保山市信息惠民工程综合标准第50部分：数字证书技术应用标准DB5305／T 19.50-2019.pdf_报告吧baogao8.com-

资源描述

I C S 3 5.2 4 0L 6 7DB5305保山市地方标准D B 5 3 0 5/T 1 9.5 0 2 0 1 9替代 D G 5 3 0 5/T 1 9.5 0 2 0 1 7保山市信息惠民工程综合标准第 5 0 部分:数字证书技术应用标准2 0 1 9-1 0-3 0 发布 2 0 1 9-1 1-0 1 实施保山市市场监督管理局发布D B 5 3 0 5/T 1 9.5 0 2 0 1 9前言本标准按照 G B/T 1.1 2 0 0 9 标准化工作导则第 1 部分：标准的结构和编写给出的规则起草。本标准中附录 A 为规范性附录、附录 B 为规范性附录、附录 C 为规范性附录、附录 D 为资料性附录、附录 E 为资料性附录、附录 F 为资料性附录、附录 G 为规范性附录、附录 H 为资料性附录、附录 I 为资料性附录。本标准由保山市大数据管理局提出。本标准由保山市工业和信息化委员会归口。本标准起草单位：保山市大数据管理局。本标准主要起草人：刘志胡、王明超、李祖燕、丁威、银孟璐。本标准替代 D G 5 3 0 5/T 1 9.5 0 2 0 1 7。D B 5 3 0 5/T 1 9.5 0 2 0 1 91保山市信息惠民工程综合标准第 5 0 部分数字证书技术应用标准1 范围本标准规定了保山市信息惠民工程数字证书技术应用规范的术语和定义、缩略语、数字证书格式、政务数字证书应用接口、政务数字证书业务规则，本标准适用于保山市信息惠民工程数字证书技术应用规范建设。2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。G B/T 1 6 2 8 4.4 信息技术文本通信面向信报的文本交换系统第 4 部分：抽象服务定义和规程G B/T 1 7 9 6 9.1 信息技术开放系统互连 O S I 登记机构的操作规程第 1 部分：一般规程D B 5 3 0 5/T 1 9.3-2 0 1 9 保山市信息惠民工程综合标准术语3 术语和定义D B 5 3 0 5/T 1 9.3-2 0 1 9 确立的以及下列术语和定义适用于本标准。3.1 公钥基础设施（P K I）公钥基础设施指支持公钥管理体制的基础设施，提供鉴别、加密、完整性和不可否认性服务。3.2 证书认证机构（C A）证书认证机构指负责创建和分配证书，受用户信任的权威机构。用户可以选择该机构为其创建密钥。3.3 证书注册机构（R A）证书注册机构是 C A 的组成部分，对证书申请的业务受理审核子系统概称为 R A，R A 按照 C A 制定的政策和管理规范对用户的资信进行审查，以决定是否为该用户发放证书。3.4 密钥管理中心（K M C）密钥管理中心主要负责数字证书用户密钥的生成和管理，解决系统密钥和数字证书用户密钥自产生到最终销毁的整个生命周期中的相关问题。3.5 在线证书状态协议（O C S P）在线证书状态协议是 I E T F 颁布的用于检查数字证书在某一时间是否有效的标准。3.6 依赖方依赖方即指依赖于证书真实性的实体。在电子签名应用中，即为电子签名依赖方。3.7 公钥证书D B 5 3 0 5/T 1 9.5 0 2 0 1 92公钥证书指用户的公钥连同其他信息，并由发布该证书的证书认证机构的私钥进行加密使其不可伪造。3.8 证书吊销列表(C R L)证书吊销列表是一种由证书签发者所认定的无效证书的清单。3.9 终端实体终端实体指不以签署证书为宗旨而使用其私钥的证书主体或者证书使用者。3.1 0 政务数字证书政务数字证书指用来标识电子政务参与方真实身份的数字证书，根据参与方的不同类别分为认证机构证书、政务个人证书、政务机构证书、政务设备证书、政务服务器证书、政务应用系统证书、政务代码签名证书。3.1 1 政务个人证书政务个人证书指颁发给参与电子政务的个人实体，用来唯一标识个人实体真实身份的数字证书。3.1 2 政务机构证书政务机构证书指颁发给参与电子政务的机构实体，用来唯一标识机构实体真实身份的数字证书。3.1 3 政务设备证书政务设备证书指颁发给参与电子政务的设备实体，用来唯一标识设备实体真实身份的数字证书。3.1 4 政务服务器证书政务服务器证书指颁发给参与电子政务的服务器实体，用来唯一标识服务器实体真实身份的数字证书。3.1 5 政务应用系统证书政务应用系统证书指颁发给参与电子政务的应用系统实体，用来唯一标识应用系统实体真实身份的数字证书。3.1 6 政务代码签名证书政务代码签名证书指颁发给参与电子政务的各类实体，用来对其所开发的代码进行代码签名的数字证书。4 缩略语下列缩略语适用于本标准。A S N：A b s t r a c t S y n t a x N o t a t i o n，抽象语法表示法 B A S E 6 4 设计用来把任意序列的 8 位字节描述为一种不易被人直接识别的形式 B E R：B a s i c E n c o d i n g R u l e s，基本编码规则 C：C o u n t r y，国家 C A：C e r t i f i c a t e A u t h o r i t y，证书认证机构 C N：C o m m o n N a m e，通用名 C R L：C e r t i f i c a t e R e v o c a t i o n L i s t，证书吊销列表 C S P：C r y p t o g r a p h i c S e r v i c e P r o v i d e r，加密服务提供者 D E R：D i s t i n g u i s h e d E n c o d i n g R u l e s，可区分编码规则D B 5 3 0 5/T 1 9.5 0 2 0 1 93 D N：D i s t i n g u i s h e d N a m e，甄别名 K M C：K e y M a n a g e m e n t C e n t r e，密钥管理中心 L D A P：L i g h t w e i g h t D i r e c t o r y A c c e s s P r o t o c o l，轻量级目录访问协议 O：O r g a n i z a t i o n，机构 O C S P：O n l i n e C e r t i f i c a t e S t a t u s P r o t o c o l，在线证书状态协议 O I D：O b j e c t I d e n t i f i e r，对象标识符 O U：O r g a n i z a t i o n U n i t，机构单位 P K C S：T h e P u b l i c-K e y C r y p t o g r a p h y S t a n d a r d，公钥密码使用标准 P K I：P u b l i c K e y I n f r a s t r u c t u r e，公钥基础设施 R A：R e g i s t r a t i o n A u t h o r i t y，证书注册机构5 数字证书格式5.1 政务数字证书通用格式5.1.1 基本结构政务数字证书的基本结构由三部分组成：基本证书域 T B S C e r t i f i c a t e、签名算法域S i g n a t u r e A l g o r i t h m、签名值域 S i g n a t u r e V a l u e。政务数字证书的基本结构见图 1 所示。图 1 政务数字证书的基本结构5.1.2 基本证书域基本证书域由基本域和扩展域组成,基本证书域的结构见图 2 所示。图 2 基本证书域的结构基本证书域基本域扩展域5.1.3 基本域基本域包括但不限于如下部分组成：基本域应符合附录 A 的规定。版本 V e r s i o n 序列号 S e r i a l N u m b e r 签名算法 S i g n a t u r e A l g o r i t h m基本证书域T B S C e r t i f i c a t e签名算法域S i g n a t u r e A l g o r i t h m签名值域S i g n a t u r e V a l u e政务数字证书基本结构D B 5 3 0 5/T 1 9.5 0 2 0 1 94 颁发者 I s s u e r 有效期 V a l i d i t y 主体 S u b j e c t 主体公钥信息 S u b j e c t P u b l i c K e y I n f o 颁发者唯一标识符 I s s u e r U n i q u e I D 主体唯一标识符 S u b j e c t U n i q u e I D5.1.4 扩展域5.1.4.1 政务数字证书扩展域政务数字证书可使用扩展域。政务数字证书扩展域可包含多项扩展项。每项扩展项由扩展类型、扩展关键度和扩展项值组成。政务数字证书可使用 I E T F R F C 3 2 8 0 中定义的包括但不限于如下证书扩展项：政务数字证书扩展域应符合附录 B.1 的规定。机构密钥标识符 A u t h o r i t y K e y I d e n t i f i e r 主体密钥标识符 S u b j e c t K e y I d e n t i f i e r 密钥用法 K e y U s a g e 扩展密钥用途 E x t e n d e d K e y U s a g e 私有密钥使用期 P r i v a t e K e y U s a g e P e r i o d 证书策略 C e r t i f i c a t e P o l i c i e s 策略映射 P o l i c y M a p p i n g s 主体替换名称 S u b j e c t A l t e r n a t i v e N a m e 颁发者替换名称 I s s u e r A l t e r n a t i v e N a m e 主体目录属性 S u b j e c t D i r e c t o r y A t t r i b u t e s 基本限制 B a s i c C o n s t r a i n t s 名称限制 N a m e C o n s t r a i n t s 策略限制 P o l i c y C o n s t r a i n t s 证书撤销列表分发点 C R L D i s t r i b u t i o n P o i n t s 限制任意策略 I n h i b i t A n y P o l i c y 最新证书撤销列表 F r e s h e s t C R L 机构信息访问 A u t h o r i t y I n f o r m a t i o n A c c e s s 主体信息访问 S u b j e c t I n f o r m a t i o n A c c e s s5.1.4.2 政务数字证书私有扩展项本标准还包括但不限于如下私有扩展项：个人身份证号码 I d e n t i f y C a r d N u m b e r 个人社会保险号 I n s u r a n c e N u m b e r 组织机构代码 O r g a n i z a t i o n C o d e 工商注册号 I C R e g i s t r a t i o n N u m b e r 税号 T a x a t i o n N u m b e r 主体银行基本账号 S u b j e c t B a s i c A c c o u n t5.1.5 签名算法域包含 C A 颁发该证书所使用的密码算法的标识符，应与基本证书域中的签名算法项所标识的签名算法相同。可选参数的内容完全依赖所标识的具体算法。5.1.6 签名值域包含对基本证书域进行数字签名的结果。经过 A S N.1 D E R 编码的基本证书域作为数字签名算法的输入，签名的结果按照 A S N.1 编码成 B I T S T R I N G 类型并保存在签名值域。5.1.7 命名规范5.1.7.1 主体D B 5 3 0 5/T 1 9.5 0 2 0 1 95政务数字证书中的主体 D N 应是 C=C N 命名空间下的 X.5 0 0 目录唯一名字。C（C o u n t r y）属性的编码使用 P r i n t a b l e S t r i n g，其它属性的编码使用 U T F 8 S t r i n g。主体的 X.5 0 0 D N 如下：C=C NS=L=O=O U=C N=具体含义如下：C（C o u n t r y）应为 C N，表示中国。S（S t a t e）应为证书主体所在省份。L（L o c a t i o n）应为证书主体所在市州。O（O r g a n i z a t i o n）应为证书主体所属单位的上一级单位的名称全称；O U（O r g a n i z a t i o n U n i t）应为证书主体或者证书主体所属单位的名称全称；C N（C o m m o n N a m e）中的内容包括但不限于 6 种：政务个人证书中应为证书主体的姓名；政务机构证书中应为证书主体单位的名称；政务设备证书中应为证书主体设备的设备编码；政务服务器证书中应为证书主体服务器的域名或 I P，宜为域名；政务应用系统证书中应为证书主体应用系统的应用系统编码；政务代码签名证书中应为负责人的姓名，或者是所属单位的名称。主体命名示例参见附录 D。5.1.7.2 主体替换名称政务数字证书的主体替换名称扩展项包含一个或多个替换名供实体使用，C A 把该实体与认证的公开密钥绑定在一起。主体替换名称扩展允许把附加身份加到证书的主体上。所定义的选项包括因特网电子邮件地址、D N S 名称、I P 地址和统一资源标识符（U R I），及纯本地定义的选项。此项定义包括但不限于：o t h e r N a m e 是按照 O T H E R-N a m e 信息客体类别实例定义的任一种形式的名称；r f c 8 2 2 N a m e 是按照 I n t e r n e t R F C 8 2 2 定义的 I n t e r n e t 电子邮件地址，政务个人证书、政务机构证书、政务设备证书、政务服务器证书、政务应用系统证书、政务代码签名证书宜包含电子邮件地址 E m a i l；D N S N a m e 是按照 R F C 1 0 3 4 定义的 I n t e r n e t 域名，政务设备证书、政务服务器证书、政务应用系统证书可包含域名地址；x 4 0 0 A d d r e s s 是按照 G B/T 1 6 2 8 4.4-1 9 9 6 定义的 O/R 地址；d i r e c t o r y N a m e 是按照 I S O/I E C 9 5 9 4-2:2 0 0 1 定义的目录名称；e d i P a r t y N a m e 是通信的电子数据交换双方之间商定的形式名称，n a m e A s s i g n e r 成分标识了分配 p a r t y N a m e 中唯一名称值的机构；u n i f o r m R e s o u r c e I d e n t i f i e r 是按 I n t e r n e t R F C 1 6 3 0 定义的用于 W W W 的U n i f o r m R e s o u r c e I d e n t i f e r，R F C 1 7 3 8 中定义的 U R L 语法和编码规则；i P A d d r e s s 是按照 I n t e r n e t R F C 7 9 1 定义的用二进制串表示的 I n t e r n e t P r o t o c o l 地址；r e g i s t e r e d I D 是按照 G B/T 1 7 9 6 9.1-2 0 0 0 对注册的客体分配的标识符。d i r e c t o r y N a m e 的 X.5 0 0 D N 应是 C=C N 命名空间下的 X.5 0 0 目录唯一名字。主体替换名称命名示例参见附录 E。5.1.8 政务数字证书编码示例政务数字证书编码参见附录 F。D B 5 3 0 5/T 1 9.5 0 2 0 1 965.2 认证机构证书格式5.2.1 概述认证机构证书为颁发给参与电子政务的证书认证机构的数字证书；认证机构证书简称电子政务 C A证书；认证机构证书由基本证书域、签名算法域和签名值域组成。5.2.2 认证机构证书基本证书域基本证书域由基本域和扩展域组成。5.2.3 认证机构证书基本域认证机构证书基本域应符合附录 A 的规定。5.2.4 认证机构证书扩展域C A 证书可包括但不限于如下扩展项：机构密钥标识符 A u t h o r i t y K e y I d e n t i f i e r 主体密钥标识符 S u b j e c t K e y I d e n t i f i e r 密钥用法 K e y U s a g e 扩展密钥用途 E x t e n d e d K e y U s a g e 私有密钥使用期 P r i v a t e K e y U s a g e P e r i o d 证书策略 C e r t i f i c a t e P o l i c i e s 策略映射 P o l i c y M a p p i n g s 主体替换名称 S u b j e c t A l t e r n a t i v e N a m e 颁发者替换名称 I s s u e r A l t e r n a t i v e N a m e 主体目录属性 S u b j e c t D i r e c t o r y A t t r i b u t e s 基本限制 B a s i c C o n s t r a i n t s 名称限制 N a m e C o n s t r a i n t s 策略限制 P o l i c y C o n s t r a i n t s 证书撤销列表分发点 C R L D i s t r i b u t i o n P o i n t s 限制任意策略 I n h i b i t A n y P o l i c y 最新证书撤销列表 F r e s h e s t C R L 机构信息访问 A u t h o r i t y I n f o r m a t i o n A c c e s s 主体信息访问 S u b j e c t I n f o r m a t i o n A c c e s s认证机构数字证书扩展域应符合附录 B.2 的规定。5.2.5 认证机构证书签名算法域认证机构证书签名算法域应符合 4.1.3 的规定。5.2.6 认证机构证书签名值域认证机构证书签名值域应符合 4.1.4 的规定。5.2.7 认证机构证书模板认证机构证书模板应符合附录 C 的规定。5.3 政务个人证书格式5.3.1 概述政务个人证书为颁发给参与电子政务的个人实体，用来唯一标识个人实体真实身份的数字证书。政务个人证书由基本证书域、签名算法域和签名值域组成。D B 5 3 0 5/T 1 9.5 0 2 0 1 975.3.2 政务个人证书基本证书域基本证书域由基本域和扩展域组成。5.3.3 政务个人证书基本域政务个人证书基本域应符合附录 A 的规定。5.3.4 政务个人证书扩展域政务个人证书扩展域可包括但不限于如下扩展项：机构密钥标识符 A u t h o r i t y K e y I d e n t i f i e r 主体密钥标识符 S u b j e c t K e y I d e n t i f i e r 密钥用法 K e y U s a g e 扩展密钥用途 E x t e n d e d K e y U s a g e 私有密钥使用期 P r i v a t e K e y U s a g e P e r i o d 证书策略 C e r t i f i c a t e P o l i c i e s 主体替换名称 S u b j e c t A l t e r n a t i v e N a m e 颁发者替换名称 I s s u e r A l t e r n a t i v e N a m e 主体目录属性 S u b j e c t D i r e c t o r y A t t r i b u t e s 基本限制 B a s i c C o n s t r a i n t s 证书撤销列表分发点 C R L D i s t r i b u t i o n P o i n t s 最新证书撤销列表 F r e s h e s t C R L 机构信息访问 A u t h o r i t y I n f o r m a t i o n A c c e s s 主体信息访问 S u b j e c t I n f o r m a t i o n A c c e s s 个人身份证号码 I d e n t i f y C a r d N u m b e r 个人社会保险号 I n s u r a n c e N u m b e r 主体银行基本账号 S u b j e c t B a s i c A c c o u n t政务个人证书扩展域应符合附录 B.3 的规定。5.3.5 政务个人证书签名算法域政务个人证书签名算法域应符合 4.1.3 的规定。5.3.6 政务个人证书签名值域政务个人证书签名值域应符合 4.1.4 的规定。5.3.7 政务个人证书模板政务个人证书模板应符合附录 C 的规定。5.4 政务机构证书格式5.4.1 概述政务机构证书为颁发给参与电子政务的机构实体，用来唯一标识机构实体真实身份的数字证书。政务机构证书由基本证书域、签名算法域和签名值域组成。5.4.2 政务机构基本证书域基本证书域由基本域和扩展域组成。5.4.3 政务机构证书基本域D B 5 3 0 5/T 1 9.5 0 2 0 1 98政务机构证书基本域应符合附录 A 的规定。5.4.4 政务机构证书扩展域政务机构证书扩展域可包括但不限于如下扩展项：机构密钥标识符 A u t h o r i t y K e y I d e n t i f i e r 主体密钥标识符 S u b j e c t K e y I d e n t i f i e r 密钥用法 K e y U s a g e 扩展密钥用途 E x t e n d e d K e y U s a g e 私有密钥使用期 P r i v a t e K e y U s a g e P e r i o d 证书策略 C e r t i f i c a t e P o l i c i e s 主体替换名称 S u b j e c t A l t e r n a t i v e N a m e 颁发者替换名称 I s s u e r A l t e r n a t i v e N a m e 主体目录属性 S u b j e c t D i r e c t o r y A t t r i b u t e s 基本限制 B a s i c C o n s t r a i n t s 证书撤销列表分发点 C R L D i s t r i b u t i o n P o i n t s 最新证书撤销列表 F r e s h e s t C R L 机构信息访问 A u t h o r i t y I n f o r m a t i o n A c c e s s 主体信息访问 S u b j e c t I n f o r m a t i o n A c c e s s 工商注册号 I C R e g i s t r a t i o n N u m b e r 组织机构代码 O r g a n i z a t i o n C o d e 税号 T a x a t i o n N u m b e r 主体银行基本账号 S u b j e c t B a s i c A c c o u n t政务机构证书扩展域应符合附录 B.4 的规定。5.4.5 政务机构证书签名算法域政务机构证书签名算法域应符合 4.1.3 的规定。5.4.6 政务机构证书签名值域政务机构证书签名值域应符合 4.1.4 的规定。5.4.7 政务机构证书模板政务机构证书模板应符合附录 C 的规定。5.5 政务设备证书格式5.5.1 概述政务设备证书为颁发给参与电子政务的设备实体，用来唯一标识设备实体真实身份的数字证书。政务设备证书由基本证书域、签名算法域和签名值域组成。5.5.2 政务设备基本证书域基本证书域由基本域和扩展域组成。5.5.3 政务设备证书基本域政务设备证书基本域应符合附录 A 的规定。5.5.4 政务设备证书扩展域政务设备证书扩展域可包括但不限于如下扩展项：机构密钥标识符 A u t h o r i t y K e y I d e n t i f i e rD B 5 3 0 5/T 1 9.5 0 2 0 1 99 主体密钥标识符 S u b j e c t K e y I d e n t i f i e r 密钥用法 K e y U s a g e 扩展密钥用途 E x t e n d e d K e y U s a g e 私有密钥使用期 P r i v a t e K e y U s a g e P e r i o d 证书策略 C e r t i f i c a t e P o l i c i e s 主体替换名称 S u b j e c t A l t e r n a t i v e N a m e 颁发者替换名称 I s s u e r A l t e r n a t i v e N a m e 主体目录属性 S u b j e c t D i r e c t o r y A t t r i b u t e s 基本限制 B a s i c C o n s t r a i n t s 证书撤销列表分发点 C R L D i s t r i b u t i o n P o i n t s 最新证书撤销列表 F r e s h e s t C R L 机构信息访问 A u t h o r i t y I n f o r m a t i o n A c c e s s 主体信息访问 S u b j e c t I n f o r m a t i o n A c c e s s政务设备证书扩展域应符合附录 B.5 的规定。5.5.5 政务设备证书签名算法域政务设备证书签名算法域应符合 4.1

展开阅读全文