电子政务数字证书技术应用规范.doc

db42/t 3642007湖北省质量技术监督局 发布2008-02-01实施2008-01-04发布湖北省电子政务数字证书技术应用规范hubei province electronic government digital certificate technical application specificationdb42/t 4522008db42湖北省地方标准ics 35.240.60l 67isaisaiiidb42/t 4522008目 次前 言iii引 言iv1 范围12 规范性引用文件13 术语、定义和缩略语13.1 术语和定义13.2 缩略语34 数字证书格式34.1 政务数字证书通用格式34.2 认证机构证书格式64.3 政务个人证书格式74.4 政务机构证书格式84.5 政务设备证书格式84.6 政务服务器证书格式94.7 政务应用系统证书格式104.8 政务代码签名证书格式115 政务数字证书应用接口115.1 政务数字证书应用体系结构115.2 政务数字证书应用接口组成和功能说明125.3 政务数字证书应用程序接口函数定义136 政务数字证书业务规则206.1 政务数字证书签发206.2 政务数字证书使用216.3 政务数字证书维护216.4 政务数字证书载体226.5 政务数字证书实体查询22附录a （规范性附录） 基本域说明23a.1 版本（ version ）23a.2 序列号（ serialnumber ）23a.3 签名算法 （ signaturealgorithm ）23a.4 颁发者 （ issuer ）23a.5 有效期 （ validity ）23a.6 主体（ subject ）23a.7 主体公钥信息（ subjectpublickeyinfo）23a.8 颁发者唯一标识符（issueruniqueid）23a.9 主体唯一标识符（subjectuniqueid）23附录b （规范性附录） 扩展域说明24b.1 政务数字证书通用格式扩展域说明24b.1.1 机构密钥标识符24b.1.2 主体密钥标识符24b.2 认证机构证书格式扩展域说明26b.3 政务个人证书格式扩展域说明27b.4 政务机构证书格式扩展域说明28b.5 政务设备证书格式扩展域说明29b.6 政务服务器证书格式扩展域说明30b.7 政务应用系统证书格式扩展域说明31b.8 政务代码签名证书格式扩展域说明31附录c （规范性附录） 政务数字证书模板33附录d （资料性附录） 主体命名示例34d.1 政务个人证书34d.2 政务机构证书34d.3 政务设备证书34d.4 政务服务器证书35d.5 政务应用系统证书35d.6 政务代码签名证书35附录e （资料性附录） 主体可选替换名称命名示例36e.1 政务个人证书36e.2 政务机构证书36e.3 政务设备证书36e.4 政务服务器证书37e.5 政务应用系统证书37e.6 政务代码签名证书37附录f （资料性附录） 政务数字证书编码示例37附录g （规范性附录） 数字证书应用接口常量定义和说明41g.1 证书类型41g.2 证书信息42附录h （资料性附录） 数字证书典型应用示例43h.1 典型业务流程43h.2 登录程序基本流程43附录i （资料性附录） 政务数字证书注册机构和受理点建设样例44i.1 注册机构和受理点功能44i.2 注册机构和受理点在pki体系中的位置45i.3 证书注册机构逻辑结构45i.4 受理点逻辑结构45前 言本标准的附录a、附录b、附录c和附录g为规范性附录，附录d、附录e、附录f、附录h和附录i为资料性附录。本标准由湖北省电子政务工作领导小组办公室提出。本标准由湖北省标准化协会电子政务专业委员会归口。本标准主要起草单位：湖北省数字证书认证管理中心有限公司、武汉大学计算机学院、湖北省标准化研究院。本标准主要起草人：田造民、涂航、熊星、潘登、葛愿维、冯翔、吴焱。 引 言随着我省电子政务平台的运行和省电子政务应用的深入开展，为了加强全省政务网的总体安全，保证全省数字证书策略的一致性，省电子政务办出台了规范全省数字证书的通知。本着这一精神，为指导我省电子政务数字证书应用，规范数字证书应用行为，确保数字证书在电子政务活动中能够通用，实现网络互联互通和信息共享并一证多用，满足湖北省信息化和电子政务发展的迫切需求，故制定本标准。数字证书是pki技术的关键要素之一，以pki为核心的网络身份认证体系和信息加密技术已成为业界广泛认同的一种构造网络身份信任体系的重要方式，并成为信息安全保障体系中极其重要的组成部分之一。 数字证书是传送和处理实体身份鉴别信息的重要载体，通过数字证书和身份认证确认电子政务参与方的各自身份，建立彼此间的信任关系以及保证信息的保密性、完整性和可用性。 本标准总体上同国家相关标准保持一致，并结合湖北省实际制定。 本标准规定了政务数字证书的通用格式，规定了提供服务的认证机构证书、政务个人证书、政务机构证书、政务设备证书、政务服务器证书、政务应用系统证书和政务代码签名证书的格式和模板，对数字证书的应用接口进行描述，是湖北省电子政务数字证书应用的依据。本标准不对属性证书作出详细的格式与应用的规定，但可作为属性证书应用的参考。iiidb42/t 4522008湖北省电子政务数字证书技术应用规范1 范围本标准规定了湖北省电子政务数字证书格式、应用接口和业务规则。本标准适用于电子认证服务机构、数字证书认证系统及相关产品的供应商、应用开发商的设计和开发。本标准适用于应用部门在湖北省电子政务的办公、社会管理和公共服务等政务活动，也可适用于电子商务应用。本标准规定的电子政务数字证书格式适用于认证机构证书、政务个人证书、政务机构证书、政务设备证书、政务服务器证书、政务应用系统证书、政务代码签名证书。本标准规定的电子政务数字证书格式适用于加密证书和签名证书。本标准不涉及任何具体的密码运算，所有密码运算均在符合国家有关法律法规的密码设备中进行。本标准凡涉及密码相关内容，按国家有关法律法规实施。2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。 gb/t 16284.4-1996 信息技术 文本通信 面向信报的文本交换系统 第4部分：抽象服务定义和规程gb/t 17969.1-2000 信息技术 开放系统互连osi登记机构的操作规程 第1部分：一般规程db 42/t 3622006 电子政务术语iso/iec 9594-2:2001 information technology -open systems interconnection - the directory: models 信息技术.开放系统互连.目录:模型ietf rfc 791 internet protocol internet协议ietf rfc 822 standard for the format of arpa internet text messages arpa 英特网文本消息格式标准ietf rfc 1034 domain names - concepts and facilities 域名-概念和设施ietf rfc 1630 universal resource identifiers in www: a unifying syntax for the expression of names and addresses of objects on the network as used in the world-wide web www中的全球资源 标识符：类似www的网络目标的名字和地址表达的统一句法rfc1738 统一资源定位器ietf rfc 1738 uniform resource locators (url) 统一资源定位器(url)ietf rfc 3280 internet x.509 public key infrastructure certificate and certificate revocation list (crl) profile 因特网x.509公开密钥基础设施证书与证书撤销列表轮廓pkcs#7: cryptographic message syntax standard pkcs#7:密码消息语法标准pkcs#11: cryptographic token interface standard pkcs#11:密码令牌接口标准3 术语、定义和缩略语3.1 术语和定义db 42/t 3622006确立的以及下列术语和定义适用于本标准。 3.1.1公钥基础设施（pki） public key infrastructure支持公钥管理体制的基础设施，提供鉴别、加密、完整性和不可否认性服务。3.1.2证书认证机构（ca）certificate authority负责创建和分配证书，受用户信任的权威机构。用户可以选择该机构为其创建密钥。3.1.3证书注册机构（ra）registration authority ra是ca的组成部分，对证书申请的业务受理审核子系统概称为ra，ra按照ca制定的政策和管理规范对用户的资信进行审查，以决定是否为该用户发放证书。3.1.4密钥管理中心（kmc） key management centre密钥管理中心。主要负责数字证书用户密钥的生成和管理，解决系统密钥和数字证书用户密钥自产生到最终销毁的整个生命周期中的相关问题。3.1.5在线证书状态协议（ocsp） online certificate status protocol在线证书状态协议，是ietf颁布的用于检查数字证书在某一时间是否有效的标准。3.1.6依赖方 relying party即指依赖于证书真实性的实体。在电子签名应用中，即为电子签名依赖方。3.1.7公钥证书 public key certificate用户的公钥连同其他信息，并由发布该证书的证书认证机构的私钥进行加密使其不可伪造。3.1.8证书吊销列表(crl) certificate revocation list一种由证书签发者所认定的无效证书的清单。3.1.9终端实体 end entity不以签署证书为目的而使用其私钥的证书主体或者证书使用者。3.1.10政务数字证书 government affair digital certificate用来标识电子政务参与方真实身份的数字证书，根据参与方的不同类别分为认证机构证书、政务个人证书、政务机构证书、政务设备证书、政务服务器证书、政务应用系统证书、政务代码签名证书。3.1.11政务个人证书 government affair person certificate颁发给参与电子政务的个人实体，用来唯一标识个人实体真实身份的数字证书。3.1.12政务机构证书 government affair unit certificate颁发给参与电子政务的机构实体，用来唯一标识机构实体真实身份的数字证书。3.1.13政务设备证书 government affair device certificate颁发给参与电子政务的设备实体，用来唯一标识设备实体真实身份的数字证书。3.1.14政务服务器证书 government affair server certificate颁发给参与电子政务的服务器实体，用来唯一标识服务器实体真实身份的数字证书。3.1.15政务应用系统证书 government aaffair application certificate颁发给参与电子政务的应用系统实体，用来唯一标识应用系统实体真实身份的数字证书。3.1.16政务代码签名证书 government affair code signing certificate颁发给参与电子政务的各类实体，用来对其所开发的代码进行代码签名的数字证书。3.2 缩略语 下列缩略语适用于本标准： asn abstract syntax notation抽象语法表示法base64设计用来把任意序列的8位字节描述为一种不易被人直接识别的形式ber basic encoding rules 基本编码规则c country 国家cacertificate authority 证书认证机构 cn common name 通用名crl certificate revocation list 证书吊销列表csp cryptographic service provider 加密服务提供者der distinguished encoding rules 可区分编码规则dn distinguished name 甄别名 kmc key management centre 密钥管理中心l location 市州ldap lightweight directory access protocol 轻量级目录访问协议o organization 机构ocsp online certificate status protocol 在线证书状态协议oid object identifier 对象标识符ou organization unit 机构单位pkcs the public-key cryptography standard 公钥密码使用标准pki public key infrastructure 公钥基础设施ra registration authority 证书注册机构s state 省份4 数字证书格式4.1 政务数字证书通用格式4.1.1 基本结构 政务数字证书的基本结构由三部分组成：基本证书域tbscertificate、签名算法域signaturealgorithm、签名值域signaturevalue。政务数字证书的基本结构，见图1。图1 政务数字证书的基本结构4.1.2 基本证书域 基本证书域由基本域和扩展域组成。基本证书域结构，见图2。图2 基本证书域结构4.1.3 基本域基本域由如下部分组成： 版本version 序列号serialnumber 签名算法signaturealgorithm 颁发者issuer 有效期validity 主体subject 主体公钥信息subjectpublickeyinfo 颁发者唯一标识符issueruniqueid 主体唯一标识符subjectuniqueid基本域应符合附录a的规定。4.1.4 扩展域 政务数字证书可使用扩展域。 政务数字证书扩展域可包含多项扩展项。每项扩展项由扩展类型、扩展关键度和扩展项值组成。政务数字证书可使用ietf rfc 3280中定义的如下证书扩展项： 机构密钥标识符authoritykeyidentifier 主体密钥标识符subjectkeyidentifier 密钥用法keyusage 扩展密钥用途extendedkeyusage 私有密钥使用期privatekeyusageperiod 证书策略certificatepolicies 策略映射policymappings 主体替换名称subjectalternativename 颁发者替换名称issueralternativename 主体目录属性subjectdirectoryattributes 基本限制basicconstraints 名称限制nameconstraints 策略限制policyconstraints 证书撤销列表分发点crldistributionpoints 限制任意策略inhibitanypolicy 最新证书撤销列表freshestcrl 机构信息访问authorityinformationaccess 主体信息访问subjectinformationaccess除上述证书扩展项，本标准还支持如下私有扩展项： 个人身份证号码identifycardnumber 个人社会保险号insurancenumber 组织机构代码organizationcode 工商注册号icregistrationnumber 税号taxationnumber 主体银行基本账号 subjectbasicaccount政务数字证书扩展域应符合附录b.1的规定。4.1.5 签名算法域 包含ca颁发该证书所使用的密码算法的标识符，应与基本证书域中的签名算法项所标识的签名算法相同。可选参数的内容完全依赖所标识的具体算法。 4.1.6 签名值域 包含对基本证书域进行数字签名的结果。经过asn.1 der编码的基本证书域作为数字签名算法的输入，签名的结果按照asn.1编码成bit string类型并保存在签名值域。 4.1.7 命名规范 主体 政务数字证书中的主体dn应是c=cn命名空间下的x.500目录唯一名字。c（country）属性的编码使用printablestring，其它属性的编码使用utf8string。主体的x.500 dn如下：c=cn s=l=o= ou= cn= a) c（country）应为cn，表示中国。b) s（state）应为证书主体所在省份。c) l（location）应为证书主体所在市州。d) o（organization）应为证书主体所属单位的上一级单位的名称全称；e) ou（organizationunit）应为证书主体或者证书主体所属单位的名称全称；f) cn（commonname）中的内容分为6种：1） 政务个人证书中应为证书主体的姓名；2） 政务机构证书中应为证书主体单位的名称；3） 政务设备证书中应为证书主体设备的设备编码；4） 政务服务器证书中应为证书主体服务器的域名或ip，宜为域名；5） 政务应用系统证书中应为证书主体应用系统的应用系统编码；6） 政务代码签名证书中应为负责人的姓名，或者是所属单位的名称。 主体命名示例参见附录d。 主体替换名称 政务数字证书的主体替换名称扩展项包含一个或多个替换名供实体使用，ca把该实体与认证的公开密钥绑定在一起。主体替换名称扩展允许把附加身份加到证书的主体上。所定义的选项包括因特网电子邮件地址、dns名称、ip地址和统一资源标识符（uri），及纯本地定义的选项。此项定义如下：a) othername是按照other-name信息客体类别实例定义的任一种形式的名称；b) rfc822name是按照internet rfc822定义的internet 电子邮件地址，政务个人证书、政务机构证书、政务设备证书、政务服务器证书、政务应用系统证书、政务代码签名证书宜包含电子邮件地址email；c) dnsname是按照rfc1034定义的internet 域名，政务设备证书、政务服务器证书、政务应用系统证书可包含域名地址；d) x400address是按照gb/t 16284.4-1996定义的o/r地址；e) directoryname是按照iso/iec 9594-2:2001定义的目录名称；f) edipartyname是通信的电子数据交换双方之间商定的形式名称，nameassigner成分标识了分配partyname中唯一名称值的机构；g) uniformresourceidentifier是按internet rfc1630定义的用于www的uniformresourceidentifer，rfc1738中定义的url语法和编码规则；h) ipaddress是按照internet rfc791定义的用二进制串表示的internet protocol地址；i) registeredid是按照gb/t 17969.1-2000对注册的客体分配的标识符。directoryname的x.500 dn应是c=cn命名空间下的x.500目录唯一名字。主体替换名称命名示例参见附录e。4.1.8 政务数字证书编码示例 政务数字证书编码参见附录f。4.2 认证机构证书格式4.2.1 概述认证机构证书为颁发给参与电子政务的证书认证机构的数字证书。认证机构证书简称电子政务ca证书。认证机构证书由基本证书域、签名算法域和签名值域组成。 4.2.2 认证机构证书基本证书域基本证书域由基本域和扩展域组成。4.2.3 认证机构证书基本域认证机构证书基本域应符合附录a的规定。4.2.4 认证机构证书扩展域ca证书可包含如下扩展项： 机构密钥标识符authoritykeyidentifier 主体密钥标识符subjectkeyidentifier 密钥用法keyusage 扩展密钥用途extendedkeyusage 私有密钥使用期privatekeyusageperiod 证书策略certificatepolicies 策略映射policymappings 主体替换名称subjectalternativename 颁发者替换名称issueralternativename 主体目录属性subjectdirectoryattributes 基本限制basicconstraints 名称限制nameconstraints 策略限制policyconstraints 证书撤销列表分发点crldistributionpoints 限制任意策略inhibitanypolicy 最新证书撤销列表freshestcrl 机构信息访问authorityinformationaccess 主体信息访问subjectinformationaccess认证机构数字证书扩展域应符合附录b.2的规定。4.2.5 认证机构证书签名算法域认证机构证书签名算法域应符合4.1.3的规定。4.2.6 认证机构证书签名值域认证机构证书签名值域应符合4.1.4的规定。4.2.7 认证机构证书模板认证机构证书模板应符合附录c的规定。4.3 政务个人证书格式4.3.1 概述 政务个人证书为颁发给参与电子政务的个人实体，用来唯一标识个人实体真实身份的数字证书。政务个人证书由基本证书域、签名算法域和签名值域组成。 4.3.2 政务个人证书基本证书域 基本证书域由基本域和扩展域组成。4.3.3 政务个人证书基本域政务个人证书基本域应符合附录a的规定。4.3.4 政务个人证书扩展域 政务个人证书扩展域可包含如下扩展项： 机构密钥标识符authoritykeyidentifier 主体密钥标识符subjectkeyidentifier 密钥用法keyusage 扩展密钥用途extendedkeyusage 私有密钥使用期privatekeyusageperiod 证书策略certificatepolicies 主体替换名称subjectalternativename 颁发者替换名称issueralternativename 主体目录属性subjectdirectoryattributes 基本限制basicconstraints 证书撤销列表分发点crldistributionpoints 最新证书撤销列表freshestcrl 机构信息访问authorityinformationaccess 主体信息访问subjectinformationaccess 个人身份证号码identifycardnumber 个人社会保险号insurancenumber 主体银行基本账号 subjectbasicaccount政务个人证书扩展域应符合附录b.3的规定。4.3.5 政务个人证书签名算法域 政务个人证书签名算法域应符合4.1.3的规定。4.3.6 政务个人证书签名值域 政务个人证书签名值域应符合4.1.4的规定。4.3.7 政务个人证书模板政务个人证书模板应符合附录c的规定。4.4 政务机构证书格式4.4.1 概述 政务机构证书为颁发给参与电子政务的机构实体，用来唯一标识机构实体真实身份的数字证书。政务机构证书由基本证书域、签名算法域和签名值域组成。4.4.2 政务机构基本证书域 基本证书域由基本域和扩展域组成。4.4.3 政务机构证书基本域 政务机构证书基本域应符合附录a的规定。 4.4.4 政务机构证书扩展域 政务机构证书扩展域可包含如下扩展项： 机构密钥标识符authoritykeyidentifier 主体密钥标识符subjectkeyidentifier 密钥用法keyusage 扩展密钥用途extendedkeyusage 私有密钥使用期privatekeyusageperiod 证书策略certificatepolicies 主体替换名称subjectalternativename 颁发者替换名称issueralternativename 主体目录属性subjectdirectoryattributes 基本限制basicconstraints 证书撤销列表分发点crldistributionpoints 最新证书撤销列表freshestcrl 机构信息访问authorityinformationaccess 主体信息访问subjectinformationaccess 工商注册号icregistrationnumber 组织机构代码organizationcode 税号taxationnumber 主体银行基本账号 subjectbasicaccount政务机构证书扩展域应符合附录b.4的规定。4.4.5 政务机构证书签名算法域政务机构证书签名算法域应符合4.1.3的规定。4.4.6 政务机构证书签名值域政务机构证书签名值域应符合4.1.4的规定。4.4.7 政务机构证书模板政务机构证书模板应符合附录c的规定。4.5 政务设备证书格式4.5.1 概述 政务设备证书为颁发给参与电子政务的设备实体，用来唯一标识设备实体真实身份的数字证书。政务设备证书由基本证书域、签名算法域和签名值域组成。 4.5.2 政务设备基本证书域 基本证书域由基本域和扩展域组成。4.5.3 政务设备证书基本域 政务设备证书基本域应符合附录a的规定。 4.5.4 政务设备证书扩展域 政务设备证书扩展域可包含如下扩展项： 机构密钥标识符authoritykeyidentifier 主体密钥标识符subjectkeyidentifier 密钥用法keyusage 扩展密钥用途extendedkeyusage 私有密钥使用期privatekeyusageperiod 证书策略certificatepolicies 主体替换名称subjectalternativename 颁发者替换名称issueralternativename 主体目录属性subjectdirectoryattributes 基本限制basicconstraints 证书撤销列表分发点crldistributionpoints 最新证书撤销列表freshestcrl 机构信息访问authorityinformationaccess 主体信息访问subjectinformationaccess 政务设备证书扩展域应符合附录b.5的规定。4.5.5 政务设备证书签名算法域 政务设备证书签名算法域应符合4.1.3的规定。 4.5.6 政务设备证书签名值域 政务设备证书签名值域应符合4.1.4的规定。4.5.7 政务设备证书模板政务设备证书模板应符合附录c的规定。4.6 政务服务器证书格式4.6.1 概述政务服务器证书为颁发给参与电子政务的各服务器实体，用来唯一标识服务器实体真实身份的数字证书。政务服务器证书由基本证书域、签名算法域和签名值域组成。4.6.2 政务服务器基本证书域基本证书域由基本域和扩展域组成。4.6.3 政务服务器证书基本域政务服务器证书基本域应符合附录a的规定。4.6.4 政务服务器证书扩展域政务服务器证书扩展域可包如下扩展项：机构密钥标识符authoritykeyidentifier 主体密钥标识符subjectkeyidentifier 密钥用法keyusage 扩展密钥用途extendedkeyusage 私有密钥使用期privatekeyusageperiod 证书策略certificatepolicies 主体替换名称subjectalternativename 颁发者替换名称issueralternativename 主体目录属性subjectdirectoryattributes 基本限制basicconstraints 证书撤销列表分发点crldistributionpoints 最新证书撤销列表freshestcrl 机构信息访问authorityinformationaccess 主体信息访问subjectinformationaccess 政务服务器证书扩展域应符合附录b.6的规定。4.6.5 政务服务器证书签名算法域 政务服务器证书签名算法域应符合4.1.3的规定。 4.6.6 政务服务器证书签名值域 政务服务器证书签名值域应符合4.1.4的规定。4.6.7 政务服务器证书模板政务服务器证书模板应符合附录c的规定。4.7 政务应用系统证书格式4.7.1 概述政务应用系统证书为颁发给参与电子政务的各应用系统实体，用来唯一标识应用系统实体真实身份的数字证书。政务应用系统证书由基本证书域、签名算法域和签名值域组成。4.7.2 政务应用系统基本证书域基本证书域由基本域和扩展域组成。4.7.3 政务应用系统基本证书域政务应用系统基本证书域应符合附录a的规定。4.7.4 政务应用系统证书扩展域政务应用系统证书扩展域可包如下扩展项：机构密钥标识符authoritykeyidentifier 主体密钥标识符subjectkeyidentifier 密钥用法keyusage 扩展密钥用途extendedkeyusage 私有密钥使用期privatekeyusageperiod 证书策略certificatepolicies 主体替换名称subjectalternativename 颁发者替换名称issueralternativename 主体目录属性subjectdirectoryattributes 基本限制basicconstraints 证书撤销列表分发点crldistributionpoints 最新证书撤销列表freshestcrl 机构信息访问authorityinformationaccess 主体信息访问subjectinformationaccess 政务应用系统证书扩展域应符合附录b.7的规定。4.7.5 政务应用系统证书签名算法域 政务应用系统证书签名算法域应符合4.1.3的规定。 4.7.6 政务应用系统证书签名值域 政务应用系统证书签名值域应符合4.1.4的规定。4.7.7 政务应用系统证书模板政务应用系统证书模板应符合附录c的规定。4.8 政务代码签名证书格式4.8.1 概述政务代码签名证书为颁发给参与电子政务的各类实体，用来对其所开发的代码进行代码签名的数字证书。政务代码签名证书由基本证书域、签名算法域和签名值域组成。4.8.2 政务代码签名基本证书域基本证书域由基本域和扩展域组成。4.8.3 政务代码签名证书基本域政务代码签名证书基本域应符合附录a的规定。4.8.4 政务代码签名证书扩展域政务代码签名证书扩展域可包含如下扩展项： 机构密钥标识符authoritykeyidentifier 主体密钥标识符subjectkeyidentifier 密钥用法keyusage 扩展密钥用途extendedkeyusage 私有密钥使用期privatekeyusageperiod 证书策略certificatepolicies 主体替换名称subjectalternativename 颁发者替换名称issueralternativename 主体目录属性subjectdirectoryattributes 基本限制basicconstraints 证书撤销列表分发点crldistributionpoints 最新证书撤销列表freshestcrl 机构信息访问authorityinformationaccess 主体信息访问subjectinformationaccess 政务代码签名证书扩展域应符合附录b.8的规定。4.8.5 政务代码签名证书签名算法域政务代码签名证书签名算法域应符合4.1.3的规定。4.8.6 政务代码签名证书签名值域政务代码签名证书签名值域应符合4.1.4的规定。4.8.7 政务代码签名证书模板政务代码签名证书模板应符合附录c的规定。5 政务数字证书应用接口5.1 政务数字证书应用体系结构政务数字证书应用体系结构如图3所示。政务数字证书支持多种应用方式，可利用ca提供的数字证书应用程序接口进行定制开发，实现登录和身份认证等基本应用，也可应用已有标准协议和标准中间件，例如：1) 安全套接层协议（ssl，security socket layer），ssl协议指定了一种在应用程序协议（如http、 telnet、nmtp和ftp等）和 tcp/ip协议之间提供数据安全性分层的机制，它为tcp/ip 连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。2) 安全多媒体internet邮件扩展协议（s/mime）主要用于保障电子邮件的安全传输。例如：微软的outlook express中使用该协议，采用数字标识、数字凭证、数字签名以及非对称密钥系统等技术，构成一种签名加密的邮件收发方式。3) xml 密钥信息服务规范（xkiss），xkms为允许客户机应用程序认证经过加密/签名的数据提供机制。图3 政务数字证书应用体系结构5.2 政务数字证书应用接口组成和功能说明政务数字证书应用接口位于应用系统和政务数字证书之间，应用程序通过调用政务数字证书应用接口实现身份认证、实现信息的保密性、完整性和不可否认性；政务数字证书应用接口通过标准接口，在密码设备中实现具体的密码运算和密钥使用。政务数字证书应用接口支持pkcs#11和csp接口方式，提供的消息函数符合pkcs#7格式。政务数字证书应用接口由以下部分组成： 初始化函数 证书函数 算法服务函数 原文操作函数 文件操作函数除上述程序接口以外，ca应提供字符串编码及异常处理等辅助函数。5.2.1 初始化函数初始化函数负责创建和管理安全程序空间，加载和管理安全程序空间中所需的各种资源，完成与系统、密码设备的连接准备。可通过初始化函数加载配置文件对以下内容进行设置： 应用工作路径 系统字符集 应用程序字符集 日志文件 系统可信任的证书 crl在具体的应用中可通过直接加载配置文件进行应用配置，不必调用初始化函数。5.2.2 证书函数证书函数用于获取和验证政务数字证书及提取证书信息。应用程序可通过该类函数，实现基于政务数字证书的身份认证、授权管理、访问控制等安全机制。应先获取相关证书的crl或证书的状态，然后调用相关函数进行证书验证，在确定证书的有效性后调用该类函数。5.2.3 算法服务函数算法服务函数用于设置签名和加密算法。不调用该函数将采用系统初始化时确定的默认算法。5.2.4 原文操作函数原文操作函数对字符串数据进行操作实现以下功能：数据签名，数据加密，验证签名数据，验证加密数据，获取签名信息，获取加密信息等操作，实现信息的保密性、完整性和不可否认性。对原文进行操作前，应使用证书函数对证书进行设置。5.2.5 文件操作函数文件操作函数对数据文件进行操作实现以下功能：数据签名，数据加密，验证签名数据，验证加密数据，获取签名信息，获取加密信息等操作，实现文件信息的保密性、完整性和不可否认性。对文件进行操作前，应使用证书函数对证书进行设置。5.3 政务数字证书应用程序接口函数定义5.3.1 初始化函数初始化函数init，定义如表1。表1 初始化函数init函数名称init( string str )功能初始化签名系统参数说明str - 配置文件路径返回值无5.3.2 证书函数证书函数包括如下函数： 设置证书函数：setcert 证书选择方式函数：setcertchoosetype 证书信息函数：getcertinfo 证书选择方式函数证书选择方式函数setcertchoosetype，定义如表2。表2 证书选择方式函数setcertchoosetype函数名称setcertchoosetype( int ntype )功能指定证书选择的方式参数说明ntype -证书选择的类型(0 表示只有一张证书时也弹出证书选择框,1 表示只有一张证书时将不弹出证书选择框,默认值为 0)返回值类型为 long 0 表示成功，0 表示失败的错误码 设置证书函数 设置证书函数setcert，定义如表3。表3 设置证书函数setcert函数名称setcert(string strcerttype,string strdn,stringstrsn,stringstremail,stringstrdnissuer,stringstrcertbase64)功能通过指定参数来设置证书参数说明strcerttype证书的类型(见附录g.1)strdn - 证书的主题(distinguished name)strsn - 证书的序列号(serial number)stremail - 证书的主题中的 email 项strdnissuer - 证书的颁发者主题(distinguished name of issuer)strcertbase64 - 证书的 base64 编码返回值成功：0失败：long型错误代码 证书信息函数 证书信息函数getcertinfo，定义如表4。表4 证书信息函数getcertinfo函数名称getcertinfo(string strcerttype,int ninfotype,string stroid)功能获得证书中的相应信息参数说明strcerttype - 证书的类型,见附录g.1ninfotype - 证书信息的类型, 见附录g.2stroid - 证书扩展标识，如果type等于证书扩展，stroid输入项不可为空返回值成功：返回字符型证