1、ICS 35040L 80备案号:27111m2010中华人民 共和L口国劳动和劳动安全行业标准LDT 3042009人力资源和社会保障电子认证体系第4部分:证书应用管理规范Human resources and social security electronic authentication systemPart 4:Management specification of digital certificate application200912-14发布 20100301实施中华人民共和国人力资源和社会保障部 发布LDT 3042009目 次前言。1 范围2规范性引用文件3术语和定义4缩
2、略语5证书应用领域-6证书应用技术体系61总体技术框架-62密码设备63基础应用接口64高级应用接口65证书应用接口技术要求7典型证书应用流程71数字证书登录认证72单向数字签名与验签73双向数字签名与验签74加密与解密-75加密签名与解密验签附录A(资料性附录)证书应用场景附录B(规范性附录) 高级证书应用接口相关标识,00000o0H玷他M抽撕刖 置LDT 3042009为适应人力资源和社会保障信息化发展要求,满足人力资源和社会保障网络信任体系建设和管理的需要,人力资源和社会保障部组织并制定了LDT 30 2009(人力资源和社会保障电子认证体系。网络信任体系包括电子认证体系、授权管理体系
3、和责任认定体系,本标准主要描述了人力资源和社会保障电子认证体系相关内容包括以下五个部分:第1部分:框架规范;第2部分:电子认证系统技术规范;第3部分:证书及证书撤消列表格式规范;第4部分:证书应用管理规范;第5部分:证书载体规范。本部分为I。DT 30 2009的第4部分。本部分描述了证书应用领域和证书应用技术体系,规范了证书应用接口规范和证书应用接口技术要求,给出了典型证书应用流程和应用场景。本部分重点引用了国家密码局公钥密码基础设施应用技术体系相关规范,并在此基础上,扩展了典型证书应用流程等相关内容,给出了几类常见的人力资源社会保障业务系统的证书应用场景,从满足人力资源社会保障业务需求的角
4、度,对本行业应用系统使用数字证书的接口和流程提出规范和要求。本部分由中华人民共和国人力资源和社会保障部信息中心提出并归口。本部分主要起草单位:中华人民共和国人力资源和社会保障部信息中心、上海市人力资源和社会保障局信息中心、北京数字证书认证中心、维豪信息技术有限公司。本部分主要起草人:赵锡铭、戴瑞敏、贾怀斌、翟燕立、李丽虹、吴问滨、黄勇、吕丽娟、许华光、罗震、张加会、靳朝晖、陆春生、李永亮、宋京燕、杜守国、欧阳晋、林雪焰、李述胜、顾青、宋成。本部分凡涉及密码相关内容,均按国家有关法规实施。1范围人力资源和社会保障电子认证体系第4部分:证书应用管理规范LDT 3042009LDT 30的本部分规定
5、了数字证书的应用领域制定r人力资源和社会保障数字证书应用的总体技术框架,规范了人力资源和社会保障应用系统在实现身份认证、数字签名及验签、加密与解密等安全功能时所采取的应用接口和证书应用处理流程,给出了可供参考的典型应用场景。本部分适用于指导人力资源和社会保障应用系统实现基于数字证书的安全功能,有助于各级人力资源和社会保障部门采用统一的基于数字证书应用的开发接口。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GBT 205182006 信息安全技术公钥基础设施数字证书格式
6、IDT 305人力资源和社会保障电子认证体系 第5部分:证书载体规范公钥密码基础设施应用技术体系 密码设备应用接口规范(国家密码管理局)公钥密码基础设施应用技术体系 通用密码服务接口规范(国家密码管理局)公钥密码基础设施应用技术体系 密码设备管理规范(国家密码管理局)智能IL、卡及智能密码钥匙密码应用接口规范(国家密码管理局)信息技术 安全技术 密码术语(国家密码管理局)3术语和定义以下术语和定义适用于本部分。31证书认证机构Certification AuthorityCA负责创建和分配证书,受用户信任的权威机构。用户可以选择该机构为其创建密钥。32数字证书digital certifica
7、te由权威认证机构进行数字签名的包含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及一些扩展信息的数字文件。33非对称密码算法asymmetric cryptographic algorithm使用两种相关变换和非对称密钥对的密码技术,一种是由公开密钥定义的公开变换,另一种是由私有密钥定义的私有变换。两种变换具有以下特性:即使给定公开变换,也不可能通过计算得出私有变换。1LDT 304200934私有密钥private key私钥在公钥密码体制中,用户密钥对中仅为该用户持有的密钥。35公开密钥public key公钥在公钥密码体制中,用户密钥对中公布给其他用户的密钥。36加密encrypt
8、通过密码算法对数据进行变换来产生密文,以便隐藏数据的信息内容。37解密decrypt与一个可逆的加密过程相对应的反过程。该过程使用适当的密钥将已加密的文本转换成明文。38容器 container密码没备中用于保存密钥所划分的存储空间的唯一性编号。39信任trust通常,当一个实体(第一个实体)假设另一个实体(第二个实体)完全按照第一个实体的期单行动时,则称第一个实体“信任”第二个实体。这种“信任”可能只适用于某些特定功能。本框架中“信任”的关键作用是描述鉴别实体和认证机构之间的关系;鉴别实体应确信它能够“信任”认证机构仅创建有效且可靠的证书。4缩略语下列缩略语适用于本部分:API 应用程序接口
9、简称应用接口(Application Program Interface)CA 证书认证机构(Certification Authority)CRI。 证书撤消列表(Certificate Revocation I。jst)CSP 加密服务提供者(Cryptographic Service Provider)KMC 密钥管理中心(Key Management Center)LDAP轻量级目录访问协议(Lightweight Directory Access Protoc01)OlD 对象标识符(Object Identifier)PKCS公钥密码标准(the Public Key Crypto
10、graphy Standard)RA 证书注册机构(Registration Authority)5证书应用领域人力资源和社会保障数字证书的应用领域包括全国性、区域性的各类应用系统,按照业务类别划分为以下三类:a) 内部办公类:部、省、市、县区各级人力资源和社会保障部门各自内部办公系统、档案系统、统计系统、决策系统等。2LDT 3042009b)人力资源业务类:包括就业管理与服务、失业管理、公务员管理、军转干部管理、专业技术人才管理、人力资源市场、职业资格管理、职业培训、劳动监察等的本地业务管理与服务系统、跨地区业务管理与服务系统、网上公共服务系统、相关纵向联网数据采集系统等。c) 社会保险业
11、务类:包括养老、失业、医疗、工伤、生育保险的本地业务管理与服务系统、跨地区业务管理与服务系统、网上公共服务系统、相关纵向联网数据采集系统、基金监管系统等。6证书应用技术体系61总体技术框架人力资源和社会保障证书应用技术框架由密码设备、基础应用接口、高级应用接口组成,如图1所示。图1 人力资源和社会保障证书应用总体技术框架62密码设备密码设备由密码机、证书载体等密码设备组成,通过基础应用接口向上层应用提供基础的、全面的密码服务。密码机为应用系统的服务器端提供密码服务。证书载体为应用系统的客户端提供密码服务。621密码机密码机必须采用国家密码主管部门批准使用的密码设备,具有销售许可资质。622证书
12、载体证书载体主要指用于存储密钥和数字证书并具有密码运算功能的硬件载体必须采用国家密码主管部门批准使用的密码设备具有销售许可资质。证书载体的各项技术参数应符合I。DT 305。3LDT 304200963基础应用接口基础应用接口主要包括三类:密码设备应用接口、证书载体接口和通用密码服务接口。631密码设备应用接口密码设备应用接口应遵循国际标准PKCS#11规范和公钥密码基础设施应用技术体系 密码设备应用接口规范。密码设备应用接121应支持Windows、Linux、Unix等所有主流操作系统。632证书载体接口证书载体接El应遵循智能Ic卡及智能密码钥匙密码应用接口规范和IDT 305。证书载体
13、接口应支持Wiadows和Linux等主流操作系统。633通用密码服务接口通用密码服务接口位于密码设备应用接151和证书载体接口之上,应遵循*公钥密码基础设施应用技术体系 通用密码服务接口规范。64高级应用接口高级应用接VI是位于基础应用接VI之上,供应用系统直接凋用的接J开发包,包括客户端和服务器端接口两大部分。根据应用系统架构和应用环境,应至少支持(:和Java两种开发语言。对于BS和CS架构的应用系统,客户端应提供ActiveX控件、DI动态连接库或JAR开发包服务器端应提供JAR格式的JAvA包、DII格式的COM组件以及SO文件格式的开发包。高级应用接口的主要功能包括:身份认证、加密
14、与解密、数字签名与验证等。641客户端应用接口客户端应用接口的主要功能函数如下:a)控件初始化HRSSOcx_Atvlnit()原型:im HRSS_OCXAtvlnil();描述: 控件初始化读取客户端证书载体信息及其他初始化工作。调用一些主要功能接口前必须先调用本接口。参数:无返回值:成功0失败 错误号,错误号小于0b)清除内部存储区HRSSOcxAtvEnd()原型: int HRSSOCXAtvEnd();描述: 进行开发包函数库凋用完毕后进行内部存储区的清除。参数: 无返回值:成功0失败 错误号,错误号小于0c) 获取证书列表HRSs一0cx GetUserIist()原型: BST
15、R HRSS-oCX GetUserList();描述: 取得当前已安装证书的用户列表。4LDT 3042009参数: 无返回值: BSTR ret用户列表字符串。备注: 返回字符串格式:(用户名1【证书1所对应的容器名&用户名2|证书2所对应的容器名&)。d) 登录HRSS-Ocx_I。ogin()原型:BOOL HRSSOcx_I,ogin(int loginType,BSTR i_label,BSTR loginPin);描述: 登录客户端硬件设备。参数: loginTypeIN:用户登录类型ilabelIN:USBKey的容器名loginPin1N:用户登录PIN码返回值:成功TRUE
16、失败 FAl。SE备注: 调用本接El时如果loginPin输人为空则会弹出输人口令对话框;如果不为空,则不会弹出,只返回登录是否成功。e)退出客户端硬件登录HRSSOcx-Iogout()原型: B()0I。HRSSOcx_Iogout();描述: 退出客户端硬件登录。参数: 无返回值:成功TRUE失败 FAI,SEf) 获取证书信息HRSSOcxGetUserlnfo原型: BSTR HRSS-OcxGetUserlnfo(BSTR Cerlshort Type);描述: 获取证书信息。参数: BsTR Cert:Base64编码的证书im Type:获取信息的类型Type不同取值的含义如
17、表1所示。表1证书信息类型TYPE定义表TYPE 含义l 证书版本2 证书序列号3 证书签名算法标识4 证书发放者国家名5 证书发放者组织名6 证书发放者部门名7 证书发放者省份名8 证书发放者通用名9 证书发放者城市名10 证书发放者Email地址11 证书有效期起始12 证书有效期截止LDT 3042009表1证书信息类型TYPE定义表(续)TYPE 含义13 用户国家名14 用户组织名1 5 用户部门名l 6 用户省份名1 7 用户通用名1 8 用户城市名19 用户Email地址6返回值:成功 证书信息出错 空值g)获得证书扩展信息HRSS_Ocx_GetUserlnfoByOid原型:
18、 BSTR HRSSOcxGmuserInfoBy()ld(BSTR Cert,BSTR()id)描述: 根据OlD获取证书私有扩展项信息。参数:BSTR Cert:Base64编码的证书BSTR OID:私有扩展对象ID,例如”161 621881”返回值: BSTR ret 证书OlD对应的值出错 空值h)验证证书有效性原型:描述:参数:返回值签名数据HRSS原型:描述参数返回值:j) 验证签名HRSS原型:HRSS-Ocx_CheckCertB()UL HRSSOcxCheckCert(BSTR验证证书的有效性。l_inCert1N:待验证的证书,已编码。-TypeIN:验证方式:2cR
19、I成功TRUE失败 FAI。SE0cxSignedDataBSTR HRSSOexSignData(BSTR ilabel,BSTR iinDataint ialgoType,im i-signType)对输入数据进行数字签名,运行时弹出输入HE提示用户输入私钥保护口令。ilabelIN:输入容器名i inDataIN:输入的待签名数据,二进制数据需要做编码处理l-algoTypeIN:签名算法取值:32772shalRSAi-signType1N:签名值类型取值:o不包含原文的纯签名1包含原文的PKCS#7格式数据已编码的签名数据。Ocx VerifySignBOOI,HRSSOcxVeri
20、fySign(BSTR leheekCertBSTR iclearTextBSTR i-signature,int l-algoType,int-signType);LDT 3042009描述:对输入数据进行数字签名的验证。参数:icheckCert tIN:验证所用的证书。iclearTextIN:签名的原文。如签名值包含原文置空即可。;一signatureIN:待验证的签名数据。i_algoTypeIN:签名算法。如签名值不符合PKCS#7标准,需要输入签名算法。签名算法取值:32772shalRSAi-signType1N:签名值类型取值:o小包含原文(纯签名值)1包含原文的符合PKCS
21、#7格式的数据返回值:TRUE 成功FALSE 失败备注: 当验证纯签名值时,需要输入签名算法或者通过策略解析获取匹配算法。k) 编码HRSS-Ocx_Base64Eneode原型: BSTR HRSSOcx_Base64Eneode(BSTR inData)描述:对输入数据进行编码。参数:inData EIN:要编码的数据返回值:返回编码值1) 解码HRSSOcxBase64Decode原型: HSTR HRSSOcxBase64Decode(BSTR inData);描述: 对输入数据进行解码。参数: inData rlN:要解码的数据返回值: 返回解码后的原文m)产生随机数HRSS Oc
22、x_GenRandom原型:BSTR HRSS_Ocx_GenRandom(int len);描述:产生随机数。生成一定长度的随机数xq称密钥。参数:tenIN:指定的长度(字节数)返回值: 已编码的随机数对称密钥。n)加密数据HRSSOcxSymmEncrypt原型: BSTR HRSSOcxSymmEncrypt(10ng i symmAlgo,BSTR isymmkeyBSTR iindata);描述: 使用对称算法加密数据。用指定产牛的对称密钥KEY来加密数据。参数: isymmAlgo1N:对称算法标识。例如:CAlGRC4 I 26625CALG一3DES一261 1 5CALG一
23、33=9CALGPMC3DES51 5i_symmKeyIN: 对称密钥,已编码。i_inDataIN: 输入的原文二进制数据流编码。返回值: 已编码后的密文。0)解密数据HRSSOcxSymmDecrypt7LDT 3042009原型: BSTR HRSSOcxSymrnDecrypt(10ng isymmAlgo,BSTR isymmkeyBSTR iindata);描述: 用指定的对称密钥KEY来解密密文数据。参数:i-symmAlgoIN:对称算法标识。例如:CALGRC4=26625CALG一3DES一26115CALG一339CALG PMC23DES5=】5_symmKeyIN:
24、 对称密钥,已编码。i_inData1N: 输人的密文,已编码。返回值: 解密后的原文如是二进制数据则为已编码。p)数字信封加密HRSSOcx_SealEnvelope原型: BSTR HRSSOCXSealEnvelope(BSTRBSTR LinData);描述:数字信封加密。内部的处理过程是首先随机生成一对称密钥(由入口参数指定其算法)。然后用此对称密钥加密输入的数据最后用公钥加密产牛的此对称密钥。此Ifj数的加密输出结果遵循PKCS#7的编码标准。参数:i-encCertIN: 用于加密的数字证书,已编过码。LsymmAlgoIN: 信封中所用对称算法标识。取值如下:例如:CAI。GR
25、C426625(:AI。G一3DES=2611 5(:AI。G一339CALGPMC3DES51 5iinDataIN:输入原文信息,如是二进制数据则已编过码。返回值: 已编码的密文结果。q)解析数字信封HRSS_OcxOpenEnvelope原型: BSTR HRSSOcxOpenEnvelope(BSTR I_label,BSTR iinData);描述:解析数字信封。私钥标签在配置文件中定义,运行时弹出输入框提示用户输入私钥保护口令。参数: ilabelIN: 输入容器名;i inData1N: 输入已编码的信封数据。返回值: 原文信息,如是二进制数据则为已编码。r) 哈希HRSSOCX
26、HashData原型: BSTR HRSSOcxHashData(int hashAlgo,BSTR inData);描述:对输人数据进行哈希运算。参数:hashAlgoIN:哈希算法标识例如:A1。GOSHAl 32772ALGO PMCHASH 32773inDataIN: 输人数据信息,如是二进制数据则已编码。返回值: 编码后的哈希值。S) 用多证书批量生成数字信封HRSS_OcxsealEnvelopeFxLDT 3042009原型: BSTR HRSSOcxSealEnvelopeEx(BSTR iencCert,long icertsize,long 1-symmAlgo,BSTR
27、 i-inData);描述:用多证书批量生成数字信封。此函数的加密输出结果遵循PKCS#7的编码标准。参数: iencCertIN:用于加密的数字证书,已编过码多个证书间以“”隔开。icertsize1N: 保留参数LsymmAlgoIN: 信封中所用对称算法标识。例如:CALGRC426625CAIJG一3DES一2611 5CAI。G一33=9CAI。G PMC3DES51 5i-inDataIN: 输入原文信息,如是二进制数据则为已编码。返回值:输出的已编码的密文结果。t) 从本地渎取文件内容HRSS OcxReadFromFile原型: BSTR HRSS-OcxReadFromFil
28、e(BSTR fileName);描述: 从本地读取文件内容。参数:fileNameIN:要读取的文件全路径名。如果为空,则弹出文件选择对话框。返回值: 输出已编码过的文件数据信息。U)写本地文件内容HRSSOCXWriteToFile原型: BOOL HRSS Ocx_WrileToFile(BSTR fileName,BsTR writeData);描述:将数据写入到本地文件。参数: fileNameIN:要保存的文件名称writeDataIN:要写入文件的数据,已编码。返回值:TRUE 成功FAI。SF 失败642服务器端应用接口服务器端应用接口根据服务器应用环境,包括两种不同形态的接口
29、。COM组件接口:应用服务器为ASP或ASPNET。Java组件接口:应用服务器为JAVA环境。6421 COM组件接口(、(JM组件接口包括以下接口函数:a)生成随机数HRSS_SvrpkiGenerateRandom原型: int HRSSSvrpkiGenerateRandom(int ilengthPK一PDATA ooutData);描述: 生成一定长度的随机数对称密钥。参数:ilengthIN:指定的长度(字节数)。0 outDataOuT:生成的随机数(可作为对称密钥使用)。返回值:成功0失败 错误代码b) 构造数字信封HRSS_SvrpkiSealEnvel。pe9LDT 30
30、42009原型:int HRSS_SvrpkiSeaIEnvelope(PKIDATA iencCert,UINT isymmAlgo,PKIDATA i-inData,PKlPDATA oOutData);描述:构造数字信封。参数:|_encCertIN:用于加密的数字证书。LsymmAlgo1N:信封中所用对称算法标识。例如:ALGO一3DES一26115ALGORC426625ALGOSSF339i-inDataIN:输入原文。一outDataOUT:输出的密文结果。返回值:成功0失败 错误代码c)解析数字信封HRSS_SvrpkiOpenEnvelope原型: int HRSSSvrp
31、kiOpenEnvelope(BYTE*1一decKeyI,abel,BYTE*i-passwd,PKl一DATA 1_inData,PKl一PDATA oOUtData);描述:解析数字信封。参数: I_decKeyl。abelIN:解密私钥的标签。ipasswdIN:解密私钥的保护口令。iinDataIN:输入的信封数据。ooutDataOUT:输出的原文。返回值:成功0失败 错误代码d)数字签名HRSs-SvrpkiSignData原型:int HRSS SvrpkiSignData(BYTE*I_keyI,abel,BYTE*i_keyPasswd,ALGID digestAlgo,P
32、Kl一DATA i-inData,PKIPDATA ooutData);描述: 对输入数据进行数字签名,签名值包含原文。参数:-keyl。abelIN:签名私钥的标签。I-keyPasswdIN:签名私钥的保护口令。digestAlgo EIN:摘要算法。CALGSHAl 32772i_inDataIN:输入的待签名数据。一outDataOUT:输出的签名值(符合PKCS#7标准,签名值包含原文)。返回值:成功0失败 错误代码e) 数字签名的验证HRSS-SvrpkiVerifyData原型:int HRSS-SvrpkiVerifyData(PKIDATA icheckCertPKIDATA
33、 i-signature);描述:对输人数据进行数字签名的验证,签名值包含原文,符合PKCS#7规范,与pkiSignData对应。参数:i checkCertIN:验证所用的证书。isignatureIN:待验证的签名值,签名值符合PKCS#7标准。返回值:成功0失败 错误代码0LDT 3042009f) 不包含原文的数字签名HRSs-Svrpki(;etsignature原型:im HRSSSvrpkiGetSignature(BYTE*i-keyLabel,BY+rE*jkeyPasswd,ALGID digestAlgoPKIDATA i inData,PKIPDATA o outDa
34、ta);描述: 对输人数据进行数字签名签名值不包含原文。参数:i_keyI。abelIN:签名私钥的标签。ikeyPasswdIN:签名私钥的保护口令。digestAlgoIN:摘要算法。CALG SHAl 32772iinDataIN:输入的待签名数据。o outDataOuT:输出的签名值,签名值不包含原文纯签名。返回值:成功0失败 错误代码g) 验证不包含原文的数字签名HRSS_SvrpkiVerifysignature原型: int HRSSSvrpklVerifySignature(ALG一1D digestAlgo,PKIDATAicheckCert,PKIDATA iclearT
35、ext,PKIDATA isignature);描述:对输入数据进行数字签名的验证签名值不包含原文,纯签名,与pkiGetSignature对应。参数:digestAlgoIN:签名算法取值如:CAIGSHAlicheckCertIN:验证所用的证书。i clearTextIN:签名前的原文。i signatureIN:待验证的签名值,签名值不包含原文。返回值:成功0失败 错误代码h)解析CRL信息HRSSSvrpkiGet(、RIInfo原型: int HRSSSvrpki(;etCRLInfo(PKl一DATA iinCRL,PKIDATA*ocrllnfo);描述: 获取CRL的详细信息
36、。参数: i_inCRLIN:输入的CRL。ocrlInfoOUT:获得的CRI。信息。返回值:成功0失败 错误代码i)摘要运算HRSS_SvrpkiHashData原型: int HRSSSvr_pkiHashData(UTNT LhashAlgo,PKIDATA LinData,PKIPDATA oOutData);描述: 对输人数据进行摘要运算。参数:i hashAlgoIN:摘要算法标识。ALGOSHAl 32772iinDataIN:输人数据。一outDataOUT:输出数据。返回值:成功0失败 错误代码j)根据OlD解析证书信息HRSS_SvrgetBasicCertInfoByO
37、id原型: int HRSSSvrpkiGetUserInfoByOid(PKIDATA iinCert,PKIDATAL0id,PKIDATA“cert info);描述: 根据OlD获取证书私有扩展项信息。LDT 3042009参数:i-inCertIN:待解析的证书,已编码。i_TypeIN:私有扩展对象ID,例如“161621881”。certinfoOUT:证书OlD对应的值。返回值:成功0失败 错误代码k)解析证书基本信息HRSS-SvrpkiGetCertlnfoEx原型: int HRSSSvrpkiGetCertlnfoEx(PKIDATA LinCert,int iType
38、,PKl一DATA+eertinfo);描述:获取证书信息。参数: i_inCertIN:待解析的证书,已编码;i_TypeIN:获取信息的类型;“Fype不同的取值含义如表1所示。certinoOUT:获得的证书信息。返回值:成功0失败 错误代码1) BASE64编码HRSS_SvrpkiBase64Encode原型: int HRSSSvrpkiBase64Encode(PKIDATA iinData,PK一PDATAo OUtData);描述: 对二进制数据进行BASE64编码。参数:i-inDatain:要编码的二进制数据;ooutDataout:编码后的BASE64数据。返回值:成功
39、0失败 错误代码m) BASE64解码HRSS_SvrpkiBase64Deeode原型: int HRSSSvrpkiBase64Decode(PKIDATA iinData,PKIPDATAoOutData);描述:对BASE64数据解码,生成解码后的二进制数据。参数:i-nDatain:要解码的BASE64数据;ooutDalaOUI:解码后的二进制数据。返回值:成功0失败 错误代码6422 Java组件接口Java组件接口包括以下接口函数:a)初始化对象 HRSSSvrrelease原型: boolean HRSSSvrrelease();描述:获得一个对象实例,初始化对象。函数库调用
40、完毕后,进行内部存储区的清除工作。参数: 无返回值: 成功 TRuE失败 FAI。SEb)生成随机数HRSSSvrAdvGenRandom原型: String HRSS_SvrAdvGenRandom(int len);2描述:参数:返回值:c)验证证书有效性原型:描述:参数:返回值d)验证签名原型:描述:参数:返回值备注e) 数字信封加密原型描述参数返回值f)数字信封解密原型LDT 3042009输出已编码的随机数对称密钥。lenIN:指定的长度(字节数)。随机数(BASE64编码随机数的长度len)HRSS SvrAdvCheck【:ertboolean HRSSSvrAdvCheekCe
41、rt(St ring iinCert,int lType)验证证书的有效性。i_inCertIN:待验证的证书,已编码;iTypeIN:验证方式:2cRI,成功TRUE失败 FAI。sEHRSSSvrAdvVerifySignboolean HRSS SvrAdvVerifySign(String icheckCert,bytei clearText,String Lsignature,int l-algoType,int LsignType);对输人数据进行数字签名的验证。i-cheekCertIN:验证所用的证书。i clearTextIN:签名的原文。如签名值包含原文,请置为空即可。is
42、ignatureIN:待验证的签名数据。-algoType1N:签名算法。如签名值不符合PKCS#7标准,需要输人签名算法。取值如:32772一shalRSAl-sign|lypeIN:签名值类型取值:o 不包含原文的纯签名1 包含原文的符合PKCS#7格式的数据成功TRUE失败 FALSE当验证纯签名值时,需要输入签名算法或者通过策略解析器获取匹配算法;当验证PKCS#7格式的签名内容时,由于本身自带了签名算法,因此没有必要再次调用相应的策略解析器。HRSS-SvrAdvSealEnvelopeString HRSSSvrAdvSealEnvelope(String iencCert,int
43、 isymmAlgobyte口LinData);数字信封加密。内部的处理过程是首先随机生成一对称密钥(由入口参数指定其算法或者通过PA确定),然后用此对称密钥加密输入的数据,最后用公钥加密产生的此对称密钥。此函数的加密输出结果遵循PKCS#7的编码标准(EnvelopedData)。iencCert1N: 用于加密的数字证书,已编过码。l_symmAlgo1N:信封中所用对称算法标识。|_inDataIN: 输入原文信息。已编码的密文信息。HRSS-SvrAdvOpenEnvelopebyteHRSSSvrAdvOpenEnvelope(String lable,String keyPassw
44、d,】3LDT 3042009String i_inData);描述: 对数字信封进行解密工作即拆封工作。参数:lable1N: 容器名,如:I。AB USERCERT;keyPasswd1N: 解密私钥的保护口令;i_inDataIN: 输入已编码的信封数据。返回值:输出原文信息。g)数字签名HRSS_SvrAdvSignData原型: String HRSSSvrAdvSignData(String lable,String keyPasswdbyteEi-inData,int i algoTypeint LsignType);描述: 对输人数据进行数字签名。参数:lableIN:容器名
45、如:I,ABUSERCERT。keyPasswdIN:签名私钥的保护口令;i-inDataIN:输入的待签名数据;LalgoTypeIN:签名算法,取值如:32772shalRSAshalRSA说明签名采用的摘要算法和签名算法LsignTypeIN:签名值类型取值:o不包含原文的纯签名1包含原文的符合PKCS#7格式的数据返回值: 已编码的签名数据。h)取得证书基本信息HRSS_SvrAdvGetCertlnfo原型: String HRSSSvrAdvGetCer“nfo(String描述:获取证书信息参数: iinCertIN:待解析的证书。已编码;i-TypeIN:获取信息的类型。Typ
46、e不同的取值含义如表】所示。返回值: 获取的证书信息。65证书应用接口技术要求651密码算法密码设备和密码服务接口应提供符合国家密码主管部门规定的密码算法和接V1规范。并根据国家密码主管部门批准的算法及时调整,以适应国家最新技术标准要求。a)对称密码算法:SSF 33、SMl等。b)公钥密码算法:RSA、SM2等。c) HASH算法:SHA一1、SHA256、SM3等。652证书应用接口运行环境密码服务接口应支持在以下环境中可靠运行:a) 客户端支持Windows2000及以上的所有Windows系列版本。b)服务器端支持Windows2000及以上Windows系列版本、Linux、Unix等所有主流操作系统。c) 眼务器端支持硬件密码机或加密卡,客户端证书载体支持USBKey、智能1c卡等设备。d)应用系统支持CS和BS的系统结构。1 47典型证书应用流程人力资源和社会保障证书应用中典型证书应用流程包括以下儿类:a)数字证书登录认证;b)单向数字签名与验签;c) 双向数字签名与验签;d)加密与解密;e)加密签名与解密验签。
