1、基于WEB的數(shù)字簽名客戶端開發(fā)手冊。V1.0山東省數(shù)字證書認(rèn)證管理有限公司2006年4月目錄目錄21概要41.1數(shù)字簽名41.2數(shù)字簽名41.3數(shù)字證書，PKI/CA41.4解碼基礎(chǔ)理論41.5山東Ba電子簽名系統(tǒng)概要52接口說明62.1JITSecuritytool62.1.1初始化控制62.1.2讀取級別62.1.3讀版cert 72.1.4 getcryptcert72.1.5 getsigncert82.1.6加密信號82.1.7獲取內(nèi)容82.1.8 getcontenlen82.1.9版本驗(yàn)證92.1.10簽名環(huán)境92.1.11驗(yàn)證環(huán)境102.1.12環(huán)境102.1.13德克環(huán)境10

2、2.1.14證書信息的獲取部112.1.15驗(yàn)證管腳112.1.16變更管腳112.1.17 digest122.1.18信號數(shù)據(jù)122.1.19驗(yàn)證信號122.1.20簽名bex 132.1.21驗(yàn)證ex 132.1.22 encryptsignEX132.1.23 decryptverifyEX142.1.24 encryptsignF2F142.1.25 decryptverifyF2F152.1.26 ShowPic152.1.27 ShowSinglePic152.1.28 Hermit162.1.29恢復(fù)162.1.30使之成為可能2.1.31 GetUserCert172.1.3

3、2服務(wù)器時間172.1.33獲得路徑172.1.34一般錯誤清單172.2imgconvert182.2.1 BMP 2傳輸gif 192.2.2常見錯誤代碼列表192.3SDGetEssfromElsign192.3.1 DecompressPic192.3.2 GetSealfromElsign192.3.3 GetValuefromElsign202.3.4 getconten202.3.5 getcontenlen202.3.6常見錯誤代碼列表212.4掛鉤流212.5系統(tǒng)硬件要求212.6系統(tǒng)運(yùn)行環(huán)境223應(yīng)用擴(kuò)大221前言1.1電子簽名數(shù)字簽名是指以電子形式存在并依賴于電子文檔，識

4、別電子文檔的簽名者的身份、保證文檔的完整性并同意電子文檔中描述的事實(shí)的內(nèi)容。1.2數(shù)字簽名數(shù)字簽名是附加到數(shù)據(jù)單元的數(shù)據(jù)，或數(shù)據(jù)單元的密碼轉(zhuǎn)換，使數(shù)據(jù)單元的接收者能夠確認(rèn)數(shù)據(jù)單元的源和數(shù)據(jù)單元的完整性，并保護(hù)數(shù)據(jù)不被偽造。1.3數(shù)字證書，PKI/CA數(shù)字證書以電子方式證明用戶的身份和對網(wǎng)絡(luò)資源的訪問權(quán)限。 數(shù)字證書是認(rèn)證機(jī)構(gòu)(CA )采用數(shù)字簽名技術(shù)發(fā)行給用戶的、在數(shù)字領(lǐng)域中認(rèn)證用戶自身的數(shù)字證書。數(shù)字證書的內(nèi)部格式由CCITT X.509國際標(biāo)準(zhǔn)規(guī)定，主要包括以下方面證書所有者的名字證書所有者的公鑰證明書的有效期證書的序列號發(fā)行證明書的機(jī)構(gòu)發(fā)行證明機(jī)構(gòu)的數(shù)字簽名證書的擴(kuò)展信息等公共密鑰基礎(chǔ)結(jié)

5、構(gòu)(PKI )是使用遵守標(biāo)準(zhǔn)的公共密鑰加密技術(shù)來提供安全基礎(chǔ)結(jié)構(gòu)的技術(shù)和規(guī)范。 可以向所有網(wǎng)絡(luò)應(yīng)用提供諸如加密和數(shù)字簽名的加密服務(wù)以及所需要的密鑰和證書管理系統(tǒng)，簡而言之，PKI是提供利用公開密鑰理論和技術(shù)建立的安全服務(wù)的基礎(chǔ)設(shè)施。 用戶可以利用PKI平臺提供的服務(wù)來進(jìn)行安全的電子交易、通信、因特網(wǎng)上的各種活動。認(rèn)證認(rèn)證中心(ca )是發(fā)行數(shù)字證書的權(quán)威機(jī)構(gòu)，具有權(quán)威、公正性和可靠性。 其主要任務(wù)是受理數(shù)字證書的申請、發(fā)行和數(shù)字證書的管理。 一般在受理申請的同時，核對申請人的身份以確保正確。1.4解碼基礎(chǔ)理論數(shù)據(jù)加密通常分為對稱加密和非對稱加密，對稱加密以DES為代表，非對稱加密以RSA為代表

6、。DES算法： DES (數(shù)據(jù)加密標(biāo)準(zhǔn))是單密鑰算法，是最典型的分組加密方法，數(shù)據(jù)包長度為64比特(8比特)，加密分組長度也為64比特，沒有數(shù)據(jù)擴(kuò)展。 密鑰長度為64比特，其中有8比特奇偶校驗(yàn)，有效長度為56比特。 為了加強(qiáng)安全性，也可以采用三重DES。 DES的整體體制是公開的，系統(tǒng)的安全性取決于密鑰。RSA算法： RSA是基于公鑰體系的雙密鑰算法，該算法的最大特征是它具有一對密鑰，一個作為公鑰公開，一個作為用戶適當(dāng)?shù)慕饷苊荑€保管，通信雙方可以不用事先交換密鑰而進(jìn)行秘密通信。 系統(tǒng)的另一特征是不能從一個密鑰估計另一個密鑰并且不能用加密密鑰來解密。 RSA算法可以用于數(shù)據(jù)加密(用公鑰加密，用私

7、鑰解密)和簽名(用私鑰加密，用公鑰解密)。1.5山東CA數(shù)字簽名系統(tǒng)概要功能結(jié)構(gòu)圖山東CA數(shù)字簽名系統(tǒng)是一個完美的應(yīng)用程序，可以在網(wǎng)頁上按數(shù)字簽名。 由簽名服務(wù)器模塊、簽名客戶端模塊和認(rèn)證服務(wù)器模塊三個模塊組成。 這些功能包括簽名生成器：支持靈活的簽名生成，用戶可以選擇傳統(tǒng)的簽名形式或個人簽名形式。登錄控制部：實(shí)現(xiàn)管理、允許安全訪問的功能，而不是傳統(tǒng)的用戶名、密碼登錄方式。簽名/驗(yàn)證功能：在指定的區(qū)域上簽名，以支持區(qū)域簽名、多個簽名功能。加密/解密功能：將數(shù)字信封包裝在指定的地區(qū)，實(shí)現(xiàn)密文傳輸功能并確保了電子信息網(wǎng)絡(luò)傳輸?shù)陌踩?。顯示證書：顯示簽名人個人證書的基本信息。記錄信任時間：山東CA數(shù)

8、字簽名產(chǎn)品提供讀取標(biāo)準(zhǔn)時間的接口或通過記錄服務(wù)器的時間滿足記錄簽名信任時間的要求。2接口的說明本系統(tǒng)客戶端可以使用ActiveX技術(shù)開發(fā)，并入包含基于WEB的開發(fā)的分布式系統(tǒng)中。2.1JITSecuritytoolJITSecurityTool控件提供了多種常見操作，包括文件格式證書和使用USB EKEY讀取證書。 主要包括初始化引擎、數(shù)字證書讀取、數(shù)字摘要、數(shù)字簽名、數(shù)字信封封裝等功能。clsid:f1FDD7d2- 0192-4 f 66-a 015-4fc 6235 e8b 74版本號：1.0.1.22.1.1初始化控制函數(shù)原型： long initcontrol ()功能說明：此接口必

9、須初始化應(yīng)用程序API引擎，打開設(shè)備句柄，并在用戶使用API COM接口的其他功能之前初始化引擎。參數(shù)說明：沒有返回值：0初始化成功。如果50個控件被初始化，則再次進(jìn)行初始化(此值可以忽略，因?yàn)榉祷卮酥挡粫绊懡窈蟮墓δ苷{(diào)用。)附加初始化失敗。2.1.2 readSingleCert函數(shù)原型： lpctstrsinglecertpath，long appType，LPCTSTR singleCertPwd功能說明：讀取文件格式的證書。 如果調(diào)用該函數(shù)成功，則將PEM編碼的公鑰證書存儲在臨時變量中，用戶調(diào)用getcryptcert ()和getsigncert ()以獲取相對應(yīng)的加密和簽名證書，

10、并調(diào)用getsingreportcertpath ()以相對應(yīng)參數(shù)說明：單個certpath :證書路徑。 路徑可以為空，自動搜索證書appType :證書開通應(yīng)用程序類型(取決于證書開通的目的)singleCertPwd :證書密碼注意：單證證書的名稱不同，singleCertPath為空，可以自動查找證書。返回值：0證書讀取成功。讀取證書的其他操作失敗2.1.3讀取中心函數(shù)原型： lpctstrcryptcertpath，long cryptCertType，LPCTSTR cryptCertPasswd，LPCTSTR signCertPath，long signCertType功能說明

11、：讀雙重證(文件、EKEY )證書。 如果此函數(shù)調(diào)用成功，PEM編碼的公鑰證書將存儲在臨時變量中，用戶通過調(diào)用getcryptcert ()和getsigncert ()來獲取相應(yīng)的加密和簽名證書。參數(shù)說明：cryptCertPath :加密的證書路徑例如：文件格式證書：文件：/d : encrypt.cer智能卡證書：USBCSP:/.2CERcryptCertType :證書開設(shè)應(yīng)用程序類型(根據(jù)證書開設(shè)的目的而不同)cryptCertPasswd :證書密碼加密signCertPath :簽名證書的路徑參數(shù)的設(shè)置與參數(shù)cryptCertPath相同signCertType :證書開通應(yīng)用

12、程序類型(取決于證書開通的目的)signCertPasswd :簽名證書密碼注意：cryptCertPath和signCertPath的參數(shù)類型必須匹配。返回值：0證書讀取成功。51證書不在有效期內(nèi)讀取證書的其他操作失敗2.1.4 getcryptcert函數(shù)原型： BSTR getcryptcert ()功能說明：獲取加密的證書(與公鑰對應(yīng))，直到調(diào)用readcert函數(shù)才調(diào)用。返回值：base64編碼的證書。2.1.5 getsigncert函數(shù)原型： BSTR getsigncert ()功能說明：獲取簽名證書(與公鑰對應(yīng))，在調(diào)用readcert函數(shù)之前不調(diào)用。參數(shù)說明：沒有返回值：b

13、ase64編碼的證書。2.1.6加密信號函數(shù)原型： lptstrsigncertpath，LPCTSTR signKeyPasswd，LPCTSTR recvEncryptCert64，LPCTSTR msgRaw功能說明：生成PKCS7數(shù)字信封并實(shí)現(xiàn)加密簽名。 密文存儲在臨時變量中，并由getconten ()函數(shù)檢索。參數(shù)說明：signCertPath :簽名證書的路徑signKeyPasswd :簽名證書密碼recvEncryptCert64 :收件人加密證書的PEM編碼、字符串類型msgRaw :要加密的明文、字符串類型注意：如果證書是文件格式，則signCertPath證書必須是pf

14、x格式。返回值：已成功生成帶0簽名的加密數(shù)字信封生成其他簽名的加密電子信封失敗2.1.7獲取內(nèi)容函數(shù)的原型： BSTR getconten ()功能說明：獲取密文或明文信息參數(shù)說明：沒有返回值：密文或明文base64代碼2.1.8 getcontenlen函數(shù)原型： long getcontenlen ()功能說明：取得密文或明文的信息長度參數(shù)說明：沒有返回值：密文或明文的長度2.1.9 decrypt驗(yàn)證函數(shù)原型： lpctstrencryptcertpath，LPCTSTR encryptCertPasswd，LPCTSTR sendSignCert64，LPCTSTR cipherDat

15、a64功能說明：實(shí)現(xiàn)驗(yàn)證PKCS7數(shù)字信封、解密簽名和驗(yàn)證功能。 經(jīng)解碼的明文存儲在臨時變量中，并通過getconten ()函數(shù)獲得。參數(shù)說明：encryptCertPath :加密證書的路徑encryptCertPasswd :加密的證書密碼sendSignCert64 :發(fā)送方簽名證書的PEM編碼、字符串類型cipherData64:BASE64代碼的密文、字符串類型注意：如果證書是文件格式，則signCertPath證書必須是pfx格式。返回值：確認(rèn)0簽名的數(shù)字信封已成功加密其他認(rèn)證簽名加密電子信封失敗2.1.10簽名環(huán)境函數(shù)原型： lptstrsignenvelp (lptstrsigncertpath，LPCTSTR signcertpwd，LPCTSTR msgRaw )功能說明：制作帶簽名的電子信封。 密