关于上海海关放行电子信息加验签技术实施的简要说明.docVIP

关于上海海关放行电子信息 加验签技术实施的简要说明 [v1.1]  上海市数字证书认证中心有限公司 2013-12-10 版本信息： 当前版本 1.1 版权信息： SHECA是上海市数字证书认证中心有限公司的注册商标和缩写。 UCA是上海市数字证书认证中心有限公司研究开发的通用证书系统的商标和缩写。 本文的版权属于上海市数字证书认证中心有限公司，未经许可，任何个人和团体不得转载、粘贴或发布本文，也不得部分的转载、粘贴或发布本文，更不得更改本文的部分词汇进行转贴。 未经许可不得拷贝，影印。 Copyright @2013上海市数字证书认证中心有限公司 目 录 一．术语说明 5 二．应用过程 6 三、技术比较 7 四．接口说明 8 （a）加密机 8 1. 简述 8 2. 主要API函数说明 8 基本项获取 8 密钥库 8 密钥库元素别名 9 证书 9 密钥库对象证书 9 缓存证书（RSA） 9 数字签名 10 签名 10 密钥库隐式签名（RSA） 10 SM2数字签名 10 验证签名 10 对象证书（RSA） 10 缓存证书 11 SM2数字验签(非KEYSTORE) 11 SM2数字验签(KEYSTORE) 12 通过黑名单验证证书 12 对象证书（RSA） 12 对象证书（SM2） 13 Base64 编码/解码 13 Base64编码 13 Base64解码 14 3. Demo示例 14 （b）签名验签服务器 15 1. 简述 15 2. 接口说明 15 签名验签接口 15 签名 15 验签 16 证书解析接口 17 获取证书基本项信息 17 （c）USB KEY 18 1. 简述 18 2. 主要API函数说明 18 初始化环境 18 清除环境 19 数字签名 19 签名 19 签名并编码成PKCS7格式 20 验证签名 20 解PKCS7并验证签名 20 证书 21 从介质中获取证书 21 通过黑名单验证证书 21 一．术语说明 （1）数字证书： 由国家认可的，具有权威性、可信性和公正性的第三方证书认证机构（CA）进行数字签名的一个可信的数字化文件。 （2）根证书： 根证书是一份特殊的证书，它的签发者是它本身，是CA认证中心给自己颁发的证书,同时也是信任链的起始点，证书的验证追溯至根证书即为结束。 （3）数字签名： 可靠电子签名的一种技术实现形式，是以电子形式存在于数据信息之中的，或作为其附件的或逻辑上与之有联系的数据，可用于辨别数据签署人的身份，并表明签署人对数据信息中包含的信息的认可。数字签名是可靠的电子签名。 （4）签名验证 数字签名验证是验证者使用签名者的公开密钥对数字签名进行验证的过程。 （5）SM2 国家密码管理局在2010年12月份公布了《SM2椭圆曲线公钥密码算法》，SM2算法本质上是一种椭圆曲线算法（ECC）。 （6）SM3 国家密码管理局编制的商用算法，用于密码应用中的数字签名和验证、消息认证码的生成与验证以及随机数的生成，可满足多种密码应用的安全需求。 （7）RSA RSA算法是一种非对称密码算法。 （8）SHA1 SHA1算法是一种杂凑算法。 （9）加密机 加密机是通过国家商用密码主管部门鉴定并批准使用的国内自主开发的主机加密设备。 （10）签名验签服务器 提供数字签名服务并对数据签名结果进行真实性、有效性验证的设备。设备可对关键敏感数据进行签名并验证，保证数据的真实性、完整性、合法性。 （11）USB KEY USB KEY是一种USB接口的硬件设备。它内置单片机或智能卡芯片，有一定的存储空间，可以存储用户的私钥以及数字证书，利用USB KEY内置的公钥算法实现对用户身份的认证。 二．应用过程 数据源发送方（签名方）调用上海数字认证中心（以下简称：上海CA中心）提供的API接口，执行初始化操作； 使用自己的私钥对数据或其他与数据内容有关的变量进行加密处理，完成对数据的合法“签名”，并对签名数据进行BASE64编码； 将数字证书、签名原始数据以及签名数据发送给验证方； 数据接收方（验证方）接收到对方的数字证书后，检验证书的合法性（包括：证书有效期、CRL列表） 利用对方数字证书的公钥来解读收到的“数字签名”，并将解读结果用于对数据完整性的检验，以确认签名的合法性。 3-1 签名验证基本流程图 数字签名技术是在网络系统虚拟环境中确认身份的重要技术，在数字签名应用中，发送者的公钥可以公开，但私钥则需要严格保密。 备注：（1）在验证签名需要验证证书有效性； （2）验证证书有效性需参照《上海海关放行电子信息安全认证规范V1.0》第3.4.3中的要求实施； 三、技术比较 内容 加密机 签名验签服务器 USB Key 技术特点 提供多密钥管理、数字签名验签服务、数据加密服务 提供多密钥管理