DB44∕T 677.3-2009 组织机构数字证书技术规范 第3部分: 接口(广东省).pdf
《DB44∕T 677.3-2009 组织机构数字证书技术规范 第3部分: 接口(广东省).pdf》由会员分享,可在线阅读,更多相关《DB44∕T 677.3-2009 组织机构数字证书技术规范 第3部分: 接口(广东省).pdf(48页珍藏版)》请在咨信网上搜索。
1、ICS 35.240.01 备案号28796-2010DB44 广东省地方标准DB44/T 677.3-2009 组织机构数字证书技术规范第3部分接口Technical Specifications for Organization Code Digital Certificate Part 3: Interface 2009-09-02发布2010-01-01实施广东省质量技术监督局发布OB44/T 677.32009 目欠前言. l范围.12规范性号|用文件.13术语和1,主义.13.1算法标识algorithmidentifier . 1 3.2非对称密码算法asymmetriccryp
2、tographic algorithm . . . . .川.川. .川. . . .川. . . . .川.川. . . . . . .川. .川. . . . .川. . .川. .川.川. . . . . .川. . . . . .川. . . . . . . . . . . . .川. . .川.川. .川. . . . . . .川. J . J .1 .1 3口3解密d由ec呻i巾pherm皿ment/础de饵CI叩p抖抖tion/d由ecr可y伊p严pt/d缸ecip忡he臼r. 3.4设备;密密钥对d由巳V叫ic臼ekeypa阳i让r.3.5力加口密enc呻iphe町r白/危e
3、ncl甲phermen白enc可p白enc叩ption. . . . .-.叮. .川.川. . . .川. . . . . . . .川. .川. . .川. .川. . .川. . . ., . . . . .川. . .川. . . .川. . . . . . . .1 1 3.6私钥权限标识码privatekey a缸cc臼es臼sp严as臼swo时rd. . . .川. . . .川. .川. .川.川. . .川. .川.川.川. . . . .川. .川.川.川.川.川. . .川.川.川. .川. .川. . .川.川.川. .川. . . . . . .川. .川. . .川
4、.川. . . . . .川.川.川. . . .川.22 3.7对称;密曹码技术/种体制s阴归une优圳衍创iccr仰yptogra叩p抖忡h忧1垃山i比ct伽e臼chniq仰u时e。e.川. . . . . . . . . . . . . . .川. . . . . . . . . . . . . . . . . . . . . . . . . . . . 刚言DB44/T 677 组织机构数字证书技术规范包括三个部分:-一第1部分:介质一一第2部分:信息一一第3部分:接口本部分为DB44/T677的第3部分。本部分由广东省质量技术监督局提出o本部分由广东省质量技术监督局归口。D844/T
5、 677.3-2009 本部分起草单位:广东省标准化研究院、广州市标准化研究院、深圳市标准技术研究院、广东数字证书认证中心有限公司、广东省电子商务认证有限公司、深圳市电子商务安全证书管理有限公司。本部分主要起草人:陈锦汉、黄克、徐剑、程丽萍、郑飞、王志勇、刘锚、黄志平、赵雷、李华云、谭丽、刘磊、冯政初、陈树乐、陈福强、叶科泰、杨晓峰、尹淑梅、黄寅、叶迪文。本部分为首次发布。1 范围组织机构数字证书技术规范第3部分接口D644/T 677. 3-2009 DB44厅677的本部分规定了组织机构数字证书中组织机构代码信息、数字证书、其他应用信息的写入接口和使用接口。DB44厅677的本部分适用于组
6、织机构数字证书应用。2 规范性引用文件下列文件中的条款通过DB44/T677的本部分的引用而成为本部分的条款。凡是注日期的引用文件,其随后所帘的修改单(不包括勘误的内容)或修订版均不适用于本部分,然而,鼓励根据本部分达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本部分。IETF RFC 2560 在线证书状态协议IETF RFC 3280 互联网X.509公钥基础设施证书及证书注销列表格式PKCS #1 RSA密码标准PKCS #7 加密消息语法标准PKCS #11 密码令牌接口标准3 术语和定义3.1 3.2 D阻B4钊t厅677.1确立的以及下列术
7、语和定义适用于本部分。算法标识algorithmidentifier 用于标明算法机制的数字化信息。非对称密码算法asymmetriccryptographic algorithm 使用两种相关变换和非对称密钥对的密码技术,种是由公开密钥定义的公开变换,另一种是由私有密钥定义的私有变换。两种变换具有以下特性:即使给定公开变换,也不可能通过计算得出私有变换。3.3 解密decipherment/decryption/decrypt/decipher与一个可逆的加密过程相对应的反过程。该过程使用适当的密钥,将己加密的文本转换成明文。3.4 设备密钥对devicekey pair 存f请在设备内部的
8、用于设备管理的非对称密钥对,包含签名密钥对和加密密销对。3. 5 加密encipher/encipherment/encrypt/encryption通过密码算法对数据进行变换来产生密文,以便隐藏数据的信息内容。D844/T 677.3-2009 3.6 3. 7 私钥权限标识码privatekey access password 用于验证私钥使用权限的口令字。对称密码技术/体制symmetriccryptographic technique 原发者和接收者均采用同一秘密密钥进行变换的密码技术(体制)。其中,加密密钥等于解密密钥,或者一个密钥可以从另一个密钥导出的密码体制。4 缩略语DB44/
9、T 677.2确立的以及下列符号与缩略语适用于本部分。AES:高级加密标准(advancedencryption standard) CBC:密码分组链模式(cipherblock chaining) CRL:证书撤销列表(certificaterevocation list) DER:区分编码规则(distinguishedencoding rules) DES:数据加密算法标准(dataencryption standard) ECB:电子编码本模式(electroniccode book) JCE: Java密码扩展(javacryptographic extension) MAC:消息
10、鉴别码(messageauthentication code) OC曰:在线证书状态协议(onlinecertificate status protocol) OID:对象标识符(objectidentifier) 5 组织机构代码应用与其他扩展应用接口5.1 写入接口写入接口见表10表1写入接口CA RV CA WriteUsrDataFile( unsigned long fileType, 函数名称unsigned long filelndex, unsigned long offset, unsigned long writeLen, unsigned char *writeData)
11、; 功能简介在特定应用下特定文件中写入数据。写入之前应用用户必须登录。若写入成功,函数返回0,实际写入的长度等于writeLenofileType IN:应用DF标识符filelndex IN:应用DF下文件标识参数说明offset IN:写入的起始位置(偏移量)writeLen IN:写入的数据长度writeData IN:写入的数据内容返回值RV OK:成功其他z失败5.2 读取接口2 DB44/T 677.3-2009 读取接口见表20表2读取接口CA RV CA ReadUsrDataFile( unsigned long fileType, 函数名称unsigned long fil
12、eIndex, unsigned long offset, unsigned long readLen, unsigned char *readData) ; 功能简介从特定应用下特定文件中读取数据。若读取成功,函数返回0,实际读取的长度等于readLenfi leType IN:应用DF标识符fi lelndex IN:应用DF下文件标识参数说明offset IN:读取的起始位置(偏移量readLen IN:读取的数据长度readData OUT:读取的数据内容。readData的空间长度必须大于或等于readLen。返|司值RV_OK:成功其他:失败5.3 写入与i卖取流程5. 3. 1
13、写入流程a) 应用用户登录Key在组织机构代码应用系统中,按组织机构代码应用用户登录Key。b) 写入组织机构代码信息成功登录Key后,读取数字证书中的组织机构代码信息:将组织机构代码信息发送到服务器端,进行验证:服务器端验证通过后,按格式编写机构代码信息,并由服务器端各级组织机构代码管理部门的数字证书对其进行数字签名(具体格式请参见第2部分信息);然后将签名后的组织机构代码信息发送到客户端,写入key内对应的文件中。c) 应用用户退出登录Key写入介质的流程如图l所示:EE匡.,?,I |血盘盘盘|l 事IJ由古4也Key1圭量,在Kcy仕9.写入key内对院的文件 . 10.1且w.登.I
14、l:key11结点化kcy. 3组织机构代码信息: 嗣仨:=:4验证组织机构阴阳仨:.:Htif1l-式将阳阴阳组织好仨:=:6用服务制各级组织阳代何管制i门的放字证书对我签名仨:=:7剧J-8a叫阳8答名主副币j后的组织机构代刷4占总图1组织机构代码信息写入介质流程图3 DB44/ T 677.3-2009 5. 3. 2 从介质读取代码信息的流程a) 技应用用户初始化Key在组织机构代码应用系统中,按对应的应用用户初始化Key(读取组织机构代码信息不需要登录)。b) 读取细织机构代码信息成功初始化Key后,从key内对应的文件中读取数字证书中的组织机构代码信息,并进行Base64解码,对解
15、码后得到的PKCS#l签名数据使用相应的数字证书进行验签。验签通过后,得到正确的组织机构代付信息(格式请参见第2部分信息)。c) 结束化Key从介质读取代码信息的流程如图2所示:lk旦I血|ll. f)j征:化K町l;2从K町帆组织机构代码信息:6.川hB收灰化七Kl.:y仨3进Hase64制4z叫川阳阳阳叫叫白鹉仰削1甘们l什l门白的附附q她懈挝肝字盹仨引叫圳叫叫!峻阳叫始阳叫在M叫近剧过E后;制川l汗叫叫I呻碗图2组织机构代码信息读取介质流程图6 数字证书应用接口6. 1 接口基本原则随轩电f政务和电于商务j业用的开展,)11密技术己纤被广泛地惊受。为了保证各实现间的兼容性,必须有套各供应
16、尚严恪j星守的标准划范。日的数字if书的应用接III七常广泛,基本分;人;CryptoAPI(CSP)、Cryptoki(Pkcs #-11) , CE丰u专用接川等4类。这些应用接u占jg1循同际、同内相关技术规也。JJ;功能有:4 密fI!J设备操作对称力11解密对称加解密HASH运算数1f言主hli解密与斗在名/骑22证15链验证证书Jil解析密钥生成与管理DB44/T 677.3-2009 随机数生成这些数字证书应用接口均满足现有应用系统对身份认证、数据加密/解密、签名/验签的需求。6.2 通用接口描述6.2.1 CryptoAPI简介微软的CryptoAPI是PKI推荐使用的加密AP
17、I。其功能是为应用程序开发者提供在Win32环境下使用加密、验证等安全服务时的标准加密接口。CryptoAPI共有五部分组成:简单消息函数CSimp1ifiedMessage Functions) 低层消息函数CLow-1eve1Message Funetions) 基本加密函数CBaseCryptographic Functions) 证书编解码函数CCertificateEncode/Decode Functions) 证书库管理函数CCertificateStore Fllnctions) 6. 2. 2 PKCS#ll简介RSA实验室与本行业、学术界和政府的代表一起合作,己经开发出一套
18、称为公共密钥加密标准CPllb1ic-Key Cryptography Standards)的规范,即PKCS0 PKCS# 11为保存加密信息并执行加密操作的设备定义了应用编程接口(Cryptoki),该标准设计相当完备,支持多线程、多进程,因其广泛应用而成为当今密码硬件设备(令牌)接口的事实标准。Cryptoki可以使应用程序不必关心加密设备的细节。PKCS#l1标准接口函数分为以下几类:4个通用函数Cgengera1purpose functions) 9个槽与令牌管理函数Cs10tand token managent functions) 8个对话管理函数(sessionmanagen
19、t functions) 9个对象管理函数(objectmanagent function) 4个加密函数(encryptionfunctions) 4个解密函数(decryptionfunctions) 4个消息摘要函数Cmessagedigesting functions) 6个签名和MAC函数(signingand macing functions) 6个验证签名和验证MAC函数(verifyingsignature and macs functions) 5个密钥管理函数(keymanagement function) 2个随机数生成函数(Rando皿numbergeneration
20、functions) 4个双重加密函数(dua1-purposecryptographic functions) 2个井行功能管理函数(parallelfunction management functions) 6.2.3 JCE简介Java平台为安全和加密服务提供了两组API:JCA手盯CEoJCA (Java Cryptography Archi tecture) 提供基本的加密框架,如证书、数字签名、消息摘要和密钥对产生器JCE(Java Cryptography Extension) 在JCA的基础上作了扩展,包括加密算法、密钥交换、密钥产生和消息鉴别服务等接口。6.3 专用接口描述
21、6.3.1 C 接口6.3. 1. 1 接口JIJ表6. 3. 1. 1. 1 头文件CA def. h定义接口使用的算法标志和相关数据结构(采用C语言)CA_api. h定义接口原型声明(采用C语言)6.3. 1. 1.2 宏定义/返回类型定义5 OB44/T 677.3-2009 typedef int CA_RV; /定义返回类型为int型6 /获取Label名称的方式#define CAA CERT #define CAA PUBLIC MODULUS #define CAA PUBLIC EXPONENT #define CAA CERT AKID #define CAA CERT
22、ISSUER #define CAA_SUBJECT #define CAA CERT SERIALNUM #define CAA_OBJECT_TYPE #define CAA_OBJECT_NAME /接口支持的HASH算法#define CA ALGO MD2 #define CA ALGO MD5 #define CA ALGO SHA 160 #define CA ALGO SHA 256 #define CA ALGO SHA 384 #define CA ALGO SHA 512 /定义接口支持的对称算法#define CA ALGO DES #define CA ALGO 3D
23、ES #define CA ALGO SSF33 #define CA ALGO RC2 #define CA ALGO RC4 #define CA ALGO AES128 #define CA ALGO AES192 #define CA ALGO AES256 /定义接口支持的公钥算法#define CA ALGO RSA /定义接口使用的标签类型#define CA LBL CONFIG #define CA LBL DATA #define CA LBL EXDATA #define CA LBL SIGNKEY #define CA LBL ENCKEY #define CA LB
24、L SIGNCERT #define CA LBL ENCCERT #define CA LBL CACERT 1 /使用证书搜索2 /使用公钥模搜索3 /使用公钥指数搜索4 /使用颁布者密钥标识符搜索5 /使用颁布者DN搜索6 /使用证书主体DN搜索7 /使用证书序列号搜索8 /使用对象类型搜索9 /使用对象名称搜索1 /MD2算法2 /MD5算法3 / /SHA 160bit算法4 /SHA 256bit算法5 /SHA 384bit算法6 /SHA 512bit算法100 /DES算法101 /3DES算法102/SSF33算法104 / /RC2算法105 / /RC4算法106 /A
25、ES 128bit算法107 /AES 192bit算法108 /AES 256bit算法200/RSA算法1 /配置信息2 /CA数据3 /第三方数据4 /签名密钥5 /加密密钥7 /签名证书8 /加密证书9/CA证书0844/T 677.3-2009 1 /管理员用户2 /数字证书用户/j,主义接口支持的用户种类#define CA SUPERPIN #define CA USRPIN #define CA ORGAN PIN Ox1002 /广东省组织机构代码应用用户/定义接口使用的算法模式#define CA MODE ECB #define CA MODE CBC /定义密钥用途#d
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- DB44T 677.3-2009 组织机构数字证书技术规范 第3部分: 接口广东省 DB44 677.3 2009 组织机构 数字证书 技术规范 部分 接口 广东省
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【曲****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【曲****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。