《信息安全技術(shù) 密碼應(yīng)用標(biāo)識(shí)規(guī)范》

ICS35.040

L80

中華人民共和國國家標(biāo)準(zhǔn)

GB/TXXXXX—XXXX

信息安全技術(shù)密碼應(yīng)用標(biāo)識(shí)規(guī)范

InformationSecurityTechnology-Cryptographicapplicationidentifiercriterion

specification

點(diǎn)擊此處添加與國際標(biāo)準(zhǔn)一致性程度的標(biāo)識(shí)

（征求意見稿）

在提交反饋意見時(shí)，請將您知道的相關(guān)專利連同支持性文件一并附上。

XXXX-XX-XX發(fā)布XXXX-XX-XX實(shí)施

GB/TXXXXX—XXXX

引??言

在密碼應(yīng)用中，通常使用某一字段或短語來表示所使用的密碼算法或數(shù)據(jù)實(shí)體等信息數(shù)據(jù)，如果不

對這些標(biāo)識(shí)的定義進(jìn)行統(tǒng)一，則很難做到密碼協(xié)議、密碼接口間的互聯(lián)互通。

本標(biāo)準(zhǔn)的目標(biāo)就是規(guī)范密碼協(xié)議接口、管理等各方面使用的標(biāo)識(shí)，以實(shí)現(xiàn)密碼基礎(chǔ)設(shè)施各組件間的

兼容和統(tǒng)一，也能夠有效的指導(dǎo)、幫助密碼設(shè)備的研制和協(xié)議的實(shí)現(xiàn)，有利于管理部門實(shí)施有效的管理。

本標(biāo)準(zhǔn)編制過程中得到了國家商用密碼應(yīng)用技術(shù)體系總體工作組的指導(dǎo)。

I

GB/TXXXXX—XXXX

密碼應(yīng)用標(biāo)識(shí)規(guī)范

1范圍

本標(biāo)準(zhǔn)定義了密碼應(yīng)用中所使用的標(biāo)識(shí)，用于規(guī)范算法標(biāo)識(shí)、密鑰標(biāo)識(shí)、設(shè)備標(biāo)識(shí)、數(shù)據(jù)標(biāo)識(shí)、協(xié)

議標(biāo)識(shí)、角色標(biāo)識(shí)等的表示和使用。商用密碼領(lǐng)域中的對象標(biāo)識(shí)符（OID）的定義見附錄A。

本標(biāo)準(zhǔn)適用于指導(dǎo)密碼設(shè)備、密碼系統(tǒng)的研制和使用過程中，對標(biāo)識(shí)進(jìn)行規(guī)范化的使用，也可用于

指導(dǎo)其他相關(guān)標(biāo)準(zhǔn)或協(xié)議的編制中對標(biāo)識(shí)的使用。

2術(shù)語和定義

下列術(shù)語和定義適用于本文件。

2.1

標(biāo)識(shí)符identifier

一個(gè)32位整數(shù)，用于標(biāo)識(shí)在密碼服務(wù)或密碼管理中涉及到的密碼算法、密碼協(xié)議等。

2.2

公鑰證書publickeycertificate

確立擁有公鑰的實(shí)體的身份的數(shù)字證書（數(shù)字身份證）。該證書是由第三方可信機(jī)構(gòu)簽名頒發(fā)的，

證明主體公鑰和主體標(biāo)識(shí)信息之間綁定關(guān)系的有效性。通常，證書含有與主體有關(guān)的不可偽造的公開密

鑰信息。

2.3

網(wǎng)絡(luò)字節(jié)順序networkbyteorder

采用Big-endian排序方式規(guī)定好的的一種數(shù)據(jù)表示格式。該排序方式與具體的CPU類型、操作系統(tǒng)

等無關(guān)，從而可以保證數(shù)據(jù)在不同主機(jī)之間傳輸時(shí)可以被正確解釋。

3符號(hào)和縮略語

下列符號(hào)和縮略語適用于本文件。

BASE64將十六進(jìn)制數(shù)據(jù)轉(zhuǎn)換為可見字符的編碼規(guī)則

CBC密碼分組鏈接模式（CipherBlockChaining）

ECB電碼本模式（ElectronicCodeBook）

CFB密文反饋模式（CiphertextFeedback）

OFB輸出反饋模式（OutputFeedback）

OID對象標(biāo)識(shí)符（ObjectIdentifier）

1

GB/TXXXXX—XXXX

MAC消息認(rèn)證碼（MessageAuthenticationCode）

CRL證書吊銷列表（CertificateRevocationList）

OCSP在線證書狀態(tài)協(xié)議（OnlineCertificateStatusProtocol）

4標(biāo)識(shí)的格式和編碼

標(biāo)識(shí)符為32位無符號(hào)整數(shù)類型，在密碼服務(wù)接口或安全管理接口的實(shí)現(xiàn)或調(diào)用時(shí)直接作為整數(shù)類

型進(jìn)行定義或處理。

在跨平臺(tái)傳輸時(shí)，為避免不同平臺(tái)字節(jié)順序差異帶來的影響或錯(cuò)誤，應(yīng)將標(biāo)識(shí)符按照高位字節(jié)在前

的網(wǎng)絡(luò)字節(jié)順序進(jìn)行處理。

5密碼服務(wù)類標(biāo)識(shí)

5.1概述

密碼服務(wù)類標(biāo)識(shí)定義了在密碼服務(wù)設(shè)備或密碼服務(wù)接口中涉及到的密碼算法、運(yùn)算數(shù)據(jù)、密碼協(xié)議

等項(xiàng)的表示短語和數(shù)據(jù)，該類數(shù)據(jù)標(biāo)識(shí)在密碼設(shè)備或密碼服務(wù)接口的調(diào)用過程中使用，如數(shù)據(jù)加密、數(shù)

字簽名、身份鑒別等應(yīng)用場景。

5.2算法標(biāo)識(shí)

5.2.1分組密碼算法標(biāo)識(shí)

分組密碼算法標(biāo)識(shí)包含密碼算法的類型以及分組算法的加密模式，在調(diào)用密碼服務(wù)進(jìn)行密碼操作或

在獲取密碼設(shè)備的密碼運(yùn)算能力時(shí)使用。

分組密碼算法標(biāo)識(shí)的編碼規(guī)則為：從低位到高位，第0位到第7位按位表示分組密碼算法工作模式，

第8位到第31位按位表示分組密碼算法，例如：

SGD_SM1_ECB：00000000000000000000000100000001(0x00000101)

SGD_SSF33_MAC：00000000000000000000001000010000(0x00000210)

當(dāng)多個(gè)分組密碼算法同時(shí)存在時(shí)，可用“或”的形式表示。

分組密碼算法的標(biāo)識(shí)如表1所示。

表1分組密碼算法的標(biāo)識(shí)

標(biāo)簽標(biāo)識(shí)符描述

SGD_SM1_ECB0x00000101SM1算法ECB加密模式

SGD_SM1_CBC0x00000102SM1算法CBC加密模式

SGD_SM1_CFB0x00000104SM1算法CFB加密模式

SGD_SM1_OFB0x00000108SM1算法OFB加密模式

SGD_SM1_MAC0x00000110SM1算法MAC運(yùn)算

SGD_SSF33_ECB0x00000201SSF33算法ECB加密模式

SGD_SSF33_CBC0x00000202SSF33算法CBC加密模式

SGD_SSF33_CFB0x00000204SSF33算法CFB加密模式

SGD_SSF33_OFB0x00000208SSF33算法OFB加密模式

SGD_SSF33_MAC0x00000210SSF33算法MAC運(yùn)算

SGD_SM4_ECB0x00000401SM4算法ECB加密模式

SGD_SM4_CBC0x00000402SM4算法CBC加密模式

2

GB/TXXXXX—XXXX

表1（續(xù)）

標(biāo)簽標(biāo)識(shí)符描述

SGD_SM4_CFB0x00000404SM4算法CFB加密模式

SGD_SM4_OFB0x00000408SM4算法OFB加密模式

SGD_SM4_MAC0x00000410SM4算法MAC運(yùn)算

SGD_ZUC_EEA30x00000801ZUC祖沖之機(jī)密性算法128-EEA3算法

SGD_ZUC_EIA30x00000802ZUC祖沖之完整性算法128-EIA3算法

0x00001000～0x800000FF1)為其他分組密碼算法預(yù)留

1)：為其他分組密碼算法預(yù)留的標(biāo)識(shí)符，預(yù)留的標(biāo)簽可自定義。

5.2.2非對稱密碼算法標(biāo)識(shí)

非對稱密碼算法標(biāo)識(shí)僅定義了密碼算法的類型，在使用非對稱算法進(jìn)行數(shù)字簽名運(yùn)算時(shí)，可將非對

稱密碼算法標(biāo)識(shí)符與密碼雜湊算法標(biāo)識(shí)符進(jìn)行“或”運(yùn)算后使用，如“RSAwithSHA_1”可表示為

SGD_RSA|SGD_SHA1，即0x00010002，“|”表示“或”運(yùn)算。

非對稱密碼算法標(biāo)識(shí)的編碼規(guī)則為：從低位到高位，第0位到第7位為0，第8位到第15位按位

表示非對稱密碼算法的算法協(xié)議，如果所表示的非對稱算法沒有相應(yīng)的算法協(xié)議則為0，第16位到第

31位按位表示非對稱密碼算法類型，例如：

SGD_SM2_1：00000000000000100000001000000000(0x00020200)

當(dāng)多個(gè)非對稱密碼算法同時(shí)存在時(shí)，可用“或”的形式表示。

非對稱密碼算法的標(biāo)識(shí)如表2所示。

表2非對稱密碼算法的標(biāo)識(shí)

標(biāo)簽標(biāo)識(shí)符描述

SGD_RSA0x00010000RSA算法

SGD_SM20x00020100SM2橢圓曲線密碼算法

SGD_SM2_10x00020200SM2橢圓曲線簽名算法

SGD_SM2_20x00020400SM2橢圓曲線密鑰交換協(xié)議

SGD_SM2_30x00020800SM2橢圓曲線加密算法

0x00040000～0x800000001)為其他非對稱密碼算法預(yù)留

1)：為其他非對稱密碼算法預(yù)留的標(biāo)識(shí)符，預(yù)留的標(biāo)簽可自定義。

5.2.3密碼雜湊算法標(biāo)識(shí)

密碼雜湊算法標(biāo)識(shí)可以在進(jìn)行雜湊運(yùn)算或計(jì)算MAC時(shí)應(yīng)用，也可以與非對稱密碼算法標(biāo)識(shí)進(jìn)行

“或”運(yùn)算后使用，表示簽名運(yùn)算前對數(shù)據(jù)進(jìn)行雜湊運(yùn)算的算法類型。

密碼雜湊算法標(biāo)識(shí)的編碼規(guī)則為：從低位到高位，第0位到第7位表示密碼雜湊算法，第8位到第

31位為0，例如：

SGD_SM3：00000000000000000000000000000001(0x00000001)

當(dāng)多個(gè)密碼雜湊算法同時(shí)存在時(shí)，可用“或”的形式表示。

密碼雜湊算法的標(biāo)識(shí)如表3所示。

3

GB/TXXXXX—XXXX

表3密碼雜湊算法的標(biāo)識(shí)

標(biāo)簽標(biāo)識(shí)符描述

SGD_SM30x00000001SM3雜湊算法

SGD_SHA10x00000002SHA_1雜湊算法

SGD_SHA2560x00000004SHA_256雜湊算法

0x00000008～0x000000FF1)為其他密碼雜湊算法預(yù)留

1)：為其他密碼雜湊算法預(yù)留的標(biāo)識(shí)符，預(yù)留的標(biāo)簽可自定義。

5.2.4簽名算法標(biāo)識(shí)

簽名算法標(biāo)識(shí)在進(jìn)行數(shù)字簽名時(shí)應(yīng)用。

簽名算法標(biāo)識(shí)的編碼規(guī)則為：從低位到高位，第0位到第7位表示密碼雜湊算法，第8位到第31

位表示非對稱密碼算法，例如：

SGD_SHA1_RSA：00000000000000010000000000000010(0x00010002)

簽名算法的標(biāo)識(shí)如表4所示。

表4簽名算法的標(biāo)識(shí)

標(biāo)簽標(biāo)識(shí)符描述

SGD_SM3_RSA0x00010001基于SM3算法和RSA算法的簽名

SGD_SHA1_RSA0x00010002基于SHA_1算法和RSA算法的簽名

SGD_SHA256_RSA0x00010004基于SHA_256算法和RSA算法的簽名

SGD_SM3_SM20x00020201基于SM3算法和SM2算法的簽名

0x00040000～0x800000FF1)為其他密碼簽名算法預(yù)留

1)：為其他密碼簽名算法預(yù)留的標(biāo)識(shí)符，預(yù)留的標(biāo)簽可自定義。

5.3數(shù)據(jù)標(biāo)識(shí)

5.3.1數(shù)據(jù)類型

數(shù)據(jù)類型定義了在公鑰密碼基礎(chǔ)設(shè)施技術(shù)應(yīng)用體系下各標(biāo)準(zhǔn)中用到的數(shù)據(jù)類型標(biāo)簽。

數(shù)據(jù)類型標(biāo)簽的定義如表5所示。

表5數(shù)據(jù)類型標(biāo)簽

標(biāo)簽說明

SGD_CHAR8位，有符號(hào)字符

SGD_INT88位，有符號(hào)整數(shù)

SGD_INT1616位，有符號(hào)整數(shù)

SGD_INT3232位，有符號(hào)整數(shù)

SGD_INT6464位，有符號(hào)整數(shù)

SGD_UCHAR8位，無符號(hào)字符

SGD_UINT88位，無符號(hào)整數(shù)

SGD_UINT1616位，無符號(hào)整數(shù)

SGD_UINT3232位，無符號(hào)整數(shù)

SGD_UINT6464位，無符號(hào)整數(shù)

SGD_RV32位，無符號(hào)整數(shù)，表示函數(shù)返回值

4

GB/TXXXXX—XXXX

表5（續(xù)）

標(biāo)簽說明

SGD_OBJ無符號(hào)指針類型，表示對象句柄

SGD_BOOL32位，有符號(hào)整數(shù)，表示布爾型

5.3.2數(shù)據(jù)常量標(biāo)識(shí)

數(shù)據(jù)常量標(biāo)識(shí)定義了在公鑰密碼基礎(chǔ)設(shè)施技術(shù)應(yīng)用體系下各標(biāo)準(zhǔn)中用到的常量的標(biāo)簽及取值。

數(shù)據(jù)常量標(biāo)識(shí)的定義如表6所示。

表6數(shù)據(jù)常量標(biāo)識(shí)

標(biāo)簽標(biāo)識(shí)符描述

SGD_TRUE0x00000001布爾值為真

SGD_FALSE0x00000000布爾值為假

5.3.3通用數(shù)據(jù)對象標(biāo)識(shí)

在數(shù)據(jù)的存儲(chǔ)或傳輸過程中，可能需要對某些數(shù)據(jù)的特殊性進(jìn)行明確的標(biāo)識(shí)，以保證目標(biāo)系統(tǒng)能夠

對接收數(shù)據(jù)進(jìn)行正確的處理。

通用數(shù)據(jù)標(biāo)識(shí)的編碼規(guī)則為：從低位到高位，第0位到第7位表示數(shù)據(jù)對象的屬性，第8位為1，

第9位到第31位為0，例如：

SGD_USER_DATA：00000000000000000000000100010111(0x00000117)

通用數(shù)據(jù)對象標(biāo)識(shí)的定義如表7所示。

表7通用數(shù)據(jù)對象標(biāo)識(shí)

標(biāo)簽標(biāo)識(shí)符描述

SGD_KEY_INDEX0x00000101密鑰索引

SGD_SECRET_KEY0x00000102對稱密鑰

SGD_PUBLIC_KEY_SIGN0x00000103簽名公鑰

SGD_PUBLIC_KEY_ENCRYPT0x00000104加密公鑰

SGD_PRIVATE_KEY_SIGN0x00000105簽名私鑰

SGD_PRIVATE_KEY_ENCRYPT0x00000106加密私鑰

SGD_KEY_COMPONENT0x00000107密鑰部件

SGD_PASSWORD0x00000108口令

SGD_PUBLIC_KEY_CERT0x00000109公鑰證書

SGD_ATTRIBUTE_CERT0x0000010A屬性證書

SGD_SIGNATURE_DATA0x00000111數(shù)字簽名

SGD_ENVELOPE_DATA0x00000112數(shù)字信封

SGD_RANDOM_DATA0x00000113隨機(jī)數(shù)

SGD_PLAIN_DATA0x00000114明文數(shù)據(jù)

SGD_CIPHER_DATA0x00000115密文數(shù)據(jù)

SGD_DIGEST_DATA0x00000116摘要數(shù)據(jù)

SGD_USER_DATA0x00000117用戶數(shù)據(jù)

0x00000118～0x000001FF1)為其他數(shù)據(jù)對象預(yù)留

1)：為其他數(shù)據(jù)對象預(yù)留的標(biāo)識(shí)符，預(yù)留的標(biāo)簽可自定義。

5

GB/TXXXXX—XXXX

5.3.4證書解析項(xiàng)標(biāo)識(shí)

在實(shí)現(xiàn)身份鑒別、授權(quán)管理、訪問控制等安全機(jī)制時(shí)，需要解析證書項(xiàng)以獲取公鑰證書信息，在這

種情況下需要通過標(biāo)識(shí)符指定證書項(xiàng)內(nèi)容。

證書解析項(xiàng)標(biāo)識(shí)的編碼規(guī)則為：從低位到高位，第0位到第7位表示證書解析項(xiàng)的內(nèi)容，第8位到

第31位為0，例如：

SGD_EXT_KEYUSAGE_INFO：00000000000000000000000000010011(0x00000013)

證書解析項(xiàng)標(biāo)識(shí)的定義如表8所示。

表8證書解析項(xiàng)標(biāo)識(shí)

標(biāo)簽標(biāo)識(shí)符描述

SGD_CERT_VERSION0x00000001證書版本

SGD_CERT_SERIAL0x00000002證書序列號(hào)

SGD_CERT_ISSUER0x00000005證書頒發(fā)者信息

SGD_CERT_VALID_TIME0x00000006證書有效期

SGD_CERT_SUBJECT0x00000007證書擁有者信息

SGD_CERT_DER_PUBLIC_KEY0x00000008證書公鑰信息

SGD_CERT_DER_EXTENSIONS0x00000009證書擴(kuò)展項(xiàng)信息

SGD_EXT_AUTHORITYKEYIDENTIFIE0x00000011頒發(fā)者密鑰標(biāo)識(shí)符

R_INFO

SGD_EXT_SUBJECTKEYIDENTIFIER_I0x00000012證書持有者密鑰標(biāo)識(shí)符

NFO

SGD_EXT_KEYUSAGE_INFO0x00000013密鑰用途

SGD_EXT_PRIVATEKEYUSAGEPERIO0x00000014私鑰有效期

D_INFO

SGD_EXT_CERTIFICATEPOLICIES_INF0x00000015證書策略

O

SGD_EXT_POLICYMAPPINGS_INFO0x00000016策略映射

SGD_EXT_BASICCONSTRAINTS_INFO0x00000017基本限制

SGD_EXT_POLICYCONSTRAINTS_INF0x00000018策略限制

O

SGD_EXT_EXTKEYUSAGE_INFO0x00000019擴(kuò)展密鑰用途

SGD_EXT_CRLDISTRIBUTIONPOINTS0x0000001ACRL發(fā)布點(diǎn)

_INFO

SGD_EXT_NETSCAPE_CERT_TYPE_IN0x0000001BNetscape屬性

FO

SGD_EXT_SELFDEFINED_EXTENSION0x0000001C私有的自定義擴(kuò)展項(xiàng)

_INFO

SGD_CERT_ISSUER_CN0x00000021證書頒發(fā)者CN

SGD_CERT_ISSUER_O0x00000022證書頒發(fā)者O

SGD_CERT_ISSUER_OU0x00000023證書頒發(fā)者OU

SGD_CERT_SUBJECT_CN0x00000031證書擁有者信息CN

SGD_CERT_SUBJECT_O0x00000032證書擁有者信息O

SGD_CERT_SUBJECT_OU0x00000033證書擁有者信息OU

6

GB/TXXXXX—XXXX

表8（續(xù)）

標(biāo)簽標(biāo)識(shí)符描述

SGD_CERT_SUBJECT_EMAIL0x00000034證書擁有者信息EMAIL

SGD_CERT_NOTBEFORE_TIME0x00000035證書起始日期

SGD_CERT_NOTAFTER_TIME0x00000036證書截至日期

0x00000080～0x000000FF1)為其他證書解析項(xiàng)預(yù)留

1)：為其他證書解析項(xiàng)預(yù)留的標(biāo)識(shí)符，預(yù)留的標(biāo)簽可自定義。

5.3.5時(shí)間戳信息項(xiàng)標(biāo)識(shí)

在時(shí)間戳系統(tǒng)的實(shí)現(xiàn)及時(shí)間戳的應(yīng)用過程中，需要解析時(shí)間戳信息，在這種情況下需要通過標(biāo)識(shí)符

指定時(shí)間戳信息項(xiàng)的內(nèi)容。

時(shí)間戳信息項(xiàng)標(biāo)識(shí)的編碼規(guī)則為：從低位到高位，第0位到第7位表示時(shí)間戳信息項(xiàng)的內(nèi)容，第8

位、第10位到第31位為0，第9位為1，例如：

SGD_SOURCE_OF_TIME：00000000000000000000001000000110(0x00000206)

時(shí)間戳信息項(xiàng)標(biāo)識(shí)的定義如表9所示。

表9時(shí)間戳信息項(xiàng)標(biāo)識(shí)

標(biāo)簽標(biāo)識(shí)符描述

SGD_TIME_OF_STAMP0x00000201簽發(fā)時(shí)間

SGD_CN_OF_TSSIGNER0x00000202簽發(fā)者的通用名

SGD_ORINGINAL_DATA0x00000203時(shí)間戳請求的原始信息

SGD_CERT_OF_TSSERVER0x00000204時(shí)間戳服務(wù)器的證書

SGD_CERTCHAIN_OF_TSSERVER0x00000205時(shí)間戳服務(wù)器的證書鏈

SGD_SOURCE_OF_TIME0x00000206時(shí)間源的來源

SGD_TIME_PRECISION0x00000207時(shí)間精度

SGD_RESPONSE_TYPE0x00000208響應(yīng)方式

SGD_SUBJECT_COUNTRY_OF_TSSIGN0x00000209簽發(fā)者國家

ER

SGD_SUBJECT_ORGNIZATION_OF_TS0x0000020A簽發(fā)者組織

SIGNER

SGD_SUBJECT_CITY_OF_TSSIGNER0x0000020B簽發(fā)者城市

SGD_SUBJECT_EMAIL_OF_TSSIGNER0x0000020C簽發(fā)者電子信箱

0x00000280～0x000002FF1)為其他時(shí)間戳信息項(xiàng)預(yù)留

1)：為其他時(shí)間戳信息項(xiàng)預(yù)留的標(biāo)識(shí)符，預(yù)留的標(biāo)簽可自定義。

5.3.6單點(diǎn)登錄標(biāo)識(shí)

在單點(diǎn)登錄系統(tǒng)中，存在一些數(shù)據(jù)標(biāo)識(shí)用于唯一的表示某一用戶或某一服務(wù)提供者。

單點(diǎn)登錄標(biāo)識(shí)項(xiàng)的編碼規(guī)則為：從低位到高位，第0位到第7位表示單點(diǎn)登錄標(biāo)識(shí)項(xiàng)的內(nèi)容，第8

位到第31位為0，例如：

SGD_SP_ID：00000000000000000000000000000001(0x00000001)

單點(diǎn)登錄標(biāo)識(shí)的定義如表10所示。

7

GB/TXXXXX—XXXX

表10單點(diǎn)登錄標(biāo)識(shí)

標(biāo)簽標(biāo)識(shí)符描述

SGD_SP_ID0x00000001服務(wù)提供者唯一標(biāo)識(shí)數(shù)據(jù)

SGD_SP_USER_ID0x00000002SP用戶標(biāo)識(shí)數(shù)據(jù)，在SP內(nèi)唯一

SGD_IDP_ID0x00000003身份鑒別提供者唯一標(biāo)識(shí)數(shù)據(jù)

SGD_IDP_USER_ID0x00000004IDP用戶標(biāo)識(shí)數(shù)據(jù)，在IDP內(nèi)唯一

5.3.7數(shù)據(jù)編碼格式標(biāo)識(shí)

數(shù)據(jù)在存儲(chǔ)或傳輸時(shí)需要按照約定的格式進(jìn)行編碼，以保證不同應(yīng)用或不同應(yīng)用系統(tǒng)之間的互聯(lián)互

通性。編碼格式標(biāo)識(shí)符需要與通用數(shù)據(jù)標(biāo)識(shí)符或證書解析項(xiàng)標(biāo)識(shí)符等進(jìn)行“或”運(yùn)算后使用，作為數(shù)據(jù)

的附加屬性，表示數(shù)據(jù)對象符合指定編碼格式。

數(shù)據(jù)編碼格式標(biāo)識(shí)的編碼規(guī)則為：從低位到高位，第0位到第23位為0，第24位到第31位表示

數(shù)據(jù)編碼格式，例如：

SGD_ENCODING_DER：00000001000000000000000000000000(0x01000000)

數(shù)據(jù)編碼格式標(biāo)識(shí)的定義如表11所示。

表11數(shù)據(jù)編碼格式標(biāo)識(shí)

標(biāo)簽標(biāo)識(shí)符描述

SGD_ENCODING_RAW0x00000000無編碼

SGD_ENCODING_DER0x01000000DER編碼

SGD_ENCODING_BASE640x02000000Base64編碼

SGD_ENCODING_PEM0x03000000PEM編碼

SGD_ENCODING_TXT0x04000000由'0'～'9'、'A'～'F'等字符表示16進(jìn)制數(shù)

據(jù)的字符串

0x80000000～0xFF0000001)為自定義編碼格式預(yù)留

1)：為自定義編碼格式預(yù)留的標(biāo)識(shí)符，預(yù)留的標(biāo)簽可自定義。

5.4協(xié)議標(biāo)識(shí)

5.4.1接口描述標(biāo)識(shí)

在安全應(yīng)用系統(tǒng)中為區(qū)分密碼服務(wù)提供者所采用的協(xié)議或規(guī)范，可以采用接口描述標(biāo)識(shí)。

接口描述標(biāo)識(shí)使用32位無符號(hào)整數(shù)表示，其定義如表12所示。

表12接口描述標(biāo)識(shí)

標(biāo)簽標(biāo)識(shí)符描述

SGD_PROTOCOL_CSP1CryptographicServiceProvider接口

SGD_PROTOCOL_PKCS112PKCS#11接口

SGD_PROTOCOL_SDS3密碼設(shè)備應(yīng)用接口

SGD_PROTOCOL_UKEY4智能IC卡及智能密碼鑰匙接口

SGD_PROTOCOL_CNG5CryptographicNextGeneration接口

SGD_PROTOCOL_GCS6通用密碼服務(wù)接口

8

GB/TXXXXX—XXXX

5.4.2證書驗(yàn)證模式標(biāo)識(shí)

在驗(yàn)證證書的有效性時(shí)，除了檢查證書的有效期、證書的簽名是否有效外，還應(yīng)通過CRL或OCSP

等方式檢查證書是否被注銷等異常狀態(tài)。

證書驗(yàn)證模式標(biāo)識(shí)使用32位無符號(hào)整數(shù)表示，其定義如表13所示。

表13證書驗(yàn)證模式標(biāo)識(shí)

標(biāo)簽標(biāo)識(shí)符描述

SGD_CRL_VERIFY1CRL驗(yàn)證模式

SGD_OCSP_VERIFY2OCSP驗(yàn)證模式

6安全管理類標(biāo)識(shí)

6.1概述

安全管理類標(biāo)識(shí)定義了在安全系統(tǒng)管理、設(shè)備管理中涉及到的系統(tǒng)角色、安全操作等項(xiàng)的表示短語

和數(shù)據(jù)。該類數(shù)據(jù)標(biāo)識(shí)在安全管理接口的調(diào)用過程中使用，或在安全系統(tǒng)或設(shè)備管理的日志信息采集、

處理過程中使用，也可應(yīng)用于其他安全管理活動(dòng)中。

6.2角色管理標(biāo)識(shí)

6.2.1角色標(biāo)識(shí)

角色是在管理操作中的主體，是管理活動(dòng)的實(shí)施者，在角色管理操作中也會(huì)作為被管理的對象。

角色標(biāo)識(shí)的編碼規(guī)則為：從低位到高位，第0到第7位表示角色，第8位到第31位為0，例如：

SGD_ROLE_OPERATOR：00000000000000000000000000000101(0x00000005)

角色標(biāo)識(shí)的定義如表14所示。

表14角色標(biāo)識(shí)

標(biāo)簽標(biāo)識(shí)符描述

SGD_ROLE_SUPER_MANAGER0x00000001超級(jí)管理員

SGD_ROLE_MANAGER0x00000002業(yè)務(wù)管理員

SGD_ROLE_AUDIT_MANAGER0x00000003審計(jì)管理員

SGD_ROLE_AUDITOR0x00000004審計(jì)操作員

SGD_ROLE_OPERATOR0x00000005業(yè)務(wù)操作員

SGD_ROLE_USER0x00000006用戶

0x00000081～0x000000FF1)為自定義角色預(yù)留

1)：為自定義角色預(yù)留的標(biāo)識(shí)符，預(yù)留的標(biāo)簽可自定義。

6.2.2角色操作標(biāo)識(shí)

角色操作標(biāo)識(shí)符包含角色自身的行為，如簽入、簽出、修改口令等操作，和對其他角色的管理行為，

如創(chuàng)建角色、刪除角色、修改角色、對角色授權(quán)等操作。

角色操作標(biāo)識(shí)的編碼規(guī)則為：從低位到高位，第0位到第7位表示角色管理操作，第8位到第31

位為0，例如：

SGD_OPERATION_SIGNIN：00000000000000000000000000000001(0x00000001)

9

GB/TXXXXX—XXXX

角色操作標(biāo)識(shí)的定義如表15所示。

表15角色操作標(biāo)識(shí)

標(biāo)簽標(biāo)識(shí)符描述

SGD_OPERATION_SIGNIN0x00000001簽入

SGD_OPERATION_SIGNOUT0x00000002簽出

SGD_OPERATION_CREATE0x00000003創(chuàng)建

SGD_OPERATION_DELETE0x00000004刪除

SGD_OPERATION_MODIFY0x00000005修改

SGD_OPERATION_CHG_PWD0x00000006修改口令

SGD_OPERATION_AUTHORIZATION0x00000007授權(quán)

6.2.3操作結(jié)果標(biāo)識(shí)

操作結(jié)果標(biāo)識(shí)符表示管理活動(dòng)的結(jié)束狀態(tài)，分別是成功和失敗兩種狀態(tài)。

操作結(jié)果標(biāo)識(shí)的定義如表16所示。

表16操作結(jié)果標(biāo)識(shí)

標(biāo)簽標(biāo)識(shí)符描述

SGD_OPERATION_SUCCESS0x00000000成功

0x00000001～0xFFFFFFFF1)失敗，表示錯(cuò)誤碼

1)：為錯(cuò)誤碼預(yù)留的標(biāo)識(shí)符，預(yù)留的標(biāo)簽可自定義。

6.3密鑰管理標(biāo)識(shí)

6.3.1密鑰分類標(biāo)識(shí)

密鑰分類標(biāo)識(shí)密鑰的屬性信息，屬于被管理的對象。

密鑰分類標(biāo)識(shí)的編碼規(guī)則為：從低位到高位，第0位到第7位表示密鑰對象，第8位為1表示為密

鑰管理類標(biāo)識(shí)，第9位到第31位為0，例如：

SGD_PRIKEY_PASSWD：00000000000000000000000100000110(0x00000106)

密鑰分類標(biāo)識(shí)的定義如表17所示。

表17密鑰分類標(biāo)識(shí)

標(biāo)簽標(biāo)識(shí)符描述

SGD_MAIN_KEY0x00000101主密鑰

SGD_DEVICE_KEYS0x00000102設(shè)備密鑰

SGD_USER_KEYS0x00000103用戶密鑰

SGD_KEK0x00000104密鑰加密密鑰

SGD_SESSION_KEY0x00000105會(huì)話密鑰

SGD_PRIKEY_PASSWD0x00000106私鑰訪問控制碼

SGD_COMPARTITION_KEY0x00000107分隔密鑰

0x00000110～0x000001FF1)為自定義密鑰類型預(yù)留

1)：為自定義密鑰類型預(yù)留的標(biāo)識(shí)符，預(yù)留的標(biāo)簽可自定義。

10

GB/TXXXXX—XXXX

6.3.2密鑰操作標(biāo)識(shí)

密鑰操作標(biāo)識(shí)定義了對密鑰的操作內(nèi)容。

密鑰操作標(biāo)識(shí)的編碼規(guī)則為：從低位到高位，第0位到第7位表示密鑰管理標(biāo)識(shí)，第8位為1表示

為密鑰管理類標(biāo)識(shí)，第9位到第31位為0，例如：

SGD_KEY_DESTROY：00000000000000000000000100001010(0x0000010A)

密鑰操作標(biāo)識(shí)的定義如表18所示。

表18密鑰操作標(biāo)識(shí)

標(biāo)簽標(biāo)識(shí)符描述

SGD_KEY_GENERATION0x00000101密鑰生成

SGD_KEY_DISPENSE0x00000102密鑰分發(fā)

SGD_KEY_IMPORT0x00000103密鑰導(dǎo)入

SGD_KEY_EXPORT0x00000104密鑰導(dǎo)出

SGD_KEY_DIVISION0x00000105密鑰分割

SGD_KEY_COMPOSE0x00000106密鑰合成

SGD_KEY_RENEWAL0x00000107密鑰更新

SGD_KEY_BACKUP0x00000108密鑰備份

SGD_KEY_RESTORE0x00000109密鑰恢復(fù)

SGD_KEY_DESTROY0x0000010A密鑰銷毀

6.4系統(tǒng)管理標(biāo)識(shí)

系統(tǒng)管理標(biāo)識(shí)定義了在對安全系統(tǒng)進(jìn)行管理操作時(shí)的角色、操作、對象、結(jié)果等項(xiàng)的表示短語和數(shù)

據(jù)。

角色的定義和操作結(jié)果的定義見“角色管理標(biāo)識(shí)”中的“角色標(biāo)識(shí)”和“操作結(jié)果標(biāo)識(shí)”部分。

系統(tǒng)操作標(biāo)識(shí)定義了對安全系統(tǒng)所采取的管理操作項(xiàng)。

系統(tǒng)操作標(biāo)識(shí)的編碼規(guī)則為：從低位到高位，第0位到第7位表示系統(tǒng)管理操作，第8位、第10

位到第31位為0，第9位為1表示為系統(tǒng)或設(shè)備管理類標(biāo)識(shí)，例如：

SGD_SYSTEM_SHUT：00000000000000000000001000000011(0x00000203)

系統(tǒng)操作標(biāo)識(shí)的定義如表19所示。

表19系統(tǒng)操作標(biāo)識(shí)

標(biāo)簽標(biāo)識(shí)符描述

SGD_SYSTEM_INIT0x00000201系統(tǒng)安裝及初始化操作

SGD_SYSTEM_START0x00000202啟動(dòng)系統(tǒng)

SGD_SYSTEM_SHUT0x00000203關(guān)閉系統(tǒng)

SGD_SYSTEM_RESTART0x00000204重新啟動(dòng)系統(tǒng)

SGD_SYSTEM_QUERY0x00000205狀態(tài)查詢

SGD_SYSTEM_BACKUP0x00000206數(shù)據(jù)備份

SGD_SYSTEM_RESTORE0x00000207數(shù)據(jù)恢復(fù)

6.5設(shè)備管理標(biāo)識(shí)

6.5.1設(shè)備基本信息標(biāo)識(shí)

11

GB/TXXXXX—XXXX

設(shè)備信息標(biāo)識(shí)可以在從密碼設(shè)備中獲取設(shè)備型號(hào)、設(shè)備編號(hào)等信息時(shí)指定。

設(shè)備信息標(biāo)識(shí)的編碼規(guī)則為：從低位到高位，第0位到第7位表示設(shè)備信息標(biāo)識(shí)，第8位、第10

位到第31位為0，第9位為1，表示為系統(tǒng)或設(shè)備管理類標(biāo)識(shí)，例如：

SGD_DEVICE_DESCRIPTION：00000000000000000000001000010001(0x00000211)

設(shè)備信息標(biāo)識(shí)的定義如表20所示。

表20設(shè)備信息標(biāo)識(shí)

標(biāo)簽標(biāo)識(shí)符描述

SGD_DEVICE_SORT0x00000201設(shè)備類別，如密碼機(jī)、密碼

卡和智能密碼終端等

SGD_DEVICE_TYPE0x00000202設(shè)備型號(hào)

SGD_DEVICE_NAME0x00000203設(shè)備名稱

SGD_DEVICE_MANUFACTURER0x00000204生產(chǎn)廠商

SGD_DEVICE_HARDWARE_VERSIO0x00000205硬件版本

N

SGD_DEVICE_SOFTWARE_VERSION0x00000206軟件版本

SGD_DEVICE_STANDARD_VERSION0x00000207符合標(biāo)準(zhǔn)版本

SGD_DEVICE_SERIAL_NUMBER0x00000208設(shè)備編號(hào)

SGD_DEVICE_SUPPORT_ALG0x00000209設(shè)備能力字段，標(biāo)識(shí)密碼設(shè)

備支持的非對稱密碼算法

SGD_DEVICE_SUPPORT_ALG0x0000020A設(shè)備能力字段，標(biāo)識(shí)密碼設(shè)

備支持的對稱密碼算法

SGD_DEVICE_SUPPORT_HASH_ALG0x0000020B設(shè)備能力字段，標(biāo)識(shí)密碼設(shè)

備支持的雜湊密碼算法

SGD_DEVICE_SUPPORT_STORAGE_0x0000020C設(shè)備能力字段，標(biāo)識(shí)密碼設(shè)

SPACE備最大文件存儲(chǔ)空間

SGD_DEVICE_SUPPORT_FREE_SPAC0x0000020D設(shè)備能力字段，標(biāo)識(shí)密碼設(shè)

E備空閑文件存儲(chǔ)空間

SGD_DEVICE_RUNTIME0x0000020E已運(yùn)行時(shí)間

SGD_DEVICE_USED_TIMES0x0000020F設(shè)備被調(diào)用次數(shù)

SGD_DEVICE_LOCATION0x00000210設(shè)備物理位置

SGD_DEVICE_DESCRIPTION0x00000211設(shè)備描述

SGD_DEVICE_MANAGER_INFO0x00000212設(shè)備管理者描述信息

SGD_DEVICE_MAX_DATA_SIZE0x00000213設(shè)備能力字段，一次能處理

的數(shù)據(jù)容量

6.5.2設(shè)備類別標(biāo)識(shí)

6.5.2.1設(shè)備類別標(biāo)識(shí)格式

設(shè)備類別標(biāo)識(shí)包括設(shè)備形態(tài)和設(shè)備功能等信息，由設(shè)備形態(tài)標(biāo)識(shí)和設(shè)備功能標(biāo)識(shí)通過“或”運(yùn)算進(jìn)

行組合。

6.5.2.2設(shè)備形態(tài)標(biāo)識(shí)

設(shè)備形態(tài)標(biāo)識(shí)的編碼規(guī)則為：從低位到高位，第0位到第23位為0，第24位到第31位表示密碼

12

GB/TXXXXX—XXXX

設(shè)備的形態(tài)，例如：

SGD_DEVICE_SORT_SJ：00000010000000000000000000000000(0x02000000)

設(shè)備形態(tài)標(biāo)識(shí)的定義如表21所示。

表21設(shè)備形態(tài)標(biāo)識(shí)

標(biāo)簽標(biāo)識(shí)符描述

SGD_DEVICE_SORT_SJ0x02000000通過網(wǎng)絡(luò)提供服務(wù)的密碼設(shè)備

SGD_DEVICE_SORT_SK0x03000000不支持熱拔插功能的密碼設(shè)備，如PCI

密碼卡

SGD_DEVICE_SORT_SM0x04000000支持熱拔插的智能密碼鑰匙或智能卡

類密碼設(shè)備

0x05000000～0xFF0000001)為其他設(shè)備形態(tài)預(yù)留

1)：為其他設(shè)備形態(tài)預(yù)留的標(biāo)識(shí)符，預(yù)留的標(biāo)簽可自定義。

6.5.2.3設(shè)備功能標(biāo)識(shí)

設(shè)備功能標(biāo)識(shí)的編碼規(guī)則為：從低位到高位，第0位到第7位為0，第8位到第23位按位表示密

碼設(shè)備的主要功能，第24位到第31位為0，例如：

SGD_DEVICE_SORT_FE：00000000000000000000000100000000(0x00000100)

設(shè)備功能標(biāo)識(shí)的定義如表22所示。

表22設(shè)備功能標(biāo)識(shí)

標(biāo)簽標(biāo)識(shí)符描述

SGD_DEVICE_SORT_FE0x00000100加解密類密碼設(shè)備

SGD_DEVICE_SORT_FA0x00000200數(shù)據(jù)鑒別類密碼設(shè)備

SGD_DEVICE_SORT_FM0x00000400密鑰管理類密碼設(shè)備

0x00000800～0x008000001)為其他設(shè)備功能預(yù)留

1)：為其他設(shè)備功能預(yù)留的標(biāo)識(shí)符，預(yù)留的標(biāo)簽可自定義。

6.5.3設(shè)備操作標(biāo)識(shí)

對設(shè)備內(nèi)角色的管理操作見“角色管理標(biāo)識(shí)”部分。

對設(shè)備內(nèi)密鑰的管理操作見“密鑰管理標(biāo)識(shí)”部分。

對設(shè)備整體的管理操作見“系統(tǒng)管理標(biāo)識(shí)”部分。

6.5.4設(shè)備狀態(tài)標(biāo)識(shí)

設(shè)備狀態(tài)標(biāo)識(shí)，可以標(biāo)識(shí)密碼設(shè)備當(dāng)前的工作狀態(tài)。

設(shè)備狀態(tài)標(biāo)識(shí)的編碼規(guī)則為：從低位高位，第0位到第7位表示設(shè)備狀態(tài)標(biāo)識(shí)，第8位、第10位

到第31位為0，第9位為1，表示為系統(tǒng)或設(shè)備管理類標(biāo)識(shí)，例如：

SGD_STATUS_READY：00000000000000000000001000000010(0x00000202)

設(shè)備狀態(tài)標(biāo)識(shí)的定義如表23所示。

13

GB/TXXXXX—XXXX

表23設(shè)備狀態(tài)標(biāo)識(shí)

標(biāo)簽標(biāo)識(shí)符描述

SGD_STATUS_INIT0x00000201初始狀態(tài)，密碼設(shè)備內(nèi)沒有安裝密鑰，

不能提供服務(wù)

SGD_STATUS_READY0x00000202就緒狀態(tài)，已經(jīng)安裝密鑰，可以提供密

碼服務(wù)

SGD_STATUS_EXCEPTION0x00000203異常狀態(tài)，已安裝密鑰，但不能正常提

供密碼服務(wù)

6.5.5設(shè)備編號(hào)格式

設(shè)備編號(hào)，與設(shè)備型號(hào)組合使用可唯一的標(biāo)識(shí)某一密碼設(shè)備。在設(shè)備型號(hào)相同的情況下，該設(shè)備編

號(hào)具有唯一性，不可重復(fù)。

標(biāo)簽格式：XXXXXXXX–XXX–XXXXX（生產(chǎn)日期–批次號(hào)–流水號(hào)）

生產(chǎn)日期，8位數(shù)字，表示該密碼設(shè)備的生產(chǎn)日期，按從左到右的順序，分別是年4位數(shù)字，月2

位數(shù)字，日2位數(shù)字，如20080229；

批次號(hào)，3位數(shù)字，表示同型號(hào)密碼設(shè)備的生產(chǎn)批次，不足3位數(shù)字，則在左邊用0填充至3位，

如：001；

流水號(hào)，5位數(shù)字，某一型號(hào)某一批次產(chǎn)品的流水編號(hào)，不足5位數(shù)字，則在左邊用0填充至5位，

如：00123。

設(shè)備編號(hào)的編碼規(guī)則為：每4位表示設(shè)備編號(hào)的1個(gè)數(shù)字，從高位到低位，第63位到第32位表示

生產(chǎn)日期，第33位到第44位表示批次號(hào)，第45位到第64位表示流水號(hào)，例如：

20080229–001–00123表示為：0x2008022900100123

14

GB/TXXXXX—XXXX

附錄A

（規(guī)范性附錄）

商用密碼領(lǐng)域中的相關(guān)OID定義

商用密碼領(lǐng)域中的OID定義了各類對象的標(biāo)識(shí)符，具體定義見表A.1。

表A.1商用密碼領(lǐng)域中的相關(guān)OID定義

對象標(biāo)識(shí)符OID對象標(biāo)識(shí)符定義備注

通用對象標(biāo)識(shí)符

1.2