收藏
下载资源

数字证书应用集成规范

上传人:夏** 文档编号:511572463 上传时间:2024-02-13 格式:DOC 页数:43 大小:354.50KB
返回 下载 相关 举报
数字证书应用集成规范_第1页
第1页 / 共43页
数字证书应用集成规范_第2页
第2页 / 共43页
数字证书应用集成规范_第3页
第3页 / 共43页
数字证书应用集成规范_第4页
第4页 / 共43页
数字证书应用集成规范_第5页
第5页 / 共43页
点击查看更多>>
资源描述

《数字证书应用集成规范》由会员分享,可在线阅读,更多相关《数字证书应用集成规范(43页珍藏版)》请在金锄头文库上搜索。

1、数字证书应用集成规范1. 范围本规范依据公共资源交易电子认证服务管理办法(试行),参照国家密码管理局“公钥密码基础设施应用技术体系”系列技术规范,结合系统业务特点,提出系统数字证书应用集成目标、集成要求、集成内容,定义统一的证书应用接口,并提供证书应用接口的典型部署示例、登录认证流程示例和签名验证流程示例。本规范用于指导并规范信息系统证书应用集成实施工作,指导电子认证服务机构发部标准统一的证书应用接口,规范信息系统实现基于数字证书的安全登录、数字签名和加密解密等安全功能。2. 应用集成目标1)遵循本规范要求新建或者修改的应用系统,在基于统一认证的多CA数字证书的身份认证机制下,可使用不同CA机

2、构颁发的数字证书,实现数字证书的互通互认,并确保系统访问控制的高安全性和高可靠性;2)对信息系统的重要操作环节和重要数据实现基于多CA数字证书的数字签名功能,保护数据的完整性,并为后期纠纷处理及责任认定提供合法电子证据;3)对信息系统的敏感信息实现支持多CA的数字证书的数据加密功能,确保敏感信息在传输和存储阶段的安全性及多CA支持。3. 应用集成要求在证书应用集成时,应根据应用系统本身的业务特点和业务需求,确定需要使用数字证书认证的用户及范围、确定需要加密、签名的重要操作环节和数据,具体集成要求如下:2)对于具有操作行为责任认定、证据保存需求的应用系统,应集成基于数字证书的数字签名的功能;3)

3、对于具有数据加密和解密需求的信息系统,应集成基于数字证书的信息加密、信息解密功能;4)对于具有可信时间需求的应用系统,应集成时间戳功能,时间戳应遵循GM/T 0033-2014 时间戳接口规范;5)对于具有信息共享需求的多个应用系统,可采用统一的身份认证模式,实现统一的身份认证管理、用户信息共享和单点登录等功能。4. 应用集成内容应用系统数字证书应用集成内容如下:1)基于多CA数字证书的互通互认的统一身份认证2)数字签名和验证信息系统中关键业务数据和操作的数字签名,应满足电子签名法以及其他相关政策法规规定的书面形式、原件形式及文件保存等要求,至少应包括数据原文、电子签名、可信时间等内容,并可在

4、需要时查询、阅读、下载、验证,具备作为电子证据的真实性、可靠性和可验证性。数字签名可选和图章结合起来应用,实现电子签章功能,从而实现电子签名的可视化管理,方便用户查看、审阅和验证。3)数据加密和解密数据加密时应采用对称算法和非对称算法相结合的方式,既保障加密机制的安全性、密钥分发的方便性,同时又提高了加解密操作的效率。根据业务需求,可使用单个数字证书加密,也可使用多个数字证书对数据共同加密,形成密文数据。密文数据应安全存储在数据库或磁盘上,待解密时间达到后方可解密。数据解密时,须使用数字证书对应的密码设备或证书介质解密。如果证书介质损坏或丢失,电子认证服务机构应在安全可控的前提下,为用户及时提

5、供密钥恢复服务。4)时间戳应用电子认证服务机构提供的时间戳服务应基于可靠的标准时间源,确保时间的准确和可信。5)密码设备应用信息系统在使用数字证书安全功能时,应基于密码设备提供的密码服务。密码设备包括客户端用户使用的证书介质和服务器端使用的密码设备。客户端证书介质是指具有密码许可资质的USBKey、智能IC卡等PC终端上的密码设备,以及符合国家密码政策管理规定的SIM卡、SD卡等手机终端上的密码设备。证书介质应用接口应支持所有主流操作系统,并符合国家公共资源交易服务平台数字证书介质接口及使用规范。服务器端密码设备是指具有密码许可资质的加密机、加密卡等,应支持所有主流操作系统,并符合公钥密码基础

6、设施应用技术体系 密码设备应用接口规范。通用密码服务接口调用证书介质应用接口或密码设备应用接口,实现对底层密码设备和证书介质的调用,应支持所有主流操作系统,并符合公钥密码基础设施应用技术体系 通用密码服务接口规范。5. 统一证书应用接口规范统一证书应用接口是应用系统可直接调用的应用接口,分为客户端接口和服务端接口。5.1. 客户端接口客户端接口是供应用在系统客户端应用程序直接调用的接口,应支持主流操作系统,支持IE、Chrome、Firefox等主流浏览器(Chrome和Firefox仅包含支持NPAPI的版本)。客户端接口应支持符合国家公共资源交易服务平台数字证书格式标准规范的数字证书,支持

7、使用符合国家公共资源交易服务平台数字证书介质接口及使用规范的证书介质。客户端接口可以以COM组件、DLL动态链接库和ActiveX控件的产品形态方式提供,支持B/S和C/S架构的应用。客户端接口如下:5.1.1. ICertificateCollectionX接口5.1.1.1. 函数5.1.1.1.1. 选择数字证书 SelectCertificateDialog函数原型HRESULT ICertificateCollectionX:SelectCertificateDialog(out, retval ICertificateX * ppResult)功能描述根据当前证书集显示证书选择对话

8、框, 如果用户选择了证书, 则返回该证书的ICertificateX对象参数ppResultOUT ICertificateX对象返回值ICertificateX对象:成功NULL:失败5.1.1.1.2. 加载证书集 Load函数原型HRESULT ICertificateCollectionX:Load(out, retval LONG * pVal)功能描述根据指定的证书过滤标识加载证书集参数ppResultOUT ICertificateX对象返回值证书集中的证书数量0:成功证书集中的证书数量0:失败5.1.1.1.3. 获得证书对象 GetAt函数原型HRESULT ICertifi

9、cateCollectionX:GetAt(in LONG pos,out, retval ICertificateX * ppResult )功能描述根据索引号获取证书对象参数pos证书在证书集中国年的索引号,从0开始ppResultOUT ICertificateX对象返回值ICertificateX对象:成功NULL:失败5.1.1.1.4. 获取证书对象 Find函数原型HRESULT ICertificateCollectionX:Find(in BSTR thumb,out, retval ICertificateX * ppResult )功能描述根据证书指纹获取证书对象参数th

10、umb证书指纹字符串, 可以是SHA1的结果, 也可以是MD5的结果ppResultOUT ICertificateX对象返回值ICertificateX对象:成功NULL:失败5.1.1.1.5. 构造证书对象 CreateCertificateBase64函数原型HRESULT ICertificateCollectionX: CreateCertificateBase64(in BTSR data,out, retval ICertificateX * ppResult )功能描述根据证书内容(Base64编码)构造证书对象参数dataBase64编码的证书内容ppResultOUT I

11、CertificateX对象返回值ICertificateX对象:成功NULL:失败5.1.1.1.6. 构造证书对象 CreateCertificateDER函数原型HRESULT ICertificateCollectionX: CreateCertificateDER(in VARIANTdata,out, retval ICertificateX * ppResult )功能描述根据证书内容(DER编码数据)构造证书对象参数dataBase64编码的证书内容ppResultOUT ICertificateX对象返回值ICertificateX对象:成功NULL:失败5.1.1.1.7.

12、 构造证书对象 CreateCertificateFile函数原型HRESULT ICertificateCollectionX: CreateCertificateFile(in BSTRfilename,out, retval ICertificateX * ppResult )功能描述根据证书内容构造证书对象参数filename证书文件路径,如果filename为空,则一个“打开文件对话框”会出现,让用户自行选择证书文件ppResultOUT ICertificateX对象返回值ICertificateX对象:成功NULL:失败5.1.1.2. 属性5.1.1.2.1. DEBUG标志:

13、DEBUG原型LONG ICertificateCollectionX:DEBUG功能描述DEBUG标志位, 缺省是0.如果该属性被设置成1, 则在执行过程中, 会通过MessageBox的形式打印调试信息, 可用于错误追踪5.1.1.2.2. 报告错误信息:Quiet 原型LONG ICertificateCollectionX:Quiet功能描述报告错误信息, 缺省为0如果该值等于0, 控件将通过MessageBox报告执行过程中的错误, 并返回错误代码, 如果该值不等于0, 控件将仅仅返回错误结果, 而不通过MessageBox报告错误.5.1.1.2.3. 证书集中有效证书的数量:Si

14、ze原型BSTR ICertificateCollectionX:Size功能描述证书集中有效证书的数量5.1.1.2.4. 最近一次执行失败的错误代码:LastError原型LONG ICertificateCollectionX:LastError功能描述最近一次执行失败的错误代码5.1.1.2.5. 最近一次失败的错误信息:ErrorString 原型BSTR ICertificateCollectionX:ErrorString功能描述最近一次执行失败的错误信息5.1.1.2.6. 密钥用途过滤标识,:CF_KeyUsage原型LONG ICertificateCollectionX:CF_KeyUsage功能描述密钥用途过滤标识, 在Load()的时候仅仅包含指定密钥用途的证书。0x01表示证书必须包含私钥; 0x10表示证书必须是有加密用途的证书; 0x20表示证书必须是有签名用途的证书. 可以使用OR来组合使用上述标志。注意:CFxxxxx属性组合使用时, 相互之间是”与”的关系5.1.1.2.7. 证书主题项过滤标识:CF_Subject_Contains原型BSTR I

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 建筑/环境 > 施工组织

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号