计算机信息系统安全等级保护准则第12部分pki公钥基础设施.docVIP

信息技术 安全技术 公钥基础设施 CA机构标识编码规范 编制说明 国家信息安全工程技术研究中心 二○一一年九月 编制背景 项目背景和目的 从1998年我国成立第一家证书服务机构开始，目前建成和运行的相关服务机构已经超过100家，并分为全国性、地方性和行业性等多种类型。直到2004年我国出台《电子签名法》之后，电子认证服务行业才明确了主管部门，相应的法律法规才逐步完善，目前已有多家商业性服务机构准予许可并获得许可证书。 目前，我国已经建设多家证书认证机构，并发放了数十万张数字证书，数字证书的应用也逐渐增多。虽然有关信息安全研究机构已经开发了“一卡多证书”技术，允许在一个证书载体中下载多张证书，以实现多认证机构和多应用系统互联互通。为了实现应用一卡多证技术和用户证书识别，应用要求CA 必须具备按照统一规范授予的对象标识符OID。但是目前各家证书认证机构都按照自己的假想设定自己名称内容和格式，还没有一个统一的规范代码。 因此，本项任务的目的是研究制定证书认证机构编码规则和编码使用规范，按照统一规范授予对象标识符OID，并建立相关国家标准，采用创新技术，解决急需的实际问题。 主要研究内容 国内外没有关于证书认证机构代码的研究材料和应用资料，我国虽然已经实施全国机构代码编码规范，但是考虑到证书认证机构管理的特殊性，以及需要将证书认证机构CA 代码应用到数字政书中，因此，需要对证书认证机构CA 代码的编码和使用规则进行研究，以适应于我国全部CA 系统，支持采用一卡多证书的应用系统。 任务来源 《信息技术 安全技术 公钥基础设施CA机构标识编码规范》是全国信息安全标准化委员会提出的信息安全标准之一，全国信息安全标准化委员会WG4工作组委托国家信息安全工程技术研究中心作为本标准的召集单位开展本标准的制定工作。 在本标准的编制过程中，项目组征求了业内单位和专家的意见，并按照有关国家标准的要求组织编写，将该标准作为《信息技术 安全技术 公钥基础设施》系列标准之一，名称定为《信息技术 安全技术 公钥基础设施CA机构标识编码规范》。 编制内容 我们在研究时，遵循国家关于编码的一般原则和要求，参照国家关于已有系统的代码编制方法。研究的主要内容包括： 研究我国CA 代码编制原则 研究与给出代码的编码和计算公式 给出我国CA授予代码的规则 给出CA代码的应用格式 给出CA代码的使用方法 编制依据和原则 编制依据 中国有关代码的编制方法 （1）省、自治区、直辖市行政区划代码 （2）中华人民共和国行业标准代号编码 （3）国家邮政数字代码编码 （4）中国省区汉语简称代码方法 （5）国家公民身份证编码 （6）国家密码系列对象标识符OID定义 编制原则 适用性高 简洁易用 具有可扩展性 编制过程说明 从课题的开始，工程中心就进行了大量细致的前期调研工作，为课题的顺利进行打下了坚实的基础。在课题设计和编写过程中，工作人员以严谨求实的工作态度要求自己，反复论证协议各个环节，并且征求多方专家意见，博取所长，力争做的完善。 2009年12－2010年01：调查目前证书认证机构部署、证书发放以及证书应用情况，了解证书相关编解码格式以及应用等多方面背景情况 2010年02－2010年03：研究国内外相关数据编码的一般原则和方法，初步给出证书认证机构的编码规则，完成方案草稿 2010年03－2010年04：提交初步报告，征求各方面意见并进行修改 2010年04－2010年05：提交初步报告，征求各方面意见并进行修改 2010年08:完成报告稿 2010年10.提交验收 2010年12.通过课题验收 2011年04.作为国家标准立项 2010年08.形成初稿，开了有关单位的研讨会 2011年05.形成征求意见稿（并给WG3组刘平副组长） 2011年08 WG4组开会对该项目进行了中期检查 项目组根据专家和有关单位的意见又对标准的内容进行了相关调整和修改，使标准具有了更广泛的适用性。 2013年01信安标委召开标准评审会，从各单位、网络上征求来的意见进行认真的讨论，并进行确认和修改，与会专家对该标准进行了认真审查，并提出了意见和建议，编制组进行了修改，目前形成了送审稿。 标准的主要内容 本标准的主要内容如下： 5　综述 6　CA 6.1　CA 6.2　CA 6.3　CA 7　CA 7.1　数字证书中CA代码OID定义 7.2　CADER编解码示例 8　CA 附录A（资料性附录）　CA 附录B（规范性录）　OID定义9 附录C（资料性附录）　CA编码示例 附录D（资料性附录）　 《简易在线证书状态协议》编制说明 国家信息安全工程技术研究中心 3