2卫生系统数字证书应用集成规范(试行1)

卫生系统数字证书应用集成规范（试行）卫生部办公厅卫生部统计信息中心二○○九年六月卫生系统数字证书应用集成规范目录第1章概述.................................................................................................................................11.1范围.................................................................................................................................11.2规范性引文.....................................................................................................................11.3术语和定义.....................................................................................................................1第2章总体技术框架.................................................................................................................2第3章统一证书应用接口.........................................................................................................33.1证书介质应用接口.........................................................................................................33.2密码设备应用接口.........................................................................................................33.3通用密码接口.................................................................................................................33.4客户端控件接口.............................................................................................................33.4.1概述.................................................................................................................................33.4.2控件接口函数.................................................................................................................43.5服务端组件接口...........................................................................................................213.5.1概述...............................................................................................................................213.5.2COM组件接口.............................................................................................................213.5.3Java组件接口..............................................................................................................41第4章附录.............................................................................................................................634.1典型证书应用部署模式...............................................................................................634.2证书登录认证集成范例...............................................................................................644.2.1证书登录认证流程.......................................................................................................644.2.2数据库改造...................................................................................................................654.3页面签名加密集成范例...............................................................................................654.3.1页面签名加密流程.......................................................................................................654.3.2数据库改造...................................................................................................................661第1章概述1.1范围本规范制定了卫生系统数字证书应用技术框架，规范了卫生体系统一证书应用接口规范和证书应用集成部署实施规范。本规范适用于指导卫生系统内实现证书应用集成实施工作，指导为卫生系统提供证书应用的安全厂家开发统一的证书应用接口，在卫生系统内实现基于数字证书的证书登录、电子签名与验证、加密解密等安全功能。1.2规范性引文下列标准所包含的条文，通过本规范中的引用而构成本规范的条文。考虑到标准的修订，使用本规范时，应研究使用下列标准最新版本的可能性。公钥密码基础设施应用技术体系框架规范公钥密码基础设施应用技术体系密码设备应用接口规范公钥密码基础设施应用技术体系通用密码服务接口规范智能IC卡及智能密码钥匙密码应用接口规范1.3术语和定义以下术语和定义适用于本规范。1.3.1数字证书digitalcertificate由权威认证机构进行数字签名的包含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及一些扩展信息的数字文件。1.3.2数字证书介质certificateentity用于存储密钥和数字证书并具有密码运算功能的载体，包括智能密码钥匙(UsbKey)、智能IC卡等密码设备。2第2章总体技术框架数字证书应用集成的总体技术框架如图1所示：图1数字证书应用集成总体技术框架图根据总体结构图，实现数字证书应用集成的总体技术框架包括：密码设备和统一证书应用接口组成。密码设备包括：加密机、加密卡、USBKey、智能IC等，是数字证书应用支撑体系的硬件基础。一般情况下，加密机用于服务器端，USBKey用于客户端。统一证书应用接口包括：证书介质应用接口、密码设备应用接口、通用密码服务接口、客户端控件接口和服务器端组件接口等模块组成。统一证书应用接口位于应用系统和密码设备之间，它是数字证书应用支撑体系的软件基础。统一证书应用接口为上层的证书应用系统提供简洁、易用的调用接口，实现身份认证、实现信息的保密性、完整性和不可否认性等功能。统一证书应用接口屏蔽了各类密码设备（加密机和USBKEY等）的设备差异性，屏蔽了各类密码设备的密码应用接口之间的差异性，实现应用与密码设备无关性，可简化应用开发的复杂性。3第3章统一证书应用接口3.1证书介质应用接口证书介质应用接口是客户端证书介质（如：USBKey）的底层应用接口，该接口应在符合CSP技术规范的同时，符合《智能IC卡及智能密码钥匙密码应用接口规范》。证书介质应用接口适用于USBKey等终端密码设备上，应支持WindowsXP、Windows2000、Windows2003、Vista、Linux等操作终端类的主流操作系统。3.2密码设备应用接口密码设备应用接口是服务器端密码设备（如加密机）的底层应用接口，该接口应在符合国际标准PKCS#11技术规范的基础上，符合《公钥密码基础设施应用技术体系密码设备应用接口规范》。密码设备应用接口适用于加密机等服务器的密码设备上，应支持Windows、Linux、Unix、AIX、Solaris等服务器类的主流操作系统。3.3通用密码接口通用密码接口是屏蔽了底层不同密码设备类型和底层接口的通用中间件，该接口要符合《公钥密码基础设施应用技术体系通用密码服务接口规》。通用密码接口适用于客户端和服务器端使用，应支持Windows、Linux、Unix、AIX、Solaris等所有主流操作系统。3.4客户端控件接口3.4.1概述客户端控件接口是供卫生体系业务系统直接调用的高级接口，适用于客户端程序使用，应支持WindowsXP、Windows2000、Windows2003、Vista、Linux等操作终端类的主流操作系统。客户端控件接口可以是DLL动态库、ActiveX控件、Applet插件等形态，以支持B/S和C/S等架构的应用系统。4客户端控件接口的功能与服务器端组件接口向对应，应支持不同CA机构签发的符合《卫生系统数字证书格式规范》的数字证书，客户端应可自动识别符合《卫生系统介质规范》的证书介质，在卫生系统服务器端配置的信任列表范围内，实现不同CA机构证书之间的交叉认证和互信互认。客户端控件接口的主要功能函数应包括：配置管理、数字证书解析、签名与验证、数据加密与解密、PKCS#7数据信封、XML数据的签名与验证、文件签名与加密等。3.4.2控件接口函数客户端提供ActiveX控件形态的文件，说明如下：1)事件说明控件包括以下事件：事件意义WorkDoneSignUpdate或EncUpdate处理过程完成ALLWorkDone全部工作完成。只供页面JS使用，对外通知页面。UsbkeyChangeUsbkey插入或拔出2)设置证书应用策略SetCertAppPolicy功能：设置证书应用策略。支持“MS”。“MS”：使用微软的证书存储规范