LD∕T 01.2-2022 人力资源社会保障电子印章体系 第2部分 印章技术规范.pdf

1、 ICS 35.040 CCS L 80 LD 中华人民共和国劳动和劳动安全行业标准 LD/T 01.22022 人力资源社会保障电子印章体系 第 2 部分 印章技术规范 Human Resources and Social Security Electronic Seal System Part 2: Technical Specification of the Seal 2022 - 03 - 23 发布 2022 - 06 - 01 实施 中华人民共和国人力资源和社会保障部 发 布 学兔兔 标准下载LD/T 01.22022 I 目次 前言 . II 引言 . III 1 范围 . 1

2、2 规范性引用文件 . 1 3 术语和定义 . 1 4 缩略语 . 1 5 概述 . 2 6 电子印章数据格式 . 2 数据结构 . 2 印章信息 . 2 制章系统证书 . 5 签名算法标识 . 5 签名值 . 5 7 电子印章生成流程 . 5 8 电子印章验证流程 . 6 附录 A（规范性） 证书内容要求 . 8 参考文献 . 12 学兔兔 标准下载LD/T 01.22022 II 前言 本文件按照GB/T 1.12020标准化工作导则 第1部分：标准化文件的结构和起草规则的规定起草。 LD/T 012022 人力资源社会保障电子印章体系分为4个部分； 第1部分：总体技术架构 第2部分：印章

3、技术规范 第3部分：签章技术规范 第4部分：系统接口规范 本文件是LD/T 012022 人力资源社会保障电子印章体系规范第2部分。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本文件由中华人民共和国人力资源和社会保障部信息中心提出并归口。 本文件起草单位：人力资源和社会保障部信息中心、山东省人力资源和社会保障厅网信办、江苏省人力资源和社会保障信息中心、北京信安世纪科技股份有限公司、同智伟业软件股份有限公司、江西金格科技股份有限公司、南京壹证通信息科技有限公司。 本文件主要起草人：马丹蕾、张嵩、耿建军、唐淑静、韩晓颖、王岩、叶鹏、高永昌、李德强、周海涛、秦玮

4、、王珂、赵旺、张循。 学兔兔 标准下载LD/T 01.22022 III 引言 LD/T 012022 人力资源社会保障电子印章体系分为4个部分。第2部分作为印章技术规范，规定了人力资源社会保障电子印章体系印章的数据结构、 印章信息、 印章生成流程和印章验证流程等内容。其余部分为具体总体技术架构、签章规范、接口规范。一方面规范行业电子印章应用，并依据国务院电子政务办公室颁布的ZWFW C 01182019、ZWFW C 01192018、ZWFW C 01202018、ZWFW C 01212018和ZWFW C 01222018标准，将行业电子印章系统接入国家政务服务平台统一电子印章平台，另

5、一方面可为补充新标准内容预留空间，有利于对各个部分的灵活制定或修订。 学兔兔 标准下载LD/T 01.22022 1 人力资源社会保障电子印章体系 第 2 部分 印章技术规范 1 范围 本文件规定了人力资源社会保障电子印章的数据格式和电子印章的生成、验证流程、数据格式、数据结构、印章信息。 本文件适用于人力资源社会保障电子印章系统的建设、使用和各地区人力资源社会保障电子印章系统的接入。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中， 注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

6、GB/T 205182018 信息安全技术 公钥基础设施 数字证书格式 GB/T 329052016 信息安全技术 SM3密码杂凑算法 GB/T 335602017 信息安全技术 密码应用标识规范 GB/T 352752017 信息安全技术 SM2密码算法加密签名消息语法规范 GB/T 352762017 信息安全技术 SM2密码算法使用规范 GM/Z 00012013 密码术语 3 术语和定义 GM/Z 00012013界定的以及下列术语和定义适用于本文件。 电子印章系统 electronic seal system 支持电子印章制作、管理、使用、验证等过程的系统。 电子印章标识 elect

7、ronic seal identification 由电子印章系统签发的用于识别电子印章的标识编码， 是区分电子印章数据的唯一标识编码， 用于查找和索引其它信息以及电子文档的数字签名、验签等。 电子印章所有者 owner of electronic seal 具备电子印章法定使用权限的主体。 4 缩略语 下列缩略语适用于本文件。 ASN.1：抽象语法记法（Abstract Syntax Notation One） BMP：位图（Bitmap） DER：非典型编码规则（Distinguished Encoding Rules） GIF：一种图像交换格式（Graphics Interchange

8、Format） JPG：一种图像文件格式（Joint Photographic Experts Group） OID：对象标识符（Object Identifier） PKI：公钥基础设施（Public Key Infrastructure） PNG：便携式网络图像格式（Portable Networks Graphics） 学兔兔 标准下载LD/T 01.22022 2 SVG：可缩放的矢量图形（Scalable Vector Graphics） 5 概述 人力资源社会保障电子印章系统的电子签章是采用PKI公钥密码技术，将数字图像处理技术与电子签名技术进行结合， 以印章外观模拟方式对电子文档

9、进行数字签名， 以确保文档来源的真实性以及文档的完整性，防止对文档未经授权的篡改，并确保签章行为的不可否认性。 为了确保电子印章的完整性、不可伪造性、以及合法用户才能使用，应定义一个安全的电子印章数据格式。通过数字签名，将印章图像数据与电子印章所有者等印章属性进行安全绑定，形成安全电子印章，在使用印章过程中，也可对电子印章进行安全性验证。 人力资源社会保障电子印章系统中数字签名算法为SM2，密码杂凑算法为SM3。 6 电子印章数据格式 数据结构 电子印章的数据结构见图1。 电子印章的数据结构电子印章的数据结构印章信息制章系统证书签名算法标识签名值 图1 电子印章的数据结构 电子印章数据的ASN

10、.1定义为： SESeal:=SEQUENCE eSealInfo SES_SealInfo, -印章信息 cert OCTET STRING, -制章系统证书 signAlgID OBJECT IDENTIFIER, -签名算法标识 signedValue BIT STRING -制章系统对印章信息域的签名值 其中： eSealInfo： 印章信息，是电子印章基本域； cert： 制章系统的 X.509 证书，宜使用 DER 编码格式； signAlgID： 制章系统对 eSealInfo 域进行数字签名所使用的签名算法标识； signedValue 制章系统对 eSealInfo 域进行数

11、字签名的结果。 印章信息 6.2.1 印章信息域结构 印章信息域eSealInfo是电子印章基本域，包含了印章头、电子印章标识、印章属性、印章图像数据、自定义数据等基本信息，eSealInfo数据结构见图2。 印章信息域的数据结构印章信息域的数据结构印章头电子印章标识印章属性自定义数据印章图像数据 图2 印章信息域结构 印章信息eSealInfo的ASN.1定义如下： SES_SealInfo:= SEQUENCE header SES_Header, -印章头 esID IA5String, -电子印章标识，电子印章的唯一标识编码 property SES_ESPropertyInfo, -

12、印章属性 学兔兔 标准下载LD/T 01.22022 3 picture SES_ESPictrueInfo, -电子印章图像数据，机构的电子印章宜采用国家有关管理部门指定的印章印模 extDatas ExtensionDatas OPTIONAL -自定义数据 其中： esID：区分电子印章数据的唯一标识编码，用于查找和索引其他信息，由电子印章所有者的统一社会信用代码+3位顺序号组成；例如，人力资源和社会保障部信息中心的第一个电子印章，esID表示为“12100000717825712K001”，其中“12100000717825712K”为人力资源和社会保障部信息中心的统一社会信用代码；“

13、001”为顺序号。 6.2.2 印章头 印章头的数据结构见图3。 印章印章头头的数据结构的数据结构标识版本号厂商ID 图3 印章头结构 印章头的ASN.1定义为： SES_Header:=SEQUENCE ID IA5String， -电子印章标识 version INTEGER， -电子印章版本号标识 Vid IA5String -电子印章厂商 ID 其中： ID： 固定值“ES”； version： 电子印章数据结构版本号，由 2 位序号组成，第 1 位标识主版本号，第 2 位标识次版本号，如“41”标识版本 4.1，本规范中版本号统一表示为 41； Vid： 电子印章厂商 ID，在互联互

14、通时，用于识别不同的软件厂商；宜用厂商域名表示。 6.2.3 印章属性 印章属性的数据结构见图4。 印章属性的数据结构印章属性的数据结构印章类型印章名称电子印章所有者证书列表类型电子印章所有者证书列表数据制作日期有效起始日期有效终止日期 图4 印章属性的数据结构 印章属性的ASN.1定义为： SES_ESPropertyInfo:=SEQUENCE type INTEGER, -印章类型 name UTF8String, -印章名称 certListType INTEGER, -电子印章所有者证书列表类型 certList SES_CertList, -电子印章所有者证书列表数据，是电子印章所

15、有者证书列表或电子印章所有者证书杂凑值列表 createDate GeneralizedTime, -印章制作日期 validStart GeneralizedTime, -印章有效起始日期 validEnd GeneralizedTime -印章有效终止日期 学兔兔 标准下载LD/T 01.22022 4 其中： type： 代表印章类型，电子印章类型格式分为电子公章标识和电子名章标识两类，电子印章类型至少包括电子法定名称章(代码：01)、电子财务专用章(代码：02)、电子发票专用章(代码：03)、电子合同专用章（代码：04）、电子名章（代码：05）五类，当印章类型代码为 01、02、03、

16、04时，称为电子公章标识；当印章类型代码为 05 时，称为电子名章标识； name： 印章名称，如“XXXX 章”，对于在公安部门进行备案的印章，其印章名称与备案的名称保持一致； certListType： 电子印章所有者证书列表类型，1-证书列表，2-证书杂凑值列表； certList： 电子印章所有者证书列表数据，电子印章所有者证书列表或电子印章所有者证书杂凑值列表，电子印章所有者数字证书即电子印章数字证书； createDate： 印章制作日期； validStart： 印章有效期起始时间； validEnd： 印章有效期终止时间。 注： 电子印章含有印章有效期和电子印章所有者数字证书有

17、效期，两者宜保持一致。 SES_CertList:= CHOICE certs CertInfoList, -电子印章所有者证书列表 certDigestList CertDigestList -电子印章所有者证书杂凑值列表 CertInfoList: = SEQUENCE OF Cert certDigestList: = SEQUENCE OF CertDigestObj Cert:= OCTET STRING Cert符合GB/T 205182018 中 Certificate定义，宜使用DER编码格式。该证书用电子印章根证书或其子证书对应的私钥签发，证书项目内容要求见附录A。 Cert

18、DigestObj := SEQUENCE type ObjType, -自定义类型 value CertDigestValue -证书杂凑值 ObjType := PrintableString CertDigestValue:= OCTET STRING 6.2.4 印章图像数据 印章图像数据的结构见图5。 印章图像的数据结构印章图像的数据结构图像类型图像数据图像显示的宽度和高度 图5 印章图像数据结构 印章图像数据的ASN.1定义为： SES_ESPictrueInfo:=SEQUENCE type IA5String, -图像类型 data OCTET STRING, -图像数据 wi

19、dth INTEGER, -图像显示宽度 height INTEGER -图像显示高度 其中： type： 代表印章图像类型，如 GIF、BMP、JPG、SVG、PNG 等； data： 印章图像数据。例如电子印章备案采用的印章图片格式为 PNG8 格式，2 色，分学兔兔 标准下载LD/T 01.22022 5 辨率为 600DPI； width： 图像显示宽度（单位为毫米 mm）； height： 图像显示高度（单位为毫米 mm）。 6.2.5 自定义数据 自定义数据的ASN.1定义为： ExtensionDatas:=SEQUENCE SIZE(0.MAX)OF ExtData ExtDa

20、ta:=SEQUENCE extnID OBJECT IDENTIFIER, -自定义扩展字段标识 critical BOOLEAN DEFAULT FALSE, -自定义扩展字段是否关键 extnValue OCTET STRING -自定义扩展字段数据值 自定义数据包括如下内容： a) 印章制作单位信息（sealMakingUnitInfo）用于标识电子印章的印章制作单位。该数据项应为字符型，长度不大于 200 个字节，单位信息格式为“统一社会信用代码+名称”。其 ASN.1 的结构如下： Id-sealMakingUnitInfo OBJECT IDENTIFIER := 1.2.156

21、.112600.7.1 sealMakingUnitInfo:= OCTET STRING b) 印章使用单位_单位少数民族文字名称 （sealHoldingUnit_EthnicMinorities Name） 用于印章使用单位的单位少数名族名称。其 ASN.1 的结构如下： Id-sealHoldingUnitEthnicMinoritiesName OBJECT IDENTIFIER := 1.2.156.112600.7.2 sealHoldingUnitEthnicMinoritiesName:= OCTET STRING c) 印章使用单位_单位英文名称 （sealHoldingU

22、nit_EnglishName） 用于印章使用单位的单位英文名称。其 ASN.1 的结构如下： Id-sealHoldingUnitEnglishName OBJECT IDENTIFIER := 1.2.156.112600.7.3 sealHoldingUnitEnglishName:= OCTET STRING 制章系统证书 cert：对电子印章进行签名的制章系统证书，符合GB/T 205182018中 Certificate定义，宜按DER编码格式存放。 签名算法标识 signAlgID：签名算法OID标识，遵循 GB/T 335602017，基于SM2算法和SM3算法的签名OID为1

23、.2.156.10197.1.501。 签名值 signedValue：代表制章系统对电子印章格式中印章信息SES_SealInfo按SEQUENCE方式组成的信息内容的数字签名。 签名算法使用SM2，遵循GB/T 352752017和GB/T 352762017，杂凑算法使用SM3算法，遵循GB/T 329052016。 7 电子印章生成流程 电子印章生成流程见图6。 学兔兔 标准下载LD/T 01.22022 6 图6 电子印章生成流程 电子印章生成流程如下： a) 人社行业内机构的电子印章以及需要跨行业互认互信的电子印章，在制作印章之前需向上级部门申请赋码；如果不需要跨行业互认互信的，可

24、以不需要申请，赋码留空。 b) 按 6.2 定义的电子印章数据格式，将电子印章头、电子印章标识、电子印章属性、电子印章图像数据、自定义数据等数据按 SEQUENCE 方式组成电子印章信息域。 c) 根据签名算法标识 signAlgID， 对上述步骤 b)的电子印章信息域进行数字签名运算， 形成印章的签名值。 d) 将上述步骤 b）和 c）的数据以及制章系统证书、signAlgID 组包形成安全的电子印章。 8 电子印章验证流程 电子印章验证流程见图7。 电子印章信息域 签名值 数字签名 电子印章 signAlgID 制章者证书 学兔兔 标准下载LD/T 01.22022 7 图7 电子印章验证

25、流程 电子印章验证按如下步骤依次进行： a) 验证电子印章数据格式是否正确。 b) 按照电子印章数据格式，解析电子印章，验证是否符合第 6 章定义的电子印章数据格式；如果电子印章数据格式不正确，则验证失败，返回失败原因并退出验证流程。 c) 验证电子印章签名值是否正确。 d) 根据印章信息域 eSealInfo、制章系统证书、签名算法标识验证电子印章签名信息中的签名值是否正确；如果电子印章签名值不正确，则验证失败，返回失败原因并退出验证流程。 e) 验证电子印章状态的有效性。 f) 在联网条件下，可访问统一电子印章系统，在线查验电子印章的有效性；在没有联网条件下，也可通过电子印章吊销列表查询印

26、章是否被吊销；如果电子印章无效，则验证失败，返回失败原因并退出验证流程。 g) 验证电子印章制章系统证书的有效性。 h) 验证制章系统证书的有效性，验证项至少包括：制章系统证书信任链、制章系统证书有效期、制章系统证书是否被撤销、密钥用法是否正确；如果制章系统证书验证失败，返回失败原因并退出验证流程。 i) 验证电子印章是否在有效期内。 j) 根据印章属性中的印章有效起始日期和有效终止日期，验证电子印章是否过期。 k) 如果电子印章已过期，则验证失败，返回失败原因并退出验证流程。 l) 如果上述步骤都验证成功，则电子印章验证正确有效，可正常退出验证流程。 退出 否 否 否 否 否 电子印章数据格

27、式是否正确 电子印章签名值是否正是 电子印章状态是否有效 是 电子印章制章系统 证书是否有效 是 电子印章是否在有效期内 是 电子印章有效 是 学兔兔 标准下载LD/T 01.22022 8 A A 附录A （规范性） 证书内容要求 A.1 A.1 电子印章根证书内容要求电子印章根证书内容要求 表A.1给出了电子印章业务系统中电子印章根证书的各项内容。 表A.1 电子印章根证书数据项 域 关键项标识 值 描述 Certificate Signature AlgorithmIdentifier 必须与 signatureAlgorithm 域匹配 algorithm 1.2.156.10197.

28、1.501 SM3WithSM2Encryption tbsCertificates 待签名内容 version 2 整数 2 用于版本 3 serialNumber INTEGER 唯一正整数，由根 CA 设置 issuer 与根 CA 保持一致 Name RDNSequence RelativeDistinguishedName AttributeTypeAndValue AttributeType OID AttrubuteValue UTF8String validity NotBefore Time utcTime YYMMDDHHMMSSZ 用于 2049 之前的年份（含 2049

29、） generalTime YYYYMMDDHHMMSSZ 用于 2049 之后的年份 NotAfter Time utcTime YYMMDDHHMMSSZ 用于 2049 之前的年份（含 2049） generalTime YYYYMMDDHHMMSSZ 用于 2049 之后的年份 subject 国家：CN 组织：印章 CA 证书的持有机构对应的统一社会信用代码，18 个字节。 名称：印章 CA 证书的名称，不大于20 个字节 x500UniqueIdentifier：电子政务电子认证服务机构编码+两个数字，电子政务电子认证服务机构编码为A001A999 或 B001B999，该编码之外

30、的 CA 机构采用 G001G999。两个数字为 0199，该数字表示相同认证服务机构下不同根的编号，例如：A00101。该 object 对应 OID 为 2.5.4.45,详见 RFC 2256A Summary of theX.500(96) User Schema for usewith LDAPv3 5.46 分节 Name RDNSequence relativeDistinguishedName AttributeTypeAndValue AttributeType OID AttrubuteValue UTF8String 学兔兔 标准下载LD/T 01.22022 9 表A.

31、1 电子印章根证书数据项（续） 域 关键项标识 值 描述 subjectPublicKeyInfo algorithm AlgorithmIdentifier algorithm 1.2.156.10197.1.301 SM2 椭圆曲线公钥密码算法 parameters ecPublicKey SM2 算法曲线的 OID（1.2.840.10045.2.1） subjectPublicKey BIT STRING SM2 算法公钥长度至少为 256 位 必须的扩展项 authorityKeyIdenitfier FALSE 签发者密钥标识符 keyIdentifier OCTET STRING

32、 签发者公钥值的 SHA-1 摘要值 authorityCertSerialNumber CertificateSerial Number:= INTEGER 颁发者证书序列号 subjectKeyIdenitfier FALSE 主题密钥标识符用于证书路径查询 keyIdentifier 主题公钥值的 SHA-1 摘要值 basicConstraints TRUE CA TRUE pathLenConstraint 设置为 0，0 值表明在路径中只可以向终端实体签发证书 KeyUsage TRUE KeyCertSign CRLSign CRLDistributionPoints Distr

33、ibutionPoint distributionPoint DistributionPointName fullName GeneralNames GeneralName uniformResourceIdentifier 采用“http:/”形式 authorityInfoAccess TRUE AccessDescription accessMethod Id-ad- ocsp(1.3.6.1.5.5. 7.48.1) accessLocation GeneralName uniformResourceIdentifier 采用“http:/”形式 A.2 A.2 电子印章证书内容规范电

34、子印章证书内容规范 表A.2 给出了电子印章业务系统中电子印章证书的各项内容 表A.2 电子印章证书数据项 域 关键项标识 值 描述 Certificate Signature AlgorithmIdentifier 必须与 signatureAlgorithm 域匹配 algorithm 1.2.156.10197.1.501 SM3WithSM2Encryption parameters NULL 当算法为 SM2 时，不需要此项 tbsCertificates 待签名内容 version 2 整数 2 用于版本 3 serialNumber INTEGER 唯一正整数，由根 CA 设置

35、issuer 与根 CA 保持一致 Name RDNSequence 学兔兔 标准下载LD/T 01.22022 10 表A.2 电子印章证书数据项（续） 域 关键项标识 值 描述 RelativeDistinguishedName AttributeTypeAndValue AttributeType OID AttrubuteValue UTF8String validity NotBefore Time utcTime YYMMDDHHMMSSZ 用于 2049 之前的年份（含 2049） generalTime YYYYMMDDHHMMSSZ 用于 2049 之后的年份 NotAfte

36、r Time utcTime YYMMDDHHMMSSZ 用于 2049 之前的年份（含 2049） generalTime YYYYMMDDHHMMSSZ 用于 2049 之后的年份 subject 国家：CN 组织：电子印章标识持有者对应的“统一社会信用代码+单位名称” 组成。 名称：省市区(6 个字节)+印章赋码（8 个字节） Name RDNSequence relativeDistinguishedName AttributeTypeAndValue AttributeType OID AttrubuteValue UTF8String subjectPublicKeyInfo al

37、gorithm AlgorithmIdentifier algorithm 1.2.156.10197.1.301 SM2 椭圆曲线公钥密码算法 parameters ecPublicKey SM2 算法曲线的 OID（1.2.840.10045.2.1） subjectPublicKey BIT STRING SM2 算法公钥长度至少为 256 位 必须的扩展项 authorityKeyIdenitfier FALSE 签发者密钥标识符 keyIdentifier OCTET STRING 签发者公钥值的 SHA-1 摘要值 authorityCertSerialNumber Certifi

38、cateSerial Number:= INTEGER 颁发者证书序列号 subjectKeyIdenitfier FALSE 主题密钥标识符用于证书路径查询 keyIdentifier OCTET STRING 主题公钥值的 SHA-1 摘要值 KeyUsage TRUE digitalSignature nonRepudiation CRLDistributionPoints DistributionPoint distributionPoint DistributionPointName fullName GeneralNames GeneralName uniformResourceI

39、dentifier 采用“http:/”形式 authorityInfoAccess FALSE AccessDescription accessMethod Id-ad- ocsp(1.3.6.1.5.5. 7.48.1) 学兔兔 标准下载LD/T 01.22022 11 表A.2 电子印章证书数据项（续） 域 关键项标识 值 描述 accessLocation GeneralName uniformResourceIdentifier 采用“http:/”形式 学兔兔 标准下载LD/T 01.22022 12 参考文献 1 GB/T 385402020 信息安全技术 安全电子签章密码技术规范 2 GB/T 32918(所有部分) 信息安全技术 SM2椭圆曲线公钥密码算法 3 GB/T 334812016 党政机关电子印章应用规范 4 GB/T 205182018 信息安全技术 公钥基础设施 数字证书格式规范 5 ZWFW C 01192018 国家政务服务平台统一电子印章 签章技术要求 6 ZWFW C 01202018 国家政务服务平台统一电子印章 印章技术要求 学兔兔 标准下载