卫生系统数字证书应用集成规范
(试行)
卫生部办公厅
卫生部统计信息中心
二○○九年六月
目录
第1章概述 (1)
1.1范围 (1)
1.2规范性引文 (1)
1.3术语和定义 (1)
第2章总体技术框架 (2)
第3章统一证书应用接口 (3)
3.1证书介质应用接口 (3)
3.2密码设备应用接口 (3)
3.3通用密码接口 (3)
3.4客户端控件接口 (3)
3.4.1概述 (3)
3.4.2控件接口函数 (4)
3.5服务端组件接口 (21)
3.5.1概述 (21)
3.5.2COM组件接口 (21)
3.5.3Java组件接口 (41)
第4章附录 (63)
4.1典型证书应用部署模式 (63)
4.2证书登录认证集成范例 (64)
4.2.1证书登录认证流程 (64)
4.2.2数据库改造 (65)
4.3页面签名加密集成范例 (65)
4.3.1页面签名加密流程 (65)
4.3.2数据库改造 (66)
第1章概述
1.1范围
本规范制定了卫生系统数字证书应用技术框架,规范了卫生体系统一证书应用接口规范和证书应用集成部署实施规范。
本规范适用于指导卫生系统内实现证书应用集成实施工作,指导为卫生系统提供证书应用的安全厂家开发统一的证书应用接口,在卫生系统内实现基于数字证书的证书登录、电子签名与验证、加密解密等安全功能。
1.2规范性引文
下列标准所包含的条文,通过本规范中的引用而构成本规范的条文。考虑到标准的修订,使用本规范时,应研究使用下列标准最新版本的可能性。
公钥密码基础设施应用技术体系框架规范
公钥密码基础设施应用技术体系密码设备应用接口规范
公钥密码基础设施应用技术体系通用密码服务接口规范
智能IC卡及智能密码钥匙密码应用接口规范
1.3术语和定义
以下术语和定义适用于本规范。
1.3.1 数字证书digital certificate
由权威认证机构进行数字签名的包含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及一些扩展信息的数字文件。
1.3.2 数字证书介质certificate entity
用于存储密钥和数字证书并具有密码运算功能的载体,包括智能密码钥匙(UsbKey)、智能IC卡等密码设备。
第2章总体技术框架
数字证书应用集成的总体技术框架如图1所示:
图1数字证书应用集成总体技术框架图
根据总体结构图,实现数字证书应用集成的总体技术框架包括:密码设备和统一证书应用接口组成。
密码设备包括:加密机、加密卡、USBKey、智能IC等,是数字证书应用支撑体系的硬件基础。一般情况下,加密机用于服务器端,USBKey用于客户端。
统一证书应用接口包括:证书介质应用接口、密码设备应用接口、通用密码服务接口、客户端控件接口和服务器端组件接口等模块组成。统一证书应用接口位于应用系统和密码设备之间,它是数字证书应用支撑体系的软件基础。统一证书应用接口为上层的证书应用系统提供简洁、易用的调用接口,实现身份认证、实现信息的保密性、完整性和不可否认性等功能。统一证书应用接口屏蔽了各类密码设备(加密机和USB KEY等)的设备差异性,屏蔽了各类密码设备的密码应用接口之间的差异性,实现应用与密码设备无关性,可简化应用开发的复杂性。
第3章统一证书应用接口
3.1证书介质应用接口
证书介质应用接口是客户端证书介质(如:USBKey)的底层应用接口,该接口应在符合CSP技术规范的同时,符合《智能IC卡及智能密码钥匙密码应用接口规范》。
证书介质应用接口适用于USBKey等终端密码设备上,应支持WindowsXP、Windows2000、Windows2003、Vista、Linux等操作终端类的主流操作系统。
3.2密码设备应用接口
密码设备应用接口是服务器端密码设备(如加密机)的底层应用接口,该接口应在符合国际标准PKCS#11技术规范的基础上,符合《公钥密码基础设施应用技术体系密码设备应用接口规范》。
密码设备应用接口适用于加密机等服务器的密码设备上,应支持Windows、Linux、Unix、AIX、Solaris等服务器类的主流操作系统。
3.3通用密码接口
通用密码接口是屏蔽了底层不同密码设备类型和底层接口的通用中间件,该接口要符合《公钥密码基础设施应用技术体系通用密码服务接口规》。
通用密码接口适用于客户端和服务器端使用,应支持Windows、Linux、Unix、AIX、Solaris等所有主流操作系统。
3.4客户端控件接口
3.4.1概述
客户端控件接口是供卫生体系业务系统直接调用的高级接口,适用于客户端程序使用,应支持WindowsXP、Windows2000、Windows2003、Vista、Linux 等操作终端类的主流操作系统。客户端控件接口可以是DLL动态库、ActiveX控件、Applet插件等形态,以支持B/S和C/S等架构的应用系统。
客户端控件接口的功能与服务器端组件接口向对应,应支持不同CA机构签发的符合《卫生系统数字证书格式规范》的数字证书,客户端应可自动识别符合《卫生系统介质规范》的证书介质,在卫生系统服务器端配置的信任列表范围内,实现不同CA机构证书之间的交叉认证和互信互认。
客户端控件接口的主要功能函数应包括:配置管理、数字证书解析、签名与验证、数据加密与解密、PKCS#7数据信封、XML数据的签名与验证、文件签名与加密等。
3.4.2控件接口函数
客户端提供ActiveX控件形态的文件,说明如下:
1)事件说明
2)设置证书应用策略SetCertAppPolicy
●功能:
设置证书应用策略。支持“MS”。
“MS”:使用微软的证书存储规范,即csp规范,读取、使用证书。
●函数原型:
Void SetCertAppPolicy (BSTR AppPolicy);
参数:无
●返回:无
●
3)设置签名算法SetSignMethod
●功能:
设置控件签名使用的签名算法。如果不调用此函数,控件缺省为“RSA-SHA1”。
●函数原型:
Void SetSignMethod (BSTR SignMethod);
●参数:
SignMethod
[IN],签名算法。支持的有:“RSA-SHA1”、“RSA-MD5”、“RSA-MD2”
●返回:
无
4)获得当前签名算法GetSignMethod
●功能:
获得控件签名使用的签名算法。
●函数原型:
BSTR GetSignMethod ();
●参数:
无
●返回:
当前的签名算法。
5)设置加密算法SetEncryptMethod
●功能:
设置控件使用的对称加解密算法。如果不调用此函数,控件缺省为“T-DES”。
●函数原型:
Void SetEncryptMethod (BSTR EncryptMethod);
参数:
●SetEncryptMethod [IN],对称加解密算法。支持的有:
“DES”:(8字节)
“T-DES2KEY”(16字节)
“T-DES”(24字节)
“SSF33”(16字节)
“AES-128”(16字节)
“AES-192”(24字节)
“AES-256” 32字节
●返回:
无
6)获得加密算法GetEncryptMethod
●功能:
获得控件使用的对称加解密算法。
●函数原型:
BSTR GetEncryptMethod ();
●参数:
无
●返回:
当前控件使用的加密算法。
7)获得证书列表GetUserList
●功能:
取得当前已安装证书的用户列表。
●函数原型:
BSTR GetUserList();
●参数:无
●返回:
BSTR ret 用户列表字符串,
格式:(用户名1||证书标识1&&&用户名2||证书标识&&&…)
●备注:
根据证书应用的策略不同会得到不同的证书列表。
8)导出用户证书ExportUserCert
●功能:
根据证书惟一标识,获取Base64编码的证书字符串。
●函数原型:
BSTR ExportUserCert(BSTR CertID);
●参数:
输入参数,BSTR CertID:证书惟一标识
●返回值:
BSTR rv:证书字符串。出错返回空值。
9)导出用户证书ExportExChangeUserCert
●功能:
根据证书惟一标识,获取Base64编码的证书字符串。指定获取加密(交换)证书。
●函数原型:
BSTR ExportExChangeUserCert (BSTR CertID);
●参数:
输入参数,BSTR CertID:证书惟一标识
●返回值:
BSTR rv:证书字符串。出错返回空值。
●
10)获得证书信息GetCertInfo
●功能:
获取证书信息
●函数原型:
BSTR GetCertInfo(BSTR Cert, short Type);
●参数:
输入参数:BSTR sCert:Base64编码的证书
输入参数:short Type:获取信息的类型
●根据type获得证书信息
●
11)获得证书扩展信息GetCertInfoByOid
●功能:
根据OID获取证书私有扩展项信息
●函数原型:
BSTR GetCertInfoByOid(BSTR Cert, BSTR Oid);
●参数:
输入参数:BSTR sCert:Base64编码的证书
输入参数:BSTR oid:私有扩展对象ID,比如“1.2.18.21.88.2”
●返回:
BSTR ret::证书OID对应的值。
12)获得用户信息GetUserInfo
●功能:
获得用户信息。
●函数原型:
BSTR GetUserInfo (BSTR CertId, short type);
●参数:
输入参数:BSTR Certid:证书标识。
输入参数:type:类别。
●返回:
BSTR ret::type对应的值。出错返回空值。
13)验证证书有效性validateCert
●功能:
验证证书有效性
●函数原型:
boolean ValidateCert(BSTR Cert);
●参数:
输入参数:BSTR sCert:Base64编码的证书
●返回:成功返回true,否则返回false。
●
14)数据签名SignData
●功能:
对字符串数据进行数字签名,签名格式为Pkcs#1。
●函数原型:
BSTR SignData(BSTR CertID, BSTR InData);
●参数:
输入参数:BSTR sCertID:证书标识
输入参数:BSTR sInData :签名原文
●返回:
BSTR ret 签名结果。
15)验证签名VerifySignedData
●功能:
验证数字签名
●函数原型:
boolean VerifySignedData(BSTR Cert, BSTR InData, BSTR SignValue);
●参数:
输入参数:BSTR sCert:签名者证书
输入参数:BSTR sInData :签名原文
输入参数:BSTR sSignValue:签名值
●返回:
成功返回true,否则返回false。
●
16)文件签名SignFile
●功能:
对文件数字签名
●函数原型:
BSTR SignFile(BSTR CertID, BSTR InFile);
●参数:
输入参数:BSTR sCertID:证书标识
输入参数:BSTR sInFile :签名原文文件路径
●返回:
BSTR ret 签名结果。出错返回空值。
17)验证文件签名VerifySignedFile
●功能:
验证文件数字签名
●函数原型:
boolean VerifySignedFile(BSTR Cert, BSTR InFile, BSTR SignValue);
●参数:
输入参数:BSTR sCert:签名者证书
输入参数:BSTR sInFile :签名原文文件路径
输入参数:BSTR sSignValue:签名值
●返回:
成功返回true,否则返回false。
●数据项描述
18)加密数据EncryptData
●功能:
使用对称算法加密数据
●函数原型:
BSTR EncryptData(BSTR SymmKey, BSTR Indata);
●参数:
输入参数:BSTR sKey,加密密钥
输入参数:BSTR sIndata,待加密的明文
●返回值:
BSTR rv:加密后的密文。
19)解密数据DecryptData
●功能:
使用对称算法解密数据
●函数原型:
BSTR DecryptData(BSTR SymmKey, BSTR Indata);
●参数:
输入参数:BSTR SymmKey,解密密钥
输入参数:BSTR sIndata,待解密的密文
●返回值:
BSTR rv:解密后的明文。
●
20)文件加密EncryptFile
●功能:
使用对称算法加密文件
●函数原型:
boolean EncryptFile(BSTR SymmKey, BSTR InFile, BSTR OutFile);
●参数:
输入参数:BSTR SymmKey,加密密钥
输入参数:BSTR InFile,待加密的明文文件路径
输入参数:BSTR OutFile,密文文件保存路径
●返回值:
成功返回true,否则返回false。
●
21)文件解密DecryptFile
●功能:
使用对称算法解密文件
●函数原型:
boolean DecryptFile(BSTR SymmKey, BSTR InFile, BSTR OutFile);
●参数:
输入参数:BSTR SymmKey,解密密钥
输入参数:BSTR InFile,待解密的密文文件路径
输入参数:BSTR OutFile,明文文件保存路径
●返回值:
成功返回true,否则返回false。
●
22)公钥加密PubKeyEncrypt
●功能:
使用证书对数据加密。(Pkcs#1格式)
●函数原型:
BSTR PubKeyEncrypt(BSTR Cert, BSTR InData);
●参数:
输入参数:BSTR Cert,证书
输入参数:BSTR InData,待加密的数据。
●返回值:
BSTR rv,成功返回加密后的密文。否则返回空。
23)私钥解密PriKeyDecrypt
●功能:
私钥解密(Pkcs#1格式)
●函数原型:
BSTR PriKeyDecrypt(BSTR CertID, BSTR InData);
●参数:
输入参数:BSTR CertID,证书ID
输入参数:BSTR InData,待解密的数据。
●返回值:
BSTR rv,成功返回解密后的明文。否则返回空。
24)P7数据签名SignDataByP7
●功能:
对字符串数据进行数字签名,签名格式为Pkcs7。
●函数原型:
BSTR SignDataByP7 (BSTR CertID, BSTR InData);
●参数:
输入参数:BSTR sCertID:证书标识
输入参数:BSTR sInData :签名原文
●返回:
BSTR ret 签名结果。出错返回空值。
25)验证签名VerifySignedDataByP7
●功能:
验证数字签名
●函数原型:
boolean VerifySignedDatabyP7( BSTR P7Data);
●参数:
输入参数:BSTR P7Data :p7签名包。
●返回:
成功返回true,否则返回false。
26)解析P7签名包信息GetP7SignDataInfo
●功能:
解析p7签名包的信息,可获得原文、签名值、签名证书等信息。
●函数原型:
BSTR GetP7SignDataInfo ( BSTR P7Data ,short type);
●参数:
输入参数:BSTR P7Data :p7签名包。
输入参数:short type:类型。
1:原文
2:签名者证书
3:签名值
●返回:
成功返回true,否则返回false。
27)XML数据签名SignDataXML
●功能:
对XML数据进行数字签名,输出符合国际标准的XML签名结果。
●函数原型:
BSTR SignDataXML(BSTR CertID, BSTR InData);
●参数:
输入参数:BSTR sCertID:证书标识
输入参数:BSTR InData :签名原文,XML格式。
●返回:
BSTR ret 签名结果。出错返回空值。
28)验证XML数据签名verifySignedDataXML
●功能:
验证xml签名。
●函数原型:
boolean verifySignedDataXML (BSTR InData);
●参数:
输入参数:BSTR InData :XML签名值.
●返回:
成功返回true,否则返回false。
29)解析XML签名数据getXMLSignatureInfo
●功能:
解析XML签名数据,获取签名值、XML原文、证书等信息。
●函数原型:
BSTR getXMLSignatureInfo (BSTR XMLSignedData,short type);
●参数:
BSTR XMLSignedData XML格式的签名数据
●Type:待解析的参数类型。可选的参数和意义:
1:xml原文
2:摘要
3:签名值
4:签名证书
5:摘要算法
6:签名算法
●返回值:
各项对应的信息。
30)拆分秘密SecretSegment
●功能:
门限算法,拆分秘密。
●函数原型:
BSTR SecretSegment(BSTR Secert, short m, short n, short k);
●参数:
输入参数:BSTR sSecert:待拆分的秘密(Base64编码后的)
输入参数:int m : 秘密分割份额 输入参数,int n :秘密恢复最小份额
输入参数:int k :设置为恢复秘密时的必选片段的个数。(此参数可选,不设置标识任意n 份片段均可恢复秘密)。 ● 返回值:
BSTR rv :拆分后的密码(Base64编码)。共m 份,以&&&相连。例如“1111111111111&&&222222222&&&33333333&&&444444444&&&”。出错返回空值。
若有必选片段,则前k 份为必选。 ●
31) 秘密恢复SecretRecovery
●
功能:
门限算法,恢复秘密。 ● 函数原型:
BSTR SecretRecovery(BSTR Seg); ● 参数:
输入参数:BSTR Seg :密钥片段。以“&&&”相连的n 段密钥片段。 ● 返回值:
BSTR rv :恢复后的秘密。出错返回空值。 32) 添加待处理的文件AddFile
●
功能:
针对多个文件或数据处理,添加待处理的文件。 ●
函数原型:
boolean AddFile(BSTR FilePath); ●
参数:
输入参数,BSTR FilePath :文件路径。 ●
返回值:
boolean,成功返回true,否则返回false。
33)添加待处理的数据AddString
●功能:
针对多个文件或数据处理,添加待处理的字符串。
●函数原型:
boolean AddString(BSTR Indata);
●参数:
输入参数,BSTR sIndata:字符串
●返回值:
boolean,成功返回true,否则返回false。
34)清除文件和字符串Clear
功能:
●清除添加的文件和字符串
函数原型:
void Clear();
●参数:无
●返回值:无
35)开始对多个文件或数据签名SignUpdate
●功能:
开始对多个文件或数据签名。先对文件签名后对字符串签名。对文件签名的顺序按照AddFile的顺序,对字符串签名的顺序对AddString的顺序。
此函数立即返回,签名计算完毕后激活控件WorkDone事件。
●函数原型:
boolean SignUpdate(BSTR CertID);
●参数:
输入参数,BSTR CertID:证书标识。
●返回值:
成功返回true,否则返回false。
36)开始对多个文件或数据加密EncUpdate
●功能:开始对多个文件或数据加密。先对文件加密后对字符串加密。对文件
加密的顺序按照AddFile的顺序,对字符串加密的顺序对AddString的顺序。
此函数立即返回,加密完毕后激活控件WorkDone事件
●函数原型:
boolean EncUpdate(BSTR Key);
●参数:
输入参数,BSTR Key:加密密钥。
●返回值:无
37)开始对多个文件或数据解密DecUpdate
●功能:开始对多个文件或数据解密。先对文件解密后对字符串解密。对文件
解密的顺序按照AddFile的顺序,对字符串解密的顺序对AddString的顺序。
此函数立即返回,加密完毕后激活控件WorkDone事件
●函数原型:
boolean DecUpdate(BSTR Key);
●参数:
输入参数,BSTR Key:加密密钥。
●返回值:无
38)获得当前处理进度getProgress
●功能:
获得当前操作处理的进度(多文件签名或多文件加密的进度)。
●函数原型:
short GetProgress();
●参数:无
●返回值:
int rv。取值范围为0-100。
39)获得多文件或多字符串的总签名GetTotalSignValue
●功能:
获得多文件或多字符串的总签名。此函数必须是调用SignUpdate函数成功,且控件WorkDone事件后才可调用。
●函数原型:
BSTR GetTotalSignValue();
应用系统建设标准和规范 1标准体系 信息系统建设的核心目标是互联互通、信息共享、业务协同,而实现这些功能的关键是技术标准的科学确定。标准不仅是信息系统建设的指针,也是信息系统建设效果评估的依据。 应用系统建设是一个复杂的系统工程,它涵盖从操作系统、数据库系统、中间软件、支撑软件及多个应用软件等各个方面的内容,包括系统信息安全、处理流程定义、信息内容格式、数据交换格式等各个方面的问题。它要求达到充分利用数字虚拟空间,跨越各职能部门间的限制,使各职能部门互联互通与跨部门协同办公的目标。要做到这一点,就必须对职能部门的各个层次、各个方面制定一系列的标准和规范。按照此标准化体系,能够对政务数据和信息进行灵活、有效、多元化的管理,实现以政务信息驱动横向/纵向政务流程。 行业信息化标准体系,涉及以下几个方面:总体标准、业务应用标准、信息资源标准、应用支撑标准、网络基础设施标准、信息安全标准和信息化管理标准等方面。 1.1总体标准 包括术语标准、标准化指南和总技术要求等。 术语标准主要包括与烟草行业信息化相关的术语标准,以统一烟草行业信息化建设中遇到的主要名词、术语和技术词汇,避免引起对它们的歧义性理解。术语标准可分为烟草行业专用术语、基础术语和专业术语。 标准化指南包括标准化工作的工作导则、编制指南以及实施细则等。 总技术要求包括烟草行业信息化建设统一技术平台要求以及计算机网络和信息安全技术管理规范等。
1.2应用标准 应用标准分体系包括文档交换格式和应用系统等。 文档交换格式标准主要是指为了实现应用系统之间文档交换的兼容性而制定的标准和规范。 应用系统主要包括烟草行业管理信息系统、烟草行业工/商企业管理信息系统以及相应的子系统的相关标准。其中,烟草行业管理信息系统包括电子政务、电子商务、卷烟生产经营决策管理系统和其它应用系统。 1.3信息资源标准 信息资源标准分体系包括数据元、信息分类与编码和数据库等。 数据元标准包括烟草行业专用数据元以及数据元的通用规则、贸易数据元和电子政务数据元等方面的相关标准。 信息分类是指具有共同属性或特征的信息,按科学的规律集合在一起并进行概念的划分,以区别和判断不同的信息。信息编码是对分类的信息,科学地赋予代码或某种符号体系,作为有关信息系统进行处理和交换的共同语言。信息分类与编码标准包括方法性,区域、场所和地点,计量单位,人力资源,产品运输,组织机构代码和科学技术等标准以及烟草行业专用的信息分类与编码标准。 数据库标准包括烟草行业基础性数据库规范和通用的数据库规范。 1.4应用支撑标准 应用支撑标准分体系为各种烟草行业应用提供支撑和服务,它是一个与网络无关、与应用无关的基础设施,确保各类资源的可互连、可访问、可交换、可共享、可整合。该分体系包括数据中心、描述技术和目录/Web服务等。 数据中心标准是指为保证不同网络、不同系统、不同平台之间的数据交换提供服务的标准。它包括政务信息资源交换体系和烟草行业数据中心开发等相关标准。 描述技术标准包括统一标准通用置标语言(SGML)、可扩展置标语言(HTML)、超文本置标语言(XML)等相关标准。
甘肃电投集团财务有限公司 数字证书管理办法 第一章总则 第一条为了规范甘肃电投集团财务有限公司(以下简称公司)数字证书使用,保障公司资金管理系统安全,规避数字证书使用风险,根据《中华人民共和国电子签名法》、《商用密码管理条例》、《电子认证服务密码管理办法》等有关规定,结合公司实际情况,特制定本办法。 第二条本办法规定了公司资金管理系统数字证书申领、使用、更新、冻结、解冻、撤消、补办等具体要求,适用于领取数字证书的公司及成员单位的所有用户。 第三条数字证书是经身份认证系统数字签名的包含持有者信息(包括用户编码、、邮箱等)以及公开密钥的文件,存储在物理介质(USBKey)中使用保管。 第四条数字证书管理遵循“专人专用,按需发放,用毕交回”原则,按照“谁持有谁负责,谁申请谁监管”的原则管理, 不得转借他人使用或盗用他人证书。 第二章职责分工 第五条公司综合管理部是数字证书的归口管理部门,负责数字证书的签发和管理,结算业务部负责保管空白USBKey。 第六条数字证书是登录和操作资金管理系统有效身份识别的依据,是记载信息、区分责任的重要凭据。领取数字证书的成员单位对证书持有者及其证书负有监管职责,应妥善保管证书,不得将其转借他人,因证书丢失或转借造成的一切损失均由成员单位承担。
第三章数字证书申请流程 第七条数字证书申请类型包括数字证书的申领、更新、冻结、解冻、撤销及补办等。 第八条成员单位数字证书申请流程:由申请人填写《资金管理系统数字证书成员单位申请表》(附件1),经申请人所在部门主任、分管领导、总经理签字,加盖公司公章后提交财务公司办理。 财务公司数字证书申请流程:由申请人填写《资金管理系统数字证书申请表》(附件2),经申请人所在部门主任、分管副总签字后,提交综合管理部审核,审核完成后由综合管理部提交分管副总审核、总经理批准。 第九条申请人在填写申请表时须填明申请类型。 第四章数字证书的申领 第十条首次使用数字证书需办理申领手续。 第十一条数字证书制作和发放 (一)综合管理部依据批准的数字证书申请表复印件向结算业务部申请空白USBKey; (二)综合管理部按照数字证书申请表及审批意见制作数字证书; (三)申请人在《数字证书发放登记表》(附件3)上签字确认后,方可领取USBKey; (四)申请人领取数据证书后应立即按系统要求修改初始密码。 第五章数字证书的使用 第十二条数字证书持有人应妥善保管自己的数字证书,数字证书密码应定期更换,防止泄露。 第十三条数字证书持有人应保持计算机操作系统安全可靠,不应在有安全隐患的计算机上使用数字证书。 第十四条数字证书使用完毕后,应立即从计算机上取下USBKey并妥善保管,防止他人非法使用。
卫生系统数字证书应用集成规范(试行) 点击数:51 更新时间:2010-08-11 卫生部办公厅 2010年4月30日 目录 1 范围 (1) 2 应用集成目标 (1) 3 应用集成要求 (1) 4 应用集成内容 (1) 5 统一证书应用接口规范 (2) 5.1 统一证书应用接口概述 (2) 5.2 证书应用综合服务接口概述 (2) 5.3 证书应用综合服务接口客户端接口函数定义 (4) 5.4 证书应用综合服务接口服务器端COM组件函数定义 (9) 5.5 证书应用综合服务接口服务器端JAVA组件函数定义 (17) 5.6 证书应用综合服务接口相关代码表 (26) 附录A (资料性附录) 证书应用接口实施示例 (32) 附录B (资料性附录) 名词解释 (35) 1 范围 本规范依据《卫生系统电子认证服务管理办法(试行)》,参照国家密码管理局“公钥密码基础设施应用技术体系”系列技术规范,结合卫生系统业务特点,提出卫生系统数字证书应用集成目标、集成要求、集成内容,定义统一的证书应用接口,并提供证书应用接口的典型部署示例、登录认证流程示例和签名验证流程示例。
本规范用于指导并规范卫生信息系统证书应用集成实施工作,指导电子认证服务机构开发标准统一的证书应用接口,规范卫生信息系统实现基于数字证书的安全登录、数字签名和加密解密等安全功能。 2 应用集成目标 1) 在目前卫生信息系统普遍使用的用户名/口令认证方式基础上,引入数字证书技术,建立基于数字证书的身份认证机制,确保系统访问控制的高安全性和高可靠性; 2) 对卫生信息系统的重要操作环节和重要数据实现基于数字证书的数字签名功能,保护数据的完整性,并为后期纠纷处理及责任认定提供合法电子证据; 3) 对卫生信息系统的敏感信息实现基于数字证书的数据加密功能,确保敏感信息在传输和存储阶段的安全性。 3 应用集成要求 在证书应用集成时,应根据卫生系统各应用单位的业务特点和业务需求,确定需要改造的业务系统数量及名称、确定需要使用证书认证的用户及范围、确定需要加密签名的重要操作环节和数据,具体集成要求如下: 1) 卫生信息系统在集成数字证书的安全功能时,首先应实现基于数字证书的身份认证功能; 2) 对于具有操作行为责任认定、证据保存需求的卫生信息系统,应实现基于数字证书的数字签名的功能; 3) 对于具有数据加密和解密需求的卫生信息系统,应实现基于数字证书的信息加密、信息解密功能; 4) 对于具有可信时间需求的卫生信息系统,应集成时间戳功能; 5) 对于具有信息共享需求的多个应用系统,可采用统一的身份认证模式,实现统一的身份认证管理、用户信息共享和单点登录等功能。 4 应用集成内容 卫生信息系统证书应用集成内容如下: 1) 基于数字证书的身份认证 证书登录认证过程中,应完成以下安全认证工作: a) 证书保护口令校验; b) 每次登录认证是基于随机数的签名和验证,防止重放攻击; c) 验证用户证书的信任链; d) 验证用户证书有效期; e) 基于最新的黑名单文件,验证用户证书是否被吊销; f) 验证证书信息是否在信息系统具有对应的用户账户及操作权限。 在证书应用集成时,同时应实现用户安装和使用的方便性,如证书介质的即插即用功能。
中国移动通信企业标准 中国移动业务支撑网 4A 安全技术规范 版本号:1.0.0 中国移动通信有限公司 发布 ╳╳╳╳-╳╳-╳╳发布 ╳╳╳╳-╳╳-╳╳实施 QB-W-016-2007
目录 1概述 (7) 1.1范围 (7) 1.2规范性引用文件 (7) 1.3术语、定义和缩略语 (7) 2综述 (8) 2.1背景和现状分析 (8) 2.24A平台建设目标 (9) 2.34A平台管理范围 (10) 34A管理平台总体框架 (11) 44A管理平台功能要求 (14) 4.1帐号管理 (14) 4.1.1帐号管理的范围 (14) 4.1.2帐号管理的内容 (14) 4.1.3主帐号管理 (14) 4.1.4从帐号管理 (15) 4.1.5密码策略管理 (15) 4.2认证管理 (15) 4.2.1认证管理的范围 (16) 4.2.2认证管理的内容 (16) 4.2.3认证服务的管理 (16) 4.2.4认证枢纽的管理 (16) 4.2.5SSO的管理 (17) 4.2.6认证手段 (17) 4.2.7提供多种手段的组合使用 (17) 4.3授权管理 (17) 4.3.1授权管理的范围 (17) 4.3.2授权管理的内容 (18) 4.3.3资源管理 (18) 4.3.4角色管理 (18) 4.3.5资源授权 (19) 4.4审计管理 (20) 4.4.1审计管理范围 (20) 4.4.2审计信息收集与标准化 (21) 4.4.3审计分析 (21) 4.4.4审计预警 (22) 4.54A管理平台的自管理 (23)
4.5.2权限管理 (23) 4.5.3组件管理 (23) 4.5.4运行管理 (23) 4.5.5备份管理 (23) 4.64A管理平台接口管理 (24) 4.6.1帐号管理接口 (24) 4.6.2认证接口 (24) 4.6.3审计接口 (24) 4.6.4外部管理接口 (25) 54A管理平台技术要求 (25) 5.1总体技术框架 (25) 5.2P ORTAL层技术要求 (27) 5.3应用层技术要求 (27) 5.3.1前台应用层技术要求 (27) 5.3.2核心数据库技术要求 (28) 5.3.3后台服务层技术要求 (30) 5.3.4单点登录技术要求 (32) 5.3.5安全审计技术要求 (33) 5.4接口层技术要求 (35) 5.5非功能性技术要求 (35) 5.5.1业务连续性要求 (35) 5.5.2开放性和可扩展性要求 (38) 5.5.3性能要求 (38) 5.5.4安全性要求 (38) 64A管理平台接口规范 (40) 6.1应用接口技术规范 (40) 6.1.1总体描述 (40) 6.1.2登录类接口(①) (41) 6.1.3认证类接口 (42) 6.1.4帐号/角色接口(④) (43) 6.1.5审计类接口 (48) 6.2系统接口技术规范 (51) 6.2.1总体描述 (51) 6.2.2登录类接口(①) (52) 6.2.3认证类接口 (53) 6.2.4帐号接口(⑤) (55) 6.2.5审计类接口 (59) 6.3外部管理接口技术规范 (61) 7BOSS系统3.0的改造要求 (62)
目录 1系统概述 (2) 2系统设备选型 (2) 2.1 DS3.0系统符合以下要求 (2) 2.2 DS3.0系统具备条件 (4) 3标准规 (4) 4系统工程围 (4) 5系统方案设计 (5) 5.1 BMS集成系统实施技术措施 (8) 5.2 系统软件实现的功能和实现的途径 (9) 5.2.1提供给用户使用的功能 (9) 5.2.2系统软件构架 (9) 5.2.3用户界面的选择 (11) 5.3 系统硬件配置的选择 (11) 5.4 功能描述 (12) 5.4.1对工业园区所有设备进行统一和全面的监测 (12) 5.4.2管理功能 (13) 5.4.3浏览界面的组织和实现 (14) 6对各分系统要求 (15) 6.1 系统集成对楼宇自控系统的要求 (15) 6.2 系统集成对消防系统的要求 (16) 6.3 系统集成对安保系统的要求 (16) 6.4 系统集成对门禁停车场管理系统的要求 (16) 6.5 系统集成对生产装置(设备)工业自动化系统的要求 (16)
1系统概述 延长中煤能源化工工业园区中央集成管理系统,是以通过实现工业园区,包括厂前区如行政办公楼、宿舍、酒店、辅助设施等,生产区域如水处理、空压机、甲醇、液化气、聚乙烯、罐区等各分系统之间的信息资源的共享与管理、各分系统的互操作和快速响应与联动控制,以达到自动化监视与控制的目的。实现信息资源的共享与管理、提高工作效率和提供舒适的工作环境,采用“分散控制、集中管理”的模式,本着“按需集成”的主导思想,尽可能地减少管理人员和节约能源、能适应环境的变化和工作性质的多样化及复杂性,应付突发事件的发生。 系统集成是将建筑物的若干个既相对独立又相互关联的系统组成具有一定规模的大系统的过程,这个大系统不应是各个分系统的简单堆积,而是借助于建筑物自动化系统和综合布线网络系统把现有的、分离的设备、功能及信息组合到一个相互关联的、统一的、协调的系统之中,从而能够把先进的高技术成果,巧妙灵活地运用到现有的智能建筑系统中,以充分发挥其更大的作用和潜力。 2系统设备选型 系统采用具有知识产权的中央集成管理系统--BMS DATA SERVER 3.0(以下简称DS3.0系统)软件平台,该系统以网络集成、数据集成、软件界面集成、功能集成等一系列系统集成技术为基础,运用标准化、模块化以及系列化的开放性设计思想,以综合布线系统、计算机网络系统及其他综合通讯系统构架信息传输网络,将楼宇自控系统、自动火灾报警系统、闭路监控系统、防盗报警系统、门禁停车场管理系统及生产区域各生产装置自动控制系统等分系统集成为智能化的BMS弱电监控与管理系统,DS3.0系统允许用户最大限度利用微软操作系统下的各种应用软件。 2.1DS 3.0系统符合以下要求 1) 标准化和开放性 集成系统是建立在标准的以太网的基础上的,数据从各分系统网关到集成系统,再
格尔数字证书认证系统产品白皮书 上海格尔软件股份有限公司
目录 1、前言 (3) 1.1背景 (3) 1.2名词解释 (4) 2、产品介绍 (6) 2.1产品简介 (6) 2.2产品组成 (7) 2.2.1格尔证书认证系统 (8) 2.2.2格尔用户注册系统 (8) 2.2.3格尔密钥管理系统 (9) 2.3产品系列 (9) 2.3.1企业版 (9) 2.3.2大客户版 (10) 2.3.3运营中心版 (10) 3、产品特性及功能 (11) 3.1基本特性 (11) 3.2高级特性 (11) 3.3兼容与扩展特性 (12) 3.4特别特性 (12) 4、附录 (13) 4.1SZT0901数字证书认证系统证书 (13) 4.2SYT0901密钥管理系统证书 (13) 4.3SRT0903身份认证系统证书 (14) 4.4相关名词解释 (14) 4.5PKI简介 (16)
1、前言 1.1背景 随着网络技术的不断发展,各种网络应用在给企业带来便捷高效的同时,也带来了安全管理和安全通讯的问题。为了解决网络安全问题,近年来,PKI(public key infrastructure)安全体系开始被引入并越来越多地得到应用,其运营管理机构一般又称为CA证书机构。自1998年至今已有多个不同规模的CA证书机构建成并运行,它们在电子政务和电子商务安全应用中发挥着重要的作用。 目前,我国CA证书机构按照应用环境/范围大体可分为以下四类:区域类、行业类、商业类和内部自用(企业)类。区域类CA证书机构大多以地方政府为背景、以公司机制来运作,主要为本地行政区域内电子政务业务与电子商务业务发放证书;行业类CA证书机构以部委或行业主管部门为背景,以非公司机制或公司机制运作,在本部委系统或行业内为电子政务业务和电子商务业务发放证书;商业类CA证书机构以公司机制运作,面向全国范围为电子商务业务发放证书;内部自用类CA证书机构,主要是企业事业单位自建的证书机构,为自身内部业务发放证书,不向公众提供证书服务。PKI体系概念在安全领域得到的广泛认同,使国内越来越多机构、企业在进行网络安全建设时将PKI应用建设列为重要的基础设施。 上海格尔软件股份有限公司自1998年成立开始即进行了PKI平台产品的研制,深度参与区域、行业、企业的PKI平台建设,积累了丰富的大规模PKI体系建设经验,并推出了对应的PKI基础设施产品及应用产品。格尔数字证书认证系统是PKI体系基础建设的核心组成部分之一,是面向政府、金融、证券、电力、企业、证书运营中心等进行PKI体系建设的专门化电子证书中心产品。随着2009年国家标准密码算法(SM1,SM2,SM3)的发布,格尔软件第一时间发布了适用于国家标准密码算法的格尔证书认证系统产品,并在同一年参加了产品的安审和鉴定,获得相关的资质和证书(SZT0901、SYT0901、SRT0903),成为全国第一家获得国家标准密码算法支持的公钥基础设施产品提供商。
卫生系统电子认证服务体系系列规范- 卫生系统数字证书格式规范(试行) 卫生部办公厅 XX年4月30日
目录 1 范围 (1) 2 数字证书类别 (1) 3 数字证书基本格式 (1) 3.1基本结构 (1) 3.2基本证书域TBSCertificate (1) 3.3 签名算法域SignatureAlgorithm (5) 3.4 签名值域SignatureValue (5) 3.5 命名规范 (5) 4 数字证书模板 (5) 4.1 个人证书模版 (5) 4.2 机构证书模版 (6) 4.3 设备证书模版 (8) 5 CRL格式 (9) 5.1 CRL基本结构 (9) 5.2 CRL模版 (10) 附录A (资料性附录) 证书主体DN命名示例 (11) 附录B (资料性附录) 证书格式编码示例 (12) 附录C (资料性附录) 名词解释 (20)
1 范围 本规范描述了卫生系统电子认证服务体系中使用的数字证书的类型、数字证书和证书撤销列表的格式,制定了各类数字证书及证书撤消列表格式模板,用于指导电子认证服务机构签发统一格式的数字证书和证书撤消列表,以保障数字证书在卫生系统内各信息系统之间的互信互认。 本规范在GB/T 20518-2006《信息安全技术 公钥基础设施 数字证书格式》基础上,针对卫生系统的电子认证需求,在证书类型、证书格式模板、实体唯一标识扩展项等方面进行了扩充,以适应卫生系统的业务特点和应用需求。 2 数字证书类别 根据卫生系统用户特点及应用需求,数字证书按照内部用户和外部用户分成如下六类。 1) 内部机构证书 2) 内部工作人员证书 3) 内部设备证书 4) 外部机构证书 5) 外部个人证书 6) 外部设备证书 3 数字证书基本格式 3.1 基本结构 数字证书的基本结构由基本证书域TBSCertificate 、签名算法域SignatureAlgorithm 、签名值域SignatureValue 等三部分组成。 其中,基本证书域由基本域和扩展域组成,如图1所示: 图 1 数字证书基本结构示意图 3.2 基本证书域 TBSCertificate 基本证书域包括基本域和扩展域。 3.2.1 基本域 基本域由如下部分组成: a) 版本 Version b) 序列号 SerialNumber c) 签名算法 SignatureAlgorithm d) 颁发者 Issuer e) 有效期 Validity f) 主体 Subject g) 主体公钥信息 SubjectPublicKeyInfo 下面分别详细介绍各组成部分的格式要求。 3.2.1.1 版本 Version 本项描述了数字证书的版本号。 数字证书应使用版本3(对应的数值是整数“2”)。 数字证书 基本证书域 签名算法域 签名值域 基本域 扩展域
上海市数字证书使用管理办法
上海市数字证书使用管理办法 第一条(目的和依据) 为了规范本市数字证书的使用和管理,推进数字证书的应用,保障信息安全,根据《中华人民共和国电子签名法》《中华, 人民共和国保守国家秘密法》《电子认证服务管理办法》《电子, , 认证服务密码管理办法》的有关规定,制定本办法. 第二条(定义) 本办法所称的数字证书, 是指以密码技术为基础的能够证实电子签名人与电子签名制作数据具有关联性的一种电子签名认证证书.第三条(适用范围) 本办法适用于本市行政区域内数字证书的申请, 发放, 使用, 更新及其相关的管理活动. 第四条(管理部门) 上海市信息化委员会(以下简称市信息委) ,上海市国家密码管理委员会办公室(以下简称市国密办) ,上海市国家保密局 (以下简称市国家保密局)按照各自职责,负责本市数字证书使用的统一规划和管理. 第五条(电子认证服务) 本市电子政务活动中涉及数字证书使用的电子认证服务, 应当由依法设立并经市信息委,市国密办,市国家保密局共同认可 1 的电子认证服务机构统一提供, 其系统建设应当符合本市统一的电子认证服务体系的建设要求. 本市社会公共服务活动中涉及数字证书使
用的电子认证服务,应当由依法设立的电子认证服务机构提供,其系统建设应当符合本市统一的电子认证服务体系的建设要求. 本市电子商务活动中涉及数字证书使用的电子认证服务, 应当由依法设立的电子认证服务机构提供. 第六条(数字证书在电子政务活动中的使用) 在下列电子政务活动中,需要解决身份认证,授权管理,责任认定的,应当按照国家和本市有关规定使用数字证书: (一)利用电子政务系统开展内部办公或者协同办公,公文流转,公文归档以及归档公文向档案馆移交等活动; (二)网上政府采购,招投标等活动; (三)网上申报,年检,备案,审批,缴费,资质认定,统计等社会管理活动; (四)利用网络向社会提供信息公开服务的活动; (五)其它利用网络开展电子政务的活动. 第七条(数字证书在社会公共服务活动中的使用) 在下列社会公共服务活动中, 需要解决身份认证, 授权管理, 责任认定的,应当按照国家和本市有关规定使用数字证书: (一)法律,法规授权的具有管理公共事务职能的组织利用网络开展的社会公共服务活动; 2 (二)银行,证券,保险,期货等行业的机构利用网络开展的金融服务活动; (三)教育,医疗卫生,供水,供电,供气,供热,公共交通,环保等领域的企事业单位,利用网络开展的社会公共服务活动; (四)其它利用网络开展的社会公共服务活动. 第八条(数字证书在电子商务活动中的使用) 在下列电子商务活动中,需要解决身份认证,授权管理,责任认定的,
胜利石油管理局企业标准 Q/SL TEC-c-2002 授权系统与其它应用的接口规范 1适用范围 本标准规定了胜利石油管理局授权系统与其它应用的接口规范。 本标准适用于胜利油田(企业内部)对于授权系统与其它应用接口的要求。2规范解释权 本规范由胜利油田石油管理局信息中心解释。 3总则 本规范是指基于目录服务的授权系统与其它应用的接口规范,着眼于应用先进的认证技术,统一认证、统一授权管理,规范原有的业务系统的授权方式的改造,指导新的应用开发。 4认证授权系统的基本概念 在业务系统和授权中,有些应用如数据库系统难以主动认证用户的身份,为了更好认证用户,我们引入认证实体AA(注:非Attribute Authentication 的缩写,AA为Authentication & Authority的缩写),来参与认证用户的身份。 用户的身份认证和访问控制授权有两种基本方式:其一,先认证再授权;其二,将认证和授权融于一体,一次性实现认证和访问控制授权。在本技术方案中,对于这两种认证授权方式格方公司都能提供。但不管是哪种基本方式,对于不同的平台,实现原理基本一致,只是API调用略有差别。 (1)认证再授权: 利用PKI技术验证用户的身份,用户的身份验证完以后再查询用户的资源票据(权限信息),并对票据信息的合法性进行验证,根据资源票据的情况来控制用户的访问。
用户身份鉴别的基本原理为: 1、用户发请求到认证实体; 2、认证实体收到用户认证请求以后,产生随机数,并将随机数反馈给用 户; 3、用户用私钥对随机数加密,将用户的证书、加密的结果及属性证书传 输给认证实体; 4、认证实体收到随机数后,验证证书的合法性及有效性,并解密随机数, 比较发出的随机和收到并解密的随机数是否一致,如一致则说明用户 的身份是合法的,否则用户非法; 5、用户的身份被鉴别以后,到ORSP查询其信息资源票据,对应用系统 用户授权控制。 (2)将认证和授权融于一体: 用户的身份认证和具体的业务系统授权相结合的办法来认证用户的身份,即采用认证授权(AA)服务来对用户的身份进行认证,结合业务系统反馈用户的资源权限票据,以实现业务系统对用户身份的安全认证和资源访问的有效控制。对用户的身份认证采用CA和数字证书技术来认证用户。基本的模型如下: 其过程如下: 1) 业务系统向AA提交用户的数字证书,如有属性证书,则从客户端提交; 2) AA从客户证书中提取用户ID,验证用户ID的合法性;利用事先加载的 CA证书,来验证个人证书的合法性,并通过CA系统提供证书回收列表 (CRL)查询用户身份的有效性; 3) 若用户的身份合法,则通过用户ID号查询用户的信息资源票据。
升降平台安全操作规程 一、操作前检查 工作前要认真检查升降平台各部件,重点检查螺丝连接是否可靠,液压管路元件有无泄漏,电线接点有无松脱、破损等情况。并将平台上下空载试行数次,检查有无故障和不正常现象。 二、操作步骤 【一】设定 1、将机器放置在一个牢固、水平而且无障碍的工作场地,并将机器置 于作业区的正下方; 2、连接到220V接地的交流电源; 3、插入钥匙并将平台控制器转到ON(开)位置; 4、安装并调整支腿使机器水平,并将车轮升起到略微离开地面; 5、检查互锁显示。确保所有四个互锁显示灯位亮且所有四个支腿稳固 接触地面; 6、使用气泡水平仪确保机器水平。 【二】紧急停机 按下平台控制器或地面控制器上的红色“紧急停机”按钮以终止上升功能。【三】平台升起操作过程 1、按住上升按钮,使平台向上升起至略高于平台托板,使得左右托板 可以展开; 2、展开左右托板; 3、按住下降按钮,使平台下降,使得托板能够紧密地卡住平台;
4、继续按住下降按钮,使护栏台面继续下降,并且下降至平台底部; 5、将平台两侧四个快速夹具展开以支撑台面,并确保夹具处于工作状 态; 6、按住上升按钮,使得平台上升到工作位置。 【四】平台下降操作过程 1、按住下降按钮,使得平台从工作位置下降到平台托板位置; 2、收拢平台两侧四个快速夹具; 3、按住上升按钮,使平台向上升起至初始位置; 4、收拢左右托板; 5、按住下降按钮,使平台下降,下降至起始位置。
升降平台使用注意事项 1、请勿在平台未平稳,外伸支腿未调好、调平,着地不牢靠的情况下 提升平台; 2、请勿在地面不平稳状态下使用本机器; 3、请勿在平台上有人或升起时调整或收起外伸支腿; 4、请勿在平台升起时移动机器,如需移动请先将平台缩合,松开支腿; 5、严禁超载; 6、请勿使用本机提升货物或设备,本机仅限用于载人和工具作业; 7、请勿在强风状况下进行室外作业; 8、请勿在作业时向外用力推拉物体; 9、请勿在平台护栏上坐卧、站立或攀缘; 10、起升平台下严禁站人或堆放杂物; 11、请勿以本机器作为电焊中线接地之用; 12、请勿在一切可以预见危险状况下使用本机。 13、升降平台由工程班保管、操作,未经允许,禁止私自拉平台使用。 14、操作平台,须开登高作业证。
数字证书登陆常见问题解决方法 问题一、-10101042错误信息没有符合条件的证书 原因分析:由于客户使用了安全卫士等工具在启动项把我们的KEY的启动程序(SMKEYU1000)没有检测到证书所以导致这样的问题 解决办法: 第一步,检查数字证书是否已接到电脑上,灯是否亮。 第二步,检查数字证书的驱动是否已安装 第三步,用管理工具登陆检查一下有没有数字证书在UKEY里面 第四步,检查电脑的右下角任务栏里有没有一个U盘图标 如果没有U盘图标执下面的操作 (1)执行桌面上的管理工具会自动的调用SMKEYMonitor.exe (2需手动找到下面这个目录 C:\Program Files\SZCA\深圳CA数字证书EKEY管理工具\SMKEYMonitor.exe 双击运行SMKEYMonitor.exe
执行以上操作后应该可以出来一个这样的图标 出现这样的图标就可以登陆本系统。 问题二: 登陆时提示,登陆失败,请检查是否正确安装驱动程序!点击这里下载安装驱动程序。 解决办法: 双击IE上面的黄色提示加载项,并安装深圳CA数字证书控件 并检查IE的加载项有没有启动(IE-工具-管理加载项)
问题三: 登陆的时候就直接跳到验签失败NULL值的页面
分析1:是由于IE安全设置的问题调用不到我们的控件JITDSign.ocx所导致,要改IE里可信站点的安全级别。 分析2:是由于在退出登陆的时候会清空了KEY的缓存再次登陆就会出现这样的问题所以要客户把IE关了再开就好了 解决办法: 方式一 IE浏览器的工具-Internet选项-安全-可信站点-默认级别(通常为中)
企业在信息化的过程中会根据自身的需求构建各种软件系统,如:网站、OA、CRM、订单系统、采购系统、库存管理、财务系统等,由于所需的软件系统一般是逐步构建和投入使用的,构建的时间、所采用的技术等都不一样,软件系统的也很难做到完全由一家供应商提供。如果企业的多个系统之间存在信息传递和数据交换,软件系统之间的集成和整合就势在必行,如:OA中需要访问CRM的数据、CRM需要访问订单系统的数据;CRM和订单系统都存在客户信息的维护管理,为了保证数据的唯一和准确、同时减少维护的工作量,最好是只在一个系统中进行管理和维护等等,那么软件系统集成和整合的方式常见的有哪些呢? 一、软件系统功能完全融合在一个系统中 A、方式描述 将多个系统融合在一个系统中,统一账号和权限的管理,统一应用的管理,最终以一个独立的软件系统存在。如果这种方式所需的时间和成本比较低,该模式在管理和使用上对最终用户更加方便。 B、应用场合 1、以某一个软件系统为主、需要整合的功能比较简单; 2、软件系统是以定制开发为主的,后续需要定制开发新的功能; 3、一般由同一个软件供应商提供服务; C、优势 所有功能都在一个系统中,节省资源,方便管理和维护,系统之间的信息传递及时快捷,功能完整性比较好。 D、不足 软件服务商需要有较强的开发能力,周期比较长,需要对所有系统都非常熟悉,对已有系统的扩展性要求比较高(否则代价高、造成已有系统的不稳定)。 二、软件系统间以接口方式相互调用 A、方式描述 企业存在多个各自独立的软件系统,系统之间调用彼此的接口进行数据的交换和信息的传递。如,OA系统中读取订单系统的销售数据进行业绩统计和绩效管理,OA系统中费用报销流程的数据需写入财务系统,网站中客户下单的信息需写入到OA系统进入订单审批流程,网上支付银行接口的调用等。 一般在技术上会以API接口、web service接口、直接访问数据库接口等方式实现,优秀的软件系统一般都有设计良好的外部接口,直接访问数据库不是最好的解决方案。 B、应用场合 1、多个软件系统独立存在,每个系统的都占有比较重要的地位,软件系统可能由不同的供应商提供。 2、系统之间需进行数据的交换和信息的传递,企业的某些业务需要经过多个系统的处理才能完整的完成。
国家标准 《智能交通数字证书应用接口规范》 (征求意见稿) 编制说明 《智能交通数字证书应用接口规范》标准编制组 2017年7月31日
目录 一、工作简况 (1) 二、编制原则和确定主要内容论据 (2) 三、主要试验(或验证)的分析、技术经济认证或预期的经济效果 (6) 四、与国际、国外同类标准水平的对比情况 (6) 五、与有关的现行法律、法规和强制性标准的关系 (6) 六、重大分歧意见的处理经过和依据 (6) 七、标准作为强制性标准或推荐性标准的建议 (6) 八、贯彻标准的要求和措施建议 (7) 九、废止现行有关标准的建议 (7) 十、其他应予说明的事项 (7)
一、工作简况 1、任务来源 《智能交通数字证书应用接口规范》列入了《2011年国家标准制修订计划》,计划编号20111694-T-469。 通过对智能运输系统深入的研究,对智能运输系统中数字证书应用的安全消息的语法和数字证书应用接口进行了规范,同时对安全消息语法的基本元素格式进行了定义。 本标准由全国智能运输系统标准化技术委员会(SAC/TC 268)提出并归口,标准起草单位是交通运输部公路科学研究院。 2、协作单位 标准编制参加单位为北京中交国通智能交通系统技术有限公司、360企业安全集团、恒安嘉新(北京)科技股份公司、国家互联网应急中心、北京信息科技大学。 3、主要工作过程 2011年10月~2012年1月,将《智能运输数字证书应用接口规范》标准,作为交通运输部信息化课题《交通运输行业密钥管理与安全认证系统应用研究》的研究成果之一,纳入标准课题研究计划,成立标准编写组。 2012年1月~2012年7月,对国家政策、相关标准进行搜集整理,先后到卫生部、水利部、民航空管局、中科院信息安全国家重点实验室进行专题调研。 2012年8 月~2014年1月,确定标准编制技术方案后,先后在公路网出行报送系统、台湾海峡两岸航运网上行政许可系统、国家干线路网信息系统中进行验证性工作。 2014年1月~2014年6月,编制组起草了标准草稿,并对标准草稿进行详细研究讨论。 2014年7月,完成标准征求意见稿的编写工作,通过网络、发函、会议等
安全综合管理平台技术要求与接口规范 1 范围 本标准规定了电子政务外网安全综合管理平台技术要求与接口规范的术语和定义、缩略语、建设原则与目标、系统总体架构、系统功能要求、系统性能要求、自身安全性、安全综合管理平台接口。 本部分适用于全省电子政务外网安全综合管理平台的功能、性能、安全性、部署方式、接口等技术要求,指导全省电子政务外网安全综合管理平台规划、设计和建设,也可作为各级电子政务外网管理部门进行指导、监督和检查的依据。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T 2260 中华人民共和国行政区划代码 GB/T 18030 信息技术中文编码字符集 GB/T 20984-2007 信息安全技术信息安全风险评估规范 GB/Z 20986-2007 信息安全技术信息安全事件分类分级指南 GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求 GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南 GB/T 28448-2012 信息安全技术信息系统安全等级保护测评要求 3 术语和定义 3.1 安全管理系统 Security Operation Center(SOC) 采用多种技术手段,收集和整合各类网络设备、安全设备、操作系统等安全事件,并运用关联分析技术、智能推理技术和风险管理技术,实现对安全事件信息的深度分析和识别,能快速做出报警响应,实现对安全事件进行统一监控分析和预警处理。 3.2 网络管理系统 Network Management System(NMS) 提供拓扑管理、设备配置、故障告警、性能监测和报表管理功能,实现对网络运行的集中统一管理。 3.3 脆弱性 Vulnerability 信息技术、信息产品、信息系统在需求、设计、实现、配置、运行等过程中,有意或无意产生的缺陷,这些缺陷以不同形式存在于信息系统的各个层次和环节之中,一旦被恶意主体所利用,就会对信息系统的安全造成损害,从而影响构建于信息系统之上正常服务的运行,危害信息系统及信息的安全。脆
上海市数字证书使用管理办法 第一条(目的和依据) 为了规范本市数字证书的使用和管理,推进数字证书的应用,保障信息安全,根据《中华人民共和国电子签名法》《中华,人民共和国保守国家秘密法》《电子认证服务管理办法》《电子,,认证服务密码管理办法》的有关规定,制定本办法. 第二条(定义) 本办法所称的数字证书,是指以密码技术为基础的能够证实电子签名人与电子签名制作数据具有关联性的一种电子签名认证证书. 第三条(适用范围) 本办法适用于本市行政区域内数字证书的申请,发放,使用,更新及其相关的管理活动. 第四条(管理部门) 上海市信息化委员会(以下简称市信息委),上海市国家密码管理委员会办公室(以下简称市国密办),上海市国家保密局(以下简称市国家保密局)按照各自职责,负责本市数字证书使用的统一规划和管理. 第五条(电子认证服务) 本市电子政务活动中涉及数字证书使用的电子认证服务,应当由依法设立并经市信息委,市国密办,市国家保密局共同认可1的电子认证服务机构统一提供,其系统建设应当符合本市统一的电子认证服务体系的建设要求.本市社会公共服务活动中涉及数字证书使用的电子认证服务,应当由依法设立的电子认证服务机构提供,其系统建设应当符合本市统一的电子认证服务体系的建设要求.本市电子商务活动中涉及数字证书使用的电子认证服务,应当由依法设立的电子认证服务机构提供. 第六条(数字证书在电子政务活动中的使用)
在下列电子政务活动中,需要解决身份认证,授权管理,责任认定的,应当按照国家和本市有关规定使用数字证书:(一)利用电子政务系统开展内部办公或者协同办公,公文流转,公文归档以及归档公文向档案馆移交等活动;(二)网上政府采购,招投标等活动;(三)网上申报,年检,备案,审批,缴费,资质认定,统计等社会管理活动;(四)利用网络向社会提供信息公开服务的活动;(五)其他利用网络开展电子政务的活动. 第七条(数字证书在社会公共服务活动中的使用) 在下列社会公共服务活动中,需要解决身份认证,授权管理,责任认定的,应当按照国家和本市有关规定使用数字证书:(一)法律,法规授权的具有管理公共事务职能的组织利用网络开展的社会公共服务活动;2(二)银行,证券,保险,期货等行业的机构利用网络开展的金融服务活动;(三)教育,医疗卫生,供水,供电,供气,供热,公共交通,环保等领域的企事业单位,利用网络开展的社会公共服务活动;(四)其他利用网络开展的社会公共服务活动. 第八条(数字证书在电子商务活动中的使用) 在下列电子商务活动中,需要解决身份认证,授权管理,责任认定的,鼓励使用数字证书:(一)设立各类网络交易平台,信息服务平台和娱乐平台的活动;(二)利用网络签订电子合同,进行电子支付,交付数字产品的活动;(三)电子商务活动中交易各方认为需要使用数字证书的活动;(四)其他利用网络开展的电子商务活动. 第九条(数字证书的申请和发放) 申请使用数字证书的政府机构,法律法规授权的具有管理公共事务职能的组织,企事业单位,民办非企业单位(以下简称单位)或者个人,应当向电子认证服务机构提供合法,有效的证件或者证明材料.经审查符合申请条件的,双方签订数字证书使用服务协议,由电子认证服务机构发放数字证书并收取相关费用.3因开
现行国家信息安全技术标准 序号 标准号 Standard No. 中文标准名称 Standard Title in Chinese 英文标准名称 Standard Title in English 备注 Remark 1GB/T 33133.1-2016信息安全技术祖冲之序列密码算法第1部分:算法描述Information security technology—ZUC stream cipher algorithm— Part 1: Algorithm description 2GB/T 33134-2016信息安全技术公共域名服务系统安全要求Information security technology—Security requirement of public DNS service system 3GB/T 33131-2016信息安全技术基于IPSec的IP存储网络安全技术要求Information security technology—Specification for IP storage network security based on IPSec 4GB/T 25067-2016信息技术安全技术信息安全管理体系审核和认证机构要求Information technology—Security techniques—Requirements for bodies providing audit and certification of information security management systems 5GB/T 33132-2016信息安全技术信息安全风险处理实施指南Information security technology—Guide of implementation for information security risk treatment 6GB/T 32905-2016信息安全技术 SM3密码杂凑算法Information security techniques—SM3 crytographic hash algorithm 国标委计划[2006]81号 7GB/T 22186-2016信息安全技术具有中央处理器的IC卡芯片安全技术要求Information security techniques—Security technical requirements for IC card chip with CPU 8GB/T 32907-2016信息安全技术 SM4分组密码算法Information security technology—SM4 block cipher algorthm 国标委计划[2006]81号 9GB/T 32918.1-2016信息安全技术 SM2椭圆曲线公钥密码算法第1部分:总则Information security technology—Public key cryptographic algorithm SM2 based on elliptic curves—Part 1: General 国标委计划 [2006]81号