DB12-T411-1-2009电子认证应用管理平台接入技术规范第1部分-组织机构证书

1、ICS35.100.70 L79备案号：天津市DB12地 方 标 准DB12/T 411.12009电子认证应用管理平台接入技术规范 第1部分： 组织机构证书Technical Specification for Access The Electronic-Authentication Application Management PlatformPart1: Organization Certificate2009-08-10发布2009-11-01实施天 津 市 质 量 技 术 监 督 局 发 布IDB12/T 411.12009目 次前言 1 范围 HYPERLINK l _bookma

2、rk2 12 规范性引用文件 HYPERLINK l _bookmark3 13 术语、定义和缩略语 HYPERLINK l _bookmark4 13.1组织机构证书Organization Certificate HYPERLINK l _bookmark5 13.2智能卡芯片操作系统(COS-Chip Operating System) HYPERLINK l _bookmark6 13.3 USB-Key(或Key) HYPERLINK l _bookmark7 13.4主控文件Master File HYPERLINK l _bookmark8 13.5专用文件Dedicated F

3、ile HYPERLINK l _bookmark9 13.6基本文件Elementary File HYPERLINK l _bookmark10 13.7密钥文件Key File HYPERLINK l _bookmark1 23.8DF HYPERLINK l _bookmark1 23.9EF HYPERLINK l _bookmark1 23.10MF HYPERLINK l _bookmark1 23.11KF HYPERLINK l _bookmark1 23.12PIN HYPERLINK l _bookmark1 23.13CA HYPERLINK l _bookmark1

4、23.14RSA HYPERLINK l _bookmark1 23.15EEPROM HYPERLINK l _bookmark1 24 介质要求 HYPERLINK l _bookmark1 24.1 介质的物理要求 HYPERLINK l _bookmark1 24.2 操作系统支持 HYPERLINK l _bookmark1 24.3文件系统 HYPERLINK l _bookmark1 24.4 用户和权限 HYPERLINK l _bookmark11 34.5PN码管理 HYPERLINK l _bookmark12 45 数字证书信息 HYPERLINK l _bookmar

5、k13 45.1 概述 HYPERLINK l _bookmark14 45.2主体项构成 HYPERLINK l _bookmark15 45.3扩展项定义 HYPERLINK l _bookmark16 56 组织机构代码信息 HYPERLINK l _bookmark17 56.1 一般要求 HYPERLINK l _bookmark18 56.2 文件结构 HYPERLINK l _bookmark19 56.3文件定义与文件数据项定义 HYPERLINK l _bookmark20 66.4 文件信息编码与组织 HYPERLINK l _bookmark21 77 其他应用信息 HY

6、PERLINK l _bookmark22 87.1 一般要求 HYPERLINK l _bookmark23 87.2文件结构 HYPERLINK l _bookmark24 87.3 文件定义与文件数据项定义 HYPERLINK l _bookmark25 98 数字证书应用接口 HYPERLINK l _bookmark26 9DB12/T 411.12009前 言本标准是DB12/T411 的第1部分。本标准由天津市经济和信息化委员会、天津市质量技术监督信息研究所提出。本标准由天津市经济和信息化委员会负责解释。本标准主要起草单位：天津市经济和信息化委员会、天津市天正信息系统工程监理有限

7、公司、长春吉大正元信息技术股份有限公司、天津市质量技术监督信息研究所。本标准于2009年8月首次发布。本部分主要起草人： 刘杰、鲍顿、王家祥、张博华、王德庆、果植昌、祝巍、杨帆、由方岚。I1DB12/T 411.12009电子认证应用管理平台接入技术规范第1部分： 组织机构证书1 范围本部分规定了组织机构证书的术语、定义和缩略语、介质要求、数字证书信息、组织机构代码信息 及其他应用信息。本部分适用于天津市组织机构证书的管理与应用。2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的 修改单(不包括勘误的内容)或修订版均不适用于本标准，然而，鼓

8、励根据本标准达成协议的各方研究 是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB/T 20518-2006 信息安全技术公钥基础设施数字证书格式3 术语、定义和缩略语下列术语、定义和缩略语适用于本部分。3.1组织机构证书 Organization Certificate组织机构证书是将组织机构代码证书与数字证书相结合，同时拥有组织机构代码证书电子副本及数 字证书的功能。3.2智能卡芯片操作系统 COS-Chip Operating System简称COS。智能卡芯片操作系统是指在智能卡芯片中存储和运行的、以保护存储在非易失性存储器 中的应用数据或程序的机密性和

9、完整性、控制智能卡芯片与外界信息交换为目的的嵌入式软件。3.3USB-Key(或Key)采用USB接中的具备密码运算能力的集成电路卡(智能卡)。3.4主控文件 Master File简称MF。主控文件(MF)是整个COS文件系统的根，每个COS系统有且仅有一个主控文件。其文件标 识符为固定的3FD0。3.5专用文件 Dedicated File简称DF。专用文件(DF)是在MF下针对不同的应用建立起来的一种文件，是位于MF之下的含有EF 的一种文件结构，它存储了某个应用的全部数据以及与应用操作相关的安全数据。3.6基本文件 Elementary File2DB12/T 411.12009简称E

10、F。基本文件存储了各种应用的数据和管理信息，它存在于MF和DF下。在EF下不能再建立任何 文件。3.7密钥文件 Key File简称KF。密钥文件(KF)是安全基本文件(Secret Elementary File)一种类型，包含用于用户识 别和与加密有关的保密数据。在MF和每个DF下只能建立一个安全基本文件。3.8DF专用文件(Dedicated File)3.9EF基本文件(lementary File)3.10MF主控文件(Master File)3.11KF密钥文件(Key File)3.12PIN个人密码(Personal Identification Number)3.13CA证书

11、发行机构(Certification Authority)3.14RSA一种非对称加密算法3.15EEPROM电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory)4 介质要求组织机构证书的物理介质为基于USB接口的智能卡(USB-Key)。智能卡芯片操作系统应符合国家强 制性要求，并取得国家密码管理部门的许可。4.1 介质的物理要求智能卡应采用32位以上CPU,内部存储器应大于64K字节，支持USB1.1或2.0接口，存储时间应大于 10年，EEPROM可擦写10万次以上。4.2 操作系统支持USB-Key应支持目前

12、主流的操作系统，如MicrosoftWindows系列桌面及服务器操作系统，以及主流 的Linux操作系统。4.3 文件系统数字证书以及其他应用相关数据文件存储在介质内部的存储空间中，通常是智能卡的EEPROM中。文 件存储的逻辑结构如图1所示。3图1 COS文件系统树状结构图COS中的文件系统在智能卡的预个人化阶段中由发行商(Issuer)根据卡的应用而创建。组织机构 证书的介质卡中的文件系统的创建由组织机构证书管理部门负责规划，委托组织机构证书的发行CA机构 实施操作。4.4 用户和权限用户类型及权限分配见表1。表1用户类型及权限分配表用户类型权限分配管理员用)户用于初始化USB-Key中

13、的文件结构;创建其他用户，创建特定的DF和文件; 也可用于解锁数字证书用户的PIN码。数字证书用户在特定的DF下：1.生成RSA密钥对;2.导入RSA密钥对;3.创建二进制数据文件，读写该二进制数据文件;4.能使用所有的RSA密钥对进行加密解密。应用用户在特定的DF下：仅能读写特定的二进制数据文件;若此用户有此DF下创建文件的权限，则 可创建文件。DB12/T 411.12009为防止多个用户间的数据写入干扰及保护各应用单位在USB-Key中相关应用数据的安全，应用用户 仅有权读取或写入其对应DF下的文件。对于一个给定应用的DF,数字证书用户以及其它应用用户都不能 读取或写入该DF下的二进制数

14、据文件。4.5 PIN码管理每个USB-Key管理员PIN与其他USB-Key的管理员PIN应不一致，即实现每个USB-Key对应一个独立的 PIN。其中管理员PIN由组织机构证书发行CA机构进行相应管理、保存和使用;数字证书用户PIN由最终 用户进行相应管理、保存和使用;应用用户PIN由对应的应用提出单位进行相应管理、保存和使用。5 数字证书信息5.1 概述数字证书的基本结构，以及数字证书中的各数据项内容参照GB/T 20518-2006中的描述。本部分参照GB/T 20518-2006有关证书主体项和扩展项的描述定义了组织机构证书主体项和组织机 构代码扩展项。5.2 主体项构成数字证书的主

15、体项(subject)描述了与主体公钥项中的公钥相对应的实体。当主体项非空时，这 个项必须包含一个X.500的甄别名称(DistinguishedName),一个CA认证的每个主体实体的甄别名称必须是唯一的。一个给定对象的识别名是由表示对象的条目及其所有上级条目的RDN (RelativeDistinguishedName)序列(以递减顺序排列)组成的。图2显示了RDN和DN概念的一个示例。构成组织机构证书的主体项甄别名称的相对甄别名的命名和使用由组织机构证书管理机构负 定和维护。RDN 识别名ROOTCougtriesorganizationsOrganizationalUnitsPeopl

16、e;C=GBC=GBO= TelecomC=GB,O= Telecom(OU= Sales, L = Ipswich)C= GB,O= Telecom, (OU= Sales,L=Ipswich)CN= SmithC=GB,O = Telecom, (OU= Sales,L=Ipswich),CN= SmithX501_F05图2 RDN和DN 概念示例图5.2.1 RDN的确定、命名以及使用约束5.2.1.1 国家名(CountryName)5DB12/T 411.12009国家名属性类型规定了一个国家。在本标准中用“C”来表示该RDN。天津市组织机构证书主体项的 “C”属性值定义为“CN”

17、。5.2.1.2 地理位置名(LocalityName)地理位置名属性类型规定了一个地理位置。地理位置名的一个属性值是一个字符串，在本标准中用“L”来表示该RDN。天津市组织机构证书主体项的“L”属性值定义为“TianJin”。5.2.1.3 行政区县名(StateOrProvinceName)行政区县名属性类型规定了一个行政区划。在本标准中用“S”来表示该RDN。行政区县名的一个属 性值是一个字符串，如S=“heping”。天津市组织机构证书主体项的“S”属性定义为天津市各区县，对于各区县规范的名称由组织机构证书管理部门统一制定。5.2.1.4 组织名(OrganizationName)组织

18、名属性类型规定了一个组织。它标识了被命名的对象所属的组织。在本标准中用“0”来表示 该RDN。天津市组织机构证书主体项中的“0”属性类型被确定为描述该证书的颁发者，其属性值的定义 由组织机构证书管理机构根据颁发证书的CA确定。5.2.1.5 组织单元名(OrganizationUnitName)组织单元名属性类型规定了一个组织单元。它标识了被命名的对象所属的一个组织单元。在本标准 中用“OU”来表未该RDN。组织单元名的使用由组织机构证书管理部门统一制定。对于组织机构证书而 言，实际上不针对无组织机构代码的组织单元，但由于某些用户的特殊需要，为其颁发某些组织需要2 张或2张以上的证书使用，在本

19、标准中规定使用组织单元名用以区分同一组织中组织机构证书及其他非 组织机构证书。5.2.1.6 通用名字(CommonName)通用名字属性类型规定了某个对象的一个标识符。在本标准中用“CN”来表示该RDN。天津市组织 证书主体项中的“CN”属性类型被确定为描述该证书的持有人，其属性值的定义由组织机构证书管理 机构根据该证书持有人的组织机构名称确定。5.3 扩展项定义扩展项定义应符合GB/T 20518-2006中5.2.3.1的规定。5.3.1 标准扩展顶标准扩展应符合GB/T 20518-2006中5.2.3.2的规定。5.3.2 组织机构代码扩展项组织机构代码扩展项Organization

20、Code,用于表示企业组织机构代码，其定义如下：ID-OrganizationCode OBJECT IDENTIFIER:#1.2.156.10260.4.1.4OrganizationCode:=PrintableString组织机构证书的组织机构代码扩展项为关键扩展项。6 组织机构代码信息6.1 一般要求6.1.1 组织机构代码信息由组织机构代码应用用户(即各级组织机构代码管理部门)负责写入，不受 其他应用用户的干扰。6.1.2 写入的组织机构代码信息应与USB-Key中数字证书中的组织机构代码保持一致。6.1.3 写入的组织机构代码信息应经过各级组织机构代码管理部门的设备证书的签名，未

21、被各级组织 机构代码管理部门的设备证书签名的组织机构代码信息不能写入USB-Key中。6.2 文件结构组织机构代码应用的文件结构遵循COS文件系统，采用树状层次结构。其根是主控文件(MF,其标 识为0 x3F00),第二层为扩展应用区域(DF,其标识为Ox3F01),第三层是组织机构代码应用的存储 区域，在其内部创建的基本数据文件(EF)。如图3所示。6DB12/T 411.12009护展应用区域(DF)(0 x3101组织机构代码应用(DF)发证机构数据文件PE01代码基本信息数据文作ERU代码年检信息数据文件图3 组织机构代码信息的文件结构图6.3 文件定义与文件数据项定义6.3.1 发证

22、机构数据文件组织机构代码证书数据文件内容组成及定义见表2。表2代码发证机构数据文件表文件标识0001短文件标识01文件类型线性变长文件存取控制读 ：写 ：序号标志数据项类型长度0101证书流水号AN120202规范版本b010303应用版本b010404初始化日期AN080505初始化机构编码b010606发证机构标识号AN106.3.2代码基本信息数据文件代码基本信患数据文件内容组成及定义见表3。表3代码基本信息息数据文件表文件标识0002短文件标识02文件类型线性变长文件存取控制读 ：写 ：序号标志数据项类型长度0107机构代码AN090208机构名称AN700309机构地址AN7004O

23、A机构类型AN167DB12/T 411.12009表3代码基本信息数据文件表(续)序号标志数据项类型长度05OB机构类型代码B0106OC颁发单位名称AN7007OD颁发日期AN086.3.3代码扩展信息数据文件代码扩展信息数据文件内容组成及定义见表4。表4 代码扩展信息数据文件表文件标识0003短文件标识03文件类型线性变长文件存取控制读 ：写 ：序号标志数据项类型长度018法人代表或负责人姓名AN20029经济类型代码b020310经济类型AN400411批准文号或注册号AN260512注册资金AN060613货币种类代码B030714货币种类AN080815外方投资机构国别或地区代码B

24、030916外方投资机构国别或地区AN241017行政区划代码AN061118邮政编码AN061219电话号码AN161320法人或负责人身份证号AN186.3.4代码年检数据文件代码年检苏据文件各项内容及定义见表5。表5代码年检数据文件表文件标识0004短文件标识04文件类型线性变长文件存取控制读 ：写 ：序号标志数据项类型长度011B年检日期AN08021C年检期限AN086.4 文件信息编码与组织6.4.1 扩展应用的信息组织采用如下规则：6.4.1.1 行分割： 每条记录为一行，行与行之间采用“行分隔符”分割。“行分隔符”采用特殊的不 可打印的ASCII 字符“Ox10”。6.4.1.2 字段名/值分割： 在行内，字段值之间采用“字段分隔符”分割，如图4。若信息中附带字段 名，则字段名与字段值之间采用“字段分隔符”分割;上一个字段值与下一个字段名也采用“字段分隔 符”分割，如图5。“字段分隔符”采用特殊的不可打印的ASCII字符“0