卫生系统数字证书介质技术规范

卫生系统数字证书介质技术 卫生系统电子认证服务体系系列规范 -卫生系统数字证书介质技术规范（试行） 卫生部办公厅 2010年4月30日 1 目 录 1 .................................................................................................................................................................................3 2 .........................................................................................................................................................................3 2.1 .................................................................................................................................................3 2.2 .........................................................................................................................................3 2.3 .....................................................................................................................................................3 2.4 .........................................................................................................................................................3 2.5 .....................................................................................................................................................3 3 .........................................................................................................................................................................3 3.1 .....................................................................................................................................................3 3.2 .............................................................................................................................................................5 3.3 .............................................................................................................................................................6 4 .................................................................................................................................................................6 () ..........................................................................................................................................7 2 本规范描述了在卫生系统中使用的数字证书介质的各项要求，包括对安全机制、软件要求、硬件技 术指标要求等，用于指导电子认证服务机构在卫生系统内进行数字证书介质的定制和选型。 证书介质的初始化工具由各证书介质供应商提供。 初始化工具应有两种形式：可执行的初始化工具和动态库接口文件。电子认证服务机构可根据动态 库文件开发通用的初始化工具。 证书自动注册功能：要求证书介质内的证书可自动完成系统注册，即当证书介质插入电脑后，介质 内证书自动注册到操作系统的证书存储区。拔出证书介质以后，证书自动从证书存储区删除。 介质口令包括介质用户口令和介质管理员口令两类。 电子认证服务机构应为用户提供的证书管理工具应具备校验介质用户口令和修改介质用户口令的 功能。 当用户连续10次输错介质用户口令后，证书介质必须自动锁死。 介质用户口令锁死后，即使输入正确的口令也不能使用证书介质，必须使用介质管理员口令认证， 为介质进行解锁，重新设置新的介质用户口令方可继续使用介质。 介质用户口令和介质管理员口令的长度应为6-16位，电子认证服务机构应保证交付给用户的每个介质的管理员口令不同。 证书介质内可创建用户私有文件区，要求可以在卡内保存用户私有文件，可实现扩展应用。对私 有文件区操作时，用户应输入证书介质口令进行验证。 证书介质私有扩展区的空间应不小于10K。 卫生系统内禁止使用带存储型U盘的证书介质，以防止病毒传染和其他安全隐患。 证书介质接口函数应遵守国家密码管理局《智能IC卡及智能密码钥匙密码应用接口规范》的函数定义和数据结构定义，提供设备管理、访问控制、文件管理和密码服务等相关密码服务接口。 3.1.1 设备管理主要完成设备的等待、设备插拔、枚举、连接、断开、设置设备标签、获取设备信息、锁 定设备、解锁设备操作。设备管理系列函数如1所示： 表1 设备管理类接口函数表 函数名称 功能 SKF_WaitForDevEvent 等待设备插拔事件 SKF_EnumDev 枚举设备 SKF_ConnectDev 连接设备 SKF_DisconnectDev 断开设备 SKF_GetDevState 获取设备状态 SKF_SetLabel 设置设备标签 3 SKF_GetDevInfo 获取设备信息 SKF_LockDev 锁定设备 SKF_UnlockDev 解锁设备 3.1.2 访问控制主要完成设备认证，修改设备认证密钥、校验PIN、修改PIN、解锁PIN和清除安全状态 操作。访问控制系列函数如表2所示： 表2 访问控制类接口函数表 函数名称 功能 SKF_ChangeDevAuthKey 修改设备认证密钥 SKF_DevAuth 设备认证 SKF_ChangePIN 修改PIN SKF_GetPINInfo 获得PIN码信息 SKF_VerifyPIN 校验PIN SKF_UnblockPIN 解锁PIN SKF_ClearSecueState 清除应用安全状态 3.1.3 文件管理函数用以满足用户扩展开发的需要，包括创建文件、删除文件、枚举文件、获取文件信息、 文件读写操作。文件管理系列函数如表3所示： 表3 文件管理类接口函数表 函数名称 功能 SKF_CreateFile 创建文件 SKF_DeleteFile 删除文件 SKF_EnumFiles 枚举文件 SKF_GetFileInfo 获取文件信息 SKF_ReadFile 读文件 SKF_WriteFile 写文件 3.1.4 密码服务函数提供对称算法运算、非对称算法运算、杂凑运算、消息鉴别码计算等功能。密码服务 系列函数如表4所示： 表4 密码服务类接口函数表 函数名称 功能 SKF_GenRandom 生成随机数 SKF_GenExtRSAKey 生成外部RSA密钥对 SKF_GenRSAKeyPair 生成RSA签名密钥对 SKF_ImportRSAKeyPair 导入RSA加密密钥对 SKF_RSASignData RSA签名 SKF_RSAVerify RSA验签 SKF_RSAExportSessionKey RSA生成并导出会话密钥 SKF_ExtRSAPubKeyOperation RSA外来公钥运算 SKF_ExtRSAPriKeyOperation RSA外来私钥运算 4 SKF_GenECCKeyPair 生成ECC签名密钥对 SKF_ImportECCKeyPair 导入ECC加密密钥对 SKF_ECCSignData ECC签名 SKF_ECCVerify ECC验签 SKF_ECCExportSessionKey ECC生成并导出会话密钥 SKF_ExtECCEncrypt ECC外来公钥加密 SKF_ExtECCDecrypt ECC外来私钥解密 SKF_ExtECCSign ECC外来私钥签名 SKF_ExtECCVerify ECC外来公钥验签 SKF_GenerateAgreementDataWithECC ECC生成密钥协商并输出 SKF_GenerateKeyWithECC ECC计算会话密钥 SKF_GenerateAgreementDataAndKeyWithECC ECC产生协商数据并计算会话密钥 SKF_ExportPublicKey 导出公钥 SKF_ImportSessionKey 导入会话密钥 SKF_SetSymmKey 明文导入会话密钥 SKF_EncryptInit 加密初始化 SKF_Encrypt 单组数据加密 SKF_EncryptUpdate 多组数据加密 SKF_EncryptFinal 结束加密 SKF_DecryptInit 解密初始化 SKF_Decrypt 单组数据解密 SKF_DecryptUpdate 多组数据解密 SKF_DecryptFinal 结束解密 SKF_DigestInit 杂凑初始化 SKF_Digest 单组数据杂凑 SKF_DigestUpdate 多组数据杂凑 SKF_DigestFinal 结束杂凑 SKF_MacInit 消息鉴别码运算初始化 SKF_Mac 单组数据消息鉴别码运算 SKF_MacUpdate 多组数据消息鉴别码运算 SKF_MacFinal 结束消息鉴别码运算 SKF_CloseHandle 关闭密码对象句柄 SKF_Transmit 设备命令传输 电子认证服务机构提供的证书安装程序应满足以下要求： a) 安装程序中应包括必要的驱动、客户端证书应用接口、证书管理工具等内容，证书管理工 具的功能至少包含修改介质口令和查看证书的功能。 b) 安装程序的提示文字应简洁易懂、便于理解，安装菜单清晰合理、方便查找，操作系统桌 面上应有证书管理工具的快捷方式。 c) 安装程序支持主流操作系统，支持简体中文和英文两种语言。 d) 安装程序要能够自动识别用户操作系统的版本并自动安装相应兼容性组件。 e) 驱动程序安装后，添加的文件路径和注册表信息中要求带有厂商产品特有的信息或标记。 5 电子认证服务机构提供的证书卸载程序应满足以下要求： a) 可在开始菜单或控制面板的“添加/删除程序”中卸载程序。 b) 卸载过程不需要用户手工干预，能自动完成卸载。 c) 执行完卸载过程后，要求能正确清除掉开始菜单中的相关子菜单、控制面板中的相应卸载 接口和相应的安装目录文件，但不能删除操作系统自带的库和注册表信息中原有的键值。 d) 卸载程序不要自动执行重新启动计算机，但可卸载完成后提示客户手工重新启动计算机。 证书介质应达到表5规定的各项技术指标： 表5 证书介质硬件技术指标 存储容量 >=32K Bytes (32K型) CPU芯片位数 >=8位 功耗 <400毫瓦 支持的证书标准 X.509 V3规范 硬件接口 符合USB接口规范，不需额外插电 USB1.1 以上的规格 读写次数(次) >=10万 存储有效期(年) >=10 存放温度 -40～85? 工作温度 0～70? 湿度要求 10%~90% 室温下数据保存时间 至少50年 工作电压 2.7V~5.5V 非对称算法 应遵循国家相关规定，如RSA、SM2等。 密钥对必须在芯片中生 成，私钥不可导出。 对称算法 应遵循国家相关规定，如SSF33、SM1等。 支持摘要算法 应遵循国家相关规定，如SHA1、SHA256、 SM3等。 公钥私钥对生成时间 <=30秒 数字签名和验证时间 <1秒/次 签名验证速度 RSA加密速度 >50kbps RSA解密速度 >30kbps 存储要求 a) 公私钥对：>=2个 1个介质内至少可同时 b) 必须在提供保护口令前提下才能访问容纳2个数字证书＋2个 密钥 公私密钥对。 硬件真随机数发生器 支持 6 数字证书（Digital Certificate），是由权威的电子认证服务机构进行数字签名的，包含拥有者信 息、拥有者公开密钥、签发者信息、有效期以及一些扩展信息的数字文件。 证书介质是指能够执行密码运算，能够生成密钥、存储密钥、证书和其它安全敏感信息的设备，如 智能IC卡及智能密码钥匙 (即UsbKey)。 介质用户口令，在此专指证书介质的用户口令（User PIN），用于介质的用户身份认证。只有介质 用户口令验证（SKF_VerifyPIN）成功，方可进行修改口令、密码服务运算、文件管理等操作。 介质管理员口令是指用于解锁用户口令的管理员口令（Admin PIN），在用户忘记介质口令或介质口 令锁死后，通过介质解锁口令认证后，可重新设置新的介质口令。 7