1GB/TXXXXX—XXXX網(wǎng)絡安全技術密碼應用標識本文件描述了密碼應用中所使用的密碼支撐服務類標識和安全管理類標識。本文件適用于密碼設備、密碼系統(tǒng)的研制和使用過程中對標識進行規(guī)范化的使用，也適用于其他相關標準、協(xié)議的編制中對標識的使用。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T25069信息安全技術術語3術語和定義GB/T25069界定的以及下列術語和定義適用于本文件。3.1標識符identifier用于標識在密碼應用中涉及到的密碼算法、運算數(shù)據(jù)、密碼協(xié)議、角色管理、密鑰管理、系統(tǒng)管理和設備管理的一個整數(shù)。4縮略語下列縮略語適用于本文件。BC:分組鏈接（BlockChaining）CBC:密碼分組鏈接模式（CipherBlockChaining）CCM:CBC計數(shù)器模式（CounterwithCBC-MAC）CFB:密文反饋模式（CiphertextFeedback）CRL:證書吊銷列表（CertificateRevocationList）CTR:計數(shù)器模式（Counter)DER:可辨別編碼規(guī)則（DistinguishedEncodingRules）ECB:電碼本模式（ElectronicCodeBook）FPE:保留格式加密（Format-preservingencryption）GCM:Galois計數(shù)器模式（GaloisCounter）HCTR:帶泛雜湊函數(shù)的計數(shù)器（universalHashfunctionbasedCTR）HMAC:采用雜湊算法計算的消息驗證碼（Hash-basedMessageAuthenticationCode）IBC:基于標識的密碼技術（Identity-BasedCryptography）MAC:消息鑒別碼（MessageAuthenticationCode）2GB/TXXXXX—XXXXOCSP:在線證書狀態(tài)協(xié)議（OnlineCertificateStatusProtocol）OFB:輸出反饋模式（OutputFeedback）OFBNLF:帶非線性函數(shù)的輸出反饋（OutputFeedbackwithaNonlinearFunction）OID:對象標識符（ObjectIdentifier）PEM:隱私增強郵件標準規(guī)定的證書編碼格式（Privacy-EnhancedMail）PKI:公鑰基礎設施（PublicKeyInfrastructure）XEX:先異或再加密再異或的結構（Xor-Encryption-Xor）XTS:帶密文挪用的XEX可調(diào)分組密碼（XEXTweakableblockcipherwithciphertextStealing）5標識符的格式和編碼標識符為32位無符號整數(shù)類型，在密碼應用的具體實現(xiàn)或調(diào)用時應直接作為整數(shù)類型進行定義或處理，編碼規(guī)則為從低位到高位。6密碼支撐服務類標識6.1概述密碼支撐服務類標識定義了在密碼支撐服務設備或密碼支撐服務接口中涉及到的密碼算法、運算數(shù)據(jù)和密碼協(xié)議的表示短語和數(shù)據(jù)，該類數(shù)據(jù)標識在密碼支撐服務設備或密碼支撐服務接口的調(diào)用過程中使用，如數(shù)據(jù)加密、數(shù)字簽名和身份鑒別應用場景。6.2算法標識6.2.1對稱密碼算法標識對稱密碼算法標識包含密碼算法的類型、密鑰長度以及對稱算法的加密模式，在調(diào)用密碼支撐服務對象進行密碼操作或在獲取密碼支撐服務對象的密碼運算能力時使用。對稱密碼算法標識的編碼規(guī)則為從低位到高位，第0位～第7位和第24位～第31位按位表示對稱密碼算法工作模式，第8位～第15位按位表示對稱密碼算法的類型，第16位～第23位為0。例如：SGD_SM4_ECB：00000000000000000000010000000001(0x00000401)SGD_SM4_GCM：00000010000000000000010000000000(0x02000400)對稱密碼算法的標識如表1所示。表1對稱密碼算法的標識3GB/TXXXXX—XXXX表1對稱密碼算法的標識（續(xù)）6.2.2非對稱密碼算法標識非對稱密碼算法標識僅定義了密碼算法的類型，在使用非對稱算法進行數(shù)字簽名運算時，可將非對稱密碼算法標識符與密碼雜湊算法標識符進行“或”運算后使用，如“SM2withSM3”可表示為SGD_SM2_1|SGD_SM3，即0x00020201，“|”表示“或”運算。非對稱密碼算法標識的編碼規(guī)則為從低位到高位，第0位～第7位為0，第8位～第15位按位表示非對稱密碼算法的算法協(xié)議，如果所表示的非對稱算法沒有相應的算法協(xié)議則為0，第16位～第31位按位表示非對稱密碼算法類型。例如：SGD_SM2_1：00000000000000100000001000000000(0x00020200)非對稱密碼算法的標識如表2所示。表2非對稱密碼算法的標識SGD_SM2_1SGD_SM2_24GB/TXXXXX—XXXX表2非對稱密碼算法的標識（續(xù)）SGD_SM2_3SGD_SM2_5SGD_SM2_6SGD_SM9_1SGD_SM9_2SGD_SM9_3SGD_SM9_5為其他非對稱密碼算法預留的標識符，預留的標簽可自定義。6.2.3密碼雜湊算法標識密碼雜湊算法標識可在進行雜湊運算或計算HMAC時應用，也可與非對稱密碼算法標識進行“或”運算后使用，表示簽名運算前對數(shù)據(jù)進行雜湊運算的算法類型。密碼雜湊算法標識的編碼規(guī)則為從低位到高位，第0位～第7位表示密碼雜湊算法，第8位～第31位為0。例如：SGD_SM3：00000000000000000000000000000001(0x00000001)當多個密碼雜湊算法同時存在時，可用“或”的形式表示。密碼雜湊算法的標識如表3所示。表3密碼雜湊算法的標識為其他密碼雜湊算法預留的標識符，預留的標簽可自定義。6.2.4簽名算法標識簽名算法標識在進行數(shù)字簽名時應用。簽名算法標識的編碼規(guī)則為從低位到高位，第0位～第7位表示密碼雜湊算法，第8位～第31位表示非對稱密碼算法。例如：SGD_SM3_SM2：00000000000000100000001000000001(0x00020201)簽名算法的標識如表4所示。5GB/TXXXXX—XXXX表4簽名算法的標識為其他密碼簽名算法預留的標識符，預留的標簽可自定義。數(shù)據(jù)標識數(shù)據(jù)類型數(shù)據(jù)類型定義了密碼應用中用到的數(shù)據(jù)類型標簽。數(shù)據(jù)類型標簽的定義如表5所示。表5數(shù)據(jù)類型標簽6.3.2數(shù)據(jù)常量標識數(shù)據(jù)常量標識定義了密碼應用中用到的常量的標簽及取值。數(shù)據(jù)常量標識的定義如表6所示。表6數(shù)據(jù)常量標識6.3.3通用數(shù)據(jù)對象標識6GB/TXXXXX—XXXX在數(shù)據(jù)的存儲或傳輸過程中，應對某些數(shù)據(jù)的特殊性進行明確的標識，以保證目標系統(tǒng)能夠?qū)邮諗?shù)據(jù)進行正確的處理。通用數(shù)據(jù)對象標識的編碼規(guī)則為從低位到高位，第0位～第7位表示數(shù)據(jù)對象的屬性，第8位為1，第9位～第31位為0。例如：SGD_USER_DATA：00000000000000000000000100010111(0x00000117)通用數(shù)據(jù)對象標識的定義如表7所示。表7通用數(shù)據(jù)對象標識SGD_PRIVATE_KEY_ENCR為其他數(shù)據(jù)對象預留的標識符，預留的標簽可自定義。6.3.4證書解析項標識在實現(xiàn)身份鑒別、授權管理和訪問控制的安全機制時，可通過解析證書項獲取公鑰證書信息，在這種情況下應通過標識符指定證書項內(nèi)容。證書解析項標識的編碼規(guī)則為從低位到高位，第0位～第7位表示證書解析項的內(nèi)容，第8位～第31位為0。例如：SGD_EXT_KEYUSAGE_INFO：00000000000000000000000000010011(0x00000013)證書解析項標識的定義如表8所示。7GB/TXXXXX—XXXX表8證書解析項標識SGD_CERT_SIGNATURE_ASGD_CERT_PUBLIC_KEY_PASGD_EXT_AUTHORITYKEYIDENTIFSGD_EXT_SUBJECTKEYIDENTIFSGD_EXT_PRIVATEKEYUSAGEPERSGD_EXT_CERTIFICATEPOLICSGD_EXT_POLICYMAPPISGD_EXT_BASICCONSTRAISGD_EXT_POLICYCONSTRAISGD_EXT_CRLDISTRIBUTIONPOISGD_EXT_SELFDEFINED_EXTENSSGD_EXT_UNIFORM_SOCIAL_CREDIT_IDSGD_EXT_AUTHORITY_INFSGD_EXT_SUBJECT_INFORMATIO為其他證書解析項預留的標識符，預留的標簽可自定義。8GB/TXXXXX—XXXX6.3.5時間戳信息項標識在時間戳系統(tǒng)的實現(xiàn)及時間戳的應用過程中，解析時間戳信息時應通過標識符指定時間戳信息項的時間戳信息項標識的編碼規(guī)則為從低位到高位，第0位～第7位表示時間戳信息項的內(nèi)容，第8位、第10位～第31位為0，第9位為1。例如：SGD_SOURCE_OF_TIME：00000000000000000000001000000110(0x00000206)時間戳信息項標識的定義如表9所示。表9時間戳信息項標識SGD_SUBJECT_COUNTRY_OF_SGD_SUBJECT_ORGNIZATION_OF_SGD_SUBJECT_CITY_OF_SGD_SUBJECT_EMAIL_OF_為其他時間戳信息項預留的標識符，預留的標簽可自定義。6.3.6單點登錄標識在單點登錄系統(tǒng)中，存在一些數(shù)據(jù)標識用于唯一的表示某一用戶或某一服務提供者。單點登錄標識項的編碼規(guī)則為從低位到高位，第0位～第7位表示單點登錄標識項的內(nèi)容，第8位～第31位為0。例如：SGD_SP_ID：00000000000000000000000000000001(0x00000001)單點登錄標識的定義如表10所示。表10單點登錄標識服務提供者用戶標識數(shù)據(jù)，在服務提供者內(nèi)唯一9GB/TXXXXX—XXXX表10單點登錄標識（續(xù)）身份鑒別提供者用戶標識數(shù)據(jù)，在身份鑒別提供者為其他單點登錄項預留的標識符，預留的標簽可自定義。6.3.7數(shù)據(jù)編碼格式標識數(shù)據(jù)在存儲或傳輸時應按照約定的格式進行編碼，以保證不同應用或不同應用系統(tǒng)之間的互聯(lián)互通性。數(shù)據(jù)編碼格式標識應與通用數(shù)據(jù)對象標識或證書解析項標識進行“或”運算后使用，作為數(shù)據(jù)的附加屬性，表示數(shù)據(jù)對象符合指定編碼格式。數(shù)據(jù)編碼格式標識的編碼規(guī)則為從低位到高位，第0位～第23位為0，第24位～第31位表示數(shù)據(jù)編碼格式。例如：SGD_ENCODING_DER：00000001000000000000000000000000(0x01000000)數(shù)據(jù)編碼格式標識的定義如表11所示。表11數(shù)據(jù)編碼格式標識為自定義編碼格式預留的標識符，預留的標簽可自定義。6.4協(xié)議標識6.4.1接口描述標識在安全應用系統(tǒng)中為區(qū)分密碼支撐服務提供者所采用的協(xié)議或規(guī)范，可采用接口描述標識。接口描述標識項的編碼規(guī)則為從低位到高位，第0位～第7位表示接口描述標識標識項的內(nèi)容，第8位～第31位為0。例如：SGD_PROTOCOL_CSP：00000000000000000000000000000001(0x00000001)接口描述標識的定義如表12所示。表12接口描述標識CryptographicServicGB/TXXXXX—XXXX表12接口描述標識（續(xù)）密碼應用HTTP接口為其他接口描述項預留的標識符，預留的標簽可自定義。6.4.2證書狀態(tài)驗證模式標識在驗證證書的有效性時，除了檢查證書的有效期、證書的簽名是否有效外，還可通過CRL或OCSP檢查證書的異常狀態(tài)。證書狀態(tài)驗證模式標識使用32位無符號整數(shù)表示，其定義如表13所示。表13證書狀態(tài)驗證模式標識127安全管理類標識7.1概述安全管理類標識定義了在密碼支撐服務設備或密碼支撐服務接口中涉及到的角色管理、密鑰管理、系統(tǒng)管理和設備管理的表示短語和數(shù)據(jù)。該類數(shù)據(jù)標識可在安全管理接口的調(diào)用過程中使用，也可在安全系統(tǒng)或設備管理的日志信息采集、處理過程中使用。7.2角色管理標識7.2.1角色標識角色是在管理操作中的主體，是管理活動的實施者，在角色管理操作中也會作為被管理的對象。GB/TXXXXX—XXXX角色標識的編碼規(guī)則為從低位到高位，第0～第7位表示角色，第8位～第31位為0。例如：SGD_ROLE_OPERATOR：00000000000000000000000000000101(0x00000005)角色標識的定義如表14所示。表14角色標識為自定義角色預留的標識符，預留的標簽可自定義。7.2.2角色操作標識角色操作標識符包含角色自身的行為（簽入、簽出、修改口令）和對其他角色的管理行為（創(chuàng)建角色、刪除角色、修改角色、對角色授權）。角色操作標識的編碼規(guī)則為從低位到高位，第0位～第7位表示角色管理操作，第8位～第31位為0，例如：SGD_OPERATION_SIGNIN：00000000000000000000000000000001(0x00000001)角色操作標識的定義如表15所示。表15角色操作標識SGD_OPERATION_AUTHO為其他角色操作項預留的標識符，預留的標簽可自定義。7.2.3操作結果標識操作結果標識符表示管理活動的結束狀態(tài)，分別是成功和失敗兩種狀態(tài)。操作結果標識的定義如表16所示。GB/TXXXXX—XXXX表16操作結果標識為錯誤碼預留的標識符，預留的標簽可自定義。7.3密鑰管理標識7.3.1密鑰類型標識密鑰類型標識定義了密鑰的屬性信息，屬于被管理的對象。密鑰類型標識的編碼規(guī)則為從低位到高位，第0位～第7位表示密鑰對象，第8位為1表示為密鑰管理類標識，第9位～第31位為0。例如：SGD_PRIKEY_PASSWD：00000000000000000000000100000110(0x00000106)密鑰類型標識的定義如表17所示。表17密鑰類型標識為自定義密鑰類型預留的標識符，預留的標簽可自定義。7.3.2密鑰操作標識密鑰操作標識定義了對密鑰的操作內(nèi)容。密鑰操作標識的編碼規(guī)則為從低位到高位，第0位～第7位表示密鑰操作標識，第8位為1表示為密鑰管理類標識，第9位～第31位為0。例如：SGD_KEY_DESTROY：00000000000000000000000100001010(0x0000010A)密鑰操作標識的定義如表18所示。表18密鑰操作標識GB/TXXXXX—XXXX表18密鑰操作標識（續(xù)）為其他密鑰操作項預留的標識符，預留的標簽可自定義。7.4系統(tǒng)管理標識系統(tǒng)管理標識定義了在對安全系統(tǒng)進行管理操作時的角色、操作、對象、結果的表示短語和數(shù)據(jù)。系統(tǒng)管理標識的編碼規(guī)則為從低位到高位，第0位～第7位表示系統(tǒng)管理操作，第8位、第10位~第31位為0，第9位為1表示為系統(tǒng)或設備管理類標識。例如：SGD_SYSTEM_SHUT：00000000000000000000001000000011(0x00000203)系統(tǒng)管理標識的定義如表19所示。表19系統(tǒng)管理標識為其他其他系統(tǒng)管理項預留的標識符，預留的標簽可自定義。7.5設備管理標識7.5.1設備基本信息標識設備基本信息標識可在從密碼設備中獲取設備型號、設備編號信息時指定。設備基本信息標識的編碼規(guī)則為從低位到高位，第0位～第7位表示設備信息標識，第8位、第10位～第31位為0，第9位為1表示為系統(tǒng)或設備管理類標識。例如：SGD_DEVICE_DESCRIPTION：00000000000000000000001000010001(0x00000211)設備基本信息標識的定義如表20所示。表20設備基本信息標識GB/TXXXXX—XXXX表20設備基本信息標識（續(xù)）SGD_DEVICE_HARDWARESGD_DEVICE_SOFTWARESGD_DEVICE_STANDARDSGD_DEVICE_SUPPORT_SGD_DEVICE_SUPPORT_SGD_DEVICE_SUPPORT_SGD_DEVICE_SUPPORT_STORASGD_DEVICE_SUPPORT_FR為其他設備基本信息項預留的標識符，預留的標簽可自定義。7.5.2設備類別標識設備類別標識格式設備類別標識包括設備形態(tài)標識和設備功能標識，由設備形態(tài)標識和設備功能標識通過“或”運算進行組合。設備形態(tài)標識設備形態(tài)標識的編碼規(guī)則為從低位到高位，第0位～第23位為0，第24位～第31位表示密碼設備的形態(tài)。例如：SGD_DEVICE_SORT_SK：00000010000000000000000000000000(0x02000000)設備形態(tài)標識的定義如表21所示。表21設備形態(tài)標識不支持熱拔插功能的密碼設備，如PCI密碼卡為其他設備形態(tài)預留的標識符，預留的標簽可自定義。設備功能標識設備功能標識的編碼規(guī)則為從低位到高位，第0位～第7位為0，第8位～第23位按位表示密碼設備的主要功能，第24位～第31位為0。例如：GB/TXXXXX—XXXXSGD_DEVICE_SORT_FE：00000000000000000000000100000000(0x00000100)設備功能標識的定義如表22所示。表22設備功能標識為其他設備功能預留的標識符，預留的標簽可自定義。7.5.3設備操作標識對設備內(nèi)角色的管理操作見7.2。對設備內(nèi)密鑰的管理操作見7.3。對設備整體的管理操作見7.4。7.5.4設備狀態(tài)標識設備狀態(tài)標識可標識密碼設備當前的工作狀態(tài)。設備狀態(tài)標識的編碼規(guī)則為從低位到高位，第0位～第7位表示設備狀態(tài)標識，第8位、第10位~第31位為0，第9位為1表示為系統(tǒng)或設備管理類標識。例如：SGD_STATUS_READY：00000000000000000000001000000010(0x00000202)設備狀態(tài)標識的定義如表23所示。表23設備狀態(tài)標識為其他設備狀態(tài)預留的標識符，預留的標簽可自定義。7.5.5設備編號設備編號可與設備型號組合使用唯一的標識某一密碼設備。在設備型號相同的情況下，該設備編號具有唯一性，不可重復。設備編號格式：XXXXXXXX–XXX–XXXXX（生產(chǎn)日期–批次號–流水號）。生產(chǎn)日期，8位數(shù)字，表示該密碼設備的生產(chǎn)日期，按從左到右的順序，分別是年4位數(shù)字，月2位數(shù)字，日2位數(shù)字，如20080229；批次號，3位數(shù)字，表示同型號密碼設備的生產(chǎn)批次，不足3位數(shù)字，則在左邊用0填充至3位，如：001；流水號，5位數(shù)字，某一型號某一批次產(chǎn)品的流水編號，不足5位數(shù)字，則在左邊用0填充至5位，如：00123。根據(jù)上述的描述，舉例的設備編號為：20080