《信息安全技術 密碼應用標識規(guī)范》

ICS35.040

L80

中華人民共和國國家標準

GB/TXXXXX—XXXX

信息安全技術密碼應用標識規(guī)范

InformationSecurityTechnology-Cryptographicapplicationidentifiercriterion

specification

點擊此處添加與國際標準一致性程度的標識

（征求意見稿）

在提交反饋意見時，請將您知道的相關專利連同支持性文件一并附上。

XXXX-XX-XX發(fā)布XXXX-XX-XX實施

GB/TXXXXX—XXXX

引??言

在密碼應用中，通常使用某一字段或短語來表示所使用的密碼算法或數(shù)據(jù)實體等信息數(shù)據(jù)，如果不

對這些標識的定義進行統(tǒng)一，則很難做到密碼協(xié)議、密碼接口間的互聯(lián)互通。

本標準的目標就是規(guī)范密碼協(xié)議接口、管理等各方面使用的標識，以實現(xiàn)密碼基礎設施各組件間的

兼容和統(tǒng)一，也能夠有效的指導、幫助密碼設備的研制和協(xié)議的實現(xiàn)，有利于管理部門實施有效的管理。

本標準編制過程中得到了國家商用密碼應用技術體系總體工作組的指導。

I

GB/TXXXXX—XXXX

密碼應用標識規(guī)范

1范圍

本標準定義了密碼應用中所使用的標識，用于規(guī)范算法標識、密鑰標識、設備標識、數(shù)據(jù)標識、協(xié)

議標識、角色標識等的表示和使用。商用密碼領域中的對象標識符（OID）的定義見附錄A。

本標準適用于指導密碼設備、密碼系統(tǒng)的研制和使用過程中，對標識進行規(guī)范化的使用，也可用于

指導其他相關標準或協(xié)議的編制中對標識的使用。

2術語和定義

下列術語和定義適用于本文件。

2.1

標識符identifier

一個32位整數(shù)，用于標識在密碼服務或密碼管理中涉及到的密碼算法、密碼協(xié)議等。

2.2

公鑰證書publickeycertificate

確立擁有公鑰的實體的身份的數(shù)字證書（數(shù)字身份證）。該證書是由第三方可信機構簽名頒發(fā)的，

證明主體公鑰和主體標識信息之間綁定關系的有效性。通常，證書含有與主體有關的不可偽造的公開密

鑰信息。

2.3

網絡字節(jié)順序networkbyteorder

采用Big-endian排序方式規(guī)定好的的一種數(shù)據(jù)表示格式。該排序方式與具體的CPU類型、操作系統(tǒng)

等無關，從而可以保證數(shù)據(jù)在不同主機之間傳輸時可以被正確解釋。

3符號和縮略語

下列符號和縮略語適用于本文件。

BASE64將十六進制數(shù)據(jù)轉換為可見字符的編碼規(guī)則

CBC密碼分組鏈接模式（CipherBlockChaining）

ECB電碼本模式（ElectronicCodeBook）

CFB密文反饋模式（CiphertextFeedback）

OFB輸出反饋模式（OutputFeedback）

OID對象標識符（ObjectIdentifier）

1

GB/TXXXXX—XXXX

MAC消息認證碼（MessageAuthenticationCode）

CRL證書吊銷列表（CertificateRevocationList）

OCSP在線證書狀態(tài)協(xié)議（OnlineCertificateStatusProtocol）

4標識的格式和編碼

標識符為32位無符號整數(shù)類型，在密碼服務接口或安全管理接口的實現(xiàn)或調用時直接作為整數(shù)類

型進行定義或處理。

在跨平臺傳輸時，為避免不同平臺字節(jié)順序差異帶來的影響或錯誤，應將標識符按照高位字節(jié)在前

的網絡字節(jié)順序進行處理。

5密碼服務類標識

5.1概述

密碼服務類標識定義了在密碼服務設備或密碼服務接口中涉及到的密碼算法、運算數(shù)據(jù)、密碼協(xié)議

等項的表示短語和數(shù)據(jù)，該類數(shù)據(jù)標識在密碼設備或密碼服務接口的調用過程中使用，如數(shù)據(jù)加密、數(shù)

字簽名、身份鑒別等應用場景。

5.2算法標識

5.2.1分組密碼算法標識

分組密碼算法標識包含密碼算法的類型以及分組算法的加密模式，在調用密碼服務進行密碼操作或

在獲取密碼設備的密碼運算能力時使用。

分組密碼算法標識的編碼規(guī)則為：從低位到高位，第0位到第7位按位表示分組密碼算法工作模式，

第8位到第31位按位表示分組密碼算法，例如：

SGD_SM1_ECB：00000000000000000000000100000001(0x00000101)

SGD_SSF33_MAC：00000000000000000000001000010000(0x00000210)

當多個分組密碼算法同時存在時，可用“或”的形式表示。

分組密碼算法的標識如表1所示。

表1分組密碼算法的標識

標簽標識符描述

SGD_SM1_ECB0x00000101SM1算法ECB加密模式

SGD_SM1_CBC0x00000102SM1算法CBC加密模式

SGD_SM1_CFB0x00000104SM1算法CFB加密模式

SGD_SM1_OFB0x00000108SM1算法OFB加密模式

SGD_SM1_MAC0x00000110SM1算法MAC運算

SGD_SSF33_ECB0x00000201SSF33算法ECB加密模式

SGD_SSF33_CBC0x00000202SSF33算法CBC加密模式

SGD_SSF33_CFB0x00000204SSF33算法CFB加密模式

SGD_SSF33_OFB0x00000208SSF33算法OFB加密模式

SGD_SSF33_MAC0x00000210SSF33算法MAC運算

SGD_SM4_ECB0x00000401SM4算法ECB加密模式

SGD_SM4_CBC0x00000402SM4算法CBC加密模式

2

GB/TXXXXX—XXXX

表1（續(xù)）

標簽標識符描述

SGD_SM4_CFB0x00000404SM4算法CFB加密模式

SGD_SM4_OFB0x00000408SM4算法OFB加密模式

SGD_SM4_MAC0x00000410SM4算法MAC運算

SGD_ZUC_EEA30x00000801ZUC祖沖之機密性算法128-EEA3算法

SGD_ZUC_EIA30x00000802ZUC祖沖之完整性算法128-EIA3算法

0x00001000～0x800000FF1)為其他分組密碼算法預留

1)：為其他分組密碼算法預留的標識符，預留的標簽可自定義。

5.2.2非對稱密碼算法標識

非對稱密碼算法標識僅定義了密碼算法的類型，在使用非對稱算法進行數(shù)字簽名運算時，可將非對

稱密碼算法標識符與密碼雜湊算法標識符進行“或”運算后使用，如“RSAwithSHA_1”可表示為

SGD_RSA|SGD_SHA1，即0x00010002，“|”表示“或”運算。

非對稱密碼算法標識的編碼規(guī)則為：從低位到高位，第0位到第7位為0，第8位到第15位按位

表示非對稱密碼算法的算法協(xié)議，如果所表示的非對稱算法沒有相應的算法協(xié)議則為0，第16位到第

31位按位表示非對稱密碼算法類型，例如：

SGD_SM2_1：00000000000000100000001000000000(0x00020200)

當多個非對稱密碼算法同時存在時，可用“或”的形式表示。

非對稱密碼算法的標識如表2所示。

表2非對稱密碼算法的標識

標簽標識符描述

SGD_RSA0x00010000RSA算法

SGD_SM20x00020100SM2橢圓曲線密碼算法

SGD_SM2_10x00020200SM2橢圓曲線簽名算法

SGD_SM2_20x00020400SM2橢圓曲線密鑰交換協(xié)議

SGD_SM2_30x00020800SM2橢圓曲線加密算法

0x00040000～0x800000001)為其他非對稱密碼算法預留

1)：為其他非對稱密碼算法預留的標識符，預留的標簽可自定義。

5.2.3密碼雜湊算法標識

密碼雜湊算法標識可以在進行雜湊運算或計算MAC時應用，也可以與非對稱密碼算法標識進行

“或”運算后使用，表示簽名運算前對數(shù)據(jù)進行雜湊運算的算法類型。

密碼雜湊算法標識的編碼規(guī)則為：從低位到高位，第0位到第7位表示密碼雜湊算法，第8位到第

31位為0，例如：

SGD_SM3：00000000000000000000000000000001(0x00000001)

當多個密碼雜湊算法同時存在時，可用“或”的形式表示。

密碼雜湊算法的標識如表3所示。

3

GB/TXXXXX—XXXX

表3密碼雜湊算法的標識

標簽標識符描述

SGD_SM30x00000001SM3雜湊算法

SGD_SHA10x00000002SHA_1雜湊算法

SGD_SHA2560x00000004SHA_256雜湊算法

0x00000008～0x000000FF1)為其他密碼雜湊算法預留

1)：為其他密碼雜湊算法預留的標識符，預留的標簽可自定義。

5.2.4簽名算法標識

簽名算法標識在進行數(shù)字簽名時應用。

簽名算法標識的編碼規(guī)則為：從低位到高位，第0位到第7位表示密碼雜湊算法，第8位到第31

位表示非對稱密碼算法，例如：

SGD_SHA1_RSA：00000000000000010000000000000010(0x00010002)

簽名算法的標識如表4所示。

表4簽名算法的標識

標簽標識符描述

SGD_SM3_RSA0x00010001基于SM3算法和RSA算法的簽名

SGD_SHA1_RSA0x00010002基于SHA_1算法和RSA算法的簽名

SGD_SHA256_RSA0x00010004基于SHA_256算法和RSA算法的簽名

SGD_SM3_SM20x00020201基于SM3算法和SM2算法的簽名

0x00040000～0x800000FF1)為其他密碼簽名算法預留

1)：為其他密碼簽名算法預留的標識符，預留的標簽可自定義。

5.3數(shù)據(jù)標識

5.3.1數(shù)據(jù)類型

數(shù)據(jù)類型定義了在公鑰密碼基礎設施技術應用體系下各標準中用到的數(shù)據(jù)類型標簽。

數(shù)據(jù)類型標簽的定義如表5所示。

表5數(shù)據(jù)類型標簽

標簽說明

SGD_CHAR8位，有符號字符

SGD_INT88位，有符號整數(shù)

SGD_INT1616位，有符號整數(shù)

SGD_INT3232位，有符號整數(shù)

SGD_INT6464位，有符號整數(shù)

SGD_UCHAR8位，無符號字符

SGD_UINT88位，無符號整數(shù)

SGD_UINT1616位，無符號整數(shù)

SGD_UINT3232位，無符號整數(shù)

SGD_UINT6464位，無符號整數(shù)

SGD_RV32位，無符號整數(shù)，表示函數(shù)返回值

4

GB/TXXXXX—XXXX

表5（續(xù)）

標簽說明

SGD_OBJ無符號指針類型，表示對象句柄

SGD_BOOL32位，有符號整數(shù)，表示布爾型

5.3.2數(shù)據(jù)常量標識

數(shù)據(jù)常量標識定義了在公鑰密碼基礎設施技術應用體系下各標準中用到的常量的標簽及取值。

數(shù)據(jù)常量標識的定義如表6所示。

表6數(shù)據(jù)常量標識

標簽標識符描述

SGD_TRUE0x00000001布爾值為真

SGD_FALSE0x00000000布爾值為假

5.3.3通用數(shù)據(jù)對象標識

在數(shù)據(jù)的存儲或傳輸過程中，可能需要對某些數(shù)據(jù)的特殊性進行明確的標識，以保證目標系統(tǒng)能夠

對接收數(shù)據(jù)進行正確的處理。

通用數(shù)據(jù)標識的編碼規(guī)則為：從低位到高位，第0位到第7位表示數(shù)據(jù)對象的屬性，第8位為1，

第9位到第31位為0，例如：

SGD_USER_DATA：00000000000000000000000100010111(0x00000117)

通用數(shù)據(jù)對象標識的定義如表7所示。

表7通用數(shù)據(jù)對象標識

標簽標識符描述

SGD_KEY_INDEX0x00000101密鑰索引

SGD_SECRET_KEY0x00000102對稱密鑰

SGD_PUBLIC_KEY_SIGN0x00000103簽名公鑰

SGD_PUBLIC_KEY_ENCRYPT0x00000104加密公鑰

SGD_PRIVATE_KEY_SIGN0x00000105簽名私鑰

SGD_PRIVATE_KEY_ENCRYPT0x00000106加密私鑰

SGD_KEY_COMPONENT0x00000107密鑰部件

SGD_PASSWORD0x00000108口令

SGD_PUBLIC_KEY_CERT0x00000109公鑰證書

SGD_ATTRIBUTE_CERT0x0000010A屬性證書

SGD_SIGNATURE_DATA0x00000111數(shù)字簽名

SGD_ENVELOPE_DATA0x00000112數(shù)字信封

SGD_RANDOM_DATA0x00000113隨機數(shù)

SGD_PLAIN_DATA0x00000114明文數(shù)據(jù)

SGD_CIPHER_DATA0x00000115密文數(shù)據(jù)

SGD_DIGEST_DATA0x00000116摘要數(shù)據(jù)

SGD_USER_DATA0x00000117用戶數(shù)據(jù)

0x00000118～0x000001FF1)為其他數(shù)據(jù)對象預留

1)：為其他數(shù)據(jù)對象預留的標識符，預留的標簽可自定義。

5

GB/TXXXXX—XXXX

5.3.4證書解析項標識

在實現(xiàn)身份鑒別、授權管理、訪問控制等安全機制時，需要解析證書項以獲取公鑰證書信息，在這

種情況下需要通過標識符指定證書項內容。

證書解析項標識的編碼規(guī)則為：從低位到高位，第0位到第7位表示證書解析項的內容，第8位到

第31位為0，例如：

SGD_EXT_KEYUSAGE_INFO：00000000000000000000000000010011(0x00000013)

證書解析項標識的定義如表8所示。

表8證書解析項標識

標簽標識符描述

SGD_CERT_VERSION0x00000001證書版本

SGD_CERT_SERIAL0x00000002證書序列號

SGD_CERT_ISSUER0x00000005證書頒發(fā)者信息

SGD_CERT_VALID_TIME0x00000006證書有效期

SGD_CERT_SUBJECT0x00000007證書擁有者信息

SGD_CERT_DER_PUBLIC_KEY0x00000008證書公鑰信息

SGD_CERT_DER_EXTENSIONS0x00000009證書擴展項信息

SGD_EXT_AUTHORITYKEYIDENTIFIE0x00000011頒發(fā)者密鑰標識符

R_INFO

SGD_EXT_SUBJECTKEYIDENTIFIER_I0x00000012證書持有者密鑰標識符

NFO

SGD_EXT_KEYUSAGE_INFO0x00000013密鑰用途

SGD_EXT_PRIVATEKEYUSAGEPERIO0x00000014私鑰有效期

D_INFO

SGD_EXT_CERTIFICATEPOLICIES_INF0x00000015證書策略

O

SGD_EXT_POLICYMAPPINGS_INFO0x00000016策略映射

SGD_EXT_BASICCONSTRAINTS_INFO0x00000017基本限制

SGD_EXT_POLICYCONSTRAINTS_INF0x00000018策略限制

O

SGD_EXT_EXTKEYUSAGE_INFO0x00000019擴展密鑰用途

SGD_EXT_CRLDISTRIBUTIONPOINTS0x0000001ACRL發(fā)布點

_INFO

SGD_EXT_NETSCAPE_CERT_TYPE_IN0x0000001BNetscape屬性

FO

SGD_EXT_SELFDEFINED_EXTENSION0x0000001C私有的自定義擴展項

_INFO

SGD_CERT_ISSUER_CN0x00000021證書頒發(fā)者CN

SGD_CERT_ISSUER_O0x00000022證書頒發(fā)者O

SGD_CERT_ISSUER_OU0x00000023證書頒發(fā)者OU

SGD_CERT_SUBJECT_CN0x00000031證書擁有者信息CN

SGD_CERT_SUBJECT_O0x00000032證書擁有者信息O

SGD_CERT_SUBJECT_OU0x00000033證書擁有者信息OU

6

GB/TXXXXX—XXXX

表8（續(xù)）

標簽標識符描述

SGD_CERT_SUBJECT_EMAIL0x00000034證書擁有者信息EMAIL

SGD_CERT_NOTBEFORE_TIME0x00000035證書起始日期

SGD_CERT_NOTAFTER_TIME0x00000036證書截至日期

0x00000080～0x000000FF1)為其他證書解析項預留

1)：為其他證書解析項預留的標識符，預留的標簽可自定義。

5.3.5時間戳信息項標識

在時間戳系統(tǒng)的實現(xiàn)及時間戳的應用過程中，需要解析時間戳信息，在這種情況下需要通過標識符

指定時間戳信息項的內容。

時間戳信息項標識的編碼規(guī)則為：從低位到高位，第0位到第7位表示時間戳信息項的內容，第8

位、第10位到第31位為0，第9位為1，例如：

SGD_SOURCE_OF_TIME：00000000000000000000001000000110(0x00000206)

時間戳信息項標識的定義如表9所示。

表9時間戳信息項標識

標簽標識符描述

SGD_TIME_OF_STAMP0x00000201簽發(fā)時間

SGD_CN_OF_TSSIGNER0x00000202簽發(fā)者的通用名

SGD_ORINGINAL_DATA0x00000203時間戳請求的原始信息

SGD_CERT_OF_TSSERVER0x00000204時間戳服務器的證書

SGD_CERTCHAIN_OF_TSSERVER0x00000205時間戳服務器的證書鏈

SGD_SOURCE_OF_TIME0x00000206時間源的來源

SGD_TIME_PRECISION0x00000207時間精度

SGD_RESPONSE_TYPE0x00000208響應方式

SGD_SUBJECT_COUNTRY_OF_TSSIGN0x00000209簽發(fā)者國家

ER

SGD_SUBJECT_ORGNIZATION_OF_TS0x0000020A簽發(fā)者組織

SIGNER

SGD_SUBJECT_CITY_OF_TSSIGNER0x0000020B簽發(fā)者城市

SGD_SUBJECT_EMAIL_OF_TSSIGNER0x0000020C簽發(fā)者電子信箱

0x00000280～0x000002FF1)為其他時間戳信息項預留

1)：為其他時間戳信息項預留的標識符，預留的標簽可自定義。

5.3.6單點登錄標識

在單點登錄系統(tǒng)中，存在一些數(shù)據(jù)標識用于唯一的表示某一用戶或某一服務提供者。

單點登錄標識項的編碼規(guī)則為：從低位到高位，第0位到第7位表示單點登錄標識項的內容，第8

位到第31位為0，例如：

SGD_SP_ID：00000000000000000000000000000001(0x00000001)

單點登錄標識的定義如表10所示。

7

GB/TXXXXX—XXXX

表10單點登錄標識

標簽標識符描述

SGD_SP_ID0x00000001服務提供者唯一標識數(shù)據(jù)

SGD_SP_USER_ID0x00000002SP用戶標識數(shù)據(jù)，在SP內唯一

SGD_IDP_ID0x00000003身份鑒別提供者唯一標識數(shù)據(jù)

SGD_IDP_USER_ID0x00000004IDP用戶標識數(shù)據(jù)，在IDP內唯一

5.3.7數(shù)據(jù)編碼格式標識

數(shù)據(jù)在存儲或傳輸時需要按照約定的格式進行編碼，以保證不同應用或不同應用系統(tǒng)之間的互聯(lián)互

通性。編碼格式標識符需要與通用數(shù)據(jù)標識符或證書解析項標識符等進行“或”運算后使用，作為數(shù)據(jù)

的附加屬性，表示數(shù)據(jù)對象符合指定編碼格式。

數(shù)據(jù)編碼格式標識的編碼規(guī)則為：從低位到高位，第0位到第23位為0，第24位到第31位表示

數(shù)據(jù)編碼格式，例如：

SGD_ENCODING_DER：00000001000000000000000000000000(0x01000000)

數(shù)據(jù)編碼格式標識的定義如表11所示。

表11數(shù)據(jù)編碼格式標識

標簽標識符描述

SGD_ENCODING_RAW0x00000000無編碼

SGD_ENCODING_DER0x01000000DER編碼

SGD_ENCODING_BASE640x02000000Base64編碼

SGD_ENCODING_PEM0x03000000PEM編碼

SGD_ENCODING_TXT0x04000000由'0'～'9'、'A'～'F'等字符表示16進制數(shù)

據(jù)的字符串

0x80000000～0xFF0000001)為自定義編碼格式預留

1)：為自定義編碼格式預留的標識符，預留的標簽可自定義。

5.4協(xié)議標識

5.4.1接口描述標識

在安全應用系統(tǒng)中為區(qū)分密碼服務提供者所采用的協(xié)議或規(guī)范，可以采用接口描述標識。

接口描述標識使用32位無符號整數(shù)表示，其定義如表12所示。

表12接口描述標識

標簽標識符描述

SGD_PROTOCOL_CSP1CryptographicServiceProvider接口

SGD_PROTOCOL_PKCS112PKCS#11接口

SGD_PROTOCOL_SDS3密碼設備應用接口

SGD_PROTOCOL_UKEY4智能IC卡及智能密碼鑰匙接口

SGD_PROTOCOL_CNG5CryptographicNextGeneration接口

SGD_PROTOCOL_GCS6通用密碼服務接口

8

GB/TXXXXX—XXXX

5.4.2證書驗證模式標識

在驗證證書的有效性時，除了檢查證書的有效期、證書的簽名是否有效外，還應通過CRL或OCSP

等方式檢查證書是否被注銷等異常狀態(tài)。

證書驗證模式標識使用32位無符號整數(shù)表示，其定義如表13所示。

表13證書驗證模式標識

標簽標識符描述

SGD_CRL_VERIFY1CRL驗證模式

SGD_OCSP_VERIFY2OCSP驗證模式

6安全管理類標識

6.1概述

安全管理類標識定義了在安全系統(tǒng)管理、設備管理中涉及到的系統(tǒng)角色、安全操作等項的表示短語

和數(shù)據(jù)。該類數(shù)據(jù)標識在安全管理接口的調用過程中使用，或在安全系統(tǒng)或設備管理的日志信息采集、

處理過程中使用，也可應用于其他安全管理活動中。

6.2角色管理標識

6.2.1角色標識

角色是在管理操作中的主體，是管理活動的實施者，在角色管理操作中也會作為被管理的對象。

角色標識的編碼規(guī)則為：從低位到高位，第0到第7位表示角色，第8位到第31位為0，例如：

SGD_ROLE_OPERATOR：00000000000000000000000000000101(0x00000005)

角色標識的定義如表14所示。

表14角色標識

標簽標識符描述

SGD_ROLE_SUPER_MANAGER0x00000001超級管理員

SGD_ROLE_MANAGER0x00000002業(yè)務管理員

SGD_ROLE_AUDIT_MANAGER0x00000003審計管理員

SGD_ROLE_AUDITOR0x00000004審計操作員

SGD_ROLE_OPERATOR0x00000005業(yè)務操作員

SGD_ROLE_USER0x00000006用戶

0x00000081～0x000000FF1)為自定義角色預留

1)：為自定義角色預留的標識符，預留的標簽可自定義。

6.2.2角色操作標識

角色操作標識符包含角色自身的行為，如簽入、簽出、修改口令等操作，和對其他角色的管理行為，

如創(chuàng)建角色、刪除角色、修改角色、對角色授權等操作。

角色操作標識的編碼規(guī)則為：從低位到高位，第0位到第7位表示角色管理操作，第8位到第31

位為0，例如：

SGD_OPERATION_SIGNIN：00000000000000000000000000000001(0x00000001)

9

GB/TXXXXX—XXXX

角色操作標識的定義如表15所示。

表15角色操作標識

標簽標識符描述

SGD_OPERATION_SIGNIN0x00000001簽入

SGD_OPERATION_SIGNOUT0x00000002簽出

SGD_OPERATION_CREATE0x00000003創(chuàng)建

SGD_OPERATION_DELETE0x00000004刪除

SGD_OPERATION_MODIFY0x00000005修改

SGD_OPERATION_CHG_PWD0x00000006修改口令

SGD_OPERATION_AUTHORIZATION0x00000007授權

6.2.3操作結果標識

操作結果標識符表示管理活動的結束狀態(tài)，分別是成功和失敗兩種狀態(tài)。

操作結果標識的定義如表16所示。

表16操作結果標識

標簽標識符描述

SGD_OPERATION_SUCCESS0x00000000成功

0x00000001～0xFFFFFFFF1)失敗，表示錯誤碼

1)：為錯誤碼預留的標識符，預留的標簽可自定義。

6.3密鑰管理標識

6.3.1密鑰分類標識

密鑰分類標識密鑰的屬性信息，屬于被管理的對象。

密鑰分類標識的編碼規(guī)則為：從低位到高位，第0位到第7位表示密鑰對象，第8位為1表示為密

鑰管理類標識，第9位到第31位為0，例如：

SGD_PRIKEY_PASSWD：00000000000000000000000100000110(0x00000106)

密鑰分類標識的定義如表17所示。

表17密鑰分類標識

標簽標識符描述

SGD_MAIN_KEY0x00000101主密鑰

SGD_DEVICE_KEYS0x00000102設備密鑰

SGD_USER_KEYS0x00000103用戶密鑰

SGD_KEK0x00000104密鑰加密密鑰

SGD_SESSION_KEY0x00000105會話密鑰

SGD_PRIKEY_PASSWD0x00000106私鑰訪問控制碼

SGD_COMPARTITION_KEY0x00000107分隔密鑰

0x00000110～0x000001FF1)為自定義密鑰類型預留

1)：為自定義密鑰類型預留的標識符，預留的標簽可自定義。

10

GB/TXXXXX—XXXX

6.3.2密鑰操作標識

密鑰操作標識定義了對密鑰的操作內容。

密鑰操作標識的編碼規(guī)則為：從低位到高位，第0位到第7位表示密鑰管理標識，第8位為1表示

為密鑰管理類標識，第9位到第31位為0，例如：

SGD_KEY_DESTROY：00000000000000000000000100001010(0x0000010A)

密鑰操作標識的定義如表18所示。

表18密鑰操作標識

標簽標識符描述

SGD_KEY_GENERATION0x00000101密鑰生成

SGD_KEY_DISPENSE0x00000102密鑰分發(fā)

SGD_KEY_IMPORT0x00000103密鑰導入

SGD_KEY_EXPORT0x00000104密鑰導出

SGD_KEY_DIVISION0x00000105密鑰分割

SGD_KEY_COMPOSE0x00000106密鑰合成

SGD_KEY_RENEWAL0x00000107密鑰更新

SGD_KEY_BACKUP0x00000108密鑰備份

SGD_KEY_RESTORE0x00000109密鑰恢復

SGD_KEY_DESTROY0x0000010A密鑰銷毀

6.4系統(tǒng)管理標識

系統(tǒng)管理標識定義了在對安全系統(tǒng)進行管理操作時的角色、操作、對象、結果等項的表示短語和數(shù)

據(jù)。

角色的定義和操作結果的定義見“角色管理標識”中的“角色標識”和“操作結果標識”部分。

系統(tǒng)操作標識定義了對安全系統(tǒng)所采取的管理操作項。

系統(tǒng)操作標識的編碼規(guī)則為：從低位到高位，第0位到第7位表示系統(tǒng)管理操作，第8位、第10

位到第31位為0，第9位為1表示為系統(tǒng)或設備管理類標識，例如：

SGD_SYSTEM_SHUT：00000000000000000000001000000011(0x00000203)

系統(tǒng)操作標識的定義如表19所示。

表19系統(tǒng)操作標識

標簽標識符描述

SGD_SYSTEM_INIT0x00000201系統(tǒng)安裝及初始化操作

SGD_SYSTEM_START0x00000202啟動系統(tǒng)

SGD_SYSTEM_SHUT0x00000203關閉系統(tǒng)

SGD_SYSTEM_RESTART0x00000204重新啟動系統(tǒng)

SGD_SYSTEM_QUERY0x00000205狀態(tài)查詢

SGD_SYSTEM_BACKUP0x00000206數(shù)據(jù)備份

SGD_SYSTEM_RESTORE0x00000207數(shù)據(jù)恢復

6.5設備管理標識

6.5.1設備基本信息標識

11

GB/TXXXXX—XXXX

設備信息標識可以在從密碼設備中獲取設備型號、設備編號等信息時指定。

設備信息標識的編碼規(guī)則為：從低位到高位，第0位到第7位表示設備信息標識，第8位、第10

位到第31位為0，第9位為1，表示為系統(tǒng)或設備管理類標識，例如：

SGD_DEVICE_DESCRIPTION：00000000000000000000001000010001(0x00000211)

設備信息標識的定義如表20所示。

表20設備信息標識

標簽標識符描述

SGD_DEVICE_SORT0x00000201設備類別，如密碼機、密碼

卡和智能密碼終端等

SGD_DEVICE_TYPE0x00000202設備型號

SGD_DEVICE_NAME0x00000203設備名稱

SGD_DEVICE_MANUFACTURER0x00000204生產廠商

SGD_DEVICE_HARDWARE_VERSIO0x00000205硬件版本

N

SGD_DEVICE_SOFTWARE_VERSION0x00000206軟件版本

SGD_DEVICE_STANDARD_VERSION0x00000207符合標準版本

SGD_DEVICE_SERIAL_NUMBER0x00000208設備編號

SGD_DEVICE_SUPPORT_ALG0x00000209設備能力字段，標識密碼設

備支持的非對稱密碼算法

SGD_DEVICE_SUPPORT_ALG0x0000020A設備能力字段，標識密碼設

備支持的對稱密碼算法

SGD_DEVICE_SUPPORT_HASH_ALG0x0000020B設備能力字段，標識密碼設

備支持的雜湊密碼算法

SGD_DEVICE_SUPPORT_STORAGE_0x0000020C設備能力字段，標識密碼設

SPACE備最大文件存儲空間

SGD_DEVICE_SUPPORT_FREE_SPAC0x0000020D設備能力字段，標識密碼設

E備空閑文件存儲空間

SGD_DEVICE_RUNTIME0x0000020E已運行時間

SGD_DEVICE_USED_TIMES0x0000020F設備被調用次數(shù)

SGD_DEVICE_LOCATION0x00000210設備物理位置

SGD_DEVICE_DESCRIPTION0x00000211設備描述

SGD_DEVICE_MANAGER_INFO0x00000212設備管理者描述信息

SGD_DEVICE_MAX_DATA_SIZE0x00000213設備能力字段，一次能處理

的數(shù)據(jù)容量

6.5.2設備類別標識

6.5.2.1設備類別標識格式

設備類別標識包括設備形態(tài)和設備功能等信息，由設備形態(tài)標識和設備功能標識通過“或”運算進

行組合。

6.5.2.2設備形態(tài)標識

設備形態(tài)標識的編碼規(guī)則為：從低位到高位，第0位到第23位為0，第24位到第31位表示密碼

12

GB/TXXXXX—XXXX

設備的形態(tài)，例如：

SGD_DEVICE_SORT_SJ：00000010000000000000000000000000(0x02000000)

設備形態(tài)標識的定義如表21所示。

表21設備形態(tài)標識

標簽標識符描述

SGD_DEVICE_SORT_SJ0x02000000通過網絡提供服務的密碼設備

SGD_DEVICE_SORT_SK0x03000000不支持熱拔插功能的密碼設備，如PCI

密碼卡

SGD_DEVICE_SORT_SM0x04000000支持熱拔插的智能密碼鑰匙或智能卡

類密碼設備

0x05000000～0xFF0000001)為其他設備形態(tài)預留

1)：為其他設備形態(tài)預留的標識符，預留的標簽可自定義。

6.5.2.3設備功能標識

設備功能標識的編碼規(guī)則為：從低位到高位，第0位到第7位為0，第8位到第23位按位表示密

碼設備的主要功能，第24位到第31位為0，例如：

SGD_DEVICE_SORT_FE：00000000000000000000000100000000(0x00000100)

設備功能標識的定義如表22所示。

表22設備功能標識

標簽標識符描述

SGD_DEVICE_SORT_FE0x00000100加解密類密碼設備

SGD_DEVICE_SORT_FA0x00000200數(shù)據(jù)鑒別類密碼設備

SGD_DEVICE_SORT_FM0x00000400密鑰管理類密碼設備

0x00000800～0x008000001)為其他設備功能預留

1)：為其他設備功能預留的標識符，預留的標簽可自定義。

6.5.3設備操作標識

對設備內角色的管理操作見“角色管理標識”部分。

對設備內密鑰的管理操作見“密鑰管理標識”部分。

對設備整體的管理操作見“系統(tǒng)管理標識”部分。

6.5.4設備狀態(tài)標識

設備狀態(tài)標識，可以標識密碼設備當前的工作狀態(tài)。

設備狀態(tài)標識的編碼規(guī)則為：從低位高位，第0位到第7位表示設備狀態(tài)標識，第8位、第10位

到第31位為0，第9位為1，表示為系統(tǒng)或設備管理類標識，例如：

SGD_STATUS_READY：00000000000000000000001000000010(0x00000202)

設備狀態(tài)標識的定義如表23所示。

13

GB/TXXXXX—XXXX

表23設備狀態(tài)標識

標簽標識符描述

SGD_STATUS_INIT0x00000201初始狀態(tài)，密碼設備內沒有安裝密鑰，

不能提供服務

SGD_STATUS_READY0x00000202就緒狀態(tài)，已經安裝密鑰，可以提供密

碼服務

SGD_STATUS_EXCEPTION0x00000203異常狀態(tài)，已安裝密鑰，但不能正常提

供密碼服務

6.5.5設備編號格式

設備編號，與設備型號組合使用可唯一的標識某一密碼設備。在設備型號相同的情況下，該設備編

號具有唯一性，不可重復。

標簽格式：XXXXXXXX–XXX–XXXXX（生產日期–批次號–流水號）

生產日期，8位數(shù)字，表示該密碼設備的生產日期，按從左到右的順序，分別是年4位數(shù)字，月2

位數(shù)字，日2位數(shù)字，如20080229；

批次號，3位數(shù)字，表示同型號密碼設備的生產批次，不足3位數(shù)字，則在左邊用0填充至3位，

如：001；

流水號，5位數(shù)字，某一型號某一批次產品的流水編號，不足5位數(shù)字，則在左邊用0填充至5位，

如：00123。

設備編號的編碼規(guī)則為：每4位表示設備編號的1個數(shù)字，從高位到低位，第63位到第32位表示

生產日期，第33位到第44位表示批次號，第45位到第64位表示流水號，例如：

20080229–001–00123表示為：0x2008022900100123

14

GB/TXXXXX—XXXX

附錄A

（規(guī)范性附錄）

商用密碼領域中的相關OID定義

商用密碼領域中的OID定義了各類對象的標識符，具體定義見表A.1。

表A.1商用密碼領域中的相關OID定義

對象標識符OID對象標識符定義備注

通用對象標識符

1.2