1、 ICS 35.040 CCS L 80 LD 中华人民共和国劳动和劳动安全行业标准 LD/T 01.32022 人力资源社会保障电子印章体系 第 3 部分 签章技术规范 Human Resources and Social Security Electronic Seal System Part 3:Technical Specification of the Seal Signature 2022 - 03 - 23 发布 2022 - 06 - 01 实施 中华人民共和国人力资源和社会保障部 发 布 学兔兔 标准下载LD/T 01.32022 I 目次 前言 . II 引言 . III
2、1 范围 . 1 2 规范性引用文件 . 1 3 术语和定义 . 1 4 缩略语 . 1 5 概述 . 1 6 电子签章数据格式 . 2 7 电子印章签章流程 . 3 8 电子印章验章流程 . 5 参考文献 . 9 学兔兔 标准下载LD/T 01.32022 II 前言 本文件按照GB/T 1.12020标准化工作导则 第1部分:标准化文件的结构和起草规则的规定起草。 LD/T 012022 人力资源社会保障电子印章体系分为4个部分; 第1部分:总体技术架构 第2部分:印章技术规范 第3部分:签章技术规范 第4部分:系统接口规范 本文件是LD/T 012022人力资源社会保障电子印章体系第3部
3、分。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本文件由中华人民共和国人力资源和社会保障部信息中心提出并归口。 本文件起草单位:人力资源和社会保障部信息中心、山东省人力资源和社会保障厅网信办、江苏省人力资源和社会保障信息中心、北京信安世纪科技股份有限公司、同智伟业软件股份有限公司、江西金格科技股份有限公司、南京壹证通信息科技有限公司。 本文件主要起草人:马丹蕾、张嵩、耿建军、唐淑静、韩晓颖、王岩、叶鹏、高永昌、李德强、周海涛、秦玮、王珂、赵旺、张循。 学兔兔 标准下载LD/T 01.32022 III 引言 LD/T 012022 人力资源社会保障电子印章
4、体系分为4个部分。第3部分作为签章技术规范,规定了人力资源社会保障电子印章体系电子签章数据格式、 电子印章签章流程、 电子印章验章流程等内容。其余部分为具体总体技术架构、印章规范、接口规范。一方面规范行业电子印章应用,并依据国务院电子政务办公室颁布的ZWFW C 01182019、ZWFW C 01192018、ZWFW C 01202018、ZWFW C 01212018和ZWFW C 01222018标准,将行业电子印章系统接入国家政务服务平台统一电子印章平台,另一方面可为补充新标准内容预留空间,有利于对各个部分的灵活制定或修订。 学兔兔 标准下载LD/T 01.32022 1 人力资源社
5、会保障电子印章体系 第 3 部分 签章技术规范 1 范围 本文件规定了人力资源社会保障电子签章的数据格式、生成流程和验证流程。 本文件适用于人力资源社会保障电子印章系统的建设、使用和各地区人力资源社会保障电子印章系统的接入。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中, 注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T 205202006 信息安全技术 公钥基础设施 时间戳规范 GB/T 329052016 信息安全技术 SM3密码杂凑算法 GB/T 33476.3201
6、6 党政机关电子公文格式规范 第3部分:实施指南 GB/T 335602017 信息安全技术 密码应用标识规范 GB/T 352762017 信息安全技术 SM2密码算法使用规范 GM/Z 00012013 密码术语 3 术语和定义 GM/Z 00012013界定的以及下列术语和定义适用于本文件。 电子印章签章 stamp with electronic seal 使用电子印章签署电子文件的过程,也称为电子签章或电子印章盖章。 电子印章验章 verify stamp of electronic seal 对电子印章签章结果进行验证的过程,也称为电子签章验证。 电子签章数据 electronic
7、 seal signature data 电子签章过程产生的包含电子印章信息和签名信息的数据。 4 缩略语 下列缩略语适用于本文件。 ASN.1:抽象语法记法(Abstract Syntax Notation One) DER:非典型编码规则(Distinguished Encoding Rules) OID:对象标识符(Object Identifier) PKI:公钥基础设施(Public Key Infrastructure) 5 概述 人力资源社会保障电子印章系统的电子签章是采用PKI公钥密码技术,将数字图像处理技术与电子签名技术进行结合, 以印章外观模拟方式对电子文档进行数字签名,
8、以确保文档来源的真实性以及文档的完整性,防止对文档未经授权的篡改,并确保签章行为的不可否认性。 学兔兔 标准下载LD/T 01.32022 2 在使用电子印章对各种文档进行电子签章过程中,电子印章所有者通过电子印章对文档数据进行签章处理,可视化效果与传统纸质盖章方式相同,同时用数字签名保障了文档数据的真实性、完整性以及电子印章所有者行为的不可否认性。 人力资源社会保障电子印章系统中数字签名算法为SM2,杂凑算法为SM3。 6 电子签章数据格式 电子签章数据由待电子签章数据、电子印章所有者数字证书、签名算法标识、签名值和时间戳(可选)组成,其数据结构见图1。 电子签章的数据结构电子签章的数据结构
9、待电子签章数据电子印章所有者数字证书签名算法标识时间戳签名值 图1 电子签章数据结构 SES_Signature:=SEQUENCE toSign TBS_Sign, -待电子签章数据 cert OCTET STRING, -电子印章所有者数字证书 signatureAlgID OBJECT IDENTIFIER, -签名算法标识 signature BIT STRING, -电子签章中签名值 timeStamp 0 BIT STRING OPTIONAL -对签名值的时间戳 其中: toSign: 需要进行签章的电子印章及其他原文相关数据; cert: 执行本次签章操作的电子印章所有者数字证
10、书,宜使用 DER 编码格式; signatureAlgID: 签名算法 OID,遵循 GB/T 335602017;SM2 算法对应的 OID 为1.2.156.10197.1.501; signature: 电子印章所有者对“待签章数据(toSign)”进行数字签名其中签名算法使用 SM2,遵循 GB/T 352762017;原文杂凑值所采用的杂凑算法为SM3 算法,遵循 GB/T 329052016; timeStamp : (可选)对 “签名值(signature)”计算的时间戳,遵循 GB/T 205202006,使用 DER 编码格式。 待电子签章数据由版本号、电子印章、签章时间、
11、原文杂凑值、原文属性和自定义数据组成,其数据结构见图2。 待待电子电子签章的数据结构签章的数据结构版本号电子印章签章时间自定义数据原文杂凑值原文属性 图2 待电子签章数据结构 待电子签章数据的ASN.1定义为: TBS_Sign:=SEQUENCE version INTEGER, -电子签章的版本 eseal SESeal, -电子印章 timeInfo GeneralizedTime, -签章时间 学兔兔 标准下载LD/T 01.32022 3 dataHash BIT STRING, -原文杂凑值 propertyInfo IA5String, -原文数据的属性 extDatas 0 E
12、xtensionDatas OPTIONAL -自定义数据 其中: version: 电子印章数据版本号,由 2 位序号组成,第 1 位标识主版本号,第 2 位标识次版本号,如“41”标识版本 4.1,本规范中版本号统一表示为 41; eseal: 生成电子签章使用的电子印章; timeInfo: 电子签章对应的时间,类型为 GeneralizedTime; dataHash: 待签章原文的杂凑值; propertyInfo: 原文数据的属性,如文档 ID、日期、段落、原文内容的字节数、指示信息、签名保护范围等,此部分受签名保护,propertyInfo 的具体结构可自行定义,但至少应包含签名
13、保护范围; extDatas: 厂商自定义数据。 7 电子印章签章流程 电子印章签章流程见图3。 学兔兔 标准下载LD/T 01.32022 4 图3 电子印章签章流程 电子印章签章流程如下: a) 准备电子印章,验证电子印章的正确性和有效性。 1) 选择拟进行电子签章的电子印章,按照印章技术规范中电子印章验证流程验证印章的正确性和有效性; 按照propertyInfo中的签名保护范围准备待签章原文电子印章是否正确?电子印章所有者证书是否有效?(可选)比对证书列表或者杂凑是否正确?将待签章原文数据进行杂凑运算形成原文杂凑值按照电子签章数据格式组装待签章数据电子印章所有者对待签章数据进行数字签名
14、,生成电子签章签名值如果电子签章需要加盖时间戳则将电子签章签名值用来产生相应的时间戳按照电子签章数据格式把以上数据打包形成电子签章数据退出是是是否学兔兔 标准下载LD/T 01.32022 5 2) 选择拟进行电子签章的电子印章所有者证书, 可验证电子印章所有者证书有效性。 验证项至少包括:证书信任链、证书有效期、密钥用法是否正确; 3) 根据电子印章中的电子印章所有者证书列表类型,如果是证书列表,则比对证书;如果是证书杂凑值列表,则比对证书杂凑值。提取电子印章中的电子印章所有者证书列表,使用步骤 b)中的电子印章所有者证书逐一进行证书数据二进制比对,确认电子印章所有者证书是否在电子印章所有者
15、证书列表中。 如果比对失败或证书不在列表当中,返回失败原因并退出生成流程; 如果是因为电子印章所有者证书执行更新、 重签发等操作而导致证书比对失败, 则需要重新制作印章,再重新进行签章生成流程。 b) 对原文进行电子签章。 1) 按 propertyInfo 中的签名保护范围准备待签章原文; 2) 对待签章原文进行杂凑运算,形成原文杂凑值; 3) 按照电子签章数据格式组装待签章数据。 待签章数据包括: 版本号、 电子印章、 签章时间、原文杂凑值、原文属性、电子印章所有者数字证书、签名算法标识; 4) 电子印章所有者对待签章数据进行数字签名,生成电子签章签名值; 5) 如果电子签章需要加盖时间戳
16、,则利用前述电子签章签名值计算产生相应的时间戳; 6) 按电子签章数据格式,把以上数据组装为电子签章数据。 注: 签章数据在OFD版式文件中的使用见GB/T 33476.32016。 8 电子印章验章流程 电子印章验章流程见图4。 学兔兔 标准下载LD/T 01.32022 6 图4 电子印章验章流程 电子印章验章流程如下: a) 验证电子签章数据格式的正确性。 1) 根据第 6 章电子签章数据格式解析电子签章数据; 电子印章数据格式是否正确?电子印章所有者证书是否存在于电子印章所有者列表中?电子印章是否有效?电子印章所有者数字证书是否有效?签章时间是否有效?原文杂凑是否正确?时间戳是否有效?
17、电子签章有效退出是是是是是是是否学兔兔 标准下载LD/T 01.32022 7 2) 按照LD/T 01.22022 人力资源社会保障电子印章体系 第 2 部分 印章技术规范第 6章电子印章数据格式解析上述电子签章中的电子印章数据; 3) 如果电子签章或电子印章数据格式不正确,则验证失败并退出验证流程。 b) 验证电子签章签名值是否正确。 1) 从电子签章数据格式提取待验证数据,待验证数据包括:版本号、电子印章、签章时间、原文杂凑值、原文属性、电子印章所有者数字证书、签名算法标识,验证电子签章签名值是否正确; 2) 如果签名值验证不正确则验证失败,返回失败原因并退出验证流程。 c) 验证电子印
18、章所有者证书是否存在于电子印章所有者列表中。 从电子签章数据中提取电子印章所有者数字证书和电子印章,并从电子印章中提取电子印章所有者证书列表类型、电子印章所有者证书列表数据; 1) 根据上述电子印章所有者证书列表类型,如果类型是证书列表,则比对证书。将电子印章中电子印章所有者证书列表与电子签章中电子印章所有者数字证书逐一进行证书数据二进制比对, 确认电子印章所有者证书是否存在于电子印章所有者证书列表中, 若不存在,则验证失败,返回失败原因并退出验证流程; 2) 根据上述电子印章所有者证书列表类型,如果类型是证书杂凑值列表,则比对杂凑值。将电子签章中电子印章所有者数字证书进行杂凑,再与电子印章中
19、电子印章所有者证书杂凑值列表逐一进行比对,确认电子印章所有者证书是否存在于电子印章所有者证书列表中,若不存在,则验证失败,返回失败原因并退出验证流程。 d) 验证电子印章的有效性。 1) 从电子签章数据中提取电子印章,按照印章技术规范第 8 章中电子印章验证流程验证印章的有效性,再根据电子签章中的时间标记验证签章的有效性; 2) 如果签章时间不处于印章有效期内,则签章无效,验证失败,返回失败原因并退出验证流程。 e) 验证电子印章所有者数字证书有效性。 1) 从电子签章数据获得电子印章所有者数字证书, 验证电子印章所有者证书有效性, 验证项至少包括:证书信任链、证书有效期、密钥用法是否正确;
20、2) 如果是由于证书信任链验证或密钥用法不正确导致的电子印章所有者证书有效性验证失败,则返回失败原因并退出验证流程; 3) 如果是由于证书有效期导致的电子印章所有者证书有效性验证失败,则还需要进一步结合签章时间进行综合判定。 f) 验证签章时间有效性。 1) 根据电子印章所有者数字证书有效期和电子签章中的时间标记进行比对,判断签章时间有性; 2) 如果签章时间处于电子印章所有者数字证书有效期内, 并且证书有效, 则需要继续进一步验证; 3) 如果签章时间不在电子印章所有者数字证书有效期内,则签章无效,验证失败,返回失败原因并退出验证流程; 4) 如果签章时间处于电子印章所有者数字证书有效期内,
21、 但是证书在签章之前已被吊销, 则签章视为无效,验证失败,返回失败原因并退出验证流程; 5) 如果签章时间处于电子印章所有者数字证书有效期内, 但是证书在签章之后被吊销, 则需要继续后续步骤验证; 6) 如果电子签章中包含时间戳, 首先验证时间戳的有效性, 并比对签章时间不能晚于时间戳中的时间。 g) 验证原文杂凑。 1) 从电子签章数据中提取 propertyInfo 数据,按照 propertyInfo 提取签名保护范围内的待验证原文; 2) 将待验证原文数据进行杂凑运算,形成待验证原文杂凑值; 学兔兔 标准下载LD/T 01.32022 8 3) 从电子签章数据中提取原文杂凑值, 与待验
22、证原文杂凑值进行二进制比对, 如果比对失败,则电子签章验证失败,返回失败原因并退出验证流程。 h) 验证时间戳有效性。 1) 如果存在时间戳,则需要对时间戳有效性和时间戳时间的有效性进行验证。 2) 首先,调用时间戳服务进行时间戳有效性验证,如果验证失败,返回失败原因并退出验证流程; 3) 如果验证通过,则解析时间戳获取签发时间,对签发时间的有效性进行验证,具体的验证流程同步骤 f)。 i) 如果上述各步骤验证均有效,那么电子印章验章结果为有效,可正常退出验证流程。 学兔兔 标准下载LD/T 01.32022 9 参考文献 1 GB/T 385402020 信息安全技术 安全电子签章密码技术规范 2 GB/T 32918(所有部分) 信息安全技术 SM2椭圆曲线公钥密码算法 3 ZWFW C 01192018国家政务服务平台统一电子印章 签章技术要求 4 ZWFW C 01202018国家政务服务平台统一电子印章 印章技术要求 学兔兔 标准下载
浙ICP备2021020529号-1 | 浙B2-20240490 
