数字证书介质接口及使用规范.doc

数字证书介质接口及使用规范 范围 本规范描述了国家公共资源交易服务平台支持的数字证书介质的各项要求，包括对安全机制、软件要求、硬件指标等要求，用于指导电子认证服务机构在国家公共资源交易服务平台内进行数字证书介质的定制和选型。本标准遵循GM/T 0027-2014 《智能密码钥匙技术规范》和GM/T 0016-2012 《智能密码钥匙密码应用接口规范》。 安全机制 密钥管理 数字证书介质的密钥空间必须能够至少保存2对RSA密钥对，2对SM2密钥对和2个对称密钥（包含1个设备认证密钥和1个会话密钥的空间）。所有密钥必须安全存储。签名私钥必须在数字证书介质内生成，且不能以任何形式导出。加密私钥以密文方式导入，且不能以任何形式导出，对称密钥不能以明文倒出。 数字证书介质中数字证书的安装注册、反注册要求 数字证书介质驱动程序安装后，数字证书为RSA算法时，要求介质插入到电脑后，介质内的数字证书自动注册到操作系统的证书存储区，介质从电脑拔出后，介质内的数字证书自动从证书存储区删除。数字证书为SM2算法时无此要求。 数字证书介质的扩展区要求 数字证书介质内可创建用户私有文件区，对私有文件区操作时，用户应输入介质口令进行验证，扩展区的空间大小不小于64K 软件要求 数字证书介质接口要求 介质接口及数据类型必须遵循国家密码管理局《智能密码钥匙密码应用接口规范》的要求，提供设备管理、访问控制、文件管理和密码服务等相关服务接口。介质有应用、容器，应用中可有多个容器，容器中可有多个私钥和证书。介质初始化后，无应用，无容器。 设备管理接口 设备管理主要完成介质的插拔事件处理、枚举设备、连接设备、断开连接、获取设备状态、设置设备标签，锁定设备、解锁设备和设备命令传输等操作。设备管理接口函数如下表所示： 函数名称功能SKF_WaitForDevEvent等待设备插拔事件SKF_CancelWaitForDevEvent取消等待设备插拔事件SKF_EnumDev枚举设备SKF_ConnectDev连接设备SKF_DisconnectDev断开设备SKF_GetDevState获取设备状态SKF_SetLabel设置设备标签SKF_GetDevInfo获取设备信息SKF_LockDev锁定设备SKF_UnlockDev解锁设备SKF_Transmit设备命令传输 访问控制接口 访问控制主要完成设备认证、PIN码管理和安全状态管理等操作。访问控制接口函数如下表所示： 函数名称功能SKF_ChangeDevAuthKey修改设备认证密钥SKF_DevAuth设备认证SKF_ChangePIN修改PINSKF_GetPINInfo获得PIN码信息SKF_VerifyPIN校验PINSKF_UnblockPIN解锁PINSKF_ClearSecueState清除应用安全状态 应用管理接口 应用管理主要完成应用的创建、枚举、删除、打开和关闭等操作。应用管理接口函数如下表所示： 函数名称功能SKF_CreateApplication创建应用SKF_EnumApplication枚举应用SKF_DeleteApplication删除应用SKF_OpenApplication打开应用SKF_CloseApplication关闭应用 文件管理接口 文件管理接口函数用以满足用户扩展开发（如签章）的需要，包括创建文件、删除文件、枚举文件、获取文件信息、文件读写操作。文件管理接口函数下表所示： 函数名称功能SKF_CreateFile创建文件SKF_DeleteFile删除文件SKF_EnumFiles枚举文件SKF_GetFileInfo获取文件信息SKF_ReadFile读文件SKF_WriteFile写文件 容器管理接口 容器管理接口函数用于创建、删除、枚举、打开和关闭容器。容器管理接口函数如下： 函数名称功能SKF_CreateContainer创建容器SKF_DeleteContainer删除容器SKF_EnumContainer枚举容器SKF_OpenContainer打开容器SKF_CloseContainer关闭容器SKF_GetContainerType获得容器类型SKF_ImportCertificate导入数字证书SKF_ExportCertificate导出数字证书 密码服务接口 密码服务接口函数提供对称算法运算、非对称算法运算、密码杂凑算法运算、密钥管理、消息鉴别码计算等功能，密码服务接口函数如下表所示： 函