GB_T 43694-2024 网络安全技术 证书应用综合服务接口规范.docx

《GB_T 43694-2024 网络安全技术 证书应用综合服务接口规范.docx》由会员分享，可在线阅读，更多相关《GB_T 43694-2024 网络安全技术 证书应用综合服务接口规范.docx（96页珍藏版）》请在优知文库上搜索。

1、ICS35.030CCS1.80OB中华人民共和国国家标准GB/T436942024网络安全技术证书应用综合服务接口规范CybersecuritytechnologyCertificateapplicationintegratedserviceinterfacespecication2024-04-25发布2024-11-01实施国家市场监督管理总局给希国家标准化管理委员会发布目次前言I1范围12规范性引用文件13术语和定义14缩略语25证书应用综合服务接口25.1 证书应用综合服务接口在公钥密码应用技术体系框架中的位置25.2 证书应用综合服务接口分类25.3 客户端服务接口25.4 服务器

2、端服务接口26标识和数据结构31.1 标识定义31.2 数据结构定义31.3 数据格式要求37 证书应用综合服务接口定义37.1 客户端COM组件接口37.2 客户端JaVaSCriPt脚本接口167.3 服务器端CoM组件接口287.4 服务器端JaVa组件接口428 接口验证方法568.1 验证环境568.2 验证原则568.3 验证场景57附录A（规范性）证书应用综合服务接口错误代码定义61附录B（资料性）证书应用综合服务接口典型部署模型64附录C（资料性）证书应用综合服务接口集成示例65附录D（资料性）证书应用综合服务接口汇总67附录E（资料性）客户端JaVaSCriPt脚本接口异步调

3、用示例说明73参考文献74本文件按照GB/T1.12020标准化工作导则第1部分：标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国网络安全标准化技术委员会（SAC/TC260）提出并归口。本文件起草单位：北京数字认证股份有限公司、博雅中科（北京）信息技术有限公司、北京奇虎科技有限公司、山东得安信息技术有限公司、中国电力科学研究院、北京信安世纪科技股份有限公司、无锡江南信息安全工程技术中心、中国电子技术标准化研究院、格尔软件股份有限公司、中电科网络安全科技股份有限公司、深圳市不动产登记中心、郑州信大捷安信息技术股份有限公

4、司、阿里云计算有限公司、浙江九州量子信息技术股份有限公司、航天信息股份有限公司、数安时代科技股份有限公司、智巡密码（上海）检测技术有限公司、中科信息安全共性技术国家工程研究中心有限公司、中国汽车工程研究院股份有限公司。本文件主要起草人：刘伟、赵永省、夏鲁宁、李述胜、刘中、程科伟、浦雨三、张屹、张志磊、马洪富、袁中林、李智虎、焦靖伟、刘平、黄晶晶、谭武征、寇建波、颜海龙、刘献伦、刘为华、肖淑婷、张文科、杨倩媚、董亮亮、周蔚林、韩玮、高振鹏、胡建勋、刘冲、牟洁。网络安全技术证书应用综合服务接口规范1范围本文件规定了面向证书应用的综合服务接口要求和定义，描述了相应验证方法。本文件适用于公钥密码基础设

5、施应用技术体系下证书应用中间件和证书应用系统的开发，以及密码应用支撑平台的研制和检测。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T20518信息安全技术公钥基础设施数字证书格式GB/T25061信息安全技术XM1.数字签名语法与处理规范GB/T25069信息安全技术术语GB/T33560信息安全技术密码应用标识规范GB/T35275信息安全技术SM2密码算法加密签名消息语法规范GB/T35276信息安全技术SM2密码算法使用规范GB

6、/T35291信息安全技术智能密码钥匙应用接口规范GB/T36322信息安全技术密码设备应用接口规范GB/T43578信息安全技术通用密码服务接口规范GM/T00942020公钥密码应用技术体系框架规范GM/Z4001密码术语3术语和定义GB/T25069、GM/Z4001界定的以及下列术语和定义适用于本文件。3.1数字证书digitalcertificate由CA签名的包含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及扩展信息的一种数据结构。注：数字证书也称公钥证书，按类别分为个人证书、方购证书和设备证书，按用途分为签名证书和加密证书。来源：GM/Z40012013,2.1153.2用

7、户密钥userkey存储在设备内部的用于应用密码运算的非对称密钥对。注：用户密钥包含签名密钥对和加密密钥对。3.3密钥容器keycontainer密码设备中用于保存用户密钥的唯一性存储空间。4缩略语下列缩略语适用于本文件。B/S:浏览器/服务器(BrOWSeIVServer)CA:证书认证机构(CertifiCationAuthority)COM:组件对象模型(COmPonentObjectModel)CR1.:证书撤销列表(CertifiCaIeRevocation1.ist)JARJava归档文件(JaVaArchive)1.DAP:轻量级目录访问协议(1.ightWeightDirect

8、oryAccessProtocol)OlD:对象标识符(ObjeCtIdentifier)XM1.:可扩展标记语言(EXtenSibIeMarkup1.anguage)5证书应用综合服务接口5.1 证书应用综合服务接口在公钥密码应用技术体系框架中的位公钥密码应用技术体系框架由应用层、典型密码应用支撑层、通用密码应用支撑层、基础设施安全支撑平台、密码设备服务层组成。证书应用综合服务接口属于通用密码应用支撑层，是中间件，为典型密码应用支撑层和应用层提供密码服务。其功能主要包括：负责完成与密码设备的安全连接；实现基于数字证书的身份认证，从证书中获取有关信息，实现授权管理、访问控制等安全机制；负责具体

9、与密码设备交互实现具体的密码运算；将数据按照GB/T35275要求的格式进行封装，实现数据封装格式与应用系统无关性，实现应用系统互联互通和信息共享。证书应用综合服务接口规范在公钥密码应用技术框架内的位置应遵循GM/T00942020的第4章。5.2 证书应用综合朦务接口分类证书应用综合服务接口包括客户端服务接口和服务器端服务接口两类。它位于典型密码应用支撑层和密码设备服务层之间，既可被典型密码应用支撑层调用也可被应用层直接调用，向上层提供证书信息解析、基于数字证书身份认证、信息的机密性、完整性和不可否认性等密码服务。5.3 客户端服务接口客户端服务接口采用支持多种编程语言的CoM组件和客户端常

10、使用的JavaSCriPt脚本语言为例描述，其适用于客户端程序调用，接口的形态包括动态库、控件、插件、扩展等。客户端服务接口一般通过调用智能密码钥匙应用接口或通用密码服务接口来实现，此类接口应符合GB/T35291或GB/T43578中的规定，主要功能包括：配置管理、证书解析、签名与验证、加密与解密数字信封、XM1.数据签名与验证等。5.4 服务器端服务接口服务器端服务接口采用支持多种编程语言的COM组件和服务端常使用的JaVa语言为例描述，其适用于服务器端程序调用，接口的形态包括COM组件、JAR包等，支持主流操作系统。服务器端服务接口一般通过调用密码设备应用接口或通用密码服务接口来实现，此

11、类接口应符合GB/T36322或GB/T43578中的规定，功能基本与客户端服务接口相对应，主要包括：配置管理、证书解析、签名与验证、加密与解密数字信封、XM1.数据签名与验证、时间戳等。6标识和数据结构6.1 标识定义本文件所使用的常量、各类算法标识和证书解析标识应符合GB/T33560的规定。6.2 数据结构定义本文件规定的接口处理的数据分为两种类型：数据类型A:是一种基于公钥的加密或签名结构，当公钥算法为RSA时，数据的结构参见PKCS#1v1.5;当公钥算法为SM2时，数据的结构应符合GB/T35276的规定。数据类型B:是一种基于证书的加密或签名结构，当证书的公钥律法为RSA时，消息

12、的结构参见PKCS#7;当证书的公钥算法为SM2时，消息的结构应符合GB/T35275的规定。6.3 数据格式要求本文件所涉及的数字证书格式应符合GB/T20518的规定。本文件所描述的Base64编码格式参见RFC4648中Base64EnCoding部分。在没有特殊说明的情况下，本文件中字符串采用UTF-8编码，其格式参见RFC3629。本文件所定义接口返回的错误码或抛出的异常信息应符合附录A,典型部署模型可参见附录B,集成示例可参见附录C。本文件以COM组件为例进行接口描述时，所用到的数据类型说明见表1。表1COM组件数据类型说明类型说明BSTR字符串类型，不同的开发语言应采取对应的类型

13、定义，如：Char*、CString、java.lang.String等1.OXG32位整数SHORT16位整数BOO1.布尔类型，其取值范围是TRUE和FA1.SE,其中TRUE表示真值，FA1.SE表示假值空串长度等于0的字符串非空长度大于0的字符串7证书应用综合服务接口定义7.1 客户端CoM组件接口7.1.1 客户端COM组件接口综述客户端COM组件接口提供配置管理、证书解析、签名与验证、加密与解密数字信封、XM1.数据签名与验证等功能，共包含35个接口。客户端CoM组件接口列表见附录D的表D.1,7.1.27.1.36给出了接口详细定义。7.1.2 获取接口版本信息表2获取接口版本信

14、息接口定义原型BSTRSOF_GetVersion()描述获取接口的版本号参数无返回值接口版本号（成功）空串（失败，可通过SOF-Get1.astError获取符合表A.1定义的错误代码）7.1.3 设签名算法设置签名算法接口定义应符合表3的规定。表3设签名算法接口定义原型1.ONGSOF-SetSignMethod(1.ONGSignMethod)描述设置接口在签名和验签运算时使用的签名算法参数SignMethOd（签名算法标识，应符合GB/T33560的规定）返回值SOR_OK(成功)其他（失败，返回符合表AJ定义的错误代码）7.1.4 获得签名算法获得签名算法接口定义应符合表4的规定。4

15、获得签名算法接口定义原型1.ONGSOF_GetSignMethod()描述获得接口当前使用的签名算法参数无返回值当前使用的签名算法标识（成功）0（当前没有设置签名算法）7.1.5 设加密算法设置加密算法接口定义应符合表5的规定。表5设加密算法接口定义原型1.ONGSOF-SetEncryptMethod(1.ONGEncryptMcthod)描述设置接口进行数据加密时使用的对称算法参数EnCryPtMethod（对称加密算法标识，应符合GB/T33560的规定，本接口可支持不带附加认证数据的加解密算法）返回值SOR_OK(成功)其他（失败，返回表A.1定义的错误代码）7.1.6 获得加密算法获得加密算法接口定义应符合表6的规定。*6获得加密算法接口定