搜索
ICS35.040CCSL80LD中华人民共和国劳动和劳动安全行业标准LD/T01.3—2022人力资源社会保障电子印章体系第3部分签章技术规范HumanResourcesandSocialSecurityElectronicSealSystemPart3:TechnicalSpecificationoftheSealSignature2022-03-23发布2022-06-01实施中华人民共和国人力资源和社会保障部发布学兔兔—2022I目次前言.................................................................................II引言................................................................................III1范围...............................................................................12规范性引用文件.....................................................................13术语和定义.........................................................................14缩略语.............................................................................15概述...............................................................................16电子签章数据格式...................................................................27电子印章签章流程...................................................................38电子印章验章流程...................................................................5参考文献..............................................................................9学兔兔—2022II前言本文件按照GB/T1.1—2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草。LD/T01—2022《人力资源社会保障电子印章体系》分为4个部分;——第1部分:总体技术架构——第2部分:印章技术规范——第3部分:签章技术规范——第4部分:系统接口规范本文件是LD/T01—2022《人力资源社会保障电子印章体系》第3部分。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本文件由中华人民共和国人力资源和社会保障部信息中心提出并归口。本文件起草单位:人力资源和社会保障部信息中心、山东省人力资源和社会保障厅网信办、江苏省人力资源和社会保障信息中心、北京信安世纪科技股份有限公司、同智伟业软件股份有限公司、江西金格科技股份有限公司、南京壹证通信息科技有限公司。本文件主要起草人:马丹蕾、张嵩、耿建军、唐淑静、韩晓颖、王岩、叶鹏、高永昌、李德强、周海涛、秦玮、王珂、赵旺、张循。学兔兔—2022III引言LD/T01—2022《人力资源社会保障电子印章体系》分为4个部分。第3部分作为签章技术规范,规定了人力资源社会保障电子印章体系电子签章数据格式、电子印章签章流程、电子印章验章流程等内容。其余部分为具体总体技术架构、印章规范、接口规范。一方面规范行业电子印章应用,并依据国务院电子政务办公室颁布的ZWFWC0118—2019、ZWFWC0119—2018、ZWFWC0120—2018、ZWFWC0121—2018和ZWFWC0122—2018标准,将行业电子印章系统接入国家政务服务平台统一电子印章平台,另一方面可为补充新标准内容预留空间,有利于对各个部分的灵活制定或修订。学兔兔—20221人力资源社会保障电子印章体系第3部分签章技术规范1范围本文件规定了人力资源社会保障电子签章的数据格式、生成流程和验证流程。本文件适用于人力资源社会保障电子印章系统的建设、使用和各地区人力资源社会保障电子印章系统的接入。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T20520—2006信息安全技术公钥基础设施时间戳规范GB/T32905—2016信息安全技术SM3密码杂凑算法GB/T33476.3—2016党政机关电子公文格式规范第3部分:实施指南GB/T33560—2017信息安全技术密码应用标识规范GB/T35276—2017信息安全技术SM2密码算法使用规范GM/Z0001—2013密码术语3术语和定义GM/Z0001—2013界定的以及下列术语和定义适用于本文件。电子印章签章stampwithelectronicseal使用电子印章签署电子文件的过程,也称为电子签章或电子印章盖章。电子印章验章verifystampofelectronicseal对电子印章签章结果进行验证的过程,也称为电子签章验证。电子签章数据electronicsealsignaturedata电子签章过程产生的包含电子印章信息和签名信息的数据。4缩略语下列缩略语适用于本文件。ASN.1:抽象语法记法(AbstractSyntaxNotationOne)DER:非典型编码规则(DistinguishedEncodingRules)OID:对象标识符(ObjectIdentifier)PKI:公钥基础设施(PublicKeyInfrastructure)5概述人力资源社会保障电子印章系统的电子签章是采用PKI公钥密码技术,将数字图像处理技术与电子签名技术进行结合,以印章外观模拟方式对电子文档进行数字签名,以确保文档来源的真实性以及文档的完整性,防止对文档未经授权的篡改,并确保签章行为的不可否认性。学兔兔—20222在使用电子印章对各种文档进行电子签章过程中,电子印章所有者通过电子印章对文档数据进行签章处理,可视化效果与传统纸质盖章方式相同,同时用数字签名保障了文档数据的真实性、完整性以及电子印章所有者行为的不可否认性。人力资源社会保障电子印章系统中数字签名算法为SM2,杂凑算法为SM3。6电子签章数据格式电子签章数据由待电子签章数据、电子印章所有者数字证书、签名算法标识、签名值和时间戳(可选)组成,其数据结构见图1。电子签章的数据结构待电子签章数据电子印章所有者数字证书签名算法标识时间戳签名值图1电子签章数据结构SES_Signature::=SEQUENCE{toSignTBS_Sign,--待电子签章数据certOCTETSTRING,--电子印章所有者数字证书signatureAlgIDOBJECTIDENTIFIER,--签名算法标识signatureBITSTRING,--电子签章中签名值timeStamp[0]BITSTRINGOPTIONAL--对签名值的时间戳}其中:toSign:需要进行签章的电子印章及其他原文相关数据;cert:执行本次签章操作的电子印章所有者数字证书,宜使用DER编码格式;signatureAlgID:签名算法OID,遵循GB/T33560—2017;SM2算法对应的OID为1.2.156.10197.1.501;signature:电子印章所有者对“待签章数据(toSign)”进行数字签名其中签名算法使用SM2,遵循GB/T35276—2017;原文杂凑值所采用的杂凑算法为SM3算法,遵循GB/T32905—2016;timeStamp:(可选)对“签名值(signature)”计算的时间戳,遵循GB/T20520—2006,使用DER编码格式。待电子签章数据由版本号、电子印章、签章时间、原文杂凑值、原文属性和自定义数据组成,其数据结构见图2。待电子签章的数据结构版本号电子印章签章时间自定义数据原文杂凑值原文属性图2待电子签章数据结构待电子签章数据的ASN.1定义为:TBS_Sign::=SEQUENCE{versionINTEGER,--电子签章的版本esealSESeal,--电子印章timeInfoGeneralizedTime,--签章时间学兔兔—20223dataHashBITSTRING,--原文杂凑值propertyInfoIA5String,--原文数据的属性extDatas[0]ExtensionDatasOPTIONAL--自定义数据}其中:version:电子印章数据版本号,由2位序号组成,第1位标识主版本号,第2位标识次版本号,如“41”标识版本4.1,本规范中版本号统一表示为41;eseal:生成电子签章使用的电子印章;timeInfo:电子签章对应的时间,类型为GeneralizedTime;dataHash:待签章原文的杂凑值;propertyInfo:原文数据的属性,如文档ID、日期、段落、原文内容的字节数、指示信息、签名保护范围等,此部分受签名保护,propertyInfo的具体结构可自行定义,但至少应包含签名保护范围;extDatas:厂商自定义数据。7电子印章签章流程电子印章签章流程见图3。学兔兔—20224图3电子印章签章流程电子印章签章流程如下:a)准备电子印章,验证电子印章的正确性和有效性。1)选择拟进行电子签章的电子印章,按照《印章技术规范》中电子印章验证流程验证印章的正确性和有效性;按照propertyInfo中的签名保护范围准备待签章原文电子印章是否正确?电子印章所有者证书是否有效?(可选)比对证书列表或者杂凑是否正确?将待签章原文数据进行杂凑运算形成原文杂凑值按照电子签章数据格式组装待签章数据电子印章所有者对待签章数据进行数字签名,生成电子签章签名值如果电子签章需要加盖时间戳则将电子签章签名值用来产生相应的时间戳按照电子签章数据格式把以上数据打包形成电子签章数据退出是是是否学兔兔—202252)选择拟进行电子签章的电子印章所有者证书,可验证电子印章所有者证书有效性。验证项至少包括:证书信任链、证书有效期、密钥用法是否正确;3)根据电子印章中的电子印章所有者证书列表类型,如果是证书列表,则比对证书;如果是证书杂凑值列表,则比对证书杂凑值。提取电子印章中的电子印章所有者证书列表,使用步骤b)中的电子印章所有者证书逐一进行证书数据二进制比对,确认电子印章所有者证书是否在电子印章所有者证书列表中。——如果比对失败或证书不在列表当中,返回失败原因并退出生成流程;——如果是因为电子印章所有者证书执行更新、重签发等操作而导致证书比对失败,则需要重新制作印章,再重新进行签章生成流程。b)对原文进行电子签章。1)按propertyInfo中的签名保护范围准备待签章原文;2)对待签章原文进行杂凑运算,形成原文杂凑值