2022信息安全技术 通用密码服务接口规范.docx

信息安全技术通用密码服务接口规范目次口*+,i*+,.*+,i*H,+*+,(*+,+*+,：*+,*+*,«*>»+*!*»+,e*i+*«»+»1¥包.I2规范性引用文件13术i吾和定义14缩略语15通用密码服务接口描述25.1通用密码服务接口在公钥密码应用技术体系框架中的位置25.2通用密码服务接口组成和功能说明25.2.1概述25.2.2环境类函数25.2.3证书类函数35.2.4密码运算类函数35.2.5消息类函数36通用密码服务接口函数定义36.1算法标识和数据结构36.1.1算法标识与常量定义36.1.2通用密码服务接口数据结构定义和说明36.2环境类函数56.2.1*,*,*56.2.2初始化环境56.2.3清除环境56.2.4获取接口版本信息56.2.5用户登录66.2.6修改PlN66.2.7注销登录76,3证书类函数一，一，.，76.3.2添加根CaljE书86.3.3获取根Ca证书个数86.3.4获取根CA证书86.3.5删除根CA证书86.3.6添加CA证书9&3.7获取CA证书个数96.3,8获取CA证书.，96.3.9删除CA证书106.3.10添加CRLW6.3.U验证用户证书IO6.3.12根据CRL文件获取用户注销状态W6.3.13根据OCSP获取证书状态116.3.14通过LDAP方式获取证书116.3.15通过LDAP方式获取证书对应的CRL126.3.16获取证书信息126.3.17获取证书扩展信息136.3.18列举用户证书136.3.1a列举用户的密钥容器信息146.3.20释放列举用户证书的内存146.3.21释放列举密钥容器信息的内存146.4密码运算类函数146.4.13,146.4.2单块base64编码156.4.3单块base6d解码166.4.4创建basc64对象166.4.5销毁base64对象166.4.6通过base64对象继续编码176.4.7通过base64对象编码结束176.4.8通过base64对象继续解码176.4.9通过base64对象解码结束186.4.10生成随机数186.4.UHaSH运算186.4.12创建HASH对象196.4.13删除HASH对象196.4.14通过对象进行多块HASH运算206.4.15结束HASH运算206.4.16生成RSA密钥对206.4.17获取RSA公钥216.4.18RSA签名运算21&4.IS对文件进行RSA签名运算.226.4.20RSA验证签名运算226.4.21对文件及其签名进行RSa验证236.4.22基于证书的RSA公钥验证236.4.23生成ECC密钥对246.4.24获取ECC公胡246.4.25ECC签名256,4.26ECC验证,，256.4.27ECC公胡加密266.4.28基于证书的ECC公钥加密266.4.29基于证书的ECC公钥解密276.4.30基于证书的ECC公例验证276.4.31创建对称算法对象286.4.32生成会话密钥并用外部公钥加密输出28&4.33导入加密的会话密钥296.4.34生成密钥协商参数并输出296.4.35计算会话密钥306,4.36产生协商数据并计算会话密钥306.4.37销毁对称算法对象316.4.38销毁会话密钥句柄316.4.39单块加密运算316.4.40多块加密运算326.4.41结束加密运算326.4.42单块解密运算326,4.43多块解密运算336.4.44结束解密运莫336.4.45单组数据消息鉴别码运算346.4.46多组数据消息鉴别码运算346.4.47结束消息鉴别码运算346.5消息类函数356.5.1概述35员5.2编码PKCS第格式的带签名的数字信封数据356.5.3解码PKCS#7格式的带签名的数字信封数据366.5.4编码PKCS#7格式的短名数据376.5.5解码PKCS#7格式的签名数据376.5.6编码PKCS#7格式的数字信封数据386.5.7解码PKCS#7格式的数字信封数据386.5.8编码PKCS#7格式的摘要数据396.5.9解码PKCS#7格式的摘要数据396.5.10编码基于SM2算法的带签名的数字信封数据406.5.11解码基于SM2算法的带签名的数字信封数据416.5.12编码基于M2算法的签名数据416.5.13解码基于SM2算法的签名数据426.5.14编码基于SM2算法的数字信封426.5.15解码基于SM2算法的数字信封436.5.16解析PKCS#7格式的签名数据447验证方法447,1验证环境447.2环境操作验证447.2.1密码服务空间验证447.2.2用户登录验证45-3证书操作验证457.3.1根CA证书验证457.3,CA证书验证467.3.3证书状态验证467.3.4用户证书验证477.4签名验签验证477.4.1RSA签名运算5证477.4.2RSA验证签名运算验证487.4.3基于证书的RSA的公钥验证487.4.4ECC签名运算497.1.5ECC验证签名运算497.4.6基于证书的ECC公钥验证497.5摘要计算验证507.5.1单块摘要计算507.5.2多块摘要计算507,6非对称加解密验证一一.517.6.1ECC公J加密517.6.2基于正书的ECC公钥加密517.6.3基于证书的ECC解密517.7对称加解密验证527.7.1单块加密527.7.2单块解密527.7.3多块加密537.7.4多块解密537.8生成密钥对验证547.8.1生成SM2密钥对547,9PKCS#7运算验证，.，.，547.9.1编码PKCS#7格式的带签名的数据签名信封547.9.2解码PKCS#7格式的带签名的数据签名信封547.10SM2消息类运算验证557.10.1编码基于SM2算法的带签名的数字信封557.10.2解码基于SM2算法的带签名的数据信封557.11Ba三e64编码验证557.11.1创建fse64对象557.11.2Ease64编码567.11.3Base6d解码56附录A（资料性）通用密码服务接口函数汇总57附录B（规范性）SM9密码算法数据结构和接口函数59附录C（规范性）通用密码服务接口错误代码定义70参考文献72信息安全技术通用密码服务接口规范1范围本文件规定了通用密码服务接口的数据结构、接口描述、函数定义和验证方法。本文件适用于公开密钥应用技术体系下密码应用服务的开发，密码应用支撑平台的研制及检测，也可用于指导使用密码设备的应用系统的开发。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本(包括所有的修改单)适用于木文件。GB/T20518信息安全技术公仍基础设施数字证书格式GB/T25069信息安全技术术语GB/T32918.1信息安全技术SM2椭圆曲线公钥密码算法第1部分：总则GB/T33560信息安全技术密码应用标识规范GB/T35275信息安全技术SM2密码算法加密签名消息语法规范GB/T35276信息安全技术SM2密码算法使用规范GB/T35291信息安全技术智能密码钥匙应用接口规范GB/T36322信息安全技术密码设备应用接口规范GM/Z4001密码术语3术语和定义GB/T25069、GM/Z4001界定的以及下列术语和定义适用于本文件。3.1通用密码服务universaIcryptographyservice向典型密码应用支撑和上层应用提供加解密、签名验签等通用密码功能。3.2密钥容器keycontainer密码设备中用于保存密钥唯一性存储空间。4缩略语下列缩略语适用于本文件。CRL：证书撤销列表(CertificateRevocationList)DER：可区分编码规则(DistinguishedEncodingRules)ECC：椭圆曲线密码算法(EllipticCurveCryptographyAlgorithm)in：输入(input)1.DAP：轻量级目录访问协议(LightweightDirectoryAccessPiotocol)OCSP：在线证书状态协议(OnIineCertificateStatusProtocol)out：输出(output)RSA：非对称加密算法(Rivest-Shamir-Ad1emanAlgorithm)5通用密码服务接口描述5.1通用密码服务接口在公钥密码应用技术体系框架中的位置公钥密码应用技术体系框架由应用层、典型密码应用支撑层、通用密码应用支撑层、基础设施安全支撑平台、密码设备服务层组成。通用密码服务接口属于通用密码应用支撑层中通用密码服务，通用密码服务在公钥密码应用技术框架内的位置见图Io图1公钥密码应用技术体系框架参见GM/T0094-2020,第4章图1公钥密码应用技术体系框架5.2通用密码服务接口组成和功能说明5.2.1概述通用密码服务接口由以下部分组成：a）环境类函数b）证书类函数c）密码运算类函数d）消息类函数通用密码服务接口函数汇总信息详见附录A.5.2.2环境类函数环境类函数负责创建和管理程序空间，负责创建和管理程序空间中所需的各种资源、信号，并确保程序空间在应用程序运行期间不会被非法访问，造成信息泄漏。环境类函数负责完成与密码设备的安全连接，确保后续的安全操作是在安全、可信的程序空间中进行。环境类函数还负责在用户与密码设备之间创建和管理安全访问令牌。可创建两种类型的用户安全访问令牌，一类是普通用户，该类型的安全访问令牌标识该用户是普通用户，只能访问密码设备中属于自己的信息和数据；另一类是管理员，该类型的安全访问令牌标识该用户是管理员，可以管理普通用户的安全访问令牌。应用程序在使用通用密码服务接口时，首先要调用初始化环境函数(SAFJnitialize)创建和初始化安全的程序空间，完成与密码设备连接和初始化工作。在中止应用程序之前，应调用清除环境函数