DB5305 T 19.50-2019 保山市信息惠民工程综合标准第50部分：数字证书技术应用标准.pdf

资源描述

1、ICS 35.240L67 DB5305保山市地方标准DB 5305/T 19.50 2019替代 DG5305/T 19.502017保山市信息惠民工程综合标准第 50部分 :数字证书技术应用标准 2019 -10- 30发布 2019- 11-01实施保山市市场监督管理局发布 DB5305/T 19.502019前言本标准按照 GB/T 1.1 2009 标准化工作导则第 1部分：标准的结构和编写给出的规则起草。本标准中附录 A为规范

2、性附录、附录 B为规范性附录、附录 C为规范性附录、附录 D为资料性附录、附录 E为资料性附录、附录 F为资料性附录、附录 G为规范性附录、附录 H为资料性附录、附录 I为资料性附录。本标准由保山市大数据管理局提出。本标准由保山市工业和信息化委员会归口。本标准起草单位：保山市大数据管理局。本标准主要起草人：刘志胡、王明超、李祖

3、燕、丁威、银孟璐。本标准替代 DG5305/T 19.50 2017。 DB5305/T 19.502019 1 保山市信息惠民工程综合标准第 50 部分数字证书技术应用标准1 范围本标准规定了保山市信息惠民工程数字证书技术应用规范的术语和定义、缩略语、数字证书格式、政务数字证书应用接口、政务数字证书业务规则，本标准适用于保山市信息惠民工程数字证书技术应

4、用规范建设。2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB/T 16284.4 信息技术文

5、本通信面向信报的文本交换系统第 4 部分：抽象服务定义和规程GB/T 17969.1 信息技术开放系统互连 OSI登记机构的操作规程第 1 部分：一般规程DB5305/T 19.3-2019 保山市信息惠民工程综合标准术语3 术语和定义DB5305/T 19.3-2019 确立的以及下列术语和定义适用于本标准。3.1 公钥基础设施（ PKI）公钥基础设施指支持公钥管理体制的基础

6、设施，提供鉴别、加密、完整性和不可否认性服务。3.2 证书认证机构（ CA）证书认证机构指负责创建和分配证书，受用户信任的权威机构。用户可以选择该机构为其创建密钥。3.3 证书注册机构（ RA）证书注册机构是 CA的组成部分，对证书申请的业务受理审核子系统概称为 RA， RA 按照 CA 制定的政策和管理规范对用户的资信进行审查，以决定

7、是否为该用户发放证书。3.4 密钥管理中心（ KMC）密钥管理中心主要负责数字证书用户密钥的生成和管理，解决系统密钥和数字证书用户密钥自产生到最终销毁的整个生命周期中的相关问题。3.5 在线证书状态协议（ OCSP）在线证书状态协议是 IETF颁布的用于检查数字证书在某一时间是否有效的标准。3.6 依赖方依赖方即指依赖于证书真实性的实

8、体。在电子签名应用中，即为电子签名依赖方。3.7 公钥证书 DB5305/T 19.50 2019 2 公钥证书指用户的公钥连同其他信息，并由发布该证书的证书认证机构的私钥进行加密使其不可伪造。3.8 证书吊销列表 (CRL)证书吊销列表是一种由证书签发者所认定的无效证书的清单。3.9 终端实体终端实体指不以签署证书为宗旨而使用其私钥的证书主体或

9、者证书使用者。3.10 政务数字证书政务数字证书指用来标识电子政务参与方真实身份的数字证书，根据参与方的不同类别分为认证机构证书、政务个人证书、政务机构证书、政务设备证书、政务服务器证书、政务应用系统证书、政务代码签名证书。 3.11 政务个人证书政务个人证书指颁发给参与电子政务的个人实体，用来唯一标识个人实体真实

10、身份的数字证书。3.12 政务机构证书政务机构证书指颁发给参与电子政务的机构实体，用来唯一标识机构实体真实身份的数字证书。3.13 政务设备证书政务设备证书指颁发给参与电子政务的设备实体，用来唯一标识设备实体真实身份的数字证书。3.14 政务服务器证书政务服务器证书指颁发给参与电子政务的服务器实体，用来唯一标识服务器实体

11、真实身份的数字证书。 3.15 政务应用系统证书政务应用系统证书指颁发给参与电子政务的应用系统实体，用来唯一标识应用系统实体真实身份的数字证书。3.16 政务代码签名证书政务代码签名证书指颁发给参与电子政务的各类实体，用来对其所开发的代码进行代码签名的数字证书。4 缩略语下列缩略语适用于本标准。ASN： Abstract Syntax Notat

12、ion，抽象语法表示法BASE64 设计用来把任意序列的 8 位字节描述为一种不易被人直接识别的形式 BER： Basic Encoding Rules，基本编码规则C： Country，国家CA： Certificate Authority，证书认证机构CN： Common Name，通用名CRL： Certificate Revocation List，证书吊销列表CSP： Cryptographic Service Provider，加密服务提供者DER： Di

13、stinguished Encoding Rules，可区分编码规则 DB5305/T 19.502019 3 DN： Distinguished Name，甄别名KMC： Key Management Centre，密钥管理中心LDAP： Lightweight Directory Access Protocol，轻量级目录访问协议O： Organization，机构OCSP： Online Certificate Status Protocol，在线证书状态协议OID： Object Identifier，对象标

14、识符OU： Organization Unit，机构单位PKCS： The Public-Key Cryptography Standard，公钥密码使用标准PKI： Public Key Infrastructure，公钥基础设施RA： Registration Authority，证书注册机构5 数字证书格式5.1 政务数字证书通用格式 5.1.1 基本结构政务数字证书的基本结构由三部分组成：基本证书域 TBSCertificate、签名算法域Signa

15、tureAlgorithm、签名值域 SignatureValue。政务数字证书的基本结构见图 1所示。图 1 政务数字证书的基本结构 5.1.2 基本证书域基本证书域由基本域和扩展域组成 ,基本证书域的结构见图 2 所示。图 2 基本证书域的结构基本证书域基本域扩展域5.1.3 基本域基本域包括但不限于如下部分组成：基本域应符合附录 A 的规定。版本 Version序列号 SerialNum

16、ber签名算法 SignatureAlgorithm 基本证书域TBSCertificate签名算法域SignatureAlgorithm签名值域SignatureValue政务数字证书基本结构 DB5305/T 19.50 2019 4 颁发者 Issuer有效期 Validity主体 Subject主体公钥信息 SubjectPublicKeyInfo颁发者唯一标识符 IssuerUniqueID主体唯一标识符 SubjectUniqueID5.1.4 扩展域5.1.4.1 政务数字证书扩展域政

17、务数字证书可使用扩展域。政务数字证书扩展域可包含多项扩展项。每项扩展项由扩展类型、扩展关键度和扩展项值组成。政务数字证书可使用 IETFRFC3280中定义的包括但不限于如下证书扩展项：政务数字证书扩展域应符合附录 B.1 的规定。机构密钥标识符 AuthorityKeyIdentifier主体密钥标识符 SubjectKeyIdentifier 密钥用法 KeyUsage扩展

18、密钥用途 ExtendedKeyUsage私有密钥使用期 PrivateKeyUsagePeriod证书策略 CertificatePolicies策略映射 PolicyMappings主体替换名称 SubjectAlternativeName颁发者替换名称 IssuerAlternativeName主体目录属性 SubjectDirectoryAttributes基本限制 BasicConstraints名称限制 NameConstraints策略限制 PolicyConstraints证书撤销列表

19、分发点 CRLDistributionPoints限制任意策略 InhibitAnyPolicy最新证书撤销列表 FreshestCRL 机构信息访问 AuthorityInformationAccess主体信息访问 SubjectInformationAccess5.1.4.2 政务数字证书私有扩展项本标准还包括但不限于如下私有扩展项：个人身份证号码 IdentifyCardNumber个人社会保险号 InsuranceNumber组织机构代码 Organi

20、zationCode工商注册号 ICRegistrationNumber税号 TaxationNumber主体银行基本账号 SubjectBasicAccount5.1.5 签名算法域包含 CA 颁发该证书所使用的密码算法的标识符，应与基本证书域中的签名算法项所标识的签名算法相同。可选参数的内容完全依赖所标识的具体算法。 5.1.6 签名值域包含对基本证书域进行数字签名的结果。经过 ASN.1DE

21、R 编码的基本证书域作为数字签名算法的输入，签名的结果按照 ASN.1 编码成 BIT STRING 类型并保存在签名值域。5.1.7 命名规范5.1.7.1 主体 DB5305/T 19.502019 5 政务数字证书中的主体 DN应是 C=CN命名空间下的 X.500 目录唯一名字。 C（ Country）属性的编码使用 PrintableString，其它属性的编码使用 UTF8String。主体的 X.500 DN 如下：C=

22、CNS= L= O= OU= CN= 具体含义如下：C（ Country）应为 CN，表示中国。S（ State）应为证书主体所在省份。L（ Location）应为证书主体所在市州。O（ Organization）应为证书主体所属单位的上一级单位的名称全称； OU（ OrganizationUnit）应为证书主体或者证书主体所属单位的名称全称；CN（ CommonName）中的内容包括但不限于 6 种：政务个人

23、证书中应为证书主体的姓名；政务机构证书中应为证书主体单位的名称；政务设备证书中应为证书主体设备的设备编码；政务服务器证书中应为证书主体服务器的域名或 IP，宜为域名；政务应用系统证书中应为证书主体应用系统的应用系统编码；政务代码签名证书中应为负责人的姓名，或者是所属单位的名称。主体命名示例参见附录 D。5.1.7.2 主

24、体替换名称政务数字证书的主体替换名称扩展项包含一个或多个替换名供实体使用， CA 把该实体与认证的公开密钥绑定在一起。主体替换名称扩展允许把附加身份加到证书的主体上。所定义的选项包括因特网电子邮件地址、 DNS名称、 IP地址和统一资源标识符（ URI），及纯本地定义的选项。此项定义包括但不限于： otherName是按照 OTHER-Na

25、me信息客体类别实例定义的任一种形式的名称；rfc822Name是按照 InternetRFC822 定义的 Internet 电子邮件地址，政务个人证书、政务机构证书、政务设备证书、政务服务器证书、政务应用系统证书、政务代码签名证书宜包含电子邮件地址 Email；DNSName是按照 RFC1034定义的 Internet 域名，政务设备证书、政务服务器证书、政务应用系统证书

26、可包含域名地址；x400Address是按照 GB/T 16284.4-1996定义的 O/R地址；directoryName是按照 ISO/IEC 9594-2:2001定义的目录名称；ediPartyName是通信的电子数据交换双方之间商定的形式名称， nameAssigner 成分标识了分配 partyName 中唯一名称值的机构；uniformResourceIdentifier 是按 Internet RFC1630 定义的用于 WWW 的UniformRes

27、ourceIdentifer， RFC1738中定义的 URL语法和编码规则；iPAddress是按照 Internet RFC791定义的用二进制串表示的 Internet Protocol地址； registeredID是按照 GB/T 17969.1-2000对注册的客体分配的标识符。directoryName的 X.500 DN 应是 C=CN命名空间下的 X.500 目录唯一名字。主体替换名称命名示例参见附录 E。5.1.8 政务数字证书编码示

28、例政务数字证书编码参见附录 F。 DB5305/T 19.50 2019 6 5.2 认证机构证书格式5.2.1 概述认证机构证书为颁发给参与电子政务的证书认证机构的数字证书；认证机构证书简称电子政务 CA证书；认证机构证书由基本证书域、签名算法域和签名值域组成。5.2.2 认证机构证书基本证书域基本证书域由基本域和扩展域组成。5.2.3 认证机构证书基本

29、域认证机构证书基本域应符合附录 A 的规定。5.2.4 认证机构证书扩展域 CA证书可包括但不限于如下扩展项：机构密钥标识符 AuthorityKeyIdentifier主体密钥标识符 SubjectKeyIdentifier密钥用法 KeyUsage扩展密钥用途 ExtendedKeyUsage私有密钥使用期 PrivateKeyUsagePeriod证书策略 CertificatePolicies策略映射 PolicyMappings主体替换名

30、称 SubjectAlternativeName颁发者替换名称 IssuerAlternativeName主体目录属性 SubjectDirectoryAttributes基本限制 BasicConstraints名称限制 NameConstraints策略限制 PolicyConstraints 证书撤销列表分发点 CRLDistributionPoints限制任意策略 InhibitAnyPolicy最新证书撤销列表 FreshestCRL机构信息访问 AuthorityInformationAcc

31、ess主体信息访问 SubjectInformationAccess认证机构数字证书扩展域应符合附录 B.2 的规定。5.2.5 认证机构证书签名算法域认证机构证书签名算法域应符合 4.1.3 的规定。5.2.6 认证机构证书签名值域认证机构证书签名值域应符合 4.1.4 的规定。5.2.7 认证机构证书模板认证机构证书模板应符合附录 C 的规定。5.3 政务个人证书格式5.3.1 概述政

32、务个人证书为颁发给参与电子政务的个人实体，用来唯一标识个人实体真实身份的数字证书。政务个人证书由基本证书域、签名算法域和签名值域组成。 DB5305/T 19.502019 7 5.3.2 政务个人证书基本证书域基本证书域由基本域和扩展域组成。5.3.3 政务个人证书基本域政务个人证书基本域应符合附录 A 的规定。5.3.4 政务个人证书扩展域政务

33、个人证书扩展域可包括但不限于如下扩展项：机构密钥标识符 AuthorityKeyIdentifier主体密钥标识符 SubjectKeyIdentifier密钥用法 KeyUsage扩展密钥用途 ExtendedKeyUsage私有密钥使用期 PrivateKeyUsagePeriod 证书策略 CertificatePolicies主体替换名称 SubjectAlternativeName颁发者替换名称 IssuerAlternativeName主体目录属性 Sub

34、jectDirectoryAttributes基本限制 BasicConstraints证书撤销列表分发点 CRLDistributionPoints最新证书撤销列表 FreshestCRL机构信息访问 AuthorityInformationAccess主体信息访问 SubjectInformationAccess个人身份证号码 IdentifyCardNumber个人社会保险号 InsuranceNumber主体银行基本账号 SubjectBasicAccount政务个人证书扩展域

35、应符合附录 B.3 的规定。5.3.5 政务个人证书签名算法域政务个人证书签名算法域应符合 4.1.3 的规定。5.3.6 政务个人证书签名值域政务个人证书签名值域应符合 4.1.4 的规定。5.3.7 政务个人证书模板政务个人证书模板应符合附录 C 的规定。5.4 政务机构证书格式5.4.1 概述政务机构证书为颁发给参与电子政务的机构实体，用来唯一标识机构实

36、体真实身份的数字证书。政务机构证书由基本证书域、签名算法域和签名值域组成。 5.4.2 政务机构基本证书域基本证书域由基本域和扩展域组成。5.4.3 政务机构证书基本域 DB5305/T 19.50 2019 8 政务机构证书基本域应符合附录 A 的规定。5.4.4 政务机构证书扩展域政务机构证书扩展域可包括但不限于如下扩展项：机构密钥标识符 Authority

37、KeyIdentifier主体密钥标识符 SubjectKeyIdentifier密钥用法 KeyUsage扩展密钥用途 ExtendedKeyUsage私有密钥使用期 PrivateKeyUsagePeriod证书策略 CertificatePolicies主体替换名称 SubjectAlternativeName颁发者替换名称 IssuerAlternativeName主体目录属性 SubjectDirectoryAttributes基本限制 BasicConstraints 证书撤销列表分发

38、点 CRLDistributionPoints最新证书撤销列表 FreshestCRL机构信息访问 AuthorityInformationAccess主体信息访问 SubjectInformationAccess工商注册号 ICRegistrationNumber组织机构代码 OrganizationCode税号 TaxationNumber主体银行基本账号 SubjectBasicAccount政务机构证书扩展域应符合附录 B.4 的规定。5.4.5 政务机构证书签名算法

39、域政务机构证书签名算法域应符合 4.1.3 的规定。5.4.6 政务机构证书签名值域政务机构证书签名值域应符合 4.1.4 的规定。5.4.7 政务机构证书模板政务机构证书模板应符合附录 C 的规定。5.5 政务设备证书格式5.5.1 概述政务设备证书为颁发给参与电子政务的设备实体，用来唯一标识设备实体真实身份的数字证书。政务设备证书由基本证书域、

40、签名算法域和签名值域组成。5.5.2 政务设备基本证书域基本证书域由基本域和扩展域组成。 5.5.3 政务设备证书基本域政务设备证书基本域应符合附录 A 的规定。5.5.4 政务设备证书扩展域政务设备证书扩展域可包括但不限于如下扩展项：机构密钥标识符 AuthorityKeyIdentifier DB5305/T 19.502019 9 主体密钥标识符 SubjectKeyIdentifier密

41、钥用法 KeyUsage扩展密钥用途 ExtendedKeyUsage私有密钥使用期 PrivateKeyUsagePeriod证书策略 CertificatePolicies主体替换名称 SubjectAlternativeName颁发者替换名称 IssuerAlternativeName主体目录属性 SubjectDirectoryAttributes基本限制 BasicConstraints证书撤销列表分发点 CRLDistributionPoints最新证书撤销列表 FreshestC

42、RL机构信息访问 AuthorityInformationAccess主体信息访问 SubjectInformationAccess政务设备证书扩展域应符合附录 B.5 的规定。 5.5.5 政务设备证书签名算法域政务设备证书签名算法域应符合 4.1.3 的规定。5.5.6 政务设备证书签名值域政务设备证书签名值域应符合 4.1.4 的规定。5.5.7 政务设备证书模板政务设备证书模板应符合附录 C 的规

43、定。5.6 政务服务器证书格式5.6.1 概述政务服务器证书为颁发给参与电子政务的各服务器实体，用来唯一标识服务器实体真实身份的数字证书。政务服务器证书由基本证书域、签名算法域和签名值域组成。5.6.2 政务服务器基本证书域基本证书域由基本域和扩展域组成。5.6.3 政务服务器证书基本域政务服务器证书基本域应符合附录 A 的规定。5

44、.6.4 政务服务器证书扩展域政务服务器证书扩展域可包括但不限于如下扩展项：机构密钥标识符 AuthorityKeyIdentifier主体密钥标识符 SubjectKeyIdentifier密钥用法 KeyUsage 扩展密钥用途 ExtendedKeyUsage私有密钥使用期 PrivateKeyUsagePeriod证书策略 CertificatePolicies主体替换名称 SubjectAlternativeName颁发者替换名称 Issuer

45、AlternativeName主体目录属性 SubjectDirectoryAttributes DB5305/T 19.50 2019 10 基本限制 BasicConstraints证书撤销列表分发点 CRLDistributionPoints最新证书撤销列表 FreshestCRL机构信息访问 AuthorityInformationAccess主体信息访问 SubjectInformationAccess政务服务器证书扩展域应符合附录 B.6的规定。5.6.5 政务服务器证书

46、签名算法域政务服务器证书签名算法域应符合 4.1.3 的规定。5.6.6 政务服务器证书签名值域政务服务器证书签名值域应符合 4.1.4 规定。5.6.7 政务服务器证书模板政务服务器证书模板应符合附录 C 的规定。5.7 政务应用系统证书格式5.7.1 概述政务应用系统证书为颁发给参与电子政务的各应用系统实体，用来唯一标识应用系统实体真实身份的数

47、字证书。政务应用系统证书由基本证书域、签名算法域和签名值域组成。5.7.2 政务应用系统基本证书域基本证书域由基本域和扩展域组成。5.7.3 政务应用系统基本证书域政务应用系统基本证书域应符合附录 A 的规定。 5.7.4 政务应用系统证书扩展域政务应用系统证书扩展域可包括但不限于如下扩展项：机构密钥标识符 AuthorityKeyIdentifie

48、r主体密钥标识符 SubjectKeyIdentifier密钥用法 KeyUsage扩展密钥用途 ExtendedKeyUsage私有密钥使用期 PrivateKeyUsagePeriod证书策略 CertificatePolicies主体替换名称 SubjectAlternativeName颁发者替换名称 IssuerAlternativeName主体目录属性 SubjectDirectoryAttributes基本限制 BasicConstraints证书撤销列表分发点 CRLDistrib

49、utionPoints最新证书撤销列表 FreshestCRL 机构信息访问 AuthorityInformationAccess主体信息访问 SubjectInformationAccess政务应用系统证书扩展域应符合附录 B.7 的规定。5.7.5 政务应用系统证书签名算法域政务应用系统证书签名算法域应符合 4.1.3 的规定。 DB5305/T 19.502019 11 5.7.6 政务应用系统证书签名值域政务应用系统证书签名值域应符合 4.1.4 的规定。5.7.7 政务应用系统证书模板政务应用系统证书模板应符合附录 C 的规定。5.8 政务代码签名证书格式5.8.1 概述政务代码签名证书为颁发给参与电子政务的各类实体，用来对其所开发的代码进行代码签名的数字证书。政务代码签名证书由基本证书域、签名算法域和签名值域组成。5.8.2 政务代码签名基本证书

展开阅读全文