电子政务数字证书技术应用规范

67 湖 北 省 地 方 标 准 452 2008 湖北省电子政务数字证书技术应用规范 008布 2008施 湖北省质量技术监督局 发布 452 2008 I 目 次 前 言 . 言 . 范围 . 1 2 规范性引用文件 . 1 3 术语、定义和缩略语 . 1 语和定义 . 1 略语 . 3 4 数字证书格式 . 3 务数字证书通用格式 . 3 证 机构证书格式 . 6 务个人证书格式 . 7 务机构证书格式 . 8 务设备证书格式 . 8 务服务器证书格式 . 9 务应用系统证书格式 . 10 务代码签名证书格式 . 11 5 政务数字证书应用接口 . 11 务数字证书应用体系结构 . 11 务数字证书应用接口组成和功能说明 . 12 务数字证书应用程序接口函数定义 . 13 6 政务数字证书业务规则 . 20 务数字证书签发 . 20 务数字证书使用 . 21 务数字证书维护 . 21 务数字证书载体 . 22 务数字证书实体查询 . 22 附 录 A （规范性附录） 基本域说明 . 23 本（ . 23 列号（ . 23 名算法 （ . 23 发者 （ . 23 效期 （ . 23 体（ . 23 体公钥信息（ . 23 发者唯一标识符（ . 23 体唯一标识符（ . 23 附 录 B （规范性附录） 扩展域说明 . 24 务数字证书通用格式扩展域说明 . 24 构密钥标识符 . 24 452 2008 主体密钥标识符 . 24 证机构证书格式扩展域说明 . 26 务个人证书格式扩展域说明 . 27 务机构证书格式扩展域说明 . 28 务设备证书格式扩展域说明 . 29 务服务器证书格式扩展域说明 . 30 务应用系统证书格式扩展域说明 . 31 务代码签名证书格式扩展域说明 . 31 附 录 C （规范性附录） 政务数字证书模板 . 33 附 录 D （资料性附 录） 主体命名示例 . 34 务个人证书 . 34 务机构证书 . 34 务设备证书 . 34 务服务器证书 . 35 务应用系统证书 . 35 务代码签名证书 . 35 附 录 E （资料性附录） 主体可选替换名称命名示例 . 36 务个人证书 . 36 务机构证书 . 36 务设备证书 . 36 务服务器证书 . 37 务应用系统证书 . 37 务代码签名证书 . 37 附 录 F （资料性附录） 政务数字证书编码示例 . 37 附 录 G （规范性附录） 数字证书应用接口常量定义和说明 . 41 书类型 . 41 书信息 . 42 附 录 H （资料性附录） 数字证书典型应用示例 . 43 型业务流程 . 43 录程序基本流程 . 43 附 录 I （资料性附录） 政务数字证书注册机构和受理点建设样例 . 44 册机构和受理点功能 . 44 册机构和受理点在 系中的位置 . 45 书注册机构逻辑结构 . 45 理点逻辑结构 . 45 452 2008 言 本标准的附录 A、附录 B、附录 C 和附录 G 为规范性附录，附录 D、附录 E、附录 F、附录 H 和附录 I 为资料性附录。 本标准由湖北省电子政务工作领导小组办公室提出。 本标准由湖北省标准化协会电子政务专业委员会归口。 本标准主要起草单位：湖北省数字证书认证管理中心有限公司、武汉大学计算机学院、湖北省标准化研究院。 本标准主要起草人：田造民、涂航、熊星、潘登、葛愿维、冯翔、吴焱。 452 2008 言 随着我省电子政务平台的运行和省电子政务应用的深入开展，为了加强全省政务网的总体安全，保证全省数字证书策略的一致性，省电子政务办出台了规范全省数字证书的通知。本着这一精神，为指导我省电子政务数字证书应用，规范数字证书应用行为，确保数字证书在电子政务活动中能够通用，实现网络互联互通和信息共享并一证多用，满足湖北省信息化和电子政务发展的迫切需求， 故 制定 本标准 。 数字证书是 术的关键要素之一，以 核心的网络身份认证体系和信息加密技术已成为业界广泛认同的一种构造网络身份信任体系的重 要方式，并成为信息安全保障体系中极其重要的组成部分之一。 数字证书是传送和处理实体身份鉴别信息的重要载体，通过数字证书和身份认证确认电子政务参与方的各自身份，建立彼此间的信任关系以及保证信息的保密性、完整性和可用性。 本标准总体上同国家相关标准保持一致，并结合湖北省实际制定。 本标准 规定了政务数字证书的通用格式，规定了提供服务的认证机构证书、政务个人证书、政务机构证书、政务设备证书 、政务服务器证书、政务应用系统证书 和政务代码签名证书的格式和模板，对数字证书的应用接口进行描述，是湖北省电子政务数字证书应 用的依据。 本标准 不对属性证书作出详细的格式与应用的规定，但可作为属性证书应用的参考。 452 2008 1 湖北省电子政务数字证书技术应用规范 1 范围 本标准规定了湖北省电子政务数字证书格式、应用接口和业务规则。 本标准适用于电子认证服务机构、数字证书认证系统及相关产品的供应商、应用开发商的设计和开发。 本标准适用于 应用部门 在湖北省电子政务的办公、社会管理和公共服务等政务活动，也可适用于电子商务应用。 本标准规定的电子政务数字证书格式适用于认证机构证书、政务个人证书、政务机构证书、政务设备证书、政务服务器证书、政务应用系统证 书、政务代码签名证书。 本标准 规定的电子政务数字证书格式适用于加密证书和签名证书。 本标准 不涉及任何具体的密码运算，所有密码运算均在符合国家有关法律法规的密码设备中进行。 本标准 凡涉及密码相关内容，按国家有关法律法规实施。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。 信息技术 文本通信 面向信报的文本交换系统 第 4部分：抽象服务定义和规程 信息技术 开放系统互连 第 1部分：一般规程 2/T 362 2006 电子政务术语 594001 息技术 目录 :模型 91 22 特网文本消息格式标准 034 名 630 A on as in 标识符：类似 统一资源定位器 738 统一资源定位器 (280 因特网 : :密码消息语法标准 1: 1:密码令牌接口标准 3 术语 、 定义 和 缩略语 语和定义 452 2008 2 2/T 362 2006 确立的 以及 下列 术语和定义适用于本标准 。 公钥基础设施（ 持公钥管理体制的基础设施，提供鉴别、加密、完整性和不可否认性服务。 证书认证机构（ 责创建和分配证书，受用户信任的权威机构。用户可以选择该机构为其创建密钥 。 证书注册机构（ 组成部分，对证书申请的业务受理审核子系统概称为 照 定的政策和管理规范对用户的资信进行审查，以决定 是否为该用户发放证书。 密钥管理中心（ 钥管理中心。 主要负责数字证书用户密钥的生成和管理，解决系统密 钥和数字证书用户密钥自产生到最终销毁的整个生命周期中的相关问题。 在线证书状态协议（ 线证书状态协议 ，是 布的用于检查数字证书在某一时间是否有效的标准。 依赖方 指依赖于证书真实性的实体。在电子签名应用中，即为电子签名依赖方。 公 钥证书 户的公钥连同其他信息，并由发布该证书的证书认证机构的私钥进行加密使其不可伪造。 证书吊销列表 (种由证书签发者所认定的无效证书的清单。 终端实体 以签署证书为目的而使用其私钥的证书主体或者证书使用者。 政务数字证书 来标识电子政务参与方真实身份的数字证书 ， 根据参与方的不同类别分为认 证机构证书、政务个人证书、政务机构证书、政务设备证书、政务服务器证书、政务应用系统证书、政务代码签名证书。 政务个人证书 发给参与电子政务的个人实体，用来唯一标识个人实体真实身份的数字证书。 政务机构证书 发给 参与电子政务的机构实体，用来唯一标识机构实体真实身份的数字证书。 政务设备证书 发给参与电子政务的设备实体，用来唯一标识设备实体真实身份的数字证书。 452 2008 3 政务 服务器 证书 发给参与电子政务的 服务器 实体，用来唯一标识 服务器 实体真实身份的数字证书。 政务 应用系统 证书 发给参与电子政务的 应用系统 实体，用来唯一标识 应用系统 实体真实身份的数字证书。 政务代码签名证书 发给参与电子政务的各类实体，用来对其所开发的代码进行代码签名的数字证书。 略语 下列缩略语适用于本标准： 象语法表示法 设计用来把任意序列的 8 位字节描述为一种不易被人直接识别的形式 基本编码规则 C 国家 证书认证机构 通用名 证书吊销列表 加密服务提供者 可区分编码规则 甄别名 密钥管理中心 L 市州 轻量级目录访问协议 O 机构 在线证书状态协议 对象标识符 机构单位 公钥密码使用标准 公钥基础设施 证书注册机构 S 省份 4 数字证书格式 务数字证书通用格式 本结构 政务数字证书的基本结构由三部分组成：基本证书域 签名算法域名值域 政务数字证书的基本结构，见图 1。 452 2008 4 基 本 证 书 域T B S C e r t i f i c a t 算 法 域S i g n a t u r e A l g o r i t h 值 域S i g n a t u r e V a l u 图 1 政务数字证书的基本结构 本证书域 基本证书域由基本域和扩展域组成。基本证书域结构，见图 2。 基本证书域基 本 域扩 展 域图 2 基本证书域结构 本域 基本域由如下部分组成： 版本 序列号 签名算法 颁发者 有效期 主体 主体公钥信息 颁发者唯一标识符 主体唯一标识符 本域应符合 附录 A 的规定。 展域 政务数字证书可使用扩展域。 政务数字证书扩展域可包含多项扩展项。每项扩展项由扩展类型、扩展关键度和扩展项值组成。 政务数字证书可使用 280 中定义的如下证书扩展项： 机构密钥标识符 主体密钥标识符 密钥用法 扩展密钥用途 私有密钥使用期 证书策略 策略映射 主体替换名称 颁发者替换名称 主体目录属性 基本限制 452 2008 5 名称限制 策略限制 证书撤销列表分发点 限制任意策略 最新证书撤销列表 机构信息访问 主体信息访问 上述证书扩展项， 本标准 还支持如下私有扩展项： 个人身份证号码 个人社会保险号 组织机构代码 工商注册号 税号 主体银行基本账号 务数字证书扩展域 应符合 附录 规定 。 名算法域 包含 发该证书所使用的密码算法的标识符，应与基本证书域中的签名算法 项 所标识的签名算法相同。可选参数的内容完全依赖所标识的具体算法。 名值域 包含对基本证书域进行数字签名的结果。经过 码的基本证书域作为数字签名算法的输入，签名的结果按照 码成 型并保存在签名值域。 名规范 体 政务数字证书中的主体 是 C=名空间下的 录唯一名字。 C（ 性的编 码使用 它属性的编码使用 体的 N 如下： C=S= L= O= a) C（ 为 示中国。 b) S（ 为证书主体所在省份。 c) L（ 为证书主体所在 市州 。 d) O（ 为证书主体所属单位的上一级单位的名称 全称； e) 为证书主体或者证书主体所属单位的名称全称； f) 的内容分为 6 种： 1） 政务个人证书中应为证书主体的姓名； 2） 政务机构证书中应为证书主体单位的 名称 ； 3） 政务设备证书中应为证书主体设备的设备编码； 4） 政务服务器证书中应为证书主体服务器的域名或 为域名； 5） 政务应用系统证书中应为证书主体应用系统的应用系统编码； 6） 政务代码签名证书中应为负责人的姓名，或者是所属单位的 名称 。 主体命名示例 参 见附录 D。 452 2008 6 体替换名称 政务数字证书的主体替换名称扩展项包含一个或多个替换名供实体使用， 该实体与认证的公开密钥绑定在一起。 主体替换名称扩展允许把附加身份加到证书的主体上。所定义的选项包括因特网电子邮件地址、称、 址和统一资源标识符（ 及纯本地定义的选项。 此项定义如下： a) 按照 息客体类别实例定义的任一种形式的名称； b) 按照 义的 子邮件地址，政务个人证书、政务机构证书、政务设备 证书、政务服务器证书、政务应用系统证书、政务代码签名证书宜包含电子邮件地址 c) 按照 义的 名，政务设备证书、政务服务器证书、政务应用系统证书可包含域名地址； d) 按照 义的 O/R 地址； e) 按照 594001 定义的目录名称； f) 通信的电子数据交换双方之间商定的形式名称， 分标识了分配 唯一名称值的机构； g) 按 义的用于 定义的 法和编码规则； h) 按照 义的用二进制串表示的 址； i) 按照 注册的客体分配的标识符。 N 应是 C=名空间下的 录 唯一名字。 主体替换名称命名示例参见附录 E。 务数字证书编码示例 政务数字证书编码参见 附录 F。 证机构证书格式 述 认证机构证书为 颁发给参与电子政务的证书认证机构的数字证书 。 认证机构证书简称电子政务 书。 认证机构证书由基本证书域、签名算法域和签名值域组成。 证机构证书基本证书域 基本证书域由基本域和扩展域组成。 证机构证书基本域 认证机构证书基本域应符合附录 A 的规定。 证机构证书扩展域 书可包含如下扩展项： 机构密钥标识符 主体密钥标识符 密钥用法 扩展密钥用途 私有密钥使用期 证书策略 策略映射 主体替换名称 颁发者替换名称 452 2008 7 主体目录属性 基本限制 名称限制 策略限制 证书撤销列表分发点 限制任意策略 最新证书撤销列表 机构信息访问 主体信息访问 证机构 数字证书扩展域 应符合附录 规定。 证机构证书签名算法域 认证机构证书签名算法域 应 符合 规定。 证机构证书签名值域 认证机构证书签名值域 应 符合 规定。 证机构证书模板 认证机构证书模板应符合附录 C 的规定。 务个人证书格式 述 政务个人证书为 颁发给参与电子政务的个人实体，用来唯一标识个人实体真实身份的数字证书。 政务个人证书由基本证书域、签名算法域和签名值域组成。 务个人证书基本证书域 基本证书域由基本域和扩展域组成。 务个人证书基本域 政务个人证书基本域应符合附录 A 的规定。 务个人证书扩展域 政务个人证书扩展域可包含如下扩展项： 机构密钥标 识符 主体密钥标识符 密钥用法 扩展密钥用途 私有密钥使用期 证书策略 主体替换名称 颁发者替换名称 主体目录属性 基本限制 证书撤销列表分发点 最新证书撤销列表 机构信息访问 主体信息访问 个人身份证号码 个人社会保险号 主体银行基本账号 务 个人 证书扩展域 应符合附录 规定。 452 2008 8 务个人证书签名算法域 政务个人证书签名算法域应符合 规定。 务个人证书签名值域 政务个人证书签名值域应符合 规定。 务个人证书模板 政务个人证书模板应符合附录 C 的规定。 务机构证书格式 述 政务机构证书为 颁发给参与电子政务的机构实体，用来唯一标识机构实体真实身份的数字证书。 政务机构证书由基本证书域、签名算法域和签名值域组成。 务机构基本证书域 基本证书域由基本域和扩展域组成。 务机构证书基本域 政务机构证书基本域应符合附录 A 的规定。 务机构证书扩展 域 政务机构证书扩展域可包含如下扩展项： 机构密钥标识符 主体密钥标识符 密钥用法 扩展密钥用途 私有密钥使用期 证书策略 主体替换名称 颁发者替换名称 主体 目录属性 基本限制 证书撤销列表分发点 最新证书撤销列表 机构信息访问 主体信息访问 工商注册号 组织机构代码 税号 主体银行基本账号 务 机构 证书扩展域 应符合附录 规定。 务机构证书签名算法域 政务机构证书签名算法域应符合 规定。 务机构证书签名值域 政务机构证书签名值域应符合 规定。 务机构证书模板 政务机构证书模板应符合附录 C 的规定。 务设备证书格式 述 政务设备证书为 颁发给参与电子政务的设备实体，用来唯一标识设备实体真实身份的数字证书。 452 2008 9 政务设备证书由基本证书域、签名算法域和签名值域组成。 务设备基本证书域 基本证书域由基本 域和扩展域组成。 务设备证书基本域 政务设备证书基本域应符合附录 A 的规定。 务设备证书扩展域 政务设备证书扩展域可包含如下扩展项： 机构密钥标识符 主体密钥标识符 密钥用法 扩展密钥用途 私有密钥使用期 证书策略 主体替换名称 颁发者替换名称 主体目录属性 基本限制 证书撤销列表分发点 最新证书撤销列表 机构信息访问 主体信息访问 政务 设备 证书扩展域 应符合附录 规定。 务 设备证书签名算法域 政务设备证书签名算法域应符合 规定。 务设备证书签名值域 政务设备证书签名值域应符合 规定。 务设备证书模板 政务设备证书模板应符合附录 C 的规定。 务服务器证书格式 述 政务服务器证书为颁发给参与电子政务的各服务器实体，用来唯一标识服务器实体真实身份的数字证书。 政务服务器证书由基本证书域、签名算法域和签名值域组成。 务服务器基本证书域 基本证书域由基本域和扩展域组成。 务服务器证书基本域 政务服务器证书基本域应符合附录 A 的规定。 务服务器证书扩展 域 政务服务器证书扩展域可包如下扩展项： 机构密钥标识符 主体密钥标识符 密钥用法 扩展密钥用途 私有密钥使用期 452 2008 10 证书策略 主体替换名称 颁发者替换名称 主体目录属性 基本限制 证书撤销列表分发点 最新证书撤销列表 机构信息访问 主体信息访问 政务 服务器 证书扩展域 应符合附录 规定。 务服务器证书签名算法域 政务服务器证书签名算法域应符合 规定。 务服务器证书签名值域 政 务服务器证书签名值域应符合 规定。 务服务器证书模板 政务服务器证书模板应符合附录 C 的规定。 务应用系统证书格式 述 政务应用系统证书为颁发给参与电子政务的各应用系统实体，用来唯一标识应用系统实体真实身份的数字证书。 政务应用系统证书由基本证书域、签名算法域和签名值域组成。 务应用系统基本证书域 基本证书域由基本域和扩展域组成。 务应用系统基本证书域 政务应用系统基本证书域应符合附录 A 的规定。 务应用系统证书扩展域 政务应用系统证书扩展域可包如下扩展项： 机构密钥标识符 主体密钥标识符 密钥用法 扩展密钥用途 私有密钥使用期 证书策略 主体替换名称 颁发者替换名称 主体目录属性 基本限制 证书撤销列表分发点 最新证书撤销列表 机构信息访问 主体信息访问 政务 应用系统 证书扩展域 应符合附录 规定。 务应用系统证书签名算法域 政务应用系统证书签名算法域应符合 规定。 452 2008 11 务应用系统证书签名值域 政务应用系统证书签名值域应符合 规定。 务应用系统证书 模板 政务应用系统证书模板应符合附录 C 的规定。 务代码签名证书格式 述 政务代码签名证书为 颁发给参与电子政务的各类实体，用来对其所开发的代码进行代码签名的数字证书。 政务代码签名证书由基本证书域、签名算法域和签名值域组成。 务代码签名基本证书域 基本证书域由基本域和扩展域组成。 务代码签名证书基本域 政务代码签名证书基本域应符合附录 A 的规定。 务代