电子政务数字证书格式规范(局字486)

电子政务数字证书格式规范DigitalCertificateFormatSpecificationforE-Government国家密码管理局2010年8月I目次前言.................................................................................II引言................................................................................III1范围................................................................................12规范性引用文件.......................................................................13术语和定义...........................................................................13.1公钥基础设施PublicKeyInfrastructure.............................................13.2数字证书DigitalCertificate.......................................................23.3证书撤销列表CertificateRevocationList...........................................23.4证书序列号CertificateSerialNumber..............................................23.5认证机构CertificationAuthority..................................................23.6证书撤销列表分布点CRLDistributionPoint.........................................24符号和缩略语.........................................................................25电子政务数字证书格式.................................................................35.1电子政务数字证书基本格式...........................................................35.2电子政务个人数字证书格式..........................................................175.3电子政务机构数字证书格式..........................................................225.4电子政务设备数字证书格式..........................................................285.5电子政务代码签名数字证书格式......................................................305.6其他..............................................................................336密码算法技术的支持..................................................................33附录A（资料性附录）数字证书编码举例.............................................34A.1电子政务部门工作人员数字证书编码举例..............................................34A.2政务部门机构证书编码举例..........................................................40A.3电子政务设备证书编码举例..........................................................45A.4电子政务代码签名证书编码举例......................................................50II前言本标准主要规范各级政务部门在开展社会管理、公共服务等活动中所使用的数字证书格式。电子政务内网有关要求不在本规范中涉及。本规范针对我国电子政务业务活动的特定需求，对数字证书的格式进行了规范，保障在电子政务业务活动中，不同认证机构签发的数字证书格式的统一性和互认性。本规范附录A为资料性附录。本规范由国家密码管理局提出并归口。本规范主要起草单位：国家信息中心、山东省数字证书认证管理有限公司、长春吉大正元信息技术股份有限公司、上海格尔软件股份有限公司。本规范主要起草人：吴亚非、任金强、彭建新、周国良、罗红斌、孟凡利、高建峰、闫仲森、罗清彩、解楠。责任专家：邹烈。III引言信息与网络技术在极大促进社会经济、科技、文化、教育和管理等各个方面发展的同时，也带来了巨大的信息安全风险。随着我国电子政务业务的快速发展和应用的日益增多，迫切需要在电子政务网络环境中建立真实、有效的身份信任体制，确认电子政务业务参与方的有效身份，建立彼此间的信任关系以及保证信息的真实性、完整性、机密性和关键操作的不可否认性。国家密码管理局已制定并颁布了相关的标准和规范，以促进和管理数字证书的应用。为了进一步促进和规范数字证书在电子政务中的应用，国家密码管理局同期开展电子认证服务数字证书系列标准规范的编制工作。本规范为国家密码管理局编制的电子认证服务系列标准规范之一，以保障在电子政务业务活动中，不同认证机构签发的数字证书格式的统一性和互认性。本规范根据电子政务业务的特点进行了细化，规定了电子政务个人证书、电子政务机构证书、电子政务设备证书、电子政务代码签名证书的格式，制定了相应的数字证书格式的模板。本规范规定的电子政务数字证书格式支持双证书体系。在本规范实施过程中，应遵守国家有关法律、法规的规定。1电子政务数字证书格式规范1范围本规范定义了电子政务数字证书的基本结构，描述了数字证书中的各项数据内容，规范了证书扩展域，增加了满足国内电子政务应用需求的部分扩展项，并以电子政务数字证书基本结构为基础，定义了电子政务活动中个人、机构、设备、代码签名等不同类型数字证书的详细格式。本规范适用于电子政务电子认证服务机构、数字证书认证系统的研制单位以及基于数字证书的安全应用开发单位。2规范性引用文件下列文件中的条款通过本规范的引用而成为本规范的条款。凡是注明日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本规范，凡是未注明日期的引用文件，其最新版本适用于本规范。GB/T20518-2006信息安全技术公钥基础设施数字证书格式GB/T16262.1-2006抽象语法记法一(ASN.1)第1部分:基本记法规范(ISO/IEC8824-1:2002,IDT)GB/T16262.2-2006抽象语法记法一(ASN.1)第2部分:客体信息规范(ISO/IEC8824-2:2002,IDT)GB/T16262.3-2006抽象语法记法一(ASN.1)第3部分:约束规范(ISO/IEC8824-3:2002,IDT)GB/T16262.4-2006抽象语法记法一(ASN.1)第4部分:ASN.1规范的参数化(ISO/IEC8824-4:2002,IDT)GB/T16264.8-2005信息技术开放系统互联目录第8部分:公钥和属性证书框架(ISO/IEC9594-8:2001,IDT)ISO/IEC9594-2:2001信息技术开放系统互联目录第2部分:模型GB/T17969.1-2000信息技术开放系统互联OSI登记机构的操作规程第1部分:一般规程(eqvISO/IEC9834-1:1993)GB/T11714-1997全国组织机构代码编码规则GB/T16284.4-1996信息技术文本通信面向信报的文本交换系统第4部分:抽象服务定义和规程(IDTISO/IET10021-4:1990)GB12403-1990干部职务名称代码GB8561-1988专业技术职务代码3术语和定义以下术语和定义适用于本规范。3.1公钥基础设施publickeyinfrastructure支持公钥管理体制的基础设施，提供鉴别、加密、完整性和不可否认性服务。23.2数字证书digitalcertificate由证书认证机构签名的包含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及一些扩展信息的数字文件。3.3证书撤销列表certificaterevocationlist一个已标识的列表，它指定了一套证书发布者认为无效的证书。除了普通CRL外，还定义了一些特殊的CRL类型用于覆盖特殊领域的CRL。3.4证书序列号certificateserialnumber为每个证书分配的唯一整数值，在CA颁发的证书范围内，此整数值与该CA所颁发的证书相关联并一一对应。3.5电子认证服务机构electroniccertificationserviceprovider负责创建和分配证书，被用户信任的权威机构。用户可以选择该机构为其创建密钥。3.6证书撤销列表分布点CRLdistributionpoint一个CRL目录项或其他CRL分发源，由CRL分布点分发的CRL可以包括仅对某CA所发证书全集某个子集的撤销条目，或者可以包括有多个CA的撤销条目。4符号和缩略语下列缩略语适用于本规范：ASN抽象语法表示法（AbstractSyntaxNotation）BER基本编码规则（BasicEncodingRules）C国家（Country）CA认证机构（CertificateAuthority）CN通用名（CommonName）CRL证书撤销列表（CertificateRevocationList）DER可区分编码规则（DistinguishedEncodingRules）DIT目录信息树（DirectoryInformationTree）DN可辨别名（DistinguishedName）O机构（Organization）OID对象标识符（OBJECTIDENTIFIER）OU机构单位（OrganizationUnit）PKI公钥基础设施（PublicKeyInfrastructure）35电子政务数字证书格式5.1电子政务数字证书基本格式5.1.1数据结构电子政务数字证书由基本证书域（TBSCertificate）、签名算法域（SignatureAlgorithm）和签名值域（SignatureValue）三部分组成。数据结构如下：Certificate::=SEQUENCE{tbsCertificateTBSCertificate,signatureAlgorithmAlgorithmIdentifier,signatureValueBITSTRING}TBSCertificate::=SEQUENCE{version[0]EXPLICITVersionDEFAUTv1,serialNumberCertificateSerialNumber,signatureAlgorithmIdentifier,issuerName,validityValidity,subjectName,subjectPublicKeyInfoSubjectPublic