LD∕T 02.5-2022 (代替 LD∕T 30.5-2009)人力资源社会保障电子认证体系规范 第5部分:数字证书载体规范.pdf
《LD∕T 02.5-2022 (代替 LD∕T 30.5-2009)人力资源社会保障电子认证体系规范 第5部分:数字证书载体规范.pdf》由会员分享,可在线阅读,更多相关《LD∕T 02.5-2022 (代替 LD∕T 30.5-2009)人力资源社会保障电子认证体系规范 第5部分:数字证书载体规范.pdf(48页珍藏版)》请在咨信网上搜索。
1、LD2022-06-22 发布2022-07-01 实施LD/T 02.52022代替 LD/T 30.52009中华人民共和国劳动和劳动安全行业标准人力资源社会保障电子认证体系规范第 5 部分:数字证书载体规范Specifications for human resources and social security electronicauthentication systemPart 5: Specification for digital certificate storage carriers中华人民共和国人力资源和社会保障部发布ICS 35.040CCS L 80学兔兔 标准下载L
2、D/T 02.5-2022I目次前言.III引言.IV1 范围.12 规范性引用文件.13 术语和定义.14 缩略语.25 数字证书载体分类.26 数字证书载体硬件要求.26.1 基本技术要求.26.2 管理要求. 46.3 安全要求. 47 数字证书载体软件要求.47.1 应用接口. 47.2 安装与卸载. 7附录 A (资料性) 数字证书载体外观.10附录 B (资料性) 数字证书载体接口函数描述.10学兔兔 标准下载LD/T 02.5-2022III前言本文件按照 GB/T 1.1-2020标准化工作导则 第 1 部分:标准化文件的结构和起草规则的规定起草。LD/T 02人力资源社会保障
3、电子认证体系系列规范,已经发布了以下五个部分:第1部分:框架规范第2部分:电子认证系统技术规范第3部分:数字证书格式规范第4部分:数字证书应用接口规范第5部分:数字证书载体规范本文件为LD/T 02的第5部分。本文件代替LD/T 30.52009 人力资源社会保障电子认证体系 第5部分: 证书载体规范 ,与LD/T30.52009相比,除结构调整和编辑性改动外,主要技术变化如下:a)更改了本部分规范的名称为 人力资源社会保障电子认证体系 第5部分: 数字证书载体规范 ;b)增加了部分规范性引用文件(见第2章,2009版第2章);c)删除了“证书载体”“证书撤销列表(CRL)”“数字证书”等术语
4、和定义(见第3章,2009版第3章);d)更改了部分缩略语,并删除了“CSP”缩略语(见第4章,2009版第4章);e)增加了数字证书载体分类的描述(见第5章);f)更改了证书载体硬件规范,增加了支持国产算法、支持国产操作系统相关内容描述(见第6章,2009版第5章);g)更改了证书载体软件规范,删除了关于“CSP”的相关描述,并增加了接口规范描述,以及支持国产算法、支持国产操作系统相关内容描述(见第7章,2009版第6章);h)更改了数字证书载体接口函数规范要求, 并根据在正文中被提及的先后顺序调整附录编号 (见附录B,2009版附录A);i)更改了数字证书载体外观要求,根据证书类型,结合业
5、务需求,对“智能密码钥匙”形式的数字证书载体类型、 载体序列号及外观颜色做出新的要求, 并根据在正文中被提及的先后顺序调整附录编号(见附录A,2009版附录B)。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本文件由中华人民共和国人力资源社会保障部信息中心提出并归口。本文件起草单位:中华人民共和国人力资源社会保障部信息中心、普华诚信信息技术有限公司、北京数字认证股份有限公司。本文件主要起草人马丹蕾、张嵩、王岩、耿建军、唐淑静、韩晓颖、成勇、王祥宇、李娜、王智飞、郭丽芳、高五星、李述胜。本文件所代替的历次版本发布情况为:-LD/T 30.52009人力资源社会保障
6、电子认证体系 第 5 部分:证书载体规范;-本次为第一次修订。学兔兔 标准下载LD/T 02.5-2022IV引言为适应人力资源社会保障信息化发展要求,满足人力资源社会保障网络信任体系建设和管理的需要, 人力资源社会保障部组织并制定了人力资源社会保障电子认证体系系列规范。 随着我国商用密码技术的发展、 国产密码算法的标准发布, 以及人力资源社会保障行业的业务发展, 需要对行业标准 LD/T 302009人力资源社会保障电子认证体系规范进行修改和完善。本次修订, 是在充分借鉴原标准的框架和结构的基础上, 根据人力资源社会保障行业特点和电子认证业务发展需求, 对电子认证体系总体结构和电子认证系统整
7、体建设规划进行扩充完善, 以符合国家及国家密码主管部门相关标准规范要求,满足人力资源社会保障业务和管理需求,推进 SM2 算法在人社信息系统中的应用, 另一方面, 也可有效配合 中华人民共和国密码法 、中华人民共和国网络安全法 、密码管理及密码应用安全测评工作、等级保护工作的落实与实施。LD/T 02描述了人力资源社会保障电子认证体系总体结构和电子认证系统整体建设规划,规定了各级人力资源社会保障部门电子认证系统建设和应用要求,由以下五个部分构成。-第1部分:框架规范-第2部分:电子认证系统技术规范-第3部分:数字证书格式规范-第4部分:数字证书应用接口规范-第5部分:数字证书载体规范LD/T
8、02的第1部分,是人力资源社会保障电子认证体系系列规范的总纲,规定了电子认证体系规范的总体框架。LD/T 02的第2部分第5部分分别从电子认证系统技术、数字证书格式、数字证书应用接口、数字证书载体四个方面提出具体规范要求。本部分重点引用了GB/T 35291-2017,并在此基础上,扩展了数字证书载体基本技术要求、数字证书载体管理要求、 软件的安装卸载以及数字证书载体外观设计要求等相关内容, 从满足人力资源社会保障业务需求的角度,对本行业发放的数字证书载体的软硬件和外观提出规范和要求。学兔兔 标准下载LD/T 02.5-20221人力资源社会保障电子认证体系规范第 5 部分:数字证书载体规范1
9、范围本文件给出了数字证书载体分类,规定了数字证书载体硬件和软件要求。注:本标准主要规范智能密码钥匙的技术指标,第三代社会保障卡应符合 LD/T 32。本文件适用于人力资源社会保障数字证书载体(智能密码钥匙)的设计、应用开发、使用和检测。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中, 注日期的引用文件仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 25056-2018信息安全技术 证书认证系统密码及其相关安全技术规范GB/T 32905信息安全技术 SM3 密码杂凑算法GB/T 32907信息安全
10、技术 SM4分组密码算法GB/T 35276-2017信息安全技术 SM2密码算法使用规范GB/T 35291-2017信息安全技术 智能密码钥匙应用接口规范GB/T 36322-2018信息安全技术 密码设备应用接口规范GB/T 37092-2018信息安全技术 密码模块安全要求LD/T 32社会保障卡规范ISO7816-4接触式卡智能卡与外界交互的介面3术语和定义GB/T 35291、GB/T 36322 界定的和下列术语和定义适用于本文件。3.1加密encrypt对数据进行密码变换以产生密文的过程。来源:GB/T 36322-2018,3.53.2解密decrypt加密过程对应的逆过程。
11、来源:GB/T 36322-2018,3.3学兔兔 标准下载LD/T 02.5-202223.3设备认证device authentication智能密码钥匙对应用程序的认证。来源:GB/T 35291-2017,3.23.4设备认证密钥device authentication key用于设备认证的密钥。来源:GB/T 35291-2017,3.33.5会话密钥session key处于层次化密钥结构中的最底层,尽在一次会话中使用的密钥。来源:GB/T 36322-2018,3.103.6用户密钥 user key存储在设备内部的用于应用密码运算的非对称密钥,包含签名密钥对和加密密钥对。来源
12、:GB/T 36322-2018,3.114缩略语下列缩略语适用于本文件:API:应用程序接口,简称应用接口(Application Program Interface)CA:证书认证机构(Certification Authority)CRL:证书撤销列表(Certificate Revocation List)PKCS:公钥密码标准(the Public-Key Cryptography Standard)PIN:个人身份识别码(Personal Identification Number)Admin PIN:管理员PINUser PIN:用户PIN5数字证书载体分类数字证书载体的安全性须
13、符合 GB/T 37092-2018 中安全等级第二级及以上相关要求。目前,人力资源社会保障电子认证系统所采用的数字证书载体分为智能密码钥匙和第三代社会保障卡两类。6数字证书载体硬件要求6.1基本技术要求数字证书载体的基本技术要求见表 1。表 1数字证书载体基本技术要求名称名称要求要求备注备注外形及尺寸符合人力资源社会保障部规定的数字证学兔兔 标准下载LD/T 02.5-20223书载体外观要求,见附录 A存储容量=128K Bytes (32K 型)CPU 芯片位数=32 位功耗=10 万存储有效期(年)=10存放温度-4070工作温度060湿度要求10%90%工作电压4.5V5.5V适用浏
14、览器国产浏览器以及 IE、火狐、Chrome 等主流浏览器及相应版本适用操作系统国产 Linux 桌面操作系统、WindowsXP、Windows7、Windows8、Windows10 等主流操作系统支持简体中文、繁体中文、英文非对称算法符合 GB/T 35276-2017,密钥对应在芯片中生成,且私钥不能导出。如 SM2 算法对称算法符合 GB/T 32907如 SM4 算法杂凑算法符合 GB/T 32905如 SM3 算法公钥私钥对生成时间=30 秒数字签名和验证时间1 秒/次密钥的签名验证速度SM2 公私钥对生成速度50 ms/次SM2 签名速度10 ms/次SM2 验签速度1.5Mb
15、psSM4 加解密速度1Mbps存储要求a)公私钥对:=2 个,b)数字证书:=2 张。证书载体容器至少可同时存储2张数字证书和2个密钥对,以支持双证书。安全性要求a)管理员登录认证后,方可解锁用户PIN;b)用户登录认证后,方可产生密钥对、导入密钥和证书,使用密钥和证书;c)用户口令连续 10 次输错后应自动锁死。硬件真随机数发生器支持学兔兔 标准下载LD/T 02.5-202246.2管理要求6.2.1数字证书载体初始化数字证书载体的初始化就是对数字证书载体进行区间划分,使其按照相关规范进行初始化。初始化工具由各数字证书载体供应商提供。初始化工具应有两种形式,一类是可执行的初始化工具,另一
16、类是动态库dll接口文件,并可根据动态库文件开发通用的初始化工具。6.2.2口令管理数字证书载体的客户端管理工具应具备校验口令和修改口令的功能。口令长度应为6-16位,应是字母、数字和特殊字符组成的混合体,口令不得采用有特殊意义的(如姓名、生日、电话号码等)数字和词组。6.2.3锁死与解锁数字证书载体连续 10 次输错口令应自动锁死。 密码锁死后, 即使输入正确的口令也不能使用证书,必须由管理员口令解锁后才能继续使用。 管理员口令需随机生成, 解锁操作应在安全可控的前提下执行。解锁口令的长度应为6-16位。6.2.4其他同一个终端可以同时使用多个数字证书载体, 以标准接口调用数字证书载体设备时
17、, 系统会自动弹出设备选择框(列出设备的卷标名称),由用户选择设备。6.3安全要求6.3.1基本安全要求数字证书载体的安全机制要求保障系统运行稳定可靠,数据访问安全可控,数据传输安全保密,可抵御外部攻击。数字证书载体必须能产生SM2等非对称密钥对,私钥不能被读取,使用前应经过访问权限认证。6.3.2密钥和密码的存放数字证书载体应该能保证非对称密钥和对称密钥的安全性。 对称密钥在导出时必须加密保护, 非对称密钥的私钥不允许导出,非对称密钥的公钥支持查看、导出。7数字证书载体软件要求7.1应用接口数字证书载体软件应用接口应符合GB/T 35291规定的要求。7.1.1设备管理设备管理主要完成设备的
18、插拔响应、枚举、连接、断开、获取设备状态、设置设备信息、获取设备信息、锁定设备、解锁设备和设备命令传输等操作。使用者不必知道设备类型和具体的驱动模式,只需要通过本文件提供的接口,即可完成设备管理功能。设备管理函数如表 2 所示。学兔兔 标准下载LD/T 02.5-20225表 2设备管理函数函数名称功能SKF_WaitForDevEvent等待设备插拔事件SKF_CancelWaiForDevEvent取消等待设备插拔事件SKF_EnumDev枚举设备SKF_ConnectDev连接设备SKF_DisconnectDev断开设备SKF_GetDevState获取设备状态SKF_SetLabel
19、设置设备标签SKF_GetDevInfo获取设备信息SKF_LockDev锁定设备SKF_UnlockDev解锁设备SKF_Transmit设备命令传输7.1.2访问控制访问控制分为设备级访问控制和应用级访问控制。设备级访问控制:包括内部认证和外部认证,用来进行设备之间的相互认证;应用级访问控制:分为管理员和用户权限二级权限控制。管理员负责为用户提供 PIN 的初始化和解锁等服务。用户拥有设备使用权,使用设备提供的功能,存储自己的私有数据。对于每一个设备而言,可以同时存在一个或多个应用,每个应用之间的访问控制相互独立。访问控制函数如表 3 所示。表 3访问控制函数函数名称功能SKF_Chang
20、eDevAuthKey修改设备认证密钥SKF_DevAuth设备认证SKF_ChangePIN修改 PINSKF_GetPINInfo获得 PIN 码信息SKF_VerifyPIN校验 PINSKF_UnblockPIN解锁 PINSKF_ClearSecureState清除应用安全状态7.1.3应用管理一个设备可以建立一个或多个应用,每个应用之间的权限管理和密码服务彼此独立。在每一个应用中都有相对应的文件体系和加密服务体系。应用管理主要完成应用的创建、枚举、删除、打开、关闭操作。应用管理函数如表4所示。表 4应用管理函数函数名称功能SKF_CreateApplication创建应用SKF_E
21、numApplication枚举应用SKF_DeleteApplication删除应用学兔兔 标准下载LD/T 02.5-20226SKF_OpenApplication打开应用SKF_CloseApplication关闭应用7.1.4文件管理文件管理函数用于满足用户扩展开发的需要,包括对文件的创建、删除、枚举、获取设备信息、读写操作,如表 5 所示。表 5文件管理函数函数名称功能SKF_CreateFile创建文件SKF_DeleteFile删除文件SKF_EnumFiles枚举文件SKF_GetFileInfo获取文件信息SKF_ReadFile读文件SKF_WriteFile写文件7.1
22、.5容器管理容器管理函数用于满足各种不同应用的管理, 包括对容器的创建、 删除、 枚举、 打开和关闭等操作,如表6所示。表 6容器管理系列函数函数名称功能SKF_CreateContainer创建容器SKF_DeleteContainer删除容器SKF_EnumContainer枚举容器SKF_OpenContainer打开容器SKF_CloseContainer关闭容器SKF_GetContainerType获取容器类型SKF_ImportCertificate导入数字证书SKF_ExportCertificate导出数字证书7.1.6密码服务密码服务函数用于密码运算服务,包括密钥的生成、导
23、入、导出、加密解密、签名验证等,如表 7所示。会话密钥支持国产算法如 SM1、SM4,非对称密钥目前支持 256 位 SM2、2048 位 RSA。表 7密码服务函数函数名称功能SKF_GenRandom生成随机数SKF_GenExtRSAKey生成外部 RSA 密钥对SKF_GenRSAKeyPair生成 RSA 签名密钥对SKF_ImportRSAKeyPair导入 RSA 加密密钥对SKF_RSASignDataRSA 签名学兔兔 标准下载LD/T 02.5-20227SKF_RSAVerifyRSA 验签SKF_RSAExportSessionKeyRSA 生成并导出会话密钥SKF_E
24、xtRSAPubKeyOperationRSA 外来公钥运算SKF_GenECCKeyPair生成 ECC 签名密钥对SKF_ImportECCKeyPair导入 ECC 加密密钥对SKF_ECCSignDataECC 签名SKF_ECCVerifyECC 验签SKF_ECCExportSessionKeyECC 生成并导出会话密钥SKF_ExtECCEncryptECC 外来公钥加密SKF_ExtECCVerifyECC 外来公钥验签SKF_GenerateAgrementDataWithECCECC 生成密钥协商参数并输出SKF_GenerateKeyWithECCECC 计算会话密钥SK
25、F_GenerateAgrementDataAndKeyWithECCECC 产生协商数据并计算会话密钥SKF_ImportSessionKey导入会话密钥SKF_ExportPublicKey导出公钥SKF_EncryptInit加密初始化SKF_Encrypt单组数据加密SKF_EncryptUpdate多组数据加密SKF_EncryptFinal结束加密SKF_DecryptInit解密初始化SKF_Decrypt单组数据解密SKF_DecryptUpdate多组数据解密SKF_DecryptFinal结束解密SKF_DigestInit密码杂凑初始化SKF_Digest单组数据密码杂凑
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- LDT 02.5-2022 代替 30.5-2009人力资源社会保障电子认证体系规范 第5部分:数字证书载体规范 LD 02.5 2022 代替 30.5 2009 人力资源 社会保障 电子 认证
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【moonsi****63.com】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【moonsi****63.com】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。
链接地址:https://www.zixin.com.cn/doc/165221.html