ICS  35.040 A 24 DB35 福 建 省 地 方 标 准 DB35/T 1493—2015 组织机构数字证书技术规范 Technical Specifications for Organization Digital Certificate 2015 - 02 - 28 发布 2015 - 06 - 01 实施 福建省质量技术监督局     发 布 福 建 省 地 方 标 准 组织机构数字证书技术规范 DB35/T 1493—2015 * 2015 年 4 月第一版 2015 年 4 月第一次印刷 DB35/T 1493—2015 目    次 前    言 ............................................................................ II  1 范围 .............................................................................. 1  2 规范性引用文件 .................................................................... 1  3 术语和定义 ........................................................................ 1  4 缩略语 ............................................................................ 3  5 USB-Key 内部存储结构 ............................................................... 3  5.1 5.2 5.3 5.4 6 存储结构图 .................................................................... 数字应用区 .................................................................... 组织机构代码应用区 ............................................................ 扩展应用区 .................................................................... 3  4  4  4  数字证书信息 ...................................................................... 4  6.1 数字证书基本格式 .............................................................. 4  6.2 数字证书模板 .................................................................. 9  6.3 CRL 格式 ...................................................................... 10  7 组织机构代码信息 ................................................................. 11  7.1 7.2 7.3 7.4 8 概述 ......................................................................... 文件结构 ..................................................................... 文件定义与文件数据项定义 ..................................................... 数据的权限管理 ............................................................... 11  11  12  13  扩展应用区 ....................................................................... 14  I DB35/T 1493—2015 前    言 本标准按照 GB/T 1.1-2009《标准化工作导则 第 1 部分：标准的结构和编写》的规则进行编写。 本标准由福建省标准化研究院提出。 本标准由福建省信息化标准化技术委员会归口。 本标准起草单位：福建省标准化研究院、福建凯特信息安全技术有限公司。 本标准主要起草人：周顺骥、郑小武、钟文斌、郑剑平、林倩如、韩彬。 Ⅱ DB35/T 1493—2015 组织机构数字证书技术规范 1 范围 本标准规定了组织机构数字证书的存储结构及其数字证书信息、组织机构代码信息、扩展应用的技 术要求。 本标准适用于全省组织机构数字证书的颁发单位、应用单位、第三方认证机构以及证书介质的供应 商。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。 凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 2260 中华人民共和国行政区划代码 GB/T 2659 世界各国和地区名称代码 GB/T 4754 国民经济行业分类 GB/T 7408-2005 数据元和交换格式 信息交换 日期和时间表示法 GB 11714-1997 全国组织机构代码编制规则 GB/T 12406 表示货币和资金的代码 GB/T 18392 中华人民共和国组织机构代码证集成电路(IC)卡技术规范 GB/T 20518-2006 信息安全技术 公钥基础设施 数字证书格式 GM/T 0009-2012 SM2密码算法使用规范 3 术语和定义 下列术语和定义适用于本文件。 3.1 USB-Key 是一种采用USB接口的智能存储设备，可用于存放数字证书，内有CPU芯片，可进行数字签名和签 名验证的运算等。 3.2 证书认证机构 certificate authority 负责创建和分配证书，受用户信任的权威机构。用户可以选择该机构为其创建密钥。 [GB/T 20518-2006,定义3.5] 1 DB35/T 1493—2015 3.3 数字证书 digital certificate 由国家认可的，具有权威性、可信性和公正性的第三方证书认证机构（CA）进行数字签名的一个可 信的数字化文件。 [GB/T 20518-2006,定义3.7] 3.4 CA 系统 certificate authentication system 证书认证机构对数字证书进行证书生命周期全过程管理的安全系统。 3.5 主控文件 master file 主控文件是整个文件系统的根（可看作根目录），每张USB-Key有且仅有一个主控文件。 3.6 专用文件 dedicated file 在主控文件（或专用文件）下针对不同的应用建立起来的一种文件，是位于主控文件之下的含有基 本文件的一种文件结构（可看作文件目录），它存储了某个应用的全部数据以及与应用操作相关的安全 数据。 3.7 基本文件 elementary file 基本文件存储了各种应用的数据和管理信息，它存在于专用文件下。在基本文件下不能再建任何文 件。 3.8 密钥文件 key file 存放密钥的文件，不可由外界读出。 3.9 应用定义文件 application definition file 用于定义一个具体的应用。在该应用下可建立多个基本文件和密钥文件。 3.10 目录数据文件 directory definition file 用于创建一个应用环境。在该环境下可建立若干与应用环境相关的应用定义文件和基本文件。 2 DB35/T 1493—2015 3.11 证书撤销列表 certificate revocation list 一个已标识的列表，它指定了一套证书发布者认为无效的证书。除了普通的CRL外，还定义了一些 特殊的CRL外，还定义了一些特殊的CRL类型用于覆盖特殊领域的CRL。 [GB/T 20518-2006,定义3.3] 3.12 终端实体证书 end entity certificate 在证书认证信任体系中，位于末端的用户证书。 4 缩略语 下列缩略语适用于本标准。 ADF 应用定义文件 CA 证书认证机构 COS 卡片操作系统 CRL 证书撤销列表 DDF 目录数据文件 DF 专用文件 EF 基本文件 KF 密钥文件 MF 主控文件 OID 对象标识符 PIN 个人密码 SM2 国家密码管理局批准的SM2密码算法 5 USB-Key 内部存储结构 5.1 存储结构图 在USB-Key存储介质内部，COS文件系统采用树状存储结构，如图1所示。在根目录MF以下，划分成 三个应用大区：数字证书应用区、组织结构代码应用区和扩展应用区。 3 DB35/T 1493—2015 图1 COS 文件系统树状结构图 5.2 数字应用区 数字证书应用区用于数字证书的存放、数字签名、验签等和身份认证相关的应用。 5.3 组织机构代码应用区 组织机构代码应用区用于和组织机构代码信息相关联的各种组织机构代码信息存储、权限管理等应 用。 5.4 扩展应用区 扩展应用区用于其他电子政务类应用。 6 数字证书信息 6.1 数字证书基本格式 6.1.1 基本结构 数字证书的基本结构由基本证书域（TBSCertificate）、签名算法域（signatureAlgorithm）、签 名值域（signatureValue）等三部分组成，如图2所示。其中，基本证书域由基本域和扩展域组成。 4 DB35/T 1493—2015 基本域 基本证书域 扩展域 数字证书 签名算法域 签名值域 图2 6.1.2 数字证书基本结构示意图 基本证书域 6.1.2.1 6.1.2.1.1 基本域 组成 基本域由以下部分组成： a) 版本（version）； b) 序列号（serialNumber）； c) 签名算法（signature）； d) 颁发者（issuer）； e) 有