《信息安全技術 地理空間可擴展訪問控制標記語言規(guī)范》

ICS35.040

L80

中華人民共和國國家標準

GB/TXXXXX—XXXX

信息安全技術公鑰基礎設施

電子認證機構(gòu)標識編碼規(guī)范

Informationsecuritytechnology-publickeyinfrastructures-

certificateauthenticationinstitutionidentityspecification

在提交反饋意見時，請將您知道的相關專利連同支持性文件一并附上

（送審稿）

（本稿完成日期：2013年1月9日）

XXXX-XX-XX發(fā)布XXXX-XX-XX實施

GB/TXXXXX—XXXX

引??言

隨著我國信息化的發(fā)展，全國已經(jīng)建設了國家根CA和多個CA證書認證系統(tǒng)。為了方便對CA的統(tǒng)一管

理，實現(xiàn)多CA證書的相互識別，需要每個CA系統(tǒng)有一個按照統(tǒng)一規(guī)范標準授予的相應代碼或?qū)ο髽俗R符。

但是，目前各家電子認證機構(gòu)都是自己設定自己的名稱及其格式，沒有全國統(tǒng)一的規(guī)范代碼。本標準對

我國CA系統(tǒng)的標識代碼給出了統(tǒng)一規(guī)范，以滿足我國信息化應用系統(tǒng)對不同CA進行管理以及證書實現(xiàn)互

認的需要。

CA服務機構(gòu)分為全國性、地方性和行業(yè)性等多種類型?！峨娮雍灻ā钒l(fā)布后，電子認證服務行業(yè)

明確了主管部門，相應的法律法規(guī)逐步完善。目前已有多家商業(yè)性服務機構(gòu)準予許可并獲得許可證書。

隨著CA代碼系統(tǒng)的建立，需要有一個規(guī)范的代碼管理機制。

本標準可用于電子政務、電子商務等多類CA系統(tǒng)。在國家權威機構(gòu)統(tǒng)一管理下，為每個CA授予相應

的唯一標識代碼，為公鑰基礎設施數(shù)字證書認證系統(tǒng)的產(chǎn)品開發(fā)商以及公鑰基礎設施的應用開發(fā)商提供

了編碼標準的技術支持。

I

GB/TXXXXX—XXXX

信息安全技術公鑰基礎設施

電子認證機構(gòu)標識編碼規(guī)范

1范圍

本標準確立了電子認證機構(gòu)標識代碼編制規(guī)范的一般原則。

在基于PKI的應用系統(tǒng)中，統(tǒng)一的電子認證機構(gòu)編碼為建立全國性的CA目錄查詢提供了基礎條件。

本規(guī)范提出了實現(xiàn)要求和編制規(guī)范規(guī)范，以滿足PKI的安全互操作服務需求。

2規(guī)范性引用文件

下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T16262.1-2006抽象語法記法一(ASN.1)第1部分:基本記法規(guī)范

GB/T18521地名分類與類別代碼編制規(guī)則

GB/T20518-2006信息安全技術公鑰基礎設施數(shù)字證書格式

GB/T25069—2010信息安全技術術語

3術語和定義

GB/T25069—2010中界定的以及下列術語和定義適用于本文件。

3.1

電子認證機構(gòu)certificateauthority

負責創(chuàng)建和分配證書，受用戶信任的權威機構(gòu)。用戶可以選擇該機構(gòu)為其創(chuàng)建密鑰。

3.2

對象標識符objectidentifier

系統(tǒng)賦予對象實體的唯一性數(shù)字化代碼，用以標識對象的身份。

4縮略語

下列縮略語適用于本文件。

CA電子認證機構(gòu)（CertificationAuthority）

OID對象標識符（objectidentifier）

PKI公鑰基礎設施（PublicKeyInfrastructure）

5CA代碼編制方法

1

GB/TXXXXX—XXXX

5.1CA屬性分類與約定

CA系統(tǒng)可從不同角度說明其特性：

a)CA機構(gòu)性質(zhì)：指CA屬于何種性質(zhì)的電子認證機構(gòu)。例如：電子政務內(nèi)網(wǎng)CA、電子政務外

網(wǎng)CA、公眾服務CA、第三方服務CA、國際電子商務CA、行業(yè)CA、地區(qū)CA、企業(yè)專用CA、

特殊業(yè)務專用CA等。

b)CA機構(gòu)級別：指CA是哪一級的證書管理機構(gòu)。例如根CA、一級CA、二級CA、代理CA等。

c)CA系統(tǒng)型號：指CA與KMC的聯(lián)結(jié)類型。包括CA與KMC分立型和CA與KMC聯(lián)結(jié)型。

d)CA機構(gòu)所在地：指CA的所在地。包括省會、直轄市、單列市、普通城市等。

e)CA機構(gòu)編號：全國順序編號或CA在所屬?。ㄊ校┑貐^(qū)的順序號。

f)CA的名稱縮寫：本規(guī)范定義，取4-5位英文縮寫字母標識CA的名稱。

g)CA的名稱全稱：指CA機構(gòu)的注冊名稱。

對CA進行代碼編寫時，可以考慮其上述特性。其中，a)、b)、c)、d)、e)為必選項，f)、g)

為可選項。利用CA的特性區(qū)分不同的CA.。

5.2CA代碼的標識項

本規(guī)范定義CA代碼標識項包括五個部分：性質(zhì)、級別、類型、地區(qū)、在本地區(qū)的順序編號，共

16個字節(jié)。

a)CA機構(gòu)性質(zhì)：第1-2位

定義：電子政務外網(wǎng)類CA服務系統(tǒng)（2×），例如：電子政務外網(wǎng)辦公CA服務系統(tǒng)（20），

電子政務外網(wǎng)公眾CA服務系統(tǒng)（21）；行業(yè)類CA服務系統(tǒng)（3×），第三方類CA服務系統(tǒng)（4

×），地區(qū)類CA服務系統(tǒng)（50），其余暫未定義。（這里僅給出一些參考實例：多種類服務系

統(tǒng)（60），商業(yè)類CA服務系統(tǒng)（70），企業(yè)類CA服務系統(tǒng)（80）。）

b)CA機構(gòu)級別：第3位，記為0，1，2，3，4，5，6，7，8，9。

根CA（0），一級CA（1），二級CA（2），依次類推。

c)CA類型：第4位，即為1，2兩類。

CA與KMC分立型（1），CA與KMC聯(lián)結(jié)型（2）。

d)CA機構(gòu)所在地：第5-8位，以省級（自治區(qū)、直轄市）地區(qū)為基本點進行所在地編碼。省

區(qū)地址采用國家關于省區(qū)編碼標準的前2位數(shù)字，編碼范圍為11－82。如表1所示。

2

GB/TXXXXX—XXXX

表1CA省級地區(qū)代碼表

名稱代碼名稱代碼

北京市11湖南省43

天津市12廣東省44

河北省13廣西壯族自治區(qū)45

山西省14海南省46

內(nèi)蒙古自治區(qū)15重慶市50

遼寧省21四川省51

吉林省22貴州省52

黑龍江省23云南省53

上海市31西藏自治區(qū)54

江蘇省32陜西省61

浙江省33甘肅省62

安徽省34青海省63

福建省35寧夏回族自治區(qū)64

江西省36新疆維吾爾自治區(qū)65

山東省37臺灣省71

河南省41香港特別行政區(qū)81

湖北省42澳門特別行政區(qū)82

e)CA機構(gòu)順序號：第9-12位，表示各個CA在本地區(qū)的順序號，可記為0000到9999。

CA順序編號以所在地的省級為編號單位見GB/T18521，一個編號對應唯一的CA機構(gòu)。

本標準推薦以省級為單位順序編號。

f）預留標識：第13-16位，作為預留編碼，不具體定義時為0000。

部分編碼案例參見附錄C。

5.3CA代碼描述項

a)CA名稱：指該CA被批準的名稱全稱；

b)CA名稱簡稱：指該CA被批準的名稱（依據(jù)現(xiàn)有慣例）以其英文的縮寫字母或漢語拼音縮

寫字母表示，取4－5個字符。例如：中國電信CA可記做CTCA，中國金融CA可記做CFCA，

中國電子口岸CA可記做CECA，北京CA可記做BJCA，頤信CA可記做YXCA，天威誠信CA

可記做TCCA，中國稅務CA可記做CTXCA等；

c)CA產(chǎn)品號：指該CA通過國家相關部門進行安全性審查后，頒發(fā)給該CA的產(chǎn)品號；

d)CA機構(gòu)運營證號：指該CA運營機構(gòu)通過國家相關部門認可后，頒發(fā)的運營許可證號；

3

GB/TXXXXX—XXXX

在CA代碼標識中，CA代碼的描述項可采取目錄表方式，存在根CA目錄服務器中，提供系

統(tǒng)查詢使用，也可作為代碼的附注，發(fā)布于目錄服務器。

6CA代碼應用數(shù)據(jù)結(jié)構(gòu)

6.1數(shù)字證書中CA代碼定義

為保證證書的通用性以及一般慣例，本規(guī)范把CA代碼項定義在GB/T20518-2006數(shù)字

證書的私有Internet擴展中，證書擴展項的定義如下：

Extension::=SEQUENCE{

extnIDOBJECTIDENTIFIER

criticalBOOLEANDEFAULTFALSE

extnValueOCTETSTRING}

具體描述如下：

a)extnID定義

extnID是OID標志符：

id-caDataOBJECTIDENTIFIER::={iso(1)member-body(2)cn(156)ncb(10197)ca(4)

oid(3)}，CA代碼的OID應符合GB/T20518-2006證書擴展域“0197”范疇。根據(jù)

目前的定義順序，擬定義CA代碼的OID為“0197.4.3”。

b)Critical定義

Critical為關鍵項標志，這里取非關鍵項。

c)extnValue定義

extnValue指實際定義的CA代碼項，該代碼項具體由CaData結(jié)構(gòu)表述，是CA代碼數(shù)

據(jù)結(jié)構(gòu)定義，為了便于擴展和直觀展現(xiàn)CA代碼，定義CA代碼項的數(shù)據(jù)結(jié)構(gòu)：

CA數(shù)據(jù)內(nèi)容類型應具有GB/T16262.1-2006類型的CaData：

CaData::=SEQUENCE{

cacodeCACode

}

CACode::=SEQUENCE{

FatherCA[0]IMPLICITOCTETSTRINGOPTIONAL

OwnerCA[1]IMPLICITOCTETSTRING

OwnerCAName[2]IMPLICITPrintableStringOPTIONAL

}

其中FatherCA為上級（父）CA代碼，為可選項。

OwnerCA為本CA的代碼，為必選項。

OwnerCAName為本CA的英文或漢語拼音縮寫名字，為可選項，如CFCA、CTCA。

擴展項CA代碼定義則如下：

Extension::=SEQUENCE{

extnIDid-caData

criticalFALSE

cacadaCaData}

6.2CA代碼數(shù)據(jù)結(jié)構(gòu)DER編解碼示例

4

GB/TXXXXX—XXXX

由GB/T16262.1-2006的OID編碼一節(jié)的方法，應用需要將點分形式的CAOID

“0197.4.3”轉(zhuǎn)換為證書中的DER編碼方式：2a560b0707。那么CA代碼OID

的完整編碼就是：06072a811ccf550403。

下面假設這樣的數(shù)據(jù)：父CA代碼“4311440000010000”，本CA代碼“4312440000120000”，

本CA名稱“AACA”，那么證書中私有擴展項中這樣編碼：

3037

06072a811ccf550403

042c

302a

811a34333131343430303030303130303030

//4311440000010000

821a34333132343430303030313230303030

//4312440000120000

830441414341//AACA

其中商用密碼領域中的相關OID定義見附錄B。

7CA代碼管理機制

7.1CA代碼管理機構(gòu)

國家根CA管理機構(gòu)負責對CA代碼的編制、審批、分配發(fā)布、撤銷等管理工作。

7.2CA代碼的申請與審批

7.2.1代碼申請

由CA建設單位向代碼管理機構(gòu)申請本CA代碼。代碼申請需在該CA安全性審查之前完成。

7.2.2代碼審批

代碼管理機構(gòu)在接到申請后，需依據(jù)國家規(guī)定和政策，實施審批。審批期限不應超過三個月。

7.2.3代碼發(fā)布

經(jīng)過國家審批的CA代碼應及時通過國家或地區(qū)目錄服務器發(fā)布，并鏡像給其他相關目錄服務系統(tǒng)。

7.2.4代碼撤銷

停止運營的CA、機構(gòu)合并的CA機構(gòu)或該CA系統(tǒng)實際上不能發(fā)揮作用時，管理機構(gòu)可撤銷其代碼，并

向相應目錄服務系統(tǒng)發(fā)布。

7.2.5代碼查詢

國家或地區(qū)目錄服務系統(tǒng)可為整個系統(tǒng)提供CA代碼查詢服務。查詢協(xié)議采用國家LDAP協(xié)議標準。查

詢地址為國家根CA機構(gòu)（0197.4.3）。

8CA代碼在目錄服務器中的表述

id-caDataOBJECTIDENTIFIER::={iso(1)member-body(2)

5

GB/TXXXXX—XXXX

cn(156)ncb(10197)ca(4)oid(3)}

CA數(shù)據(jù)內(nèi)容類型應具有GB/T16262.1-2006類型的CaData：

CaData::=SEQUENCE{

cacodeCACode

}

CACode::=SEQUENCE{

FatherCA[0]IMPLICITOCTETSTRINGOPTIONAL

OwnerCA[1]IMPLICITOCTETSTRING

OwnerCAName[2]IMPLICITPrintableStringOPTIONAL

OwnerCARealName[3]IMPLICITPrintableStringOPTIONAL

OwnerCATypeNumber[4]IMPLICITPrintableStringOPTIONAL

OwnerCARegNumber[5]IMPLICITPrintableStringOPTIONAL

}

其中FatherCA為上級（父）CA代碼。

OwnerCA為本CA的代碼。

OwnerCAName為本CA的名字如CFCA、CTCA。

OwnerCARealName為本CA的實名，如北京數(shù)字證書認證系統(tǒng)。

OwnerCATypeNumber為國家密碼管理局批復的本CA的產(chǎn)品型號。

OwnerCARegNumber為國家工業(yè)和信息化產(chǎn)業(yè)部批準的運營號。

CA機構(gòu)代碼在目錄服務器中的格式內(nèi)容參見附錄A和附錄D。

6

GB/TXXXXX—XXXX

AA

附錄A

（資料性附錄）

CA機構(gòu)代碼在目錄服務器中的文本條目格式

A.1說明

LDIF用文本格式表示目錄數(shù)據(jù)庫的信息，以方便用戶創(chuàng)建、閱讀和修改。在LDIF文件中，一個條目

的基本格式如下：

#注釋

dn:條目名

屬性描述:值

屬性描述:值

屬性描述:值

......

dn行類似于關系數(shù)據(jù)庫中一條記錄的關鍵字，不能與其他dn重復。一個LDIF文件中可以包含多個條

目，每個條目之間用一個空行分隔。本例中，ldap默認是用的BerkeleyDB數(shù)據(jù)庫存儲目錄數(shù)據(jù)。

A.2Linux下的一個ldif文件L.ldif

新建一個ldif(LDAPDataInterchangedFormat)文件(純文本格式)舉例。

dn:o=60111101.org頂級記錄的區(qū)分名（dn），是目錄樹的根

o:組織（o），賦值為“”

objectclass:top對象的對象類，定義為top

objectclass:dcobject對象的標識碼

objectclass:organization對象的類型,這里是組織對象

dc:60111101一個機構(gòu)的代碼，標識北京CA的代碼

o:BJCA組織的名字縮寫

cn:北京數(shù)字證書認證系統(tǒng)通用名稱

l:北京市海淀區(qū)城市或地理區(qū)域名字

mail：EMAILADDRESS電子信箱地址

typenumber:TYPENUMBER國家密碼管理局批準的型號

regnumber:REGISTRATIONNUMBER中華人民共和國工業(yè)和信息化部頒發(fā)的運營準許證號

telNumber：8662951234帶有所在的國家的代碼的電話號碼

pk:PUBLICKEY本CA的公鑰pk（SM2_ECC256）

sig:SIGNATURE根CA對pk的數(shù)字簽名

preferredlanguage:chn母語采用漢語

7

GB/TXXXXX—XXXX

BB

附錄B

（規(guī)范性附錄）

商用密碼領域中的相關OID定義

對象標識符OID對象標識符定義備注

通用對象標識符

1.2國際標準化組織成員標識

1.2.156中國

97國家密碼管理局

0197國家密碼標準技術委員會

0197.1密碼算法

分組密碼算法對象標識符

0197.1.100分組密碼算法

0197.1.101SM6分組密碼算法

0197.1.102SM1分組密碼算法

0197.1.103SSF33密碼算法

0197.1.104SM4分組密碼算法

0197.1.105SM7分組密碼算法

0197.1.106SM8分組密碼算法

序列密碼算法對象標識符

0197.1.200序列密碼算法

0197.1.201SM5序列密碼算法

公鑰密碼算法對象標識符

0197.1.300公鑰密碼算法

0197.1.301SM2橢圓曲線密碼算法

0197.1.301.1SM2-1橢圓曲線數(shù)字簽名算法

0197.1.301.2SM2-2橢圓曲線密鑰交換協(xié)議

0197.1.301.3SM2-3橢圓曲線加密算法

ECC橢圓曲線密碼算法*

ECC橢圓曲線*

0197.1.302SM9標識密碼算法

0197.1.302.1SM9-1數(shù)字簽名算法

0197.1.302.2SM9-2密鑰交換協(xié)議

0197.1.302.3SM9-3密鑰封裝機制和公鑰加密算法

RSA密碼算法*

雜湊算法對象標識符

0197.1.400雜湊算法

0197.1.401SM3密碼雜湊算法

8

GB/TXXXXX—XXXX

0197.1.401.1SM3密碼雜湊算法，無密鑰使用

0197.1.401.2SM3密碼雜湊算法，有密鑰使用

SHA_1算法*

SHA_1有密鑰*

SHA_256算法*

SHA_256無密鑰*

SHA_256有密鑰*

組合運算算法對象標識符

0197.1.500組合運算機制

0197.1.501基于SM2算法和SM3算法的簽名

0197.1.502基于SM2算法和SHA_1算法的簽名

0197.1.503基于SM2算法和SHA_256算法的簽

名

0197.1.504基于RSA算法和SM3算法的簽名

基于RSA算法和SHA_1算法的簽名*

基于RSA算法和SHA_256算法的簽

名*

CA代碼對象標識符

0197.4.3CA代碼

標準體系對象標識符

0197.6標準體系公鑰密碼基礎設施應

0197.6.1基礎類用技術標準體系

0算法類

0標識類

0工作模式

0安全機制

0.1SM2密碼使用規(guī)范

0.2SM2加密簽名消息語法規(guī)范

0197.6.2設備類

0197.6.3服務類

0197.6.4基礎設施

0197.6.5檢測類

0197.6.6管理類

注：帶*項表示該項采用國際通用標識符，本規(guī)范不再另行定義。

9

GB/TXXXXX—XXXX

CC

附錄C

（資料性附錄）

部分CA編碼示例

CA名稱性質(zhì)級別類型地址編號編碼名稱簡稱

北京CA60111101*6011110000010000BJCA

天威誠信CA40111104*4011110000040000TWCCA

頤信CA40111105*4011110000050000YXCA

金融CA30111103*3011110000030000CFCA

電子口岸CA30111102*3011110000020000CECA

上海CA601131016011310000010000SHCA

天津CA501112015011120000010000TJCA

重慶CA601150016011500000010000CQCA

吉林CA501122015011220000010000JLCA

遼寧CA601121015011210000010000LNCA

黑龍江CA23HLJCA

河北CA501113015011130000010000HBCA

山西CA501114015011140000010000SXCA

內(nèi)蒙CA215NMCA

山東CA501137015011370000010000SDCA

江蘇CA501132015011320000010000JSCA

浙江CA501133015011330000010000ZJCA

福建CA501135015011350000010000FJCA

安徽CA501134015011340000010000AHCA

江西CA501136015011360000010000JXCA

河南CA501141015011410000010000HNCA

湖北CA501142015011420000010000HUBCA

10

GB/TXXXXX—XXXX

湖南CA501143015011430000010000HUNCA

廣東CA501144015011440000010000GDCA

廣西CA501145015011450000010000GXCA

海南CA46HANCA

四川CA51SCCA

貴州CA501152015011520000010000GZCA

云南CA501153015011530000010000YNCA

西部(寧夏)CA601164016011640000010000XBCA

陜西CA501161015011610000010000SHXCA

甘肅CA501162015011620000010000GSCA

新疆CA501165015011650000010000XJCA

青海CA63QHCA

西藏CA54XZCA

注：帶*者為暫定號

11

GB/TXXXXX—XXXX

DD

附錄D

（資料性附錄）

DER編碼中TLV規(guī)則

DER編碼中最常見的數(shù)據(jù)格式是TLV，即數(shù)據(jù)類型、長度、值。其中的T是TAG首字母，

L是Length的首字母，V是Value的首字母。

C1原始標志符

最原始的類型標識符（TAG）有：