GDCA_V4.0版數(shù)字證書接入指導(dǎo)書_DOTNET

1、gdca v3.10版數(shù)字證書接入指導(dǎo)書1. ca接入整體架構(gòu)圖安全應(yīng)用支撐平臺網(wǎng)絡(luò)應(yīng)用服務(wù)器客戶端后安全服務(wù)中間件（n 數(shù)字證書1.1. 架構(gòu)說明應(yīng)用系統(tǒng)接入gdca安全應(yīng)用支撐平臺需要具備如下條件:1.1.1. 客戶端客戶端部件部件名稱說明硬件usbkey存放數(shù)字證書的硬件介質(zhì)軟件客戶端中間件（適用操作系統(tǒng)：windows系列）包含如卜部分：1使用數(shù)字證書的安全接口；2數(shù)字證書介質(zhì)的驅(qū)動；1.1.1.1. 客戶端部件獲取方式usbkey:需與gdca銷售人員聯(lián)系申請客戶端中間件：請到網(wǎng)站下客戶端驅(qū)動（請注意版本號， 下載最新版本使用）。安裝前請先查看客戶端安裝演示程序1.1.1.2. 部件

2、說明usbkey:存放數(shù)字證書和密鑰的存儲介質(zhì)，該硬件介質(zhì)擁有唯一的用戶 pin 碼，該pin只和usbkey硬件介質(zhì)有關(guān)聯(lián)（如同銀行卡的密碼），要使用 usbkey的密鑰必須要通過中間接口的login函數(shù)進(jìn)行登陸。usbkey允許6 次pin輸入錯誤，超過6次pin輸入錯誤后usbkey將鎖死（usbkey鎖死 后需要gdca進(jìn)行解鎖才能繼續(xù)使用）?？蛻舳酥虚g件：是一個訪問usbkey和實(shí)現(xiàn)各種安全功能的接口程序，以com 控件的形式提供，通過頁面的javascript進(jìn)行調(diào)用接口。1.1.2. 服務(wù)器端服務(wù)器端部件部件名稱說明硬件安全應(yīng)用支撐服務(wù)器存放服務(wù)器端證書和密鑰，提供安全服務(wù)；軟件

3、服務(wù)器端中間件（適用操作系統(tǒng)：windows linux、aix、hp_unix）包含如卜部分：1服務(wù)器使用數(shù)字證書的安全接口（主要包含java接口和c接口）；2安全應(yīng)用支撐服務(wù)器的底層dll ;1.1.2.1. 服務(wù)器端部件獲取方式安全應(yīng)用支撐服務(wù)器：目前gdca在互聯(lián)網(wǎng)上提供了一臺安全應(yīng)用支撐服務(wù)器用于應(yīng)用系統(tǒng)開發(fā)商的調(diào)試和測試。ip地址為：61.142.239.77該服務(wù)器通過tcp 6006和8931兩個端口對外提供服務(wù)。服務(wù)器端中間件：需與gdca技術(shù)人員聯(lián)系獲取。1.1.2.2. 部件說明安全應(yīng)用支撐服務(wù)器：該服務(wù)器與客戶端使用的usbkey具備同樣的地位， 功能主要是存儲服務(wù)器端

4、的數(shù)字證書和密鑰，并提供密碼運(yùn)算服務(wù)，只不過該設(shè) 備是用 tcp/ip 協(xié)議訪問，具備并發(fā)處理能力，而客戶端的 usbkey 是通過 usb 接口訪問，單一線程訪問。服務(wù)器端中間件 ： 是一個訪問安全應(yīng)用支撐服務(wù)器和實(shí)現(xiàn)各種安全功能的接口程序， 以 c 接口和 jar 包形式提供， 通過應(yīng)用系統(tǒng)自身服務(wù)器端程序調(diào)用。1.2. 開發(fā)環(huán)境搭建1. 服務(wù)器端環(huán)境搭建服務(wù)器端環(huán)境搭建前， 請先確認(rèn)服務(wù)器端與gdca 互聯(lián)網(wǎng)提供的安全應(yīng)用支撐服務(wù)器的網(wǎng)絡(luò)聯(lián)通性，請按下面三個步驟確認(rèn)；a） ping 61.142.239.77 （確定網(wǎng)絡(luò)是否聯(lián)通）；b） telnet61.142.239.776006（確

5、定6006端口是否能訪問）；c） telnet61.142.239.778931（確定8931 端口是否能訪問）；如果您的服務(wù)器端聯(lián)調(diào)安全應(yīng)用支撐服務(wù)器存在問題，請與您所屬網(wǎng)絡(luò)的網(wǎng)絡(luò)工程師聯(lián)系開通相關(guān)的網(wǎng)絡(luò)資源和端口。服務(wù)器端環(huán)境安裝完成后請使用服務(wù)器端環(huán)境測試程序 （在附件中）進(jìn)行測試，確定服務(wù)器端環(huán)境安裝成功。服務(wù)器端詳細(xì)的安裝配置過程請見附件中服務(wù)端安裝演示程序 。2. 客戶端環(huán)境搭建客戶端環(huán)境安裝完成后請使用 客戶端環(huán)境測試程序 （在附件中） 進(jìn)行測試，確定客戶端環(huán)境安裝成功?？蛻舳嗽敿?xì)的安裝配置過程請見附件中客戶端安裝演示程序 。2. 安全功能開發(fā)實(shí)現(xiàn)gdca 安全應(yīng)用支撐平臺實(shí)現(xiàn)的

6、主要安全功能有：身份認(rèn)證、數(shù)字加密、數(shù)字簽名。下面將對這些功能的實(shí)現(xiàn)過程進(jìn)行詳細(xì)描述。注：以下流程均參照附件中的完整demo 程序進(jìn)行描述，請參招 demo和流程進(jìn)行開發(fā)實(shí)現(xiàn)。2.1. 身份認(rèn)證實(shí)現(xiàn)i l至取用戶證四2也通用證書i2p j gdcaloginl.aspxxsj；加；i也于 gbc alogin l 口 !-r3生證用廣肝甘仃效性4.4與24p劭機(jī)儀6客戶梟4的機(jī)以簽名j jgdcaloiiin2,hirn ji hi5.接應(yīng)用戶基用讓k.隨機(jī)教工也速加機(jī)於用蘇招俏d*1,. . f.i ixa e .41l： i 112 .0 spx .cs .、h!i抉取用戶證書的唯一標(biāo)識k

7、i ioj1jleiw 美歐松限，判定及否能注mi 2.1.1. 流程詳細(xì)說明1 .動態(tài)加載com組件，初始化客戶端，用戶輸入 pin碼，讀取用戶證書并 驗(yàn)證證書是否過期。(gdcaloginl.aspx)2 .將用戶證書傳遞給服務(wù)器端。(gdcaloginl.aspx)3 .服務(wù)器端驗(yàn)證用戶證書有效性。(gdcalogin1.aspx.cs)4 .服務(wù)器端產(chǎn)生24位隨機(jī)數(shù)用作數(shù)字簽名驗(yàn)證。(gdcalogin1.aspx.cs)5 .獲取服務(wù)器端傳來的用戶簽名證書和隨機(jī)數(shù)。(gdcalogin2.htm)6 .客戶端使用用戶簽名證書對隨機(jī)數(shù)進(jìn)行簽名。(gdcalogin2.htm)7 .傳遞

8、隨機(jī)數(shù)和簽名值到服務(wù)器端。(gdcalogin2.htm )8 .服務(wù)器端驗(yàn)證隨機(jī)數(shù)簽名值。(gdcalogin2.aspx.cs)9,獲取用戶簽名證書中的唯一標(biāo)識，即信任服務(wù)號。(gdcalogin2.aspx.cs)10 .由應(yīng)用綁定，通過唯一標(biāo)識(信任服務(wù)號)關(guān)聯(lián)權(quán)限，判斷是否能登錄。注：詳細(xì)過程請參考例子程序執(zhí)行過程2.1.3.詳細(xì)程序流程圖工金同用文捋職務(wù)赤icidcaloginl.aspx驗(yàn)鵬鵬書的不效性貓訝是舍通過分名映證動態(tài)如我*戶痛擰仰ac; ivexob jccx (*a: l_con. gdca*)對傳東的簽名勺進(jìn)行谷名軟， aj ki gwajipkivprify ua

9、ta()產(chǎn)”個24位的防機(jī)數(shù)產(chǎn)i 個24何的跖機(jī)長1 1 .|( ； 7；. glk (ivnltin初人pmm, gmfkcy. i ! ； ,gim a (k： ingikyo10()客戶端切始化客。端控件(；rx acom.(idca_seevicetype 0gixacom.glka_lnitializc)glk ac uai.gik ? 14)uin 0“斷證書是否過期gdcagctccrtimcoi glx asccurc.w證書和加密證書)gd：acom.grx a_rc1n在客戶端進(jìn)行數(shù)字拉名和胞參加密*i1. 1取s齊器端加常訐. n和用戶警名證書ss- . da -n bb

10、b m _, = h ,a . msb f，于 dijiplayeikamjsifrgult.hspxih.佳逋圈旁佛蟾加密后的數(shù)輔卜1口,也客戶添丑行*守解密|ie裝一格簽名2.2.2.流程詳細(xì)說明我似史亞莠器瑞蟆於上抬之俏利唬文微米1 .動態(tài)加載com組件，初始化客戶端，登錄 key,獲取服務(wù)器端加密證 書和用戶證書，分別用作客戶端數(shù)字加密和數(shù)字簽名。(encandsigdata.aspx)2 .對收集的數(shù)據(jù)進(jìn)行base64位編碼，在客戶端進(jìn)行數(shù)字加密和數(shù)字簽名。(encandsigdata.aspx)3 .傳遞用戶證書、簽名值或加密數(shù)據(jù)、源數(shù)據(jù)到服務(wù)器端。(encandsigdata.a

11、spx)4 .服務(wù)器端對客戶端加密數(shù)據(jù)進(jìn)行解密。(encandsigdata.aspx.c95 .服務(wù)器端對上述步驟解密后的數(shù)據(jù)進(jìn)行服務(wù)器端加密，需使用客戶端加密證書。(encandsigdata.aspx.c96.服務(wù)器端根據(jù)簽名值、用戶證書驗(yàn)證簽名(encandsigdata.aspx.c97服務(wù)器端對原文數(shù)據(jù)進(jìn)行服務(wù)器端簽名。( encandsigdata.aspx.cs)8將服務(wù)器端加密后的數(shù)據(jù)傳遞給客戶端。( displayencandsigresult.aspx)9將服務(wù)器端簽名證書、簽名值和原文數(shù)據(jù)傳遞給客戶端。( displayencandsigresult.aspx)10動態(tài)

12、加載com 組件，初始化客戶端，登錄 key ，在客戶端對服務(wù)器端加密數(shù)據(jù)進(jìn)行解密， 對解密后的數(shù)據(jù)進(jìn)行base64 位解碼轉(zhuǎn)換為可讀的明文， 展現(xiàn)在頁面，用作前后數(shù)據(jù)的比較。( displayencandsigresult.aspx)11 動態(tài)加載com 組件，初始化客戶端，登錄 key ，在客戶端使用服務(wù)器端簽名證書和原文數(shù)據(jù)對簽名值進(jìn)行驗(yàn)簽，驗(yàn)簽成功后將原文數(shù)據(jù)展現(xiàn)在頁面，用作前后數(shù)據(jù)的比較。( displayencandsigresult.aspx)注：詳細(xì)過程請參考例子程序執(zhí)行過程2.2.3. 詳細(xì)程序流程圖2.3. 用戶權(quán)限關(guān)聯(lián)每張用戶的數(shù)字證書都含有一個唯一標(biāo)識（信任服務(wù)號），該

13、標(biāo)識存在于 數(shù)字證書的擴(kuò)展信息項(xiàng)中，數(shù)字證書更新后該標(biāo)識會保持不變。該標(biāo)識可以 通過客戶端和服務(wù)器端的中間件接口進(jìn)行獲取。結(jié)合數(shù)字證書的應(yīng)用系統(tǒng)需要將信任服務(wù)號與應(yīng)用系統(tǒng)的權(quán)限進(jìn)行關(guān)聯(lián)（即：使用信任服務(wù)號取代用戶名和密碼），應(yīng)用系統(tǒng)中用戶權(quán)限控制通過 數(shù)字證書的信任服務(wù)號完成。在本文檔提供的例子程序中,當(dāng)身份認(rèn)證過程完成后會解析數(shù)字證書的 信任服務(wù)號并保存在服務(wù)器端的session中,開發(fā)過程可以通過獲取該session 的值來關(guān)聯(lián)用戶權(quán)限。當(dāng)然，應(yīng)用系統(tǒng)的數(shù)據(jù)庫中要在用戶權(quán)限表中增加信 任服務(wù)號的字段用于存放授權(quán)用戶的信任服務(wù)號。用戶權(quán)限表中的信任服務(wù)號的增、刪、改、查可在應(yīng)用系統(tǒng)的權(quán)限管理

14、模塊中完成?？赏ㄟ^本文檔提 供的獲取信任服務(wù)號例子完成新用戶證書的授權(quán)。3.附件3.1. 客戶端安裝演示程序客戶安裝演示程序.exe3.1.1. 程序客戶端安裝演示程序3.1.2. 使用說明點(diǎn)擊“客戶端安裝演示程序.exe”就能觀看演示。3.2. 客戶端環(huán)境測試程序3.2.1. 程序客戶端環(huán)境測試程序客戶端環(huán)境泅試程jp-rar3.2.2. 使用說明1 .解壓“客戶端環(huán)境測試程序.rar”2 .雙擊 testall3.02 (normal) .html3 .點(diǎn)擊ie頂部提示欄，如下圖：q為幫助保護(hù)您的安全，工ntermt explorer已經(jīng)限制此文件顯示可能訪問您的計算機(jī)的活動內(nèi)容.單擊此處

15、查看選項(xiàng). 選擇“允許阻止的內(nèi)容”，如果彈出安全警報，選擇“是”。4 .插入 usbkey5 .按照頁面上的步驟逐步操作，先執(zhí)行頁面第1步初始化，點(diǎn)擊act ivexinit6 .彈出成功提示后，執(zhí)行頁面第2步，輸入pin碼后點(diǎn)擊工口gm：7 .登錄成功后，執(zhí)行頁面第3步，選擇需獲取的用戶證書，點(diǎn)擊getcertdataj8 .進(jìn)行頁面第4步加密解密測試，在“明文”框隨意輸入明文，選擇“加 密算法”，點(diǎn)擊匚工!位遠(yuǎn)巫二進(jìn)行測試9 .進(jìn)行頁面第5步簽名驗(yàn)簽測試，在“明文”處隨意輸入明文，選擇“哈希算法點(diǎn)擊i 式加0仃3匚|進(jìn)行測試10 .執(zhí)行頁面第6步，驗(yàn)證用戶證書，點(diǎn)擊 匚叵!叵亙二i進(jìn)行測試

16、11 .執(zhí)行頁面第7步，獲取keyid,點(diǎn)擊獲得二二、12 .執(zhí)行頁面第8步，登出，點(diǎn)擊回巴匚13 .執(zhí)行頁面第9步，清除工作，點(diǎn)擊 -nd14 .以上操作都正常通過即可完成客戶端環(huán)境測試，表示客戶端環(huán)境安裝完成。3.3. 服務(wù)端安裝演示程序3.3.1.程序3.3.1.1. windows 環(huán)境windows版服務(wù)器端安裝演示程序cdca度勢圈卡安裝中間件v4一 0安裝視懶示一 exe3.3.1.2. linux 環(huán)境按照壓縮包里的readme.txt文件指引安裝： 同 linux環(huán)境服務(wù)器端安裝包 unu玨喇蝴端安裝低rar3.3.2.使用說明3.3.2.1. windows 環(huán)境點(diǎn)擊“wi

17、ndows版服務(wù)器端安裝演示程序.exe”就能觀看windows環(huán)境 下服務(wù)器端安裝演示。注意：卸載時需選擇“定制”，全選所有的文件卸載，切勿使用“自動”卸載。若卸載不完全，則下次安裝時會提示缺少 msvcrtd.dll或者easysoap.dll 等文件，此時可手動清除 windows/system32下所有帶有g(shù)dca前綴的文件， 然后再次安裝。3.3.2.2. linux 環(huán)境按照安裝包里的readme.txt指引操作即可。3.4. 服務(wù)器端環(huán)境測試程序3.4.1. 程序 s服務(wù)命端環(huán)境測試程序pkileslm3.4.2. 使用說明1 .確保機(jī)器已安裝jdk1.3或以上版本。2 .設(shè)置j

18、ava變量環(huán)境，windows在環(huán)境變量中path項(xiàng)添加jdk的bin目 錄所在位置，linux 在/etc/profile 文件中加入 export path=$path:jdk 具 體到bin的目錄,然后通過source/etc/profile使之生效。或者直接通過 java的絕對路徑進(jìn)行編譯，則可跳過此步驟。3 .解壓pkitest測試程序4 .通過cmd進(jìn)入命令行模式（windows環(huán)境），通過cd命令進(jìn)入pkitest文 件夾目錄下。5 .鍵入setenv.bat設(shè)置測試程序所需的環(huán)境變量，回車； linux環(huán)境可以略 過此步。6 . windows 環(huán) 境鍵入 java testp

19、siapp,回車；linux 環(huán)境鍵入 java -classpath ./gdca-app.jar:. testpsiapp 回車。7 .當(dāng)出現(xiàn)以下圖片，則測試通過：ii;glcacapkitasttestpsiappgdcalib- inad gdca jni library successfile neirong=zgrkzgrz：grkzgrkzgrkzghkzgrk2：crkzgrk2：grkzgrkzgq=adubeadfronfile okaduwritetofile okadubase64encdde ok仆dura洋號口de okcompare data ok?/h mth-

20、m-h j4-m-km-m k* 航關(guān)期密碼服 證書，叫試 be if in* m*-m mmth-h-k-m n-km-m-km-m m/保密證書uutcert =miidtjccaregauibagilp7ruogaanenud4vjdzlivcnaqefbqawbuxdtrlfignu bfivebet ubhubaheiabuafmarqbsftekaraamadaamaadaanqhdqamaa3ma8galueax4ibuullvvd my u j 蚓y du qqdh i* r ma r w* dr rmr r mr d er mg a w r dqa nqh 2 a de r

21、or a 5 r dr h hdchn w 白 nbg kqhk ig9 wwbr qef r a objqa uv kcgv eaoksa kfru xqn7f y72f u9fvueswo/dofps *j bdcu40ruuu mhq8 qxrf4kgd e39uwsl ulalheo&3uc+udu9ui/15ebf3ntz3x2kbupbbt9p3d60unwkb9xkhwnt80gxss6krlbo jn+gjkkkuku fdn?d9tkq9ccea7biucu8iiselh0cftweaftansmfawilqbur0obbefefmubp4b3iw+fcjq9?uzrmnay

22、tf ma4galuddueb/uqea wl fi daf bgnu h s megd a ug bqk jp6 venlqshfkcosh8 auo if 6h jjanbkqhkig+udb aqufaaobqau6dxnzutgyksdhfa5hlgskofrrnh6#phuiutujuifjfbqdoavfafotm!/lndfrr+408uh afnhiue9audaqhj911 jiucmlugfp99jghgbp3eu5udlnezlrun8kqclccup+bxa6hifdphp6qxgabne +ijugujpudn9hmoeh51u5w陶名證書cutcert =hii d

23、tjccavegauibagi i p7puoqaaau8udqv jkozi hu c nftqef bq a ugbu xdt a lbgnu bavebe4t uwxmanrgnur的eeivtii心口 teph白 gcnuebmcuicudlmmrmweoyduqqkhg。a mru 自 eiamaanhrbb hqyduqqlhhab6ne2trplnutqi8foequx8folu/dmuwiqvduqqdhoauwbzafmaubffte8fiuabfafma uqbcadaadzanbgnubai1eiabsae8atubuaemaqqauadaai1aauadaamaauad

24、aamqazl1b4xdia2mtexotaij nju2ofoxdtalhiexotft9kjuzofowgcgxdrftlbgnubft?ebe4tuv0xdzanbghubadeb15/thx3atepma0g luebx4gtltccu4cmrcufqyduqqkhauabaafaalgbjag8abtexkbugaluecx40adaamaauadaai1apiu adaxvzanbgnubameiabuafmabqbsaekaraauadaai1aawrdaariqri/adqahaa3ria8galueax4ibuullvvb tnvujuvvuqqdhiaamaauadnama

25、a7adeftmftzadqahqa2adcaoaa5adaamdcbn2andkqhkig9w0baqef fifiobjqawgkcgefirct4udmff 1u +u +rtnj/ebkht n d hm2 cpmsqrlkrls o p4ggmu fh s 5 d co b08 ke8 etjdg lzrd4r?2qn98+uzwknuxwy(i+szrulbktp+ldw(mzaetn7kesc9112fiiik6cxxabfl+11js35ntuu/pi+(i；：2：rihl!t*73qn98+u/wekauxwijq+sedjitf+ldwy0jwghexz/ratrib+xz

26、bzji/ecaueaaansmfauhqvdurg0bbvefdhj7zguhuy+ulai8fzzz14u6pun 4galuddues/uqeawigwdabghuhsmegdaugbqkvp6vemiqsmfkcosh8auol6hjjanbgk4hkig9u0b nqufftaobgqazu/lrz/ucqdrffiikujqn)zluubedvn11uantn0r2b3zgub5pin3uuisqlklzuttq58f8ezlu pk115 z mfhd79 wu ? +dft x6 kbw+s s 2 s t lwbzra ix1 jdsgccrmhnqgcvgezjx lug

27、6 4q?l9 d0n4r7ds t qu 7g djufjhfovfjkl0sfbll/6a-certlnfo=3fbad4alb0001&f讀取密碼 服務(wù)證二,淤怯 end八 xkxxxkmmkmxkkxxb 器端驗(yàn)證客戶 hi證書冽試 beg inaducheckcert okhdusealenuelope okaduopenenuelope ok3mgle data ok，)t he outdata is ； mi i bruv jkazi hucnaqccmi i bq a f bat anmqsgcscigs i bsdqebbaq jzgrkzgrkz：gr 3zgrkzgrkz

28、grkzgrkzgrkzgrkzgrkzgrkzgqxggflmil bvqi ba t cbu j cbt t enm a s g a1u e bh4 et ilw/te tn0galuecbgxn9ohhcemq8vdqvduqqhhgztu213xglxezarbgnubaoecbinfunqgawadmxhzadb9h ueasefohqctzounululclvju5ii6sluu4tk8mxtdahbgnubameggbtafkauubsae8atubuaf8auubuaei amrazmccgalueax4gafiatubpaf4ftqwbdaamaaadaamaamadaftm

29、aaxrdhccd+glkeaaafuigkqhki g9ugbaqqgcsqgsib3dqeeaqsbgknm6z4geriatr9rhus9pkcp9atxeqrfqi6k6xurizda3bu8xuub+bj3 zu4zotn3vlughhuul5dbit)3307sxps7ru/hqlu/qklgghjiseqjecdrkl9uidovdbbdsheeaeuife&usu f 9pmft6 is +n8 h72hsp i ummwsl igs/y?tkihd+epure fldusigndata okpure aduuei*ifysign okhdug野nrandom okfidusyninienciijpt ok + encda.ta _ len =4sndusynmb*crypt oh rtedatalen35conpare data ok?hash ok + ualue：mocy+htcxhnquuv53vbofl3fu0jirele4se ok3.5. 完整demo程序3