本标准起草单位中国标准研究中心中国人民银行四川大学信息安全研究所本标准主要起草人
3、李颖刘碧松陈耀东 周安民 胡涵景邓洁等前言国际标准化组织是一个世界性的各国标准机构 国家成员体联盟 国际标准的制定工作一般通过 技术委员会完成 对某个已建立的技术委员会的项目感兴趣的每个成员体 有权对该项目表述意见 任何与 有联络关系的官方和非官方的国际组织都可直接参与制定国际标准与 国际电工委员会在电工技术标准化的所有领域密切合作由技术委员会正式通过的国际标准草案在被 理事会接受为国际标准之前 须分发到各成员体进行表决按照 的工作程序在得到至少 的成员体投票赞成之后 该标准草案才成为国际标准本国际标准 由联合国欧洲经济委员会 的贸易部门起草 作为的组成部分 并由 行政 商业和工业中的单证和数
4、据元技术委员会通过快速表决程序 采纳为现行标准鉴于本标准替代了早期各版并在交换头 段的必备型数据元 语法版本号 中用 来标识本版本 因此 继续使用早期发布的各版语法规则的交换应使用下列语法版本号以便彼此区别语法版本号年修订并重印版 语法版本号年修订并重印版及其 年第 号修订单 语法版本号在 联合国用于行政 商业和运输性电子数据交换的应用级语法规则 语法版本号的总标题下由下列几部分组成各部分公用的语法规则及每部分的语法服务目录批式电子数据交换专用的语法规则交互式电子数据交换专用的语法规则批式电子数据交换语法和服务报告报文报文类型为批式电子数据交换安全规则真实性 完整性和源抗抵赖性安全鉴别和确认报
5、文报文类型为批式电子数据交换安全规则保密性电子数据交换中的相关数据密钥和证书管理报文报文类型为将来还有可能增加新的部分在本标准中附录 和附录 是标准的附录附录 到附录 是提示的附录引言根据批式处理的需求 本标准包含了用于在开放环境中交换的电子报文中的数据结构化的应用级规则 联合国欧洲经济委员会 已经同意把这些规则作为用于行政商业和运输业电子数据交换 的应用级语法规则 这些规则是联合国贸易数据交换目录 的一部分还包含批式和交互式报文设计指南通讯规范及协议不在本标准的范围之内本标准是 的一个新增部分 它提供了一种可供选择的管理安全密钥和证书的能力中华人民共和国国家标准用于行政 商业和运输业电子数据
6、交换的应用级语法规则 语法版本号第 部分 安全密钥和证书管理报文报文类型为国家质量技术监督局 批准 实施范围本标准规定了批式 安全所需的安全密钥和证书管理报文一致性与一个标准一致意味着支持其所有需求包括所有选项 如果不是所有选项都被支持则任何一致性声明都应包括一个说明 用于标识那些被声明为与其一致的选项如果所交换的数据的结构和表示符合本标准中规定的语法规则 则这些数据处于一致性状态如果支持本标准的设备能创建和或解释其结构和表示与本标准一致的数据时 则这些设备处于一致性状态与本标准的一致性应包含与 和 的一致性当在本标准中标识出相关标准中定义的条文后这些条文应构成一致性判定条件的组成部分引用标准
7、下列标准所包含的条文通过在本标准中引用而构成为本标准的条文 本标准出版时所示版本均为有效 所有标准都会被修订使用本标准的各方应探讨使用下列标准最新版本的可能性 和的成员维护着当前有效的国际标准的注册用于行政 商业和运输业电子数据交换的应用级语法规则 语法版本号第 部分公用的语法规则及语法服务目录用于行政 商业和运输业电子数据交换的应用级语法规则 语法版本号第 部分批式电子数据交换专用的语法规则用于行政 商业和运输业电子数据交换的应用级语法规则 语法版本号第 部分批式电子数据交换安全规则真实性 完整性和源抗抵赖性信息技术 开放系统互连 目录 鉴别框架 建议待发布 待发布版为 的修订版 当前我国与
8、之对应的国家标准为等同于定义本标准采用的定义见 中的附录安全密钥和证书管理报文的使用规则功能定义是用于提供安全密钥和证书管理的报文 密钥可以是用于对称算法的秘密密钥或者是用于非对称算法的公开密钥和私有密钥应用领域本报文适用于国内和国际贸易 它基于与行政商业和运输业有关的国际惯例但不依赖于业务或行业类型原则本报文可用于请求或交付安全密钥 证书或认证路径包括请求其他密钥和证书管理行动如更新替换或撤消证书请求交付诸如证书状态那样的其他信息 也可用于交付证书列表 如指出已撤消的证书 本报文可由安全头和尾段组来保护 安全头和尾段组的结构在 中定义本报文可用于请求与密钥和证书有关的行动交付密钥证书和相关信
9、息报文定义数据段说明报文头开始并唯一标识报文安全密钥和证书管理报文的报文类型代码为注 与本标准一致的报文必须在 段的复合数据元 中包含下列数据数据元段组给出密钥证书或认证路径管理的请求交付和通知所需的全部信息安全报文关系标识与先前报文的关系 如 请求安全参考标识与先前报文的联系如一个请求复合数据元安全日期和时间可包括所引用的报文的源生成日期和时间段组给出单个密钥单个证书或组成认证路径的证书组密钥管理功能标识所触发的段组的功能即请求或交付 当用于指出认证路径的元素时证书序号应指示其后所跟证书在认证路径内的位置 也可用于其自身的检索而无需提供证书 如果处理一个以上的密钥或证书在同一报文内可以有若干
10、不同的 段 然而请求功能和交付功能不能混用 段也可以说明用于紧跟该段的 段的二进制域的过滤函数安全算法标识安全算法及其用法 并给出所需的技术参数见 该段适用于对称密钥的请求 中止或交付 也可用于非对称密钥对的请求段组当使用非对称算法时 见 给出用来验证作用于报文包的安全方法所需的数据 该段组适用于密钥和证书的请求或交付在 段中 应给出整个证书段组包括 段或仅给出用于无歧义地标识所使用的非对称密钥对所需的数据元如果两个参与方已经交换了证书或证书可从数据库中获得 则不必给出整个证书当决定引用非 证书诸如 时应在 段的数据元 中标识该证书的语法和版本 这样的证书可在 包中传送证书给出证书持有者的凭证
11、并标识生成该证书的认证机构 见 该段适用于证书请求如更新或非对称密钥请求如中止以及证书交付安全算法标识安全算法及其用法并给出所需的技术参数见 该段适用于证书请求如凭证注册和证书交付安全函数运算结果给出由认证机构见 施加于证书的安全函数的运算结果 该段适用于证书验证或证书交付段组给出证书或公开密钥的列表该段组适用于把具有类似状态 如仍然有效或因某种原因也许失效的证书编成组安全列表状态标识有效撤消 未知或中止的项这些项可以是证书如有效的或撤消的或公开密钥 如有效的或中止的 如果交付指的是交付一个以上证书或公开密钥的列表时该段可在报文中多次出现 不同的列表可由列表参数来标识段组当使用非对称算法时见
12、给出用来验证作用于报文包的安全方法所需的数据 该段组可用于交付具有类似状态的密钥列表或证书列表证书给出证书持有者的凭证并标识生成该证书的认证机构 见 该段或是与和 段合起来用于整个证书或可用来指出证书参考号或密钥名称在这种情况下该报文应使用安全头和尾段组签名安全算法标识安全算法及其用法 并给出所需的技术参数见 如果需要指出证书所用算法 则应使用该段安全函数运算结果给出由认证机构见 施加于证书的安全函数的结果 如果需要签署一个证书则应使用该段报文尾结束一个报文给出报文中段的总数和控制参考号数据段索引标记名称报文头报文尾安全算法证书安全报文关系密钥管理功能安全列表状态安全函数运算结果安全参考报文结
13、构段表位置标识符标记名称状态最大次数报文头段组安全报文关系安全参考段组密钥管理功能安全算法段组证书安全算法安全函数运算结果段组安全列表状态段组证书安全算法安全函数运算结果报文尾附录标准的附录定义认证路径列表信息树 中客体证书的有序序列 通过路径中起始客体的公开密钥可获取路径中最终客体的公开密钥附录标准的附录语法服务目录段复合数据元和简单数据元段目录说明功能 段的功能位置 段表中的独立数据元或复合数据元的顺序位置号标记 段目录中包含的所有服务段的标记以字母 开头所有服务复合数据元的标记以字母 开头所有服务简单数据元的标记以数字 开头名称 段的英文名称用大写字母表示复合数据元的英文名称用大写字母表
14、示独立数据元的英文名称用大写字母表示成分数据元的英文名称用小写字母表示状态 段中的独立数据元或复合数据元的状态或复合数据元中的成分数据元的状态表示必备型 表示条件型最大次数 段在报文结构中或独立数据元或复合数据元在段中出现的最大次数表示 独立数据元或复合数据元中的成分数据元的数据值表示字母字符数字字符字母数字字符位字母字符定长位数字字符定长位字母数字字符定长最多为 位字母字符最多为 位数字字符最多为 位字母数字字符从属性注释标识符代码 名称有一项且仅有一项全有或全无有一项或多项有一项或无如果第一项有则全有如果第一项有则至少有一项如果第一项有则其他项全无从属性注释标识符的定义见 的 条按段标记的
15、字母顺序排列的段索引标记名称报文头报文尾安全算法证书安全报文关系密钥管理功能安全列表状态安全函数运算结果安全参考按段的英文名称的字母顺序排列的段索引标记名称 英文名称证书密钥管理功能报文头报文尾安全算法安全报文关系安全参考安全函数运算结果安全列表状态段规范注 在此仅定义 系列标准中的其他部分不包括的段安全报文关系功能 说明与先前安全报文的关系 如对一特定请求的应答或要求得到一个特定的回答的请求位置标识符标记名称状态最大次数表示 注释报文关系 代码型密钥管理功能功能说明密钥管理功能的类型和对应的密钥或证书的状态位置标识符标记名称状态最大次数表示 注释密钥管理功能限定符列表参数列表参数限定符列表参
16、数安全状态 代码型证书顺序号过滤函数代码型安全列表状态功能 说明安全客体的状态 如将在列表中交付的密钥或证书及对应的列表参数位置标识符标记名称状态最大次数表示 注释安全状态 代码型列表参数列表参数限定符列表参数复合数据元目录说明位置 复合数据元中的成分数据元的顺序位置号标记 复合数据元目录中的所有服务复合数据元的标记以字母 开头所有服务简单数据元的标记以数字 开头名称 成分数据元的英文名称用小写字母表示状态 复合数据元中的成分数据元的状态 表示必备型 表示条件型表示 复合数据元中的成分数据元的数据值表示字母字符数字字符字母数字字符位字母字符定长位数字字符定长位字母数字字符定长最多为 位字母字符
17、最多为 位数字字符最多为 位字母数字字符说明复合数据元的描述从属性注释标识符代码 名称有一项且仅有一项全有或全无有一项或多项有一项或无如果第一项有则全有如果第一项有则至少有一项如果第一项有则其他项全无从属性注释标识符的定义见 的 条按标记的字母顺序排列的复合数据元索引注 在此仅定义 系列标准中的其他部分不包括的复合数据元标记名称列表参数按名称的字母顺序排列的复合数据元索引标记名称 英文名称列表参数复合数据元规范列表参数说明请求或交付的列表参数的标识位置标识符标记名称状态 表示 注释列表参数限定符列表参数简单数据元目录说明标记 简单数据元目录中的所有服务简单数据元的标记以数字 开头名称 简单数据
18、元的名称说明 简单数据元的描述表示 简单数据元的数据值表示字母字符数字字符字母数字字符位字母字符定长位数字字符定长位字母数字字符定长最多为 位字母字符最多为 位数字字符最多为 位字母数字字符注 简单数据元的注释号按标记的字母顺序排列的简单数据元索引注 在此仅定义 系列标准中的其他部分不包括的数据元标记名称列表参数报文关系代码型证书顺序号列表参数限定符密钥管理功能限定符按名称的字母顺序排列的简单数据元索引标记名称 英文名称证书顺序号密钥管理功能限定符列表参数列表参数限定符报文关系代码型简单数据元规范列表参数说明所请求或交付的列表的说明表示报文关系代码型说明与另一报文的关系其中另一报文指先前发送的
19、或将来发送的表示证书顺序号说明认证路径中的证书位置的说明表示注 证书路径可按认证路径中的证书顺序号来排序列表参数限定符说明列表参数类型的说明表示密钥管理功能限定符说明密钥管理功能类型的说明表示附录提示的附录功能本附录描述了 报文提供的不同功能 在下文中凭证仅仅表示与某特定方相关的信息不是指公开密钥和时戳 因此证书将由如下部分构成凭证公开密钥时戳数字签名某些功能可考虑另外特殊处理即采用与常规使用不同的传送渠道例如在用户不负责生成自己的密钥时这种方式用于传送用户的秘密密钥与注册有关的密钥管理功能注册提交注册提交的目的是提供注册用的全部或部分证书内容尽管这种功能一般都采用某种另外特殊的安全技术如现场
20、办理或手工签名 实现但是如果注册机构 一个为用户信赖的注册机构只需对用户注册进行检验而不需要再重新录入信息会使效率更高 基于这一原因 虽然进一步需要加强特别安全采用 中定义的安全头 尾段组的方法进行完整性检验可能也是有用的但这一报文本身不需安全保护非对称密钥对请求本功能的目的是请求实体生成可信非对称密钥对 而后的私有密钥的传送必须另外特殊处理与证书有关的密钥管理功能证书请求本功能的目的是请求对凭证和公开密钥发放证书可以假设本报文是在前面另外特殊传送的信息之后发出的一个单纯的请求在这种情况下本请求自身将不再传送信息 由于没有已注册的密钥 因此本请求报文可视为非需安全保护的报文 然而如果本请求报文
21、中传输了密钥信息 那么就需要另外的鉴别措施 如果已经有注册过的密钥则可用于为新密钥和新证书的信息提供源抗抵赖服务而且如果用户采用请求报文来转发其公开密钥尽管该公开密钥还没有标签用户也应能够采用对应的私有密钥进行签名 这称为自认证并需要使用安全头和尾段组 为了表示公开密钥是自认证的中定义的安全头段组必须包含一个用户采用自己私有密钥签发的证书 尽管自认证公开密钥不能向另一方证明该用户的真实性但却能够向认证机构证明该用户拥有与此公开密钥对应的私有密钥证书更新请求本功能的目的是请求证书的延期更新 用于证书将要过期时 延长当前有效密钥的有效期 这种请求必须采用原证书私有密钥用 中定义的 安全头和尾段组来
22、签名证书替换请求本功能的目的是请求用一个具有不同公开密钥的新证书来替换当前证书必要时还提供附加信息 这种请求必须按照协定的策略 使用 中定义的 安全头和尾段组进行签名与延期请求不同的是该老证书是被撤消而非过期 新证书总是具有一个新的证书参考号 而撤消证书总是包含与被撤消证书相同的参考号证书路径检索请求本功能的目的是请求交付一个现有证书不管是有效还是已撤消或者撤消证书 有时应答中也可能包含证书路径而不仅仅是证书但查询者通常会忽略这些细节如果指明了证书参考号因为证书是公开的 则没有安全要求证书交付本功能的目的是依据或不依据先前的请求 来交付一个现有证书或撤消证书认证机构 的公开密钥传送通常应另外特
23、殊处理 然而 为了简化重新录入可能需要一个报文并可采用头和尾段组的方式单独鉴别进行完整性保护 但是这种情况又会误使用户忽略检查该另外特殊数值从而大大降低安全性 因此可能还需要使用如源抗抵赖等安全服务证书状态请求本功能的目的是请求所给定证书的当前状态证书状态通知本功能的目的是通知请求方给出指定证书的状态可能的状态有未知有效或已撤消 这种通知可在无事先请求的情况下交付并且通常必须采用源抗抵赖进行安全保护证书有效性请求该请求被转发到 以便对某现有证书进行确认这种请求适合其他安全域 即由其他 签发 的证书在这种情况下用户可能无法证实其有效性证书有效性通知本通知是对证书有效性请求的应答建议对该通知采用源
24、抗抵赖或其他鉴别措施与撤消有关的密钥管理功能撤消请求本功能的目的是请求撤消某参与方的证书 使证书状态从有效变为无效 例如 因为私有密钥已被泄露用户已变更 源证书被替代 使用已被中止比如用户离开公司 或者其他原因 如果可能建议采用鉴别技术进行安全处理 该功能可能需要单独信道并适用于用户丢失私有密钥的情况撤消确认本功能的目的是对证书撤消请求进行确认建议采用源抗抵赖服务进行安全处理撤消列表请求本功能的目的是请求索取全部或部分已撤消证书的列表撤消列表交付本功能的目的是通知参与方关于当前 域中 全部或某部分已撤消的证书类似于一种多重状态通知但仅仅用于撤消证书 当可能采用一种单独的黑名单类型时 最好采用来
25、标识其状态 这种交付应采用源抗抵赖服务进行安全处理告警请求本功能的目的是请求将参与方的证书处于告警状态该证书未被撤消没有向 请求 但其他用户已被警告该证书有问题 如果没有合适的鉴别方式如第二个有效的密钥和证书 进行撤消请求的安全处理就可使用告警请求证书路径证书路径交付本功能的目的是交付以前请求或没有请求的现有证书路径对称密钥生成和传送对称密钥请求本功能的目的是请求交付对称数据密钥或密钥加密密钥由于密钥交付意味着双方有一种预先的安全关系 因此如果不采用公开密钥技术的话就必须使用密钥加密密钥 用于为另外的密钥提供机密性保护来鉴别发起者对称密钥交付本功能的目的是交付对称密钥可能有也可能没有先前的请求
26、如果只采用对称技术就必须假定在传送之前 另外特殊传送 这样 在 段的算法参数中将包含已加密的密钥密钥中止非对称密钥中止请求本功能的目的是请求中止现有的对称或非对称密钥如果未使用证书 例如因为密钥已被泄露原密钥已被替换使用已被中止比如用户已离开公司 或者其他原因 建议采用现有密钥对该请求进行安全鉴别中止确认本功能的目的是确认某个某些指定密钥已被中止注 报文不支持的功能有独立的时戳功能 需要另一单独的报文完成 如对收到的 报文的确认或错误通知需要另外的报文 如 或附录提示的附录应用于 报文的安全技术本附录给出应用于每个 功能的头尾 安全的最小和最大级的建议 其中安全见功 能安全最小 最大备 注注册
27、提交 另外特殊处理非对称密钥对请求认证请求 另外特殊处理证书更新请求证书替换请求证书 路径 检索请求证书交付证书状态请求证书状态通知证书有效性请求证书有效性通知撤消请求撤消确认撤消列表请求撤消列表交付告警请求证书路径交付对称密钥请求对称密钥交付 可以使用非对称密钥中止请求中止确认注 真实性保密性完整性密钥加密密钥源抗抵赖性附录提示的附录报文中段组的使用本附录给出用于提供具体的 功能的段组请求功 能 段组 备注注册提交非对称密钥对请求认证请求 标识证书和公开密钥证书更新请求 标识证书并说明新的有效期限证书替换请求 将被撤消的当前证书在类似的段组中引用证书 路径检索请求 证书列表检索在此处用 给出
28、证书状态请求证书有效性请求撤消请求 用带外方式撤消列表请求告警请求对称密钥中止请求 仅指对称密钥 必要时 定义密钥名称非 对称密钥中止请求 对称 非对称密钥 标识密钥交付或通知功 能 段组 备注证书交付证书状态通知可类似于证书路径交付常规证书需增加撤消的原因和或该状态明确来自 段证书有效性通知 类似于证书状态通知 必须用进行安全处理撤消确认 类似于证书状态通知 必须用安全处理撤消列表交付 类似于多个证书状态通知但仅用于被撤消的证书证书路径交付 用于多个路径时可多次使用 段对称密钥交付 仅针对对称密钥 有必要先在带外传送中止确认 对称非对称密钥 类似于证书状态通知必须用 进行安全处理附录提示的附
29、录密钥管理模式在一种开放和安全的信息系统中密钥管理包括加密密钥的生成 分发认证 验证和撤消 下图描述了本标准考虑的密钥管理模式 其中根据功能定义了五个逻辑参与方图 密钥管理模式本模式的基本假设是采用安全服务的公开密钥技术而体系结构依据于 鉴别框架标准安全域指认证机构用于签发证书的公开密钥对的 法定管辖范围 因此 在一个安全域内只有一个认证机构 并且安全域具有这样的特征即该域内的所有用户都在该 的管理下 由 采用相同的秘密密钥签发证明采用安全的通信方式与为用户注册的若干注册机构 联接 用户可通过其进行注册在的请求下注册由 签发的证书来确认 另外与用户有关的公共信息如证书可在列表 中获取若干其他的
30、可信第三方 和提供特殊服务的用户也可以注册最终用户一个用户 表示以其凭证所识别的该用户在系统中唯一的用户标识号 一个真实的用户可以有一个以上的标识号 事实上一个用户标识可以表示一个法人 一个真实 或道义上 的人或一个系统设备注册机构对于一个未注册的用户来说 在用户和系统间就不存在安全电子连接 通过使用一些现行的信任方式如挂号信或手工注册登记 可用作为用户建立安全电子连接的入口 尽管这种注册本身不是一种密钥管理 但在需要时 注册仍将成为用户使用数字签名的法律基础注册完成后 用户凭证及其公开密钥连同认证请求被传给认证机构认证机构是系统的主要参与方 它向用户提供证书从而可通过 和用户之间的信赖关系
31、为不同用户间建立相互信赖关系 另外这些证书可以通过访问一个或多个列表来获取 有一种普遍的误解 即认为一个证书发行后其公开密钥一直有效 事实上证书发行后如果其公开密钥后来被撤消那么证书将不再有效 取而代之的是 发行的撤消证书并在列表中替代源证书 因此 即使证书仍在使用 用户也必须定期查询列表以便验证公开密钥是否继续有效 至于查询目录的频度 则属风险评估的问题列表类似公共电话簿公共列表 负责保存现行证书以及撤消证书 以备其他用户在线检验 尤其重要的是为了保证取自 的信息是最新和正确的用户和列表间的通信必须是安全的事实上 通常借助其自身的私有密钥不断地验证 证书的状态 这就特别要求列表注册为使用 公
32、开密钥的一个用户可信第三方 服务可信第三方指被其他至少两个参与方信赖的一方 还可提供一些附加服务如时戳等 与有关的 服务包括独立的时戳属性证书公证功能文件存档提交 交付的抗抵赖性证书的翻译验证附录提示的附录语法服务代码目录服务代码目录由 维护并且是联合国贸易数据交换目录 的一部分所以不在本标准中重复 当参考简单数据元目录见附录 中的代码型简单数据元的数据值时应使用服务代码目录的最新版本 将定期更新和公布附录提示的附录密钥和证书管理示例下列四例给出了 报文的不同应用撤消请求说明认证机构 先前为某一组织 的某一雇员 签发的证书因该雇员已在格林威治时间年 月 日中午 点离任而被该组织撤消本报文由 发
33、给 为实现源抗抵赖性 使用 中描述的安全头和尾段组按通常方式签发本报文本报文可以用从 发给 的撤消确认来回复安全细目对称密钥中止请求说明某一组织 请求另一组织 停止使用一个双方的对称密钥 因为其已被停止使用 本报文由 发给 组织间使用的本报文由组织按 中描述的安全头和尾段组的通常方法来进行源鉴别保护 在该方法中将使用另一个先前商定的对称密钥 本报文可以用从 发到 的中止确认来回复安全细目证书路径交付说明本报文从认证机构 发给某个组织 在此之前 已向其认证机构发送了检索另一个组织 证书路径的证书路径检索请求 在本例中 和 的认证机构 都由认证机构 以一个二层结构来认证 请求报文中的 和 段间的 段可以被直接引用所有证书的时间参照系是格林威治时间零点顶层证书于 年 月 日生成 年 月 日开始使用有效期 年 用户证书于 年 月 日生成 年 月 日使用有效期 年和 的公开密钥长度分别为 和 所有公开密钥指数是安全细目续表对称密钥传送说明组织 在收到一个从组织 到组织 的对称密钥请求之后使用先前商定的密钥加密密钥进行加密发送一个对称密钥给组织 原请求报文的 和 段间的 段可被显示引用安全细目
