【劳动和劳动安全行业标准(LD)】 人力资源和社会保障电子认证体系 第5部分：证书载体规范

ICS35.040
备案号：271122010
中华人民共和国劳动和劳动安全行业标准LD/T30.5—2009
人力资源和社会保障电子认证体系第5部分：证书载体规范
Human resources and social security electronic authentication system-Part 5:Specification of digital certificate storage medium2009-12-14发布
中华人民共和国人力资源和社会保障部2010-03-01实施
LD/T30.5—2009
规范性引用文件
术语和定义
缩略语
证书载体硬件规范
基本技术要求
管理要求
安全机制
：证书载体软件规范
6.1应用接口
6.2安装与卸载
附录A（资料性附录）
附录B（资料性附录）
证书载体接口函数规范
证书载体外观
LD/T30.5-—2009
为适应人力资源和社会保障信息化发展要求，满足人力资源和社会保障网络信任体系建设和管理的需要，人力资源和社会保障部组织并制定了LD/T30一2009《人力资源和社会保障电子认证体系》。网络信任体系包括电子认证体系、授权管理体系和责任认定体系，本标准主要描述了人力资源和社会保障电子认证体系相关内容，包括以下五个部分：一第1部分：框架规范；
一第2部分：电于认证系统技术规范；一第3部分：证书及证书撤消列表格式规范；一第4部分：证书应用管理规范；二一第5部分：证书裁体规范。
本部分为LD/T30--2009的第5部分。本部分主要描述了证书载体的技术指标，包括硬件规范和软件规范，并规定了证书载体的相关接口和外观规范。
本部分重点引用了《智能IC卡及智能密码钥匙密码应用接口规范》，并在此基础上，扩展了证书载体基本技术要求、证书载体管理要求、软件的安装卸载以及证书载体外观设计要求等相关内容，从满足人力资源社会保障业务需求的角度，对本行业发放的证书载体的软硬件和外观提出规范和要求。本部分由中华人民共和国人力资源和社会保障部信息中心提出并归口。本部分主要起草单位：中华人民共和国人力资源和社会保障部信息中心、上海市人力资源和社会保障局信息中心、北京数字证书认证中心、维豪信息技术有限公司。本部分主要起草人：赵锡铭、戴瑞敏、贾怀斌、翟燕立、李丽虹、吴间滨、黄勇、吕丽娟、许华光、罗震、张加会、新朝晖、陆春生、李永亮、宋京燕、李冰松、耿建军、杜守国、欧阳晋、林雪焰、李述胜、顾青、宋成。本部分凡涉及密码相关内容，均按国家有关法规实施。I
1范围
人力资源和社会保障电子认证体系第5部分：证书载体规范
LD/T30.5—2009
LD/T30的本部分描述了在人力资源和社会保障系统中使用的证书载体的各项要求，包括硬件要求、软件要求、管理要求、安全机制以及相关接口标准等内容。本部分适用于人力资源社会保障证书载体的设计、应用开发、使用和检测。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改单）适用于本文件。GM0001一2005证书认证系统密码及其相关安全技术规范信息技术安全技术密码术语（国家密码管理局）智能IC卡及智能密码钥匙密码应用接口规范（国家密码管理局）3术语和定义
以下术语和定义适用于本规范。3.1
证书载体
certificateentity
用于存储密钥和数字证书并具有密码运算功能的载体，包括智能密码钥匙（USBKey)和IC卡等。3.2
container
待指密钥容器，是一个用于存放非对称密钥对和证书的逻辑对象。每个用户对应一个密钥容器，与用户相关的非对称密钥对和证书存放于该密钥容器，每个容器中最多可以存放一对加密密钥对和一对签名密钥对以及一张加密证书和一张签名证书。3.3
证书撤消列表
certificaterevocationlist
标记一系列不再被证书发布者认为有效的证书的签名列表。3.4
数字证书digitalcertificate
由权威认证机构进行数字签名的包含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及一些扩展信息的数字文件。
加密encrypt
通过密码算法对数据进行变换来产生密文，以便隐藏数据的信息内容。1
LD/T30.5—2009
解密decrypt
与一个可逆的加密过程相对应的反过程。该过程使用适当的密钥，将已加密的文本转换成明文。3.7
数字签名digitalsignature
附加在数据上的签名数据，或是对数据所作的密码变换，用以确认数据来源及其完整性，防止被人(例如接受者)进行伪造。
exchangekey pair
加密密钥对
用来对会话密钥进行加密和解密的公/私密钥对，使用加密密钥对的公钥加密会话密钥，加密后的会话密钥传给接收者，接收者使用加密密钥对的私钥解密出会话密钥。3.9
密钥交换keyexchange
通信实体间交换密钥的过程。
消息鉴别码
message authentication code
又称消息认证码，是消息鉴别算法的输出。3.11
公钥publickey
在公钥密码体制中，用户密钥对中公布给其他用户的密钥。3.12
私钥privatekey
在公钥密码体制中，用户密钥对中仅为该用户持有的密钥。3.13
RSA算法rivest-shamir-adlemanalgorithm一种基子大整数因子分解问题的公钥密码算法。3.14
月sessionkey
会话密钥
处于层次化密钥结构中的最低层，仅在一次会话中使用的密钥。3.15
signaturekeypair
签名密钥对
用来对消息进行数字签名的公/私密钥对，用于消息鉴别。3.16
公开密钥基础设施
publickeyinfrastructure
用公钥密码技术建立的普遍适用的基础设施，为用户提供证书管理和密钥管理等安全服务。3.17
通常，当一个实体（第一个实体）假设另一个实体（第二个实体)完全按照第一个实体的期望行动时，则称第一个实体“信任”第二个实体。这种“信任”可能只适用于某些特定功能。本框架中“信任”的关键作用是描述鉴别实体和认证机构之间的关系；鉴别实体应确信它能够\信任”认证机构仅创建有效且可靠的证书。
缩略语
下列缩略语适用于本部分：
AdminPIN
UserPIN
PKCS#11
应用程序接口，简称应用接口（ApplicationProgramInterface）证书认证机构（CertificationAuthority）加密服务提供者（CryptographicServiceProvider）证书撤消列表(CertificateRevocationList）公钥密码标准（thePublic-KeyCryptographyStandard）个人身份识别码（PersonalIdentificationNumber）管理员PIN
用户PIN
LD/T30.5—2009
公钥密码使用标准系列规范中的第11部分，为执行密码函数的设备确定了一种程序设计接口
证书载体硬件规范
基本技术要求
证书载体的基本技术要求如表1所示：表1
证书载体基本技术要求
存储容量
CPU芯片位数
国际标准
微软标准
编程接口
证书格式
硬件接口
读写次数(次)
存储有效期(年)
存放温度
工作温度
≥32 K Bytes (32 K型)
<400mW
ISO 7816-4
PKCS#11
Microsoft CryptoAPI
Cryptographic ServiceProviderMicrosoft CryptoAPI
PKCS#11API
符合GB/T20518—2006《信息安全技术公钥基础设施
数字证书格式》
符合USB接口规范，不需额外插电>10万
-40～70
0~60℃
USB1.1以上的规格
LD/T30.5—2009
湿度要求
室温下数据保存时间
工作电压
适用浏览器
适用操作系统
非对称算法
对称算法
杂算法
公钥私钥对生成时间
数字签名和验证时间
RSA加密速度
RSA解密速度
存储要求
安全性要求
硬件直随机数发生器
管理要求
证书载体初始化
表1证书载体基本技术要求（续）要
10%~90%
至少50年
2.7V~5.5V
IE6.0以上各种版本
WindowsXP,window2000,windows2003,Linux，Vista及以上版本
遵循国家相关规定，密钥对必在芯片中生成，且私钥不可导出
遵循国家相关规定
遵循国家相关规定
≤30 s
<1 s/次
>50 kbit/s
>30 kbit/s
公私钥对：≥2个
数字证书：≥2张
扩展区文件：≥10K
管理员登录认证后，方可解锁用户PIN用户登录认证后.方可产生密钥对、导人密钥和证书，使用密钥和证书用户口令连续10次输错后应自动锁死支持
支持简体中文、紫体中文、英文如RSA、SM2等
如SSF33、SM1等
如SHA-1、SHA256等
密钥的签名验证速度
证书载体容器至少可同时存储2张数字证书和2个密钥对，以支持双证书
证书载体的初始化就是对证书载体进行区间划分，使证书载体按照相关规范进行初始化。初始化工具由各证书载体供应商提供。初始化工具应有两种形式，一类是可执行的初始化工具，另一类是动态库dll接口文件，并可根据动态库文件开发通用的初始化工具。证书载体的安装注册
证书载体内的证书可实现自动注册，即当证书载体插人电脑后，载体内证书自动注册到操作系统“MY\区，拔出证书载体以后，数字证书自动从“MY”区中删除。4
5.2.3口令管理
证书载体的客户端管理工具应具备校验口令和修改口令的功能。口令长度为6~16位。
5.2.4锁死与解锁
LD/T30.5—2009
证书载体连续10次输错口令应自动锁死。密码锁死后，即使输人正确的口令也不能使用证书，必须由管理员口令解锁后才能继续使用。管理员口令需随机生成，解锁操作应在安全可控的前提下执行。解锁口令的长度为6～16位。
5.2.5扩展区要求
证书载体内可创建用户文件区，要求可以在证书载体内保存用户文件，以实现某些扩展应用。接口应包括：对用户私有文件区的创建、删除和读写操作等功能接口。用户在对扩展区操作时，应输人证书载体的用户PIN码验证。扩展区内的数据是否需要加密，根据应用需求而定。扩展区的文件长度不小于10K。
5.2.6其他
同一个终端可以同时使用多个证书载体，以微软标准CSP接口调用证书载体设备时，系统会自动弹出设备选择框(列出设备的卷标名称)，由用户选择设备。5.3安全机制
5.3.1基本安全要求
证书载体的安全机制要求保障系统运行稳定可靠，数据访间安全可控，数据传输安全保密，可抵御外部攻击。
证书载体必须能产生RSA非对称密钥对，私钥不能被读取，使用前应经过访问权限认证。5.3.2密钥和密码的存放
证书载体应该能保证非对称密钥和对称密钥的安全性。对称密钥在导出时必须加密保护，非对称密钥的私钥不允许导出，非对称密钥的公钥必须在校验用户密码后方可导出。6证书载体软件规范
6.1应用接口
6.1.1CSP接口
CSP主要函数如下：
服务提供者函数，用于连接或断开CSP：a)
CryptAcquireContext
CryptContextAddRe
CryptEnumProviders
CryptEnumProviderTypes
CryptGetProviderParam
CryptGetDefaultProvider
LD/T30.5—2009
CryptGetProvParam
CryptInstallDefaultContext
CryptReleaseContext
CryptSetProvider
CryptSetProviderEx
CryptSetProvParam
CryptUninstallDefaultContextb)
密钥产生和交换函数，用于密钥的产生和交换，包括产生、配置和销毁：CPDeriveKey
CPDestoryKey
CPDuplicateKey
CPExportKey
CPGenKey
CPGenRandom
CPGetKeyParam
CPGetUserKey
CPImportKey
CPSetKeyParam
对象编码和解码函数，用于对证书、CRL等进行编码和解码工作：CryptDecodeObjcct
CryptDecodeObjectEx
CryptEncodeObject
CryptEncodeObjectEx
数据加密、解密函数，用于数据的加密、解密操作：CryptDecrypt
CryptEncrypt
CryptProtectData
CryptProtectMemory
CryptUnprotectData
CryptUnprotectMemory
哈希和数字签名函数，用于计算数据的哈希值、创建和验证数字签名：CryptCreateHash
CryptDestroyHash
CryptDuplicateHash
CryptGetHashParam
CryptHashData
CryptHashSessionKey
CryptSetHashParam
CryptSignHash
CryptUIWizDigitalSign
CryptUIWizFreeDigitalSignContextCryptVerifySignature
扩展接口
设备管理
LD/T 30.5-2009
设备管理主要完成设备的插拔响应、枚举、连接、断开、设置设备信息、获取设备信息、锁定设备、释放设备操作。使用者不必知道设备类型和具体的驱动模式，只需要通过本规范提供的接口，即可完成设备管理功能。
设备管理函数如表2所示。
表2设备管理函数
数名称
HRSS_KEY_WaitForDevEvent
HRSS_KEY_EnumDev
HRSS_KEY_ConnectDev
HRSS_KEY_DisconnectDev
HRSS_KEY_InitDevInfo
HRSS_KEY_GetDevState
HRSS_KEY_GetDevnfo
访问控制
等待设备插拔事件
枚举设备
连接设备
断开设备
设置设备信息
判断设备状态
获取设备信息
访间控制分为设备级访问控制和应用级访问控制。插拔响应
枚举支持的设备
共享打开返回设备句楞
断开设备连接
设置设备信息
判断设备的当前状态
获取设备信息
设备级访问控制：包括内部认证和外部认证，用来进行设备之间的相互认证。应用级访问控制：分为管理员和用户权限二级权限控制。管理员负责为用户提供PIN的初始化和解锁等服务。用户拥有设备使用权，使用设备提供的功能，存储白已的私有数据。对于每一个设备而言，可以同时存在一个或多个应用，每个应用之间的访间控制相互独立。访问管理函数如表3所示。
函数名称
HRSS_KEY_ChangePIN
HRSS_KEY_VerifyPIN
HRSS_KEY_UnblockPIN
HRSS_KEY_ClearSecureState
应用管理
访问控制函数
修改PIN
校验PIN
解锁PIN
清除安全状态
一个设备可以建立一个或多个应用，每个应用之间的权限管理和密码服务彼此独立。在每一个应用中都有相对应的文件体系和加密服务体系。应用管理主要完成应用的创建、枚举、删除、打开、关闭操作。
LD/T30.5—2009
应用管理函数如表4所示。
函数名称
HRSS_CreateApplication
HRSS_EnumApplication
HRSS_DeleteApplication
HRSS_OpenApplication
HRSS_CloseApplication
文件管理
应用管理函数
创建应用
枚举应用
删除应用
打开应用
关闭应用
文件管理函数用于满足用户扩展开发的需要，包括对文件的创建、删除、枚举、获取设备信息、读写操作。
文件管理函数如表5所示。
函数名称
HRSS_KEY_CreateFileWww.bzxZ.net
HRSS_KEY_DeleteFile
HRSS_KEY_EnumFiles
HRSS_KEY_ReadFile
HRSS_KEY_WriteFile
密码服务
文件管理函数
创建文件函数
除文件函数
枚举文件函数
读文件函数
写文件函数
密码服务函数用于密码运算服务、包括密钥容器的创建、销毁；密钥的生成、导人、导出、加密解密、签名验证等，会话密钥支持国产算法如SSF33、SM1，非对称密钥目前支持1024和2048位RSA。密码服务函数如表6所示。
函数名称
HRSS_KEY_CreateContainer
HRSS_KEY_DestroyContainer
HRSS_KEY_EnumContainer
HRSS_KEY_GetContianerHandle
HRSS_KEY_GenRandom
HRSS_KEY_GenSessionKey
HRSS_KEY_GenRSAKeyPair
密码服务函数
创建容器函数
销毁容器函数
枚举容器函数
获取容器句柄函数
生成随机数函数
生成会话密钥函数
生成RSA公私钥对函数
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。