税务行业标准标准编写规则（送审稿）.doc

k目 次 目 次 I 前 言 II 1 适用范围 1 2 规范性引用文件 1 3 术语和定义 1 3.1 数字证书 Digital Certificate 1 3.2 证书撤销列表 Certificate Revocation List (CRL) 1 3.3 认证机构 Certification Authority (CA) 1 3.4 终端实体证书 End-Entiy Certificate 1 4 缩略语 1 5 数字证书 2 5.1 概述 2 5.2 数字证书格式 2 5.2.1 基本结构 2 5.2.2 基本证书域TBSCertificate 2 6 数字证书模板 6 6.1 人员证书模版 6 6.2 机构证书模版 8 6.3 设备证书模版 8 7 CRL格式 9 7.1 CRL基本结构 9 7.1.1 版本号 Version 9 7.1.2 颁发者 Issuer 9 7.1.3 生效日期 thisUpdate 10 7.1.4 下次更新日期 nextUpdate 10 7.1.5 被撤销的证书列表 Revoke cert List 10 7.1.6 扩展项 CrlExtensions 10 7.1.7 签名算法域 SignatureAlgorithm 10 7.1.8 签名值域　SignatureValue 10 7.2 CRL模版 10 前 言 本标准是在遵循GB/T 20518-2006《信息安全技术 公钥基础设施 数字证书格式》标准的基础上结合税务行业特点制订。 本标准规定了税务系统数字证书和证书撤销列表的基本格式，并对数字证书格式中一些数据项内容进行了描述。本标准还规定了一些标准的证书扩展域，并对每个扩展域的结构进行了定义，特别是增加了一些专门面向税务应用的扩充项，制定了各类数字证书和证书撤销列表的格式模板。本标准还同时列举了一些证书中所支持的算法。 适用范围 本标准适用于身份认证系统开发商基于此标准进行税务身份认证系统的建设和升级改造；适用于应用系统开发商基于税务系统数字证书的应用软件开发。 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改版）适用于本文件。 GB/T 15384-2011 标点符号用法 GB/T 20518-2006 信息安全技术 公钥基础设施 数字证书格式 GB/T 25069-2010 信息安全技术 术语 GM/T 0010-2012 SM2密码算法加密签名消息语法规范 PKCS#7 Cryptographic Message Syntex Standard 术语和定义 下列术语和定义适用于本标准。 数字证书 Digital Certificate 由国家认可的，具有权威、可信公正的认证机构数字签名的文件 负责创建和分配证书，受用户信任的权威机构。 终端实体证书 End-Entiy Certificate 终端实体也称为用户证书，是指由数字认证机构签发的个人证书、机构证书、设备证书等。 缩略语 下列缩略语适用于本标准。 CA 认证机构(Certification Authority) CRL 证书撤销列表(Certificate Revocation List) DIT 目录信息树(Directory Information Tree) OID 对象标识符(Object Identifier) 数字证书 概述 数字证书具有以下特性： 任何能够获得和使用认证机构公钥的用户都可以验证数字证书中认证机构的签名。 除了签发该证书的认证机构，没有其他机构能够更改证书,证书是不可伪造的。 由于证书是不可伪造的，所以可以通过将其放置在目录中来发布，而不需要以后特意去保护它们。 :尽管在DIT中使用唯一性名称来明确定义CA，但这并不意味着CA组织和DIT之间有任何联系。 认证机构通过对信息集合的签名来生成用户证书，信息集合包括可辨别的用户名、公钥以及一个可选的包含用户附加信息的唯一性标识符（unique identifier）。唯一性标识符内容的确切格式本章未做规定，而留给认证机构(CA)去定义。唯一性标识符可以是诸如对象标识符、证书、日期或是说明有关可辨别用户名的有效性的证书的其他形式。具体地说，如果一个用户证书的可辨别名为A，唯一性标识符为UA，并且该证书是由名为CA，其唯一性标识符为UCA的认证机构生成的，则用户证书具有下列的形式： CAA=CA{V，SN，AI，CA，UCA，A，UA，Ap，TA} TA表示证书的有效期，由两个日期组成，两者之间的时间段即是证书的有效期。证书有效期是一个时间区间，在这个时间区间里，CA必须保证维