信息安全技术 公钥基础设施-电子认证机构标识编码规范.docx

ICS35.0401.80OB中华人民共和家标准GB/TXXXXX-XXXX信息安全技术公钥基础设施电子认证机构标识编码规范Intbrmationsecuritytechno1.ogy-pub1.ickeyJnfrastructures-Certificateauthenticationinstitutionidentityspecification在提交反馈意见时，请将您知道的相关专利连同支持性文件一并附上（送审稿）（本稿完成日期：2013年1月9日）XXXX-XX-XX实施XXXX-XX-XX发布中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会1楚国本标准确立了电子认证机构标识代码编制规范的一般原则.在祭于PKI的应用系统中，统一的电子认证机构编码为建立全国性的CA目录食询提供了菸础条件。本规范提出了实现要求和编制规范规范，以满足PKI的安全互操作服务需求，2规葩性引用文件下列文件对于本文件的应用是必不Ur少的.凡足注日期的引用文件,仅注日期的版本适用于本文件.凡是不注H期的引用文件,其最新版本(包括所有的修改的)适用于本文件.GH/T16262.1-2006抽象语法记法一(ASN.D第1部分:基本记法规范GB/T18521地名分类与类别代码编制规则GB/T20518-2006信息安全技术公钥基础设施数字证书格式GB/T25069-2010信息安全技术术语3术语和定义GB/T25069-2010中界定的以及下列术谱和定义适用于本文件.电子认证机构ortifioatauthority负员创建和分配证书，受用户信任的权威机构。用户可以选择该机构为其创建密钥.3.2对St标识将objectidentifier系统赋予对象实体的唯一性数字化代码.用以标识对象的身份.4缩略语下列缩略语适用于本文件.CA电子认证机构(Cer1.ifiCa1.iOnAuthority)OID对就标识符(objectidentifier)PKI公翎基咄设施(PUb1.iCKeyInfrastructure)5CA代翦编制方法5.1 CA弧性分类与约定CA系统可从不同角度说明其特性：a） CA机构性质：指CR属于何种性质的电子认证机构，例如：电子政务内网Ch电子政务外MCA,公众服务CA、第三方服务CA、国际电子商务CA、行业(X地区CA、企业专用CA.特殊业务专用CA等.b） CA机构级别：指CA是哪一级的证书管理机构。例如根CAx一级Ch:级CA,代理CA等.c） CA系统型号：指CR与KMC的联结类型。包括CA与KMC分立里和CA与KMC联结Shd） CR机构所在地:指CA的所在地.包括省会、直辖巾、单列巾、普通城市等.。）CA机构编号：全国眼序编号或CA在所属省（市）地区的顺序号.f）CA的名称缩写：本规范定义，取1-5位英文缩写字母标识CA的名称，K）CA的名称全称：ttiCA机构的注册名称。对CA进行代码斓写时,可以考虑其上述特性.其中a）、b）、c）、d）、e）为必选项,f）、g）为可选项.利用CA的特性区分不同的CA.5.2CA代码的标识项本规范定义CA代眄标识项包括五个部分：性质、级别、类型、地区、在本地区的顺序弟号,共16个字节.XXXXXXXXXXXXXXXXI预留标识CA机构顺序号CA机构所在地CA类型CA机构级别CA机构性质a） CA机构性质：第1-2位定义：电子政务外网类CA服务系统2X，例如：电子政务外网办公CA服务系统（20）,电子政务外网公众CA眼务系统（21；行业类CA服务系统（3X，第三方类CAI我务系统（4×>.地区类CA服务系统（50>,其余行未定义。（这里仅给出一些参考实例：多种类服务系统（60,商业类CA服务系统（70）,企业类CR.服务系统（80）.）b） CA机构徼别：第3位，记为O,I,2,3,4,5,6,7,8,9.根CA<0>,-CA（1>,.CA（2）,依次类推。c） CA类型：第4位，即为1.2两类.CA与KMC分立型（1）.CA与KMC联结型（2）.d） CA机构所在地：第5-8位，以省级（自治区、克辖市）地区为基本点进行所在地编码.省区地址采用国家关于省区编码标准的前2位数字，编码范围为1182。如表1所示。«1GA曾锻地区代码赛名称代码名称代码北京市11湖南省43天津市12广东省,河北省13广西壮族自治区15山西省14海南省46内蒙古自治区15重庆市50辽宁省21四川省51吉林省22贵州省52黑龙江省23云两省53上海市31西藏自治区54江苏省3：!陕西省61浙江省33甘肃省62安徽省34育海省63福建省35宁夏回族自治区61江西省36新疆维哥尔自治区65山东省37台湾省71河南省41香港特别行政区81湖北省12澳门特别行政区82e） CA机构顺序号；第9T2位，表示各个CA在木地区的顺序号，可记为OOoo到9999,CA地序编号以所在地的省缎为编号单位见GB/T18521.一个端号时应唯一的CA机构.本标准推券以省级为单位顺序第号.D预留标识：第13T6位，作为预留编码，不具体定义时为OCOO.部分编码案例参见附录C。5.3CA代码描述项a) CA名称：指该CA被批准的名称全称：b) CA名称简称：指该CA被批准的名称(依据现行惯例)以其英文的缩写字母或汉语拼音缩写字母表示取45个字符。例如：中国电信CA可记做CTCA,中国金融CA可记做CFCA,中国电子口岸CA可记CECA,北京CA可记做BjCR.颠信CA可记做YXCA.天峨诚信CA可记做TCCA,中国税务CA可记做CTXcA等：c) CA产品*指该CA通过国家相关制CiS行安全性审杳后，颁发给该CA的产品号；d) CA机构运营证号：指该CA运计机构通过国家相关部门认Ur后，颁发的运营许可证号；在CR代码标识中,CA代码的描述项可采取目录表方式,存在根CA目录服务中,提供系统查询使用,也可作为代码的附注，发布于目录服务器.6CA代码应用数据结构6.1 数字证书中CA代码定义为保证证书的通用性以及一般假例，本规范把CA代码项定义在GB/T20518-2006数字证书的私有In1.er1.wI扩展中,证书扩展项的定义如下：Extension:=SEQUENCE,'extnIDOBJECTIDENTIFIERcritica1.BOO1.EANDEFAU1.TFA1.SEextnVa1.uoOCTETSTRING具体描述如下：a)extn1.1.)定义extnID是OID标忐符：id-caDataOBJECTIDENTIFIER:=Hso(1)member-body2cn(156)ncb(10197)ca(4)oid(3).CA代码的OID应符合GB/T205182006证书扩展域“1.2.156.10197”葩i.根据目前的定义顺序,拟定义CA代码的O1.D为-1.2.156.10197.4.3".b) Cri1.iCa1.定义CriIiCa1.为关键项标志，这里取非关键项。c) extnVa1.ue定义CXtnVaIuc指实际定义的CA代码J犯该代码项具体由CnIMta结构发述，是CA代码数据结构定义，为了便于扩展和直观展现CA代码，定义CA代码项的数据结构；CA数据内容类型应具有GB/T16262.1-2006类型的CaData：CnData:=SEQUENCECaCOdeCACodeJCACode:=SEQUENCE(Fathei-CA0IMP1.ICITOCTETSTRINGOPTIONA1.OwnerCA1IMP1.ICITOCTETSTRINGQwnerCAName2I1.1.ICITPrintab1.eStringOPTIONA1.其中FatherCA为上级(父)CA代码,为可选一.(WnerCA为本CA的代码，为必选项.OWnerCAXame为本CA的英文或汉语拼音缩写名字，为可选项，如CFchCTCA,扩展项CA代码定义则如下：Extension:=SEQUENCEtextnIDid-caDatacritica1.FA1.SECaCadaCaData)6 2CA代码数据结构DER编解码示例由CB/T16262.1-2006的OID确玛一节的方法，应用需要将点分形式的CAOIDu1.2.156.10197.4.3"转换为证书中的DER娘叫方式：2a56Ob0707.那么CA代码(HD的先整编码就是：06()72a81Iccf550403.下面假设这样的数据：父CA代码”43114,100oOo100oo”,本CA代码F312的OooOI20000”，本CA名称-MCA",那么让甘中私有扩展项中这样编码：303706072a81Iccf550403042c302a81Ia34333131343430303030303130303030/13111-10000010000821.a34333132343430303030313230303030/43124400001200008304I1.414341/ACA其中商用密码领域中的相关QID定义见附录B,7 CA代码管理机制7.1 CA代码管理机构国家根CA管理机构鱼贵对CA代码的编制、审批、分配发布、撤销等管理工作。7.2 CA代码的申请与审批7.2.1代码申请HICA建设单位向代科管理机构申请本CA代码。代码申请需在该CA安全性审查之前完成.7.2.2代码审批代码管理机构在接到申请后，需依据国家规定和政策，实施审批。审批期限不应超过三个月.7.2.3代码发布经过国家审批的CA代码应及时通过国案或地区目录服务器发布，并镜像给其他相关目录服务系统。7.2.4代码撤俏停止运营的CA、机构合并的CA机构或该CA系统实际上不能发挥作用时，管埋机构可撤销其代码，并向相应目录服务系统发布，7.2.5代码查询国家或地区目录服务系统可为整个系统提供CA代码查询服务.查询协议采用国家IDAP协议标准.查询地址为国家根CA机构(1.2.156.10197.4.3).8CA代码在目录服务器中的表述id-caDataOBJECTIDENTIFIER:=(iso(1)member-body(2)cn(156)ncb(10197)ca(4)oid(3)CA数据内容类型应具有GB/T16262.12006类型的Cmata：Ca1.>ata:=SEQUENCECaCOdeCACodc)CACode:二SEQUENCE(FatherCAOwnerCAOwnerCANameOwnerCARoa1.NameQwnerCATypeNumberQwrierCARvgNumbvr)toIMP1.ICITOCTETSTRINGOPTIONA1.1 IMP1.ICITOCTETSTRING2 IMP1.ICITPrintab1.eStringOPTIONA1.3 IMP1.ICITPrintab1.eStringOPTIONA1.1.1IMP1.ICITPrintab1.eStringOPTIONA1.5IMP1.ICITPrintab1.eStringOPTIONA1.其中FatherCA为上级（父）CA代码.OWnerCA为本CA的代码。QwncrCANanie为本CA的名字如CFCA,CTCAoO1.merCAReaIgme为本CR的实名,如北京数字证书认证系统.Ownei-CATypeNumher为国家密码管理局批红的本CA的产品型号.QwnerCARegNuiiber为国家工业和信息化产业部批准的运营号。CA机构代码在目录服务器中的格式内容参见附录A和附录D.顶饭记录的区分名(dn),是目录树的极祖银(o),赋值为HbjCaorg”对象的对象类，定义为I。P对象的标识码对象的类型,这里是组织对望一个机构的代码，标识北京CA的代码组织的名字缩写通用名称城市或地埋区域名字电子信篇地址国索密码管理局批准的型号中华人民共和国工业和信息化相颁发的运营准许证号带有所在的国家的代码的电话号码本CA的公钥Pk(S1.M2_ECC256)根CAX扑k的数字签名母语采用汉语附录A(资料性附录)CA机构代码在目录服务器中的文本条目格式A.1说明1.DIF用文本格式表示目录数据库的信息.以方便用户创建、阅读和修改.在1.DIF文件中.一个条目的基本格式如下：»注糅dn:条目名属性描述：值属性描述：(ft同性描述：(ftdn行类似干关系数据库中一条记录的关犍字不能与其他dn重复.一个U)IF文件中可以包含多个条目每个条目之间用一个空行分隔,本例中Idap默认是用的Berke1.eyDB数据库存储目录数据.A.21.im1.X下的一个Idif文件1.inUXCa.Orgjdif新建一个IdIf(U)APDataInterchangedForma1.)文件(纯文本格式)举例。dn:o=6011H01.orgo:bjca.orgObjcctcIass:topobjcctc1.ass:dcobjectobjectc1.ass:organizationde：60111101o:BJCAcn：北京数字证书认证系统I：北京市海淀区mai1.：BI11.I)1>RHSStypenumber:TYPENUMBERregnuer:REGISTRATIONN1.MBERte1.Ntmber：8662951234PkiPUB1.ICKEYSix=SIGNATUREpreferredIHngUage:ch11附录B（规登性附录）商用密码领域中的相关OID定义对象标识符O1.D对象标识符定义番注通用对象标识符1.2国际标准化出织成员标识1.2.156中国1.2.156.197国家密码管理局1.2.156.10197国家南码标准技术委员会1.2.156.10197.1密码算法分组密码匏法对缴标识符1.2.156.10197.1.100分组密码算法I.2.156.I0I97.1.I0ISM6分组雷码算法I.2.I56,I0I97.1.I02SM1.分俎密码算法I.2.156.I0I97.I.103SSF33密码算法I.2.156.I0I97.1.I04SM4分组密码算法1.2.156.10197.1.105SM7分加密码算法I.2.156.I0I97.I.106SM8分组击码算法序列密码算法对象标识符1.2.156.10197.1.200序列密码算法1.2.156.10197.1.201SMS序列密码算法公钥密码算法对象标识符1.2.156.10197.1.300公钥密码算法1.2.156.10197.1.301SM2桶B1.1.曲线密码算法1.2.156.10197.1.301.1SM2-1椭用曲线数字签名算法1.2.156.10197.1.301.2SM2-2椭网曲线密包交换协议1.2.156.10197.1.301.3SM2-3帏冏曲线加密算法ECe椭网曲线密码算法ECC椭圆曲纹1.2.156.10197.1.302SM9标识密码算法1.2.156.10197.1.302.1SM9-1数字签名算法I.2.I56.1O197.1.3O2.2SM9-2密钥交换协议1.2.156.10197.1.302.3SM9-3密的封装机制和公用加密算法RSA密码算法*杂凑算法对象标识符I.2.I56.IOI97.I.4杂凑算法1.2.156.10197.1.401SM3梏码杂凑究法1.2.156.10197.1.401.1SM3密码杂凑算法,无密钥使用1.2.156.10197.1.401.2SM3密码杂掺算法，有密物使用SHA匏法*SHA有密钥*SHA_256算法”SHA-256无密的“SHA-256有密Va组合运算豫法对象标识符1.2.156.10197.1.500组合运算机制1.2.I56.I0197.I.50I基于SM2算法和SM3算法的签名1.2.156.10197.1.502基于SM2算法和SHA-I第法的签名1.2.I56.1OI97.1.5O3施于SM2算法和SH.256算法的签名1.2.156.10197.1.504基于RsA算法和SM3算法的鸵名基于RSA算法和SHA.!算法的签名*用于RSA算法和SIIA-256算法的签名CA代码对象标识符1.2.156.10197.4.3CA代眄标准体系对象标识符1.2.156.10197.6标准体系公钥密码基础设施应用技术标准体系1.2.156.10197.6.1基础类1.2.156.10197.6.1.1算法类1.2.156.10197.6.1.2标识类1.2.156,10197.6.1.3工作模式1.2.156.10197.6.1.4安全机制1.2.I56.I0I97.6.I.4.ISM2密码使用规范1.2.156.10197.6.1.4.2SM2加密签名消.&沿法规位1.2.156.10197.6.2设备类1.2.156.10197.6.3服务类1.2.156.10197.6.4基础设施1.2.156.10197.6.5检测类1.2.156.10197.6.6管理类注c帝豪项&小该项采用国际通用标识符.本匪徒不再另行定义.附录C（资料性附录）部分CA编码示例CA名称性质级别类型地址编号编码名称简称北京CA60111101米6011110000010000BJCA天威诚佶CAIO11H(M*Ioiii100ooowoooTWCCA颐佶CA40111105*4011110(X)0050(X)0YXCA金融CR30111103*3011110000030000CFeA电子口岸CA30111102*3011110000020000CECA上海CA601131016011310000010000S1.ICA天津CA501112015011120000010000TJCA里庆CA601150016011500000010000CQCA占林CR501122015011220000010000J1.CA辽宁CA6011210150112100000100001.NCA黑龙江CA23H1.JCA河北CA501113015011130000010000HBCA山西CA501114015011140000010000SXCA内蒙CA215!C山东CA501137015011370000010000SDCA江苏CA501132015011320000010000JSCA浙江CA501133015011330000010000ZJCA福建CR501135015011350000010000FJCA安徽CR501134015011310000010000AHCA江西CR501136015011360000010000JXCA河南CA501141015011410000010000HO湖北CA501142015011420000010000H1.BCAIO湖南CR501143015011430000010000II1.rNCA广东CA501144015011440000010000GDCA广西CR501145015011150000010000GXCA海南CA,16HANCAI3JCA51SCCA贵州CR501152015011520000010000GZCA云南CA501153015011530000010000YNCA西部（宁夏）C6011&1016011640000010000XBCA陕西CASO1161015011610000010000SHXcA甘CA501162015011620000010000GSCA新一CA501165015011650000010000XJcA青海CA63QHCA西藏CR54XZCA注：带*并为哲定JI1.附录D（资料性附录）DER箱码中T1.V规则DER编码中最常见的数据格式是T1.V,即数据类型、长度、值.其中的T是TAG首字母,1.是1.ength的首字母，V是Va1.ue的首字母.C1.原始标志符最原始的类型标识符<TAG）有；类型16进制标记数Integer02BITSTRING03OCTETSTRINGO1.NU1.1.（参数）05OBJECTIDENTIFIER06SEQUENCE&SEQUENCEOF10SETANDSETOF11Printab1.eString13T61String141.A5String16irTCTie17BMPStringIEC2长度侑标识符长度值标识符与类型标识符一起使用，表示类型内容的字节长度。当内容字节长度XW127时，直接用一个字节表示长度值：当127<X<256时用81+一个字节的长度值：当2550X65536时,用82+两个字节的长度依：当数据长度大于65536时，用84+四个字节的长度伯（现实中四字节奏示长度已足幡.如：“020502780002RF"其中02为整形标识符，05为长度，02780002DF为实际整数。-308188”其中30为段落标识符.81表示长度>127,且取一个字节.做氏度值.88为长度值8X16+8=129个字节.“3082020C"其中82表示长度值取2个字节，即。2X256+12=524字节。C3VfI1.Ue编码正整数（ft端码方式：当这个整数的首字节最高位为1时,偌要在这个整数前面再加一字节00.以区别负数.示例如下：整形值涮码0020100127020!7F1280202008025602020100比特型数值涮码方式：TRG+1.en1.h+一字节无效比特数+Va1.ue,这里的长度1.enKIh应等于VHIUe的实际长度加一.示例：Bit数是“10101000”03020288其中只有前六个Bit有效030200a8所有Bi1.都有效其它数值的箱码方式都遵循TAG+1.ength+Ya1.ue的最基本格式。C1.DiP1.1.CIT关键词说明IMP1.1.C1.T关键词的出现意味罚其后面数据的TAG值要作相应修改.本文中CA编码数据结构中就有这个关城词,而且还有上下文相关标志0.1，2,这样定义好处有二：一是数据简短.二是表达清楚.原来的OcTETSTR1.NC的TAG值是“04”被换成组合TAG,即上下文相关攻加应用型“81”等.信息安全技术公钥基础设施电子认证机构标识编码规范信息安全技术公钥基础设施电子认证机构标识编码规范