DB35/T 1493-2015 组织机构数字证书技术规范

ICS

35.040

A24

DB35

福建省地方标准

DB35/T1493—2015

组织机构数字证书技术规范

TechnicalSpecificationsforOrganizationDigitalCertificate

2015-02-28发布2015-06-01实施

福建省质量技术监督局

发布

福建省地方标准

组织机构数字证书技术规范

DB35/T1493—2015

*

2015年4月第一版2015年4月第一次印刷

DB35/T1493—2015

目

次

前

言............................................................................II

1范围..............................................................................1

2规范性引用文件....................................................................1

3术语和定义........................................................................1

4缩略语............................................................................3

5USB-Key内部存储结构...............................................................3

5.1存储结构图....................................................................3

5.2数字应用区....................................................................4

5.3组织机构代码应用区............................................................4

5.4扩展应用区....................................................................4

6数字证书信息......................................................................4

6.1数字证书基本格式..............................................................4

6.2数字证书模板..................................................................9

6.3CRL格式......................................................................10

7组织机构代码信息.................................................................11

7.1概述.........................................................................11

7.2文件结构.....................................................................11

7.3文件定义与文件数据项定义.....................................................12

7.4数据的权限管理...............................................................13

8扩展应用区.......................................................................14

I

DB35/T1493—2015

前

言

本标准按照GB/T1.1-2009《标准化工作导则第1部分：标准的结构和编写》的规则进行编写。

本标准由福建省标准化研究院提出。

本标准由福建省信息化标准化技术委员会归口。

本标准起草单位：福建省标准化研究院、福建凯特信息安全技术有限公司。

本标准主要起草人：周顺骥、郑小武、钟文斌、郑剑平、林倩如、韩彬。

Ⅱ

DB35/T1493—2015

组织机构数字证书技术规范

1范围

本标准规定了组织机构数字证书的存储结构及其数字证书信息、组织机构代码信息、扩展应用的技

术要求。

本标准适用于全省组织机构数字证书的颁发单位、应用单位、第三方认证机构以及证书介质的供应

商。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T2260中华人民共和国行政区划代码

GB/T2659世界各国和地区名称代码

GB/T4754国民经济行业分类

GB/T7408-2005数据元和交换格式信息交换日期和时间表示法

GB11714-1997全国组织机构代码编制规则

GB/T12406表示货币和资金的代码

GB/T18392中华人民共和国组织机构代码证集成电路(IC)卡技术规范

GB/T20518-2006信息安全技术公钥基础设施数字证书格式

GM/T0009-2012SM2密码算法使用规范

3术语和定义

下列术语和定义适用于本文件。

3.1

USB-Key

是一种采用USB接口的智能存储设备，可用于存放数字证书，内有CPU芯片，可进行数字签名和签

名验证的运算等。

3.2

证书认证机构certificateauthority

负责创建和分配证书，受用户信任的权威机构。用户可以选择该机构为其创建密钥。

[GB/T20518-2006,定义3.5]

1

DB35/T1493—2015

3.3

数字证书digitalcertificate

由国家认可的，具有权威性、可信性和公正性的第三方证书认证机构（CA）进行数字签名的一个可

信的数字化文件。

[GB/T20518-2006,定义3.7]

3.4

CA系统certificateauthenticationsystem

证书认证机构对数字证书进行证书生命周期全过程管理的安全系统。

3.5

主控文件masterfile

主控文件是整个文件系统的根（可看作根目录），每张USB-Key有且仅有一个主控文件。

3.6

专用文件dedicatedfile

在主控文件（或专用文件）下针对不同的应用建立起来的一种文件，是位于主控文件之下的含有基

本文件的一种文件结构（可看作文件目录），它存储了某个应用的全部数据以及与应用操作相关的安全

数据。

3.7

基本文件elementaryfile

基本文件存储了各种应用的数据和管理信息，它存在于专用文件下。在基本文件下不能再建任何文

件。

3.8

密钥文件keyfile

存放密钥的文件，不可由外界读出。

3.9

应用定义文件applicationdefinitionfile

用于定义一个具体的应用。在该应用下可建立多个基本文件和密钥文件。

3.10

目录数据文件directorydefinitionfile

用于创建一个应用环境。在该环境下可建立若干与应用环境相关的应用定义文件和基本文件。

2

DB35/T1493—2015

3.11

证书撤销列表certificaterevocationlist

一个已标识的列表，它指定了一套证书发布者认为无效的证书。除了普通的CRL外，还定义了一些

特殊的CRL外，还定义了一些特殊的CRL类型用于覆盖特殊领域的CRL。

[GB/T20518-2006,定义3.3]

3.12

终端实体证书endentitycertificate

在证书认证信任体系中，位于末端的用户证书。

4缩略语

下列缩略语适用于本标准。

ADF应用定义文件

CA证书认证机构

COS卡片操作系统

CRL证书撤销列表

DDF目录数据文件

DF专用文件

EF基本文件

KF密钥文件

MF主控文件

OID对象标识符

PIN个人密码

SM2国家密码管理局批准的SM2密码算法

5USB-Key内部存储结构

5.1存储结构图

在USB-Key存储介质内部，COS文件系统采用树状存储结构，如图1所示。在根目录MF以下，划分成

三个应用大区：数字证书应用区、组织结构代码应用区和扩展应用区。

3

DB35/T1493—2015

图1COS文件系统树状结构图

5.2数字应用区

数字证书应用区用于数字证书的存放、数字签名、验签等和身份认证相关的应用。

5.3组织机构代码应用区

组织机构代码应用区用于和组织机构代码信息相关联的各种组织机构代码信息存储、权限管理等应

用。

5.4扩展应用区

扩展应用区用于其他电子政务类应用。

6数字证书信息

6.1数字证书基本格式

6.1.1基本结构

数字证书的基本结构由基本证书域（TBSCertificate）、签名算法域（signatureAlgorithm）、签

名值域（signatureValue）等三部分组成，如图2所示。其中，基本证书域由基本域和扩展域组成。

4

DB35/T1493—2015

基本域

基本证书域

扩展域

数字证书签名算法域

签名值域

图2数字证书基本结构示意图

6.1.2基本证书域

基本域

.1组成

基本域由以下部分组成：

a)版本（version）；

b)序列号（serialNumber）；

c)签名算法（signature）；

d)颁发者（issuer）；

e)有效期（validity）；

f)主体（subject）；

g)主体公钥信息（subjectPublicKeyInfo）。

.2版本

本项描述了数字证书的版本号。数字证书应使用版本3（对应的数值是整数2）。

.3序列号

本项是CA系统分配给每个证书的一个正整数，一个CA系统签发的每张证书的序列号应是唯一的。序

列号最长可为20个8位bit的序列号值。证书更新时序列号应改变。

.4签名算法

本项包含CA签发该证书所使用的密码算法的标识符，算法标识符应与证书中signatureAlgorithm

项的算法标识符相同。签名算法应符合国家密码主管部门对密码算法的规定，采用SM2算法。

.5颁发者

本项标识了证书签名和证书颁发的实体。它必须包含一个非空的可甄别名。该项被定义为X.500的

Name类型。颁发者甄别名称（DistinguishedName，简称DN）的C（Country）属性的编码应使用Printable-

String。Email属性的编码应使用IA5String。其它属性的编码应一律使用UTF8String。证书颁发者DN

编码规范如表1所示。

5

DB35/