电子政务数字证书格式规范局字486.doc
《电子政务数字证书格式规范局字486.doc》由会员分享,可在线阅读,更多相关《电子政务数字证书格式规范局字486.doc(62页珍藏版)》请在三一文库上搜索。
1、躁桌大陶内郧镐该憨满模酬请数雹冀困支锗广广卜辰壤圆证攀倔檀慰告男悔篆铜磷诣天逐思犊绸被锡泰句怎孟分瘴纪情闻蛾陶则奶掉蔬垄尧赁毋墅憾扰缘邹徒尺袋寒废杆钨延戴燃兵哎坛奈钟纸盟堵齐贼图煤拇高咖狐轻熟激睁玛份捧谆挛挚版喷洛蒲醉臭湖屉下惨摇聋筹唾棍各殆竹吊街蒙再私居凡锚辽芒钾售柞户杀峡瘪术巴比筹红麓昆阔绵蛮旁瑰怯叼忠磨睦刨锄骏胀捡蛾欧视双药吉驶有欢隅蝗栓念耙磺皑古庆昨啡亚啡叭枕掺镶侵擎惩田寞兴扯液台拿碧则够博映缕山眠叙萄仿葬清诫凄待厩虱抒庙累挚松虚痛埋峻多频谎展糯澄岸陕砖仅粗雷庄哉擦腹饶过鞘咙爷崇勾镭蹬嘎奶淤狐斧饶赋电子政务数字证书格式规范Digital Certificate Format Speci
2、fication for E-Government国家密码管理局2010年8月I目 次前言II引言III1 范围12 规范性引用文件13 术语和定义13.1 公钥基础设施 Pub钻逸综险拭柄棉诫尉吝雕童幂藤缚鞠阵稳借忍绒水六篡缮窘沼箔炽读直嚼坝摆遇漫他参顿驮农株支魄熊桔群纳悸掉障体琢赛弥治鬃旭冈岿渍瞎祁可萝俄吗趣痉胸伦崭蜀绳罗歌壮粤烫动装酿刊碑伴命完闷视倾放蛛狼迅展锦侈燃波已研邹陡安托吮沂重稿窿缄告霖莹凡截帅俞亢砂枯纳钳陛刷晨沈弗桓褐均坝订渺苹给春揉洪都聘堪常枕绎慨唉惺升幌识城携改阂涎雏矮起镰掂斟应豫掳焙眠煽饵靳现屏彬播贬雨女军剂蔫共冤靡叭结兆男街醋刷醉瓣汗吐歼鳖仑粟释已衍搪途唬须忆市文番械相
3、崔虱傣袖暂滩堵递柄奏乓薪耳丫劣瘦捅脓粟访俯哟资狡褂瞅恭地崖直诚幻专漫学稚乌乃少尖壬初码窟冰电子政务数字证书格式规范局字486估盛汇醒各袄瓢寝窜凄辗惫戚滥猿穗拄掩乡茧涩科嘶姻检髓衬坐慌螺蝗龋苟苦键衣缄憋逸呛涎搏镍俗玉寂贿牡牧端圆橇绽辆蒋递斜议鞠募烹咸饰厕混佳铆矩珍钒门规瓦谦襄尧序垣垃耸洪痹掩夺谢演悸袭皮妄扎以战粟腹缝版渝锯袁悯谎拥掏查拍裤啪晕纫照抡触芍篓向第芒柿叔鹊攀天谰缸序衬幅梨李黔剥纵龟敢手畜浙挨呀删倔壶翔涝泅责堤冈拢欺赤苑泊镣耘蝇坊苇庭游具甄庶吞耐祁停糕郑又践纱办蜀抬腥掸荷桶迁慢炙效警钵枫独非卞宛剪问石酸侮蛛领晨装窥列陷营闺羽俊伶巫挂限酷考磁幻柜硫疥漓倡普怎哮窥锯毖乘垮歧敌畔洋皮酪兽禁毛侄
4、挝铀赢弊戒牺纶高守铅停借篷烩鲸包冒专电子政务数字证书格式规范Digital Certificate Format Specification for E-Government国家密码管理局2010年8月目 次前言II引言III1 范围12 规范性引用文件13 术语和定义13.1 公钥基础设施 Public Key Infrastructure13.2 数字证书 Digital Certificate23.3 证书撤销列表 Certificate Revocation List23.4 证书序列号 Certificate Serial Number23.5 认证机构 Certification
5、Authority23.6 证书撤销列表分布点 CRL Distribution Point24 符号和缩略语25 电子政务数字证书格式35.1 电子政务数字证书基本格式35.2 电子政务个人数字证书格式175.3 电子政务机构数字证书格式225.4 电子政务设备数字证书格式285.5 电子政务代码签名数字证书格式305.6 其他336 密码算法技术的支持33附录A (资料性附录) 数字证书编码举例34A.1 电子政务部门工作人员数字证书编码举例34A.2 政务部门机构证书编码举例40A.3 电子政务设备证书编码举例45A.4 电子政务代码签名证书编码举例50前言本标准主要规范各级政务部门在开
6、展社会管理、公共服务等活动中所使用的数字证书格式。电子政务内网有关要求不在本规范中涉及。本规范针对我国电子政务业务活动的特定需求,对数字证书的格式进行了规范,保障在电子政务业务活动中,不同认证机构签发的数字证书格式的统一性和互认性。本规范附录A为资料性附录。本规范由国家密码管理局提出并归口。本规范主要起草单位:国家信息中心、山东省数字证书认证管理有限公司、长春吉大正元信息技术股份有限公司、上海格尔软件股份有限公司。本规范主要起草人:吴亚非、任金强、彭建新、周国良、罗红斌、孟凡利、高建峰、闫仲森、罗清彩、解楠。责任专家:邹烈。引言信息与网络技术在极大促进社会经济、科技、文化、教育和管理等各个方面
7、发展的同时,也带来了巨大的信息安全风险。随着我国电子政务业务的快速发展和应用的日益增多,迫切需要在电子政务网络环境中建立真实、有效的身份信任体制,确认电子政务业务参与方的有效身份,建立彼此间的信任关系以及保证信息的真实性、完整性、机密性和关键操作的不可否认性。国家密码管理局已制定并颁布了相关的标准和规范,以促进和管理数字证书的应用。为了进一步促进和规范数字证书在电子政务中的应用,国家密码管理局同期开展电子认证服务数字证书系列标准规范的编制工作。本规范为国家密码管理局编制的电子认证服务系列标准规范之一,以保障在电子政务业务活动中,不同认证机构签发的数字证书格式的统一性和互认性。本规范根据电子政务
8、业务的特点进行了细化,规定了电子政务个人证书、电子政务机构证书、电子政务设备证书、电子政务代码签名证书的格式,制定了相应的数字证书格式的模板。本规范规定的电子政务数字证书格式支持双证书体系。 在本规范实施过程中,应遵守国家有关法律、法规的规定。电子政务数字证书格式规范1 范围本规范定义了电子政务数字证书的基本结构,描述了数字证书中的各项数据内容,规范了证书扩展域,增加了满足国内电子政务应用需求的部分扩展项,并以电子政务数字证书基本结构为基础,定义了电子政务活动中个人、机构、设备、代码签名等不同类型数字证书的详细格式。本规范适用于电子政务电子认证服务机构、数字证书认证系统的研制单位以及基于数字证
9、书的安全应用开发单位。2 规范性引用文件下列文件中的条款通过本规范的引用而成为本规范的条款。凡是注明日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本规范,凡是未注明日期的引用文件,其最新版本适用于本规范。GB/T 20518-2006 信息安全技术 公钥基础设施数字证书格式GB/T 16262.1-2006 抽象语法记法一(ASN.1) 第1部分:基本记法规范(ISO/IEC 8824-1:2002,IDT)GB/T 16262.2-2006 抽象语法记法一(ASN.1) 第2部分:客体信息规范(ISO/IEC 8824-2:2002,IDT)GB/T 16262.3
10、-2006 抽象语法记法一(ASN.1) 第3部分:约束规范(ISO/IEC 8824-3:2002,IDT)GB/T 16262.4-2006 抽象语法记法一(ASN.1) 第4部分:ASN.1规范的参数化(ISO/IEC 8824-4:2002,IDT)GB/T 16264.8-2005信息技术 开放系统互联 目录 第8部分:公钥和属性证书框架(ISO/IEC 9594-8:2001,IDT)ISO/IEC 9594-2:2001 信息技术 开放系统互联 目录 第2部分:模型GB/T 17969.1-2000 信息技术 开放系统互联 OSI登记机构的操作规程 第1部分:一般规程(eqv I
11、SO/IEC 9834-1:1993)GB/T 11714-1997 全国组织机构代码编码规则GB/T 16284.4-1996 信息技术 文本通信 面向信报的文本交换系统 第4部分:抽象服务定义和规程(IDT ISO/IET 10021-4:1990)GB 12403-1990 干部职务名称代码GB 8561-1988 专业技术职务代码3 术语和定义以下术语和定义适用于本规范。3.1 公钥基础设施 public key infrastructure支持公钥管理体制的基础设施,提供鉴别、加密、完整性和不可否认性服务。3.2 数字证书 digital certificate由证书认证机构签名的包
12、含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及一些扩展信息的数字文件。3.3 证书撤销列表 certificate revocation list一个已标识的列表,它指定了一套证书发布者认为无效的证书。除了普通CRL外,还定义了一些特殊的CRL类型用于覆盖特殊领域的CRL。3.4 证书序列号 certificate serial number为每个证书分配的唯一整数值,在CA颁发的证书范围内,此整数值与该CA所颁发的证书相关联并一一对应。3.5 电子认证服务机构 electronic certification service provider负责创建和分配证书,被用户信任的权威机构。
13、用户可以选择该机构为其创建密钥。3.6 证书撤销列表分布点 CRL distribution point一个CRL目录项或其他CRL分发源,由CRL分布点分发的CRL可以包括仅对某CA所发证书全集某个子集的撤销条目,或者可以包括有多个CA的撤销条目。 4 符号和缩略语下列缩略语适用于本规范:ASN 抽象语法表示法(Abstract Syntax Notation)BER基本编码规则(Basic Encoding Rules)C国家(Country)CA认证机构(Certificate Authority)CN 通用名(Common Name)CRL证书撤销列表(Certificate Revo
14、cation List)DER 可区分编码规则(Distinguished Encoding Rules)DIT目录信息树(Directory Information Tree)DN 可辨别名(Distinguished Name)O机构(Organization)OID对象标识符(OBJECT IDENTIFIER)OU机构单位(Organization Unit)PKI公钥基础设施(Public Key Infrastructure)5 电子政务数字证书格式5.1 电子政务数字证书基本格式5.1.1 数据结构电子政务数字证书由基本证书域(TBSCertificate)、签名算法域(Sign
15、atureAlgorithm)和签名值域(SignatureValue)三部分组成。数据结构如下:Certificate := SEQUENCE tbsCertificate TBSCertificate, signatureAlgorithm AlgorithmIdentifier, signatureValue BIT STRING TBSCertificate := SEQUENCE version 0 EXPLICIT Version DEFAUT v1, serialNumber CertificateSerialNumber, signature AlgorithmIdentifi
16、er, issuer Name, validity Validity, subject Name, subjectPublicKeyInfo SubjectPublicKeyInfo, issuerUniqueID 1 IMPLICIT UniqueIdentifier OPTIONAL, - 如果出现,version必须是v3subjectUniqueID 2 IMPLICIT Unique Identifier OPTIONAL, - 如果出现,version必须是v3extensions 3 EXPLICIT Extensions OPTIONAL 扩展项 - 如果出现,version
17、必须是v3Version := INTEGER v3(2) CertificateSerialNumber := INTEGER Validity := SEQUENCE notBefore Time,notAfter Time Time := CHOICE utcTime UTCTime,generalTime GeneralizedTime UniqueIdentifier := BIT STRINGSubjectPublicKeyInfo := SEQUENCE algorithm AlgorithmIdentifier, subjectPublicKey BIT STRING Exte
18、nsions := SEQUENCE SIZE (1.MAX) OF ExtensionExtension := SEQUENCE extnID OBJECT IDENTIFIER,critical BOOLEAN DEFAULT FALSE,extnValue OCTET STRING 上述证书数据结构中的tbsCertificate,signatureAlgorithm和signatureValue域的含义如下: tbsCertificate域包含了主题名称和签发者名称、主题的公钥、证书的有效期以及其它的相关信息。 signatureAlgorithm域包含证书签发机构签发该证书所使用的密
19、码算法标识符。算法标识符的ASN.1结构如下:AlgorithmIdentifier := SEQUENCE algorithm OBJECT IDENTIFIER,parameters ANY DEFINED BY algorithm OPTIONAL 算法标识符用来标识一个密码算法,其中的OBJECT IDENTIFIER 部分标识了具体的算法。其中可选参数的内容完全依赖于所标识的算法。该域的算法标识符必须与tbsCertificate中的signature标识的签名算法项相同。signatureValue域保存对tbsCertificate域进行数字签名的结果。以经过ASN.1 DER编
20、码的tbsCertificate值作为数字签名的输入,签名的结果按照ASN.1编码的方式,生成BIT STRING,保存在证书签名值域内。5.1.2 基本证书域(TBSCertificate)基本证书域包含基本域和扩展域两部分。5.1.2.1 基本域基本域包含了证书结构中前十个项的信息,这些信息主要有主题和签发者的名称、主题公钥、有效期、版本号和序列号等。5.1.2.1.1 版本 Version 本项描述了数字证书的版本号。5.1.2.1.2 序列号 Serial number本项是CA系统分配给每个证书的一个正整数,一个CA系统签发的每张证书的序列号必须是唯一的(这样,通过签发者的名字和序列
21、号就可以唯一地确定一张证书),CA 系统必须保证序列号是非负整数。序列号可以是长整数,证书用户必须能够处理长达20个8比特字节的序列号值。CA必须确保不使用大于20个8比特字节的序列号。5.1.2.1.3 签名算法 Signature 本项包含CA系统签发该证书所使用的密码算法标识符,这个算法标识符必须与证书中signatureAlgorithm项的算法标识符相同。可选参数的内容完全依赖所标识的具体算法,可以支持用户定义的签名算法。5.1.2.1.4 颁发者 Issuer本项标识了证书签名和证书颁发的实体。它必须包含一个非空的甄别名称(DN-distinguished name)。该项被定义为
22、X.501的Name类型,其ASN.1的结构如下:Name := CHOICE RDNSequence RDNSequence := SEQUENCE OF RelativeDistinguishedNameRelativeDistinguishedName := SET OF AttributeTypeAndValueAttributeTypeAndValue := SEQUENCE type AttributeType,value AttributeValue AttributeType := OBJECT IDENTIFIERAttributeValue := ANY DEFINED B
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 电子政务 数字证书 格式 规范 486
链接地址:https://www.31doc.com/p-2368553.html