T/ZISIA 0103-2026 通用操作系统商用密码数字证书体系规范.pdf

T/ZISIA 0103-2026

通用操作系统商用密码数字证书体系规范

Specification for mercial cipher digital certificate system of general-purposeoperating systems

中关村网络安全与信息化产业联盟 发布

目次

1范围.. ..42规范性引用文件 .43术语和定义 .44符号和缩略语 65OS数字证书. ..66OS数字证书体系 .67OS证书链 ..77.1概述 7.2根证书规范. . .77.3中间证书规范 87.4应用证书 .98OS应用证书规范. 8.1启动垫片证书. 018.1.1证书的作用.. 01 018.1.2证书使用主体及责任 018.1.3证书签发主体、责任及授权 108.1.4启动垫片证书链. 8.1.5OS运行时证书使用和管理. 01 .118.2内核代码证书 .118.2.1证书的作用 .118.2.2证书使用主体及责任. 8.2.3证书签发主体、责任及授权 11 118.2.4内核代码证书链 .118.3驱动模块证书... 8.2.5OS运行时证书使用和管理 .128.3.1证书的作用， 12 128.3.2证书使用主体、责任及授权 128.3.4驱动模块证书链 8.3.3证书签发主体、责任及授权 128.3.5驱动模块证书使用和管理 13 138.4文件完整性证书 138.4.1证书的作用 138.4.3证书签发主体、责任及授权 8.4.2证书使用主体、责任及授权 ..1. .138.4.4文件完整性证书链 148.4.5文件完整性证书使用和管理 14

8.5应用软件包证书 148.5.1证书的作用.. 148.5.2证书使用主体、责任及授权 148.5.3证书签发主体、责任及授权 8.5.4应用软件包证书链. ..15 .158.5.5OS运行时证书使用和管理. .158.6可执行程序证书 158.6.1证书的作用 8.6.2证书使用主体、责任及授权 .15 158.6.3证书签发主体、责任及授权 918.6.4可执行程序证书链. -. 168.7 SSH证书. 8.6.5OS运行时证书使用和管理. .16 .178. 7.1 证书的作用. 178.7.2证书使用主体、责任及授权 ..178.7.4SSH证书链 8.7.3证书签发主体、责任及授权 17 178.7.5OS运行时证书使用和管理 ..18附录A（规范性）OS证书链表 .19附录B（规范性）OS应用证书体系规范表 20附录C（规范性）OS签名证书格式. 24附录D（规范性）OS应用证书使用机制 25D.1启动垫片证书、OS内核代码证书及驱动模块证书使用机制 .25D.1.1签名及证书预置 D.1.2安全启动证书验证 25 25D.2文件完整性证书使用机制， 26D.3OS应用软件包签名证书使用机制 27D.4可执行程序签名证书使用机制， D.5SSH证书使用机制 .27 27

参考文献 .28

前言

请注意本文件的某些内容可能涉及专利.本文件的发布机构不承担识别专利的责任.

本文件由中关村网络安全与信息化产业联显提出并归口.

软件有限公司、中科方德软件有限公司、兴唐通信科技有限公司、阿里云计算有限公司、长春吉大正元 本文件起草单位：中关村网络安全与信息化产业联盟、北京天威诚信电子商务服务有限公司、额麟信息技术股份有限公司、北京三博安科技有限公司、蚂蚁科技集团股份有限公司.

平、冯建茹、王希、王辉、姚长远、张天佳、李世奇、陈小春、王克、胡金山、罗捷. 本文件主要起草人：王尧、李延昭、齐建新、张大朋、蒋杏松、王玉成、张超、郭亮、胡昆、卢合

通用操作系统商用密码数字证书体系规范

1范围

本文件规定了通用操作系统（OS）商用密码数字证书体系的架构，以及启动垫片证书、内核代码证书、驱动模块证书、文件完整性证书、应用软件包证书、可执行程序证书及SSH证书的相关要求，包 括证书的作用、证书签发主体和使用主体的职责、应用证书链、证书使用和管理.

本文件为OS商用密码数字证书体系的建设、管理和使用提供指导.

2规范性引用文件

仅该日期对应的版本适用于本文件：不注日期的引用文件，其最新版本（包括的修改单）适用于本 下列文件中的内容通过文中的规范性引用面构成本文件必不可少的条款.其中，注日期的引用文件，文件.

GB/T25069信息安全技术术语 GB/T28447-2012信息安全技术电子认证服务机构运营管理规范GB/T33560信息安全技术密码应用标识规范GM/T0015数字证书格式 GM/T0034-2014基于SM2密码算法的证书认证系统密码及其相关安全技术规范GM/Z4001-2013密码术语T/ZISIA0101-2025通用操作系统商用密码子系统安全轮廊T/ZISIA0105-2026OS应用软件包签名/验证技术规范

3术语和定义

GB/T25069、GM/Z4001-2013界定的以及下列术语和定义适用于本文件.

3.1

应用证书application certificate

直接由用户、服务器或设备持有，用于标识自身身份，如软件代码签名证书、HTTP网站服务器证书.

注：本文件的“应用证书”对应GM/T0034-2014的“用户证书”.

3.2

引导加载器bootloader

计算机启动过程中运行的一段程序，亦称引导代码，负责初始化计算机硬件设备、检测可启动的操作系统、将操作系统内核加载到内存并将系统控制权传递给操作系统内核，从面使操作系统能够正常启动和运行.

[来源：T/ZISIA 0101-2025 3.1]

3.3

启动垫片bootshim

一种在操作系统启动过程中的过渡阶段运行的软件，位于BIOS/UEFI和操作系统内核之间，用于增强系统安全性，方便在同一台计算机上安装和启动多个操作系统.

[来源：T/ZISIA 0101-2025，3.2]

3.4 证书 certificate

关于实体的一种数据，该数据由认证机构的私钥或秘密密钥签发，并无法伪造.