T-WAPIA 013.5-2024 信息安全技术 数字证书管理 第5部分：证书格式

Informationsecuritytechnology－DigitalceI V 1 1 1 2 3 3 3 4 4 4 5 7 7 7 7 7 8 9 9 本文件是T/WAPIA013《信息安全技术数字证书管理》本文件代替T/WAPIA013.5—2012《WAPI证书管理第5部分：证书格式范例》，与T/WAPIA）；）；）；）；）；请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。西安芯语慧联信息科技有限公司、深圳市智开科技有限公司、北京数字认陈晓龙、刘婷、张璐璐、王立华、李琴、颜湘、杜志强、周V立前需要通过对端实体访问可信第三方的一端和对端之间提供对等安全保障，其核心技术已发布为T/WAPIA013《信息安全技术数字证书管理》定义了三元对等密码安全协议中所使用的X.509数字证书的格式，为依据GM/T0042开展三元对等密码安全协议测试提供了支撑，有利于指导符合三元对等密码安全协议的设备生产和方案研发，提高符合三元对等密码安全协议的产品的适用性。T/WAPIA013本文件中所涉及到的X.509数字证书内容与GB/T20518—20b)本文件进一步描述了GB/T20518—2018中所定义的数字证书和证书撤销列表在三元对等密码安1信息安全技术数字证书管理第5部分：证书格式本文件适用于采用三元对等密码安全协议的设备生产、网络运营以及检测的载波侦听多址访问（CSMA/CD）的访问方法和GB15629.11—2003/XG1—2006信息技术系统间远程通信和信息交换局域网和城域网特定要求第11部分：无线局域网媒体访问控制(MAC)和物理(PHY)层规范第部分：无线局域网媒体访问控制(MAC)和物理(PGB/T15843.3信息技术安全技术实体鉴别第3部分：采用数字签名技术的GB/T16262.1信息技术抽象句法表记法—(ASN.1)第1部分：基本记法GB/T16263.1信息技术ASN.1编码规则第1部分：基本编码GB/T20518—2018信息安全技术公钥基础设施数字证书GB/T25068.5信息技术安全技术网络安全第5部分：使用虚拟专用网的跨网通信安全保护GB/T28455信息安全技术引入可信第三方的实体鉴别及接GB/T32905信息安全技术SM3密码GB/T32918.2信息安全技术SM2椭圆曲线公钥密码算法第2部分：数字签名GM/T0015—2012基于SM2密码算法的数字证书格线局域网媒体访问控制和物理层规范补篇1：无线局域网网T/WAPIA045（所有部分）信息技术系统间远程通信和信息交换原子密钥建立与实T/WAPIA046无线局域网安全技术证书序列号certificateserial2证书认证机构certificationauth受用户信任，负责创建和分配证书的权威机构。证书认证机构也可以为基于三元对等架构实现通信实体之间对等鉴别和安全通信的密码安4缩略语AAC鉴别访问控制器（authenticationaccesscontroller）AC接入点控制器（APcontroller）AE鉴别器实体（authenticatorentity）AP接入点（accesspoint）AS鉴别服务器（authenticationserver）ASN.1抽象语法记法一（abstractsyntaxASU鉴别服务单元（authenticationserviceunASUE鉴别请求者实体（authenticationsupplicantentity）AKEA原子密钥建立与实体鉴别（atomickeyestablishmentandentityauthentication）CA证书认证机构（certificateauthorCISU证书签发服务单元（certificateissueserCRL证书撤销列表（certificaterevocatiDERASN.1的非典型编码规则（distinguishedencodingruEACI同轴电缆通信基础架构安全（EOCinfraECDSA椭圆曲线签名（ellipticcurvedigitalsignaturealgorEFHP增强型四次握手协议（enhancedfour-wayhandEOC以太数据通过同轴电缆传输（ethernEVSec终端密钥即抛型端到端语音安全（end-to-endvoicesecuriNEAUNFC实体鉴别（NFCentityMAC媒体访问控制（mediaaccesscontrol）3MPAS非接触式移动支付安全防护（RFMPair-interMFSec磁域网安全（magneticfieldareanetworksecurity）OID对象标识符（objectidentPEM增强的保密邮件（privaPON无源光网络（passiveopticalnetwoRFMP基于射频的移动支付（RF-basedmobilepaymTePA三元对等架构（tri-elementpeerarchiteTAAA三元接入鉴别与授权（tri-elementaccessauthenticationandauthorizatiTAEA基于三元对等架构的匿名实体鉴别（TePA-basedanonymousentityauthenticatiTCA可信连接架构（trustedcTCP传输控制协议（transmissioTLSec基于三元对等架构的局域网安全（TePA-basedLANsecuritTMSS三元对等移动通信系统安全（tri-elementmobilesystemsecuriTPLS基于三元对等架构的无源光网络安全（TePA-basedPONsecuritTRAIS标签和读写器空中接口安全（tagandreaderair-interfacesecuTSSI基于三元对等架构的传感器网络安全（TePA-basedsensornetworkssecuWAI无线局域网鉴别基础结构（WLANauthenticationinfrastructure）WAPI无线局域网鉴别与保密基础结构（WLANauthenticationandprivacyinfrastructure）WLAN无线局域网（WirelesslocalareanetwWPAN无线个域网（wirelesspersonalareanetworWSAI无线个域网安全接入基础结构（WPANsecurityaccessinfrastructure）书中。数字证书保护公钥和它的身份验证数据，由CRL是CA对撤销的证书而签发的一个列表文件，该文件可用于三元对等密码安全协议鉴别服务单元三元对等密码安全协议中采用的数字证书为X.509V3格式，CRL为X.509V2的格式。数字证书私钥三元对等密码安全协议中使用的数字证书和CRL应基于以下两种密码算法a)基于SM2密码算法，采用的签名算法为符合GB/T3291GB/T32905规定的SM3。公钥算法标识、签名算法标识以及密钥交换签名算法；椭圆曲线参数字段采用OID标识基于SM2的曲线参数。相关OID值应符合GM/Tb)基于ECDSA密码算法，采用的签名算法为ECDSA-192，杂凑算法为SHA-256。公钥算法标识、签15629.11—2003/XG1—2006中识椭圆曲线算法，并在密钥用途字段中标明为签名用途；签名算法字段采用OID值41.2.156.11235.1.1.1标识基于SHA-256的ECDSA-192算法；椭圆曲线参数字段采用OID值1.2.156.11235.1.1.2.1标识国家密码管理局在三元对等密码安全协议中使用数字证书和CRL，应符合GB/T20518—2018及本文件的规定和具体密码算法的数字证书和CRL，符合GB/T15629.3的以太网TLSec安全协议、符合GB/T25068.5的TISec安全协议、符合T/WAPIA046的WAI增强协议和符合T/WAPIA04本文件应采用符合GB/T16263.1的DER对数字证书中的各项信息进行编码，组构。DER编码是关于每个字段的类型、长度和取值的编码系统，D类型长度取值b)数字证书以PKCS#12格式存储的证书和相应私钥（文件名的后缀如.p12或者.pfx5基本证书域签名算法域签名值域基本证书域签名算法域签名值域版本号序列号签名算法颁发者有效期使用者使用者公钥信息颁发者唯一标识符使用者唯一标识符扩展项签名算法签名值见附录C；数字证书中公钥算法标识、签名算法标识以及椭圆曲线参数均采用OID方式表示，OID的点分本字段数据结构见GB/T20518—2018中5本字段数据结构见GB/T20518—2018中5的数字证书的唯一标识，为正整数。通过颁发本字段数据结构见GB/T20518—2018中5本字段数据结构见GB/T20518—2018中5设备域：表示设备的名称，要求不超过127个数6本字段数据结构见GB/T20518—2018中5本字段数据结构见GB/T20518—2018中5管理域：表示该网络所属的运营者,O=XXXX.subManagementDomain，XXXX根据设备域：表示网络设备的名称，CN=XXX@Type，Type表示设备的类型b)AE：表示AP、AC等WAPI接入d)AAC:表示符合GB/T15843.3、GB/Te)REQ:表示符合GB/T15843.3、GB/Tf)CISU：表示CIS等相关类型的示例1：中国电信一个WAPIAS：CN=SN1@ASU,OU=CS.HN,O=0001示例2：中国电信一个WAPI用户终端：CN=userid本字段数据结构见GB/T20518—2018中5本字段数据结构见GB/T20518—2018中5本字段数据结构见GB/T20518—2018中5式见附录F。符合三元对等密码安全协议的数字证7代表一个证书持有者身份的唯一标识，用于关联具体业务，实体唯一标识的OID由各运营商或CA自示例：设备MAC地址标识，标识证书使用者关联的网络设备的MAC地址信息。应有唯一的属性值，利用OID值1.2.156.11235.3001.1.13.5.1标识，本项数据结构见GB/T20518—2018中5.2本项数据结构见GB/T20518—2018中5.2本项数据结构见GB/T20518—2018中5.2AS证书等）则根据证书用途，分为“签名”证书和“加密”证书，选择对应的密钥用途进行签发。进行签名，签名的结果应按照符合GB/T16262.1的ASN.1编码成BITSTRING类型保存在数字证书签名值在对CRL解析的过程中，应按照先判断类型，再确定长度，根据长度读取数值的方式进基本证书列表域中的“签名算法”字段的内8基本证书列表域版本号签名算法颁发者生效日期下次更新日期被撤销的证书列表扩展项签名算法域签名算法签名值域签名值CRL中签名算法标识采用OID方式表示，OID的点分十进制的转换方法见本字段数据结构见GB/T20518—2018中5.3.3.1。如果使用了扩展项，则此项应存在，且其值应是本字段数据结构见GB/T20518—2018中5本字段包含签发该CRL所使用的密码算法的标识符。该值同签名算法域中包含的值相同。采用OID本字段数据结构见GB/T20518—2018中5三元对等密码安全协议中，颁发者标识了对CRL签名和颁发的证书签发服务器实体。颁发者命名应b)国家域：表示管理域所属的国家；e)设备域：表示设备的名称，要求不超过127本字段数据结构见GB/T20518—2018中59本字段数据结构见GB/T20518—2018中5该域标明被撤销的用于三元对等密码安全协议的证书序列号、撤销时间和如果没有被撤销的证书，此项不存在。否则，列出被撤销证书的序列号，并指定撤本项是CRL的扩展，只可在版本号2出现。如果出现，此项由一个或多个CRL扩展的序列组成。CRL本字段包含签发该CRL所使用的密码算法的标识符。该值同基本证书域中签名算法字段包含的值相A.1数字证书私钥的组成A.2基于ECDSA密码算法的数字证书私钥的范例0029068：OBJECTIDENTIFIER‘1215610197002706A：OBJECTIND0033164：IA5STRING‘WAPI’003D063：OBJECTINDENTIFIERcountryName‘2546’0042132：PRINTABLESTRING‘CN’004A063：OBJECTINDENTIFIERorganizationName‘25410’004F134：PRINTABLESTRING‘0003’0059063：OBJECTINDENTIFIERorganizationUnitName‘25411’005E132：PRINTABLESTRING‘SN’0066063：OBJECTINDENTIFIERcommonName‘2543’006B147：T61STRING‘as1@ASU’007617D：UTCTime‘010101010101Z’008517D:UTCTime‘100421020202Z’009A06A：OBJECTINDE00A6164：IA5STRING‘WAPI’00B0063：OBJECTINDENTIFIERcountryName‘2546’00B5132：PRINTABLESTRING‘CN’00BD063：OBJECTINDENTIFIERorganizationName‘25410’00C2134：PRINTABLESTRING‘0003’00CC063：OBJECTINDENTIFIERorganizationUnitName‘25411’00D1132：PRINTABLESTRING‘SN’00D9063：OBJECTINDENTIFIERorganizationUnitName‘25411’00DE148：T61STRING‘as1-2@AE’00EC067：OBJECTINDENTIFIERecPublicKey‘12840100452::::}:}:::}:::::::::}:::}::}:}:}:}:}注：对于00标识bitstring位，头字节00表示将bit转换为octet应充0的个数。如果长度为8的整数倍，则不需要补..2......k..M.S...0015068：OBJECTINDENTIFIER‘002706A：OBJECTIND0033167：IA5STRING‘HUFU128’0040063：OBJECTINDENTIFIERcountryName‘2546’0045132：PRINTABLESTRING‘CN’004D063：OBJECTINDENTIFIERorganizationName‘25410’0052134：PRINTABLESTRING‘0003’005C063：OBJECTINDENTIFIERorganizationUnitName‘25411’0061132：PRINTABLESTRING‘SN’0069063：OBJECTINDENTIFIERcommonName‘2543’006E1411：T61STRING‘cis124DED271@CISU’008317D：UTCTime‘221001120101Z’009217D:UTCTime‘231001120101Z’00A706A：OBJECTIND00B3167：IA5STRING‘HUFU128’00C0063：OBJECTINDENTIFIERcountryName‘2546’00C5132：PRINTABLESTRING‘CN’00CD063：OBJECTINDENTIFIERorganizationName‘25410’00D2134：PRINTABLESTRING‘0003’00DC063：OBJECTINDENTIFIERorganizationUnitName‘25411’00E1132：PRINTABLESTRING‘SN’00E9063：OBJECTINDENTIFIERorganizationUnitName‘2543’00EE146：T61STRING‘ap1@AE’00FA067：OBJECTINDENTIFIERecPublicKey‘128401004520103068：OBJECTINDENTIFIER‘12156101901