ICS 33.160.25 M 74 备案号： 中华人民共和国电子行业标准 SJ/T11407.2—2009 数字接口内容保护系统技术规范 第2部分：数字证书测试规范 Content protection specifications for digital interface- Part 2: Digital certificate test specification 2010-01-20发布 2010-03-01实施 中华人民共和国工业和信息化部发布 SJ/T·11407:22009 SJ/T11407《数字接口内容保护系统技术规范》拟根据数字接口内容保护需求分为几个部分。 本部分为SJ11407的第2部分。 请注意本部分的某些内容有可能涉及专利。本部分的发布机构不应承担识别这些专利的责任。 本部分由中华人民共和国工业和信息化部提出 本部分由全国音频、视频及多媒体设备与系统标准化技术委员会归口。 本部分由中国电子技术标准化研究所四州长虹电露股份有限公司、西安电子科技大学、北京浦奥 得数码技术有限公司、TCL多媒体技术控股公司、青岛海信电器股份有限公司、深圳创维-RGB电子有限 公司、深圳国微技术有限公司：厦门华侨电子股份有限公司、上海广电（集团）有限公司、数源科技股 份有限公司，康佳集团股份有限公司等单位共同起草。 本部分主要起草久、范科峰、张素兵主育民、葛建华、刘贤洪、张恩阳、高明、裴庆祺、詹阳、 杨震，帅红宇等。 2010 版权专有 SJ/T11407.2-2009 复制 数字接口内容保护系统技术规范 第2部分：数字证书测试规范 1范围 本部分规定了数字接口内容保护系统中数字证书的测试规范，测试内容为判断一个证书是否为数字 接口内容保护系统认证机构颁发的合法证书，在确定为数字接口内容保护系统认证机构颁发的合法证书 本部分适用于有关单位研制、生产销售、使用、检测和管理数字接口内容保护系统中的数字证书。 2 规范性引用文件 下列文件中的条款通过本部分的引用而成为本部分的条款。凡是注日期的引用文件，其随后所有的 修改单（不包括勘误的内容）或修订版均不适用于本部分，然而，鼓励根据本部分达成协议的各方研究 是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本也适用于本部分。 GB/T20518-2006，信息安全技术，公钥基础设施数字证书格式 3缩略语 下列缩略语适用于本部分： 证书认证机构 DICP 数字接口内容保护系统 ID 标识符 版 PKI 公钥基础设施 数字证书信任模型 D 公钥证书体系信任模型采用如图1所示的具有唯一根CA的树形结构使用二级CA的PKI结构，即由 DICP根CA给每一个子CA签发证书，再由相应的子CA签发设备中DICP安全模块所持的公钥证书（包括DICP 识别管理单元所持有的设备证书和DICP接口模块所持的接口证书两种）。 DICPCerRoot 子CAIE FCA2E15 FCAAEIS 版 没备重的证书 投备中的证书 设备中的证书5M 设备中的证 图1二级CA的PKI信任模型 5DICP数字证书格式 爱利儿 专有 SJ/T11407.2—2009 5.1CA证书格式 CA证书（包括DICP根CA证书和子CA证书）格式如下： DICP标识（8bit）l/证书类型（4bit）1/证书版本号（4bit）I/保留：（10bit）l/持有者ID（22 bit）I持有者公钥（384.bit）I持有者功能标识字段说明（10.bit）I证书签发者标识（22bit）I 签发日期（16bit）I签名（384bit） （合计864bit，即108字节） CA证书字段格式说明见表1。 表1·CA证书字段格式说明 序号 证书字段 字段说明 1 DICP标识 中的公钥证书 2 证书类型 证书的类型，在CA所持证书中此字段值为O；在DICP设备证书中此字段值为1；在DICP接 口证书中此字段值为2：其余值先保留 证书版本号 3 标示证书的版本，现在仅使用版本号0（表示第1版）。在版本号为0.的证书里面采用SHA- 256和本规范中规定的椭圆曲线签名体制。在以后的版本中，可以按照需要，采用不同的签 名算法和不同的证书格式，与现有的第一版以版本号相区别 保留 全部置0，留作以后备用 4 5 持有者ID 持有者在本系统中的唯一标识，同时作为本证书的唯一标识符 6 持有者公钥 证书持有CA的公钥 7. 持有者功能 指明证书中公钥的用途功能 标识 相应比特位含义： LSBO=1表示证书中的公钥可以用于验证设备证书； LSB1==1表宗证书中的公钥可以用于验证接口证书； LSB2==1表示证书中的公钥可以用于验证吊销列表； LSB3==1表示证书中的公钥可以用于验证CA证书，其余比特位暂时保留，全部置零。 证书签发者 在DICP根证书中就是DICP根CA的唯一标识（即在根证书中，证书持有者和证书的签发者 8 标识 同为DICP根CA的）：在第三级CA所持证书中就是DICP根CA的唯一标识 签发日期 即签发年：（7bit）月（4.bit）日（5·bit）。其中年份的7bit数转化为十进制若为y，则 9 实际表示年份为公元（2000+y）年。例如“0000101|101001111110”表示签发日期为2005 年4月30日 10 签名 证书签发者对证书以上所有信息的有效签名 5.2设备证书和接口证书格式 设备中所持有的证书有设备证书和接口证书两种，其格式如下： DICP标识（8bit）证书类型（4bit）I证书版本号（4bit）li保留（10bit）持有者ID（54 bit）|持有者公钥（384bit）持有者功能标识（10bit）证书签发者标识（22bit）签发日期 （16bit）/签名：（384.bit） （合计896bit，） 即112字节） 设备证书和接口证书字段格式说明见表2。 2 SJ/T11407.2-2009 表2设备/接口证书字段格式说明 序号 证书字段 字段说明 DICP标识 1 标示此证书是哪一个公钥证书体系中的证书。本规范中为“0x5f，表示这是DICP体 系中的公钥证书 2 证书类型 详见CA证书字段说明，在DICP设备证书中此字段值为1：在DICP接口证书中此字段 值为2 3 证书版本号 标示证书的版本，现在仅使用版本号0，详细说明见CA证书字段说明中。 保留 全部置0，留作以后备用 5 持有者ID 证书持有设备的唯一标识符，即设备ID 6 持有者公钥 证书持有设备的公钥 7 持有者功能标识 LSBO1-上证书的持有者是桥设备：其余比特位暂时保留，全部置.0 8 证书签发者标识 证书签发者（相应CA）的标识符 9 即签发年（7:bit）月（4bit）日（5bit）。详见CA证书字段说明 签发日期 10 签名 证书签发者对证书以上所有信息的有效签名 6DICP数字证书测试 6.1DICP数字证书测试一般要求 6.1.1DICP数字证书测试工作条件 DICP数字证书测试软件的硬件工作平台：根据软件运行占用资源来选择测试计算机（1台）。.硬件 配置：内存大于256MB（主频高于266MHz） 、硬盘容量大于20GB、网卡所支持的速度大于10MbpS 主板支持USB2.0传输协议。 DICP数字证书测试软件的软件工作平台：选用比较普及的操作系统和软件平台，工作平台支持 “Windows9x/ME/NTWorkstation/2000-professional”和“MS-0ffice97/2000/xP"，采用“Windows 2000professional+MS-0ffice2003”的流行环境。 注1：营造相对简单、独立的软件测试环境。除了操作系统，测试机上只安装软件运行和测试必需的软件，以免不相 关的软件影响测试实施。 注2：无毒的环境指利用有效的正版杀毒软件检测软件环境，保证测试环境中没有病毒 6.1.2环境条件 在下列测试用标准大气条件下进行测试：VD 环境温度：15℃～35℃： -相对湿度：25%～75%； 大气压力：86kPa~106kPa。 DICP数字证书的测试应在额定电源电压条件下，测试时的电源电压的变化为土2%；当采用交流电网 供电时，.电源频率的波动为土2%，谐波分量不超过5%。 6.1.4稳定时间 为了确保在测量开始后，DICP数字证书测试的功能不随时间而有明显的变化，搭建的整个系统应在 额定测试条件下工作30，min，以使整个系统性能稳定。 6.1.5测试场地 测试应在不受来自外界电磁场干扰的室内进行。如果干扰影响测试结果，测试应在屏蔽室内进行， 6.1.6证书测试系统模型（见图2） SJ/T11407.2—2009 传输线 传输线 DICP数字证书获 DICP终端 DICP源端 取/测试模块 （接口/设备） （DVDI机顶盒等） 数据传输线 计算机：DICP数字 证书测试软件 注1：传输线可以是HDMI、DisplayPort等传输线，源端、终端与DICP数字证书测试模块上的接口同样可以是HDMI、 DisplayPort等数字传输接口。 注2：只有在源端与终端之间有内容传输过程中DICP数字证书获取/测试模块才可以读取固化在DICP终端内的数字证 书。 图2 证书测试系统模型 6.2DICP数字证书测试目的 1) 测试待测证书是否为DICP证书； 2) 测试待测证书是否是DICP机构颁发的合法证书； 测试待测证书的类型：设备证书还是接口证书； 3) 4) 测试待测证书的版本； 5) 测试待测证书的ID； 6) 测试待测证书的功能标识； 7) 测试待测证书的签发日期； 测试待测证书的签发者标识。 8