智能IC卡及智能密码钥匙密码应用接口规范修订版 - 图文(2)

GBXX/T ××××-2009

引 言

基于PKI密码体制的客户端密码产品即智能IC卡、智能密码钥匙等，长期以来没有可遵循的技术标准和接口规范，为此，编制《智能IC卡及智能密码钥匙密码应用接口规范》很有必要。本规范统一规定了这类产品的密码应用接口，从设备管理、密码服务、文件管理、权限管理等方面进行了具体描述，对指导产品研制、使用和检测可起到积极作用。

5

GBXX/T ××××-2009

智能IC卡及智能密码钥匙密码应用接口规范

1

范围

本规范规定了基于PKI密码体系的智能IC卡及智能密码钥匙应用接口，给出了应用接口的函数、数据类型、参数的描述和定义。

本规范适用于智能IC卡及智能密码钥匙的研制和使用，也可用于指导智能IC卡及智能密码钥匙的检测。 2

规范性引用文件

下列文件中的条款通过本规范的引用而成为本规范的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本规范，然而，鼓励根据本规范达成协议的各方研究是否可使用这些的最新版本。凡是不注日期的引用文件，其最新版本适用于本规范。

GB/T XXXXX-200X 《信息技术 安全技术 密码术语》

GB/T XXXXX-200X 《数字证书认证系统密码及其相关安全技术规范》 3

术语和定义

以下术语和定义适用于本规范。 3.1

应用 application

包括容器、认证密钥和文件的一种结构，具备独立的权限管理。

3.2

容器 container

特指密钥容器，是一个用于存放非对称密钥对和会话密钥的逻辑对象。 3.3

设备 device

智能IC卡及智能密码钥匙的统称。

3.4

设备认证 device authentication

智能IC卡或智能密码钥匙对应用程序的认证。

3.5

设备标签 label

设备的别名，可以由用户进行设定并存储于设备内部。 3.6

消息鉴别码 message authentication code (MAC) 消息鉴别算法的输出。

3.7

管理员PIN Administrator PIN 管理员的密码。为ASCII字符串。 3.8

用户PIN User PIN

用户的个人密码。为ASCII字符串。 6

GBXX/T ××××-2009

3.9

智能IC卡 smart card

含CPU的IC卡，这里指能完成密码功能的IC卡。 3.10

智能密码钥匙smart token

能完成密码功能和安全存储的终端密码产品，一般采用USB接口。 4

缩略语

下列缩略语适用于本规范： API 应用编程接口（Application Programming Interface） PKI 公钥基础设施 (Public Key Infrastructure) PKCS#1 公钥密码使用标准系列规范中的第1部分，定义RSA公开密钥算法加密和签名机制

(the Public-Key Cryptography Standard Part 1)

PKCS#5 公钥密码使用标准系列规范中的第5部分，描述一种利用从口令派生出来的安全密

钥加密字符串的方法(the Public-Key Cryptography Standard Part 5)

PKCS#7 公钥密码使用标准系列规范中的第7部分，定义一种通用的消息语法(the

Public-Key Cryptography Standard Part 7)

PKCS#11 公钥密码使用标准系列规范中的第11部分，为执行密码函数的设备确定了一种程

序设计接口(API) (the Public-Key Cryptography Standard Part 11)

PIN 个人身份识别码(Personal Identification Number) MAC 消息鉴别码（Message Authentication Code） 5

结构模型

5.1 层次关系

智能IC卡及智能密码钥匙应用接口位于智能IC卡及智能密码钥匙应用程序与设备之间，如图1所示。

7

GBXX/T ××××-2009

智能IC卡及智能密码钥匙应用程序 智能IC卡及智能密码钥匙密码应用接口 智能IC卡及智能密码钥匙设备驱动 设备1设备2??设备n 图1接口在应用层次关系中的位置

5.2 设备的应用结构

一个设备中存在设备认证密钥和多个应用，应用之间相互独立。设备的逻辑结构如图2所示。

设备认证密钥 应用1 应用n

图2 设备逻辑结构

应用由管理员PIN、用户PIN、文件和容器组成，可以存在多个文件和多个容器。 每个应用维护各自的与管理员PIN和用户PIN相关的权限状态。 应用的逻辑结构如图3所示。

8

GBXX/T ××××-2009

管理员PIN加密公钥加密私钥签名公钥会话密钥1用户PIN文件1签名私钥容器1会话密钥n文件n加密公钥加密私钥签名公钥签名私钥容器n会话密钥1会话密钥n应用结构

图3 应用逻辑结构图

容器中存放加密密钥对、签名密钥对和会话密钥。其中加密密钥对用于保护会话密钥，签名密钥对用于数字签名和验证，会话密钥用于数据加解密和MAC运算。另外，在导入加密密钥对时，加密私钥也由签名密钥对保护。 6

数据类型定义

6.1 算法标识

6.1.1 分组密码算法标识

分组密码算法标识包含密码算法的类型以及分组算法的加密模式，在调用密码服务进行密码操作或在获取密码设备的密码运算能力时使用。

分组密码算法标识的编码规则为：从低位到高位，第0位到第7位按位表示分组密码算法工作模式，第8位到第31位按位表示分组密码算法，例如：

分组密码算法的标识如表1所示。

表 1（增加表名） 标签 SGD_SM1_ECB SGD_SM1_CBC SGD_SM1_CFB SGD_SM1_OFB

标识符 0x00000101 0x00000102 0x00000104 0x00000108 描述 SM1算法ECB加密模式 SM1算法CBC加密模式 SM1算法CFB加密模式 SM1算法OFB加密模式 9