GB/T 33560-2017 信息安全技术 密码应用标识规范

　　ICS 35 . 040 L 80

　　中 华 人 民 共 和 国 国 家 标 准

　　GB/T 33560—2017

　　信息安全技术 密码应用标识规范

　　Informationsecuritytechnology—

　　Cryptographicapplicationidentifiercriterionspecification

　　2017-05-12 发布 2017-12-01 实施

　　中华人民共和国国家质量监督检验检疫总局中 国 国 家 标 准 化 管 理 委 员 会

　　发

　　布

　　GB/T 33560—20 17

　　GB/T 33560—20 17

　　前 言

　　本标准按照 GB/T 1 . 1—2009 给出的规则起草。

　　本标准由国家密码管理局提出。

　　本标准由全国信息安全标准化技术委员会(SAC/TC 260)归口 。

　　本标准起草单位：山东得安信息技术有限公司、成都卫士通信息产业股份有限公司、无锡江南信息安全工程技术中心、兴唐通信科技股份有限公司、上海格尔软件股份有限公司、北京数字证书认证中心、万达信息股份有限公司、长春吉大正元信息技术股份有限公司、海泰方圆科技有限公司、上海数字证书认证中心。

　　本标准主要起草人：刘平、刘晓东、孔凡玉、李元正、徐强、柳增寿、李述胜、谭武征、李玉峰、李伟平、崔久强、周栋、郑海森。

　　GB/T 33560—20 17

　　引 言

　　在密码应用中，通常使用某一字段或短语来表示所使用的密码算法或数据实体等信息数据，如果不对这些标识的定义进行统一，则很难做到密码协议、密码接口间的互联互通。

　　本标准的目标是规范密码协议接口、管理等各方面使用的标识，以实现密码基础设施各组件间的兼容和统一，也能够有效的指导、帮助密码设备的研制和协议的实现，有利于管理部门实施有效的管理。

　　本标准中规定的标识不适用于无线通信、金融 IC卡应用。

　　本标准编制过程中得到了国家商用密码应用技术体系总体工作组的指导。

　　GB/T 33560—20 17

　　信息安全技术 密码应用标识规范

　　1 范围

　　本标准定义了密码应用中所使用的标识，用于规范算法标识、密钥标识、设备标识、数据标识、协议标识、角色标识等的表示和使用。

　　本标准适用于指导密码设备、密码系统的研制和使用过程中，对标识进行规范化的使用，也可用于指导其他相关标准或协议的编制中对标识的使用。

　　本标准仅适用于 PKI体系。

　　2 规范性引用文件

　　下列文件对于本文件的应用是必不可少的。 凡是注 日期的引用文件，仅注 日期的版本适用于本文件 。凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。

　　GM/Z 0001—2013 密码术语

　　3 术语和定义

　　GM/Z 0001—2013 界定的以及下列术语和定义适用于本文件。

　　3.1

　　标识符 identifier

　　一个 32 位整数，用于标识在密码服务或密码管理中涉及的密码算法、密码协议等。

　　3.2

　　公钥证书 publickeycertificate

　　确立拥有公钥的实体的身份的数字证书(数字身份证)。该证书是由第三方可信机构签名颁发的，证明主体公钥和主体标识信息之间绑定关系的有效性。 通常，证书含有与主体有关的不可伪造的公开密钥信息。

　　3.3

　　网络字节顺序 networkbyteorder

　　采用 Big-endian排序方式规定好的一种数据表示格式。 该排序方式与具体的 CPU类型、操作系统等无关，从而可以保证数据在不同主机之间传输时可以被正确解释。

　　3.4

　　标签 label

　　用于唯一指定某个标识符的名称。

　　4 符号和缩略语

　　下列符号和缩略语适用于本文件。

　　BASE64 将十六进制数据转换为可见字符的编码规则

　　CBC 密码分组链接模式(Cipher Block Chaining)

　　GB/T 33560—20 17

　　CFB 密文反馈模式(Ciphertext Feedback)

　　CRL 证书吊销列表(Certificate Revocation List)

　　DER 识别名编码规则，为每一个 ASN . 1 类型制定唯一的编码方案

　　ECB 电码本模式(Electronic Code Book)

　　MAC 消息认证码(Message Authentication Code)

　　OCSP 在线证书状态协议(Online Certificate Status Protocol)

　　OFB 输出反馈模式(Output Feedback)

　　OID 对象标识符(Object Identifier)

　　PEM 隐私增强邮件标准规定的证书编码格式

　　PKI 公钥基础设施(Public Key Infrastructure)

　　5 标识的格式和编码

　　标识符为 32 位无符号整数类型，在密码服务接口或安全管理接口的实现或调用时直接作为整数类型进行定义或处理。

　　在跨平台传输时，为避免不同平台字节顺序差异带来的影响或错误，应将标识符按照高位字节存储于低地址的网络字节顺序进行处理。

　　商用密码领域中的对象标识符(OID)的定义见附录 A。

　　6 密码服务类标识

　　6 . 1 概述

　　密码服务类标识定义了在密码服务设备或密码服务接口中涉及的密码算法、运算数据、密码协议等项的表示短语和数据，该类数据标识在密码设备或密码服务接口的调用过程中使用，如数据加密、数字签名、身份鉴别等应用场景。

　　6 . 2 算法标识

　　6 . 2 . 1 分组密码算法标识

　　分组密码算法标识包含密码算法的类型以及分组算法的加密模式，在调用密码服务进行密码操作或在获取密码设备的密码运算能力时使用。

　　分组密码算法标识的编码规则为：从低位到高位，第 0 位到第 7 位按位表示分组密码算法工作模式，第 8 位到第 31 位按位表示分组密码算法，例如：

　　SGD_SM1_ECB : 0000 0000 0000 0000 0000 0001 0000 0001 ( 0x 00 00 01 01)

　　SGD_SSF33_MAC : 0000 0000 0000 0000 0000 0010 0001 0000 ( 0x 00 00 02 10)

　　当多个分组密码算法同时存在时，可用“或”的形式表示。

　　分组密码算法的标识如表 1 所示。

　　表 1 分组密码算法的标识

　　GB/T 33560—20 17

　　表 1(续)

　　6 . 2 . 2 非对称密码算法标识

　　非对称密码算法标识仅定义了密码算法的类型，在使用非对称算法进行数字签名运算时，可将非对

　　称密码算法标识符与密码杂凑算法标识符进行“或”运算后使用，如“RSA with SHA_1”可表示为 SGD_ RSA | SGD_SHA1,即 0x00010002,“|”表示“或”运算。

　　非对称密码算法标识的编码规则为：从低位到高位，第 0 位到第 7 位为 0,第 8 位到第 15 位按位表示非对称密码算法的算法协议，如果所表示的非对称算法没有相应的算法协议则为 0,第 16 位到第 31位按位表示非对称密码算法类型，例如：

　　SGD_SM2_1 : 0000 0000 0000 0010 0000 0010 0000 0000 ( 0x 00 02 02 00)

　　当多个非对称密码算法同时存在时，可用“或”的形式表示。

　　非对称密码算法的标识如表 2 所示。

　　表 2 非对称密码算法的标识

　　GB/T 33560—20 17

　　表 2(续)

　　6 . 2 . 3 密码杂凑算法标识

　　密码杂凑算法标识可以在进行杂凑运算或计算 MAC 时应用，也可以与非对称密码算法标识进行“或”运算后使用，表示签名运算前对数据进行杂凑运算的算法类型。

　　密码杂凑算法标识的编码规则为：从低位到高位，第 0 位到第 7 位表示密码杂凑算法，第 8 位到第31 位为 0,例如：

　　SGD_SM3 : 0000 0000 0000 0000 0000 0000 0000 0001 ( 0x 00 00 00 01 )

　　当多个密码杂凑算法同时存在时，可用“或”的形式表示。

　　密码杂凑算法的标识如表 3 所示。

　　表 3 密码杂凑算法的标识

　　6 . 2 . 4 签名算法标识

　　签名算法标识在进行数字签名时应用。

　　签名算法标识的编码规则为：从低位到高位，第 0 位到第 7 位表示密码杂凑算法，第 8 位到第 31 位表示非对称密码算法，例如：

　　SGD_SHA1_RSA : 0000 0000 0000 0001 0000 0000 0000 0010 ( 0x 00 01 00 02 )

　　签名算法的标识如表 4 所示。

　　GB/T 33560—20 17

　　表 4 签名算法的标识

　　6 . 3 数据标识

　　6 . 3 . 1 数据类型

　　数据类型定义了在 PKI体系下各标准中用到的数据类型标签。数据类型标签的定义如表 5 所示。

　　表 5 数据类型标签

　　6 . 3 . 2 数据常量标识

　　数据常量标识定义了在 PKI体系下各标准中用到的常量的标签及取值。数据常量标识的定义如表 6 所示。

　　GB/T 33560—20 17

　　表 6 数据常量标识

　　6 . 3 . 3 通用数据对象标识

　　在数据的存储或传输过程中，可能需要对某些数据的特殊性进行明确的标识，以保证目标系统能够对接收数据进行正确的处理。

　　通用数据标识的编码规则为：从低位到高位，第 0 位到第 7 位表示数据对象的属性，第 8 位为 1,第9 位到第 31 位为 0,例如：

　　SGD_USER_DATA : 0000 0000 0000 0000 0000 0001 0001 0111 ( 0x 00 00 01 17)

　　通用数据对象标识的定义如表 7 所示。

　　表 7 通用数据对象标识

　　6 . 3 . 4 证书解析项标识

　　在实现身份鉴别、授权管理、访问控制等安全机制时，需要解析证书项以获取公钥证书信息，在这种

　　GB/T 33560—20 17

　　情况下需要通过标识符指定证书项内容。

　　证书解析项标识的编码规则为：从低位到高位，第 0 位到第 7 位表示证书解析项的内容，第 8 位到第 31 位为 0,例如：

　　SGD_EXT_KEYUSAGE_INFO : 0000 0000 0000 0000 0000 0000 0001 0011 ( 0x 00 00 00 13)证书解析项标识的定义如表 8 所示。

　　表 8 证书解析项标识

　　GB/T 33560—20 17

　　6 . 3 . 5 时间戳信息项标识

　　在时间戳系统的实现及时间戳的应用过程中，需要解析时间戳信息，在这种情况下需要通过标识符指定时间戳信息项的内容。

　　时间戳信息项标识的编码规则为：从低位到高位，第 0 位到第 7 位表示时间戳信息项的内容，第 8位、第 10 位到第 31 位为 0,第 9 位为 1,例如：

　　SGD_SOURCE_OF_TIME : 0000 0000 0000 0000 0000 0010 0000 0110 ( 0x 00 00 02 06)

　　时间戳信息项标识的定义如表 9 所示。

　　表 9 时间戳信息项标识

　　6 . 3 . 6 单点登录标识

　　在单点登录系统中，存在一些数据标识用于唯一的表示某一用户或某一服务提供者。

　　单点登录标识项的编码规则为：从低位到高位，第 0 位到第 7 位表示单点登录标识项的内容，第 8位到第 31 位为 0,例如：

　　SGD_SP_ID : 0000 0000 0000 0000 0000 0000 0000 0001 ( 0x 00 00 00 01 )

　　单点登录标识的定义如表 10 所示。

　　表 10 单点登录标识

　　GB/T 33560—20 17

　　6 . 3 . 7 数据编码格式标识

　　数据在存储或传输时需要按照约定的格式进行编码，以保证不同应用或不同应用系统之间的互联互通性。 编码格式标识符需要与通用数据标识符或证书解析项标识符等进行“或”运算后使用，作为数据的附加属性，表示数据对象符合指定编码格式。

　　数据编码格式标识的编码规则为：从低位到高位，第 0 位到第 23 位为 0,第 24 位到第 31 位表示数据编码格式，例如：

　　SGD_ENCODING_DER : 0000 0001 0000 0000 0000 0000 0000 0000 ( 0x 01 00 00 00)

　　数据编码格式标识的定义如表 11 所示。

　　表 1 1 数据编码格式标识

　　6 . 4 协议标识

　　6 . 4 . 1 接口描述标识

　　在安全应用系统中为区分密码服务提供者所采用的协议或规范，可以采用接口描述标识。接口描述标识使用 32 位无符号整数表示，其定义如表 12 所示。

　　表 12 接口描述标识

　　6 . 4 . 2 证书验证模式标识

　　在验证证书的有效性时，除了检查证书的有效期、证书的签名是否有效外，还应通过 CRL 或 OCSP等方式检查证书是否被注销等异常状态。

　　证书验证模式标识使用 32 位无符号整数表示，其定义如表 13 所示。

　　GB/T 33560—20 17

　　表 13 证书验证模式标识

　　7 安全管理类标识

　　7 . 1 概述

　　安全管理类标识定义了在安全系统管理、设备管理中涉及的系统角色、安全操作等项的表示短语和数据。 该类数据标识在安全管理接口的调用过程中使用，或在安全系统或设备管理的 日志信息采集、处理过程中使用，也可应用于其他安全管理活动中。

　　7 . 2 角色管理标识

　　7 . 2 . 1 角色标识

　　角色是在管理操作中的主体，是管理活动的实施者，在角色管理操作中也会作为被管理的对象。

　　角色标识的编码规则为：从低位到高位，第 0 到第 7 位表示角色，第 8 位到第 31 位为 0,例如： SGD_ROLE_OPERATOR : 0000 0000 0000 0000 0000 0000 0000 0101 ( 0x 00 00 00 05 )

　　角色标识的定义如表 14 所示。

　　表 14 角色标识

　　7 . 2 . 2 角色操作标识

　　角色操作标识符包含角色自身的行为，如签入、签出、修改口令等操作，和对其他角色的管理行为，如创建角色、删除角色、修改角色、对角色授权等操作。

　　角色操作标识的编码规则为：从低位到高位，第 0 位到第 7 位表示角色管理操作，第 8 位到第 31 位为 0,例如：

　　SGD_OPERATION_SIGNIN : 0000 0000 0000 0000 0000 0000 0000 0001 ( 0x 00 00 00 01 )角色操作标识的定义如表 15 所示。

　　GB/T 33560—20 17

　　表 15 角色操作标识

　　7 . 2 . 3 操作结果标识

　　操作结果标识符表示管理活动的结束状态，分别是成功和失败两种状态。操作结果标识的定义如表 16 所示。

　　表 16 操作结果标识

　　7 . 3 密钥管理标识

　　7 . 3 . 1 密钥分类标识

　　密钥分类标识定义了密钥的属性信息，属于被管理的对象。

　　密钥分类标识的编码规则为：从低位到高位，第 0 位到第 7 位表示密钥对象，第 8 位为 1 表示为密钥管理类标识，第 9 位到第 31 位为 0,例如：

　　SGD_PRIKEY_PASSWD : 0000 0000 0000 0000 0000 0001 0000 0110 ( 0x 00 00 01 06)

　　密钥分类标识的定义如表 17 所示。

　　表 17 密钥分类标识

　　GB/T 33560—20 17

　　表 17(续)

　　7 . 3 . 2 密钥操作标识

　　密钥操作标识定义了对密钥的操作内容。

　　密钥操作标识的编码规则为：从低位到高位，第 0 位到第 7 位表示密钥管理标识，第 8 位为 1 表示为密钥管理类标识，第 9 位到第 31 位为 0,例如：

　　SGD_KEY_DESTROY : 0000 0000 0000 0000 0000 0001 0000 1010 ( 0x 00 00 01 0A)

　　密钥操作标识的定义如表 18 所示。

　　表 18 密钥操作标识

　　7 . 4 系统管理标识

　　系统管理标识定义了在对安全系统进行管理操作时的角色、操作、对象、结果等项的表示短语和数据。

　　角色的定义和操作结果的定义见“角色管理标识”中的“角色标识”和“操作结果标识”部分。

　　系统管理标识的编码规则为：从低位到高位，第 0 位到第 7 位表示系统管理操作，第 8 位、第 10 位到第 31 位为 0,第 9 位为 1 表示为系统或设备管理类标识，例如：

　　SGD_SYSTEM_SHUT : 0000 0000 0000 0000 0000 0010 0000 0011 ( 0x 00 00 02 03)

　　系统管理标识的定义如表 19 所示。

　　GB/T 33560—20 17

　　表 19 系统管理标识

　　7 . 5 设备管理标识

　　7 . 5 . 1 设备基本信息标识

　　设备基本信息标识可以在从密码设备中获取设备型号、设备编号等信息时指定。

　　设备基本信息标识的编码规则为：从低位到高位，第 0 位到第 7 位表示设备信息标识，第 8 位、第10 位到第 31 位为 0,第 9 位为 1,表示为系统或设备管理类标识，例如：

　　SGD_DEVICE_DESCRIPTION : 0000 0000 0000 0000 0000 0010 0001 0001 ( 0x 00 00 02 11 )设备基本信息标识的定义如表 20 所示。

　　表 20 设备基本信息标识

　　GB/T 33560—20 17

　　表 20(续)

　　7 . 5 . 2 设备类别标识

　　7 . 5 . 2 . 1 设备类别标识格式

　　设备类别标识包括设备形态和设备功能等信息，由设备形态标识和设备功能标识通过“或”运算进行组合。

　　7 . 5 . 2 . 2 设备形态标识

　　设备形态标识的编码规则为：从低位到高位，第 0 位到第 23 位为 0,第 24 位到第 31 位表示密码设备的形态，例如：

　　SGD_DEVICE_SORT_SJ : 0000 0010 0000 0000 0000 0000 0000 0000 ( 0x 02 00 00 00)

　　设备形态标识的定义如表 21 所示。

　　表 2 1 设备形态标识

　　7 . 5 . 2 . 3 设备功能标识

　　设备功能标识的编码规则为：从低位到高位，第 0 位到第 7 位为 0,第 8 位到第 23 位按位表示密码设备的主要功能，第 24 位到第 31 位为 0,例如：

　　SGD_DEVICE_SORT_FE : 0000 0000 0000 0000 0000 0001 0000 0000 ( 0x 00 00 01 00)

　　设备功能标识的定义如表 22 所示。

　　GB/T 33560—20 17

　　表 22 设备功能标识

　　7 . 5 . 3 设备操作标识

　　对设备内角色的管理操作见“角色管理标识”部分。

　　对设备内密钥的管理操作见“密钥管理标识”部分。

　　对设备整体的管理操作见“系统管理标识”部分。

　　7 . 5 . 4 设备状态标识

　　设备状态标识，可以标识密码设备当前的工作状态。

　　设备状态标识的编码规则为：从低位高位，第 0 位到第 7 位表示设备状态标识，第 8 位、第 10 位到第 31 位为 0,第 9 位为 1,表示为系统或设备管理类标识，例如：

　　SGD_STATUS_READY : 0000 0000 0000 0000 0000 0010 0000 0010 ( 0x 00 00 02 02)

　　设备状态标识的定义如表 23 所示。

　　表 23 设备状态标识

　　7 . 5 . 5 设备编号格式

　　设备编号与设备型号组合使用可唯一的标识某一密码设备。 在设备型号相同的情况下，该设备编号具有唯一性，不可重复。

　　标签格式：× × × × × × × ×-× × ×-× × × × ×(生产日期-批次号-流水号)

　　生产日期，8 位数字，表示该密码设备的生产 日期，按从左到右的顺序，分别是年 4 位数字，月 2 位数字，日 2 位数字，如 20080229 ;

　　批次号，3 位数字，表示同型号密码设备的生产批次，不足 3 位数字，则在左边用 0 填充至 3 位，如：001 ;

　　流水号，5 位数字，某一型号某一批次产品的流水编号，不足 5 位数字，则在左边用 0 填充至 5 位，如：00123 。

　　GB/T 33560—20 17

　　设备编号的编码规则为：每 4 位表示设备编号的 1 个数字，从低位到高位，第 0 位到第 19 位表示流水号，第 20 位到第 31 位表示批次号，第 32 位到第 63 位表示生产日期，例如：

　　20080229-001-00123 表示为：0x 20 08 02 29 00 10 01 23

　　GB/T 33560—20 17

　　附 录 A

　　(规范性附录)

　　商用密码领域中的相关 OID定义

　　商用密码领域中的 OID定义了各类对象的标识符，具体定义见表 A. 1 。

　　表 A.1 商用密码领域中的相关 OID定义

　　GB/T 33560—20 17

　　表 A.1(续)

　　GB/T 33560—20 17

　　参 考 文 献

　　[1] X. 208 CCITT. Recommendation X. 208 : Specification of Abstract Syntax Notation One (ASN . 1) . 1988 .

　　[2] RFC 1421—Privacy Enhancement for Internet Electronic Mail : Part I : Message Encryption and Authentication Procedures. 1993 .

　　[3] PKCS # 1 : RSA Encryption Standard.Version 1.5 , 1993.

　　[4] PKCS # 5 : Password—Based Encryption Standard.Version 1.5 , 1993.

　　[5] PKCS # 11 : Cryptographic Token Interface Standard.Version 1.0 , 1995.