資源描述:
《DB36∕T 1585-2022 基于政務(wù)云平臺(tái)密碼服務(wù)技術(shù)規(guī)范(江西省)》由會(huì)員上傳分享,免費(fèi)在線閱讀�,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫。
ICS35.080CCSL07DB36江西省地方標(biāo)準(zhǔn)DB36/T1585—2022基于政務(wù)云平臺(tái)密碼服務(wù)技術(shù)規(guī)范Technicalspecificationforcryptographicservicebasedonthegovernmentcloudplatform2022-05-30發(fā)布2022-12-01實(shí)施江西省市場(chǎng)監(jiān)督管理局發(fā)布
1
2DB36/T1585—2022目次前言............................................................................II引言...........................................................................III1范圍..............................................................................12規(guī)范性引用文件....................................................................13術(shù)語和定義........................................................................14縮略語............................................................................35密碼服務(wù)系統(tǒng)......................................................................36系統(tǒng)功能分區(qū)......................................................................67服務(wù)內(nèi)容..........................................................................88服務(wù)管理規(guī)范......................................................................99服務(wù)應(yīng)用規(guī)范.....................................................................11附錄A(規(guī)范性附錄)密碼服務(wù)系統(tǒng)接口...............................................13I
3DB36/T1585—2022前言本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分:標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請(qǐng)注意本文件的某些內(nèi)容可能涉及專利�。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專利的責(zé)任。本文件由江西省發(fā)展和改革委員會(huì)提出并歸口����。本文件起草單位:江西省信息中心。本文件起草人:杜軍龍�����、曹成立�����、溫小雨�����、龍映輝��、何黎明���、周劍濤��、袁小樂�、姜林海、劉曙�、潘志安、劉芳芳��、張彤�����、胡章敏����、占曉華、熊玲珍�����、許正義���、陳?�??。II
4DB36/T1585—2022引言為規(guī)范和統(tǒng)一全省政務(wù)云平臺(tái)密碼服務(wù)系統(tǒng)的體系建設(shè)��,依據(jù)《關(guān)于印發(fā)江西省政務(wù)信息化項(xiàng)目建設(shè)管理辦法的通知》(贛府廳字〔2020〕68號(hào))����、《關(guān)于規(guī)范省級(jí)網(wǎng)絡(luò)和信息系統(tǒng)商用密碼應(yīng)用與安全性評(píng)估工作的通知》(贛國密局字〔2020〕12號(hào))、《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》(GB/T39786)等要求�,特制定本規(guī)范。III
5
6DB36/T1585—2022基于政務(wù)云平臺(tái)密碼服務(wù)技術(shù)規(guī)范1范圍本文件規(guī)定了基于政務(wù)云平臺(tái)密碼服務(wù)總體技術(shù)架構(gòu)����,政務(wù)云平臺(tái)密碼服務(wù)系統(tǒng)資源池和密碼服務(wù)接口的技術(shù)要求。本文件適用于指導(dǎo)政務(wù)云平臺(tái)密碼服務(wù)系統(tǒng)建設(shè)和政務(wù)云平臺(tái)中云租戶的用戶終端�����、網(wǎng)絡(luò)接入���、應(yīng)用系統(tǒng)���、應(yīng)用數(shù)據(jù)對(duì)密碼服務(wù)的應(yīng)用。2規(guī)范性引用文件下列文件對(duì)于本文件的應(yīng)用是必不可少的����。凡是注日期的引用文件,僅所注日期的版本適用于本文件�。凡是不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件�。GB/T37033信息安全技術(shù)射頻識(shí)別系統(tǒng)密碼應(yīng)用技術(shù)要求GB/T39786信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求GM/T0036采用非接觸卡的門禁系統(tǒng)密碼應(yīng)用技術(shù)指南GM/T0062密碼產(chǎn)品隨機(jī)數(shù)檢測(cè)要求3術(shù)語和定義GB/T39786界定的以及下列術(shù)語和定義適用于本文件�。3.1密碼cryptogram對(duì)不涉及國家秘密內(nèi)容的信息進(jìn)行加密保護(hù)或者安全認(rèn)證所使用的技術(shù)和產(chǎn)品�。3.2電子政務(wù)外網(wǎng)E-governmentextranet電子政務(wù)重要基礎(chǔ)設(shè)施,服務(wù)于各級(jí)黨委�、人大、政府��、政協(xié)����、紀(jì)委監(jiān)委、法院和檢察院等政務(wù)部門�����,滿足其社會(huì)管理�、公共服務(wù)、經(jīng)濟(jì)調(diào)節(jié)和市場(chǎng)監(jiān)管等方面需要的政務(wù)公用網(wǎng)絡(luò)�����。電子政務(wù)外網(wǎng)支持跨地區(qū)��、跨部門的業(yè)務(wù)應(yīng)用�、信息共享和業(yè)務(wù)協(xié)同,以及不需在政務(wù)內(nèi)網(wǎng)上運(yùn)行的業(yè)務(wù)��。電子政務(wù)外網(wǎng)與互聯(lián)網(wǎng)邏輯隔離。3.3政務(wù)云governmentcloud用于承載各級(jí)政務(wù)部門開展公共服務(wù)�����、社會(huì)管理等電子政務(wù)業(yè)務(wù)信息系統(tǒng)和數(shù)據(jù)�,及政務(wù)門戶網(wǎng)站的云計(jì)算基礎(chǔ)設(shè)施�����,可根據(jù)不同業(yè)務(wù)和需求提供基礎(chǔ)設(shè)施即服務(wù)(IaaS)���、平臺(tái)即服務(wù)(PaaS)���、軟件即服務(wù)(SaaS)。1
7DB36/T1585—20223.4政務(wù)信息系統(tǒng)governmentinformationsystem由政務(wù)部門建設(shè)��、運(yùn)行或使用的�,用于直接支持政務(wù)部門工作或履行其職能的各類信息系統(tǒng)。[來源:GB/T40692—2021����,定義4]3.5密碼服務(wù)系統(tǒng)cryptographicservicesystem將云計(jì)算技術(shù)與身份認(rèn)證、授權(quán)訪問�����、傳輸加密、存儲(chǔ)加密等密碼技術(shù)深度融合���,實(shí)現(xiàn)對(duì)外提供密碼服務(wù)的應(yīng)用系統(tǒng)�。3.6虛擬化virtualization一種資源管理技術(shù)�����,將計(jì)算機(jī)的各種實(shí)體資源(處理器�、內(nèi)存、磁盤空間��、網(wǎng)絡(luò)適配器等)����,予以抽象、轉(zhuǎn)換后呈現(xiàn)出來并可供分割���、組合為一個(gè)或多個(gè)電腦配置環(huán)境���。3.7密鑰key控制密碼算法運(yùn)算的關(guān)鍵信息或參數(shù)。[來源:GB/T39786—2021,定義3.6]3.8密鑰管理keymanagement根據(jù)安全策略���,對(duì)密鑰的產(chǎn)生�、分發(fā)���、存儲(chǔ)�、使用�����、更新���、歸檔、撤銷�、備份、恢復(fù)和銷毀等密鑰全生命周期的管理�����。[來源:GB/T39786—2021���,定義3.7]3.9租戶tenant對(duì)一個(gè)物理和虛擬資源進(jìn)行共享訪問的一個(gè)或多個(gè)云服務(wù)用戶����。3.10資源池化resourcepooling將云服務(wù)提供者的物理或虛擬資源集成起來服務(wù)于一個(gè)或多個(gè)云服務(wù)客戶的方式。3.11保護(hù)密鑰protectionkey2
8DB36/T1585—2022非對(duì)稱密鑰����,用于對(duì)分發(fā)的密鑰進(jìn)行加密保護(hù)。4縮略語下列縮略語適用于本文件�。TCP:傳輸控制協(xié)議(TransmissionControlProtocol)IP:互聯(lián)網(wǎng)協(xié)議(InternetProtocol)SSL:安全套接字協(xié)議(SecureSocketsLayer)IPSEC:互聯(lián)網(wǎng)安全協(xié)議(InternetProtocolSecurity)5密碼服務(wù)系統(tǒng)5.1總體架構(gòu)密碼服務(wù)系統(tǒng)包含密碼應(yīng)用層、中間件層���、管理服務(wù)層�����、密碼資源層���,依托密碼安全技術(shù),利用云計(jì)算技術(shù)�����,為云平臺(tái)承載的政務(wù)信息系統(tǒng)提供密碼應(yīng)用服務(wù)�。密碼服務(wù)系統(tǒng)總體架構(gòu)如圖1所示。密碼應(yīng)網(wǎng)絡(luò)與傳輸密用終端密碼應(yīng)用<>碼應(yīng)用<=>業(yè)務(wù)密碼應(yīng)用<=>設(shè)備密碼應(yīng)用層^3^^g5
9DB36/T1585—2022d)設(shè)備密碼應(yīng)用:通過身份鑒別���、權(quán)限控制�����、數(shù)據(jù)傳輸保護(hù)�、操作行為不可否認(rèn)等技術(shù)實(shí)現(xiàn)運(yùn)維管理安全。5.2.2中間件層中間件層提供跨平臺(tái)密碼應(yīng)用���,基于底層密碼服務(wù)����,封裝各類通用密碼服務(wù)接口��,制定相應(yīng)的規(guī)范����,滿足業(yè)務(wù)應(yīng)用調(diào)用密碼服務(wù)需求����;中間件應(yīng)支持多種操作系統(tǒng)運(yùn)行環(huán)境。5.2.3管理服務(wù)層對(duì)云平臺(tái)承載的政務(wù)信息系統(tǒng)提供密碼服務(wù)���,對(duì)密碼資源層提供密碼管理����。5.2.4密碼資源層密碼資源基于密碼軟硬件設(shè)施,主要為密碼服務(wù)系統(tǒng)提供密鑰資源�����;基礎(chǔ)設(shè)施由密碼軟硬件設(shè)備構(gòu)成���,為密碼資源提供密碼應(yīng)用所需的算力支撐和物理安全保護(hù)服務(wù)�。5.3建設(shè)要求5.3.1總體要求總體要求如下:a)密碼服務(wù)系統(tǒng)在規(guī)劃階段����、建設(shè)階段和運(yùn)行階段,需根據(jù)《商用密碼應(yīng)用安全性評(píng)估管理辦法(試行)》等相關(guān)要求�����,按照GB/T39786執(zhí)行�,從物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全����、設(shè)備和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全四個(gè)層面采用密碼技術(shù)措施�����,建立安全管理制度,采取有效的安全管理措施����;b)密碼服務(wù)系統(tǒng)建設(shè)完成后,投入運(yùn)行前應(yīng)進(jìn)行密碼應(yīng)用安全性評(píng)估��,并達(dá)到GB/T39786第三級(jí)密碼應(yīng)用要求���;c)政務(wù)信息系統(tǒng)建設(shè)完成后��,建設(shè)單位委托國家密碼管理部門認(rèn)定的商用密碼應(yīng)用安全性評(píng)估機(jī)構(gòu)對(duì)系統(tǒng)開展商用密碼應(yīng)用安全性評(píng)估��。系統(tǒng)通過商用密碼應(yīng)用安全性評(píng)估是項(xiàng)目驗(yàn)收的必要條件����;d)網(wǎng)絡(luò)安全等級(jí)保護(hù)第三級(jí)及以上的信息系統(tǒng)�、關(guān)鍵信息基礎(chǔ)設(shè)施�、政務(wù)信息系統(tǒng),以及密碼相關(guān)法律法規(guī)和國家有關(guān)規(guī)定提出明確要求的其他網(wǎng)絡(luò)和信息系統(tǒng)每年至少開展商用密碼應(yīng)用安全性評(píng)估一次�。5.3.2通用要求密碼服務(wù)系統(tǒng)建設(shè)應(yīng)符合以下通用要求:a)密碼服務(wù)系統(tǒng)的基礎(chǔ)設(shè)施須經(jīng)過國家密碼管理部門核準(zhǔn)的商用密碼產(chǎn)品;b)隨機(jī)數(shù)安全性需滿足GM/T0062中的E類產(chǎn)品要求����,具備出廠檢測(cè)��、上電檢測(cè)���、周期檢測(cè)、單次檢測(cè)等隨機(jī)數(shù)檢測(cè)項(xiàng)目����;c)密碼服務(wù)系統(tǒng)中凡涉及對(duì)稱算法、非對(duì)稱算法�、雜湊算法時(shí),需采用滿足國家密碼主管部門批準(zhǔn)的商用密碼算法��;d)密鑰的分發(fā)支持物理和在線兩種方式����。支持密鑰數(shù)據(jù)傳輸時(shí)保護(hù)密鑰的協(xié)商協(xié)議,密鑰分發(fā)機(jī)制可提供多種密鑰分發(fā)策略���;e)根據(jù)不同的安全需求,密碼服務(wù)系統(tǒng)需提供多種不同安全等級(jí)的密鑰隔離機(jī)制�����。針對(duì)高安全等級(jí)場(chǎng)景���,能夠支持基于硬件虛擬化技術(shù)實(shí)現(xiàn)的密鑰隔離�����,保證各政務(wù)信息系統(tǒng)獨(dú)享安全密碼服4
10DB36/T1585—2022務(wù)��。5.3.3安全要求5.3.3.1物理和環(huán)境安全實(shí)現(xiàn)對(duì)密碼服務(wù)系統(tǒng)所在機(jī)房等重要區(qū)域的物理防護(hù)�����,應(yīng)具備的密碼功能包括:a)確認(rèn)進(jìn)入各重要區(qū)域人員的身份��,防止無關(guān)和假冒人員進(jìn)入�;b)保護(hù)電子門禁系統(tǒng)進(jìn)出記錄和視頻監(jiān)控音像記錄的完整性���,防止被非授權(quán)篡改����。應(yīng)結(jié)合政務(wù)信息系統(tǒng)的網(wǎng)絡(luò)安全等級(jí)選用以下密碼應(yīng)用措施:a)部署基于密碼技術(shù)的電子門禁系統(tǒng)(參考GB/T37033���、GM/T0036),對(duì)重要物理區(qū)域(如計(jì)算機(jī)集中辦公區(qū)���、設(shè)備機(jī)房等)出入人員的身份進(jìn)行鑒別��,并對(duì)電子門禁系統(tǒng)進(jìn)出記錄等數(shù)據(jù)進(jìn)行完整性保護(hù)����,數(shù)據(jù)保留不少于180天;b)部署基于密碼技術(shù)的視頻監(jiān)控系統(tǒng)��,對(duì)視頻監(jiān)控音像記錄等數(shù)據(jù)進(jìn)行完整性保護(hù)�����,數(shù)據(jù)保留不少于180天�。5.3.3.2網(wǎng)絡(luò)和通信安全實(shí)現(xiàn)對(duì)密碼服務(wù)系統(tǒng)與外部實(shí)體之間網(wǎng)絡(luò)通信的安全防護(hù),應(yīng)具備的密碼功能包括:a)確保通信實(shí)體的身份�����,防止與假冒實(shí)體進(jìn)行通信�;b)保護(hù)通信過程中的數(shù)據(jù),防止數(shù)據(jù)被非授權(quán)篡改����,防止敏感數(shù)據(jù)泄露。在非安全網(wǎng)絡(luò)信道中傳輸敏感數(shù)據(jù)時(shí)�����,應(yīng)結(jié)合政務(wù)信息系統(tǒng)的網(wǎng)絡(luò)安全等級(jí)保護(hù)要求部署具有商密型號(hào)認(rèn)證的安全網(wǎng)關(guān)類產(chǎn)品,實(shí)現(xiàn)通信實(shí)體的身份鑒別����,通信過程中敏感數(shù)據(jù)的機(jī)密性、完整性保護(hù)����,網(wǎng)絡(luò)邊界訪問控制信息的完整性保護(hù)。5.3.3.3設(shè)備和計(jì)算安全實(shí)現(xiàn)對(duì)密碼服務(wù)系統(tǒng)中各類設(shè)備和計(jì)算環(huán)境的安全防護(hù)��,應(yīng)具備的密碼功能包括:a)對(duì)設(shè)備的特權(quán)用戶(含系統(tǒng)管理員��、系統(tǒng)操作員�����、審計(jì)管理員)和普通用戶的身份進(jìn)行識(shí)別和確認(rèn)�,防止假冒人員登錄;b)在遠(yuǎn)程管理時(shí)��,確保信息傳輸通道的安全�,防止遠(yuǎn)程傳輸?shù)男畔⑿孤籧)保護(hù)計(jì)算機(jī)、服務(wù)器等設(shè)備中的系統(tǒng)資源訪問控制信息(如設(shè)備配置信息��、安全策略����、資源訪問控制列表等)���、重要信息資源安全標(biāo)記(如數(shù)據(jù)標(biāo)簽等)���、日志記錄(如系統(tǒng)日志、數(shù)據(jù)庫日志等)和重要可執(zhí)行程序(如重要應(yīng)用程序�����、關(guān)鍵系統(tǒng)文件等)��,防止被非授權(quán)篡改�。在計(jì)算機(jī)終端和服務(wù)器上,應(yīng)結(jié)合政務(wù)信息系統(tǒng)的網(wǎng)絡(luò)安全保護(hù)等級(jí)選用以下密碼應(yīng)用措施:a)在計(jì)算機(jī)終端上部署智能密碼鑰匙�、動(dòng)態(tài)口令或其他具有身份鑒別功能的密碼產(chǎn)品,對(duì)登錄的用戶進(jìn)行身份鑒別���;b)為遠(yuǎn)程管理搭建安全通信鏈路(如SSL通道)�,保護(hù)信息的機(jī)密性;c)在服務(wù)器端部署具有商密型號(hào)認(rèn)證的簽名驗(yàn)簽服務(wù)器或密碼機(jī)�,實(shí)現(xiàn)安全計(jì)算能力,建立從系統(tǒng)到應(yīng)用的信任鏈��,保護(hù)重要信息的完整性��,保證計(jì)算環(huán)境的安全可信���;d)在計(jì)算機(jī)終端上部署����、使用國密安全瀏覽器����。5.3.3.4應(yīng)用和數(shù)據(jù)安全5
11DB36/T1585—2022實(shí)現(xiàn)對(duì)政務(wù)信息系統(tǒng)中應(yīng)用及其數(shù)據(jù)的安全防護(hù),應(yīng)具備的密碼功能包括:a)確認(rèn)信息系統(tǒng)的管理員和普通用戶的身份��,防止假冒人員登錄�;b)對(duì)信息系統(tǒng)的訪問控制策略(如安全策略、資源訪問控制列表等)���、數(shù)據(jù)庫表訪問控制信息(如用戶身份信息�����、數(shù)據(jù)庫安全策略����、用戶權(quán)限列表等)、重要信息資源安全標(biāo)記(如數(shù)據(jù)標(biāo)簽)等進(jìn)行保護(hù)�,防止被非授權(quán)篡改���;c)保護(hù)客戶端與服務(wù)器之間�、信息系統(tǒng)之間在非安全網(wǎng)絡(luò)信道中傳輸?shù)闹匾獢?shù)據(jù)(包括但不限于鑒別數(shù)據(jù)�、重要業(yè)務(wù)數(shù)據(jù)、重要用戶信息等)��,防止數(shù)據(jù)泄露����;d)保護(hù)存儲(chǔ)的重要數(shù)據(jù)(包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)�����、重要用戶信息等)����,防止數(shù)據(jù)泄露、非授權(quán)篡改;e)保護(hù)可能涉及法律責(zé)任認(rèn)定的信息系統(tǒng)中的數(shù)據(jù)發(fā)送和數(shù)據(jù)接收操作���,確保發(fā)送方和接收方對(duì)已經(jīng)發(fā)生的操作行為無法否認(rèn)����。應(yīng)結(jié)合政務(wù)信息系統(tǒng)的網(wǎng)絡(luò)安全保護(hù)等級(jí)選用以下密碼應(yīng)用措施:a)部署證書認(rèn)證系統(tǒng)或直接采用具有電子政務(wù)電子認(rèn)證服務(wù)資質(zhì)的機(jī)構(gòu)提供的電子認(rèn)證服務(wù)���,為用戶配置智能密碼鑰匙��、智能集成電路卡��、移動(dòng)智能終端密碼模塊等具備身份鑒別功能的密碼產(chǎn)品�����,對(duì)系統(tǒng)用戶身份進(jìn)行管理�����;b)采用智能密碼鑰匙或動(dòng)態(tài)口令技術(shù)���,對(duì)訪問應(yīng)用服務(wù)器的用戶進(jìn)行身份鑒別;c)利用IPSEC/SSL技術(shù)�����,對(duì)客戶端與服務(wù)器端、信息系統(tǒng)之間傳輸?shù)臄?shù)據(jù)進(jìn)行機(jī)密性和完整性保護(hù)��;d)部署存儲(chǔ)加密產(chǎn)品����、服務(wù)器密碼機(jī)或其他密碼模塊,對(duì)存儲(chǔ)的重要數(shù)據(jù)進(jìn)行機(jī)密性和完整性保護(hù)���;e)部署簽名驗(yàn)簽服務(wù)器、服務(wù)器密碼機(jī)或其他密碼模塊����,對(duì)訪問控制信息、重要信息資源安全標(biāo)記進(jìn)行完整性保護(hù)�����;f)根據(jù)信息系統(tǒng)的需要�,部署簽名驗(yàn)簽服務(wù)器、電子簽章系統(tǒng)���、時(shí)間戳服務(wù)器等密碼產(chǎn)品�,對(duì)收發(fā)的數(shù)據(jù)及相關(guān)操作記錄進(jìn)行簽名,實(shí)現(xiàn)數(shù)據(jù)原發(fā)行為的不可否認(rèn)性和數(shù)據(jù)接收行為的不可否認(rèn)性����。6系統(tǒng)功能分區(qū)6.1功能分區(qū)框架密碼服務(wù)系統(tǒng)基于軟硬件密碼設(shè)備資源建設(shè),具有獨(dú)立部署��、高兼容性�、低耦合性、可拓展性等特點(diǎn)���,針對(duì)政務(wù)云平臺(tái)不同的政務(wù)信息系統(tǒng)�����,可采用不同的部署方式提供集中的密碼服務(wù)��,密碼服務(wù)系統(tǒng)功能分區(qū)框架如圖2所示�����。6
12DB36/T1585—2022中間件功能區(qū)跨平臺(tái)密碼應(yīng)用中間件密鑰管密碼服務(wù)區(qū)機(jī)密性服務(wù)隨機(jī)數(shù)服務(wù)完整性服務(wù)身份鑒別服務(wù)不可否認(rèn)性服務(wù)理服務(wù)服務(wù)管理服務(wù)區(qū)密碼服務(wù)管理區(qū)設(shè)備配置用戶管理應(yīng)用管理日志審計(jì)管理系統(tǒng)密碼資源區(qū)密碼計(jì)算資源池物理密碼資源虛擬密碼資源基礎(chǔ)設(shè)施區(qū)密碼機(jī)簽名驗(yàn)簽服務(wù)器時(shí)間戳服務(wù)器動(dòng)態(tài)口令服務(wù)器……圖2密碼服務(wù)系統(tǒng)功能分區(qū)6.2基礎(chǔ)設(shè)施區(qū)密碼服務(wù)系統(tǒng)基礎(chǔ)設(shè)施區(qū)由密碼設(shè)備組成�����,包括密碼機(jī)��、簽名驗(yàn)簽服務(wù)器���、時(shí)間戳服務(wù)器����、動(dòng)態(tài)口令服務(wù)器等�����。密碼設(shè)備需為國家密碼管理局批準(zhǔn)型號(hào)�����,相關(guān)產(chǎn)品符合國家密碼管理局要求��。其中��,主要密碼設(shè)備功能如下表所示:表1基礎(chǔ)設(shè)施區(qū)功能表序號(hào)密碼設(shè)備名稱主要功能a)密鑰產(chǎn)生�、存儲(chǔ)���、使用�、備份恢復(fù)�;b)數(shù)據(jù)加密�����、解密���;1密碼機(jī)c)數(shù)字簽名;d)完整性算法����。a)密鑰生成、存儲(chǔ)���;b)數(shù)據(jù)簽名�����、驗(yàn)證���;c)數(shù)字信封功能;2簽名驗(yàn)簽服務(wù)器d)數(shù)據(jù)雜湊���;e)證書解析�;f)證書有效性驗(yàn)證����。7
13DB36/T1585—2022表1基礎(chǔ)設(shè)施區(qū)功能表(續(xù))序號(hào)密碼設(shè)備名稱主要功能a)密鑰生成�、存儲(chǔ)��;b)數(shù)據(jù)雜湊����;3時(shí)間戳服務(wù)器c)簽發(fā)、驗(yàn)證時(shí)間戳�����;d)證書解析���;e)證書有效性驗(yàn)證�。a)動(dòng)態(tài)密碼種子生成���;4動(dòng)態(tài)口令服務(wù)器b)動(dòng)態(tài)密碼驗(yàn)證;c)動(dòng)態(tài)密碼管理����。6.3密碼資源區(qū)為支撐云計(jì)算環(huán)境下的密碼應(yīng)用,密碼服務(wù)系統(tǒng)應(yīng)構(gòu)建密碼資源池(包括物理密碼資源�����、虛擬密碼資源),通過密碼服務(wù)管理系統(tǒng)進(jìn)行密碼資源的分配���、管理和統(tǒng)一調(diào)度�,實(shí)現(xiàn)按需擴(kuò)展���、靈活配置���。密碼資源池技術(shù)功能包括:a)密碼資源池的最大服務(wù)范圍應(yīng)為一個(gè)安全可控區(qū)域;b)密碼資源池應(yīng)能夠根據(jù)業(yè)務(wù)需求進(jìn)行彈性擴(kuò)充��,并進(jìn)行統(tǒng)一監(jiān)控調(diào)度和分配����,應(yīng)具有協(xié)同處理和容錯(cuò)能力,不因物理安全設(shè)備單元的故障或失效影響到整個(gè)資源池的正常運(yùn)行����;c)通過密碼服務(wù)管理系統(tǒng)實(shí)現(xiàn)對(duì)云租戶密碼服務(wù)的管理,包括密碼服務(wù)需求分解��、分配密碼資源等;d)應(yīng)保證政務(wù)云各租戶間密碼運(yùn)算資源及密鑰的安全隔離��。6.4管理服務(wù)區(qū)6.4.1服務(wù)區(qū)密碼服務(wù)系統(tǒng)通過資源池化技術(shù)整合底層密碼設(shè)備資源����,提供基于應(yīng)用程序編程接口、密碼中間件等方式的密碼資源調(diào)用能力��。服務(wù)包括但不限以下兩個(gè)方面:a)為云租戶提供密鑰安全管理服務(wù)���;b)為云租戶提供數(shù)據(jù)機(jī)密性��、隨機(jī)數(shù)�、完整性���、身份鑒別�、不可否認(rèn)性等密碼服務(wù)�。6.4.2管理區(qū)密碼服務(wù)管理資源提供密碼設(shè)備、用戶�、應(yīng)用、日志審計(jì)等管理��,充分利用密碼設(shè)備的運(yùn)算資源�����,為密碼服務(wù)提供密碼運(yùn)算支撐��。服務(wù)包括但不限以下三個(gè)方面:a)支持對(duì)密碼設(shè)備����、密碼資源配置等進(jìn)行統(tǒng)一管理;b)支持對(duì)運(yùn)行的服務(wù)進(jìn)行統(tǒng)一管理�;c)支持記錄并展示重要事件日志。6.5中間件功能區(qū)中間件部署在政務(wù)信息系統(tǒng)服務(wù)端�����,通過讀取配置文件的方式與密碼服務(wù)系統(tǒng)進(jìn)行連接�����,根據(jù)不同的連接池配置��,提高調(diào)用密碼服務(wù)系統(tǒng)的性能和響應(yīng)速度�;云平臺(tái)承載的政務(wù)信息系統(tǒng)通過中間件調(diào)用8
14DB36/T1585—2022密碼服務(wù)系統(tǒng)的數(shù)據(jù)簽名驗(yàn)簽、數(shù)據(jù)加解密等密碼服務(wù)接口��。7服務(wù)內(nèi)容7.1密鑰管理服務(wù)密鑰管理服務(wù)需基于密碼資源池基礎(chǔ)設(shè)施�����,對(duì)外提供密鑰相關(guān)的支撐服務(wù),如密鑰托管服務(wù)���、密鑰安全隔離和存儲(chǔ)服務(wù)���、密鑰安全訪問服務(wù)、基于托管密鑰的簡(jiǎn)單加解密服務(wù)等�����,并能夠提供統(tǒng)一對(duì)外服務(wù)接口����。應(yīng)定期跟蹤接入政務(wù)信息系統(tǒng)數(shù)量與密鑰使用狀態(tài),確保密鑰的生成���、存儲(chǔ)�����、分發(fā)�、導(dǎo)入�、導(dǎo)出�、使用���、備份、恢復(fù)���、歸檔��、銷毀等全生命周期的安全�����。密鑰全生命周期管理須符合GB/T39786密鑰生存周期管理要求���。7.2機(jī)密性服務(wù)需基于密碼資源池中密碼機(jī)等設(shè)備,對(duì)外提供統(tǒng)一接口的數(shù)據(jù)機(jī)密性服務(wù)����。機(jī)密性實(shí)現(xiàn)算法需涵蓋國家密碼主管部門批準(zhǔn)的算法以及常用國際標(biāo)準(zhǔn)算法。7.3隨機(jī)數(shù)服務(wù)需基于密碼資源池基礎(chǔ)設(shè)施����,對(duì)外提供統(tǒng)一接口的隨機(jī)數(shù)服務(wù)。隨機(jī)數(shù)的產(chǎn)生需采用由國家密碼管理局批準(zhǔn)使用的方式����,生成隨機(jī)數(shù)的密碼產(chǎn)品應(yīng)符合GM/T0062的要求����。7.4完整性服務(wù)需基于密碼資源池基礎(chǔ)設(shè)施��,對(duì)外提供統(tǒng)一接口的數(shù)據(jù)完整性服務(wù)��。完整性實(shí)現(xiàn)算法需涵蓋國家密碼主管部門批準(zhǔn)的算法以及常用國際標(biāo)準(zhǔn)算法����。7.5身份鑒別服務(wù)需基于密碼資源池中簽名驗(yàn)簽服務(wù)器等設(shè)備,對(duì)外提供統(tǒng)一接口的身份鑒別服務(wù)��。身份鑒別實(shí)現(xiàn)算法需涵蓋國家密碼主管部門批準(zhǔn)的算法以及常用國際標(biāo)準(zhǔn)算法�����。7.6不可否認(rèn)性服務(wù)需基于密碼資源池中簽名驗(yàn)簽服務(wù)器�、時(shí)間戳服務(wù)器等設(shè)備,對(duì)外提供統(tǒng)一接口的不可否認(rèn)性服務(wù)����。不可否認(rèn)性實(shí)現(xiàn)算法需涵蓋國家密碼主管部門批準(zhǔn)的算法以及常用國際標(biāo)準(zhǔn)算法。8服務(wù)管理規(guī)范8.1設(shè)備配置設(shè)備配置要求應(yīng)包括:a)應(yīng)具備密碼設(shè)備掛接的配置功能����;b)應(yīng)具備密鑰資源的增加�����、刪除���、修改功能�。8.2用戶管理密碼服務(wù)系統(tǒng)應(yīng)將用戶劃分為系統(tǒng)管理員、系統(tǒng)操作員����、審計(jì)管理員三個(gè)角色。各角色職責(zé)如下:9
15DB36/T1585—2022a)系統(tǒng)管理員:定期安全檢查�����,建立變更管理審核和批準(zhǔn)制度�;b)系統(tǒng)操作員:負(fù)責(zé)密碼設(shè)備的日常操作維護(hù);c)審計(jì)管理員:定期對(duì)系統(tǒng)管理員���、系統(tǒng)操作員等操作行為進(jìn)行安全審計(jì)和監(jiān)督檢查�����;對(duì)系統(tǒng)運(yùn)行情況進(jìn)行審計(jì)���,形成審計(jì)報(bào)告�����。8.3應(yīng)用管理應(yīng)用管理要求應(yīng)包括:a)應(yīng)提供政務(wù)信息系統(tǒng)綁定密碼資源功能�����;b)應(yīng)提供IP地址訪問密碼資源白名單功能�����;c)應(yīng)支持密碼資源調(diào)用開關(guān)控制功能��;d)應(yīng)支持密鑰使用劃分功能�。8.4日志審計(jì)日志審計(jì)要求應(yīng)包括:a)應(yīng)記錄密碼服務(wù)系統(tǒng)訪問運(yùn)行過程日志數(shù)據(jù)��;b)應(yīng)提供日志查詢�、搜索、過濾�、審計(jì)等功能;c)應(yīng)具備對(duì)審計(jì)前后的信息保存���、備查等功能�����;d)應(yīng)具備審計(jì)結(jié)果展示功能���。9服務(wù)應(yīng)用規(guī)范9.1應(yīng)用接入流程9.1.1申請(qǐng)政務(wù)部門向密碼服務(wù)系統(tǒng)管理單位提出密碼服務(wù)使用申請(qǐng)����,提交密碼服務(wù)使用申請(qǐng)����,申請(qǐng)內(nèi)容中需明確密碼服務(wù)類別����,類別包含機(jī)密性服務(wù)、隨機(jī)數(shù)服務(wù)�����、完整性服務(wù)�、身份鑒別服務(wù)、不可否認(rèn)性服務(wù)等��。9.1.2審核密碼服務(wù)系統(tǒng)管理單位對(duì)政務(wù)部門的申請(qǐng)進(jìn)行審核,向政務(wù)部門反饋審核結(jié)果�。滿足條件的政務(wù)信息系統(tǒng)允許實(shí)施密碼服務(wù)接入,不滿足條件的需詳細(xì)說明理由�����。9.1.3開通密碼服務(wù)系統(tǒng)管理單位根據(jù)密碼服務(wù)使用申請(qǐng)內(nèi)容���,合理分配所需密碼資源����。9.1.4上線密碼服務(wù)系統(tǒng)管理單位向政務(wù)部門提供密碼服務(wù)系統(tǒng)接入相關(guān)材料(見9.2.2)����,協(xié)助政務(wù)部門完成上線工作。9.1.5變更10
16DB36/T1585—2022密碼資源變更分為接入前變更和接入后變更����。政務(wù)部門向密碼服務(wù)系統(tǒng)管理單位提出密碼資源變更申請(qǐng),密碼服務(wù)系統(tǒng)管理單位審核變更材料����。審核不通過說明理由,審核通過的依據(jù)變更類型做出如下操作:a)接入前變更資源:密碼服務(wù)系統(tǒng)管理單位與政務(wù)部門確認(rèn)審核結(jié)果,由密碼服務(wù)系統(tǒng)管理單位執(zhí)行變更資源操作�����,將操作結(jié)果告知政務(wù)部門�����;b)接入后新增資源:密碼服務(wù)系統(tǒng)管理單位與政務(wù)部門確認(rèn)審核結(jié)果�,由密碼服務(wù)系統(tǒng)管理單位執(zhí)行新增資源操作,將操作結(jié)果告知政務(wù)部門����;c)接入后變更資源:政務(wù)部門需提前15個(gè)工作日向密碼服務(wù)系統(tǒng)建管理單位提交變更申請(qǐng),執(zhí)行系統(tǒng)數(shù)據(jù)還原�、備份、更新等操作�,執(zhí)行完畢后�,經(jīng)政務(wù)部門確認(rèn),由密碼服務(wù)系統(tǒng)管理單位按操作流程變更密碼服務(wù)功能�����,將操作結(jié)果告知政務(wù)部門����。9.1.6終止政務(wù)部門向密碼服務(wù)系統(tǒng)管理單位發(fā)起注銷接入申請(qǐng)����,密碼服務(wù)系統(tǒng)管理單位審核并提供15個(gè)工作日作為過渡期�,用于政務(wù)部門將系統(tǒng)數(shù)據(jù)還原、備份�����、更新等操作�。過渡期滿后,經(jīng)政務(wù)部門確認(rèn)�����,由密碼服務(wù)系統(tǒng)管理單位按操作流程注銷該政務(wù)信息系統(tǒng)密碼服務(wù)功能�����,將注銷結(jié)果告知政務(wù)部門��。9.2應(yīng)用接口規(guī)范密碼服務(wù)系統(tǒng)通過中間件以接口方式對(duì)外提供密碼服務(wù)��,政務(wù)信息系統(tǒng)通過添加依賴庫的方式引用中間件調(diào)用密碼服務(wù)系統(tǒng)����,政務(wù)信息系統(tǒng)與密碼服務(wù)系統(tǒng)之間須網(wǎng)絡(luò)暢通����。9.2.1接口說明為保證密碼服務(wù)的安全性���,密碼服務(wù)系統(tǒng)提供的接口須符合如下要求:a)調(diào)用接口必須對(duì)中間件做相應(yīng)屬性配置操作����;b)數(shù)據(jù)返回類型參考附錄A具體內(nèi)容���;c)中間件基于TCP/IP協(xié)議與密碼服務(wù)系統(tǒng)進(jìn)行通信�。9.2.2技術(shù)手冊(cè)密碼服務(wù)系統(tǒng)管理單位應(yīng)為接入密碼服務(wù)的政務(wù)部門提供包括但不限于以下技術(shù)手冊(cè):a)密碼服務(wù)接口規(guī)范文檔����。包含中間件的接入、使用方式�����,提供詳細(xì)接口說明��;b)密碼服務(wù)系統(tǒng)技術(shù)白皮書�����。包含密碼服務(wù)系統(tǒng)主要功能����、技術(shù)特點(diǎn)以及部署方式;c)密碼服務(wù)資源接入中間件���。包含密碼服務(wù)資源接口�����,提供使用密碼服務(wù)資源程序���;d)密碼服務(wù)資源接入示范程序。包含密碼服務(wù)資源使用示例����,用于軟件開發(fā)人員快速部署中間件;e)密碼服務(wù)系統(tǒng)安裝部署實(shí)施計(jì)劃文檔��。包含密碼服務(wù)系統(tǒng)安裝部署實(shí)施內(nèi)容(密碼服務(wù)組成��、實(shí)施各階段內(nèi)容��、實(shí)施部署、重難點(diǎn)問題及風(fēng)險(xiǎn)應(yīng)對(duì)等)��、實(shí)施計(jì)劃(實(shí)施路線�、進(jìn)度計(jì)劃、階段任務(wù)與交付)���、保障措施(人員保障措施��、經(jīng)費(fèi)保障措施�、實(shí)施質(zhì)量保障措施���、進(jìn)度保障措施)等內(nèi)容�。11
17DB36/T1585—2022附錄A(規(guī)范性附錄)密碼服務(wù)系統(tǒng)接口A.1數(shù)據(jù)結(jié)構(gòu)定義接口中使用的數(shù)據(jù)結(jié)構(gòu)以用途分類��,各類型數(shù)據(jù)結(jié)構(gòu)定義如下:A.1.1接口返回值數(shù)據(jù)結(jié)構(gòu)定義接口返回值數(shù)據(jù)結(jié)構(gòu)定義說明見表A.1�。表A.1接口返回值數(shù)據(jù)結(jié)構(gòu)說明參數(shù)名稱數(shù)據(jù)類型說明id整型請(qǐng)求序列號(hào)msgType整型返回消息類型errCode整型錯(cuò)誤碼0表示成功,其他對(duì)應(yīng)錯(cuò)誤碼errMsg字符串錯(cuò)誤碼說明mData數(shù)據(jù)對(duì)象數(shù)據(jù)實(shí)體����,可根據(jù)不同接口定義不同數(shù)據(jù)類型A.1.2SM4_CBC對(duì)稱加/解密數(shù)據(jù)結(jié)構(gòu)定義SM4_CBC對(duì)稱加/解密數(shù)據(jù)結(jié)構(gòu)定義說明見表A.2。表A.2SM4_CBC對(duì)稱加/解密數(shù)據(jù)結(jié)構(gòu)說明參數(shù)名稱數(shù)據(jù)類型說明keyNum整型密鑰號(hào)key字節(jié)數(shù)組密鑰數(shù)據(jù)iv字節(jié)數(shù)組向量值inData字節(jié)數(shù)組待加密的原文A.1.3SM4_ECB對(duì)稱加/解密數(shù)據(jù)結(jié)構(gòu)定義SM4_ECB對(duì)稱加/解密數(shù)據(jù)結(jié)構(gòu)定義說明見表A.3�。表A.3SM4_ECB對(duì)稱加/解密數(shù)據(jù)結(jié)構(gòu)說明參數(shù)名稱數(shù)據(jù)類型說明keyNum整型密鑰號(hào)key字節(jié)數(shù)組密鑰數(shù)據(jù)inData字節(jié)數(shù)組待加密的原文12
18DB36/T1585—2022A.1.4摘要方法數(shù)據(jù)結(jié)構(gòu)定義摘要方法數(shù)據(jù)結(jié)構(gòu)定義說明見表A.4。表A.4摘要方法數(shù)據(jù)結(jié)構(gòu)說明參數(shù)名稱數(shù)據(jù)類型說明keyNum整型密鑰號(hào)Key字節(jié)數(shù)組密鑰數(shù)據(jù)inData字節(jié)數(shù)組待摘要的原文algo整型算法標(biāo)識(shí),可設(shè)置默認(rèn)值A(chǔ).1.5SM2非對(duì)稱密鑰數(shù)據(jù)結(jié)構(gòu)定義SM2非對(duì)稱密鑰數(shù)據(jù)結(jié)構(gòu)定義說明見表A.5����。表A.5SM2非對(duì)稱密鑰數(shù)據(jù)結(jié)構(gòu)說明參數(shù)名稱數(shù)據(jù)類型說明key字節(jié)數(shù)組密鑰(用于解密時(shí),此參數(shù)值傳null)keyNum整型密鑰號(hào)inData字節(jié)數(shù)組輸入A.1.6HMAC_SM3帶標(biāo)識(shí)的摘要方法數(shù)據(jù)結(jié)構(gòu)定義HMAC_SM3帶標(biāo)識(shí)的摘要方法數(shù)據(jù)結(jié)構(gòu)定義說明見表A.6����。表A.6HMAC_SM3帶標(biāo)識(shí)的摘要方法數(shù)據(jù)結(jié)構(gòu)說明參數(shù)名稱數(shù)據(jù)類型說明keyNum整型密鑰號(hào)key字節(jié)數(shù)組密鑰數(shù)據(jù),用于解密時(shí),此值可為空inData字節(jié)數(shù)組待摘要的原文A.1.7裸簽名(帶時(shí)間戳)返回值數(shù)據(jù)結(jié)構(gòu)定義裸簽名(帶時(shí)間戳)返回值數(shù)據(jù)結(jié)構(gòu)定義說明見表A.7����。表A.7裸簽名(帶時(shí)間戳)返回值數(shù)據(jù)結(jié)構(gòu)說明參數(shù)名稱數(shù)據(jù)類型說明signData字節(jié)數(shù)組簽名值dataLength整型簽名值長度time字節(jié)數(shù)組時(shí)間值timeLength整型時(shí)間值長度13
19DB36/T1585—2022A.2密碼服務(wù)接口說明A.2.1獲取公鑰(加密公鑰)接口獲取公鑰(加密公鑰)接口說明見表A.8。表A.8獲取公鑰(加密公鑰)接口說明接口功能描述輸入要獲取的密鑰號(hào)����,并獲得加密公鑰值接口名稱getEncPubkey參數(shù)名稱數(shù)據(jù)類型說明參數(shù)keyNum整型密鑰號(hào)返回值通用返回值數(shù)據(jù)結(jié)構(gòu)屬性數(shù)據(jù)實(shí)體為加密公鑰,類型為字節(jié)數(shù)組A.2.2獲取簽名公鑰接口獲取簽名公鑰接口說明見表A.9�����。表A.9獲取簽名公鑰接口說明接口功能描述獲取簽名公鑰接口名稱getPubkey參數(shù)名稱數(shù)據(jù)類型說明參數(shù)keyNum整型密鑰號(hào)返回值通用返回值數(shù)據(jù)結(jié)構(gòu)屬性數(shù)據(jù)實(shí)體為簽名公鑰����,類型為字節(jié)數(shù)組A.2.3獲取摘要接口獲取摘要接口說明見表A.10。表A.10獲取摘要接口說明接口功能描述對(duì)數(shù)據(jù)進(jìn)行摘要運(yùn)算接口名稱getMsgDigestWithAppWithPid參數(shù)名稱數(shù)據(jù)類型說明參數(shù)摘要方法數(shù)據(jù)結(jié)構(gòu)數(shù)據(jù)結(jié)構(gòu)返回值通用返回值數(shù)據(jù)結(jié)構(gòu)屬性數(shù)據(jù)實(shí)體為摘要計(jì)算結(jié)果��,類型為字節(jié)數(shù)組A.2.4SM2簽名接口SM2簽名接口說明見表A.11�����。14
20DB36/T1585—2022表A.11SM2簽名接口說明接口功能描述對(duì)數(shù)據(jù)摘要值進(jìn)行簽名接口名稱getSM2Sign參數(shù)名稱數(shù)據(jù)類型說明參數(shù)keyNum整型密鑰號(hào)msgDigest字節(jié)數(shù)組待簽名的原文摘要值返回值通用返回值數(shù)據(jù)結(jié)構(gòu)屬性數(shù)據(jù)實(shí)體簽名計(jì)算結(jié)果,類型為字節(jié)數(shù)組A.2.5SM2驗(yàn)證簽名接口SM2驗(yàn)證簽名接口說明見表A.12�。表A.12SM2驗(yàn)證簽名接口說明接口功能描述對(duì)數(shù)據(jù)簽名值進(jìn)行驗(yàn)證接口名稱getSM2Verify參數(shù)名稱數(shù)據(jù)類型說明keyNum整型密鑰號(hào)公鑰值參數(shù)key字節(jié)數(shù)組密鑰號(hào)!=0時(shí),為空��;密鑰號(hào)==0時(shí)����,為公鑰值msgDigest字節(jié)數(shù)組簽名的原文摘要值inData字節(jié)數(shù)組簽名值返回值通用返回值數(shù)據(jù)結(jié)構(gòu)屬性錯(cuò)誤碼值==0表示驗(yàn)簽通過,否則驗(yàn)證不通過A.2.6SM4_CBC加密接口SM4_CBC加密接口說明見表A.13。表A.13SM4_CBC加密接口說明接口功能描述SM4_CBC加密運(yùn)算接口名稱getSM4CBCEnc參數(shù)名稱數(shù)據(jù)類型說明參數(shù)SM4_CBC對(duì)稱加/解數(shù)據(jù)結(jié)構(gòu)密數(shù)據(jù)結(jié)構(gòu)屬性數(shù)據(jù)實(shí)體為SM4_CBC模式加密計(jì)算結(jié)果�����,返回值通用返回值數(shù)據(jù)結(jié)構(gòu)類型為字節(jié)數(shù)組A.2.7SM4_CBC解密接口SM4_CBC解密接口說明見表A.14���。15
21DB36/T1585—2022表A.14SM4_CBC解密接口說明接口功能描述SM4_CBC解密運(yùn)算接口名稱getSM4CBCDec參數(shù)名稱數(shù)據(jù)類型說明參數(shù)SM4_CBC對(duì)稱加/解數(shù)據(jù)結(jié)構(gòu)密數(shù)據(jù)結(jié)構(gòu)屬性數(shù)據(jù)實(shí)體為SM4_CBC模式解密計(jì)算結(jié)果���,返回值通用返回值數(shù)據(jù)結(jié)構(gòu)類型為字節(jié)數(shù)組A.2.8SM4_ECB加密接口SM4_ECB加密接口說明見表A.15。表A.15SM4_ECB加密接口說明接口功能描述SM4_ECB加密運(yùn)算接口名稱getSM4ECBEnc參數(shù)名稱數(shù)據(jù)類型說明參數(shù)SM4_ECB對(duì)稱加/解數(shù)據(jù)結(jié)構(gòu)密數(shù)據(jù)結(jié)構(gòu)屬性數(shù)據(jù)實(shí)體為SM4_ECB模式加密計(jì)算結(jié)果���,返回值通用返回值數(shù)據(jù)結(jié)構(gòu)類型為字節(jié)數(shù)組A.2.9SM4_ECB解密接口SM4_ECB解密接口說明見表A.16�����。表A.16SM4_ECB解密接口說明接口功能描述SM4_ECB解密運(yùn)算接口名稱getSM4ECBDec參數(shù)名稱數(shù)據(jù)類型說明參數(shù)SM4_ECB對(duì)稱加/解數(shù)據(jù)結(jié)構(gòu)密數(shù)據(jù)結(jié)構(gòu)屬性數(shù)據(jù)實(shí)體為SM4_ECB模式解密計(jì)算結(jié)果�����,返回值通用返回值數(shù)據(jù)結(jié)構(gòu)類型為字節(jié)數(shù)組A.2.10SM2公鑰加密接口SM2公鑰加密接口說明見表A.17�。16
22DB36/T1585—2022表A.17SM2公鑰加密接口說明接口功能描述SM2公鑰加密運(yùn)算接口名稱getSM2PubKeyEnc參數(shù)名稱數(shù)據(jù)類型說明參數(shù)SM2非對(duì)稱密鑰數(shù)據(jù)數(shù)據(jù)結(jié)構(gòu)結(jié)構(gòu)屬性數(shù)據(jù)實(shí)體為SM2公鑰加密計(jì)算結(jié)果�,返回值通用返回值數(shù)據(jù)結(jié)構(gòu)類型為字節(jié)數(shù)組A.2.11SM2私鑰解密接口SM2私鑰解密接口說明見表A.18。表A.18SM2私鑰解密接口說明接口功能描述SM2私鑰解密接口名稱getSM2PrivateDec參數(shù)名稱數(shù)據(jù)類型說明參數(shù)SM2非對(duì)稱密鑰數(shù)據(jù)數(shù)據(jù)結(jié)構(gòu)結(jié)構(gòu)屬性數(shù)據(jù)實(shí)體為SM2私鑰解密計(jì)算結(jié)果��,返回值通用返回值數(shù)據(jù)結(jié)構(gòu)類型為字節(jié)數(shù)組A.2.12HMAC_SM3摘要接口HMAC_SM3摘要接口說明見表A.19����。表A.19HMAC_SM3摘要接口說明接口功能描述HMAC_SM3摘要運(yùn)算接口名稱getHMacSM3參數(shù)名稱數(shù)據(jù)類型說明參數(shù)HMAC_SM3帶標(biāo)識(shí)的數(shù)據(jù)結(jié)構(gòu)摘要方法數(shù)據(jù)結(jié)構(gòu)屬性數(shù)據(jù)實(shí)體為HMAC_SM3摘要計(jì)算結(jié)果,返回值通用返回值數(shù)據(jù)結(jié)構(gòu)類型為字節(jié)數(shù)組A.2.13Detach簽名接口Detach簽名接口說明見表A.20�。17
23DB36/T1585—2022表A.20Detach簽名接口說明接口功能描述Detach方式簽名接口名稱detachedSign參數(shù)名稱數(shù)據(jù)類型說明plainText字節(jié)數(shù)組待簽名的原文參數(shù)subject字節(jié)數(shù)組用于簽名的私鑰對(duì)應(yīng)的公鑰證書的主題摘要算法標(biāo)識(shí)algoType整型1:MD2;2:MD5����;3:SHA1;5:SHA256�;8:SM3屬性數(shù)據(jù)實(shí)體為Detach方式簽名結(jié)果,返回值通用返回值數(shù)據(jù)結(jié)構(gòu)類型為字節(jié)數(shù)組A.2.14Detach驗(yàn)簽接口Detach驗(yàn)簽接口說明見表A.21�。表A.21Detach驗(yàn)簽接口說明接口功能描述Detach方式驗(yàn)簽接口名稱detachedVerify參數(shù)名稱數(shù)據(jù)類型說明plainText字節(jié)數(shù)組簽名原文參數(shù)signData字節(jié)數(shù)組簽名值needCert整型標(biāo)明是否返回用于驗(yàn)證簽名的公鑰證書返回值通用返回值數(shù)據(jù)結(jié)構(gòu)屬性錯(cuò)誤碼=0表示驗(yàn)簽通過A.2.15不校驗(yàn)證書Detach驗(yàn)簽接口不校驗(yàn)證書Detach驗(yàn)簽接口說明見表A.22。表A.22不校驗(yàn)證書Detach驗(yàn)簽接口說明接口功能描述不校驗(yàn)證書Detach方式驗(yàn)簽接口名稱detachedVerifyNoCheckCert參數(shù)名稱數(shù)據(jù)類型說明plainText字節(jié)數(shù)組原文參數(shù)signData字節(jié)數(shù)組簽名值needCert整型標(biāo)明是否返回用于驗(yàn)證簽名的公鑰證書返回值通用返回值數(shù)據(jù)結(jié)構(gòu)屬性錯(cuò)誤碼=0表示驗(yàn)簽通過A.2.16Attached方式簽名接口Attached方式簽名接口說明見表A.23。18
24DB36/T1585—2022表A.23Attached方式簽名接口說明接口功能描述Attached方式簽名接口名稱attachedSign參數(shù)名稱數(shù)據(jù)類型說明plainText字節(jié)數(shù)組原文參數(shù)subject字節(jié)數(shù)組證書主題摘要算法標(biāo)識(shí)algoType整型1:MD2��;2:MD5�����;3:SHA1��;5:SHA256����;8:SM3屬性數(shù)據(jù)實(shí)體為Attached方式簽名結(jié)果,返回值通用返回值數(shù)據(jù)結(jié)構(gòu)類型為字節(jié)數(shù)組A.2.17Attached方式驗(yàn)簽接口Attached方式驗(yàn)簽接口說明見表A.24�����。表A.24Attached方式驗(yàn)簽接口說明接口功能描述Attached方式驗(yàn)簽接口名稱attachedVerify參數(shù)名稱數(shù)據(jù)類型說明參數(shù)signData字節(jié)數(shù)組簽名值needCert整型標(biāo)明是否返回用于驗(yàn)證簽名的公鑰證書返回值通用返回值數(shù)據(jù)結(jié)構(gòu)屬性錯(cuò)誤碼=0表示驗(yàn)簽通過A.2.18裸簽名(無摘要標(biāo)識(shí))接口裸簽名(無摘要標(biāo)識(shí))接口說明見表A.25�。表A.25裸簽名(無摘要標(biāo)識(shí))接口說明接口功能描述裸簽名(無摘要標(biāo)識(shí))接口名稱rawSignaturePreHash參數(shù)名稱數(shù)據(jù)類型說明參數(shù)plainText字節(jié)數(shù)組原文摘要subject字節(jié)數(shù)組證書主題屬性數(shù)據(jù)實(shí)體為裸簽名(無摘要標(biāo)識(shí))結(jié)果值,返回值通用返回值數(shù)據(jù)結(jié)構(gòu)類型為字節(jié)數(shù)組A.2.19裸簽名驗(yàn)證(無摘要標(biāo)識(shí))接口裸簽名驗(yàn)證(無摘要標(biāo)識(shí))接口說明見表A.26�。19
25DB36/T1585—2022表A.26裸簽名驗(yàn)證(無摘要標(biāo)識(shí))接口說明接口功能描述裸簽名驗(yàn)證(無摘要標(biāo)識(shí))接口名稱rawVerifyPreHash參數(shù)名稱數(shù)據(jù)類型說明plainText字節(jié)數(shù)組原文摘要參數(shù)signData字節(jié)數(shù)組證書主題cert整型用于驗(yàn)簽的證書返回值通用返回值數(shù)據(jù)結(jié)構(gòu)屬性錯(cuò)誤碼=0表示驗(yàn)簽通過A.2.20裸簽名接口裸簽名接口說明見表A.27。表A.27裸簽名接口說明接口功能描述裸簽名接口名稱rawSignature參數(shù)名稱數(shù)據(jù)類型說明plainText字節(jié)數(shù)組待簽名原文參數(shù)subject字節(jié)數(shù)組證書主題摘要算法標(biāo)識(shí)algoType整型1:MD2���;2:MD5����;3:SHA1;5:SHA256��;8:SM3屬性數(shù)據(jù)實(shí)體為裸簽名結(jié)果值�,返回值通用返回值數(shù)據(jù)結(jié)構(gòu)類型為字節(jié)數(shù)組A.2.21裸簽名驗(yàn)證(傳入的參數(shù)為證書數(shù)據(jù))接口裸簽名驗(yàn)證(傳入的參數(shù)為證書數(shù)據(jù))接口說明見表A.28。表A.28裸簽名驗(yàn)證(傳入的參數(shù)為證書數(shù)據(jù))接口說明接口功能描述裸簽名驗(yàn)證(傳入的參數(shù)為證書數(shù)據(jù))接口名稱rawVerify參數(shù)名稱數(shù)據(jù)類型說明plainText字節(jié)數(shù)組簽名原文signData字節(jié)數(shù)組簽名值參數(shù)cert字節(jié)數(shù)組用于驗(yàn)簽的證書摘要算法標(biāo)識(shí)algoType整型1:MD2�;2:MD5;3:SHA1����;5:SHA256����;8:SM3返回值通用返回值數(shù)據(jù)結(jié)構(gòu)屬性錯(cuò)誤碼=0表示驗(yàn)簽通過A.2.22不校驗(yàn)證書裸簽名驗(yàn)證(傳入的參數(shù)為證書數(shù)據(jù))接口20
26DB36/T1585—2022不校驗(yàn)證書裸簽名驗(yàn)證(傳入的參數(shù)為證書數(shù)據(jù))接口說明見表A.29。表A.29不校驗(yàn)證書裸簽名驗(yàn)證(傳入的參數(shù)為證書數(shù)據(jù))接口說明接口功能描述不校驗(yàn)證書裸簽名驗(yàn)證(傳入的參數(shù)為證書數(shù)據(jù))接口名稱rawVerifyNoCheckCert參數(shù)名稱數(shù)據(jù)類型說明plainText字節(jié)數(shù)組簽名原文signData字節(jié)數(shù)組簽名值參數(shù)cert字節(jié)數(shù)組用于驗(yàn)簽的證書摘要算法標(biāo)識(shí)algoType整型1:MD2�;2:MD5;3:SHA1����;5:SHA256;8:SM3返回值通用返回值數(shù)據(jù)結(jié)構(gòu)屬性錯(cuò)誤碼=0表示驗(yàn)簽通過A.2.23裸簽名(帶時(shí)間戳)接口裸簽名(帶時(shí)間戳)接口說明見表A.30�。表A.30裸簽名(帶時(shí)間戳)接口說明接口功能描述裸簽名(帶時(shí)間戳)接口名稱rawSignatureAddTime參數(shù)名稱數(shù)據(jù)類型說明plainText字節(jié)數(shù)組待簽名原文參數(shù)subject字節(jié)數(shù)組證書主題摘要算法標(biāo)識(shí)algoType整型1:MD2;2:MD5���;3:SHA1��;5:SHA256����;8:SM3屬性數(shù)據(jù)實(shí)體為裸簽名(帶時(shí)間戳)的簽名結(jié)果,返回值通用返回值數(shù)據(jù)結(jié)構(gòu)數(shù)據(jù)結(jié)構(gòu)為裸簽名(帶時(shí)間戳)返回值A(chǔ).2.24裸簽名驗(yàn)證(帶時(shí)間戳����,傳入的參數(shù)為證書數(shù)據(jù))接口裸簽名驗(yàn)證(帶時(shí)間戳,傳入的參數(shù)為證書數(shù)據(jù))接口說明見表A.31����。表A.31裸簽名驗(yàn)證(帶時(shí)間戳,傳入的參數(shù)為證書數(shù)據(jù))接口說明接口功能描述裸簽名驗(yàn)證(帶時(shí)間戳�����,傳入的參數(shù)為證書數(shù)據(jù))接口名稱rawVerifyAddTime參數(shù)名稱數(shù)據(jù)類型說明plainText字節(jié)數(shù)組簽名原文參數(shù)signData字節(jié)數(shù)組簽名值cert字節(jié)數(shù)組用于驗(yàn)簽的證書time字符串時(shí)間串����,格式“YYYYMMDDhhmmss”21
27DB36/T1585—2022表A.31裸簽名驗(yàn)證(帶時(shí)間戳,傳入的參數(shù)為證書數(shù)據(jù))接口說明(續(xù))接口功能描述裸簽名驗(yàn)證(帶時(shí)間戳���,傳入的參數(shù)為證書數(shù)據(jù))參數(shù)名稱數(shù)據(jù)類型說明參數(shù)摘要算法標(biāo)識(shí)algoType整型1:MD2�����;2:MD5���;3:SHA1���;5:SHA256;8:SM3返回值通用返回值數(shù)據(jù)結(jié)構(gòu)屬性錯(cuò)誤碼=0表示驗(yàn)簽通過A.2.25不校驗(yàn)證書裸簽名驗(yàn)證(帶時(shí)間戳����,傳入的參數(shù)為證書數(shù)據(jù))接口不校驗(yàn)證書裸簽名驗(yàn)證(帶時(shí)間戳,傳入的參數(shù)為證書數(shù)據(jù))接口說明見表A.32�。表A.32不校驗(yàn)證書裸簽名驗(yàn)證(帶時(shí)間戳,傳入的參數(shù)為證書數(shù)據(jù))接口說明接口功能描述不校驗(yàn)證書裸簽名驗(yàn)證(帶時(shí)間戳�,傳入的參數(shù)為證書數(shù)據(jù))接口名稱rawVerifyAddTimeNocheckCert參數(shù)名稱數(shù)據(jù)類型說明plainText字節(jié)數(shù)組簽名原文signData字節(jié)數(shù)組簽名值參數(shù)cert字節(jié)數(shù)組用于驗(yàn)簽的證書time字符串時(shí)間串����,格式“YYYYMMDDhhmmss”摘要算法標(biāo)識(shí)algoType整型1:MD2;2:MD5�����;3:SHA1��;5:SHA256�����;8:SM3返回值通用返回值數(shù)據(jù)結(jié)構(gòu)屬性錯(cuò)誤碼=0表示驗(yàn)簽通過A.2.26數(shù)字信封編碼接口數(shù)字信封編碼接口說明見表A.33。表A.33數(shù)字信封編碼接口說明接口功能描述數(shù)字信封編碼接口名稱evpEncode參數(shù)名稱數(shù)據(jù)類型說明參數(shù)plainText字節(jié)數(shù)組原文摘要cert字節(jié)數(shù)組用于數(shù)字信封編碼的證書屬性數(shù)據(jù)實(shí)體為數(shù)字信封編碼結(jié)果���,返回值通用返回值數(shù)據(jù)結(jié)構(gòu)類型為字節(jié)數(shù)組A.2.27數(shù)字信封解碼接口數(shù)字信封解碼接口說明見表A.34�。22
28DB36/T1585—2022表A.34數(shù)字信封解碼接口說明接口功能描述數(shù)字信封解碼接口名稱evpDecode參數(shù)名稱數(shù)據(jù)類型說明參數(shù)plainText字節(jié)數(shù)組原文摘要cert字節(jié)數(shù)組用于數(shù)字信封解碼的證書屬性數(shù)據(jù)實(shí)體為數(shù)字信封解碼結(jié)果���,返回值通用返回值數(shù)據(jù)結(jié)構(gòu)類型為字節(jié)數(shù)組_________________________________23
