《信息安全技术 地理空间可扩展访问控制标记语言规范》

ICS35.040

L80

中华人民共和国国家标准

GB/TXXXXX—XXXX

信息安全技术公钥基础设施

电子认证机构标识编码规范

Informationsecuritytechnology-publickeyinfrastructures-

certificateauthenticationinstitutionidentityspecification

在提交反馈意见时，请将您知道的相关专利连同支持性文件一并附上

（送审稿）

（本稿完成日期：2013年1月9日）

XXXX-XX-XX发布XXXX-XX-XX实施

GB/TXXXXX—XXXX

引  言

随着我国信息化的发展，全国已经建设了国家根CA和多个CA证书认证系统。为了方便对CA的统一管

理，实现多CA证书的相互识别，需要每个CA系统有一个按照统一规范标准授予的相应代码或对象标识符。

但是，目前各家电子认证机构都是自己设定自己的名称及其格式，没有全国统一的规范代码。本标准对

我国CA系统的标识代码给出了统一规范，以满足我国信息化应用系统对不同CA进行管理以及证书实现互

认的需要。

CA服务机构分为全国性、地方性和行业性等多种类型。《电子签名法》发布后，电子认证服务行业

明确了主管部门，相应的法律法规逐步完善。目前已有多家商业性服务机构准予许可并获得许可证书。

随着CA代码系统的建立，需要有一个规范的代码管理机制。

本标准可用于电子政务、电子商务等多类CA系统。在国家权威机构统一管理下，为每个CA授予相应

的唯一标识代码，为公钥基础设施数字证书认证系统的产品开发商以及公钥基础设施的应用开发商提供

了编码标准的技术支持。

I

GB/TXXXXX—XXXX

信息安全技术公钥基础设施

电子认证机构标识编码规范

1范围

本标准确立了电子认证机构标识代码编制规范的一般原则。

在基于PKI的应用系统中，统一的电子认证机构编码为建立全国性的CA目录查询提供了基础条件。

本规范提出了实现要求和编制规范规范，以满足PKI的安全互操作服务需求。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T16262.1-2006抽象语法记法一(ASN.1)第1部分:基本记法规范

GB/T18521地名分类与类别代码编制规则

GB/T20518-2006信息安全技术公钥基础设施数字证书格式

GB/T25069—2010信息安全技术术语

3术语和定义

GB/T25069—2010中界定的以及下列术语和定义适用于本文件。

3.1

电子认证机构certificateauthority

负责创建和分配证书，受用户信任的权威机构。用户可以选择该机构为其创建密钥。

3.2

对象标识符objectidentifier

系统赋予对象实体的唯一性数字化代码，用以标识对象的身份。

4缩略语

下列缩略语适用于本文件。

CA电子认证机构（CertificationAuthority）

OID对象标识符（objectidentifier）

PKI公钥基础设施（PublicKeyInfrastructure）

5CA代码编制方法

1

GB/TXXXXX—XXXX

5.1CA属性分类与约定

CA系统可从不同角度说明其特性：

a)CA机构性质：指CA属于何种性质的电子认证机构。例如：电子政务内网CA、电子政务外

网CA、公众服务CA、第三方服务CA、国际电子商务CA、行业CA、地区CA、企业专用CA、

特殊业务专用CA等。

b)CA机构级别：指CA是哪一级的证书管理机构。例如根CA、一级CA、二级CA、代理CA等。

c)CA系统型号：指CA与KMC的联结类型。包括CA与KMC分立型和CA与KMC联结型。

d)CA机构所在地：指CA的所在地。包括省会、直辖市、单列市、普通城市等。

e)CA机构编号：全国顺序编号或CA在所属省（市）地区的顺序号。

f)CA的名称缩写：本规范定义，取4-5位英文缩写字母标识CA的名称。

g)CA的名称全称：指CA机构的注册名称。

对CA进行代码编写时，可以考虑其上述特性。其中，a)、b)、c)、d)、e)为必选项，f)、g)

为可选项。利用CA的特性区分不同的CA.。

5.2CA代码的标识项

本规范定义CA代码标识项包括五个部分：性质、级别、类型、地区、在本地区的顺序编号，共

16个字节。

a)CA机构性质：第1-2位

定义：电子政务外网类CA服务系统（2×），例如：电子政务外网办公CA服务系统（20），

电子政务外网公众CA服务系统（21）；行业类CA服务系统（3×），第三方类CA服务系统（4

×），地区类CA服务系统（50），其余暂未定义。（这里仅给出一些参考实例：多种类服务系

统（60），商业类CA服务系统（70），企业类CA服务系统（80）。）

b)CA机构级别：第3位，记为0，1，2，3，4，5，6，7，8，9。

根CA（0），一级CA（1），二级CA（2），依次类推。

c)CA类型：第4位，即为1，2两类。

CA与KMC分立型（1），CA与KMC联结型（2）。

d)CA机构所在地：第5-8位，以省级（自治区、直辖市）地区为基本点进行所在地编码。省

区地址采用国家关于省区编码标准的前2位数字，编码范围为11－82。如表1所示。

2

GB/TXXXXX—XXXX

表1CA省级地区代码表

名称代码名称代码

北京市11湖南省43

天津市12广东省44

河北省13广西壮族自治区45

山西省14海南省46

内蒙古自治区15重庆市50

辽宁省21四川省51

吉林省22贵州省52

黑龙江省23云南省53

上海市31西藏自治区54

江苏省32陕西省61

浙江省33甘肃省62

安徽省34青海省63

福建省35宁夏回族自治区64

江西省36新疆维吾尔自治区65

山东省37台湾省71

河南省41香港特别行政区81

湖北省42澳门特别行政区82

e)CA机构顺序号：第9-12位，表示各个CA在本地区的顺序号，可记为0000到9999。

CA顺序编号以所在地的省级为编号单位见GB/T18521，一个编号对应唯一的CA机构。

本标准推荐以省级为单位顺序编号。

f）预留标识：第13-16位，作为预留编码，不具体定义时为0000。

部分编码案例参见附录C。

5.3CA代码描述项

a)CA名称：指该CA被批准的名称全称；

b)CA名称简称：指该CA被批准的名称（依据现有惯例）以其英文的缩写字母或汉语拼音缩

写字母表示，取4－5个字符。例如：中国电信CA可记做CTCA，中国金融CA可记做CFCA，

中国电子口岸CA可记做CECA，北京CA可记做BJCA，颐信CA可记做YXCA，天威诚信CA

可记做TCCA，中国税务CA可记做CTXCA等；

c)CA产品号：指该CA通过国家相关部门进行安全性审查后，颁发给该CA的产品号；

d)CA机构运营证号：指该CA运营机构通过国家相关部门认可后，颁发的运营许可证号；

3

GB/TXXXXX—XXXX

在CA代码标识中，CA代码的描述项可采取目录表方式，存在根CA目录服务器中，提供系

统查询使用，也可作为代码的附注，发布于目录服务器。

6CA代码应用数据结构

6.1数字证书中CA代码定义

为保证证书的通用性以及一般惯例，本规范把CA代码项定义在GB/T20518-2006数字

证书的私有Internet扩展中，证书扩展项的定义如下：

Extension::=SEQUENCE{

extnIDOBJECTIDENTIFIER

criticalBOOLEANDEFAULTFALSE

extnValueOCTETSTRING}

具体描述如下：

a)extnID定义

extnID是OID标志符：

id-caDataOBJECTIDENTIFIER::={iso(1)member-body(2)cn(156)ncb(10197)ca(4)

oid(3)}，CA代码的OID应符合GB/T20518-2006证书扩展域“0197”范畴。根据

目前的定义顺序，拟定义CA代码的OID为“0197.4.3”。

b)Critical定义

Critical为关键项标志，这里取非关键项。

c)extnValue定义

extnValue指实际定义的CA代码项，该代码项具体由CaData结构表述，是CA代码数

据结构定义，为了便于扩展和直观展现CA代码，定义CA代码项的数据结构：

CA数据内容类型应具有GB/T16262.1-2006类型的CaData：

CaData::=SEQUENCE{

cacodeCACode

}

CACode::=SEQUENCE{

FatherCA[0]IMPLICITOCTETSTRINGOPTIONAL

OwnerCA[1]IMPLICITOCTETSTRING

OwnerCAName[2]IMPLICITPrintableStringOPTIONAL

}

其中FatherCA为上级（父）CA代码，为可选项。

OwnerCA为本CA的代码，为必选项。

OwnerCAName为本CA的英文或汉语拼音缩写名字，为可选项，如CFCA、CTCA。

扩展项CA代码定义则如下：

Extension::=SEQUENCE{

extnIDid-caData

criticalFALSE

cacadaCaData}

6.2CA代码数据结构DER编解码示例

4

GB/TXXXXX—XXXX

由GB/T16262.1-2006的OID编码一节的方法，应用需要将点分形式的CAOID

“0197.4.3”转换为证书中的DER编码方式：2a560b0707。那么CA代码OID

的完整编码就是：06072a811ccf550403。

下面假设这样的数据：父CA代码“4311440000010000”，本CA代码“4312440000120000”，

本CA名称“AACA”，那么证书中私有扩展项中这样编码：

3037

06072a811ccf550403

042c

302a

811a34333131343430303030303130303030

//4311440000010000

821a34333132343430303030313230303030

//4312440000120000

830441414341//AACA

其中商用密码领域中的相关OID定义见附录B。

7CA代码管理机制

7.1CA代码管理机构

国家根CA管理机构负责对CA代码的编制、审批、分配发布、撤销等管理工作。

7.2CA代码的申请与审批

7.2.1代码申请

由CA建设单位向代码管理机构申请本CA代码。代码申请需在该CA安全性审查之前完成。

7.2.2代码审批

代码管理机构在接到申请后，需依据国家规定和政策，实施审批。审批期限不应超过三个月。

7.2.3代码发布

经过国家审批的CA代码应及时通过国家或地区目录服务器发布，并镜像给其他相关目录服务系统。

7.2.4代码撤销

停止运营的CA、机构合并的CA机构或该CA系统实际上不能发挥作用时，管理机构可撤销其代码，并

向相应目录服务系统发布。

7.2.5代码查询

国家或地区目录服务系统可为整个系统提供CA代码查询服务。查询协议采用国家LDAP协议标准。查

询地址为国家根CA机构（0197.4.3）。

8CA代码在目录服务器中的表述

id-caDataOBJECTIDENTIFIER::={iso(1)member-body(2)

5

GB/TXXXXX—XXXX

cn(156)ncb(10197)ca(4)oid(3)}

CA数据内容类型应具有GB/T16262.1-2006类型的CaData：

CaData::=SEQUENCE{

cacodeCACode

}

CACode::=SEQUENCE{

FatherCA[0]IMPLICITOCTETSTRINGOPTIONAL

OwnerCA[1]IMPLICITOCTETSTRING

OwnerCAName[2]IMPLICITPrintableStringOPTIONAL

OwnerCARealName[3]IMPLICITPrintableStringOPTIONAL

OwnerCATypeNumber[4]IMPLICITPrintableStringOPTIONAL

OwnerCARegNumber[5]IMPLICITPrintableStringOPTIONAL

}

其中FatherCA为上级（父）CA代码。

OwnerCA为本CA的代码。

OwnerCAName为本CA的名字如CFCA、CTCA。

OwnerCARealName为本CA的实名，如北京数字证书认证系统。

OwnerCATypeNumber为国家密码管理局批复的本CA的产品型号。

OwnerCARegNumber为国家工业和信息化产业部批准的运营号。

CA机构代码在目录服务器中的格式内容参见附录A和附录D。

6

GB/TXXXXX—XXXX

AA

附录A

（资料性附录）

CA机构代码在目录服务器中的文本条目格式

A.1说明

LDIF用文本格式表示目录数据库的信息，以方便用户创建、阅读和修改。在LDIF文件中，一个条目

的基本格式如下：

#注释

dn:条目名

属性描述:值

属性描述:值

属性描述:值

......

dn行类似于关系数据库中一条记录的关键字，不能与其他dn重复。一个LDIF文件中可以包含多个条

目，每个条目之间用一个空行分隔。本例中，ldap默认是用的BerkeleyDB数据库存储目录数据。

A.2Linux下的一个ldif文件L.ldif

新建一个ldif(LDAPDataInterchangedFormat)文件(纯文本格式)举例。

dn:o=60111101.org顶级记录的区分名（dn），是目录树的根

o:组织（o），赋值为“”

objectclass:top对象的对象类，定义为top

objectclass:dcobject对象的标识码

objectclass:organization对象的类型,这里是组织对象

dc:60111101一个机构的代码，标识北京CA的代码

o:BJCA组织的名字缩写

cn:北京数字证书认证系统通用名称

l:北京市海淀区城市或地理区域名字

mail：EMAILADDRESS电子信箱地址

typenumber:TYPENUMBER国家密码管理局批准的型号

regnumber:REGISTRATIONNUMBER中华人民共和国工业和信息化部颁发的运营准许证号

telNumber：8662951234带有所在的国家的代码的电话号码

pk:PUBLICKEY本CA的公钥pk（SM2_ECC256）

sig:SIGNATURE根CA对pk的数字签名

preferredlanguage:chn母语采用汉语

7

GB/TXXXXX—XXXX

BB

附录B

（规范性附录）

商用密码领域中的相关OID定义

对象标识符OID对象标识符定义备注

通用对象标识符

1.2国际标准化组织成员标识

1.2.156中国

97国家密码管理局

0197国家密码标准技术委员会

0197.1密码算法

分组密码算法对象标识符

0197.1.100分组密码算法

0197.1.101SM6分组密码算法

0197.1.102SM1分组密码算法

0197.1.103SSF33密码算法

0197.1.104SM4分组密码算法

0197.1.105SM7分组密码算法

0197.1.106SM8分组密码算法

序列密码算法对象标识符

0197.1.200序列密码算法

0197.1.201SM5序列密码算法

公钥密码算法对象标识符

0197.1.300公钥密码算法

0197.1.301SM2椭圆曲线密码算法

0197.1.301.1SM2-1椭圆曲线数字签名算法

0197.1.301.2SM2-2椭圆曲线密钥交换协议

0197.1.301.3SM2-3椭圆曲线加密算法

ECC椭圆曲线密码算法*

ECC椭圆曲线*

0197.1.302SM9标识密码算法

0197.1.302.1SM9-1数字签名算法

0197.1.302.2SM9-2密钥交换协议

0197.1.302.3SM9-3密钥封装机制和公钥加密算法

RSA密码算法*

杂凑算法对象标识符

0197.1.400杂凑算法

0197.1.401SM3密码杂凑算法

8

GB/TXXXXX—XXXX

0197.1.401.1SM3密码杂凑算法，无密钥使用

0197.1.401.2SM3密码杂凑算法，有密钥使用

SHA_1算法*

SHA_1有密钥*

SHA_256算法*

SHA_256无密钥*

SHA_256有密钥*

组合运算算法对象标识符

0197.1.500组合运算机制

0197.1.501基于SM2算法和SM3算法的签名

0197.1.502基于SM2算法和SHA_1算法的签名

0197.1.503基于SM2算法和SHA_256算法的签

名

0197.1.504基于RSA算法和SM3算法的签名

基于RSA算法和SHA_1算法的签名*

基于RSA算法和SHA_256算法的签

名*

CA代码对象标识符

0197.4.3CA代码

标准体系对象标识符

0197.6标准体系公钥密码基础设施应

0197.6.1基础类用技术标准体系

0算法类

0标识类

0工作模式

0安全机制

0.1SM2密码使用规范

0.2SM2加密签名消息语法规范

0197.6.2设备类

0197.6.3服务类

0197.6.4基础设施

0197.6.5检测类

0197.6.6管理类

注：带*项表示该项采用国际通用标识符，本规范不再另行定义。

9

GB/TXXXXX—XXXX

CC

附录C

（资料性附录）

部分CA编码示例

CA名称性质级别类型地址编号编码名称简称

北京CA60111101*6011110000010000BJCA

天威诚信CA40111104*4011110000040000TWCCA

颐信CA40111105*4011110000050000YXCA

金融CA30111103*3011110000030000CFCA

电子口岸CA30111102*3011110000020000CECA

上海CA601131016011310000010000SHCA

天津CA501112015011120000010000TJCA

重庆CA601150016011500000010000CQCA

吉林CA501122015011220000010000JLCA

辽宁CA601121015011210000010000LNCA

黑龙江CA23HLJCA

河北CA501113015011130000010000HBCA

山西CA501114015011140000010000SXCA

内蒙CA215NMCA

山东CA501137015011370000010000SDCA

江苏CA501132015011320000010000JSCA

浙江CA501133015011330000010000ZJCA

福建CA501135015011350000010000FJCA

安徽CA501134015011340000010000AHCA

江西CA501136015011360000010000JXCA

河南CA501141015011410000010000HNCA

湖北CA501142015011420000010000HUBCA

10

GB/TXXXXX—XXXX

湖南CA501143015011430000010000HUNCA

广东CA501144015011440000010000GDCA

广西CA501145015011450000010000GXCA

海南CA46HANCA

四川CA51SCCA

贵州CA501152015011520000010000GZCA

云南CA501153015011530000010000YNCA

西部(宁夏)CA601164016011640000010000XBCA

陕西CA501161015011610000010000SHXCA

甘肃CA501162015011620000010000GSCA

新疆CA501165015011650000010000XJCA

青海CA63QHCA

西藏CA54XZCA

注：带*者为暂定号

11

GB/TXXXXX—XXXX

DD

附录D

（资料性附录）

DER编码中TLV规则

DER编码中最常见的数据格式是TLV，即数据类型、长度、值。其中的T是TAG首字母，

L是Length的首字母，V是Value的首字母。

C1原始标志符

最原始的类型标识符（TAG）有：