信息安全技术密码应用标识规范

信息安全技术密码应用标识规范

国家标准 GB/T33560一2017 信息安全技术密码应用标识规范 Informationsecuritytechnology- Cryptographicapplieationidentifiereriterionspeeifieatiom 2017-05-12发布 2017-12-01实施 中华人民共利国国家质量监督检验检疙总局 发布 国家标准化管理委员会国家标准
GB/33560一2017 前 言 本标准按照GB/T1.1一2009给出的规则起草 本标准由国家密码管理局提出 本标准由全国信息安全标准化技术委员会(SAC/TC260)归口 本标准起草单位:山东得安信息技术有限公司、成都卫士通信息产业股份有限公司、无锡江南信息 安全工程技术中心,兴唐通信科技股份有限公司、上海格尔软件股份有限公司北京数字证书认证中心、 万达信息股份有限公司、长春吉大正元信息技术股份有限公司海泰方圆科技有限公司、上海数字证书 认证中心 本标准主要起草人:刘平、刘晓东、孔凡玉、李元正、徐强、柳增寿、李述胜、谭武征,李玉峰、李伟平、 崔久强、周栋、郑海森
GB/T33560一2017 引 言 在密码应用中,通常使用某一字段或短语来表示所使用的密码算法或数据实体等信息数据,如果不 对这些标识的定义进行统一,则很难做到密码协议、密码接口间的互联互通 本标准的目标是规范密码协议接口、管理等各方面使用的标识,以实现密码基础设施各组件间的兼 容和统一,也能够有效的指导、帮助密码设备的研制和协议的实现,有利于管理部门实施有效的管理 本标准中规定的标识不适用于无线通信、金融IC卡应用 本标准编制过程中得到了国家商用密码应用技术体系总体工作组的指导
GB/33560一2017 信息安全技术密码应用标识规范 范围 本标准定义了密码应用中所使用的标识用于规范算法标识,密钥标识,设备标识、数据标识、协议 标识,角色标识等的表示和使用 本标准适用于指导密码设备、密码系统的研制和使用过程中,对标识进行规范化的使用,也可用于 指导其他相关标准或协议的编制中对标识的使用 本标准仅适用于PKI体系 规范性引用文件 下列文件对于本文件的应用是必不可少的 凡是注日期的引用文件,仅注日期的版本适用于本文 凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 件 GM/Z00012013密码术语 术语和定义 GM/Z00012013界定的以及下列术语和定义适用于本文件 3. 标识符identifier 个32位整数,用于标识在密码服务或密码管理中涉及的密码算法,密码协议等 3.2 公钥证书publiekeycertifieate 确立拥有公钥的实体的身份的数字证书(数字身份证) 该证书是由第三方可信机构签名颁发的， 证明主体公钥和主体标识信息之间绑定关系的有效性 通常,证书含有与主体有关的不可伪造的公开 密钥信息 3.3 网络字节顺序networkbyteorder 采用Big-endian排序方式规定好的一种数据表示格式 该排序方式与具体的CPU类型、操作系统 等无关,从而可以保证数据在不同主机之间传输时可以被正确解释 3,4 标签lahel 用于唯一指定某个标识符的名称 符号和缩略语 下列符号和缩略语适用于本文件 BASE64将十六进制数据转换为可见字符的编码规则 CBC密码分组链接模式(CpherBlockChaiming)
GB/T33560一2017 CFB密文反馈模式(CiphertextFeedback) CRL证书吊销列表(CerifeateRevocationList DER识别名编码规则,为每一个AsN.1类型制定唯一的编码方案 ECB电码本模式(ElectronicCodeBook MAC消息认证码(MessageAuthentieationCode) OcSP在线证书状态协议(OnlineCertificateStatusProtocol) OFB输出反馈模式(OutputFeedback OID对象标识符(Objectldentifier) PEM隐私增强邮件标准规定的证书编码格式 PKI公钥基础设施(PublieKeylnfrastrueture) 5 标识的格式和编码 标识符为32位无符号整数类型,在密码服务接口或安全管理接口的实现或调用时直接作为整数类 型进行定义或处理 在跨平台传输时,为避免不同平台字节顺序差异带来的影响或错误,应将标识符按照高位字节存储 于低地址的网络字节顺序进行处理 商用密码领域中的对象标识符(OID)的定义见附录A 密码服务类标识 6. 概述 密码服务类标识定义了在密码服务设备或密码服务接口中涉及的密码算法、运算数据、密码协议等 项的表示短语和数据,该类数据标识在密码设备或密码服务接口的调用过程中使用,如数据加密、数字 签名、身份鉴别等应用场景 6.2算法标识 6.2.1分组密码算法标识 分组密码算法标识包含密码算法的类型以及分组算法的加密模式,在调用密码服务进行密码操作 或在获取密码设备的密码运算能力时使用 分组密码算法标识的编码规则为:从低位到高位,第0位到第7位按位表示分组密码算法工作模 式,第8位到第31位按位表示分组密码算法,例如 SGD_SM1_ECB;,000000000000000000000001000000010x00000101 SGD_SSF33_MAC:00000000000000000000001000010000(Ox00000210) 当多个分组密码算法同时存在时,可用“或”的形式表示 分组密码算法的标识如表1所示 表1分组密码算法的标识 标签 标识符 描述 sM1算法BCB加密模式 SGD_SM1_CB 0x00000101 SGDSM1_C SM1算法CHC加密模式 0x00000l02
GB/33560一2017 表1(续 标签 标识符 描述 SCGD_SM1_CFB 0x00000104 SM1算法CFB加密模式 S(GD_SM1_(OFB 0x00000108 SM算法OFB加密模式 M1算法MAC运算 SGD_SM1_MAC 0x00000110 SGD_ssF33_ECB ssF33算法cB加密模式 0x0000020 SGD_SSF33_CBC 0x00000202 ssF33算法CC加密模式 SGD_SSF33_CFB 0x00000204 ssF33算法CFB加密模式 SGD_SSF33_O)FB 0x00000208 SSF33算法OFB加密模式 SGD_SSF33_MAC 0x00000210 SSF33算法MAC运算 SG;D_SM4_ECB 0x00000401 SM4算法ECB加密模式 .CH 0x00000402 SGD_SM4_ SM4算法CBC加密模式 SGiDsM4_CFB 0x00000404 SM4 算法CFB加密模式 S(GD.SM4OFB SM4算法oFB加密模式 0x00000408 SGD_SM4_MAC 0x00000410 SM4算法MAC运算 0x00000801 ZUC祖冲之机密性算法128-EEA3算法 SCGD_UC_EEA3 SGD_UC_EIA3 0x00000802 ZUC祖冲之完整性算法128-EIA3算法 0x000010000x800000FF 为其他分组密码算法预留 为其他分组密码算法预留的标识符,预留的标签可自定义 6.2.2非对称密码算法标识 非对称密码算法标识仅定义了密码算法的类型,在使用非对称算法进行数字签名运算时,可将非对 withSHA_1”可表示为SGD 称密码算达标识符与密码杂凑算达标识符进行"或"运算后使用,如"RsA RSASGD_SHA1,即0x00010002,“|”表示“或”运算 非对称密码算法标识的编码规则为:从低位到高位,第0位到第7位为0,第8位到第15位按位表 示非对称密码算法的算法协议,如果所表示的非对称算法没有相应的算法协议则为0,第16位到第31 位按位表示非对称密码算法类型,例如 SGD_SM2_1:00000000000000100000001000000000(0x00020200) 当多个非对称密码算法同时存在时,可用“或”的形式表示 非对称密码算法的标识如表2所示 表2非对称密码算法的标识 标签 标识符 描述 SGD_RSA 0x00010000 RSA算法 0x00020100 SGD_SM2 SM2椭圆曲线密码算法 SGD_SM2_！ 0x00020200 SM2椭圆曲线签名算法 S(GD_SM2_2 0x00020400 SM2椭圆曲线密钥交换协议
GB/T33560一2017 表2(续 标识符 标签 描述 SGD_SM2_3 0x00020800 SM2椭圆曲线加密算法 SGD.SM9 0x00040100 sM9标识密码算法 SGD_SM9_l 0x00040200 SM9数字签名算法 SGD_SM9_2 0x00040400 SM9密钥交换协议 9密钥封装机制和公钥加密算法 S(GDSM93 SM9 0x00040800 为其他非对称密码算法预留 0x000800000x80000000" 为其他非对称密码算法预留的标识符,预留的标签可自定义 6.2.3密码杂凑算法标识 密码杂凑算法标识可以在进行杂凑运算或计算MAC时应用,也可以与非对称密码算法标识进行 “或”运算后使用,表示签名运算前对数据进行杂凑运算的算法类型 密码杂凑算法标识的编码规则为:从低位到高位,第0位到第7位表示密码杂凑算法,第8位到第 31位为0,例如: SGD_SM3:0000000000000000000000000oooo001(0x0000000 当多个密码杂凑算法同时存在时,可用“或”的形式表示 密码杂凑算法的标识如表3所示 表3密码杂凑算法的标识 标识符 标签 描述 sM3杂凑算法 SGD_SM3 0x00000001 S(GD_SHAl 0x00000002 SHA_1杂凑算法 SHA256 sHA_256杂凑算法 0x00000004 SGDS 为其他密码杂凑算法预留 0x00000008~0x000000FF 为其他密码杂凑算法预留的标识符,预留的标签可自定义 6.2.4签名算法标识 签名算法标识在进行数字签名时应用 签名算法标识的编码规则为:从低位到高位,第0位到第7位表示密码杂凑算法,第8位到第31位 表示非对称密码算法,例如 sG;D_SHA1_RSA:00000000000000o10000000000000010(0x00010002 签名算法的标识如表4所示
GB/33560一2017 表4签名算法的标识 标签 标识符 描述 sM3算法和RsA算法的签名 0x0001000 S(GD_SM3_RSA 基于 GDsHAL RSA 基于sHA1算法和RsA算法的签名 0x00010002 0x00010004 SGD_SHA256_RSA 基于SHA_256算法和RSA算法的签名 S(G;D_SM3_SM2 0x00020201 基于SM3算法和SM2算法的签名 SCGD_SM3_SM9 0x00040201 基于SM3算法和SM9算法的签名 0x00080000~0x800000FF" 为其他密码签名算法预留 为其他密码签名算法预留的标识符,预留的标签可自定义 6.3数据标识 6.3.1数据类型 数据类型定义了在PKI体系下各标准中用到的数据类型标签 数据类型标签的定义如表5所示 表5数据类型标签 标签 说明 8位,有符号字符 S(GD_CHAR SGD_INT8 位,有符号整数 8 s(GDINTl6 6位,有符号整数 S(GD_INT32 32位,有符号整数 SGD_INT64 64位,有符号整数 SGD_UCHAR 8位,无符号字符 SGD_UINT8 8位,无符号整数 SGD_UINT16 16位,无符号整数 :D_UNT32 位,无符号整数 32 SGD_UINT64 64位,无符号整数 32位,无符号整数,表示丽数返回值 S(GD_RV SG,D_OB 无符号指针类型,表示对象句柄 SGD_BOOL 32位,有符号整数,表示布尔型 6.3.2数据常量标识 数据常量标识定义了在PKI体系下各标准中用到的常量的标签及取值 数据常量标识的定义如表6所示
GB/T33560一2017 表6数据常量标识 标识符 标签 描述 SGD_TRUE 布尔值为真 0x00000001 (GD_FALSE 0x00000000 布尔值为假 6.3.3通用数据对象标识 在数据的存储或传输过程中,可能需要对某些数据的特殊性进行明确的标识,以保证目标系统能够 对接收数据进行正确的处理 通用数据标识的编码规则为;从低位到高位,第0位到第7位表示数据对象的属性,第8位为1,第 9位到第31位为0,例如: SGD_USER_DATA:00000000000000000000000100010111(Ox00000117) 通用数据对象标识的定义如表7所示 通用数据对象标识 标签 标识符 描述 SGD_KEY_INDEx 0x00000101 密钥索引 SGD_ECRET_KEY 0x00000102 对称密钥 SGD_PUBLIC_KEY_SIGN 0x00000103 签名公钥 SGD_PUBLIC_KEY_ENCRYPT 0x00000104 加密公钥 SGiD_PRIVATEKEY_SIGNN 0x00000105 签名私钥 PRVATEKEYENCRYP S(GD 0x00000l06 加密私钥 0x00000107 sGD_KEY_coMPONENT 密钥部件 S(GD_PASSwORD 0x00000108 口令 0x00000109 公钥证书 S(GD_PUBLIC_KEY_CERT SGD_ATTRIBUTE_CERT 0x0000010A 属性证书 SG;D_SIGNATURE_DATA 0x000001l1 数字签名 数字信封 SGD_ENVELOPEDATA 0x00000112 RANML sGD DATA 随机数 0x00000113 0x00000114 S(GDPLAIN_DATA 明文数据 s(GD_cIPHER_DATA 0x00000115 密文数据 SGD_DGEST_DATA 0x00000116 摘要数据 SGD_USER_DATA 0x00000117 用户数据 0x00000118~0x000001FF" 为其他数据对象预留 为其他数据对象预留的标识符,预留的标签可自定义 6.3.4证书解析项标识 在实现身份鉴别、授权管理、访问控制等安全机制时,需要解析证书项以获取公钥证书信息,在这种
GB/33560一2017 情况下需要通过标识符指定证书项内容 证书解析项标识的编码规则为;从低位到高位,第0位到第7位表示证书解析项的内容,第8位到 第31位为0,例如: sGD_EXT_KEYUSAGE_INFO,00000000000000000000000000o10o11Ox00000013 证书解析项标识的定义如表8所示 表8证书解析项标识 标签 标识符 描述 SGD_CER'T_VERSION 0x00000001 证书版本 SGD_CERT_SERIAL 0x00000002 证书序列号 GD.cERTIssUER 证书颁发者信息 0x00000005 SGiD_CERT_VAL.ID_TM 0x00000006 证书有效期 SGD_CERTsUBJECT 0x00000007 证书拥有者信息 SGD_CERT_DER_PUBLIC_KEY 0x00000008 证书公钥信息 S(GD_CERT_DER_EXTENSIONS 0x00000009 证书扩展项信息 颁发者密钥标识符 SGD_EXT_AUTHORITYKEYIDENTIFIER_INFO 0x0000001l 证书持有者密钥标识符 SG;D_EXT_SUBJECTKEYIDENTIFIER_INFO 0x00000012 sGDExT_KEYUsAGE_INFo 0x000000l3 密钥用途 S(GDEXTPRIVATEKEYUSAGEPERIODINFO 私钥有效期 0x000000l4 SGD_EXTCERTIFICATEPOLICIES_INFO 0x00000015 证书策略 0x00000016 SGD_EXT_POLICYMAPPINGs_INFO 策略映射 SGD_EXT_BASICCONSTRAINTS_INFO 0x00000017 基本限制 SGD_EXT_POLICYCONSTRAINTS_INFO 0x00000018 策略限制 SGD_EXT_EXTKEYUSAGE_INFO 0x00000019 扩展密钥用途 GDEXTCRLsTRBUrNroNTsINFO CRL发布点 0x0000001A 0x00000o1B NE:TscAPE_CERT_TYPE_INFo vetscape属性 SID SGD_EXT_SLFDEFIND_ExTENSIoN_INFo 0x0000001C 私有的自定义扩展项 S(GD_CERT_ISSUER_CN 0x00000021 证书颁发者通用名 0 SGD_CERT_ISSUER 0x00000022 证书颁发者组织 SGD_CERT_ISSUER_OU 0x00000023 证书颁发者组织机构 SG;D_CERT_sUBECT_CN 0x00000031 证书拥有者通用名 SGD _cERT_sUBUECT_o 0x00000032 证书拥有者组织 SGD .CERT_sUBECT_oU 0x00000033 证书拥有者组织机构 SGD.CERTSUBIECTEMAIL 证书拥有者电子信箱 0x00000034 SGD_CERT_NOTBEF(ORE_TIME 0x00000035 证书起始日期 SGD_CERT_NOTAF:TER_TIME 0x00000036 证书截至日期 0x00000080~0x000000FF 为其他证书解析项预留 为其他证书解析项预留的标识符,预留的标签可自定义
GB/T33560一2017 6.3.5时间戳信息项标识 在时间戳系统的实现及时间戳的应用过程中,需要解析时间戳信息,在这种情况下需要通过标识符 指定时间戳信息项的内容 时间戳信息项标识的编码规则为:从低位到高位,第0位到第7位表示时间戳信息项的内容,第8 位、第10位到第31位为0,第9位为1,例如 SGDSoURCE_OF_TIME:00000000000000000000001000000110(0x000002067 时间戳信息项标识的定义如表9所示 表9时间戳信息项标识 标签 标识符 描述 0x00000201 SGD_TME_OF_STAMP 签发时间 0x00000202 SGD_CN_OF_TSSGNER 签发者的通用名 SGD_ORRINGINA_DATA 0x00000203 时间戳请求的原始信息 SGD_CERT_OF_TSSERVER 0x00000204 时间戳服务器的证书 SGD_CERTCHAIN_OF_TSSERVER 0x00000205 时间戳服务器的证书链 sGDsoURCE_oF_TIME 时间源的来源 0x00000206 DTIME_PREsN 0x00000207 时间精度 0x00000208 SGD_REsPONsE_TYPE 响应方式 SGD_SUBECTCOUNTRY_OF_TSSGNER 0x00000209 签发者国家 GD_SUBJECT_ORGNIZATl(ON_O)F_TSSIGNER 0x0000020A 签发者组织 SGD_SUBJECT_CITY_OF_TSSIGNER 0x0000020B 签发者城市 SGD_SUBECT_EMAIL_OF_TSSIGNER 0x0000020C 签发者电子信箱 为其他时间戳信息项预留 0x00000280~0x000002FF" 为其他时间戳信息项预留的标识符,预留的标签可自定义 6.3.6 单点登录标识 在单点登录系统中,存在一些数据标识用于唯一的表示某一用户或某一服务提供者 单点登录标识项的编码规则为:从低位到高位,第0位到第7位表示单点登录标识项的内容,第8 位到第31位为0,例如 sGDsPID.0000000000000000000000oooo1(ox000000o) 单点登录标识的定义如表10所示 表10单点登录标识 标签 标识符 措述 SGD_SP_ID 0x00000001 服务提供者唯一标识数据 SGD_SP_USER_ID 0x00000002 服务提供者用户标识数据,在服务提供者内唯一 SGD_IDP_ID 0x00000003 身份鉴别提供者唯一标识数据 身份鉴别提供者用户标识数据,在身份鉴别提供者内唯 SGD_IDP_USER_ID 0x00000004
GB/33560一2017 6.3.7数据编码格式标识 数据在存储或传输时需要按照约定的格式进行编码,以保证不同应用或不同应用系统之间的互联 互通性 编码格式标识符需要与通用数据标识符或证书解析项标识符等进行“或”运算后使用,作为数 据的附加属性,表示数据对象符合指定编码格式 数据编码格式标识的编码规则为:从低位到高位,第0位到第23位为0,第24位到第31位表示数 据编码格式,例如 SGD_ENcODING_DER:00000001000000000000000000000000(0x01000000) 数据编码格式标识的定义如表11所示 表11数据编码格式标识 标识符 描述 标签 SGD_ENcoDING._RAw 无编码 0x00000000 SGDENCODINGDER 0x01000000 DER编码 SGD_ENCODING_BASE64 0x02000000 Base64编码 SGD_ENCODINGPEM 0x03000000 PEM编码 SGD_ENCODING_TXT 0x04000000 由'0'*9'、'A'‘F'等字符表示16进制数据的字符串 为自定义编码格式预留 0x80000000~0xFFo00000 为自定义编码格式预留的标识符,预留的标签可自定义 6.4协议标识 6.4.1接口描述标识 在安全应用系统中为区分密码服务提供者所采用的协议或规范,可以采用接口描述标识 接口描述标识使用32位无符号整数表示,其定义如表12所示 表12接口描述标识 标签 标识符 描述 s(GDPR(oT(ocoLcsP CryptographieServiceProvider接口 PRoTOcoL_PKcs1 SGD PKcs#1接口 SGD_PROT(OcOLSDSs 密码设备应用接口 SGD_PROTOCOLUKEY 智能IC卡及智能密码钥匙接口 CryptographieNextGeneration接口 SGD_PR0TOCOL_CNG SGD_PR0TOCOL_GCS 通用密码服务接口 6.4.2 证书验证模式标识 在验证证书的有效性时,除了检查证书的有效期,证书的签名是否有效外还应通过CRL或0(CSP 等方式检查证书是否被注销等异常状态 证书验证模式标识使用32位无符号整数表示,其定义如表13所示
GB/T33560一2017 表13证书验证模式标识 标签 标识符 描述 S(GD_CRLVERIFY CRL验证模式 sGD_OCSP_VERIFY 0CSP验证模式 安全管理类标识 7.1概述 安全管理类标识定义了在安全系统管理、设备管理中涉及的系统角色、安全操作等项的表示短语和 数据 该类数据标识在安全管理接口的调用过程中使用,或在安全系统或设备管理的日志信息采集、处 理过程中使用,也可应用于其他安全管理活动中 7.2角色管理标识 7.2.1角色标识 角色是在管理操作中的主体,是管理活动的实施者,在角色管理操作中也会作为被管理的对象 角色标识的编码规则为:从低位到高位,第0到第7位表示角色,第8位到第31位为0,例如: SGD_ROLE_OPERATOR:0000000000000000000000000o001o1(Ox00000005) 角色标识的定义如表14所示 表14角色标识 标识符 标签 描述 SGD_RoLE_sUPER_MANAGER 超级管理员 0x00000001 SGD_RoLE_MMANAGER 业务管理员 0x00000002 sGD_ROLE_AUDIT_MANAGER 0x00000003 审计管理员 SGDROLE_AUDITOR 0x00000004 审计操作员 SGD_ROLEOPERATOR 0x00000005 业务操作员 SGD_ROLE_USER 0x00000006 用户 0x00000081一0x000000FF 为自定义角色预留 为自定义角色预留的标识符,预留的标签可自定义 7.2.2角色操作标识 角色操作标识符包含角色自身的行为,如签人、签出、修改口令等操作,和对其他角色的管理行为 如创建角色、删除角色、修改角色、对角色授权等操作 角色操作标识的编码规则为:从低位到高位,第0位到第7位表示角色管理操作,第8位到第31位 为0,例如 sGD_OPERATION_SIGNIN:00000000000000000000000000000001(0x0000001 角色操作标识的定义如表15所示 10
GB/33560一2017 表15角色操作标识 标签 标识符 描述 S(GD_OPERATION_SIGNIN 0x00000001 签人 SGD_(OPERATION_SIGNOUT 0x00000002 签出 创建 0x00000003 SGD_OPERATON_CREATE sGD_oPERAToN_DELETE 删除 0x00000004 0x00000005 sSGD_oPERAToN_MoDIFY 修改 SGD_OPERATION_CHGPwD 修改口令 0x00000006 SGD_OPERATIONL_AUTHORIZATION 0x00000007 授权 7.2.3操作结果标识 操作结果标识符表示管理活动的结束状态,分别是成功和失败两种状态 操作结果标识的定义如表16所示 表16操作结果标识 标识符 描述 标签 SGD_oPERATON_sUUcCEss 成功 0x00000000 0x00000001一0xFFFFFFFF 失败.表示错误码 为错误码预留的标识符,预留的标签可自定义 7.3密钥管理标识 7.3.1密钥分类标识 密钥分类标识定义了密钥的属性信息,属于被管理的对象 密钥分类标识的编码规则为;从低位到高位,第0位到第7位表示密钥对象,第8位为1表示为密 钥管理类标识,第9位到第31位为0,例如 SGD_PRIKEY_PAsswD:0000000000000000000000010000010(Ox00000106) 密钥分类标识的定义如表17所示 表17密钥分类标识 标识符 描述 标签 SGD_MMAIN_KEY 0x00000101 主密钥 SGD_DEVICEKEYS 0x00000102 设备密钥 SGD_USER_KEYS 0x00000103 用户密钥 0x00000104 密钥加密密钥 SCGDKEK SGiD_SESSION_KEY 0x00000105 会话密钥 SGD_PRIKEY_PASSWD 0x00000106 私钥访问控制码 1
GB/T33560一2017 表17(续 标识符 标签 描述 SGD_COMPARTITION_KEY 0x00000107 分隔密钥 0x00000110~0x000001FF" 为自定义密钥类型预解 为自定义密钥类型预留的标识符,预留的标签可自定义 7.3.2密钥操作标识 密钥操作标识定义了对密钥的操作内容 密钥操作标识的编码规则为;从低位到高位,第0位到第7位表示密钥管理标识,第8位为1表示 为密钥管理类标识,第9位到第31位为0,例如: sGD_KEY_DESTROY;00000000000000000000000100001010(0x0000010A) 密钥操作标识的定义如表18所示 表18密钥操作标识 标签 标识符 描述 密钥生成 SGD_KEY_GENERATON 0x00000101 0x00000102 SGD_KEY_DsPENsE 密钥分发 SGD_KEY_IMPORT 0x00000103 密钥导人 SGD_KEY_ExPORT 密钥导出 0x00000l04 SGD_KEY_DIVIsIONN 0x00000105 密钥分割 sGD_KEY_coMPOsE 0x00000106 密钥合成 S(GD_KEY_RENEwAL 0x00000107 密钥更新 SGiD_KEY_BACKUP 0x00000108 密钥备份 SGD_KEY_RESTORE 0x00000109 密钥恢复 SGD_KEY_DESTROY 0x0000010A 密钥销毁 系统管理标识 系统管理标识定义了在对安全系统进行管理操作时的角色操作,对象、结果等项的表示短语和 数据 角色的定义和操作结果的定义见“角色管理标识”中的“角色标识”和“操作结果标识”部分 系统管理标识的编码规则为;从低位到高位,第0位到第7位表示系统管理操作,第8位、第10位 到第31位为0,第9位为1表示为系统或设备管理类标识,例如 sGD_sYSTEM_SHUT:00000000000000000000001000000011(0x00000203) 系统管理标识的定义如表19所示 12
GB/33560一2017 表19系统管理标识 标签 标识符 描述 系统安装及初始化操作 0x00000201 S(GD_SYSTEM_INIT SGD_sYSTEMSTART 启动系统 0x00000202 0x00000203 SGD_SYSTEM_SHUT 关闭系统 S(GD_SYSTEM_RESTART 0x00000204 重新启动系统 GD_SYSTEM_QUERY 0x00000205 状态查询 SGD_SYSTEM_BACKUP 0x00000206 数据备份 SGD_SYSTEM_RESTORE 0x00000207 数据恢复 7.5设备管理标识 7.5.1设备基本信息标识 设备基本信息标识可以在从密码设备中获取设备型号、设备编号等信息时指定 设备基本信息标识的编码规则为:从低位到高位,第0位到第7位表示设备信息标识,第8位、第 0位到第31位为0,第9位为1,表示为系统或设备管理类标识,例如 SGD_DEVICE_DESCRIPTION:00000000000000000000001000010001(O0x00000211 设备基本信息标识的定义如表20所示 表20设备基本信息标识 标签 标识符 描述 设备类别,如码机、 ,码卡和智能密码 SGD_DEVICE_SORT 0x00000201 终端等 sGD_DEvCE_TYPE 设备型号 0x00000202 SGD_DEVIcE_NAME: 0x00000203 设备名称 0x00000204 SGD_DEVICE_MANUFACTURER 生产厂商 SGD_DEVICE_HARDwARE_VERSION 0x00000205 硬件版本 SG;D_DEVICE_S(OFTWAREVERSION 0x00000206 软件版本 SGD_DEVICE_STANDARD_VERSION 0x00000207 符合标准版本 SGD_DEVICE_SERIALNUMBER 0x00000208 设备编号 设备能力字段,标识密码设备支持的非对 SGD_DEVICE_SUPPORT_ASYM_ALG 0x00000209 称密码算法 设备能力字段,标识密码设备支持的对称 S(GD_DEVICE_SUPPORT_SYMM_ALG; 0x0000020A 密码算法 设备能力字段,标识密码设备支持的杂凑 S(GD_DEVICE_SUPPORT_HASH_ALG 0x0000020B 密码算法 设备能力字段,标识密码设备最大文件存 SGD_DEVICESUPPORT_STORAGE_SPACE 0x0000020C 储空间 13
GB/T33560一2017 表20(续 标签 标识符 描述 设备能力字段,标识密码设备空闲文件存 SGD_DEVICE_SUPPORT_FREE_SPACE 0x0000020D 储空间 SGD_DEVCE_RUNTIME 0x0000020E 已运行时间 0x0000020F SGD_DEVICE_USED_TIMES 设备被调用次数 S(GD_DEVICE_L0CATO 0x00000210 设备物理位置 0x0000021 设备描述 (GD_DEVICEDESCRIPTION sGD_DEVICE_MANAGER_INFO 0x00000212 设备管理者描述信息 SGD_DEVICEMAX_DATA_SIZE 0x00000213 设备能力字段，一次能处理的数据容量 7.5.2设备类别标识 7.5.2.1设备类别标识格式 设备类别标识包括设备形态和设备功能等信息,由设备形态标识和设备功能标识通过“或”运算进 行组合 7.5.2.2设备形态标识 设备形态标识的编码规则为;从低位到高位,第0位到第23位为0,第24位到第31位表示密码设 备的形态,例如 SGD_DEVICE_SORT_S:00000010000000000000000000000000(Ox02000000 设备形态标识的定义如表21所示 表21设备形态标识 标签 标识符 描述 sGD_DEvCE_soRT_sy 通过网络提供服务的密码设备 0x02000000 SGD_DEVCE_soRT_sK 0x03000000 不支持热拔插功能的密码设备,如C密码卡 GDDEwEsORTSM 支持热拔插的智能密码钥匙或智能卡类密码设备 0x04000000 0x05000000~0xFF000000" 为其他设备形态预留 "为其他设备形态预留的标识符,预留的标签可自定义 7.5.2.3设备功能标识 设备功能标识的编码规则为;从低位到高位,第0位到第7位为0,第8位到第23位按位表示密码 设备的主要功能,第24位到第31位为0,例如 sGD_DEVICE_sOoRT_FE.00000000000000000000000100000000(0x00000100) 设备功能标识的定义如表22所示 14
GB/33560一2017 表22设备功能标识 标签 标识符 描述 SGD_DEVICE_SORT_FE 0x00000100 加解密类密码设备 数据鉴别类密码设备 SGD_DEVICE_S(ORT_FA 0x00000200 _DEVcE_soRT_FM 密钥管理类密码设备 SGD 0x00000400 为其他设备功能预留 0xO00008000x00800000” 为其他设备功能预留的标识符,预留的标签可自定义 7.5.3设备操作标识 对设备内角色的管理操作见“角色管理标识”部分 对设备内密钥的管理操作见“密钥管理标识”部分 对设备整体的管理操作见“系统管理标识”部分 7.5.4设备状态标识 设备状态标识,可以标识密码设备当前的工作状态 设备状态标识的编码规则为:从低位高位,第0位到第7位表示设备状态标识,第8位、第10位到 第31位为0,第9位为1,表示为系统或设备管理类标识,例如 sGD_STATUs_READY:00000000000000000000001000000010(0x00000202) 设备状态标识的定义如表23所示 表23设备状态标识 标签 标识符 描述 sGDSTATUsINIT 0x00000201 初始状态,码设备内没有安装密钥,不能提供服务 sGD_STATUs_READY 0x00000202 就绪状态,已经安装密钥,可以提供密码服务 SGD_STATUS_EXCEPTON 0x00000203 异常状态,已安装密钥,但不能正常提供密码服务 0x000002040x000002FF 为其他设备状态预留的标识符,预留的标签可自定义 7.5.5设备编号格式 设备编号与设备型号组合使用可唯一的标识某一密码设备 在设备型号相同的情况下,该设备编 号具有唯一性,不可重复 标签格式:××××××××-××X-X×××x(生产日期-批次号-流水号 生产日期,8位数字,表示该密码设备的生产日期,按从左到右的顺序,分别是年4位数字,月2位 数字,日2位数字,如20080229; 批次号,3位数字,表示同型号密码设备的生产批次,不足3位数字,则在左边用0填充至3位， 如:001; 流水号,5位数字,某一型号某一批次产品的流水编号,不足5位数字,则在左边用0填充至5位 如:00123. 15
GB/T33560一2017 设备编号的编码规则为;每4位表示设备编号的1个数字,从低位到高位,第0位到第19位表示流 水号,第20位到第31位表示批次号,第32位到第63位表示生产日期,例如 20080229-001-00123表示为:0x2008022900100123 16
GB/33560一2017 附 录 A 规范性附录) 商用密码领域中的相关oD定义 商用密码领域中的OID定义了各类对象的标识符,具体定义见表A.l 表A.1商用密码领域中的相关oID定义 对象标识符OID 对象标识符定义 备注 通用对象标识符 国际标准化组织成员标识 1.2.156 1.2.156.197 国家密码管理局 1.2.156.10197 国家密码行业标准化技术委员会 1.2.156.10197. 密码算法 分组密码算法对象标识符 1.2.156.10197.1.100 分组密码算法 SMl 1分组密码算法 1.2.156.10197.1.102 1.2.156.10197.1.103 sSF33分组密码算法 1.2.156.10197.1.104 SM4分组密码算法 序列密码算法对象标识符 1.2.156.10197.1.200 序列密码算法 1.2.156.10197.1.201 祖冲之序列密码算法 公钥密码算法对象标识符 公钥密码算法 1.2.156.1o197.l.300 1.2.156.1o197.1.301 SM2椭圆曲线公钥密码算法 1.2.156.1o197.1.301.1 sM2-1数字签名算法 1.2.156.10197.1.301.2 SM2-2密钥交换协议 1.2.156.10197.1.301.3 SM2-3公加密算法 1.2.156.10197.1.302 SM9标识密码算法 SM9-1数字签名算法 1.2.156.10197.1.302.1 sM9-2密钥交换协议 1.2.156.1o197.1.302.2 1.2.156.1o197.1.302.3 sM9-3密钥封装机制和公钥加密算法 杂凑算法对象标识符 1,2.156,.10197.1.400 杂凑算法 1.2.156.10197.1.401 SM3密码杂凑算法 1.2.156.10197.1.401.1 SM3密码杂凑算法,无密钥使用 1.2.156.10197.l.401.2 SM3密码杂凑算法,有密钥使用 17
GB/T33560一2017 表A.1(续) 对象标识符oD 对象标识符定义 备注 组合运算算法对象标识符 1.2.156.10197.1.500 组合运算机制 1.2.156.1o197.1.501 基于sM2算法和sM3算法的签名 1.2.156.10197.1.502 基于SM9算法和SM3算法的签名 l.2.156.10197.1.504 基于RSA算法和SM3算法的签名 CA代码对象标识符 1.2.156.10197.4.3 CA代码 标准体系对象标识符 1.2.156.1o197.6 标准体系 1.2.156.10197.6.1 基础类 1.2.156.10197.6.1.l 算法类 1.2.156.10197.6.1.1.l 《《祖冲之序列密码算法》 1.2.156.10197.6.l.l.2 《SM4分组密码算法》 《sM2椭圆曲线公钥密码算法 1.2.156.10197.6.1.l.3 1.2." 56.1o197.6.l.1.4 《SM3 密码杂凑算法 1.2.156.1o197.6.1.2 标识类 1.2.156.10197.6.1.2.1 《密码应用标识规范》 1.2.156.10197.6.1.3 工作模式 1.2.156.10197.6.1.4 安全机制 1.2.156.10197.6.1.4.1 《SM2密码使用规范 1.2.156.10197.6.l.4.2 《SM2加密签名消息语法规范》 1.2.156.10197.6.l.4.3 《SM9密码使用规范》 1.2.156.1o197.6.1.4. 《SM9加峦签名消息语法规范 1.2.156.1o197.6.2 设备类 1.2.156.10197.6.3 服务类 1.2.156.10197.6.4 基础设施 1.2.156.10197.6.5 检测类 1.2.156.10197.6.5.l 《随机性检测规范》 1.2.156.1o197.6.6 管理类 18
GB/33560一2017 考文 参 献 ttionofAbstractSyntaxNotationOne [1] X.208CCITT.RecommendationX.208:Speeifiea ASN.1).1988. [[2]RFC1421一PrivaeyEnhaneementforInternetElectronicMail;PartI.Mee eesageEneryption andAuthenticationProcedures.1993 [3]PKCS井1;RSAEneryptionStandard.Versionl.5,l993. -BaesedEnerypu ptionStandard.Version1.5,1993. [4]PKCS#5Password [3]PKcs井11.CryptographiecTokenlnterfhaceStandard.versionl.0.1995

了解信息安全技术密码应用标识规范GB/T33560-2017

随着互联网的发展，信息安全问题越来越引起人们的关注。在信息安全技术中，密码是最基础且重要的技术之一，其应用涉及到许多领域。为了规范密码的应用，我国制定了《信息安全技术密码应用标识规范GB/T33560-2017》（以下简称“规范”）。

一、规范概述

规范是国家密码管理局制定的行业标准，于2017年12月1日正式实施。该规范规定了密码标识的定义、分类、命名、编码等方面的要求，旨在保障密码标识的唯一性、标准化和互通性。

二、应用场景

规范适用于所有需要使用密码的领域，包括但不限于金融、电子商务、云计算、移动支付、智能家居等。通过规范的应用，可以提高密码标识的可靠性和安全性，减少因密码标识引起的风险。

三、标识要求

规范对密码标识的命名、编码、格式等方面做出了具体要求：

1. 命名要求：密码标识应当由行业代码、类别代码、组织/个人代码、版本号和产品代码等字段组成。
2. 编码要求：密码标识采用Base32编码，长度为26个字符。
3. 格式要求：密码标识应当按照一定的格式进行展示，具体格式详见规范。

四、标识使用

在实际应用中，密码标识主要用于以下方面：

• 身份认证：通过密码标识验证用户身份，确保系统安全。
• 数据加密：利用密码标识对敏感数据进行加密，保障数据安全。
• 数字签名：利用密码标识生成数字签名，保证文档的完整性和真实性。

总结

信息安全技术密码应用标识规范GB/T33560-2017的出台，为密码标识的应用提供了标准化和规范化的指导。在实际应用过程中，各行业应严格按照规范的要求进行密码标识的命名、编码和格式展示等方面的工作，提高密码标识的可靠性和安全性，保护用户隐私。

信息安全技术密码应用标识规范的相关资料

和信息安全技术密码应用标识规范类似的标准