人力資源社會保障電子印章體系 第3部分 簽章技術(shù)規(guī)范（LD-T 01.3-2022）

ICS35.040

CCSL80

LD

中華人民共和國勞動和勞動安全行業(yè)標(biāo)準(zhǔn)

LD/T01.3—2022

人力資源社會保障電子印章體系

第3部分簽章技術(shù)規(guī)范

HumanResourcesandSocialSecurityElectronicSealSystem

Part3:TechnicalSpecificationoftheSealSignature

2022-03-23發(fā)布2022-06-01實施

中華人民共和國人力資源和社會保障部發(fā)布

LD/T01.3—2022

人力資源社會保障電子印章體系

第3部分簽章技術(shù)規(guī)范

1范圍

本文件規(guī)定了人力資源社會保障電子簽章的數(shù)據(jù)格式、生成流程和驗證流程。

本文件適用于人力資源社會保障電子印章系統(tǒng)的建設(shè)、使用和各地區(qū)人力資源社會保障電子印章

系統(tǒng)的接入。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T20520—2006信息安全技術(shù)公鑰基礎(chǔ)設(shè)施時間戳規(guī)范

GB/T32905—2016信息安全技術(shù)SM3密碼雜湊算法

GB/T33476.3—2016黨政機(jī)關(guān)電子公文格式規(guī)范第3部分：實施指南

GB/T33560—2017信息安全技術(shù)密碼應(yīng)用標(biāo)識規(guī)范

GB/T35276—2017信息安全技術(shù)SM2密碼算法使用規(guī)范

GM/Z0001—2013密碼術(shù)語

3術(shù)語和定義

GM/Z0001—2013界定的以及下列術(shù)語和定義適用于本文件。

電子印章簽章stampwithelectronicseal

使用電子印章簽署電子文件的過程，也稱為電子簽章或電子印章蓋章。

電子印章驗章verifystampofelectronicseal

對電子印章簽章結(jié)果進(jìn)行驗證的過程，也稱為電子簽章驗證。

電子簽章數(shù)據(jù)electronicsealsignaturedata

電子簽章過程產(chǎn)生的包含電子印章信息和簽名信息的數(shù)據(jù)。

4縮略語

下列縮略語適用于本文件。

ASN.1:抽象語法記法（AbstractSyntaxNotationOne）

DER:非典型編碼規(guī)則（DistinguishedEncodingRules）

OID:對象標(biāo)識符（ObjectIdentifier）

PKI:公鑰基礎(chǔ)設(shè)施（PublicKeyInfrastructure）

5概述

人力資源社會保障電子印章系統(tǒng)的電子簽章是采用PKI公鑰密碼技術(shù)，將數(shù)字圖像處理技術(shù)與電子

簽名技術(shù)進(jìn)行結(jié)合，以印章外觀模擬方式對電子文檔進(jìn)行數(shù)字簽名，以確保文檔來源的真實性以及文檔

的完整性，防止對文檔未經(jīng)授權(quán)的篡改，并確保簽章行為的不可否認(rèn)性。

1

LD/T01.3—2022

在使用電子印章對各種文檔進(jìn)行電子簽章過程中，電子印章所有者通過電子印章對文檔數(shù)據(jù)進(jìn)行

簽章處理，可視化效果與傳統(tǒng)紙質(zhì)蓋章方式相同，同時用數(shù)字簽名保障了文檔數(shù)據(jù)的真實性、完整性以

及電子印章所有者行為的不可否認(rèn)性。

人力資源社會保障電子印章系統(tǒng)中數(shù)字簽名算法為SM2，雜湊算法為SM3。

6電子簽章數(shù)據(jù)格式

電子簽章數(shù)據(jù)由待電子簽章數(shù)據(jù)、電子印章所有者數(shù)字證書、簽名算法標(biāo)識、簽名值和時間戳(可

選)組成，其數(shù)據(jù)結(jié)構(gòu)見圖1。

電子簽章的數(shù)據(jù)結(jié)構(gòu)

待電子簽章數(shù)據(jù)電子印章所有者數(shù)字證書簽名算法標(biāo)識簽名值時間戳

圖1電子簽章數(shù)據(jù)結(jié)構(gòu)

SES_Signature::=SEQUENCE{

toSignTBS_Sign，--待電子簽章數(shù)據(jù)

certOCTETSTRING，--電子印章所有者數(shù)字證書

signatureAlgIDOBJECTIDENTIFIER，--簽名算法標(biāo)識

signatureBITSTRING，--電子簽章中簽名值

timeStamp[0]BITSTRINGOPTIONAL--對簽名值的時間戳

}

其中：

toSign：需要進(jìn)行簽章的電子印章及其他原文相關(guān)數(shù)據(jù)；

cert：執(zhí)行本次簽章操作的電子印章所有者數(shù)字證書，宜使用DER編碼格式；

signatureAlgID：簽名算法OID，遵循GB/T33560—2017；SM2算法對應(yīng)的OID為

1.2.156.10197.1.501；

signature：電子印章所有者對“待簽章數(shù)據(jù)（toSign）”進(jìn)行數(shù)字簽名其中簽名算

法使用SM2，遵循GB/T35276—2017；原文雜湊值所采用的雜湊算法為

SM3算法，遵循GB/T32905—2016；

timeStamp：（可選）對“簽名值（signature）”計算的時間戳，遵循GB/T

20520—2006，使用DER編碼格式。

待電子簽章數(shù)據(jù)由版本號、電子印章、簽章時間、原文雜湊值、原文屬性和自定義數(shù)據(jù)組成，其數(shù)

據(jù)結(jié)構(gòu)見圖2。

待電子簽章的數(shù)據(jù)結(jié)構(gòu)

版本號電子印章簽章時間原文雜湊值原文屬性自定義數(shù)據(jù)

圖2待電子簽章數(shù)據(jù)結(jié)構(gòu)

待電子簽章數(shù)據(jù)的ASN.1定義為：

TBS_Sign::=SEQUENCE{

versionINTEGER，--電子簽章的版本

esealSESeal，--電子印章

timeInfoGeneralizedTime，--簽章時間

2

LD/T01.3—2022

dataHashBITSTRING，--原文雜湊值

propertyInfoIA5String，--原文數(shù)據(jù)的屬性

extDatas[0]ExtensionDatasOPTIONAL--自定義數(shù)據(jù)

}

其中：

version：電子印章數(shù)據(jù)版本號，由2位序號組成，第1位標(biāo)識主版本號，第2位標(biāo)

識次版本號，如“41”標(biāo)識版本4.1，本規(guī)范中版本號統(tǒng)一表示為41；

eseal：生成電子簽章使用的電子印章；

timeInfo：電子簽章對應(yīng)的時間，類型為GeneralizedTime；

dataHash：待簽章原文的雜湊值；

propertyInfo：原文數(shù)據(jù)的屬性，如文檔ID、日期、段落、原文內(nèi)容的字節(jié)數(shù)、指示信

息、簽名保護(hù)范圍等，此部分受簽名保護(hù)，propertyInfo的具體結(jié)構(gòu)可

自行定義，但至少應(yīng)包含簽名保護(hù)范圍；

extDatas：廠商自定義數(shù)據(jù)。

7電子印章簽章流程

電子印章簽章流程見圖3。

3

LD/T01.3—2022

電子印章是否正確？

是

電子印章所有者證書是否有效？

（可選）

是

比對證書列表或者雜湊是否正確？

是

否

按照propertyInfo中的簽名保護(hù)范圍

準(zhǔn)備待簽章原文

將待簽章原文數(shù)據(jù)進(jìn)行雜湊運算

形成原文雜湊值

按照電子簽章數(shù)據(jù)格式組裝待簽章數(shù)據(jù)

電子印章所有者對待簽章數(shù)據(jù)進(jìn)行數(shù)字簽名,

生成電子簽章簽名值

如果電子簽章需要加蓋時間戳則將電子

簽章簽名值用來產(chǎn)生相應(yīng)的時間戳

按照電子簽章數(shù)據(jù)格式把以上數(shù)據(jù)

退出

打包形成電子簽章數(shù)據(jù)

圖3電子印章簽章流程

電子印章簽章流程如下：

a)準(zhǔn)備電子印章，驗證電子印章的正確性和有效性。

1)選擇擬進(jìn)行電子簽章的電子印章，按照《印章技術(shù)規(guī)范》中電子印章驗證流程驗證印章的

正確性和有效性；

4

LD/T01.3—2022

2)選擇擬進(jìn)行電子簽章的電子印章所有者證書，可驗證電子印章所有者證書有效性。驗證項

至少包括：證書信任鏈、證書有效期、密鑰用法是否正確；

3)根據(jù)電子印章中的電子印章所有者證書列表類型，如果是證書列表，則比對證書；如果是

證書雜湊值列表，則比對證書雜湊值。提取電子印章中的電子印章所有者證書列表，使用

步驟b）中的電子印章所有者證書逐一進(jìn)行證書數(shù)據(jù)二進(jìn)制比對，確認(rèn)電子印章所有者證

書是否在電子印章所有者證書列表中。

——如果比對失敗或證書不在列表當(dāng)中，返回失敗原因并退出生成流程；

——如果是因為電子印章所有者證書執(zhí)行更新、重簽發(fā)等操作而導(dǎo)致證書比對失敗，則需要重新制

作印章，再重新進(jìn)行簽章生成流程。

b)對原文進(jìn)行電子簽章。

1)按propertyInfo中的簽名保護(hù)范圍準(zhǔn)備待簽章原文；

2)對待簽章原文進(jìn)行雜湊運算，形成原文雜湊值；

3)按照電子簽章數(shù)據(jù)格式組裝待簽章數(shù)據(jù)。待簽章數(shù)據(jù)包括：版本號、電子印章、簽章時間、

原文雜湊值、原文屬性、電子印章所有者數(shù)字證書、簽名算法標(biāo)識；

4)電子印章所有者對待簽章數(shù)據(jù)進(jìn)行數(shù)字簽名，生成電子簽章簽名值；

5)如果電子簽章需要加蓋時間戳，則利用前述電子簽章簽名值計算產(chǎn)生相應(yīng)的時間戳；

6)按電子簽章數(shù)據(jù)格式，把以上數(shù)據(jù)組裝為電子簽章數(shù)據(jù)。

注：簽章數(shù)據(jù)在OFD版式文件中的使用見GB/T33476.3—2016。

8電子印章驗章流程

電子印章驗章流程見圖4。

5

LD/T01.3—2022

電子印章數(shù)據(jù)格式是否正確?

是

電子印章所有者證書是否存在于

電子印章所有者列表中?

是

電子印章是否有效?

是

否

電子印章所有者數(shù)字證書是否有效？

是

簽章時間是否有效?

是

原文雜湊是否正確?

是

時間戳是否有效？

是

電子簽章有效退出

圖4電子印章驗章流程

電子印章驗章流程如下：

a)驗證電子簽章數(shù)據(jù)格式的正確性。

1)根據(jù)第6章電子簽章數(shù)據(jù)格式解析電子簽章數(shù)據(jù)；

6

LD/T01.3—2022

2)按照《LD/T01.2—2022人力資源社會保障電子印章體系第2部分印章技術(shù)規(guī)范》第6

章電子印章數(shù)據(jù)格式解析上述電子簽章中的電子印章數(shù)據(jù)；

3)如果電子簽章或電子印章數(shù)據(jù)格式不正確，則驗證失敗并退出驗證流程。

b)驗證電子簽章簽名值是否正確。

1)從電子簽章數(shù)據(jù)格式提取待驗證數(shù)據(jù)，待驗證數(shù)據(jù)包括：版本號、電子印章、簽章時間、

原文雜湊值、原文屬性、電子印章所有者數(shù)字證書、簽名算法標(biāo)識，驗證電子簽章簽名值

是否正確；

2)如果簽名值驗證不正確則驗證失敗，返回失敗原因并退出驗證流程。

c)驗證電子印章所有者證書是否存在于電子印章所有者列表中。

從電子簽章數(shù)據(jù)中提取電子印章所有者數(shù)字證書和電子印章，并從電子印章中提取電子印章所有

者證書列表類型、電子印章所有者證書列表數(shù)據(jù)；

1)根據(jù)上述電子印章所有者證書列表類型，如果類型是證書列表，則比對證書。將電子印章

中電子印章所有者證書列表與電子簽章中電子印章所有者數(shù)字證書逐一進(jìn)行證書數(shù)據(jù)二

進(jìn)制比對，確認(rèn)電子印章所有者證書是否存在于電子印章所有者證書列表中，若不存在，

則驗證失敗，返回失敗原因并退出驗證流程；

2)根據(jù)上述電子印章所有者證書列表類型，如果類型是證書雜湊值列表，則比對雜湊值。將

電子簽章中電子印章所有者數(shù)字證書進(jìn)行雜湊，再與電子印章中電子印章所有者證書雜

湊值列表逐一進(jìn)行比對，確認(rèn)電子印章所有者證書是否存在于電子印章所有者證書列表

中，若不存在，則驗證失敗，返回失敗原因并退出驗證流程。

d)驗證電子印章的有效性。

1)從電子簽章數(shù)據(jù)中提取電子印章，按照《印章技術(shù)規(guī)范》第8章中電子印章驗證流程驗

證印章的有效性，再根據(jù)電子簽章中的時間標(biāo)記驗證簽章的有效性；

2)如果簽章時間不處于印章有效期內(nèi)，則簽章無效，驗證失敗，返回失敗原因并退出驗證流

程。

e)驗證電子印章所有者數(shù)字證書有效性。

1)從電子簽章數(shù)據(jù)獲得電子印章所有者數(shù)字證書，驗證電子印章所有者證書有效性，驗證項

至少包括：證書信任鏈、證書有效期、密鑰用法是否正確；

2)如果是由于證書信任鏈驗證或密鑰用法不正確導(dǎo)致的電子印章所有者證書有效性驗證失

敗，則返回失敗原因并退出驗證流程；

3)如果是由于證書有效期導(dǎo)致的電子印章所有者證書有效性驗證失敗，則還需要進(jìn)一步結(jié)

合簽章時間進(jìn)行綜合判定。

f)驗證簽章時間有效性。

1)根據(jù)電子印章所有者數(shù)字證書有效期和電子簽章中的時間標(biāo)記進(jìn)行比對，判斷簽章時間

有性；

2)如果簽章時間處于電子印章所有者數(shù)字證書有效期內(nèi)，并且證書有效，則需要繼續(xù)進(jìn)一步

驗證；

3)如果簽章時間不在電子印章所有者數(shù)字證書有效期內(nèi)，則簽章無效，驗證失敗，返回失敗

原因并退出驗證流程；

4)如果簽章時間處于電子印章所有者數(shù)字證書有效期內(nèi)，但是證書在簽章之前已被吊銷，則

簽章視為無效，驗證失敗，返回失敗原因并退出驗證流程；

5)如果簽章時間處于電子印章所有者數(shù)字證書有效期內(nèi)，但是證書在簽章之后被吊銷，則需

要繼續(xù)后續(xù)步驟驗證；