DB11T - 政务数字证书规范_第2部分：应用接口.docx-道客多多

资源描述

1、ICS备案号： DB北京市地方标准DB11/T .2-2014政务数字证书规范第 2 部分：应用接口Specification of digital certificate for government affair - application programming interface（征求意见稿） 2014-发布 2014-实施北京市质量技术监督局发布 DB11/T .2-2014I目次目次 I前言 I引言 .II政务数字证书应用接口规范 .11 范围 12 规范性引用

2、文件 .13 术语和定义、缩略语 .13.1 术语和定义 .13.2 缩略语 .24 政务数字证书应用接口 .24.1 数字证书应用接口体系结构 24.2 数字证书应用接口组成和功能说明 35 政务数字证书应用接口函数定义 .45.1 设备管理接口 .45.2 访问控制接口 .55.3 容器管理接口 .65.4 密码服务接口 .65.5 证书接口 11附录 A (规范性附录 ) 政务数字证书应用接

3、口各类密码算法宏定义和说明 1A.1 签名算法定义 .1A.2 加密算法定义定义 .1A.3 摘要算法 .2附录 B (规范性附录 ) 政务数字证书应用接口错误代码定义和说明 3附录 C (资料性附录 ) 政务数字证书典型调用示例 .5C.1 JavaScript 调用方法 5DB11/T .2-2014I前言DB11/T XXXX-2014 政务数字证书规范分为二个部分：第 1部分：格式；第 2部分：应用

4、接口。本部分为 DB11/T XXXX-2014的第 2部分。本部分的附录 A、附录 B和附录 C是规范性附录，附录 D和附录 E是资料性附录。本部分由北京市经济和信息化委员会提出并归口。本部分主要起草单位：北京数字证书认证中心、中国科学院研究生院信息安全国家重点实验室、北京市国家保密局、北京市密码管理局。本部分主要起草人：阳俊彪、姚世全、陈淑仪、高能、

5、张秀娟、孙永、荆继武、李述胜、李向锋。DB11/T .2-2014II引言信息技术和网络技术在极大地促进了社会的经济、科技、文化、教育和管理等各个方面发展的同时，又带来了巨大的信息安全风险。随着北京市电子政务工程的不断深入和发展，迫切需要在开放的网络环境下建立一个真实、有效的身份信任体制，确认电子政务参与方的各自身份，建立彼此间的信任关系以及保证信息的保密性、完整性和可用性。以 P

6、KI为核心的网络身份认证体系和信息加密技术已成为业界广泛认同的一种构造网络身份信任体制的重要方式，并成为信息安全保障体系中极其重要的组成部分之一。数字证书应用接口是 PKI技术应用的关键和核心，是电子政务应用系统使用和应用 PKI技术的桥梁。为了确保政务数字证书在电子政务信息的应用中能够通用，实现信息系统互联互通，统一数字证书应用接口规范，更好形成统一

7、的网络信任体系。 DB11/T .2-201413政务数字证书规范第 2 部分：应用接口1 范围本部分规定了政务数字证书应用接口体系结构，各个接口函数的接口原型、功能、参数和返回值以及政务数字证书应用接口所需的宏定义、错误代码和调用示例。本部分适用于数字证书认证机构、数字证书认证系统的开发商、电子政务应用部门以及基于数字证书的安全应用开发商进行信息系统建设。应用于电子商务领域的数

8、字证书应用接口，也可参照本部分。本部分不涉及任何具体的密码运算，所有密码运算均在符合国家有关法规的密码设备中进行。本部分凡涉及密码相关内容，按国家有关法规实施。 2 规范性引用文件下列文件中的条款通过本部分的引用而成为本部分的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本部分，然而，鼓励根据本部分达成协

9、议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本部分。 ISO/IEC 8825-1： 1998，信息技术 -ASN.1编码规则：基本编码规则（ BER）的规范，正规编码规则（ CER）和可区分编码规则（ DER） IETF RFC 5280 Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation Lis

10、t (CRL) Profile PKCS1: RSA Cryptography Standard PKCS7: Cryptographic Message Syntax Standard GM/T0012-2012 SM2密码算法加密签名消息语法规范 GM/T0009-2012 SM2密码算法使用规范 3 术语和定义、缩略语3.1 术语和定义下列术语和定义适用于本部分。 3.1.1证书认证机构（ CA） cer t i f i cat i on aut hor i t y ( CA)对数字

11、证书进行全生命周期管理的实体。也称为电子认证服务机构。 3.1.2证书验证 cer t i f i cat e vali dat i on按照验证策略确认证书有效性和真实性的过程。 3.1.3证书撤销列表（黑名单） cer t i f i cat e r evocat i on li st ( CRL)由证书认证机构（ CA）签发并发布的被撤销证书的列表。 3.1.4数字证书（证书） di gi t al cer t i f i cat

12、e也称公钥证书，由证书认证机构（ CA）签名的包含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及扩展信息的一种数据结构。按类别可分为个人证书、机构证书和设备证书，按用途可分为签DB11/T .2-20148名证书和加密证书。3.1.5政务数字证书 gover nment aff ai r di gi t al cer t i f i cat e用来标识电子政务参与方真实身份的数字证书。根据参与

13、方的不同类别分为政务证书认证机构证书、政务个人证书、政务机构证书、政务设备证书、政务代码签名证书。 3.1.6私有密钥（私钥） pr i vat e key非对称密码算法中只能由拥有者使用的不公开密钥。 3.1.7公开密钥（公钥） publi c key非对称密码算法中可以公开的密钥。 3.1.8公开密钥基础设施（ PKI ） publi c key i nf r ast r uct ur e（ PKI ）基于公钥密码技

14、术实施的具有普适性的基础设施，可用于提供机密性、完整性、真实性及抗抵赖性等安全服务。3.1.9信任 t r ust通常，当一个实体假设另一个实体完全按照前者的期望行动时，则称前者 “信任 ”后者。这种 “信任 ” 可能只适用于某些特定功能。本部分中“ 信任” 的关键作用是描述鉴别实体和权威机构之间的关系；鉴别实体应确信它能够 “信任 ”权威机构仅创建有效且可靠的证书。 3.2 缩略语

15、下列缩略语适用于本部分： API 应用程序接口（ Application Programming Interface），简称应用接口CA 证书认证机构（ Certification Authority） CN 通用名（ Common Name） CRL 证书撤销列表（黑名单）（ Certificate Revocation List） CSP 加密服务提供者（ Cryptographic Service Provider） DER 可区分编码规则（ Distinguished Encodin

16、g Rules） DN 可辨别名（ Distinguished Name） LDAP 轻量级目录访问协议（ Lightweight Directory Access Protocol） OID 对象标识符（ Object Identifier） PKCS 公钥密码使用标准 (the Public-Key Cryptography Standard) 4 政务数字证书应用接口4.1 数字证书应用接口体系结构证书数字证书应用接口体系结构，如图 1所示： DB11/T .2-

17、201413政务数字证书应用身份认证机密性完整性不可否认性应用程序应用层政务数字证书应用接口设备管理接口访问控制接口容器访问接口密码服务接口证书接口设备接口密码设备密钥密钥 . 密钥接口层设备和设备接口层图 1 政务数字证书应用接口体系结构政务数字证书应用接口位于应用系统和密码设备之间，应用程序通过调用政务数字证书应用接口实现身份认证、实现信息的保密性、

18、完整性和不可否认性；政务数字证书应用接口通过设备所提供的接口，包括，在密码设备中实现具体的密码运算和密钥使用。 4.2 数字证书应用接口组成和功能说明4.2.1 概述数字证书应用接口由以下几个接口部分组成：设备管理接口访问控制接口容器管理接口密码服务接口证书接口 4.2.2 设备管理接口设备管理接口负责对所连接的密码设备进行管理、获取密

19、码设备的信息。 4.2.3 访问控制接口访问控制接口负责确认用户是否允许连接使用密码设备，包括口令验证和修改口令等接口。4.2.4 容器管理接口设备管理接口负责对所连接的密码设备中的容器进行管理。 4.2.5 密码接口密码接口负责具体与密码设备交互实现具体的密码运算，并将运算结果返回给应用程序。 4.2.6 证书接口DB11/T .2-201410

20、证书接口负责数字证书的解析、证书信息的获取、有效性检查等功能。 5 政务数字证书应用接口函数定义5.1 设备管理接口5.1.1 获取设备数量接口原型 LONG GetDeviceCount() 功能描述获取当前存在的可支持的设备数量参数无返回值设备数量备注 5.1.2 获取所有的设备序列号接口原型 BSTR GetAllDeviceSN() 功能描述获取当前存在的可支持的所有设备的序列号，每个设备序列号以分号(;)结尾参数无返回值所有设备序列号的组合

21、备注当前存在所有设备序列号，例如 “11111;22222;“ 5.1.3 根据索引获取设备序列号接口原型 BSTR GetDeviceSNByIndex(LONG iIndex)功能描述根据索引获取设备的序列号参数 iIndex IN 索引从 0 开始，不能大于当前存在的设备数量 -1返回值成功返回设备序列号，失败返回空备注当前存在所有设备序列号，例如 “11111;22222;“5.1.4 判断设备是否存

22、在接口原型 boolean IsDeviceExist(BSTR sDeviceSN) 功能描述判断设备是否存在参数 sDeviceSN IN 设备序列号返回值存在返回 TRUE，不存在返回 FALSE 备注 5.1.5 获取设备详细信息接口原型 BSTR GetDeviceInfo(BSTR sDeviceSN, LONG iType) 功能描述获取设备详细信息参数 sDeviceSN IN 设备序列号 DB11/T .2-201413iType IN 信息类型返回值成功返回设备信息，失败返回空目前可支持的类型参数如下： 0x00000

23、001 设备标签 0x00000002 设备空余空间 0x00000003 设备序列号 0x00000004 设备类型返回 “RSA“或 “SM2“ 0x00000005 获取证书密码重试次数 0x00000007 设备类型返回 “HARD“或 “SOFT“ 0x00000008 对应动态库的名称 0x00000009 CSP 名称（只针对 RSA 类型的设备，国密接口的设备返回为空 0x00000073 设备类型 RSA 设备返回 “10“ SM2 设备返回 “20“ 备注

24、0x00000074 设备的 VID_PID （ 16 进制数据） 5.2 访问控制接口5.2.1 设备登录接口原型 boolean SOF_Login(BSTR CertID, BSTR PassWd) 功能描述登录 CertID IN 证书操作唯一标识，也支持只输入设备序列号。参数 PassWd IN 证书口令。返回值正确返回 TRUE 失败返回 FALSE 备注 5.2.2 设备登出接口原型 boolean SOF_Logout (BSTR CertID) 功能描述登出登出后再调用密码接口时需要重新

25、登录参数 CertID IN 证书操作唯一标识返回值正确返回 TRUE 失败返回 FALSE 备注 5.2.3 获取口令重试次数接口原型 LONG SOF_GetPinRetryCount(BSTR CertID) 功能描述获取证书口令重试次数参数 CertID IN 证书操作唯一标识返回值 0 表示重试次数， =0 表示证书口令已被锁死，必须解锁后才能使用 DB11/T .2-201412try if (window.ActiveXObject) document.writeln(“);d

26、ocument.writeln(“); XTXAPP.SOF_GetVersion(); else document.writeln(“);XTXAPP = document.getElementById(“XTXAPP0“);XTXAPP.GetVersion();catch(e) alert(“请检查证书应用环境是否正确安装 !“);/非 IE 浏览器响应设备插拔执行的接口function OnUsbKeyChange()alert(“OnUsbKeyChange called!“);function GenRandom()var r = XTXAPP.SOF_GenRandom(24); alert(r); /打印随机数/IE 浏览器中响应设备插拔事件DB11/T .2-20146alert(“OnUsbKeyChange called!“);b

展开阅读全文