《信息安全技术 密码应用标识规范》.doc

该【《信息安全技术 密码应用标识规范》 】是由【书籍1243595614】上传分享，文档一共【18】页，该文档可以免费在线阅读，需要了解更多关于【《信息安全技术 密码应用标识规范》 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。ICS?—XXXX?????信息安全技术密码应用标识规范InformationSecurityTechnology-Cryptographicapplicationidentifiercriterionspecification点击此处添加与国际标准一致性程度的标识在提交反馈意见时,请将您知道的相关专利连同支持性文件一并附上。XXXX-XX-XX发布XXXX-XX-XX实施GB/TXXXXX—XXXX1密码应用标识规范范围本标准定义了密码应用中所使用的标识,用于规范算法标识、密钥标识、设备标识、数据标识、协议标识、角色标识等的表示和使用。商用密码领域中的对象标识符(OID)的定义见附录A。本标准适用于指导密码设备、密码系统的研制和使用过程中,对标识进行规范化的使用,也可用于指导其他相关标准或协议的编制中对标识的使用。术语和定义下列术语和定义适用于本文件。标识符identifier一个32位整数,用于标识在密码服务或密码管理中涉及到的密码算法、密码协议等。公钥证书publickeycertificate确立拥有公钥的实体的身份的数字证书(数字身份证)。该证书是由第三方可信机构签名颁发的,证明主体公钥和主体标识信息之间绑定关系的有效性。通常,证书含有与主体有关的不可伪造的公开密钥信息。workbyteorder采用Big-endian排序方式规定好的的一种数据表示格式。该排序方式与具体的CPU类型、操作系统等无关,从而可以保证数据在不同主机之间传输时可以被正确解释。符号和缩略语下列符号和缩略语适用于本文件。BASE64 将十六进制数据转换为可见字符的编码规则CBC 密码分组链接模式(CipherBlockChaining)ECB 电码本模式(odeBook)CFB 密文反馈模式(CiphertextFeedback)OFB 输出反馈模式(OutputFeedback)OID对象标识符(ObjectIdentifier)GB/TXXXXX—XXXX2MAC消息认证码(MessageAuthenticationCode)CRL证书吊销列表(CertificateRevocationList)OCSP在线证书状态协议(OnlineCertificateStatusProtocol)标识的格式和编码标识符为32位无符号整数类型,在密码服务接口或安全管理接口的实现或调用时直接作为整数类型进行定义或处理。在跨平台传输时,为避免不同平台字节顺序差异带来的影响或错误,应将标识符按照高位字节在前的网络字节顺序进行处理。密码服务类标识概述密码服务类标识定义了在密码服务设备或密码服务接口中涉及到的密码算法、运算数据、密码协议等项的表示短语和数据,该类数据标识在密码设备或密码服务接口的调用过程中使用,如数据加密、数字签名、身份鉴别等应用场景。算法标识分组密码算法标识分组密码算法标识包含密码算法的类型以及分组算法的加密模式,在调用密码服务进行密码操作或在获取密码设备的密码运算能力时使用。分组密码算法标识的编码规则为:从低位到高位,第0位到第7位按位表示分组密码算法工作模式,第8位到第31位按位表示分组密码算法,例如:SGD_SM1_ECB:00000000000000000000000100000001(0x00000101)SGD_SSF33_MAC:00000000000000000000001000010000(0x00000210)当多个分组密码算法同时存在时,可用“或”的形式表示。分组密码算法的标识如表1所示。表1分组密码算法的标识标签标识符描述SGD_SM1_ECB0x00000101SM1算法ECB加密模式SGD_SM1_CBC0x00000102SM1算法CBC加密模式SGD_SM1_CFB0x00000104SM1算法CFB加密模式SGD_SM1_OFB0x00000108SM1算法OFB加密模式SGD_SM1_MAC0x00000110SM1算法MAC运算SGD_SSF33_ECB0x00000201SSF33算法ECB加密模式SGD_SSF33_CBC0x00000202SSF33算法CBC加密模式SGD_SSF33_CFB0x00000204SSF33算法CFB加密模式SGD_SSF33_OFB0x00000208SSF33算法OFB加密模式SGD_SSF33_MAC0x00000210SSF33算法MAC运算SGD_SM4_ECB0x00000401SM4算法ECB加密模式SGD_SM4_CBC0x00000402SM4算法CBC加密模式GB/TXXXXX—XXXX3表1(续)标签标识符描述SGD_SM4_CFB0x00000404SM4算法CFB加密模式SGD_SM4_OFB0x00000408SM4算法OFB加密模式SGD_SM4_MAC0x00000410SM4算法MAC运算SGD_ZUC_EEA30x00000801ZUC祖冲之机密性算法128-EEA3算法SGD_ZUC_EIA30x00000802ZUC祖冲之完整性算法128-EIA3算法0x00001000~0x800000FF1)为其他分组密码算法预留1):为其他分组密码算法预留的标识符,预留的标签可自定义。非对称密码算法标识非对称密码算法标识仅定义了密码算法的类型,在使用非对称算法进行数字签名运算时,可将非对称密码算法标识符与密码杂凑算法标识符进行“或”运算后使用,如“RSAwithSHA_1”可表示为SGD_RSA|SGD_SHA1,即0x00010002,“|”表示“或”运算。非对称密码算法标识的编码规则为:从低位到高位,第0位到第7位为0,第8位到第15位按位表示非对称密码算法的算法协议,如果所表示的非对称算法没有相应的算法协议则为0,第16位到第31位按位表示非对称密码算法类型,例如:SGD_SM2_1:00000000000000100000001000000000(0x00020200)当多个非对称密码算法同时存在时,可用“或”的形式表示。非对称密码算法的标识如表2所示。表2非对称密码算法的标识标签标识符描述SGD_RSA0x00010000RSA算法SGD_SM20x00020100SM2椭圆曲线密码算法SGD_SM2_10x00020200SM2椭圆曲线签名算法SGD_SM2_20x00020400SM2椭圆曲线密钥交换协议SGD_SM2_30x00020800SM2椭圆曲线加密算法0x00040000~0x800000001)为其他非对称密码算法预留1):为其他非对称密码算法预留的标识符,预留的标签可自定义。密码杂凑算法标识密码杂凑算法标识可以在进行杂凑运算或计算MAC时应用,也可以与非对称密码算法标识进行“或”运算后使用,表示签名运算前对数据进行杂凑运算的算法类型。密码杂凑算法标识的编码规则为:从低位到高位,第0位到第7位表示密码杂凑算法,第8位到第31位为0,例如:SGD_SM3:00000000000000000000000000000001(0x00000001)当多个密码杂凑算法同时存在时,可用“或”的形式表示。密码杂凑算法的标识如表3所示。GB/TXXXXX—XXXX4表3密码杂凑算法的标识标签标识符描述SGD_SM30x00000001SM3杂凑算法SGD_SHA10x00000002SHA_1杂凑算法SGD_SHA2560x00000004SHA_256杂凑算法0x00000008~0x000000FF1)为其他密码杂凑算法预留1):为其他密码杂凑算法预留的标识符,预留的标签可自定义。签名算法标识签名算法标识在进行数字签名时应用。签名算法标识的编码规则为:从低位到高位,第0位到第7位表示密码杂凑算法,第8位到第31位表示非对称密码算法,例如:SGD_SHA1_RSA:00000000000000010000000000000010(0x00010002)签名算法的标识如表4所示。表4签名算法的标识标签标识符描述SGD_SM3_RSA0x00010001基于SM3算法和RSA算法的签名SGD_SHA1_RSA0x00010002基于SHA_1算法和RSA算法的签名SGD_SHA256_RSA0x00010004基于SHA_256算法和RSA算法的签名SGD_SM3_SM20x00020201基于SM3算法和SM2算法的签名0x00040000~0x800000FF1)为其他密码签名算法预留1):为其他密码签名算法预留的标识符,预留的标签可自定义。数据标识数据类型数据类型定义了在公钥密码基础设施技术应用体系下各标准中用到的数据类型标签。数据类型标签的定义如表5所示。表5数据类型标签标签说明SGD_CHAR8位,有符号字符SGD_INT88位,有符号整数SGD_INT1616位,有符号整数SGD_INT3232位,有符号整数SGD_INT6464位,有符号整数SGD_UCHAR8位,无符号字符SGD_UINT88位,无符号整数SGD_UINT1616位,无符号整数SGD_UINT3232位,无符号整数SGD_UINT6464位,无符号整数SGD_RV32位,无符号整数,表示函数返回值GB/TXXXXX—XXXX5表5(续)标签说明SGD_OBJ无符号指针类型,表示对象句柄SGD_BOOL32位,有符号整数,表示布尔型数据常量标识数据常量标识定义了在公钥密码基础设施技术应用体系下各标准中用到的常量的标签及取值。数据常量标识的定义如表6所示。表6数据常量标识标签标识符描述SGD_TRUE0x00000001布尔值为真SGD_FALSE0x00000000布尔值为假通用数据对象标识在数据的存储或传输过程中,可能需要对某些数据的特殊性进行明确的标识,以保证目标系统能够对接收数据进行正确的处理。通用数据标识的编码规则为:从低位到高位,第0位到第7位表示数据对象的属性,第8位为1,第9位到第31位为0,例如:SGD_USER_DATA:00000000000000000000000100010111(0x00000117)通用数据对象标识的定义如表7所示。表7通用数据对象标识标签标识符描述SGD_KEY_INDEX0x00000101密钥索引SGD_SECRET_KEY0x00000102对称密钥SGD_PUBLIC_KEY_SIGN0x00000103签名公钥SGD_PUBLIC_KEY_ENCRYPT0x00000104加密公钥SGD_PRIVATE_KEY_SIGN0x00000105签名私钥SGD_PRIVATE_KEY_ENCRYPT0x00000106加密私钥PONENT0x00000107密钥部件SGD_PASSWORD0x00000108口令SGD_PUBLIC_KEY_CERT0x00000109公钥证书SGD_ATTRIBUTE_CERT0x0000010A属性证书SGD_SIGNATURE_DATA0x00000111数字签名SGD_ENVELOPE_DATA0x00000112数字信封SGD_RANDOM_DATA0x00000113随机数SGD_PLAIN_DATA0x00000114明文数据SGD_CIPHER_DATA0x00000115密文数据SGD_DIGEST_DATA0x00000116摘要数据SGD_USER_DATA0x00000117用户数据0x00000118~0x000001FF1)为其他数据对象预留1):为其他数据对象预留的标识符,预留的标签可自定义。GB/TXXXXX—XXXX7证书解析项标识在实现身份鉴别、授权管理、访问控制等安全机制时,需要解析证书项以获取公钥证书信息,在这种情况下需要通过标识符指定证书项内容。证书解析项标识的编码规则为:从低位到高位,第0位到第7位表示证书解析项的内容,第8位到第31位为0,例如:SGD_EXT_KEYUSAGE_INFO:00000000000000000000000000010011(0x00000013)证书解析项标识的定义如表8所示。表8证书解析项标识标签标识符描述SGD_CERT_VERSION0x00000001证书版本SGD_CERT_SERIAL0x00000002证书序列号SGD_CERT_ISSUER0x00000005证书颁发者信息SGD_CERT_VALID_TIME0x00000006证书有效期SGD_CERT_SUBJECT0x00000007证书拥有者信息SGD_CERT_DER_PUBLIC_KEY0x00000008证书公钥信息SGD_CERT_DER_EXTENSIONS0x00000009证书扩展项信息SGD_EXT_AUTHORITYKEYIDENTIFIER_INFO0x00000011颁发者密钥标识符SGD_EXT_SUBJECTKEYIDENTIFIER_INFO0x00000012证书持有者密钥标识符SGD_EXT_KEYUSAGE_INFO0x00000013密钥用途SGD_EXT_PRIVATEKEYUSAGEPERIOD_INFO0x00000014私钥有效期SGD_EXT_CERTIFICATEPOLICIES_INFO0x00000015证书策略SGD_EXT_POLICYMAPPINGS_INFO0x00000016策略映射ONSTRAINTS_INFO0x00000017基本限制SGD_EXT_POLICYCONSTRAINTS_INFO0x00000018策略限制SGD_EXT_EXTKEYUSAGE_INFO0x00000019扩展密钥用途SGD_EXT_CRLDISTRIBUTIONPOINTS_INFO0x0000001ACRL发布点SCAPE_CERT_TYPE_INFO0x0000001BNetscape属性SGD_EXT_SELFDEFINED_EXTENSION_INFO0x0000001C私有的自定义扩展项0x00000021SGD_CERT_ISSUER_O0x00000022证书颁发者OSGD_CERT_ISSUER_OU0x00000023证书颁发者OU0x00000031SGD_CERT_SUBJECT_O0x00000032证书拥有者信息OSGD_CERT_SUBJECT_OU0x00000033证书拥有者信息OUGB/TXXXXX—XXXX7表8(续)标签标识符描述SGD_CERT_SUBJECT_EMAIL0x00000034证书拥有者信息EMAILSGD_CERT_NOTBEFORE_TIME0x00000035证书起始日期SGD_CERT_NOTAFTER_TIME0x00000036证书截至日期0x00000080~0x000000FF1)为其他证书解析项预留1):为其他证书解析项预留的标识符,预留的标签可自定义。时间戳信息项标识在时间戳系统的实现及时间戳的应用过程中,需要解析时间戳信息,在这种情况下需要通过标识符指定时间戳信息项的内容。时间戳信息项标识的编码规则为:从低位到高位,第0位到第7位表示时间戳信息项的内容,第8位、第10位到第31位为0,第9位为1,例如:SGD_SOURCE_OF_TIME:00000000000000000000001000000110(0x00000206)时间戳信息项标识的定义如表9所示。表9时间戳信息项标识标签标识符描述SGD_TIME_OF_STAMP0x00000201签发时间_OF_TSSIGNER0x00000202签发者的通用名SGD_ORINGINAL_DATA0x00000203时间戳请求的原始信息SGD_CERT_OF_TSSERVER0x00000204时间戳服务器的证书SGD_CERTCHAIN_OF_TSSERVER0x00000205时间戳服务器的证书链SGD_SOURCE_OF_TIME0x00000206时间源的来源SGD_TIME_PRECISION0x00000207时间精度SGD_RESPONSE_TYPE0x00000208响应方式SGD_SUBJECT_COUNTRY_OF_TSSIGNER0x00000209签发者国家NIZATION_OF_TSSIGNER0x0000020A签发者组织SGD_SUBJECT_CITY_OF_TSSIGNER0x0000020B签发者城市SGD_SUBJECT_EMAIL_OF_TSSIGNER0x0000020C签发者电子信箱0x00000280~0x000002FF1)为其他时间戳信息项预留1):为其他时间戳信息项预留的标识符,预留的标签可自定义。单点登录标识在单点登录系统中,存在一些数据标识用于唯一的表示某一用户或某一服务提供者。单点登录标识项的编码规则为:从低位到高位,第0位到第7位表示单点登录标识项的内容,第8位到第31位为0,例如:SGD_SP_ID:00000000000000000000000000000001(0x00000001)单点登录标识的定义如表10所示。GB/TXXXXX—XXXX8表10单点登录标识标签标识符描述SGD_SP_ID0x00000001服务提供者唯一标识数据SGD_SP_USER_ID0x00000002SP用户标识数据,在SP内唯一SGD_IDP_ID0x00000003身份鉴别提供者唯一标识数据SGD_IDP_USER_ID0x00000004IDP用户标识数据,在IDP内唯一数据编码格式标识数据在存储或传输时需要按照约定的格式进行编码,以保证不同应用或不同应用系统之间的互联互通性。编码格式标识符需要与通用数据标识符或证书解析项标识符等进行“或”运算后使用,作为数据的附加属性,表示数据对象符合指定编码格式。数据编码格式标识的编码规则为:从低位到高位,第0位到第23位为0,第24位到第31位表示数据编码格式,例如:SGD_ENCODING_DER:00000001000000000000000000000000(0x01000000)数据编码格式标识的定义如表11所示。表11数据编码格式标识标签标识符描述SGD_ENCODING_RAW0x00000000无编码SGD_ENCODING_DER0x01000000DER编码SGD_ENCODING_BASE640x02000000Base64编码SGD_ENCODING_PEM0x03000000PEM编码SGD_ENCODING_TXT0x04000000由'0'~'9'、'A'~'F'等字符表示16进制数据的字符串0x80000000~0xFF0000001)为自定义编码格式预留1):为自定义编码格式预留的标识符,预留的标签可自定义。协议标识接口描述标识在安全应用系统中为区分密码服务提供者所采用的协议或规范,可以采用接口描述标识。接口描述标识使用32位无符号整数表示,其定义如表12所示。表12接口描述标识标签标识符描述SGD_PROTOCOL_CSP1CryptographicServiceProvider接口SGD_PROTOCOL_PKCS112PKCS#11接口SGD_PROTOCOL_SDS3密码设备应用接口SGD_PROTOCOL_UKEY4智能IC卡及智能密码钥匙接口G5extGeneration接口SGD_PROTOCOL_GCS6通用密码服务接口GB/TXXXXX—XXXX9证书验证模式标识在验证证书的有效性时,除了检查证书的有效期、证书的签名是否有效外,还应通过CRL或OCSP等方式检查证书是否被注销等异常状态。证书验证模式标识使用32位无符号整数表示,其定义如表13所示。表13证书验证模式标识标签标识符描述SGD_CRL_VERIFY1CRL验证模式SGD_OCSP_VERIFY2OCSP验证模式安全管理类标识概述安全管理类标识定义了在安全系统管理、设备管理中涉及到的系统角色、安全操作等项的表示短语和数据。该类数据标识在安全管理接口的调用过程中使用,或在安全系统或设备管理的日志信息采集、处理过程中使用,也可应用于其他安全管理活动中。角色管理标识角色标识角色是在管理操作中的主体,是管理活动的实施者,在角色管理操作中也会作为被管理的对象。角色标识的编码规则为:从低位到高位,第0到第7位表示角色,第8位到第31位为0,例如:SGD_ROLE_OPERATOR:00000000000000000000000000000101(0x00000005)角色标识的定义如表14所示。表14角色标识标签标识符描述SGD_ROLE_SUPER_MANAGER0x00000001超级管理员SGD_ROLE_MANAGER0x00000002业务管理员SGD_ROLE_AUDIT_MANAGER0x00000003审计管理员SGD_ROLE_AUDITOR0x00000004审计操作员SGD_ROLE_OPERATOR0x00000005业务操作员SGD_ROLE_USER0x00000006用户0x00000081~0x000000FF1)为自定义角色预留1):为自定义角色预留的标识符,预留的标签可自定义。角色操作标识角色操作标识符包含角色自身的行为,如签入、签出、修改口令等操作,和对其他角色的管理行为,如创建角色、删除角色、修改角色、对角色授权等操作。角色操作标识的编码规则为:从低位到高位,第0位到第7位表示角色管理操作,第8位到第31位为0,例如:SGD_OPERATION_SIGNIN:00000000000000000000000000000001(0x00000001)