税务行业标准标准编写规则（送审稿）.docx

《税务行业标准标准编写规则（送审稿）.docx》由会员分享，可在线阅读，更多相关《税务行业标准标准编写规则（送审稿）.docx（14页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 kICS 35.240L76 备案号：中华人民共和国税务行业标准SWSW 62013税务系统数字证书格式标准Standard for taxation administration digital certificate format2013-11-XX 发布2013-11-XX 实施国国家家税税务务总总局局 发布SW 62013I目 次目 次.I 前 言.II 1 适用范围.1 2 规范性引用文件.1 3 术语和定义.1 3.1 数字证书 Digital Certificate .1 3.2 证书撤销列表 Certificate Revocation List (CRL) .1 3.3 认

2、证机构 Certification Authority (CA).1 3.4 终端实体证书 End-Entiy Certificate.1 4 缩略语.1 5 数字证书.2 5.1 概述.2 5.2 数字证书格式.2 5.2.1 基本结构 .2 5.2.2 基本证书域 TBSCertificate.2 6 数字证书模板.6 6.1 人员证书模版.6 6.2 机构证书模版.8 6.3 设备证书模版.8 7 CRL 格式.97.1 CRL 基本结构 .9 7.1.1 版本号 Version.9 7.1.2 颁发者 Issuer .9 7.1.3 生效日期 thisUpdate .10 7.1.4

3、下次更新日期 nextUpdate.10 7.1.5 被撤销的证书列表 Revoke cert List.10 7.1.6 扩展项 CrlExtensions.10 7.1.7 签名算法域 SignatureAlgorithm .10 7.1.8 签名值域 SignatureValue.107.2 CRL 模版 .10SW 62013II前 言本标准是在遵循GB/T 20518-2006信息安全技术 公钥基础设施 数字证书格式标准的基础上 结合税务行业特点制订。 本标准规定了税务系统数字证书和证书撤销列表的基本格式，并对数字证书格式中一些数据项内 容进行了描述。本标准还规定了一些标准的证书扩展

4、域，并对每个扩展域的结构进行了定义，特别是 增加了一些专门面向税务应用的扩充项，制定了各类数字证书和证书撤销列表的格式模板。本标准还 同时列举了一些证书中所支持的算法。SW 6201311 适用范围本标准适用于身份认证系统开发商基于此标准进行税务身份认证系统的建设和升级改造；适用于 应用系统开发商基于税务系统数字证书的应用软件开发。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改版）适用于本文件。 GB/T 15384-2011 标点符号用法 GB/T 20518-2006 信息安全技

5、术 公钥基础设施 数字证书格式 GB/T 25069-2010 信息安全技术 术语GM/T 0010-2012 SM2密码算法加密签名消息语法规范PKCS#7Cryptographic Message Syntex Standard3 术语和定义下列术语和定义适用于本标准。3.1 数字证书 Digital Certificate由国家认可的，具有权威性、可信性和公正性的认证机构进行数字签名的包含公开密钥拥有者信 息、公开密钥、签发者信息、有效期以及一些扩展信息的一个可信的数字化文件。本标准中是指由税 务身份认证系统的所签发的税务系统数字证书。3.2 证书撤销列表 Certificate Rev

6、ocation List (CRL)一个已标识的列表，它指定了一套证书发布者认为无效的证书。除了普通的CRL外，还定义了一些 特殊的CRL类型用于覆盖特殊领域的CRL。3.3 认证机构 Certification Authority (CA)负责创建和分配证书，受用户信任的权威机构。3.4 终端实体证书 End-Entiy Certificate终端实体也称为用户证书，是指由数字认证机构签发的个人证书、机构证书、设备证书等。4 缩略语下列缩略语适用于本标准。 CA 认证机构(Certification Authority) CRL 证书撤销列表(Certificate Revocation L

7、ist) DIT 目录信息树(Directory Information Tree) OID 对象标识符(Object Identifier)SW 6201325 数字证书5.1 概述数字证书具有以下特性： 任何能够获得和使用认证机构公钥的用户都可以验证数字证书中认证机构的签名。 除了签发该证书的认证机构，没有其他机构能够更改证书,证书是不可伪造的。 由于证书是不可伪造的，所以可以通过将其放置在目录中来发布，而不需要以后特意去保护它们。注 :尽管在DIT中使用唯一性名称来明确定义CA，但这并不意味着CA组织和DIT之间有任何联系。认证机构通过对信息集合的签名来生成用户证书，信息集合包括可辨别的

8、用户名、公钥以及一个 可选的包含用户附加信息的唯一性标识符（unique identifier） 。唯一性标识符内容的确切格式本章 未做规定，而留给认证机构(CA)去定义。唯一性标识符可以是诸如对象标识符、证书、日期或是说明 有关可辨别用户名的有效性的证书的其他形式。具体地说，如果一个用户证书的可辨别名为 A，唯一 性标识符为 UA，并且该证书是由名为 CA，其唯一性标识符为 UCA 的认证机构生成的，则用户证书具有 下列的形式： CA=CAV，SN，AI，CA，UCA，A，UA，Ap，TA 这里 V 为证书版本；SN 为证书序列号；AI 为用来签署证书的算法标识符；UCA 为 CA 的可选的

9、唯 一性标识符；UA 为用户 A 的可选的唯一性标识符；Ap 为用户 A 的公钥；TA表示证书的有效期，由两个 日期组成，两者之间的时间段即是证书的有效期。证书有效期是一个时间区间，在这个时间区间里， CA 必须保证维护该证书的状态信息，也就是发布有关撤销的信息数据。由于假定 TA在不小于 24h 的周 期内变化，要求系统以格林威治时间（Coordinated Universal Time）为基准时间。证书上的签名可 被任何知道 CA 公钥 CAp 的用户用来验证证书的有效性。5.2 数字证书格式本标准采用GB/T 16262系列标准的特定编码规则（DER）对下列证书项中的各项信息进行编码，组

10、 成特定的证书数据结构。ASN.1 DER 编码是关于每个元素的标记、长度和值的编码系统。5.2.1 基本结构数字证书的基本结构由基本证书域TBSCertificate、签名算法域SignatureAlgorithm、签名值域 SignatureValue等三部分组成。 其中，基本证书域由基本域和扩展域组成，如图1所示：数字证书基本证书域签名算法域签名值域基本域扩展域图 1 数字证书基本结构示意图5.2.2 基本证书域 TBSCertificateTBSCertificate包含了证书结构中前十个项的信息。这些信息主要有主体和颁发者的名称、主体 的公钥、有效期、版本号和序列号，有些TBSCer

11、tificate还可以包含可选的唯一标识符项和扩展项。5.2.2.1 基本域SW 620133基本域由如下部分组成： 版本 Version 序列号 SerialNumber 签名算法 SignatureAlgorithm 颁发者 Issuer 有效期 Validity 主体Subject 主体公钥信息 SubjectPublicKeyInfo 下面分别详细介绍各组成部分的格式要求。5.2.2.1.1 版本 Version 本项描述了数字证书的版本号，税务系统数字证书应使用版本3。5.2.2.1.2 序列号 SerialNumber本项是税务身份认证系统分配给每个证书的一个正整数，可以是长整数，

12、支持最大长度为7个字节 的序列号，以十六进制显示为14个可见字符，示例如：0x0E01000000001A，其中左边第一个字节0E表 示发证区域，第二个字节01表示签发证书所使用的算法。税务身份认证系统签发的每张证书的序列号 应是唯一的。5.2.2.1.3 签名算法 SignatureAlgorithm本项包含税务身份认证系统签发该证书所使用的密码算法的标识符，算法标识符应与证书中 SignatureAlgorithm项的算法标识符相同。 签名算法应符合国家密码主管部门对密码算法的规定，并根据国家密码主管部门批准的最新算法 及时调整，以适应国家最新技术标准要求。5.2.2.1.4 颁发者 Is

13、suer本项标识了证书签名和证书颁发的实体。它必须包含一个非空的可甄别名。该项被定义为 X.500 的 Name 类型，其 ASN.1 的结构如下：Name := CHOICE RDNSequence RDNSequence := SEQUENCE OF RelativeDistinguishedNameRelativeDistinguishedName := SET OF AttributeTypeAndValueAttributeTypeAndValue := SEQUENCE type AttributeType,value AttributeValue AttributeType :=

14、 OBJECT IDENTIFIERAttributeValue := ANY DEFINED BY AttributeTypeDirectoryString := CHOICE UnicodeString UnicodeString (SIZE (1.MAX),SW 620134utf8String UTF8String (SIZE (1.MAX) NameName 描述了由一些属性组成的层次结构的名称，如国家名、相应的值,如“C=CN” 。其中 AttributeValue 部分的类型是由 AttributeType 确定的，通常它是一个 DirectoryString 类型。 Direc

15、toryStringDirectoryString 类型被定义为 UTF8String 和 UnicodeString 类型之一。颁发者甄别名称 （Distinguished Name，简称 DN）的 C（Country）属性的编码应使用 PrintableString。其它属性的 编码应一律使用 UTF8String 或 UnicodeString。5.2.2.1.5 有效期 Validity本项是指一个时间段，在这个时间段内，税务身份认证系统担保它将维护关于证书状态的信息。 该项被表示成一个具有两个时间值的 SEQUENCE 类型数据：证书有效期的起始时间（notBefore）和证 书有效

16、期的终止时间（notAfter） 。notBefore 和 notAfter 这两个时间都可以作为 UTCTime 类型或者 GeneralizedTime 类型进行编码。 在2049年之前（包括2049年）必须将该时间编码为UTCTime类型，在2050年之后，编码为 GeneralizedTime类型。5.2.2.1.6 主体 Subject本项描述了与主体公钥项中的公钥相对应的实体。主体名称可以出现在主体项或主体替换名称扩 展项中（SubjectAltName）。如果主体是一个证书颁发机构，那么主体项必须与其签发的所有证书的 颁发者相同，税务身份认证系统认证的每个主体实体的甄别名称应是唯

17、一的。税务身份认证系统可以 为同一个主体实体以相同的甄别名称签发多个证书。 该项不能为空。5.2.2.1.7 主体公钥信息 Subject Public Key Info 本项用来标识公钥和相应的公钥算法。公钥算法使用算法标识符AlgorithmIdentifier结构来表示。 当公钥算法为RSA时，AlgorithmIdentifier结构定义参见PKCS#7；当公钥算法为SM2时， AlgorithmIdentifier结构定义参见 GM/T 0010-2012 SM2密码算法加密签名消息语法规范。5.2.2.2 扩展域本标准定义的证书扩展项提供了把一些附加属性同用户或公钥相关联的方法以及

18、证书结构的管理 方法。数字证书允许定义标准扩展项和专用扩展项。每个证书中的扩展可以定义成关键性的和非关键 性的。一个扩展含有三部分，它们分别是扩展类型、扩展关键度和扩展项值。扩展关键度（Extension Criticality）告诉一个证书的使用者是否可以忽略某一扩展类型。证书的应用系统如果不能识别关键 的扩展时，必须拒绝接受该证书，如果不能识别非关键的扩展，则可以忽略该扩展项的信息。 证书扩展域结构如图2所示。扩展域扩展项1扩展项2扩展项3扩展关键度扩展项值扩展项n扩展类型SW 620135图 2 扩展域构成示意图 本条定义了如下一些标准的扩展项和专业扩展项： 密钥用法KeyUsage 主

19、体密钥标识符SubjectKeyIdentifier 颁发机构密钥标识符AuthorityKeyIdentifier 证书策略CertificatePolicies5.2.2.2.1 密钥用法 KeyUsage本项说明已认证的公开密钥用于何种用途，所有证书应具有密钥用法扩展项。 密钥用法定义：id-ce-keyUsage OBJECT IDENTIFIER := id-ce 15 KeyUsage:=BIT STRING digitalSignature (0)， nonRepudiation (1)， keyEncipherment (2)， dataEncipherment (3)， ke

20、yAgreement (4)， keyCertSign (5)， crlSign (6)， encipherOnly (7)，decipherOnly (8) 所有的税务系统数字证书必须包括本扩展。用户证书则根据证书用途，分“签名”证书和“加密” 证书，选择对应的密钥用途进行签发。 此扩展可定义为关键的或非关键的。5.2.2.2.2 主体密钥标识符 SubjectKeyIdentifier 本项提供一种识别包含有一个特定公钥的证书的方法。此扩展标识了被认证的公开密钥，它能够 区分同一主体使用的不同密钥。 对于使用密钥标识符的主体的各个密钥标识符而言，每一个密钥标识符均应是唯一的。税务身份 认证

21、系统签发证书时必须把税务身份认证系统根证书（二级根证书）中本扩展的值赋给终端实体证书 AuthorityKeyIdentifier扩展中的KeyIdentifier项。 税务系统数字证书的主体密钥标识符应从主体 公钥中或者生成唯一值的方法中导出。 所有的税务系统数字证书必须包括本扩展，此扩展项为非关键项。5.2.2.2.3 颁发机构密钥标识符 AuthorityKeyIdentifier本项提供了一种方式，以识别与证书签名私钥相应的公钥。当颁发者由于有多个密钥共存或由于 发生变化而具有多个签名密钥时使用该扩展。识别可基于颁发者证书中的主体密钥标识符或基于颁发 者的名称和序列号。 税务身份认证系

22、统产生的所有证书应包括AuthorityKeyIdentifier扩展的KeyIdentifier项，以便 于链的建立。税务身份认证系统以“自签”（self-signed ）证书形式发放其公钥时，可以省略认证 机构密钥标识符。 本项既可用作证书扩展亦可用作CRL扩展。本项标识用来验证在证书或CRL上签名的公开密钥。它 能辨别税务身份认证系统使用的不同密钥。SW 6201365.2.2.2.4 证书策略 CertificatePolicies本项包含了一系列策略信息条目，每个条目都有一个OID和一个可选的限定条件。 在用户证书中，这些策略信息条目描述了证书发放所依据的策略以及证书的应用目的；在税

23、务系 统数字证书中，这些策略条目指定了包含这个证书的验证路径的策略集合。 数字证书是否包括本扩展为可选的，是否为关键项也是可选的。5.2.2.2.5 实体唯一标识本项代表一个证书持有者身份的唯一编码，在业务系统中，本标识可与应用系统内用户账号一一 关联，从而实现证书用户与应用系统用户的绑定。税务身份认证系统所签发税务人员证书确定人员身 份的唯一标识是身份识别码，是由税务人员身份证号经过单向加密算法变换而成，与税务人员身份证 号一一对应。纳税人证书确定纳税人身份的唯一标识是纳税人识别号，对于同一个纳税人有多个证书 副本的，以用户ID作为确定同一纳税人不同证书副本的唯一标识。 实体唯一标识项数据的

24、总长度不应超过128字节。税务人员证书唯一标识项身份识别码是长度为16 的数字型字符串；纳税人证书中纳税人识别号是税务系统标准数据元，通常是长度为20的字符串；纳 税人证书中用户ID通常是长度为24的字符串，是在纳税人识别号后面添加下划线和3位顺序号，格式如 “纳税人识别号_001”。 所有的税务人员证书和纳税人证书必须包括本扩展，此扩展项为非关键项。5.2.2.3 签名算法域 SignatureAlgorithm证书中的签名算法应使用国家密码管理主管部门审核批准的相关算法。5.2.2.4 签名值域 SignatureValue本项包含对基本证书域进行数字签名的结果。经ASN.1 DER编码的

25、基本证书域作为数字签名算法的 输入，签名的结果按照ASN.1编码成BIT STRING类型并保存在签名值域。5.2.2.5 命名规范数字证书中的主体DN的编码规范是：DN_C（Country）属性的编码使用PrintableString，Email属 性的编码使用IA5String，其它属性的编码应使用UTF8String或UnicodeString。 数字证书中的主体DN命名规范为： C，表示国家，内容为：CN。 S，表示省份，所在省份，例如：北京。 L，表示城市，所在城市，例如：北京。 O，表示单位或机构名称，例如：国家税务总局。 OU，表示部门名称，例如：电子税务管理中心。 CN，表示用

26、户通用名，例如：张三。6 数字证书模板税务系统数字证书主要有人员证书、机构证书、设备证书等类型，其中人员证书主要包括税务人 员证书和纳税人证书。6.1 人员证书模版税务人员证书是指税务身份认证系统为税务系统工作人员颁发的数字证书，以身份识别码作为唯 一标识提供给应用系统，其他信息灵活使用，模板如表1所示：SW 620137表1 税务人员证书模板描述内容说明与举例版本数字证书版本号统一使用X.509 V3序列号系统自动生成签名算法Sha1WithRSA、SM3WithSM2有效起始日期X年X月X日 X时X分X秒有效终止日期X年X月X日 X时X分X秒颁发者税务电子证书管理中心（已由税务总局相关职能

27、部门确定）主体证书持有者名称，如“张三”、“李四”基 本 域主体公钥信息密钥用法签名或加密身份识别码由税务总局相关职能部门确定，以身份证号通过单向加密算法变换 生成，是确定税务人员身份的唯一标识，是长度为16的数字型字符 串。税务机构名称各地颁发税务系统数字证书的税务机构名称，如河南省国家税务局税务机构代码是税务系统标准数据元，是长度为11的数字型字符串。扩 展 域证书及CRL发布点通常是域名地址，根据税务系统业务专网IP地址和域名编码规范确 定各省级业务专网发布点域名如（重庆国税）：taxia.cqgs.tax 总局业务专网发布点域名如：taxia.sat.tax纳税人证书是指税务身份认证系

28、统为纳税人颁发的数字证书，主要用于纳税人涉税业务，模板如 表2所示： 表2 纳税人证书模板内容名称内容说明与举例版本数字证书版本号统一使用X.509 V3序列号系统自动生成签名算法Sha1WithRSA、SM3WithSM2有效起始日期X年X月X日 X时X分X秒有效终止日期X年X月X日 X时X分X秒颁发者税务电子证书管理中心（已由税务总局相关职能部门确定）主体纳税人名称，如“XX公司”基 本 域主体公钥信息密钥用法签名或加密扩 展 域纳税人识别号是长度为20的字符串，是税务系统标准数据元。SW 620138用户ID为解决一个纳税人多个证书副本的情况，此用户ID可作为确定纳 税人身份的唯一标识，

29、编码格式如：纳税人识别号-XXX主管税务机构名称各地颁发税务系统数字证书的税务机构名称，如河南省国家税务 局主管税务机构代码是税务系统标准数据元，是长度为11的数字型字符串。 证书及CRL发布点通常是域名地址，省级互联网发布点域名，是在原有省级互联网 域名下增加子域名格式如：taxia.原有域名 总局互联网发布点域名为：6.2 机构证书模版机构证书是税务身份认证系统为税务系统相关的机构颁发的数字证书，相关机构如与税务系统有 业务往来和数据交换的银行、外汇管理局等，机构证书可用于验证交换数据的可信来源，证书模板如 表3所示： 表3 机构证书模板内容名称内容说明与举例版本数字证书版本号统一使用X.

30、509 V3序列号系统自动生成签名算法Sha1WithRSA、SM3WithSM2有效起始日期X年X月X日 X时X分X秒有效终止日期X年X月X日 X时X分X秒颁发者税务电子证书管理中心（已由税务总局相关职能部门确定）主体如：河南省国家税务局 基 本 域主体公钥信息密钥用法签名或加密机构证书用途如“签名验签服务”等机构名称字符串类型，证书颁发的对象机构名称机构代码字符串类型，用于标识机构的代码扩 展 域证书及CRL发布点通常是域名地址，发布点域名区分业务专网和互联网，分别按照人 员证书模板说明来确定。 如总局业务专网发布点域名为：taxia.sat.tax 总局互联网发布点域名为：6.3 设备证

31、书模版设备证书是指税务身份认证系统为税务应用环境中的相关设备所颁发的数字证书，如防火墙证书、 安全网关证书，用于验证相关设备的可信来源。模板如表4所示： 表4 设备证书模板SW 620139内容名称内容说明与举例版本数字证书版本号统一使用X.509 V3序列号系统自动生成签名算法Sha1WithRSA、SM3WithSM2有效起始日期X年X月X日 X时X分X秒有效终止日期X年X月X日 X时X分X秒颁发者税务电子证书管理中心（已由税务总局相关职能部门确定）主体如：XXX防火墙基 本 域主体公钥信息密钥用法签名或加密设备证书用途如“XXX防火墙”等机构名称字符串类型，证书颁发的对象机构名称机构代码

32、字符串类型，用于标识机构的代码扩 展 域证书及CRL发布点通常是域名地址，发布点域名区分业务专网和互联网，分别按照人 员证书模板说明来确定。 如总局业务专网发布点域名为：taxia.sat.tax 总局互联网发布点域名为：7 CRL 格式7.1 CRL 基本结构CRL是税务身份认证系统对撤销的证书而签发的一个列表文件，该文件可用于业务系统鉴别用户证 书的有效性。 CRL文件结构主要包括： a) 版本号 b) 颁发者 c) 生效日期 d) 下次更新日期 e) 被撤销的证书列表 f) 签名算法 g) 扩展项7.1.1 版本号 VersionCRL版本号采用V2 ，数值为“1”，表示版本 2 （V2

33、） 7.1.2 颁发者 IssuerSW 6201310本项标识了签名和颁发CRL的实体。它必须包含一个非空的甄别名称（DN-distinguished name）。 该项被定义为Name类型。7.1.3 生效日期 thisUpdate本项标明了CRL的颁发时间，自颁发CRL之时起生效。7.1.4 下次更新日期 nextUpdate本项标明了下一次CRL将要发布的时间。下一次CRL可以在此时间前签发，但不能晚于此时间签发。7.1.5 被撤销的证书列表 Revoke cert List本项标明被撤销的证书序列号、撤销时间和撤销原因。 如果没有被撤销的证书，此项不存在。否则，列出被撤销证书的序列号

34、，并指定撤销的日期。7.1.6 扩展项 CrlExtensions本项只可在V2出现。如果出现，此项由一个或多个CRL扩展的序列组成。7.1.7 签名算法域 SignatureAlgorithm本项包含税务身份认证系统签发该CRL所使用的密码算法的标识符，使用国家密码管理主管部门审 核批准的相关算法。7.1.8 签名值域 SignatureValue本项包含对基本CRL域进行数字签名的结果。经ASN.1 DER编码的基本CRL域作为数字签名算法的输 入，签名的结果按照ASN.1编码成BIT STRING类型并保存在签名值域。7.2 CRL 模版CRL格式模板如表5所示： 表5 CRL模板证书域

35、名含义说明Version版本号1（表示V2版本）Signature签名算法使用国家密码管理主管部门审核批准的相关算法Issuer签发机构名同签发者主题项一致Validity有效期限thisUpdate本次更新日期签发时确定nextUpdate下次更新日期根据签发CRL策略确定Revoke cert List被撤销的证书列表serialNumber序列号被撤销的证书序列号revocationDate时间撤销时间reasonCode原因撤销原因代码CrlExtensions扩展项SignatureAlgorithm签名算法域对CRL基本信息的数字签名的签名算法SignatureValue签名值域对CRL基本信息的数字签名的签名值