編制說明《信息安全技術(shù) 基于SM2密碼算法的數(shù)字證書格式規(guī)范》

任務(wù)來源國(guó)家互聯(lián)網(wǎng)信息辦公室正式下達(dá)了《基于SM2密碼算法的證書格式規(guī)范》的編制任務(wù)，由上海格爾軟件股份有限公司牽頭，由北京海泰方圓科技有限公司、上海數(shù)字證書認(rèn)證中心、北京數(shù)字認(rèn)證股份有限公司、衛(wèi)士通信息產(chǎn)業(yè)股份有限公司、興唐通信科技有限公司、山東得安信息技術(shù)有限公司、無錫江南信息安全工程技術(shù)中心、國(guó)家信息安全工程技術(shù)研究中心等8家單位共同參與，組成了聯(lián)合編制工作組，開展該規(guī)范的編寫工作。編制原則《基于SM2密碼算法的數(shù)字證書格式規(guī)范》的編制原則是：a) 安全性：遵循國(guó)家現(xiàn)有密碼政策，使用國(guó)家規(guī)定的密碼算法（SM1/SM2/SM3/SM4）。b) 實(shí)用性：滿足應(yīng)用需求，要從應(yīng)用方便性、實(shí)用性考慮使用SM2算法進(jìn)行加密和簽名操作時(shí)對(duì)操作結(jié)果的標(biāo)準(zhǔn)化封裝等，能夠?yàn)閼?yīng)用系統(tǒng)實(shí)現(xiàn)SM2證書應(yīng)用和密碼算法提供方便，方便安全廠商開發(fā)滿足規(guī)范的應(yīng)用接口產(chǎn)品，促進(jìn)數(shù)字證書的廣泛應(yīng)用。c) 統(tǒng)一性：本規(guī)范要與已有的公鑰密碼基礎(chǔ)設(shè)施應(yīng)用技術(shù)體系系列規(guī)范融為一體，形成統(tǒng)一的風(fēng)格和互為補(bǔ)充、融為一體的內(nèi)容。d) 通用性：本規(guī)范立足于當(dāng)前國(guó)內(nèi)SM2證書應(yīng)用的實(shí)際狀況，關(guān)鍵數(shù)據(jù)結(jié)構(gòu)在保障安全性的前提下，均采用國(guó)內(nèi)通行做法。通過對(duì)關(guān)鍵信息的規(guī)范，可實(shí)現(xiàn)不同SM2證書應(yīng)用產(chǎn)品的通用性。主要工作過程標(biāo)準(zhǔn)制定的主要工作過程如下：1) 2015年8月，成立了以劉承為負(fù)責(zé)人的標(biāo)準(zhǔn)修訂工作組，召開了第一次會(huì)議。在這次會(huì)議上，工作組成員討論了我國(guó)目前技術(shù)發(fā)展趨勢(shì)、基于國(guó)產(chǎn)密碼算法的數(shù)字證書產(chǎn)品的應(yīng)用和市場(chǎng)現(xiàn)狀，提出了對(duì)規(guī)范進(jìn)行修訂的總體思路和基本原則，并對(duì)各參與單位應(yīng)承擔(dān)的任務(wù)進(jìn)行了分工。2) 2015年11月，修訂工作組召開了第二次會(huì)議。成員單位就各自的研究情況進(jìn)行了匯報(bào)，討論了修訂后標(biāo)準(zhǔn)的總體框架和要調(diào)整的內(nèi)容，形成了修訂稿的草案（第一稿）。3) 2016年3月10日至11日，參加信安標(biāo)委召開的2016年第一批推薦性國(guó)家標(biāo)準(zhǔn)立項(xiàng)評(píng)估工作專家評(píng)審會(huì)。會(huì)議評(píng)議了《基于SM2密碼算法的數(shù)字證書格式規(guī)范》修訂稿草案初稿，確定了本標(biāo)準(zhǔn)的內(nèi)容要求。4) 2016年4月，修訂工作組召開了第三次會(huì)議。對(duì)規(guī)范修訂稿的初稿進(jìn)行了討論，形成了修訂稿草案（第二稿）。5) 2016年6月13日至16日，參加信安標(biāo)委2016年第一次工作組“會(huì)議周”。在“WG3-密碼技術(shù)工作組在研標(biāo)準(zhǔn)推進(jìn)會(huì)”上，與會(huì)專家評(píng)審了《基于SM2密碼算法的數(shù)字證書格式規(guī)范》修訂稿草案，形成了《基于SM2密碼算法的數(shù)字證書格式規(guī)范》修訂稿的征求意見稿。標(biāo)準(zhǔn)的主要內(nèi)容及確定內(nèi)容的依據(jù)本標(biāo)準(zhǔn)的主要內(nèi)容其中第1至第4章為總述性內(nèi)容，介紹規(guī)范的整體情況、關(guān)鍵術(shù)語、縮略語等。第5章為規(guī)范的關(guān)鍵章節(jié)，詳細(xì)規(guī)定了數(shù)字證書和CRL格式等。另外，本規(guī)范有4個(gè)附錄：附錄A為規(guī)范性附錄，定義了證書格式。附錄B為規(guī)范性附錄，定義了用戶證書、服務(wù)器證書的結(jié)構(gòu)實(shí)例。附錄C為資料性附錄，定義了證書的編碼舉例附錄D為資料性附錄，定義了算法技術(shù)支持 自簽名CA證書內(nèi)容表，即根證書內(nèi)容工作表，它定義自我簽名證書強(qiáng)制和可選的內(nèi)容。當(dāng)確認(rèn)一個(gè)信任根時(shí)，PKI體系中的CA發(fā)布自簽名證書。 二級(jí)CA證書內(nèi)容表，它定義了二級(jí)CA證書的強(qiáng)制和可選內(nèi)容。 終端實(shí)體簽名證書內(nèi)容表，它定義了由PKI體系中CA頒發(fā)的實(shí)體簽名證書的強(qiáng)制和可選內(nèi)容，其對(duì)象是一個(gè)終端實(shí)體，其私鑰用于簽名，其公鑰將用來驗(yàn)證簽名，該證書的密鑰對(duì)簽發(fā)時(shí)在客戶端生成，為用戶所私有，其私鑰在終端介質(zhì)中應(yīng)該不可導(dǎo)出。 終端實(shí)體加密證書內(nèi)容表，它定義了由PKI體系中CA頒發(fā)的實(shí)體加密證書的強(qiáng)制和可選內(nèi)容。其公鑰用于加密數(shù)據(jù)，私鑰用于解密數(shù)據(jù)。密鑰由密鑰管理中心(KM)分發(fā)，其生命周期受密鑰管理中心控制，在證書有效期間，在介質(zhì)損壞的情況下，可以通過正常的流程通過CA中心進(jìn)行恢復(fù)。 證書撤銷列表內(nèi)容表，它定義了由證書撤銷列表簽發(fā)者發(fā)布的證書撤銷列表的強(qiáng)制和可選內(nèi)容。1范圍本規(guī)范共包括5章，分別為：范圍、規(guī)范性引用文件、術(shù)語和定義、縮略語、數(shù)字證書與CRL。目錄結(jié)構(gòu)如下：前言引言1范圍2規(guī)范性引用文件3術(shù)語和定義4縮略語5數(shù)字證書與CRL5.1概述5.2數(shù)字證書格式5.2.1基本證書域的數(shù)據(jù)結(jié)構(gòu)5.2.2TBSCertificate及其數(shù)據(jù)結(jié)構(gòu)5.2.3證書擴(kuò)展域及其數(shù)據(jù)結(jié)構(gòu)5.3CRL格式6算法技術(shù)的支持附錄A（規(guī)范性附錄）證書的結(jié)構(gòu) 29附錄B（規(guī)范性附錄）證書的結(jié)構(gòu)實(shí)例 31附錄C（資料性附錄）數(shù)字證書編碼舉例 32附錄D（資料性附錄）算法技術(shù)支持 40有關(guān)專利的說明本標(biāo)準(zhǔn)不涉及專利?！缎畔踩夹g(shù)基于SM2密碼算法的數(shù)字證書格式規(guī)范》（征求意見稿）編制說明《信息安全技術(shù)基于SM2