DB5305/T 19.50-2019 保山市信息惠民工程综合标准 第50部分：数字证书技术应用标准

ICS35.240

L67

DB5305

保山市地方标准

DB5305/T19.50—2019

替代DG5305/T19.50—2017

保山市信息惠民工程综合标准

第50部分:数字证书技术应用标准

2019-10-30发布2019-11-01实施

保山市市场监督管理局发布

DB5305/T19.50—2019

前    言

本标准按照GB/T1.1—2009《标准化工作导则第1部分：标准的结构和编写》给出的规则起草。

本标准中附录A为规范性附录、附录B为规范性附录、附录C为规范性附录、附录D为资料性附录、附

录E为资料性附录、附录F为资料性附录、附录G为规范性附录、附录H为资料性附录、附录I为资料性附

录。

本标准由保山市大数据管理局提出。

本标准由保山市工业和信息化委员会归口。

本标准起草单位：保山市大数据管理局。

本标准主要起草人：刘志胡、王明超、李祖燕、丁威、银孟璐。

本标准替代DG5305/T19.50—2017。

DB5305/T19.50—2019

保山市信息惠民工程综合标准

第50部分数字证书技术应用标准

1范围

本标准规定了保山市信息惠民工程数字证书技术应用规范的术语和定义、缩略语、数字证书格式、

政务数字证书应用接口、政务数字证书业务规则，本标准适用于保山市信息惠民工程数字证书技术应用

规范建设。

2规范性引用文件

下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的

修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究

是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。

GB/T16284.4信息技术文本通信面向信报的文本交换系统第4部分：抽象服务定义和规程

GB/T17969.1信息技术开放系统互连OSI登记机构的操作规程第1部分：一般规程

DB5305/T19.3-2019保山市信息惠民工程综合标准术语

3术语和定义

DB5305/T19.3-2019确立的以及下列术语和定义适用于本标准。

3.1公钥基础设施（PKI）

公钥基础设施指支持公钥管理体制的基础设施，提供鉴别、加密、完整性和不可否认性服务。

3.2证书认证机构（CA）

证书认证机构指负责创建和分配证书，受用户信任的权威机构。用户可以选择该机构为其创建密钥。

3.3证书注册机构（RA）

证书注册机构是CA的组成部分，对证书申请的业务受理审核子系统概称为RA，RA按照CA制定的

政策和管理规范对用户的资信进行审查，以决定是否为该用户发放证书。

3.4密钥管理中心（KMC）

密钥管理中心主要负责数字证书用户密钥的生成和管理，解决系统密钥和数字证书用户密钥自产生

到最终销毁的整个生命周期中的相关问题。

3.5在线证书状态协议（OCSP）

在线证书状态协议是IETF颁布的用于检查数字证书在某一时间是否有效的标准。

3.6依赖方

依赖方即指依赖于证书真实性的实体。在电子签名应用中，即为电子签名依赖方。

3.7公钥证书

1

DB5305/T19.50—2019

公钥证书指用户的公钥连同其他信息，并由发布该证书的证书认证机构的私钥进行加密使其不可伪

造。

3.8证书吊销列表(CRL)

证书吊销列表是一种由证书签发者所认定的无效证书的清单。

3.9终端实体

终端实体指不以签署证书为宗旨而使用其私钥的证书主体或者证书使用者。

3.10政务数字证书

政务数字证书指用来标识电子政务参与方真实身份的数字证书，根据参与方的不同类别分为认证机

构证书、政务个人证书、政务机构证书、政务设备证书、政务服务器证书、政务应用系统证书、政务代

码签名证书。

3.11政务个人证书

政务个人证书指颁发给参与电子政务的个人实体，用来唯一标识个人实体真实身份的数字证书。

3.12政务机构证书

政务机构证书指颁发给参与电子政务的机构实体，用来唯一标识机构实体真实身份的数字证书。

3.13政务设备证书

政务设备证书指颁发给参与电子政务的设备实体，用来唯一标识设备实体真实身份的数字证书。

3.14政务服务器证书

政务服务器证书指颁发给参与电子政务的服务器实体，用来唯一标识服务器实体真实身份的数字证

书。

3.15政务应用系统证书

政务应用系统证书指颁发给参与电子政务的应用系统实体，用来唯一标识应用系统实体真实身份的

数字证书。

3.16政务代码签名证书

政务代码签名证书指颁发给参与电子政务的各类实体，用来对其所开发的代码进行代码签名的数字

证书。

4缩略语

下列缩略语适用于本标准。

——ASN：AbstractSyntaxNotation，抽象语法表示法

——BASE64设计用来把任意序列的8位字节描述为一种不易被人直接识别的形式

——BER：BasicEncodingRules，基本编码规则

——C：Country，国家

——CA：CertificateAuthority，证书认证机构

——CN：CommonName，通用名

——CRL：CertificateRevocationList，证书吊销列表

——CSP：CryptographicServiceProvider，加密服务提供者

——DER：DistinguishedEncodingRules，可区分编码规则

2

DB5305/T19.50—2019

——DN：DistinguishedName，甄别名

——KMC：KeyManagementCentre，密钥管理中心

——LDAP：LightweightDirectoryAccessProtocol，轻量级目录访问协议

——O：Organization，机构

——OCSP：OnlineCertificateStatusProtocol，在线证书状态协议

——OID：ObjectIdentifier，对象标识符

——OU：OrganizationUnit，机构单位

——PKCS：ThePublic-KeyCryptographyStandard，公钥密码使用标准

——PKI：PublicKeyInfrastructure，公钥基础设施

——RA：RegistrationAuthority，证书注册机构

5数字证书格式

5.1政务数字证书通用格式

5.1.1基本结构

政务数字证书的基本结构由三部分组成：基本证书域TBSCertificate、签名算法域

SignatureAlgorithm、签名值域SignatureValue。政务数字证书的基本结构见图1所示。

图1政务数字证书的基本结构

政

务基本证书域

数TBSCertificate

字

证签名算法域

书SignatureAlgorithm

基

本

结签名值域

构SignatureValue

5.1.2基本证书域

基本证书域由基本域和扩展域组成,基本证书域的结构见图2所示。

图2基本证书域的结构

基

本基本域

证

书

扩展域

域

5.1.3基本域

基本域包括但不限于如下部分组成：基本域应符合附录A的规定。

——版本Version

——序列号SerialNumber

——签名算法SignatureAlgorithm

3

DB5305/T19.50—2019

——颁发者Issuer

——有效期Validity

——主体Subject

——主体公钥信息SubjectPublicKeyInfo

——颁发者唯一标识符IssuerUniqueID

——主体唯一标识符SubjectUniqueID

5.1.4扩展域

政务数字证书扩展域

政务数字证书可使用扩展域。政务数字证书扩展域可包含多项扩展项。每项扩展项由扩展类型、扩

展关键度和扩展项值组成。政务数字证书可使用IETFRFC3280中定义的包括但不限于如下证书扩展项：

政务数字证书扩展域应符合附录B.1的规定。

——机构密钥标识符AuthorityKeyIdentifier

——主体密钥标识符SubjectKeyIdentifier

——密钥用法KeyUsage

——扩展密钥用途ExtendedKeyUsage

——私有密钥使用期PrivateKeyUsagePeriod

——证书策略CertificatePolicies

——策略映射PolicyMappings

——主体替换名称SubjectAlternativeName

——颁发者替换名称IssuerAlternativeName

——主体目录属性SubjectDirectoryAttributes

——基本限制BasicConstraints

——名称限制NameConstraints

——策略限制PolicyConstraints

——证书撤销列表分发点CRLDistributionPoints

——限制任意策略InhibitAnyPolicy

——最新证书撤销列表FreshestCRL

——机构信息访问AuthorityInformationAccess

——主体信息访问SubjectInformationAccess

政务数字证书私有扩展项

本标准还包括但不限于如下私有扩展项：

——个人身份证号码IdentifyCardNumber

——个人社会保险号InsuranceNumber

——组织机构代码OrganizationCode

——工商注册号ICRegistrationNumber

——税号TaxationNumber

——主体银行基本账号SubjectBasicAccount

5.1.5签名算法域

包含CA颁发该证书所使用的密码算法的标识符，应与基本证书域中的签名算法项所标识的签名算

法相同。可选参数的内容完全依赖所标识的具体算法。

5.1.6签名值域

包含对基本证书域进行数字签名的结果。经过ASN.1DER编码的基本证书域作为数字签名算法的输

入，签名的结果按照ASN.1编码成BITSTRING类型并保存在签名值域。

5.1.7命名规范

主体

4

DB5305/T19.50—2019

政务数字证书中的主体DN应是C=CN命名空间下的X.500目录唯一名字。C（Country）属性的编码

使用PrintableString，其它属性的编码使用UTF8String。

主体的X.500DN如下：

C=CN

S=××

L=××

O=××

OU=××

CN=××

具体含义如下：

C（Country）应为CN，表示中国。

S（State）应为证书主体所在省份。

L（Location）应为证书主体所在市州。

O（Organization）应为证书主体所属单位的上一级单位的名称全称；

OU（OrganizationUnit）应为证书主体或者证书主体所属单位的名称全称；

CN（CommonName）中的内容包括但不限于6种：

——政务个人证书中应为证书主体的姓名；

——政务机构证书中应为证书主体单位的名称；

——政务设备证书中应为证书主体设备的设备编码；

——政务服务器证书中应为证书主体服务器的域名或IP，宜为域名；

——政务应用系统证书中应为证书主体应用系统的应用系统编码；

——政务代码签名证书中应为负责人的姓名，或者是所属单位的名称。

主体命名示例参见附录D。

主体替换名称

政务数字证书的主体替换名称扩展项包含一个或多个替换名供实体使用，CA把该实体与认证的公

开密钥绑定在一起。主体替换名称扩展允许把附加身份加到证书的主体上。所定义的选项包括因特网电

子邮件地址、DNS名称、IP地址和统一资源标识符（URI），及纯本地定义的选项。此项定义包括但不限

于：

——otherName是按照OTHER-Name信息客体类别实例定义的任一种形式的名称；

——rfc822Name是按照InternetRFC822定义的Internet电子邮件地址，政务个人证书、政务机

构证书、政务设备证书、政务服务器证书、政务应用系统证书、政务代码签名证书宜包含电子

邮件地址Email；

——DNSName是按照RFC1034定义的Internet域名，政务设备证书、政务服务器证书、政务应用

系统证书可包含域名地址；

——x400Address是按照GB/T16284.4-1996定义的O/R地址；

——directoryName是按照ISO/IEC9594-2:2001定义的目录名称；

——ediPartyName是通信的电子数据交换双方之间商定的形式名称，nameAssigner成分标识了分

配partyName中唯一名称值的机构；

——uniformResourceIdentifier是按InternetRFC1630定义的用于WWW的

UniformResourceIdentifer，RFC1738中定义的URL语法和编码规则；

——iPAddress是按照InternetRFC791定义的用二进制串表示的InternetProtocol地址；

——registeredID是按照GB/T17969.1-2000对注册的客体分配的标识符。

——directoryName的X.500DN应是C=CN命名空间下的X.500目录唯一名字。

主体替换名称命名示例参见附录E。

5.1.8政务数字证书编码示例

政务数字证书编码参见附录F。

5

DB5305/T19.50—2019

5.2认证机构证书格式

5.2.1概述

认证机构证书为颁发给参与电子政务的证书认证机构的数字证书；认证机构证书简称电子政务CA

证书；认证机构证书由基本证书域、签名算法域和签名值域组成。

5.2.2认证机构证书基本证书域

基本证书域由基本域和扩展域组成。

5.2.3认证机构证书基本域

认证机构证书基本域应符合附录A的规定。

5.2.4认证机构证书扩展域

CA证书可包括但不限于如下扩展项：

——机构密钥标识符AuthorityKeyIdentifier

——主体密钥标识符SubjectKeyIdentifier

——密钥用法KeyUsage

——扩展密钥用途ExtendedKeyUsage

——私有密钥使用期PrivateKeyUsagePeriod

——证书策略CertificatePolicies

——策略映射PolicyMappings

——主体替换名称SubjectAlternativeName

——颁发者替换名称IssuerAlternativeName

——主体目录属性SubjectDirectoryAttributes

——基本限制BasicConstraints

——名称限制NameConstraints

——策略限制PolicyConstraints

——证书撤销列表分发点CRLDistributionPoints

——限制任意策略InhibitAnyPolicy

——最新证书撤销列表FreshestCRL

——机构信息访问AuthorityInformationAccess

——主体信息访问SubjectInformationAccess

认证机构数字证书扩展域应符合附录B.2的规定。

5.2.5认证机构证书签名算法域

认证机构证书签名算法域应符合4.1.3的规定。

5.2.6认证机构证书签名值域

认证机构证书签名值域应符合4.1.4的规定。

5.2.7认证机构证书模板

认证机构证书模板应符合附录C的规定。

5.3政务个人证书格式

5.3.1概述

政务个人证书为颁发给参与电子政务的个人实体，用来唯一标识个人实体真实身份的数字证书。

政务个人证书由基本证书域、签名算法域和签名值域组成。

6

DB5305/T19.50—2019

5.3.2政务个人证书基本证书域

基本证书域由基本域和扩展域组成。

5.3.3政务个人证书基本域

政务个人证书基本域应符合附录A的规定。

5.3.4政务个人证书扩展域

政务个人证书扩展域可包括但不限于如下扩展项：

——机构密钥标识符AuthorityKeyIdentifier

——主体密钥标识符SubjectKeyIdentifier

——密钥用法KeyUsage

——扩展密钥用途ExtendedKeyUsage

——私有密钥使用期PrivateKeyUsagePeriod

——证书策略CertificatePolicies

——主体替换名称SubjectAlternativeName

——颁发者替换名称IssuerAlternativeName

——主体目录属性SubjectDirectoryAttributes

——基本限制BasicConstraints

——证书撤销列表分发点CRLDistributionPoints

——最新证书撤销列表FreshestCRL

——机构信息访问AuthorityInformationAccess

——主体信息访问SubjectInformationAccess

——个人身份证号码IdentifyCardNumber

——个人社会保险号InsuranceNumber

——主体银行基本账号SubjectBasicAccount

政务个人证书扩展域应符合附录B.3的规定。

5.3.5政务个人证书签名算法域

政务个人证书签名算法域应符合4.1.3的规定。

5.3.6政务个人证书签名值域

政务个人证书签名值域应符合4.1.4的规定。

5.3.7政务个人证书模板

政务个人证书模板应符合附录C的规定。

5.4政务机构证书格式

5.4.1概述

政务机构证书为颁发给参与电子政务的机构实体，用来唯一标识机构实体真实身份的数字证书。政

务机构证书由基本证书域、签名算法域和签名值域组成。

5.4.2政务机构基本证书域

基本证书域由基本域和扩展域组成。

5.4.3政务机构证书基本域

7

DB5305/T19.50—2019

政务机构证书基本域应符合附录A的规定。

5.4.4政务机构证书扩展域

政务机构证书扩展域可包括但不限于如下扩展项：

——机构密钥标识符AuthorityKeyIdentifier

——主体密钥标识符SubjectKeyIdentifier

——密钥用法KeyUsage

——扩展密钥用途ExtendedKeyUsage

——私有密钥使用期PrivateKeyUsagePeriod

——证书策略CertificatePolicies

——主体替换名称SubjectAlternativeName

——颁发者替换名称IssuerAlternativeName

——主体目录属性SubjectDirectoryAttributes

——基本限制BasicConstraints

——证书撤销列表分发点CRLDistributionPoints

——最新证书撤销列表FreshestCRL

——机构信息访问AuthorityInformationAccess

——主体信息访问SubjectInformationAccess

——工商注册号ICRegistrationNumber

——组织机构代码OrganizationCode

——税号TaxationNumber

——主体银行基本账号SubjectBasicAccount

政务机构证书扩展域应符合附录B.4的规定。

5.4.5政务机构证书签名算法域

政务机构证书签名算法域应符合4.1.3的规定。

5.4.6政务机构证书签名值域

政务机构证书签名值域应符合4.1.4的规定。

5.4.7政务机构证书模板

政务机构证书模板应符合附录C的规定。

5.5政务设备证书格式

5.5.1概述

政务设备证书为颁发给参与电子政务的设备实体，用来唯一标识设备实体真实身份的数字证书。政

务设备证书由基本证书域、签名算法域和签名值域组成。

5.5.2政务设备基本证书域

基本证书域由基本域和扩展域组成。

5.5.3政务设备证书基本域

政务设备证书基本域应符合附录A的规定。

5.5.4政务设备证书扩展域

政务设备证书扩展域可包括但不限于如下扩展项：

——机构密钥标识符AuthorityKeyIdentifier

8

DB5305/T19.50—2019

——主体密钥标识符SubjectKeyIdentifier

——密钥用法KeyUsage

——扩展密钥用途ExtendedKeyUsage

——私有密钥使用期PrivateKeyUsagePeriod

——证书策略CertificatePolicies

——主体替换名称SubjectAlternativeName

——颁发者替换名称IssuerAlternativeName

——主体目录属性SubjectDirectoryAttributes

——基本限制BasicConstraints

——证书撤销列表分发点CRLDistributionPoints

——最新证书撤销列表FreshestCRL

——机构信息访问AuthorityInformationAccess

——主体信息访问SubjectInformationAccess

政务设备证书扩展域应符合附录B.5的规定。

5.5.5政务设备证书签名算法域

政务设备证书签名算法域应符合4.1.3的规定。

5.5.6政务设备证书签名值域

政务设备证书签名值域应符合4.1.4的规定。

5.5.7政务设备证书模板

政务设备证书模板应符合附录C的规定。

5.6政务服务器证书格式

5.6.1概述

政务服务器证书为颁发给参与电子政务的各服务器实体，用来唯一标识服务器实体真实身份的数字

证书。政务服务器证书由基本证书域、签名算法域和签名值域组成。

5.6.2政务服务器基本证书域

基本证书域由基本域和扩展域组成。

5.6.3政务服务器证书基本域

政务服务器证书基本域应符合附录A的规定。

5.6.4政务服务器证书扩展域

政务服务器证书扩展域可包括但不限于如下扩展项：

——机构密钥标识符AuthorityKeyIdentifier

——主体密钥标识符SubjectKeyIdentifier

——密钥用法KeyUsage

——扩展密钥用途ExtendedKeyUsage

——私有密钥使用期PrivateKeyUsagePeriod

——证书策略CertificatePolicies

——主体替换名称SubjectAlternativeName

——颁发者替换名称IssuerAlternativeName

——主体目录属性SubjectDirectoryAttributes

9

DB5305/T19.50—2019

——基本限制BasicConstraints

——证书撤销列表分发点CRLDistributionPoints

——最新证书撤销列表FreshestCRL

——机构信息访问AuthorityInformationAccess

——主体信息访问SubjectInformationAccess

政务服务器证书扩展域应符合附录B.6的规定。

5.6.5政务服务器证书签名算法域

政务服务器证书签名算法域应符合4.1.3的规定。

5.6.6政务服务器证书签名值域

政务服务器证书签名值域应符合4.1.4规定。

5.6.7政务服务器证书模板

政务服务器证书模板应符合附录C的规定。

5.7政务应用系统证书格式

5.7.1概述

政务应用系统证书为颁发给参与电子政务的各应用系统实体，用来唯一标识应用系统实体真实身份

的数字证书。政务应用系统证书由基本证书域、签名算法域和签名值域组成。

5.7.2政务应用系统基本证书域

基本证书域由基本域和扩展域组成。

5.7.3政务应用系统基本证书域

政务应用系统基本证书域应符合附录A的规定。

5.7.4政务应用系统证书扩展域

政务应用系统证书扩展域可包括但不限于如下扩展项：

——机构密钥标识符AuthorityKeyIdentifier

——主体密钥标识符SubjectKeyIdentifier

——密钥用法KeyUsage

——扩展密钥用途ExtendedKeyUsage

——私有密钥使用期PrivateKeyUsagePeriod

——证书策略CertificatePolicies

——主体替换名称SubjectAlternativeName

——颁发者替换名称IssuerAlternativeName

——主体目录属性SubjectDirectoryAttributes

——基本限制BasicConstraints

——证书撤销列表分发点CRLDistributionPoints

——最新证书撤销列表FreshestCRL

——机构信息访问AuthorityInformationAccess

——主体信息访问SubjectInformationAccess

政务应用系统证书扩展域应符合附录B.7的规定。

5.7.5政务应用系统证书签名算法域

政务应用系统证书签名算法域应符合4.1.3的规定。

10

DB5305/T19.50—2019

5.7.6政务应用系统证书签名值域

政务应用系统证书签名值域应符合4.1.4的规定。

5.7.7政务应用系统证书模板

政务应用系统证书模板应符合附录C的规定。

5.8政务代码签名证书格式

5.8.1概述

政务代码签名证书为颁发给参与电子政务的各类实体，用来对其所开发的代码进行代码签名的数字

证书。政务代码签名证书由基本证书域、签名算法域和签名值域组成。

5.8.2政务代码签名基本证书域

基本证书域由基本域和扩展域组成。

5.8.3政务代码签名证书基本域

政务代码签名证书基本域应符合附录A的规定。

5.8.4政务代码签名证书扩展域

政务代码签名证书扩展域可包括但不限于如下扩展项：

——机构密钥标识符AuthorityKeyIdentifier

——主体密钥标识符SubjectKeyIdentifier

——密钥用法KeyUsage

——扩展密钥用途ExtendedKeyUsage

——私有密钥使用期PrivateKeyUsagePeriod

——证书策略CertificatePolicies

——主体替换名称SubjectAlternativeName

——颁发者替换名称IssuerAlternativeName

——主体目录属性SubjectDirectoryAttributes

——基本限制BasicConstraints

——证书撤销列表分发点CRLDistributionPoints

——最新证书撤销列表FreshestCRL

——机构信息访问AuthorityInformationAccess

——主体信息访问SubjectInformationAccess

政务代码签名证书扩展域应符合附录B.8的规定。

5.8.5政务代码签名证书签名算法域

政务代码签名证书签名算法域应符合4.1.3的规定。

5.8.6政务代码签名证书签名值域

政务代码签名证书签名值域应符合4.1.4的规定。

5.8.7政务代码签名证书模板

政务代码签名证书模板应符合附录C的规定。

6政务数字证书应用接口

11

DB5305/T19.50—2019

6.1政务数字证书应用体系结构

政务数字证书应用体系结构如图3所示。政务数字证书支持多种应用方式，可利用CA提供的数字

证书应用程序接口进行定制开发，实现登录和身份认证等基本应用，也可应用已有标准协议和标准中间

件，包括但不限于：

——安全套接层协议（SSL，SecuritySocketLayer），SSL协议指定了一种在应用程序协议（如

HTTP、Telnet、NMTP和FTP等）和TCP/IP协议之间提供数据安全性分层的机制，它为TCP/IP

连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。

——安全多媒体Internet邮件扩展协议（S/MIME）主要用于保障电子邮件的安全传输。例如：

软的outlookexpress中使用该协议，采用数字标识、数字凭证、数字签名以及非对称密钥系

统等技术，构成一种签名加密的邮件收发方式。

——XML密钥信息服务规范（XKISS），XKMS为允许客户机应用程序认证经过加密/签名的数据提供

机制。

图3政务数字证书应用体系结构

身份认证保密性完整性不可否认性

应用层

应用程序

数字证书应用中间件

接口层

应用程序接口S/MIME协议XKMS协议……SSL协议

数字证书

系统层

密码设备（加密机、密码卡、usbkey等）

6.2政务数字证书应用接口组成和功能说明

6.2.1总体说明

政务数字证书应用接口位于应用系统和政务数字证书之间，应用程序通过调用政务数字证书应用接

口实现身份认证、实现信息的保密性、完整性和不可否认性；政务数字证书应用接口通过标准接口，在

密码设备中实现具体的密码运算和密钥使用。政务数字证书应用接口支持PKCS#11和CSP接口方式，提

供的消息函数符合PKCS#7格式。政务数字证书应用接口包括但不限于以下部分组成：

初始化函数

——证书函数

12

DB5305/T19.50—2019

——算法服务函数

——原文操作函数

——文件操作函数

除上述程序接口以外，CA应提供字符串编码及异常处理等辅助函数。

6.2.2初始化函数

初始化函数负责创建和管理安全程序空间，加载和管理安全程序空间中所需的各种资源，完成与系

统、密码设备的连接准备。可通过初始化函数加载配置文件包括但不限于以下内容进行设置：

——应用工作路径

——系统字符集

——应用程序字符集

——日志文件

——系统可信任的证书

——CRL

6.2.3证书函数

证书函数用于获取和验证政务数字证书及提取证书信息。应用程序可通过该类函数，实现基于政务

数字证书的身份认证、授权管理、访问控制等安全机制。应先获取相关证书的CRL或证书的状态，然后

调用相关函数进行证书验证，在确定证书的有效性后调用该类函数。

6.2.4算法服务函数

算法服务函数用于设置签名和加密算法，不调用该函数采用系统初始化时确定的默认算法。

6.2.5原文操作函数

原文操作函数对字符串数据进行操作实现以下功能：数据签名，数据加密，验证签名数据，验证加

密数据，获取签名信息，获取加密信息等操作，实现信息的保密性、完整性和不可否认性。对原文进行

操作前，应使用证书函数对证书进行设置。

6.2.6文件操作函数

文件操作函数对数据文件进行操作实现以下