数字证书介质接口及使用规范草稿.pdfVIP

数字证书介质接口及使用规范草稿

1.范围

本规范描述了国家公共资源交易服务平台支持的数字证书介质的各项要求，

包括对安全机制、软件要求、硬件指标等要求，用于指导电子认证服务机构在国

家公共资源交易服务平台内进行数字证书介质的定制和选型。本标准遵循GM/T

0027-2014《智能密码钥匙技术规范》和GM/T0016-2012《智能密码钥匙密码

应用接口规范》。

2.安全机制

2.1.密钥管理

数字证书介质的密钥空间必须能够至少保存2对RSA密钥对，2对SM2密钥

对和2个对称密钥（包含1个设备认证密钥和1个会话密钥的空间）。所有密钥

必须安全存储。签名私钥必须在数字证书介质内生成，且不能以任何形式导出。

加密私钥以密文方式导入，且不能以任何形式导出，对称密钥不能以明文倒出。

2.2.数字证书介质中数字证书的安装注册、反注册要求

数字证书介质驱动程序安装后，数字证书为RSA算法时，要求介质插入到电

脑后，介质内的数字证书自动注册到操作系统的证书存储区，介质从电脑拔出后，

介质内的数字证书自动从证书存储区删除。数字证书为SM2算法时无此要求。

2.3.数字证书介质的扩展区要求

数字证书介质内可创建用户私有文件区，对私有文件区操作时，用户应输入

介质口令进行验证，扩展区的空间大小不小于64K

3.软件要求

3.1.数字证书介质接口要求

介质接口及数据类型必须遵循国家密码管理局《智能密码钥匙密码应用接口

规范》的要求，提供设备管理、访问控制、文件管理和密码服务等相关服务接口。

介质有应用、容器，应用中可有多个容器，容器中可有多个私钥和证书。介质初

始化后，无应用，无容器。

3.1.1.设备管理接口

设备管理主要完成介质的插拔事件处理、枚举设备、连接设备、断开连接、

获取设备状态、设置设备标签，锁定设备、解锁设备和设备命令传输等操作。设

备管理接口函数如下表所示：

函数名称功能

SKF_WaitForDevEvent等待设备插拔事件

SKF_CancelWaitForDevEvent取消等待设备插拔事件

SKF_EnumDev枚举设备

SKF_ConnectDev连接设备

SKF_DisconnectDev断开设备

SKF_GetDevState获取设备状态

SKF_SetLabel设置设备标签

SKF_GetDevInfo获取设备信息

SKF_LockDev锁定设备

SKF_UnlockDev解锁设备

SKF_Transmit设备命令传输

3.1.2.访问控制接口

访问控制主要完成设备认证、PIN码管理和安全状态管理等操作。访问控制

接口函数如下表所示：

函数名称功能

SKF_ChangeDevAuthKey修改设备认证密钥

SKF_DevAuth设备认证

SKF_ChangePIN修改PIN

SKF_GetPINInfo获得PIN码信息

SKF_VerifyPIN校验PIN

SKF_UnblockPIN解锁PIN

SKF_ClearSecueState清除应用安全状态

3.1.3.应用管理接口

应用管理主要完成应用的创建、枚举、删除、打开和关闭等操作。应用管理

接口函数如下表所示：

函数名称功能

SKF_CreateApplication创建应用

SKF_EnumApplication枚举应用

SKF_DeleteApplication删除应用

SKF_Ope