LD/T 02.3-2022标准规范下载简介
LD/T 02.3-2022 人力资源社会保障电子认证体系规范 第3部分:数字证书格式规范.pdf简介:
LD/T 02.3-2022 《人力资源社会保障电子认证体系规范 第3部分:数字证书格式规范》是由中国劳动和社会保障科学研究院等机构制定的一份行业标准。该规范主要针对人力资源社会保障领域内的电子认证,特别是数字证书的格式规定,目的是为了确保电子认证的安全、可靠和可追溯。
数字证书,简单来说,是一种用于在网络上确认身份的电子文档,它包含了持有者的个人信息、公钥以及由权威机构颁发的签名。在人力资源社会保障领域,这种证书可能用于员工的身份验证、电子合同签署、社保信息查询等场景,以保护个人信息安全,防止数据篡改。
该规范详细规定了数字证书的结构、算法、密钥管理、证书生命周期管理等方面的要求,包括证书的生成、存储、传输、撤销等环节的操作流程和安全控制措施。它旨在提供一个统一、安全、可信的电子认证环境,促进人力资源和社会保障业务的数字化转型和在线服务的开展。
LD/T 02.3-2022 人力资源社会保障电子认证体系规范 第3部分:数字证书格式规范.pdf部分内容预览:
可辨别名distinguishedname 数字证书实体特征名 用来识别公钥的实体名称,通堂
可辨别名distinguishedname 数字证书实体特征名 用来识别公钥的实体名称,通常包括实体的通用名、单位、组织和国家信息。
下列缩略语适用于本文件: ASN:抽象语法表示法(AbstractSyntax Notation) C:国家(Country) CA:证书认证机构(CertificationAuthority) CN:通用名(CommonName) CRL:证书撤销列表(CertificateRevocationList) DER:可区分编码规则(DistinguishedEncodingRules) DN:可辨别名(DistinguishedName) O:机构(Organization) OID:对象标识符(ObjectIdentifier) OU:机构单位(OrganizationUnit) RA:证书注册机构(RegistrationAuthority)
人力资源社会保障电子认证系统主要签发和管理以下四类用户证书: a 机构证书一一面向人力资源社会保障系统内部机构(包括各级人力资源社会保障部门、各类经 办机构、公共服务机构、街道社区人力资源社会保障服务站、所等)、服务于人力资源社会保 障业务的系统外机构(包括人力资源社会保障事务代理机构等),以及人力资源社会保障业务 所管理服务的企事业单位发放; b) 人员证书一一面向人力资源社会保障业务专网计算机终端用户(包括各级人力资源社会保障部 门工作人员、经办人员等)发放; 设备证书一一面向人力资源社会保障信息系统的服务器、终端设备等发放; d)持卡人证书 面向第三代社会保障卡持卡人发放。
数字证书由三部分组成:基本证书域TBSCertificate、签名算法域SignatureAlgorithm、签名值域 SignatureValue。其中,基本证书域由基本域和扩展域组成JC/T 820-2012标准下载,如图1所示。
本证书域(TBSCertificate)包括基本域和扩展域
基本域由以下部分组成: a) 版本 Version b) 序列号 SerialNumber c) 签名算法 SignatureAlgorithm d) 颁发者 Issuer e) 有效期 Validity f) 主体 Subject g) 主体公钥信息 SubjectPublicKeylnfo
6. 2. 1. 1版本
本项描述了数字证书的版本号 数字证书应使用版本3(对应的数值是整数“2”)
图1数字证书基本结构示意图
6. 2. 1. 2序列号
本项是证书签发管理系统分配给每个证书的一个正整数,一个证书签发管理系统签发的每张证书的 列号必须是唯一的(通过颁发者的名字和序列号就可以唯一地确定一张证书),证书签发管理系统必 呆证序列号是非负整数。 证书更新时序列号须改变。 a 机构证书、人员证书、设备证书的序列号规则一致,证书序列号的长度为16个16进制数字, 序列号编码规则如下: 证书序列号(16位)=CA编号(2)+RA编号(6)+顺序号(8) 其中,CA编号编码规则为“CA+行政区划前4位”,RA编号编码规则为“RA+行政区划 (6位)”,顺序号可从1开始依次累加。 例如:某一证书序列号是:1034000000316098。前2位“10”代表部CA系统,第3位到8位 “340000”代表安徽省RA,最后8位“00316098”代表证书的顺序号。 b)持卡人证书序列号的长度为32个16进制数字,序列号编码规则如下: 持卡人证书序列号(32位)=证书类型编号(2)+发卡地行政区划代码(6)+CA编号(2) +随机数(22) 其中,发卡地行政区划代码遵循《社会保障卡发行地区行政区划代码》,CA编号CA编号编 码规则为“CA+行政区划前4位”。 例如:某一证书序列号是:10341000347517737135237362193813。前2位“10”代表签名证书, 第3位到8位“341000”代表安徽省黄山市,第9位到10位“34”代表安徽省,最后22位 “7517737135237362193813”代表证书的随机号
6. 2. 1. 3签名算法
本项包含CA签发该证书所使用的密码算法的标识符,这个算法标识符必须与证 gnatureAlgorithm项的算法标识符相同,签名算法采用SM3withSM2。 签名算法应符合国家密码主管部门对密码算法的规定,并根据国家密码主管部门批准的最新算 调整。
6. 2. 1. 4颁发者
本项标识了证书签名和证书颁发的实体。它必须包含一个非空的可辨别名(DN)。该项被定义为 Name类型,其ASN.1的结构如下: Name:=CHOICERDNSequence) RDNSequence:=SEQUENCEOFRelativeDistinguishedName RelativeDistinguishedName :=SET OFAttributeTypeAndValue AttributeTypeAndValue ::=SEQUENCE typeAttributeType, valueAttributeValue AttributeType ::=OBJECTIDENTIFIER AttributeValue :=ANYDEFINEDBYAttributeType DirectoryString := CHOICE { teletexString TeletexString (SIZE (1..MAX), printableString PrintableString (SIZE (1..MAX)), universalString UniversalString (SIZE (1..MAX), utf8String UTF8String (SIZE (1..MAX)), bmpString BMPString (SIZE (1..MAX)))
Name描述了一些属性组成的层次结构的名称,如国家名、相应的值,如“C=CN”。颁发者可辨 别名的C(Country)属性的编码使用PrintableString。其它属性的编码一律使用UTF8String。 各项编码规范如表1所示,
表 1颁发者 DN编码规
6. 2. 1. 5 有效期
本项是指一个时间段,在这个时间段内,证书签发管理系统担保它将维护关于证书状态的信息。该 项被表示成一个具有两个时间值的SEQUENCE类型数据:证书有效期的起始时间(notBefore)和证书 有效期的终止时间(notAfter)。NotBefore和NotAfter这两个时间都可以作为UTCTime类型或者 GeneralizedTime类型进行编码。 在本项中,UTCTime值必须用格林威治标准时间表示,并且必须包含秒,即使秒的数值为零(即 时间格式为YYMMDDHHMMSSZ)。系统对年字段(YY)应解释为20YY。 GeneralizedTime字段能包含一个本地和格林威治标准时间之间的时间差。GeneralizedTime值必须 用格林威治标准时间表示,且必须包含秒,即使秒的数值为零(即时间格式为 YYYYMMDDHHMMSSZ)。GeneralizedTime值绝不能包含小数秒(fractionalseconds)。 CA证书的有效期最长为20年
6. 2. 1. 6主体
本项描述了与主体公钥项中的公钥相对应的实体。主体名称可以出现在主体项和/或主体替换名称 扩展项中(SubjectAltName)。如果主体是一个CA,那么主体项必须是一个非空的与颁发者项的内容 相匹配的甄别名称(DistinguishedName),一个CA认证的每个主体实体的甄别名称必须是唯一的。 个CA可以为同一个主体实体以相同的甄别名称签发多个证书。 该项不能为空
.2.1.7主体公钥信息
本项用来标识公钥和相应的公钥算法。公钥算法使用算法标识符AlgorithmIdentifier结构来表示, 公钥算法采用SM2椭圆曲线公钥密码算法。
6. 2. 2 扩展域
方法。数字证书允许定义标准扩展项和专用扩展项。每个证书中的扩展可以定义成关键性的和非关键性 的。一个扩展含有三部分,它们分别是扩展类型、扩展关键度和扩展项值。扩展关键度(extensior criticality)告诉一个证书的使用者是否可以忽略某一扩展类型。证书的应用系统如果不能识别关键的扩 展时,必须拒绝接受该证书GB/T51379-2019标准下载,如果不能识别非关键的扩展,则可以忽略该扩展项的信息。 证书扩展域结构如图2所示
a) 密钥用法 KeyUsage b) 主体密钥标识符 SubjectKeyldentifier c) 颁发机构密钥标识符 AuthorityKeyldentifier d) 证书策略 CertificatePolicies e) 实体唯一标识 SubjectUniqueID 注:对于CA证书,可以不签发实体唯一标识:对于终端
6. 2. 2. 1 密钥用法
已认证的公开密钥 OBJECTIDENTIF T STRING digitalSignature nonRepudiation keyEncipherment dataEncipherment keyAgreement keyCertSign cRLSign encipherOnly decipherOnly
《电磁波暗室工程技术规范 GB 50826-2012》OBJECT IDENTI T STRING digitalSignature nonRepudiation keyEncipherment dataEncipherment keyAgreement keyCertSign cRLSign encipherOnly decipherOnly
所有的CA证书必须包括本扩展,而且必须包含keyCertSign这一用法。用户证书则根据证书人 为签名证书和加密证书,选择对应的密钥用途进行签发。此扩展可以定义为关键的或非关键的, 颁发者选择
6.2.2.2主体密钥标识符