编制说明《信息安全技术 基于SM2密码算法的数字证书格式规范》

任务来源国家互联网信息办公室正式下达了《基于SM2密码算法的证书格式规范》的编制任务，由上海格尔软件股份有限公司牵头，由北京海泰方圆科技有限公司、上海数字证书认证中心、北京数字认证股份有限公司、卫士通信息产业股份有限公司、兴唐通信科技有限公司、山东得安信息技术有限公司、无锡江南信息安全工程技术中心、国家信息安全工程技术研究中心等8家单位共同参与，组成了联合编制工作组，开展该规范的编写工作。编制原则《基于SM2密码算法的数字证书格式规范》的编制原则是：a) 安全性：遵循国家现有密码政策，使用国家规定的密码算法（SM1/SM2/SM3/SM4）。b) 实用性：满足应用需求，要从应用方便性、实用性考虑使用SM2算法进行加密和签名操作时对操作结果的标准化封装等，能够为应用系统实现SM2证书应用和密码算法提供方便，方便安全厂商开发满足规范的应用接口产品，促进数字证书的广泛应用。c) 统一性：本规范要与已有的公钥密码基础设施应用技术体系系列规范融为一体，形成统一的风格和互为补充、融为一体的内容。d) 通用性：本规范立足于当前国内SM2证书应用的实际状况，关键数据结构在保障安全性的前提下，均采用国内通行做法。通过对关键信息的规范，可实现不同SM2证书应用产品的通用性。主要工作过程标准制定的主要工作过程如下：1) 2015年8月，成立了以刘承为负责人的标准修订工作组，召开了第一次会议。在这次会议上，工作组成员讨论了我国目前技术发展趋势、基于国产密码算法的数字证书产品的应用和市场现状，提出了对规范进行修订的总体思路和基本原则，并对各参与单位应承担的任务进行了分工。2) 2015年11月，修订工作组召开了第二次会议。成员单位就各自的研究情况进行了汇报，讨论了修订后标准的总体框架和要调整的内容，形成了修订稿的草案（第一稿）。3) 2016年3月10日至11日，参加信安标委召开的2016年第一批推荐性国家标准立项评估工作专家评审会。会议评议了《基于SM2密码算法的数字证书格式规范》修订稿草案初稿，确定了本标准的内容要求。4) 2016年4月，修订工作组召开了第三次会议。对规范修订稿的初稿进行了讨论，形成了修订稿草案（第二稿）。5) 2016年6月13日至16日，参加信安标委2016年第一次工作组“会议周”。在“WG3-密码技术工作组在研标准推进会”上，与会专家评审了《基于SM2密码算法的数字证书格式规范》修订稿草案，形成了《基于SM2密码算法的数字证书格式规范》修订稿的征求意见稿。标准的主要内容及确定内容的依据本标准的主要内容其中第1至第4章为总述性内容，介绍规范的整体情况、关键术语、缩略语等。第5章为规范的关键章节，详细规定了数字证书和CRL格式等。另外，本规范有4个附录：附录A为规范性附录，定义了证书格式。附录B为规范性附录，定义了用户证书、服务器证书的结构实例。附录C为资料性附录，定义了证书的编码举例附录D为资料性附录，定义了算法技术支持 自签名CA证书内容表，即根证书内容工作表，它定义自我签名证书强制和可选的内容。当确认一个信任根时，PKI体系中的CA发布自签名证书。 二级CA证书内容表，它定义了二级CA证书的强制和可选内容。 终端实体签名证书内容表，它定义了由PKI体系中CA颁发的实体签名证书的强制和可选内容，其对象是一个终端实体，其私钥用于签名，其公钥将用来验证签名，该证书的密钥对签发时在客户端生成，为用户所私有，其私钥在终端介质中应该不可导出。 终端实体加密证书内容表，它定义了由PKI体系中CA颁发的实体加密证书的强制和可选内容。其公钥用于加密数据，私钥用于解密数据。密钥由密钥管理中心(KM)分发，其生命周期受密钥管理中心控制，在证书有效期间，在介质损坏的情况下，可以通过正常的流程通过CA中心进行恢复。 证书撤销列表内容表，它定义了由证书撤销列表签发者发布的证书撤销列表的强制和可选内容。1范围本规范共包括5章，分别为：范围、规范性引用文件、术语和定义、缩略语、数字证书与CRL。目录结构如下：前言引言1范围2规范性引用文件3术语和定义4缩略语5数字证书与CRL5.1概述5.2数字证书格式5.2.1基本证书域的数据结构5.2.2TBSCertificate及其数据结构5.2.3证书扩展域及其数据结构5.3CRL格式6算法技术的支持附录A（规范性附录）证书的结构 29附录B（规范性附录）证书的结构实例 31附录C（资料性附录）数字证书编码举例 32附录D（资料性附录）算法技术支持 40有关专利的说明本标准不涉及专利。《信息安全技术基于SM2密码算法的数字证书格式规范》（征求意见稿）编制说明《信息安全技术基于SM2