数据加密标准概览系列之密码设备应用接口规范-GMT 0018-2012
密標委發布的行業標準有上百條,此系列可視為標準規范的學習摘要,我們將定期對密碼行業的一些關鍵標準進行功能概述。更權威更及時的標準信息,請在密標委或國密局網站查詢。
一、目標
密碼設備應用接口規范是公鑰密碼基礎設施應用體系框架下服務類密碼設備統一應用接口標準,通過該接口調用密碼設備,向上層提供基礎密碼服務。
服務類密碼設備的開發以及應用開發應遵循此接口規范。
二、設備接口
1、密碼設備服務層由密碼機、密碼卡、智能密碼終端等設備組成,通過密碼設備應用接口向通用密碼服務層提供基礎密碼服務。
基礎密碼服務包括密鑰生成、單一的密碼運算、文件管理等的服務。
密碼設備應用接口在公鑰密碼基礎設施應用技術體系中的位置:
2、設備管理類函數
A.?打開設備:SDF_OpenDevice
B.?關閉設備:SDF_CloseDevice
C.?創建會話:SDF_OpenSession
D.?關閉會話:SDF_CloseSession
E.?獲取設備信息:SDF_GetDeviceInfo
F.?產生隨機數:SDF_GenerateRandom
G.?獲取私鑰使用權限:SDF_GetPrivateKeyAccessRight
H.?釋放私鑰使用權限:SDF_ReleasePrivateKeyAccessRight
3、密鑰管理類函數
A.?導出RSA簽名公鑰:SDF_ExportSignPublicKey_RSA
B.?導出RSA加密公鑰:SDF_ExportEncPublicKey_RSA
C.?產生RSA非對稱密鑰對并輸出:SDF_GenerateKeyPair_RSA
D.?生成會話密鑰并用內部RSA公鑰加密輸出:SDF_GenerateKeyWithIPK_RSA
E.?生成會話密鑰并用外部RSA公鑰加密輸出:SDF_GenerateKeyWithEPK_RSA
F.?導入會話密鑰并用內部RSA私鑰解密:SDF_ImportKeyWithISK_RSA
G.?基于RSA算法的數字信封轉換:SDF_ExchangeDigitEnvelopeBaseOnRSA
H.?導出ECC簽名公鑰:SDF_ExportSignPublicKey_ECC
I.?導出ECC加密公鑰:SDF_ExportEncPublicKey_ECC
J.?產生ECC非對稱密鑰對并輸出:SDF_GenerateKeyPair_ECC
K.?生成會話密鑰并用內部ECC公鑰加密輸出:SDF_GenerateKeyWithIPK_ECC
L.?生成會話密鑰并用外部ECC公鑰加密輸出:SDF_GenerateKeyWithEPK_ECC
M.?導入會話密鑰并用內部ECC私鑰解密:SDF_ImportKeyWithISK_ECC
N.?生成密鑰協商參數并輸出:SDF_GenerateAgreementDataWithECC
O.?計算會話密鑰:SDF_GenerateKeyWithECC
P.?產生協商數據并計算會話密鑰:SDF_GenerateAgreementDataAndKeyWithECC
Q.?基于ECC算法的數字信封轉換:SDF_ExchangeDigitEnvelopeBaseOnECC
R.?生成會話密鑰并用密鑰加密密鑰加密輸出:SDF_GenerateKeyWithKEK
S.?導入會話密鑰并用密鑰加密密鑰解密:SDF_ImportKeyWithKEK
T.?導入明文會話密鑰:SDF_ImportKey
U.?銷毀會話密鑰:SDF_DestroyKey
4、非對稱算法運算類函數
●?外部公鑰RSA運算:SDF_ExternalPublicKeyOperation_RSA
●?外部私鑰RSA運算:SDF_ExternalPrivateKeyOperation_RSA
●?內部公鑰RSA運算:SDF_InternalPublicKeyOperation_RSA
●?內部私鑰RSA運算:SDF_InternalPrivateKeyOperation_RSA
●?外部密鑰ECC簽名:SDF_ExternalSign_ECC
●?外部密鑰ECC驗證:SDF_ExternalVerify_ECC
●?內部密鑰ECC簽名:SDF_InternalSign_ECC
●?內部密鑰ECC驗證:SDF_InternalVerify_ECC
●?外部密鑰ECC加密:SDF_ExternalEncrypt_ECC
●?外部密鑰ECC解密:SDF_ExternalDecrypt_ECC
5、對稱算法運算類函數
●?對稱加密:SDF_Encrypt
●?對稱解密:SDF_Decrypt
●?計算MAC:SDF_CalculateMAC
6、雜湊運算類函數
●?雜湊運算初始化:SDF_HashInit
●?多包雜湊運算:SDF_HashUpdate
●?雜湊運算結束:SDF_HashFinal
7、用戶文件操作類函數 A)?創建文件:SDF_CreateFile B)?讀取文件:SDF_ReadFile C)?寫文件:SDF_WriteFile D)?刪除文件:SDF_DeleteFile
三、密鑰分類及存儲
1、設備密鑰與用戶密鑰
設備密鑰只能在設備初始化時生成或安裝,用戶密鑰通過密碼設備管理工具生成或安裝。設備密鑰和用戶密鑰存放于密鑰存儲區,索引號從0開始檢索,每個索引號對應一個簽名密鑰對和一個加密密鑰對。索引號為0表示設備密鑰,從1開始表示用戶密鑰。
2、密鑰加密密鑰
密鑰加密密鑰通過密碼設備管理工具生成或安裝,密鑰長度為128位,存放于密鑰存儲區,使用索引號從1開始。
3、會話密鑰
會話密鑰使用設備接口函數生成或導入,會話密鑰使用句柄檢索。
四、安全要求
1、密鑰管理要求
1)?設備密鑰的使用不對應用系統開放;
2)?密鑰必須用安全的方法產生并存儲;
3)?在任何時間、任何情況下,除公鑰外的密鑰均不能以明文形式出現在密碼設備外;
4)?密碼設備內部存儲的密鑰應具備有效的密鑰保護機制,防止解剖、探測和非法讀取;
5)?密碼設備內部存儲的密鑰應具備權限控制機制,防止非法使用和導出。
2、密碼服務要求
1)?配用的密碼算法應得到國家密碼主管部門的批準;
2)?使用國家密碼主管部門認可的密碼算法芯片;
3)?本標準所列的所有接口函數均應能被應用系統任意調用。
3、設備狀態要求
1)?密碼設備應具有初始和就緒兩個狀態;
2)?未安裝設備密鑰的密碼設備應處于初始狀態,已安裝設備密鑰的密碼設備應處于就緒狀態;
3)?在初始狀態下,除可讀取設備信息、設備密鑰的生成或恢復操作外,不能執行任何操作,生成或恢
復設備密鑰后,密碼設備處于就緒狀態;
4)?在就緒狀態下,除設備密鑰的生成或恢復操作外,應能執行任何操作;
5)?在就緒狀態下進行的密鑰操作,設備操作員應經過密碼設備的認證。
4、其他安全要求
-
密碼設備內部存儲的私鑰的使用權限設置應由設備管理員完成,可采用口令字方式,口令字編碼長度
-
應不低于8個字符,同時口令字內容應為字符與數字的混合體。
-
密碼設備應有安全機制和措施,保證密鑰在生成、安裝、導入、存儲、備份、恢復及銷毀整個生存期間的安全,此安全機制可由設備廠商自行設計實現。
?
上海安當技術有限公司致力于開發身份認證、數據加密類產品,依托集中化、跨平臺的密鑰管理系統,專注于為金融、政府、企業等客戶提供更加安全,便捷的身份認證管理和數據加密解決方案。公司主要產品及服務簡稱為4S:身份認證服務平臺(Authentication Service Platform),密鑰管理平臺(Key Safe Platform),硬件加密機(Hardware Security Module),數據加密集成服務(Data Security Integration)。
?
?
總結
以上是生活随笔為你收集整理的数据加密标准概览系列之密码设备应用接口规范-GMT 0018-2012的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 产品持续优化的六个思考点
- 下一篇: 移动魔百盒CM201-1_CW_S905