LD/T 30.4-2009
基本信息
标准号:
LD/T 30.4-2009
中文名称:人力资源和社会保障电子认证体系 第4部分:证书应用管理规范
标准类别:劳动和劳动安全行业标准(LD)
标准状态:现行
发布日期:2009-12-14
实施日期:2010-03-01
出版语种:简体中文
下载格式:.rar .pdf
下载大小:10647208
相关标签:
人力资源
社会保障
电子
认证
体系
证书
应用
管理
规范
标准分类号
标准ICS号:信息技术、办公机械设备>>35.040字符集和信息编码
中标分类号:电子元器件与信息技术>>信息处理技术>>L80数据加密
关联标准
相关单位信息
起草单位:中华人民共和国人力资源和社会保障部信息中心
标准简介
LD/T 30.4-2009 人力资源和社会保障电子认证体系 第4部分:证书应用管理规范 LD/T30.4-2009 标准下载解压密码:www.bzxz.net
标准内容
ICS35.040
备案号:27111—2010
中华人民共和国劳动和劳动安全行业标准LD/T30.4—2009
人力资源和社会保障电子认证体系第4部分:证书应用管理规范
Human resourcesand social securityelectronicauthentication system-Part 4:Management specification of digital certificate application2009-12-14发布
中华人民共和国人力资源和社会保障部2010-03-01实施
LD/T30.4—2009
规范性引用文件
术语和定义
缩略语
证书应用领域
证书应用技术体系
总体技术框架
密码设备
基础应用接口
高级应用接口
证书应用接口技术要求,
典型证书应用流程
数字证书登录认证·
单向数字签名与验签
双向数字签名与验签
加密与解密
加密签名与解密验签·
附录A(资料性附录)
附录B(规范性附录)
证书应用场景
高级证书应用接口相关标识
LD/T30.4—2009
为适应人力资源和社会保障信息化发展要求,满足人力资源和社会保障网络信任体系建设和管理的需要,人力资源和社会保障部组织并制定了LD/T30一2009《人力资源和社会保障电子认证体系》。网络信任体系包括电子认证体系、投权管理体系和责任认定体系,本标准主要描述了人力资源和社会保障电子认证体系相关内容,包括以下五个部分:第1部分:框架规范;
第2部分:电子认证系统技术规范;第3部分:证书及证书撤消列表格式规范;第4部分:证书应用管理规范;
第5部分:证书载体规范。
本部分为LD/T30—2009的第4部分。本部分描述了证书应用领域和证书应用技术体系,规范了证书应用接口规范和证书应用接口技术要求,给出了典型证书应用流程和应用场景。本部分重点引用了国家密码局《公钥密码基础设施应用技术体系》相关规范,并在此基础上,扩展了典型证书应用流程等相关内容,给出了几类常见的人力资源社会保障业务系统的证书应用场景,从满足人力资源社会保障业务需求的角度,对本行业应用系统使用数字证书的接口和流程提出规范和要求。本部分由中华人民共和国人力资源和社会保障部信息中心提出并归口。本部分主要起草单位:中华人民共和国人力资源和社会保障部信息中心、上海市人力资源和社会保障局信息中心、北京数字证书认证中心、维豪信息技术有限公司。本部分主要起草人:赵锡铭、戴瑞敏、贾怀斌、翟燕立、李丽虹、吴问滨、黄勇、吕丽娟、许华光、罗震、张加会、新朝晖、陆春生、李永亮、宋京燕、杜守国、欧阳晋、林雪焰、李述胜、顾青、宋成。本部分凡涉及密码相关内容,均按国家有关法规实施。1
学兔兔www.bzfxw.com
1范围
人力资源和社会保障电子认证体系第4部分:证书应用管理规范
LD/T30.4—2009
LD/T30的本部分规定了数字证书的应用领域,制定了人力资源和社会保障数字证书应用的总体技术框架,规范了人力资源和社会保障应用系统在实现身份认证、数字签名及验签、加密与解密等安全功能时,所采取的应用接口和证书应用处理流程,给出了可供参考的典型应用场景。本部分适用于指导人力资源和社会保障应用系统实现基于数字证书的安全功能,有助于各级人力资源和社会保障部门采用统一的基于数字证书应用的开发接口。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件,凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T20518一2006信息安全技术公钥基础设施数字证书格式LD/T30.5人力资源和社会保障电子认证体系第5部分:证书载体规范公钥密码基础设施应用技术体系密码设备应用接口规范(国家密码管理局)公钥密码基础设施应用技术体系通用密码服务接口规范(国家密码管理局)公钥密码基础设施应用技术体系密码设备管理规范(国家密码管理局)智能IC卡及智能密码钥匙密码应用接口规范(国家密码管理局)信息技术安全技术
3术语和定义
密码术语(国家密码管理局)
以下术语和定义适用于本部分。3.1
证书认证机构
Certification Authority
负责创建和分配证书,受用户信任的权威机构。用户可以选择该机构为其创建密钥。3.2
数字证书digitalcertificate
由权威认证机构进行数字签名的包含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及一些扩展信息的数字文件。
非对称密码算法
asymmetriccryptographicalgorithm使用两种相关变换和非对称密钥对的密码技术,一种是由公开密钥定义的公开变换,另一种是由私有密钥定义的私有变换。两种变换具有以下特性:即使给定公开变换,也不可能通过计算得出私有变换。
学兔兔www.bzfxw.com
LD/T30.4—2009
私有密钥
privatekey
在公钥密码体制中,用户密钥对中仅为该用户持有的密钥。3.5
公开密钥
public key
在公钥密码体制中,用户密钥对中公布给其他用户的密钥。3.6
encrypt
通过密码算法对数据进行变换来产生密文,以便隐藏数据的信息内容。3.7
decrypt
与一个可逆的加密过程相对应的反过程。该过程使用适当的密钥,将已加密的文本转换成明文。3.8
container
码设备中用于保存密钥所划分的存储空闻的唯一性缩号。3.9
通常,当一个实体(第一个实体)假设另一个实体(第二个实体)完全按照第一个实体的期望行动时,则称第一个实体“信任”第二个实体。这种“信任”可能只适用于某些特定功能。本框架中“信任”的关键作用是描述鉴别实体和认证机构之间的关系;签别实体应确信它能够“信任”认证机构仅创建有效且可靠的证书。
4缩略语
下列缩略语适用于本部分:
应用程序接口,简称应用接口(ApplicationProgramInterface)证书认证机构(CertificationAuthority)证书撤消列表(CertificateRevocationList)加密服务提供者(CryptographicServiceProvider)密钥管理中心(KeyManagementCenter)轻量级目录访间协议(LightweightDirectoryAccessProtocol)对象标识符(ObjectIdentifier)公钥密码标准(thePublic-KeyCryptographyStandard)证书注册机构(RegistrationAuthority)证书应用领域
人力资源和社会保障数字证书的应用领域包括全国性、区域性的各类应用系统,按照业务类别划分为以下三类:
内部办公类:部、省、市、县/区各级人力资源和社会保障部门各自内部办公系统、档案系统、统a)
计系统、决策系统等。
兔兔www.bzfxw.com
LD/T30.4—2009
b)人力资源业务类:包括就业管理与服务、失业管理、公务员管理、军转干部管理、专业技术人才管理、人力资源市场、职业资格管理、职业培训、劳动监察等的本地业务管理与服务系统、跨地区业务管理与服务系统、网上公共服务系统、相关纵向联网数据采集系统等。社会保险业务类:包括养老、失业、医疗、工伤、生育保险的本地业务管理与服务系统、跨地区业c
务管理与服务系统、网上公共服务系统、相关纵向联网数据采集系统、基金监管系统等。6
证书应用技术体系
总体技术框架
人力资源和社会保障证书应用技术框架由密码设备、基础应用接口、高级应用接口组成,如图1所示。
人力资源和社会保障应用系统
服务器端证书应用接口
客户编证书应用接口
通用密码服务接口
密码设备应用接口
密码机
密码设备
证书我体接口
证书载体
高级应用
基础应用
密码设备
人力资源和社会保障证书应用总体技术框架密码设备由密码机、证书载体等密码设备组成,通过基础应用接口向上层应用提供基础的、全面的密码服务。
密码机为应用系统的服务器端提供密码服务。证书载体为应用系统的客户端提供密码服务。6.2.1密码机
密码机必须采用国家密码主管部门批准使用的密码设备,具有销售许可资质。6.2.2证书载体
证书载体主要指用于存储密钥和数字证书并具有密码运算功能的硬件载体,必须采用国家密码主管部门批准使用的密码设备,具有销售许可资质。证书载体的各项技术参数应符合LD/T30.5。3
学兔兔www.bzfxw.com
LD/T30.4—2009
基础应用接口
基础应用接口主要包括三类:密码设备应用接口、证书载体接口和通用密码服务接口。6.3.1
密码设备应用接口
密码设备应用接口应遵循国际标准PKCS#11规范和《公钥密码基础设施应用技术体系密码设备应用接口规范》。
密码设备应用接口应支持Windows、Linux,Unix等所有主流操作系统。6.3.2证书载体接口
证书载体接口应遵循《智能IC卡及智能密码钥匙密码应用接口规范》和LD/T30.5。证书载体接口应支持Windows和Linux等主流操作系统。3通用密码服务接口
通用密码服务接口位于密码设备应用接口和证书载体接口之上,应遵循《公钥密码基础设施应用技术体系通用密码服务接口规范》。6.4高级应用接口
高级应用接口是位于基础应用接口之上,供应用系统直接调用的接口开发包,包括客户端和服务器端接口两大部分。
根据应用系统架构和应用环境,应至少支持C和Java两种开发语言。对于B/S和C/S架构的应用系统,客户端应提供ActiveX控件、DLL动态连接库或JAR开发包,服务器端应提供JAR格式的JAVA包、DLL格式的COM组件以及sO文件格式的开发包。高级应用接口的主要功能包括:身份认证、加密与解密、数字签名与验证等。6.4.1客户端应用接口
客户端应用接口的主要功能函数如下:控件初始化HRSS_Ocx_AtvInit()a)
原型:
intHRSS_Ocx_Atvlnit()
描述:
控件初始化,读取客户端证书载体信息及其他初始化工作。调用一些主要功能接口前必须先调用本接口。参数:无
返回值:成功
b)清除内部存储区HRSS_Ocx_AtvEnd()intHRSS_Ocx_AtvEnd();
原型:
错误号,错误号小于0
进行开发包函数库调用完毕后进行内部存储区的清除。描述:
参数:无
返回值:成功
获取证书列表HRSS_Ocx_GetUserList()c
错误号,错误号小于0
BSTRHRSS_Ocx_GetUserList()
原型:
描述:
取得当前已安装证书的用户列表。学兔兔www.bzfxw.com
参数:
返回值:
备注:
BSTRret用户列表字符串。
LD/T 30.42009
返回字符串格式:(用户名1证书1所对应的容器名&&&用户名2证书2所对应的容器名&&&。
登录HRSS_Ocx_Login()
原型:
描述:
参数:
返回值:
备注:
BOOL HRSS_Ocx_Login(int loginType,BSTR i_label,BSTR loginPin);登录客户端硬件设备。
loginType[IN]:用户登录类型
i_label[IN]:USBKey的容器名
loginPin[IN]:用户登录PIN码
调用本接口时,如果loginPin输人为“”空,则会弹出输人口令对话框;如果不为空,则不会弹出,只返回登录是否成功。退出客户端硬件登录HRSS_Ocx_Logout()原型:
描述:
参数:
返回值:
BOOLHRSS_Ocx_LogoutO;
退出客户端硬件登录。
获取证书信息HRSS_Ocx_GetUserInfo原型:
描述:
参数:
BSTRHRSS_Ocx_GetUserlnfo(BSTRCert,shortType);获取证书信息。
BSTRCert:Base64编码的证书
intType:获取信息的类型
Type不同取值的含义如表1所示。表1
证书版本
证书序列号
证书签名算法标识
证书发放者国家名
证书发放者组织名
证书发放者部门名
证书发放者省份名
证书发放者通用名
证书发放者城市名
证书信息类型TYPE定义表
证书发放者Email地址
证书有效期起始
证书有效期截止
学兔兔www.bzfxw.com
LD/T30.4—2009
用户国家名
用户组织名
用户部门名
用户省份名
用户通用名
用户城市名
用户Email地址
返回值:
证书信息类型TYPE定义表(续)含义
证书信息
获得证书扩展信息HRSS_Ocx_GetUserlnfoByOid原型:
描述:
参数:
返回值:
BSTRHRSS_Ocx_GetUserlnfoByOid(BSTRCert,BSTROid);根据OID获取证书私有扩展项信息。BSTRCert,Base64编码的证书
BSTROID:私有扩展对象ID,例如“1.6.16.21.88.1”BSTRret
验证证书有效性HRSS_Ocx_CheckCert原型:
描述:wwW.bzxz.Net
参数:
返回值:
证书OID对应的值
BOOLHRSS_Ocx_CheckCert(BSTR i_inCert,int i_Type);验证证书的有效性。
i_inCert[IN]:待验证的证书,已编码。i_Type[IN]:验证方式:2—
签名数据HRSS_Ocx_SignedData
原型:
描述:
参数:
BSTR HRSS_Oex_SignData(BSTR i_label ,BSTR i_inData,int i_algoType,int i_signType)
对输人数据进行数字签名,运行时弹出输人框提示用户输入私钥保护口令i_label[IN]:输人容器名
i_inData[IN]:输人的待签名数据,二进制数据需要做编码处理i_algoType[IN]:签名算法
取值:32772——shalRSA
i_signType[IN]:签名值类型
取值:0不包含原文的纯签名
1——包含原文的PKCS#7格式数据已编码的签名数据。
返回值:
验证签名HRSS_Ocx_VerifySign
原型:
BOOLHRSS_Ocx_VerifySign(BSTR i_checkCert,BSTR i_clearText,BSTRi_signature,inti_algoType,inti_signType);学兔兔www.bzfxw.com
对输人数据进行数字签名的验证。描述:
参数:i_checkCert[IN]:验证所用的证书LD/T30.4—2009
i_clearText[IN]:签名的原文。如签名值包含原文,置空即可。i_signature[IN]:待验证的签名数据。i_algoType[IN]:签名算法。如签名值不符合PKCS#7标准,需要输人签名算法。
签名算法取值:32772
i_signType[IN]:签名值类型
shaiRSA
取值:0-—不包含原文(纯签名值)1一—包含原文的符合PKCS#7格式的数据返回值:
备注:
当验证纯签名值时,需要输人签名算法或者通过策略解析获取匹配算法。编码HRSS_Ocx_Base64Encode
原型:
描述:
参数:
返回值:
BSTRHRSS_Ocx_Base64Encode(BSTRinData)对输人数据进行编码。
inData[IN]:要编码的数据
返回编码值
解码HRSS_Ocx_Base64Decode
原型:
描述:
参数:
返回值:
BSTRHRSS_Ocx_Base64Decode(BSTRinData);对输入数据进行解码。
inData[IN]:要解码的数据
返回解码后的原文
m)产生随机数HRSS_Ocx_GenRandom原型:
措述:
参数:
返回值:
BSTRHRSS_Ocx_GenRandom(intlen);产生随机数。
生成一定长度的随机数/对称密钥。len[IN]:指定的长度(字节数
已编码的随机数/对称密钥。
n)加密数据HRSS_Ocx_SymmEncrypt原型:
描述:
参数:
返回值:
BSTRHRSS_Ocx_SymmEncrypt(longi_symmAlgo,BSTRi_symmkey,BSTR i_indata);
使用对称算法加密数据。
用指定产生的对称密钥KEY来加密数据。i_symmAlgo[IN]:对称算法标识。例如:CALG_RC4=26625
CALG_3DES=26115
CALG_33=9
CALG_PMC3DES5=15
i_symmKey[IN]:
i_inData[IN]:
已编码后的密文。
o)解密数据HRSS_Ocx_SymmDecrypt对称密钥,已编码。
输人的原文,二进制数据流编码。7
LD/T30.4—2009
原型:
描述:
参数:
返回值:
BSTR HRSS_Ocx_SymmDecrypt(long i_symmAlgo,BSTR i_symmkey,BSTR i_indata);
用指定的对称密钥KEY来解密密文数据。i_symmAlgo[IN]:对称算法标识。例如:CALG_RC4=26625
CALG_3DES=26115
CALG_33=9
CALG_PMC3DES5=15
i_symmKey[IN]:
对称密钥,已缩码。
i_inData[IN]:
输入的密文,已编码。
解密后的原文,如是二进制数据则为已编码。数字信封加密HRSS_Ocx_SealEnvelopeBSTRHRSS_Ocx_SealEnvelope(BSTRi_encCert,longi_symmAlgo,原型:
BSTRi_inData);
描述:
数字信封加密。
内部的处理过程是首先随机生成一对称密钥(由入口参数指定其算法),然后用此对称密钥加密输入的数据,最后用公钥加密产生的此对称密钥。此函数的加密输出结果遵循PKCS#7的编码标准。i_encCert[IN]:
参数:
i_symmAlgo[IN]:
用于加密的数字证书,已编过码。信封中所用对称算法标识。取值如下;例如:CALG_RC4=26625
CALG_3DES=26115
CALG_33=9
CALG_PMC3DES5=15
i_inData[IN]:输人原文信息,如是二进制数据则已编过码。返回值:
已编码的密文结果。
q)解析数字信封HRSS_Ocx_OpenEnvelope原型:
描述:
参数:
返回值:
BSTRHRSS_Ocx_OpenEnvelope(BSTRi_label,BSTRi_inData);解析数字信封。
私钥标签在配置文件中定义,运行时弹出输人框提示用户输人私钥保护口令。
ilabel [IN]:
i_inData[IN]:
输人容器名;
输入已编码的信封数据。
原文信息,如是二进制数据则为已编码。哈希HRSS_Ocx_HashData
原型:
描述:
参数:
BSTRHRSS_Ocx_HashData(inthashAlgo,BSTRinData);对输人数据进行哈希运算。
hashAlgo[IN]:哈希算法标识
例如:ALGO_SHA1
ALGO_PMCHASH32773
inData[IN]:
编码后的哈希值。
返回值:
输人数据信息,如是二进制数据则已编码。用多证书批量生成数字信封HRSS_Ocx_SealEnvelopeEx
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。