信息安全技术 公钥基础设施-电子认证机构标识编码规范.docx

ICS35.0401.80OB中华人民共和家标准GB/TXXXXX-XXXX信息安全技术公钥基础设施电子认证机构标识编码规范Intbrmationsecuritytechno1.ogy-pub1.ickeyJnfrastructures-Certificateauthenticationinstitutionidentityspecification在提交反馈意见时，请将您知道的相关专利连同支持性文件一并附上（送审稿）（本稿完成日期：2013年1月9日）XXXX-XX-XX实施XXXX-XX-XX发布中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会1楚国本标准确立了电子认证机构标识代码编制规范的一般原则.在祭于PKI的应用系统中，统一的电子认证机构编码为建立全国性的CA目录食询提供了菸础条件。本规范提出了实现要求和编制规范规范，以满足PKI的安全互操作服务需求，2规葩性引用文件下列文件对于本文件的应用是必不Ur少的.凡足注日期的引用文件,仅注日期的版本适用于本文件.凡是不注H期的引用文件,其最新版本(包括所有的修改的)适用于本文件.GH/T16262.1-2006抽象语法记法一(ASN.D第1部分:基本记法规范GB/T18521地名分类与类别代码编制规则GB/T20518-2006信息安全技术公钥基础设施数字证书格式GB/T25069-2010信息安全技术术语3术语和定义GB/T25069-2010中界定的以及下列术谱和定义适用于本文件.电子认证机构ortifioatauthority负员创建和分配证书，受用户信任的权威机构。用户可以选择该机构为其创建密钥.3.2对St标识将objectidentifier系统赋予对象实体的唯一性数字化代码.用以标识对象的身份.4缩略语下列缩略语适用于本文件.CA电子认证机构(Cer1.ifiCa1.iOnAuthority)OID对就标识符(objectidentifier)PKI公翎基咄设施(PUb1.iCKeyInfrastructure)5CA代翦编制方法5.1 CA弧性分类与约定CA系统可从不同角度说明其特性：a） CA机构性质：指CR属于何种性质的电子认证机构，例如：电子政务内网Ch电子政务外MCA,公众服务CA、第三方服务CA、国际电子商务CA、行业(X地区CA、企业专用CA.特殊业务专用CA等.b） CA机构级别：指CA是哪一级的证书管理机构。例如根CAx一级Ch:级CA,代理CA等.c） CA系统型号：指CR与KMC的联结类型。包括CA与KMC分立里和CA与KMC联结Shd） CR机构所在地:指CA的所在地.包括省会、直辖巾、单列巾、普通城市等.。）CA机构编号：全国眼序编号或CA在所属省（市）地区的顺序号.f）CA的名称缩写：本规范定义，取1-5位英文缩写字母标识CA的名称，K）CA的名称全称：ttiCA机构的注册名称。对CA进行代码斓写时,可以考虑其上述特性.其中a）、b）、c）、d）、e）为必选项,f）、g）为可选项.利用CA的特性区分不同的CA.5.2CA代码的标识项本规范定义CA代眄标识项包括五个部分：性质、级别、类型、地区、在本地区的顺序弟号,共16个字节.XXXXXXXXXXXXXXXXI预留标识CA机构顺序号CA机构所在地CA类型CA机构级别CA机构性质a） CA机构性质：第1-2位定义：电子政务外网类CA服务系统2X，例如：电子政务外网办公CA服务系统（20）,电子政务外网公众CA眼务系统（21；行业类CA服务系统（3X，第三方类CAI我务系统（4×>.地区类CA服务系统（50>,其余行未定义。（这里仅给出一些参考实例：多种类服务系统（60,商业类CA服务系统（70）,企业类CR.服务系统（80）.）b） CA机构徼别：第3位，记为O,I,2,3,4,5,6,7,8,9.根CA<0>,-CA（1>,.CA（2）,依次类推。c） CA类型：第4位，即为1.2两类.CA与KMC分立型（1）.CA与KMC联结型（2）.d） CA机构所在地：第5-8位，以省级（自治区、克辖市）地区为基本点进行所在地编码.省区地址采用国家关于省区编码标准的前2位数字，编码范围为1182。如表1所示。«1GA曾锻地区代码赛名称代码名称代码北京市11湖南省43天津市12广东省,河北省13广西壮族自治区15山西省14海南省46内蒙古自治区15重庆市50辽宁省21四川省51吉林省22贵州省52黑龙江省23云两省53上海市31西藏自治区54江苏省3：!陕西省61浙江省33甘肃省62安徽省34育海省63福建省35宁夏回族自治区61江西省36新疆维哥尔自治区65山东省37台湾省71河南省41香港特别行政区81湖北省12澳门特别行政区82e） CA机构顺序号；第9T2位，表示各个CA在木地区的顺序号，可记为OOoo到9999,CA地序编号以所在地的省缎为编号单位见GB/T18521.一个端号时应唯一的CA机构.本标准推券以省级为单位顺序第号.D预留标识：第13T6位，作为预留编码，不具体定义时为OCOO.部分编码案例参见附录C。5.3CA代码描述项a) CA名称：指该CA被批准的名称全称：b) CA名称简称：指该CA被批准的名称(依据现行惯例)以其英文的缩写字母或汉语拼音缩写字母表示取45个字符。例如：中国电信CA可记做CTCA,中国金融CA可记做CFCA,中国电子口岸CA可记CECA,北京CA可记做BjCR.颠信CA可记做YXCA.天峨诚信CA可记做TCCA,中国税务CA可记做CTXcA等：c) CA产品*指该CA通过国家相关制CiS行安全性审杳后，颁发给该CA的产品号；d) CA机构运营证号：指该CA运计机构通过国家相关部门认Ur后，颁发的运营许可证号；在CR代码标识中,CA代码的描述项可采取目录表方式,存在根CA目录服务中,提供系统查询使用,也可作为代码的附注，发布于目录服务器.6CA代码应用数据结构6.1 数字证书中CA代码定义为保证证书的通用性以及一般假例，本规范把CA代码项定义在GB/T20518-2006数字证书的私有In1.er1.wI扩展中,证书扩展项的定义如下：Extension:=SEQUENCE,'extnIDOBJECTIDENTIFIERcritica1.BOO1.EANDEFAU1.TFA1.SEextnVa1.uoOCTETSTRING具体描述如下：a)extn1.1.)定义extnID是OID标忐符：id-caDataOBJECTIDENTIFIER:=Hso(1)member-body2cn(156)ncb(10197)ca(4)oid(3).CA代码的OID应符合GB/T205182006证书扩展域“1.2.156.10197”葩i.根据目前的定义顺序,拟定义CA代码的O1.D为-1.2.156.10197.4.3".b) Cri1.iCa1.定义CriIiCa1.为关键项标志，这里取非关键项。c) extnVa1.ue定义CXtnVaIuc指实际定义的CA代码J犯该代码项具体由CnIMta结构发述，是CA代码数据结构定义，为了便于扩展和直观展现CA代码，定义CA代码项的数据结构；CA数据内容类型应具有GB/T16262.1-2006类型的CaData：CnData:=SEQUENCECaCOdeCACodeJCACode:=SEQUENCE(Fathei-CA0IMP1.ICITOCTETSTRINGOPTIONA1.OwnerCA1IMP1.ICITOCTETSTRINGQwnerCAName2I1.1.ICITPrintab1.eStringOPTIONA1.其中FatherCA为上级(父)CA代码,为可选一.(WnerCA为本CA的代码，为必选项.OWnerCAXame为本CA的英文或汉语拼音缩写名字，为可选项，如CFchCTCA,扩展项CA代码定义则如下：Extension:=SEQUENCEtextnIDid-caDatacritica1.FA1.SECaCadaCaData)6 2CA代码数据结构DER编解码示例由CB/T16262.1-2006的OID确玛一节的方法，应用需要将点分形式的CAOIDu1.2.156.10197.4.3"转换为证书中的DER娘叫方式：2a56Ob0707.那么CA代码(HD的先整编码就是：06()72a81Iccf550403.下面假设这样的数据：父CA代码”43114,100oOo100oo”,本CA代码F312的OooOI20000”，本CA名称-MCA",那么让甘中私有扩展项中这样编码：303706072a81Iccf550403042c302a81Ia34333131343430303030303130303030/13111-10000010000821.a34333132343430303030313230303030/43124400001200008304I1.414341/ACA其中商用密码领域中的相关QID定义见附录B,7 CA代码管理机制7.1 CA代码管理机构国家根CA管理机构鱼贵对CA代码的编制、审批、分配发布、撤销等管理工作。7.2 CA代码的申请与审批7.2.1代码申请HICA建设单位向代科管理机构申请本CA代码。代码申请需在该CA安全性审查之前完成.7.2.2代码审批代码管理机构在接到申请后，需依据国家规定和政策，实施审批。审批期限不应超过三个月.7.2.3代码发布经过国家审批的CA代码应及时通过国案或地区目录服务器发布，并镜像给其他相关目录服务系统。7.2.4代码撤俏停止运营的CA、机构合并的CA机构或该CA系统实际上不能发挥作用时，管埋机构可撤销其代码，并向相应目录服务系统发布，7.2.5代码查询国家或地区目录服务系统可为整个系统提供CA代码查询服务.查询协议采用国家IDAP协议标准.查询地址为国家根CA机构(1.2.156.10197.4.3).8CA代码在目录服务器中的表述id-caDataOBJECTIDENTIFIER:=(iso(1)member-body(2)cn(156)ncb(10197)ca(4)oid(3)CA数据内容类型应具有GB/T16262.12006类型的Cmata：Ca1.>ata:=SEQUENCECaCOdeCACodc)CACode:二SEQUENCE(FatherCAOwnerCAOwnerCANameOwnerCARoa1.NameQwnerCATypeNumberQwrierCARvgNumbvr)toIMP1.ICITOCTETSTRINGOPTIONA1.1 IMP1.ICITOCTETSTRING2 IMP1.ICITPrintab1.eStringOPTIONA1.3 IMP1.ICITPrintab1.eStringOPT