ICS35. 040 L 80 中 华 人 民 共 和 国 国 家 标 准 GB/T 36322—2018 信息安全技术 密码设备应用接口规范 I n f o rma t i ons e c u r i t e chno l o yt gy— Cr t o r aph i cd e v i c eapp l i c a t i oni n t e r f a c es c i f i c a t i on s yp g pe 2018 06 07 发布 2019 01 01 实施 国家市场监督管理总局 中国国家标准化管理委员会 发 布 GB/T 36322—2018 目 次 前言 ………………………………………………………………………………………………………… Ⅰ 引言 ………………………………………………………………………………………………………… Ⅱ 1 范围 ……………………………………………………………………………………………………… 1 2 规范性引用文件 ………………………………………………………………………………………… 1 3 术语和定义 ……………………………………………………………………………………………… 1 4 符号和缩略语 …………………………………………………………………………………………… 2 5 算法标识和数据结构 …………………………………………………………………………………… 2 5. 1 算法标识定义 ……………………………………………………………………………………… 2 5. 2 基本数据类型定义 ………………………………………………………………………………… 2 5. 3 设备信息定义 ……………………………………………………………………………………… 3 5. 4 密钥分类及存储定义 ……………………………………………………………………………… 3 5. 5 RSA 密钥数据结构定义 …………………………………………………………………………… 4 5. 6 ECC 密钥数据结构定义 …………………………………………………………………………… 5 5. 7 ECC 加密数据结构定义 …………………………………………………………………………… 6 5. 8 ECC 签名数据结构定义 …………………………………………………………………………… 6 6 设备接口描述 …………………………………………………………………………………………… 7 6. 1 密码设备应用接口在公钥密码基础设施应用技术体系框架中的位置 ………………………… 7 6. 2 设备管理类函数 …………………………………………………………………………………… 7 6. 3 密钥管理类函数 …………………………………………………………………………………… 9 6. 4 非对称算法运算类函数 …………………………………………………………………………… 27 6. 5 对称算法运算类函数 ……………………………………………………………………………… 31 6. 6 杂凑运算类函数 …………………………………………………………………………………… 33 6. 7 用户文件操作类函数 ……………………………………………………………………………… 34 附录 A (规范性附录) 函数返回代码定义 ……………………………………………………………… 37 参考文献 …………………………………………………………………………………………………… 39 GB/T 36322—2018 前 言 本标准按照 GB/T1. 1—2009 给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由全国信息安全标准化技术委员会( SAC/TC260)提出并归口。 本标准起草单位:卫士通信息产业股份有限公司、无锡江南信息安全工程技术中心、四川大学、上海 格尔软件股份有限公司、北京数字认证股份有限公司、兴唐通信科技股 份 有 限 公 司、山 东 得 安 信 息 技 术 有限公司、北京三未信安科技发展有限公司、海泰方圆科技有限公司、山东大学。 本标准主要起草人:刘平、罗俊、龚勋、李元正、徐强、郑强、李述胜、李玉峰、孔凡玉、马洪富、高志权、 徐明翼、柳增寿、蒋红宇。 Ⅰ GB/T 36322—2018 引 言 本标准的目标是为公钥密码基 础 设 施 应 用 体 系 框 架 下 的 服 务 类 密 码 设 备 制 定 统 一 的 应 用 接 口 标 准,通过该接口调用密码设备,向上层提供基础密码服务。为该类密 码 设 备 的 开 发、使 用 及 检 测 提 供 标 准依据和指导,有利于提高该类密码设备的产品化、标准化和系列化水平。 本标准中涉及密码算法的相关内容,按照国家有关法规实施。 Ⅱ GB/T 36322—2018 信息安全技术 密码设备应用接口规范 1 范围 本标准规定了公钥密码基础设施应用技术体系下服务类密码设备的应用接口标准。 本标准适用于服务类密码设备的研制、使用,以及基于该类密 码 设 备 的 应 用 开 发,也 可 用 于 指 导 该 类密码设备的检测。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引 用 文 件,仅 注 日 期 的 版 本 适 用 于 本 文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T33560 信息安全技术 密码应用标识规范 3 术语和定义 下列术语和定义适用于本文件。 3. 1 算法标识 a l o r i t hmi de n t i f i e r g 用于对密码算法进行唯一标识的符号。 3. 2 非对称密码算法 a s t r i cc r t o r aph i ca l o r i t hm/pub l i cke r t o r aph i ca l o r i t hm ymme yp g g yc yp g g 公钥密码算法 加解密使用不同密钥的密码算法。 3. 3 /de 解密 de c i rme n t c r t i on phe yp 加密过程对应的逆过程。 3. 4 设备密钥 d e v i c eke i r ypa 存储在设备内部的用于设备管理的非对称密钥对,包含签名密钥对和加密密钥对。 3. 5 /e 加密 enc i rme n t nc r t i on phe yp 对数据进行密码变换以产生密文的过程。 3. 6 密钥加密密钥 ke nc r t i onke ye yp y 对密钥进行加密保护的密钥。 3. 7 公钥基础设施 pub l i cke n f r a s t r u c t u r e yi 用公钥密码技术建立的普遍适用的基础设施,为用户提供证书管理和密钥管理等安全服务。 1 GB/T 36322—2018 3. 8 私钥访问控制码 pr i v a t eke c c e s spa s swo r d ya 用于验证私钥使用权限的口令字。 3. 9 对称密码技术 s t r i cc r t o r aph i ct e chn i e ymme yp g qu 对称密码体制 原发者和接收者均采用同一秘密密钥进行变换的密码技术(体制)。 注:加密密钥与解密密钥相同,或者一个密钥可以从另一个密钥导出的密码体制。 3. 10 会话密钥 s e s s i onke y 处于层次化密钥结构中的最低层,仅在一次会话中使用的密钥。 3. 11 用户密钥 u s e rke y 存储在设备内部的用于应用密码运算的非对称密钥,包含签名密钥对和加密密钥对。 4 符号和缩略语 下列符号和缩略语适用于本文件。 ECC EPK IPK I SK KEK 椭圆曲线算法( El l i t i cCu r veCr t og r aphy) p yp 外部加密公钥( Ex t e rna lPub l i cKey) 内部加密公钥( I n t e rna lPub l i cKey) 内部加密私钥( I n t e rna lPr i va t eKey) 密钥加密密钥( KeyEnc r tKey) yp 5 算法标识和数据结构 5. 1 算法标识定义 本标准中所使用的算法其算法标识见 GB/T33560。对称加密算法的算法标识包含其工作模式。 5. 2 基本数据类型定义 本标准中的字节数组均为高位字节在前( B i -End i an)方 式 存 储 和 交 换。基 本 数 据 类 型 定 义 如 表 1 g 所示。 表 1 基本数据类型 类型名称 描述 定义 BYTE 字节类型,无符号 8 位字符 t funs i rBYTE ypede gnedcha LONG 长整数,有符号 32 位整数 t fi n tLONG ypede CHAR ULONG FLAGS LPSTR HANDLE 2 字符类型,无符号 8 位字符 长整数,无符号 32 位整数 标志类型,无符号 32 位整数 8 位字符串指针,按照 UTF8 格式存储及交换 句柄,指向任意数据对象的起始地址 t funs i rCHAR ypede gnedcha t funs i n tULONG ypede gnedi t funs i n tFLAGS ypede gnedi t fCHAR * LPSTR ypede t fvo i d * HANDLE ypede GB/T 36322—2018 5. 3 设备信息定义 设备信息描述如表 2 所示。 表 2 设备信息描述 字段名称 数据长度(字节) 含义 I s sue rName 40 设备生产厂商名称 De v i c eName 16 设备型号 De v i c eSe r i a l 16 设备编号,包含:日期( 8 字符)、批次号( 3 字符)、流水号( 5 字符) De v i c eVe r s i on 4 密码设备内部软件的版本号 S t anda r dVe r s i on 4 密码设备支持的接口规范版本号 前 4 字节表示支持的算法,表示方法 为 非 对 称 算 法 标 识 按 位 或 运 算 的 AsymAl i l i t gAb y 8 结果;后 4 字节表示算法的最大模长,表示方法为支持的模长按位或运 SymAl i l i t gAb y 4 所有支持的对称算法,表示方法为对称算法标识按位或运算的结果 Ha shAl i l i t gAb y 4 所有支