T-WAPIA 013.5-2024 信息安全技術(shù) 數(shù)字證書管理 第5部分：證書格式

Informationsecuritytechnology－DigitalceI V 1 1 1 2 3 3 3 4 4 4 5 7 7 7 7 7 8 9 9 本文件是T/WAPIA013《信息安全技術(shù)數(shù)字證書管理》本文件代替T/WAPIA013.5—2012《WAPI證書管理第5部分：證書格式范例》，與T/WAPIA）；）；）；）；）；請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別專利的責(zé)任。西安芯語慧聯(lián)信息科技有限公司、深圳市智開科技有限公司、北京數(shù)字認(rèn)陳曉龍、劉婷、張璐璐、王立華、李琴、顏湘、杜志強(qiáng)、周V立前需要通過對端實(shí)體訪問可信第三方的一端和對端之間提供對等安全保障，其核心技術(shù)已發(fā)布為T/WAPIA013《信息安全技術(shù)數(shù)字證書管理》定義了三元對等密碼安全協(xié)議中所使用的X.509數(shù)字證書的格式，為依據(jù)GM/T0042開展三元對等密碼安全協(xié)議測試提供了支撐，有利于指導(dǎo)符合三元對等密碼安全協(xié)議的設(shè)備生產(chǎn)和方案研發(fā)，提高符合三元對等密碼安全協(xié)議的產(chǎn)品的適用性。T/WAPIA013本文件中所涉及到的X.509數(shù)字證書內(nèi)容與GB/T20518—20b)本文件進(jìn)一步描述了GB/T20518—2018中所定義的數(shù)字證書和證書撤銷列表在三元對等密碼安1信息安全技術(shù)數(shù)字證書管理第5部分：證書格式本文件適用于采用三元對等密碼安全協(xié)議的設(shè)備生產(chǎn)、網(wǎng)絡(luò)運(yùn)營以及檢測的載波偵聽多址訪問（CSMA/CD）的訪問方法和GB15629.11—2003/XG1—2006信息技術(shù)系統(tǒng)間遠(yuǎn)程通信和信息交換局域網(wǎng)和城域網(wǎng)特定要求第11部分：無線局域網(wǎng)媒體訪問控制(MAC)和物理(PHY)層規(guī)范第部分：無線局域網(wǎng)媒體訪問控制(MAC)和物理(PGB/T15843.3信息技術(shù)安全技術(shù)實(shí)體鑒別第3部分：采用數(shù)字簽名技術(shù)的GB/T16262.1信息技術(shù)抽象句法表記法—(ASN.1)第1部分：基本記法GB/T16263.1信息技術(shù)ASN.1編碼規(guī)則第1部分：基本編碼GB/T20518—2018信息安全技術(shù)公鑰基礎(chǔ)設(shè)施數(shù)字證書GB/T25068.5信息技術(shù)安全技術(shù)網(wǎng)絡(luò)安全第5部分：使用虛擬專用網(wǎng)的跨網(wǎng)通信安全保護(hù)GB/T28455信息安全技術(shù)引入可信第三方的實(shí)體鑒別及接GB/T32905信息安全技術(shù)SM3密碼GB/T32918.2信息安全技術(shù)SM2橢圓曲線公鑰密碼算法第2部分：數(shù)字簽名GM/T0015—2012基于SM2密碼算法的數(shù)字證書格線局域網(wǎng)媒體訪問控制和物理層規(guī)范補(bǔ)篇1：無線局域網(wǎng)網(wǎng)T/WAPIA045（所有部分）信息技術(shù)系統(tǒng)間遠(yuǎn)程通信和信息交換原子密鑰建立與實(shí)T/WAPIA046無線局域網(wǎng)安全技術(shù)證書序列號certificateserial2證書認(rèn)證機(jī)構(gòu)certificationauth受用戶信任，負(fù)責(zé)創(chuàng)建和分配證書的權(quán)威機(jī)構(gòu)。證書認(rèn)證機(jī)構(gòu)也可以為基于三元對等架構(gòu)實(shí)現(xiàn)通信實(shí)體之間對等鑒別和安全通信的密碼安4縮略語AAC鑒別訪問控制器（authenticationaccesscontroller）AC接入點(diǎn)控制器（APcontroller）AE鑒別器實(shí)體（authenticatorentity）AP接入點(diǎn)（accesspoint）AS鑒別服務(wù)器（authenticationserver）ASN.1抽象語法記法一（abstractsyntaxASU鑒別服務(wù)單元（authenticationserviceunASUE鑒別請求者實(shí)體（authenticationsupplicantentity）AKEA原子密鑰建立與實(shí)體鑒別（atomickeyestablishmentandentityauthentication）CA證書認(rèn)證機(jī)構(gòu)（certificateauthorCISU證書簽發(fā)服務(wù)單元（certificateissueserCRL證書撤銷列表（certificaterevocatiDERASN.1的非典型編碼規(guī)則（distinguishedencodingruEACI同軸電纜通信基礎(chǔ)架構(gòu)安全（EOCinfraECDSA橢圓曲線簽名（ellipticcurvedigitalsignaturealgorEFHP增強(qiáng)型四次握手協(xié)議（enhancedfour-wayhandEOC以太數(shù)據(jù)通過同軸電纜傳輸（ethernEVSec終端密鑰即拋型端到端語音安全（end-to-endvoicesecuriNEAUNFC實(shí)體鑒別（NFCentityMAC媒體訪問控制（mediaaccesscontrol）3MPAS非接觸式移動(dòng)支付安全防護(hù)（RFMPair-interMFSec磁域網(wǎng)安全（magneticfieldareanetworksecurity）OID對象標(biāo)識符（objectidentPEM增強(qiáng)的保密郵件（privaPON無源光網(wǎng)絡(luò)（passiveopticalnetwoRFMP基于射頻的移動(dòng)支付（RF-basedmobilepaymTePA三元對等架構(gòu)（tri-elementpeerarchiteTAAA三元接入鑒別與授權(quán)（tri-elementaccessauthenticationandauthorizatiTAEA基于三元對等架構(gòu)的匿名實(shí)體鑒別（TePA-basedanonymousentityauthenticatiTCA可信連接架構(gòu)（trustedcTCP傳輸控制協(xié)議（transmissioTLSec基于三元對等架構(gòu)的局域網(wǎng)安全（TePA-basedLANsecuritTMSS三元對等移動(dòng)通信系統(tǒng)安全（tri-elementmobilesystemsecuriTPLS基于三元對等架構(gòu)的無源光網(wǎng)絡(luò)安全（TePA-basedPONsecuritTRAIS標(biāo)簽和讀寫器空中接口安全（tagandreaderair-interfacesecuTSSI基于三元對等架構(gòu)的傳感器網(wǎng)絡(luò)安全（TePA-basedsensornetworkssecuWAI無線局域網(wǎng)鑒別基礎(chǔ)結(jié)構(gòu)（WLANauthenticationinfrastructure）WAPI無線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu)（WLANauthenticationandprivacyinfrastructure）WLAN無線局域網(wǎng)（WirelesslocalareanetwWPAN無線個(gè)域網(wǎng)（wirelesspersonalareanetworWSAI無線個(gè)域網(wǎng)安全接入基礎(chǔ)結(jié)構(gòu)（WPANsecurityaccessinfrastructure）書中。數(shù)字證書保護(hù)公鑰和它的身份驗(yàn)證數(shù)據(jù)，由CRL是CA對撤銷的證書而簽發(fā)的一個(gè)列表文件，該文件可用于三元對等密碼安全協(xié)議鑒別服務(wù)單元三元對等密碼安全協(xié)議中采用的數(shù)字證書為X.509V3格式，CRL為X.509V2的格式。數(shù)字證書私鑰三元對等密碼安全協(xié)議中使用的數(shù)字證書和CRL應(yīng)基于以下兩種密碼算法a)基于SM2密碼算法，采用的簽名算法為符合GB/T3291GB/T32905規(guī)定的SM3。公鑰算法標(biāo)識、簽名算法標(biāo)識以及密鑰交換簽名算法；橢圓曲線參數(shù)字段采用OID標(biāo)識基于SM2的曲線參數(shù)。相關(guān)OID值應(yīng)符合GM/Tb)基于ECDSA密碼算法，采用的簽名算法為ECDSA-192，雜湊算法為SHA-256。公鑰算法標(biāo)識、簽15629.11—2003/XG1—2006中識橢圓曲線算法，并在密鑰用途字段中標(biāo)明為簽名用途；簽名算法字段采用OID值41.2.156.11235.1.1.1標(biāo)識基于SHA-256的ECDSA-192算法；橢圓曲線參數(shù)字段采用OID值1.2.156.11235.1.1.2.1標(biāo)識國家密碼管理局在三元對等密碼安全協(xié)議中使用數(shù)字證書和CRL，應(yīng)符合GB/T20518—2018及本文件的規(guī)定和具體密碼算法的數(shù)字證書和CRL，符合GB/T15629.3的以太網(wǎng)TLSec安全協(xié)議、符合GB/T25068.5的TISec安全協(xié)議、符合T/WAPIA046的WAI增強(qiáng)協(xié)議和符合T/WAPIA04本文件應(yīng)采用符合GB/T16263.1的DER對數(shù)字證書中的各項(xiàng)信息進(jìn)行編碼，組構(gòu)。DER編碼是關(guān)于每個(gè)字段的類型、長度和取值的編碼系統(tǒng)，D類型長度取值b)數(shù)字證書以PKCS#12格式存儲的證書和相應(yīng)私鑰（文件名的后綴如.p12或者.pfx5基本證書域簽名算法域簽名值域基本證書域簽名算法域簽名值域版本號序列號簽名算法頒發(fā)者有效期使用者使用者公鑰信息頒發(fā)者唯一標(biāo)識符使用者唯一標(biāo)識符擴(kuò)展項(xiàng)簽名算法簽名值見附錄C；數(shù)字證書中公鑰算法標(biāo)識、簽名算法標(biāo)識以及橢圓曲線參數(shù)均采用OID方式表示，OID的點(diǎn)分本字段數(shù)據(jù)結(jié)構(gòu)見GB/T20518—2018中5本字段數(shù)據(jù)結(jié)構(gòu)見GB/T20518—2018中5的數(shù)字證書的唯一標(biāo)識，為正整數(shù)。通過頒發(fā)本字段數(shù)據(jù)結(jié)構(gòu)見GB/T20518—2018中5本字段數(shù)據(jù)結(jié)構(gòu)見GB/T20518—2018中5設(shè)備域：表示設(shè)備的名稱，要求不超過127個(gè)數(shù)6本字段數(shù)據(jù)結(jié)構(gòu)見GB/T20518—2018中5本字段數(shù)據(jù)結(jié)構(gòu)見GB/T20518—2018中5管理域：表示該網(wǎng)絡(luò)所屬的運(yùn)營者,O=XXXX.subManagementDomain，XXXX根據(jù)設(shè)備域：表示網(wǎng)絡(luò)設(shè)備的名稱，CN=XXX@Type，Type表示設(shè)備的類型b)AE：表示AP、AC等WAPI接入d)AAC:表示符合GB/T15843.3、GB/Te)REQ:表示符合GB/T15843.3、GB/Tf)CISU：表示CIS等相關(guān)類型的示例1：中國電信一個(gè)WAPIAS：CN=SN1@ASU,OU=CS.HN,O=0001示例2：中國電信一個(gè)WAPI用戶終端：CN=userid本字段數(shù)據(jù)結(jié)構(gòu)見GB/T20518—2018中5本字段數(shù)據(jù)結(jié)構(gòu)見GB/T20518—2018中5本字段數(shù)據(jù)結(jié)構(gòu)見GB/T20518—2018中5式見附錄F。符合三元對等密碼安全協(xié)議的數(shù)字證7代表一個(gè)證書持有者身份的唯一標(biāo)識，用于關(guān)聯(lián)具體業(yè)務(wù)，實(shí)體唯一標(biāo)識的OID由各運(yùn)營商或CA自示例：設(shè)備MAC地址標(biāo)識，標(biāo)識證書使用者關(guān)聯(lián)的網(wǎng)絡(luò)設(shè)備的MAC地址信息。應(yīng)有唯一的屬性值，利用OID值1.2.156.11235.3001.1.13.5.1標(biāo)識，本項(xiàng)數(shù)據(jù)結(jié)構(gòu)見GB/T20518—2018中5.2本項(xiàng)數(shù)據(jù)結(jié)構(gòu)見GB/T20518—2018中5.2本項(xiàng)數(shù)據(jù)結(jié)構(gòu)見GB/T20518—2018中5.2AS證書等）則根據(jù)證書用途，分為“簽名”證書和“加密”證書，選擇對應(yīng)的密鑰用途進(jìn)行簽發(fā)。進(jìn)行簽名，簽名的結(jié)果應(yīng)按照符合GB/T16262.1的ASN.1編碼成BITSTRING類型保存在數(shù)字證書簽名值在對CRL解析的過程中，應(yīng)按照先判斷類型，再確定長度，根據(jù)長度讀取數(shù)值的方式進(jìn)基本證書列表域中的“簽名算法”字段的內(nèi)8基本證書列表域版本號簽名算法頒發(fā)者生效日期下次更新日期被撤銷的證書列表擴(kuò)展項(xiàng)簽名算法域簽名算法簽名值域簽名值CRL中簽名算法標(biāo)識采用OID方式表示，OID的點(diǎn)分十進(jìn)制的轉(zhuǎn)換方法見本字段數(shù)據(jù)結(jié)構(gòu)見GB/T20518—2018中5.3.3.1。如果使用了擴(kuò)展項(xiàng)，則此項(xiàng)應(yīng)存在，且其值應(yīng)是本字段數(shù)據(jù)結(jié)構(gòu)見GB/T20518—2018中5本字段包含簽發(fā)該CRL所使用的密碼算法的標(biāo)識符。該值同簽名算法域中包含的值相同。采用OID本字段數(shù)據(jù)結(jié)構(gòu)見GB/T20518—2018中5三元對等密碼安全協(xié)議中，頒發(fā)者標(biāo)識了對CRL簽名和頒發(fā)的證書簽發(fā)服務(wù)器實(shí)體。頒發(fā)者命名應(yīng)b)國家域：表示管理域所屬的國家；e)設(shè)備域：表示設(shè)備的名稱，要求不超過127本字段數(shù)據(jù)結(jié)構(gòu)見GB/T20518—2018中59本字段數(shù)據(jù)結(jié)構(gòu)見GB/T20518—2018中5該域標(biāo)明被撤銷的用于三元對等密碼安全協(xié)議的證書序列號、撤銷時(shí)間和如果沒有被撤銷的證書，此項(xiàng)不存在。否則，列出被撤銷證書的序列號，并指定撤本項(xiàng)是CRL的擴(kuò)展，只可在版本號2出現(xiàn)。如果出現(xiàn)，此項(xiàng)由一個(gè)或多個(gè)CRL擴(kuò)展的序列組成。CRL本字段包含簽發(fā)該CRL所使用的密碼算法的標(biāo)識符。該值同基本證書域中簽名算法字段包含的值相A.1數(shù)字證書私鑰的組成A.2基于ECDSA密碼算法的數(shù)字證書私鑰的范例0029068：OBJECTIDENTIFIER‘1215610197002706A：OBJECTIND0033164：IA5STRING‘WAPI’003D063：OBJECTINDENTIFIERcountryName‘2546’0042132：PRINTABLESTRING‘CN’004A063：OBJECTINDENTIFIERorganizationName‘25410’004F134：PRINTABLESTRING‘0003’0059063：OBJECTINDENTIFIERorganizationUnitName‘25411’005E132：PRINTABLESTRING‘SN’0066063：OBJECTINDENTIFIERcommonName‘2543’006B147：T61STRING‘a(chǎn)s1@ASU’007617D：UTCTime‘010101010101Z’008517D:UTCTime‘100421020202Z’009A06A：OBJECTINDE00A6164：IA5STRING‘WAPI’00B0063：OBJECTINDENTIFIERcountryName‘2546’00B5132：PRINTABLESTRING‘CN’00BD063：OBJECTINDENTIFIERorganizationName‘25410’00C2134：PRINTABLESTRING‘0003’00CC063：OBJECTINDENTIFIERorganizationUnitName‘25411’00D1132：PRINTABLESTRING‘SN’00D9063：OBJECTINDENTIFIERorganizationUnitName‘25411’00DE148：T61STRING‘a(chǎn)s1-2@AE’00EC067：OBJECTINDENTIFIERecPublicKey‘12840100452::::}:}:::}:::::::::}:::}::}:}:}:}:}注：對于00標(biāo)識bitstring位，頭字節(jié)00表示將bit轉(zhuǎn)換為octet應(yīng)充0的個(gè)數(shù)。如果長度為8的整數(shù)倍，則不需要補(bǔ)..2......k..M.S...0015068：OBJECTINDENTIFIER‘002706A：OBJECTIND0033167：IA5STRING‘HUFU128’0040063：OBJECTINDENTIFIERcountryName‘2546’0045132：PRINTABLESTRING‘CN’004D063：OBJECTINDENTIFIERorganizationName‘25410’0052134：PRINTABLESTRING‘0003’005C063：OBJECTINDENTIFIERorganizationUnitName‘25411’0061132：PRINTABLESTRING‘SN’0069063：OBJECTINDENTIFIERcommonName‘2543’006E1411：T61STRING‘cis124DED271@CISU’008317D：UTCTime‘221001120101Z’009217D:UTCTime‘231001120101Z’00A706A：OBJECTIND00B3167：IA5STRING‘HUFU128’00C0063：OBJECTINDENTIFIERcountryName‘2546’00C5132：PRINTABLESTRING‘CN’00CD063：OBJECTINDENTIFIERorganizationName‘25410’00D2134：PRINTABLESTRING‘0003’00DC063：OBJECTINDENTIFIERorganizationUnitName‘25411’00E1132：PRINTABLESTRING‘SN’00E9063：OBJECTINDENTIFIERorganizationUnitName‘2543’00EE146：T61STRING‘a(chǎn)p1@AE’00FA067：OBJECTINDENTIFIERecPublicKey‘128401004520103068：OBJECTINDENTIFIER‘12156101901