LD/T 02.5-2022 人力资源社会保障电子认证体系规范 第5部分:数字证书载体规范.pdf
- 文档部分内容预览:
LD/T 02.5-2022 人力资源社会保障电子认证体系规范 第5部分:数字证书载体规范
6.2.1数字证书载体初始化
数字证书载体的初始化就是对数字证书载体进行区间划分,使其按照相关规范进行初始化 初始化工具由各数字证书载体供应商提供 初始化工具应有两种形式,一类是可执行的初始化工具,另一类是动态库dl1接口文件,并可根据 动态库文件开发通用的初始化工具,
塔吊标准规范范本6.3.1基本安全要求
数字证书载体的安全机制要求保障系统运行稳定可靠,数据访问安全可控,数据传输安全保密,可 抵御外部攻击。 数字证书载体必须能产生SM2等非对称密钥对,私钥不能被读取,使用前应经过访问权限认证
6. 3.2密钥和密码的存放
数字证书载体应该能保证非对称密钥和对称密钥的安全性。对称密钥在导出时必须加密保护,非对 称密钥的私钥不允许导出,非对称密钥的公钥支持查看、导出。
数字证书载体软件应用接口应符合GB/T35291规定的要求
设备管理主要完成设备的插拨响应、枚举、连接、断开、获取设备状态、设置设备信息、获取设备 信息、锁定设备、解锁设备和设备命令传输等操作。使用者不必知道设备类型和具体的驱动模式,只需 要通过本文件提供的接口,即可完成设备管理功能。 设备管理函数如表2所示。
7. 1. 2 访问控制
访问控制分为设备级访问控制和应用级访问控制。 设备级访问控制:包括内部认证和外部认证,用来进行设备之间的相互认证; 应用级访问控制:分为管理员和用户权限二级权限控制。管理员负责为用户提供PIN的初始 化和解锁等服务。用户拥有设备使用权,使用设备提供的功能,存储自已的私有数据。 对于每一个设备而言,可以同时存在一个或多个应用,每个应用之间的访问控制相互独立。访问控 制函数如表3所示。
一个设备可以建立一个或多个应用,每个应用之间的权限管理和密码服务彼此独立。 在每一个应用中都有相对应的文件体系和加密服务体系。应用管理主要完成应用的创建、枚举、册 除、打开、关闭操作。应用管理函数如表4所示。
文件管理函数用于满足用户扩展开发的需要,包括对文件的创建、删除、枚举、获取设备信息、读 写操作,如表5所示。
容器管理函数用于满足各种不同应用的管理,包括对容器的创建、删除、枚举、打开和关闭等操作 如表6所示。
表6容器管理系列函数
7.1. 6 密码服务
密码服务函数用于密码运算服务,包括密钥的生成、导入、导出、加密解密、签名验证等,女 示。会话密钥支持国产算法如SM1、SM4,非对称密钥目前支持256位SM2、2048位RSA。
学证书载体的接口函数的描述则附录B
7.2.1安装程序要求
基本要求: 1)同一型号的智能密码钥匙安装程序应将驱动程序、数字证书载体开发接口、管理工具封装 在一起,共用一个安装程序; 2 安装程序要能够自动识别用户的国产Linux桌面操作系统或Windows操作系统版本并自 动安装相应的兼容性插件:
3) 智能密码钥匙在安装过程中应给予用户足够的提示信息,但要尽量减少与用户的交互,简 化安装过程: 4) 智能密码钥匙安装程序应兼容国产Linux桌面操作系统或WindowsXPWindows7、 Windows8、Windows10等操作系统,并包含必要的系统补丁; 5) 安装程序自动检测客户机操作系统语言环境,如简体中文、繁体中文或英文,将对应的语 言环境自动安装到客户机; 6) 安装程序提示文字要简洁易懂、便于理解。菜单设计应清晰合理、方便查找。安装界面中 提示信息的字体采用中文宋体9号字,英文采用Arial12号字体。 b) 可选要求: 1) 安装成功后在开始菜单中提供卸载子菜单; 安装成功后在控制面板中提供卸载接口; 3) 安装成功后在系统应用商店或系统自带的软件中心提供卸载接口; 4)管理工具应具备校验口令的功能。
7. 2. 2 卸载程序要求
1) 卸载程序应兼容国产Linux桌面操作系统或WindowsXP、Windows7、Windows8、Windows 10等系列操作系统; 2) 卸载程序不需要客户干预,能自动完成卸载,包括: i.执行完卸载过程后,要求能正确清除掉开始菜单中的相关子菜单、控制面板、系统应用 商店或系统自带的软件中心中的相应卸载接口, i.执行完卸载过程后,要求能正确清除掉系统中相应的安装目录, ii.卸载驱动程序时不要删除系统本身自带的库和注册表信息中原有的键值; 3)卸载程序不自动执行重新启动计算机,卸载完成后可提示客户重新启动计算机。 可选要求: 1) 卸载完成后不能在文件系统或注册表中留下残余组件; 通过开始菜单中提供卸载子菜单,能将驱动程序卸载; 3) 通过控制面板中的“添加/删除程序”,或系统应用商店、系统自带的软件中心中相应软件 程序的“卸载”,能将驱动程序卸载; 4)再次运行安装程序能自动卸载。
7.2.3驱动程序的兼容性要求
驱动程序应满足下列要求。 a) 驱动程序的编写应符合PC/SC标准。 b 驱动程序的编写应符合微软的驱动编写标准。 C) 安装后添加的文件路径和注册表信息中应带有产品的特有信息或标记。 d) 驱动程序不能拷贝系统本身自带的库到系统的目录下,如果使用了操作系统的动态库,建议尽 量使用静态绑定。 e 不同的智能密码钥匙必须相互兼容,安装在同一台机器上都能正常工作,不会相互影响
7.2.4接口动态库命名
接口动态库命名规则如下 a)数字证书载体动态库的文件名命名规则为“hrssxxy.dll",其中xxx为厂商代码,yy 品代码:
动态库导出的接口函数应为C语言函数; 厂商代码和产品代码由人力资源社会保障部统一管理。
b)动态库导出的接口函数应为C语言函数; C)厂商代码和产品代码由人力资源社会保障部统一管理。
附录A (资料性) 数字证书载体外观
图A.1数字证书载体的外形及尺寸示意图
如图A.1所示,智能密码钥匙正面应标识证书类型,智能密码钥匙背面应标识序列号。 以智能密码钥匙作为数字证书载体,有以下几种类型:面向人力资源社会保障部门的政府工作人员 发放的人员证书,以及面向人力资源社会保障部门机构和社会企事业单位的发放的机构证书。其外形名 尔和颜色的分类如下: a)人员:名称为“人员证书”,颜色为金属银白色; b)机构:名称为“机构证书”,颜色为金属银白色。 数字证书载体外形上的序列号由16位字母或数字组成,按以下规则编码: a)第1位为生产厂商编号; b)第2位为产品型号,可为字母或数字,与生产厂商定义的产品型号相对应; c)第3位为证书类型,分别与机构证书、人员证书等相对应; d)第4位至第7位为市级行政区划(4位); e)第8位至第9位为生产年份(2位); f)第10位至第11位为产品生产批次(2位); a)第12位至第16位为产品流水号(5位)
数据类型定义如表B.1所示!
数据常标识的定义如表B.2所示。
表B.3版本数据类型数据项描述
表B.4设备信息数据类型数据项描述
d)RSA公钥数据结构
表B.5RSA公钥数据结构数据类型数据项描述
表B.6RSA私钥数据结构数据类型数据项描述
Coefficient BYTE数组q模p的乘法逆
f)ECC公钥数据结构
公钥数据结构数据类型
g)ECC私钥数据结构
表B.8ECC私钥数据结构数据类型数据项描述
h)ECC密文数据结构
最B.9ECC密文数据结构数据类型数据项描述
i)ECC签名数据结构
表B.10ECC签名数据结构数据类型数据项描述
表B.11ECC签名数据结构数据类型数据项描述
)ECC加密密钥对保护
表B.12ECC加密密钥对保护结构数据类型数据项描述
表B.13文件属性数据类型数据项描述
设备权限类型如表B.14所示。
交通标准表B.14设备权限类型
表B.15给出了设备状态的常量标识、值以及相应说明。
B.2数字证书载体函数定义
表B.16给出设备管理类具体函数。
表B.16给出设备管理类具体函数
表B.16设备管理类函数
服务质量标准1)等待设备插拨事件函数
....- 相关专题: