公钥密码基础设施应用技术体系 基于SM2算法的证书认证系统证书格式标准.doc

目 次 前 言 II 引 言 III 1 范围 4 2 规范性引用文件 4 3 术语和定义（需要整体完成后整理） 4 4 符号和缩略语 6 5 OID定义 6 6 X.509 v3证书 7 7 X.509 v2证书撤销列表 7 8 可辨识名（DN）编码 8 9 使用统一定位符(URI) 8 10 关于算法的强度的说明 9 11 证书内容表 10 前 言 本标准是《公钥密码基础设施应用技术体系框架规范》系列规范之一。本标准制定了基于SM2算法的证书认证系统的证书格式和证书撤销列表格式标准，为基于SM2算法的证书认证系统、安全应用中间件、证书应用系统的研制和开发提供指导和依据。 本标准由国家密码管理局提出并归口。 本标准起草单位：上海格尔软件股份有限公司 本标准主要起草人：谭武征、许俊、任伟、杨茂江、刘平、谢永泉。 本标准责任专家：刘平。 本标准凡涉及密码算法相关内容，按国家有关法规实施。 引 言 商用密码安全服务是符合国家商用密码管理机构针对商用领域的对称与非对称密码使用和算法的管理规定的基础安全服务。在商用密码领域，主要的身份验证手段是使用基于公钥基础设施的数字证书进行验证和安全权标保护，为了保证商用密码应用的安全性，国家密码管理局牵头 相关单位研制了适用于我国商用密码领域专用的对称算法SM1、非对称算法SM2和摘要算法SM3。 本标准的目标是为公钥密码基础设施应用体系框架下的基于SM2算法的证书认证系统制定统一的证书与证书撤销列表格式标准，为基于SM2的数字证书的基础设施和安全应用的开发提供指导意见，减少不必要的重复建设，提高安全应用厂商产品的兼容性，以利于增强我国商用密码领域的安全保障建设。 本标准不涉及任何具体的密码运算，所有密码运算均在符合国家有关法规的密码设备中进行。 本标准编制过程中得到了国家商用密码应用技术体系总体工作组的指导。 范围 本规范规定了公钥密码基础设施体系中基于SM2算法的证书与证书撤销列表格式标准。 本规范适用于公钥密码基础设施体系中基于SM2算法的证书认证平台、证书安全中间件、证书应用等多类系统的研制及检测，也可用于指导应用系统规范化地使用基于SM2算法的证书。 本规范对基于SM2算法的证书与证书撤销列表中相关要素的OID进行了定义。 本规范对基于SM2算法的证书与证书撤销列表中的关键内容以表格的形式进行描述。 规范性引用文件 下列标准所包含的条文，通过本标准中的引用而构成本标准的条文。考虑到标准的修订，使用本标准时，应研究使用下列标准最新版本的可能性。 GB/T 16262.1-2006 信息技术 抽象语法记法一（ASN.1）：基本记法规范(ISO/IEC 8824-1:2002，IDT) GB/T 16263.1-2006 信息技术 ASN.1编码规则 第1部分：基本编码规则（BER）、正则编码规则（CER）和非典型编码规则（DER）的规范(ISO/IEC 8825-1:2002，IDT) GB/T 16264.2 信息技术 开放系统互连 目录 第2部分：模型(GB/T 16264.2-1996,idt ISO/IEC 9594-2:1990) GB/T 15843.1-1999 信息技术　 安全技术 实体鉴别 第1部分　: 概述 ISO/IEC 9798-1:1991 GB/T 15843.3-1998 信息技术　 安全技术 实体鉴别 第3部分　: 用非对称签名技术的机制 ISO/IEC 9798-3:1997 GB/T AAAAA 信息技术 安全技术 密码术语 GB/T BBBBB 公钥密码基础设施应用技术体系 框架规范 GB/T BBBBB 信息技术 开放系统互连 对象标识符（OID）的国家编号体系和注册规程 (征求意见稿) RFC3279 GB/T 20518-2006《信息安全技术 公钥基础设施数字证书格式》 RFC3280 X.509互联网PKI证书与证书撤销列表（CRL） RFC4210 X.509互联网PKI证书管理协议（CMP） RFC4211 X.509互联网PKI证书请求消息格式（CRMF） 术语和定义（需要整体完成后整理） 算法标识 arithmetic identifier 用于标明算法机制的数字化信息。 非对称密码算法 asymmetric cryptographic algorithm 使用两种相关变换和非对称密钥对的密码技术，一种是由公开密钥定义的公开变换，另一种是由私有密钥定义的私有变换。两种变换具有以下特性：即使给定公开变换，也不可能通过计算得出私有变换。 解密decipherment/decryption/decrypt/decipher 与一个可逆的加密过程相对应的反过程。该过程使用适当的密钥，将已加密的