《信息安全技術(shù) 智能密碼鑰匙應(yīng)用接口規(guī)范》編制說明

一、任務(wù)來源

在2015年6月2日會(huì)議上，經(jīng)過商用密碼基礎(chǔ)設(shè)施專項(xiàng)工作組討論并一致同意，編制

《智能密碼鑰匙密碼應(yīng)用接口規(guī)范》。本規(guī)范編制工作由北京海泰方圓科技有限公司牽頭；

由北京握奇智能科技有限公司、北京大明五洲科技有限公司、恒寶股份有限公司、深圳市明

華澳漢科技股份有限公司、武漢天喻信息產(chǎn)業(yè)股份有限公司、北京飛天誠(chéng)信科技有限公司、

華翔騰數(shù)碼科技有限公司等單位共同參與，組成了聯(lián)合編制工作組，開展對(duì)規(guī)范的編寫工作。

二、編制原則

《智能密碼鑰匙應(yīng)用接口規(guī)范》的編制原則是：

a)安全性：

接口應(yīng)遵循國(guó)家現(xiàn)有密碼政策，使用國(guó)家規(guī)定的密碼算法（SM2/SM3/SM4），采用安

全的密碼使用模式和流程，保障智能卡和智能密碼鑰匙按照規(guī)范實(shí)現(xiàn)后的安全性。

b)實(shí)用性：

滿足應(yīng)用需求，要從應(yīng)用方便性、實(shí)用性考慮接口的形態(tài)、內(nèi)容、集成方式等，能夠?yàn)?/p>

應(yīng)用系統(tǒng)實(shí)現(xiàn)訪問智能卡和智能密碼鑰匙的提供簡(jiǎn)潔易用的接口。

c)統(tǒng)一性：

本規(guī)范要與已有的公鑰密碼基礎(chǔ)設(shè)施應(yīng)用技術(shù)體系系列規(guī)范融為一體，形成統(tǒng)一的風(fēng)格

和互為補(bǔ)充、融為一體的內(nèi)容。

d)通用性：

本規(guī)范立足于當(dāng)前國(guó)內(nèi)PKI應(yīng)用的實(shí)際狀況，在關(guān)鍵數(shù)據(jù)結(jié)構(gòu)和接口函數(shù)等方面，在

保障安全性的前提下，均采用國(guó)內(nèi)通行做法。

三、主要工作過程

(一)標(biāo)準(zhǔn)修訂的主要工作過程如下：

1)2012年11月，國(guó)家密碼管理局基礎(chǔ)設(shè)施工作組發(fā)布《智能密碼鑰匙應(yīng)用接口規(guī)范》

行業(yè)標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)在PKI基礎(chǔ)設(shè)施的框架內(nèi)統(tǒng)一定義了智能密碼鑰匙的使用和管

理接口，為智能密碼鑰匙廠商和中間件廠商之間產(chǎn)品的互操作性定義了統(tǒng)一的訪問

接口。此前，組成多家商業(yè)密碼企業(yè)完成了該訪問接口的驗(yàn)證工作。

2)2015年6月，WG3本規(guī)范編寫工作組正式成立并召開了第一次會(huì)議。在該次會(huì)

議上，討論了我國(guó)智能密碼鑰匙的應(yīng)用現(xiàn)狀、存在的問題和發(fā)展需求，提出了規(guī)范

的總體思路和基本原則。對(duì)規(guī)范編制工作進(jìn)行了任務(wù)劃分，制定了工作計(jì)劃并做了

具體分工。通過規(guī)范接口定義，實(shí)現(xiàn)不同廠家，不同應(yīng)用之間的互聯(lián)互通。明確了

引入了應(yīng)用和容器的概念，便于實(shí)現(xiàn)設(shè)備的密碼服務(wù)中間件；明確了支持基于SM2

算法的雙證書機(jī)制，便于國(guó)家自主知識(shí)產(chǎn)權(quán)算法的推廣；明確了規(guī)范了服務(wù)接口，

又規(guī)范了管理接口；明確了遵循密鑰的默認(rèn)使用原則，根據(jù)命令的類型自動(dòng)選用密

鑰的類型，嚴(yán)格限定密鑰的用途。明確對(duì)智能密碼鑰匙全生命周期的管理：在出廠

階段，預(yù)置設(shè)備認(rèn)證密鑰，在此階段除修改設(shè)備認(rèn)證密鑰及創(chuàng)建應(yīng)用操作外，禁止

其他操作；在應(yīng)用階段，已創(chuàng)建了應(yīng)用的設(shè)備進(jìn)入應(yīng)用階段，在此階段，可進(jìn)行所

有操作。

3)2015年11月，工作組召開了第二次會(huì)議。在該次會(huì)議上，對(duì)該規(guī)范的

第一稿（初稿）進(jìn)行了討論。明確了將接口類型的劃分和接口定義格式等內(nèi)容。

智能密碼鑰匙的體系結(jié)構(gòu)采用雙證書容器進(jìn)行描述。在整個(gè)密碼應(yīng)用技術(shù)體系框

架中，智能密碼鑰匙屬于密碼設(shè)備層，處于通用密碼服務(wù)和密碼設(shè)備服務(wù)之下。

智能密碼鑰匙的函數(shù)接口采用類C語言進(jìn)行定義，函數(shù)安裝設(shè)備管理、訪問控

制、應(yīng)用管理、文件管理、容器管理和密碼服務(wù)進(jìn)行分類。標(biāo)準(zhǔn)對(duì)輸入?yún)?shù)和輸

出參數(shù)進(jìn)行格式規(guī)范，對(duì)常數(shù)類型和錯(cuò)誤代碼進(jìn)行統(tǒng)一編碼。設(shè)備的安全要求從

設(shè)備使用階段、權(quán)限管理、密鑰安全要求和設(shè)備抗攻擊要求等幾方面進(jìn)行約束。

4)2016年5月，工作組召開第三次會(huì)議。在該次會(huì)議上，對(duì)規(guī)范的修訂稿

進(jìn)行了明確了國(guó)標(biāo)模板的在編制工作組內(nèi)部的使用。討論。對(duì)文檔的整體框架、

關(guān)鍵章節(jié)等進(jìn)行了詳細(xì)梳理，初步形成了一致意見，形成了征求意見稿。本次會(huì)

議明確了本規(guī)范的框架和章節(jié)等內(nèi)容。

5)2016年6月13日至16日，參加信安標(biāo)委2016年第一次工作組“會(huì)議周”。在“WG3-

密碼技術(shù)工作組在研標(biāo)準(zhǔn)推進(jìn)會(huì)”上，與會(huì)專家評(píng)審了《智能密碼鑰匙密碼應(yīng)用接

口規(guī)范》修訂稿草案，形成了《智能密碼鑰匙密碼應(yīng)用接口規(guī)范》修訂稿的征求意

見稿。

四、標(biāo)準(zhǔn)的主要內(nèi)容及修訂的內(nèi)容

(一)本標(biāo)準(zhǔn)的主要內(nèi)容

指導(dǎo)各PKI廠商研發(fā)具有統(tǒng)一接口規(guī)范的智能卡和智能密碼鑰匙產(chǎn)品，指導(dǎo)應(yīng)用系統(tǒng)

實(shí)現(xiàn)應(yīng)用集成，方便智能卡和智能密碼鑰匙應(yīng)用開發(fā)和項(xiàng)目實(shí)施，實(shí)現(xiàn)智能卡和智能密碼訪

問標(biāo)準(zhǔn)化和統(tǒng)一性，促進(jìn)智能卡和智能密碼鑰匙的推廣，提升應(yīng)用系統(tǒng)的安全性。。

本標(biāo)準(zhǔn)主要框架如下：

前言

1范圍

2規(guī)范性引用文件

3術(shù)語和定義

4縮略語

5結(jié)構(gòu)模型

5.1層次關(guān)系

5.2設(shè)備的應(yīng)用結(jié)構(gòu)

6數(shù)據(jù)類型定義

6.1算法標(biāo)識(shí)

6.2基本數(shù)據(jù)類型

6.3常量定義

6.4復(fù)合數(shù)據(jù)類型

7接口函數(shù)

7.1設(shè)備管理

7.2訪問控制

7.3應(yīng)用管理

7.4文件管理

7.5容器管理

7.6密碼服務(wù)

8設(shè)備的安全要求

8.1設(shè)備使用階段

8.2權(quán)限管理

8.3密鑰安全要求

8.4設(shè)備抗攻擊要求

附錄A（規(guī)范性附錄）錯(cuò)誤代碼定義和說明

五、有關(guān)問題的說明

基于本規(guī)范定義的智能密碼鑰匙應(yīng)用接口，北京海泰方圓科技股份有限公司以及業(yè)內(nèi)很

多密碼設(shè)備廠商已經(jīng)基于本規(guī)范定義的產(chǎn)品要求完成了基本格式驗(yàn)證，商密檢測(cè)中心的檢測(cè)

平臺(tái)也已根據(jù)本規(guī)范完成了相應(yīng)的研制和使用，基于本規(guī)范的密碼設(shè)備在數(shù)字認(rèn)證中心和金

融等行業(yè)的應(yīng)用中得到了驗(yàn)證。。

六、