GM-T 0029-2014 清晰版 簽名驗(yàn)簽服務(wù)器技術(shù)規(guī)范

ICS35.040L80中華人民共和國密碼行業(yè)標(biāo)準(zhǔn)簽名驗(yàn)簽服務(wù)器技術(shù)規(guī)范2014-02-13發(fā)布2014-02-13實(shí)施國家密碼管理局發(fā)布前言 2規(guī)范性引用文件 3術(shù)語和定義 4縮略語 5簽名驗(yàn)簽服務(wù)器的功能要求 5.2與CA基礎(chǔ)設(shè)施的連接功能 5.3應(yīng)用管理功能 5.4證書管理和驗(yàn)證功能 5.5數(shù)字簽名功能 5.6訪問控制功能 5.8系統(tǒng)自檢功能 5.9NTP時(shí)間源同步功能 6簽名驗(yàn)簽服務(wù)器的安全要求 6.5設(shè)備物理安全防護(hù) 6.6網(wǎng)絡(luò)部署要求 6.8環(huán)境適應(yīng)性 7簽名驗(yàn)簽服務(wù)器的檢測(cè)要求 7.1外觀和結(jié)構(gòu)的檢查 7.2提交文檔的檢查 7.5環(huán)境適應(yīng)性檢測(cè) 8合格判定 附錄A（規(guī)范性附錄）消息協(xié)議語法規(guī)范 附錄B（規(guī)范性附錄）基于HTTP的簽名消息協(xié)議語法規(guī)范 附錄C（規(guī)范性附錄）響應(yīng)碼定義和說明 Ⅰ本標(biāo)準(zhǔn)按照GB/T1.1—2009給出的規(guī)則起草。請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專利的責(zé)任。本標(biāo)準(zhǔn)由密碼行業(yè)標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口。本標(biāo)準(zhǔn)起草單位：山東得安信息技術(shù)有限公司、成都衛(wèi)士通信息產(chǎn)業(yè)股份公司、無錫江南信息安全工程技術(shù)中心、興唐通信科技有限公司、上海格爾軟件股份有限公司、長(zhǎng)春吉大正元信息技術(shù)股份有限公司、上海市數(shù)字證書認(rèn)證中心有限公司、北京數(shù)字認(rèn)證股份有限公司、北京創(chuàng)原天地科技有限公司、北京三未信安科技發(fā)展有限公司、山東漁翁信息技術(shù)股份有限公司。宋志華。1簽名驗(yàn)簽服務(wù)器技術(shù)規(guī)范本標(biāo)準(zhǔn)規(guī)定了簽名驗(yàn)簽服務(wù)器的功能要求、安全要求、接口要求、檢測(cè)要求和消息協(xié)議語法規(guī)范等有關(guān)內(nèi)容。本標(biāo)準(zhǔn)適用于簽名驗(yàn)簽服務(wù)器的研制設(shè)計(jì)、應(yīng)用開發(fā)、管理和使用，也可用于指導(dǎo)簽名驗(yàn)簽服務(wù)器的檢測(cè)。2規(guī)范性引用文件下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T9813微型計(jì)算機(jī)通用規(guī)范GB/T19713—2005信息技術(shù)安全技術(shù)公鑰基礎(chǔ)設(shè)施在線證書狀態(tài)協(xié)議GM/T0006—2012密碼應(yīng)用標(biāo)識(shí)規(guī)范GM/T0009SM2密碼算法使用規(guī)范GM/T0010SM2密碼算法加密簽名消息語法規(guī)范GM/T0014數(shù)字證書認(rèn)證系統(tǒng)密碼協(xié)議規(guī)范GM/T0015基于SM2密碼算法的數(shù)字證書格式規(guī)范GM/T0018密碼設(shè)備應(yīng)用接口規(guī)范GM/T0020證書應(yīng)用綜合服務(wù)接口規(guī)范GM/T0030服務(wù)器密碼機(jī)技術(shù)規(guī)范PKCS#1RSA密碼算法使用規(guī)范PKCS#7RSA密碼算法消息語法規(guī)范3術(shù)語和定義下列術(shù)語和定義適用于本文件。3.1簽名驗(yàn)簽服務(wù)器用于服務(wù)端的，為應(yīng)用實(shí)體提供基于PKI體系和數(shù)字證書的數(shù)字簽名、驗(yàn)證簽名等運(yùn)算功能的服務(wù)器，可以保證關(guān)鍵業(yè)務(wù)信息的真實(shí)性、完整性和不可否認(rèn)性。3.2應(yīng)用實(shí)體簽名驗(yàn)簽服務(wù)器的服務(wù)對(duì)象，可以是個(gè)人、機(jī)構(gòu)或系統(tǒng)，其私鑰存儲(chǔ)在簽名驗(yàn)簽服務(wù)器的密碼設(shè)備中，能夠使用簽名驗(yàn)簽服務(wù)器進(jìn)行簽名及驗(yàn)簽運(yùn)算。3.3用戶與應(yīng)用實(shí)體進(jìn)行通信或認(rèn)證的個(gè)人、機(jī)構(gòu)或系統(tǒng)，其數(shù)字證書可導(dǎo)入到簽名驗(yàn)簽服務(wù)器中。23.4算法一種橢圓曲線公鑰密碼算法，其密鑰長(zhǎng)度為256比特。3.5算法一種密碼雜湊算法，其輸出為256比特。4縮略語下列縮略語適用于本文件。應(yīng)用程序接口(證書認(rèn)證機(jī)構(gòu)(證書撤銷列表(輕量級(jí)目錄訪問協(xié)議(在線證書狀態(tài)查詢協(xié)議(公鑰密碼標(biāo)準(zhǔn)(公鑰密碼基礎(chǔ)設(shè)施(5簽名驗(yàn)簽服務(wù)器的功能要求簽名驗(yàn)簽服務(wù)器的初始化主要包括系統(tǒng)配置、生成管理員等，使設(shè)備處于正常工作狀態(tài)。簽名驗(yàn)簽服務(wù)器應(yīng)支持與CA基礎(chǔ)設(shè)施的連接功能，包括CRL連接配置、OCSP連接配置等。連接配置簽名驗(yàn)簽服務(wù)器應(yīng)支持CRL連接配置功能，通過配置管理界面，提供從CRL發(fā)布點(diǎn)獲取CRL、導(dǎo)入CRL等功能。連接配置簽名驗(yàn)簽服務(wù)器可支持OCSP連接配置功能，通過配置管理界面，進(jìn)行OCSP服務(wù)的連接配置管理。OCSP連接配置應(yīng)遵循GB/T19713—2005。5.3應(yīng)用管理功能簽名驗(yàn)簽服務(wù)器的應(yīng)用管理功能主要包括應(yīng)用實(shí)體的注冊(cè)、配置密鑰、設(shè)置私鑰授權(quán)碼等，并按照安全機(jī)制對(duì)應(yīng)用實(shí)體的信息進(jìn)行安全存儲(chǔ)。應(yīng)用實(shí)體注冊(cè)的內(nèi)容應(yīng)包括設(shè)置應(yīng)用實(shí)體名稱、配置密鑰5.4證書管理和驗(yàn)證功能簽名驗(yàn)簽服務(wù)器管理的證書包括應(yīng)用實(shí)體證書和用戶證書。簽名驗(yàn)簽服務(wù)器應(yīng)具有對(duì)應(yīng)用實(shí)體證書、用戶證書、根證書或證書鏈的導(dǎo)入、存儲(chǔ)、驗(yàn)證、使用以及備份和恢復(fù)等功能。35.4.1應(yīng)用實(shí)體的密鑰產(chǎn)生、證書申請(qǐng)?jiān)诤灻?yàn)簽服務(wù)器注冊(cè)的應(yīng)用實(shí)體，應(yīng)由簽名驗(yàn)簽服務(wù)器產(chǎn)生應(yīng)用實(shí)體的簽名密鑰對(duì)和證書請(qǐng)求，見GM/T0014。5.4.2用戶證書導(dǎo)入和存儲(chǔ)簽名驗(yàn)簽服務(wù)器應(yīng)支持用戶證書、根證書或證書鏈的導(dǎo)入，導(dǎo)入時(shí)應(yīng)對(duì)證書的有效性進(jìn)行驗(yàn)證。5.4.3應(yīng)用實(shí)體的證書更新應(yīng)用實(shí)體的證書更新時(shí)必須保存原來的證書，以防止以前的簽名不能驗(yàn)證。簽名驗(yàn)簽服務(wù)器應(yīng)支持對(duì)證書的有效性的驗(yàn)證，包括驗(yàn)證證書有效期、驗(yàn)證證書簽名有效性、驗(yàn)證是否在CRL中。簽名驗(yàn)簽服務(wù)器應(yīng)支持備份／恢復(fù)功能，包括密鑰的備份恢復(fù)和證書等數(shù)據(jù)的備份／恢復(fù)。密鑰的備份恢復(fù)應(yīng)通過簽名驗(yàn)簽服務(wù)器的管理界面實(shí)現(xiàn)。數(shù)據(jù)的備份／恢復(fù)包括證書、配置參數(shù)等數(shù)據(jù)的備份／恢復(fù)。備份操作產(chǎn)生的備份文件可存儲(chǔ)到簽名驗(yàn)簽服務(wù)器外的存儲(chǔ)介質(zhì)中，應(yīng)采取措施保證備份文件的完整性；備份文件可以恢復(fù)到簽名驗(yàn)簽服務(wù)器中，同廠家的不同型號(hào)的簽名驗(yàn)簽服務(wù)器之間應(yīng)能夠互相備份恢復(fù)。5.5數(shù)字簽名功能簽名驗(yàn)簽服務(wù)器必須至少支持SM2算法的數(shù)字簽名功能，提供對(duì)數(shù)據(jù)、消息、文件等多種格式的運(yùn)算方式。簽名驗(yàn)簽服務(wù)器可以支持RSA算法的數(shù)字簽名功能，其中RSA算法模長(zhǎng)至少為2048比特以上。當(dāng)簽名驗(yàn)簽服務(wù)器的公鑰算法為SM2算法時(shí)，數(shù)據(jù)的結(jié)構(gòu)遵循GM/T0009或GM/T0010。當(dāng)簽名驗(yàn)簽服務(wù)器的公鑰算法為RSA算法時(shí)，數(shù)據(jù)的結(jié)構(gòu)遵循PKCS#1標(biāo)準(zhǔn)或PKCS#7標(biāo)準(zhǔn)。5.6訪問控制功能簽名驗(yàn)簽服務(wù)器的管理界面應(yīng)具備完善的身份鑒別機(jī)制，通過智能密碼鑰匙、智能IC卡與口令相結(jié)合的方式實(shí)現(xiàn)管理員身份的鑒別，其中“口令”需要進(jìn)行時(shí)效限制，超過時(shí)限，需強(qiáng)制修改密碼。管理員登錄成功后，通過管理界面進(jìn)行應(yīng)用管理、證書管理、系統(tǒng)配置以及日志查詢等管理操作。5.7日志管理功能簽名驗(yàn)簽服務(wù)器應(yīng)提供日志記錄、查看、審計(jì)和導(dǎo)出功能，具備相應(yīng)的配置管理和查看界面。日志內(nèi)容分為系統(tǒng)管理日志、異常事件、系統(tǒng)服務(wù)日志等，包括登錄認(rèn)證、系統(tǒng)配置、密鑰管理等操作，認(rèn)證失敗、非法訪問等異常事件的記錄，以及與設(shè)備管理中心連接，對(duì)相應(yīng)操作進(jìn)行記錄，對(duì)應(yīng)用接口的調(diào)用進(jìn)行日志記錄。5.8系統(tǒng)自檢功能簽名驗(yàn)簽服務(wù)器應(yīng)具備自檢功能，包括自身自檢和密碼設(shè)備自檢。簽名驗(yàn)簽服務(wù)器使用的密碼設(shè)4備應(yīng)具備狀態(tài)和功能自檢功能，能夠進(jìn)行密碼算法正確性檢查、隨機(jī)數(shù)發(fā)生器檢查、存儲(chǔ)密鑰和數(shù)據(jù)的完整性檢查等。簽名驗(yàn)簽服務(wù)器的自身自檢包括密碼功能檢測(cè)、存儲(chǔ)信息的完整性檢查等。5.9NTP時(shí)間源同步功能簽名驗(yàn)簽服務(wù)器能夠配置時(shí)間源服務(wù)器，自動(dòng)同步時(shí)間。6簽名驗(yàn)簽服務(wù)器的安全要求簽名驗(yàn)簽服務(wù)器必須使用國家密碼管理主管部門審批的密碼設(shè)備。調(diào)用密碼設(shè)備的接口API應(yīng)遵循GM/T0018。簽名驗(yàn)簽服務(wù)器所使用的操作系統(tǒng)應(yīng)進(jìn)行安全加固，裁減一切不需要的模塊，關(guān)閉所有不需要的端口和服務(wù)。6.3使用要求簽名驗(yàn)簽服務(wù)器只接受合法的操作指令，簽名驗(yàn)簽服務(wù)器軟件應(yīng)采用模塊化設(shè)計(jì)，應(yīng)通過身份鑒別等技術(shù)措施防止用戶的非法調(diào)用。簽名驗(yàn)簽服務(wù)器通過管理工具實(shí)現(xiàn)對(duì)該簽名驗(yàn)簽服務(wù)器的管理功能。管理工具可以安裝簽名驗(yàn)簽服務(wù)器上，也可以安裝在簽名驗(yàn)簽服務(wù)器之外的管理終端上。簽名驗(yàn)簽服務(wù)器應(yīng)設(shè)置管理員和審計(jì)員，管理員和審計(jì)員的職責(zé)按照國家密碼管理機(jī)構(gòu)的要求進(jìn)行管理。管理員和審計(jì)員應(yīng)采用智能密碼鑰匙、智能IC卡等硬件裝置與登錄口令相結(jié)合的方式登錄系統(tǒng)，并使用證書進(jìn)行身份驗(yàn)證。各類管理員通過身份鑒別后執(zhí)行相關(guān)管理操作。簽名驗(yàn)簽服務(wù)器的初始化，除必須由廠商進(jìn)行的操作外，系統(tǒng)配置、密鑰的生成（恢復(fù)）與安裝、生成管理員和審計(jì)員等均應(yīng)由用戶方設(shè)備管理人員完成。簽名驗(yàn)簽服務(wù)器的自檢包括密碼設(shè)備的自檢和自身的自檢，對(duì)密碼運(yùn)算功能、隨機(jī)數(shù)發(fā)生器和存儲(chǔ)的敏感信息進(jìn)行檢查。在檢查不通過時(shí)應(yīng)報(bào)警并停止工作。6.5設(shè)備物理安全防護(hù)簽名驗(yàn)簽服務(wù)器在工藝設(shè)計(jì)、硬件配置等方面要采取相應(yīng)的保護(hù)措施，保證設(shè)備基本的物理安全防護(hù)功能。56.6網(wǎng)絡(luò)部署要求簽名驗(yàn)簽服務(wù)器應(yīng)部署在局域網(wǎng)內(nèi)，只為局域網(wǎng)內(nèi)的應(yīng)用實(shí)體和用戶服務(wù)，不能為局域網(wǎng)外的用戶使用，不能連接互聯(lián)網(wǎng)。建議的網(wǎng)絡(luò)部署圖如圖1~圖4所示。一臺(tái)應(yīng)用服務(wù)器對(duì)應(yīng)一臺(tái)簽名驗(yàn)簽服務(wù)器的網(wǎng)絡(luò)部署圖如圖1所示。簽名驗(yàn)簽服務(wù)器只能為一臺(tái)應(yīng)用服務(wù)器提供服務(wù)。一臺(tái)應(yīng)用服務(wù)器對(duì)應(yīng)多臺(tái)簽名驗(yàn)簽服務(wù)器的網(wǎng)絡(luò)部署圖如圖2所示。多臺(tái)簽名驗(yàn)簽服務(wù)器同時(shí)為一臺(tái)應(yīng)用服務(wù)器提供服務(wù)。核心交換機(jī)采用雙機(jī)熱備。多臺(tái)應(yīng)用服務(wù)器對(duì)應(yīng)一臺(tái)簽名驗(yàn)簽服務(wù)器的網(wǎng)絡(luò)部署圖如圖3所示。一臺(tái)簽名驗(yàn)簽服務(wù)器同時(shí)為多臺(tái)應(yīng)用服務(wù)器提供服務(wù)。核心交換機(jī)采用雙機(jī)熱備。6多臺(tái)應(yīng)用服務(wù)器對(duì)應(yīng)多臺(tái)簽名驗(yàn)簽服務(wù)器的網(wǎng)絡(luò)部署圖如圖4所示。多臺(tái)簽名驗(yàn)簽服務(wù)器同時(shí)為多臺(tái)應(yīng)用服務(wù)器提供服務(wù)。核心交換機(jī)采用雙機(jī)熱備。7以消息包方式提供服務(wù)的簽名驗(yàn)簽服務(wù)器，其接口應(yīng)遵循附錄A的要求，響應(yīng)碼的定義應(yīng)遵循附錄C的要求。以WEB方式提供服務(wù)的簽名驗(yàn)簽服務(wù)器，其接口應(yīng)遵循附錄B的要求，響應(yīng)碼的定義應(yīng)遵循附錄C的要求。以應(yīng)用程序接口提供服務(wù)的簽名驗(yàn)簽服務(wù)器，其接口應(yīng)遵循GM/T0020的要求。應(yīng)用實(shí)體可以通過內(nèi)部網(wǎng)絡(luò)、USB或者其他接口形式與簽名驗(yàn)簽服務(wù)器連接。6.8環(huán)境適應(yīng)性簽名驗(yàn)簽服務(wù)器的工作環(huán)境應(yīng)根據(jù)實(shí)際需要遵循GB/T9813中關(guān)于“氣候環(huán)境適應(yīng)性”的規(guī)定要求。簽名驗(yàn)簽服務(wù)器的平均無故障工作時(shí)間應(yīng)不低于20000h。7簽名驗(yàn)簽服務(wù)器的檢測(cè)要求7.1外觀和結(jié)構(gòu)的檢查根據(jù)產(chǎn)品的物理參數(shù)，對(duì)簽名驗(yàn)簽服務(wù)器的外觀、尺寸、內(nèi)部部件及附件進(jìn)行檢查。7.2提交文檔的檢查簽名驗(yàn)簽服務(wù)器研制單位按照國家密碼管理主管部門檢測(cè)要求提交相關(guān)文檔資料，作為簽名驗(yàn)簽服務(wù)器的檢測(cè)依據(jù)。文檔資料應(yīng)包含但不限于以下內(nèi)容：a)后臺(tái)服務(wù)程序、應(yīng)用編程接口和客戶端管理軟件的結(jié)構(gòu)框圖、流程圖和基本功能的源代碼；b)開機(jī)自檢的工作原理說明；c)自測(cè)程序的工作原理說明；d)敏感數(shù)據(jù)信息的存儲(chǔ)和使用說明；e)物理防護(hù)措施說明；f)技術(shù)工作總結(jié)報(bào)告；g)安全性設(shè)計(jì)報(bào)告；h)安裝使用說明。簽名驗(yàn)簽服務(wù)器的功能檢測(cè)目的是測(cè)試簽名驗(yàn)簽服務(wù)器各項(xiàng)功能的運(yùn)行情況，并檢驗(yàn)功能實(shí)現(xiàn)的正確性。簽名驗(yàn)簽服務(wù)器能正常啟動(dòng)，對(duì)簽名驗(yàn)簽服務(wù)器進(jìn)行初始化功能檢測(cè)。簽名驗(yàn)簽服務(wù)器需要進(jìn)行初始化檢測(cè)，初始化主要包括系統(tǒng)配置、生成管理員，使設(shè)備處于正常工作狀態(tài)。簽名驗(yàn)簽服務(wù)器應(yīng)能8簽名驗(yàn)簽服務(wù)器的與CA基礎(chǔ)設(shè)施的連接功能檢測(cè)范圍包括CRL連接配置、OCSP連接配置等操作，通過使用簽名驗(yàn)簽服務(wù)器的管理工具進(jìn)行測(cè)試。對(duì)簽名驗(yàn)簽服務(wù)器進(jìn)行與CA基礎(chǔ)設(shè)施的連接功能的檢測(cè)結(jié)果應(yīng)符合5.2的要求。7.3.3應(yīng)用管理功能檢測(cè)簽名驗(yàn)簽服務(wù)器的應(yīng)用管理功能檢測(cè)范圍主要包括應(yīng)用實(shí)體的注冊(cè)和用戶信息的存儲(chǔ)，通過使用簽名驗(yàn)簽服務(wù)器的管理工具進(jìn)行測(cè)試。對(duì)簽名驗(yàn)簽服務(wù)器進(jìn)行應(yīng)用管理功能的檢測(cè)結(jié)果應(yīng)符合5.3的要求。7.3.4證書管理和驗(yàn)證功能檢測(cè)簽名驗(yàn)簽服務(wù)器的證書管理和驗(yàn)證功能檢測(cè)范圍包括對(duì)應(yīng)用實(shí)體證書、用戶證書、根證書或證書鏈的導(dǎo)入、存儲(chǔ)、驗(yàn)證、使用以及備份和恢復(fù)等操作，通過使用簽名驗(yàn)簽服務(wù)器的管理工具進(jìn)行測(cè)試。對(duì)簽名驗(yàn)簽服務(wù)器進(jìn)行證書管理和驗(yàn)證檢測(cè)的檢測(cè)結(jié)果應(yīng)符合5.4的要求。7.3.5數(shù)字簽名功能檢測(cè)簽名驗(yàn)簽服務(wù)器的數(shù)字簽名功能測(cè)試程序由國家密碼管理部門認(rèn)可的檢測(cè)機(jī)構(gòu)設(shè)計(jì)提供。檢測(cè)方法是將簽名驗(yàn)簽服務(wù)器的密碼運(yùn)算與第三方設(shè)備進(jìn)行互通測(cè)試，如果測(cè)試互通，則測(cè)試通過；否則，測(cè)試失敗。數(shù)字簽名功能檢測(cè)的范圍必須包括簽名驗(yàn)簽服務(wù)器提供的每個(gè)公鑰密碼算法的每個(gè)功能函數(shù)，如：數(shù)據(jù)、消息、文件等多種格式的運(yùn)算方式，通過使用簽名驗(yàn)簽服務(wù)器的《消息協(xié)議語法規(guī)范》（見附錄A)或GM/T0020進(jìn)行測(cè)試。對(duì)簽名驗(yàn)簽服務(wù)器進(jìn)行數(shù)字簽名功能的檢測(cè)結(jié)果應(yīng)符合5.5和6.1的要求。7.3.6訪問控制功能檢測(cè)通過使用簽名驗(yàn)簽服務(wù)器的管理工具或管理界面進(jìn)行簽名驗(yàn)簽服務(wù)器的訪問控制檢測(cè)。對(duì)簽名驗(yàn)簽服務(wù)器的不同管理操作設(shè)置不同的操作權(quán)限，登錄簽名驗(yàn)簽服務(wù)器應(yīng)具備完善的身份鑒別機(jī)制；簽名驗(yàn)簽服務(wù)器應(yīng)拒絕任何不具備相應(yīng)權(quán)限的訪問或操作。對(duì)簽名驗(yàn)簽服務(wù)器進(jìn)行訪問控制檢測(cè)，檢測(cè)結(jié)7.3.7日志管理功能檢測(cè)通過使用簽名驗(yàn)簽服務(wù)器的日志管理工具或管理界面進(jìn)行簽名驗(yàn)簽服務(wù)器的日志審計(jì)檢測(cè)。簽名驗(yàn)簽服務(wù)器應(yīng)提供日志記錄、查看、審計(jì)和導(dǎo)出功能；簽名驗(yàn)簽服務(wù)器的日志內(nèi)容分為系統(tǒng)管理日志、異常事件、系統(tǒng)服務(wù)日志等，包括登錄認(rèn)證、系統(tǒng)配置、密鑰管理等操作，以及認(rèn)證失敗、非法訪問等異常事件的記錄。對(duì)簽名驗(yàn)簽服務(wù)器進(jìn)行日志管理檢測(cè)的檢測(cè)結(jié)果應(yīng)符合5.7的要求。7.3.8系統(tǒng)自檢功能檢測(cè)簽名驗(yàn)簽服務(wù)器的系統(tǒng)自檢功能主要包括密碼算法正確性檢查、隨機(jī)數(shù)發(fā)生器檢查、存儲(chǔ)密鑰和數(shù)據(jù)的完整性檢查，以及關(guān)鍵部件的正確性檢測(cè)等。對(duì)簽名驗(yàn)簽服務(wù)器進(jìn)行系統(tǒng)自檢檢測(cè)的檢測(cè)結(jié)果應(yīng)7.3.9NTP時(shí)間源同步功能檢測(cè)對(duì)簽名驗(yàn)簽服務(wù)器進(jìn)行NTP時(shí)間源同步的檢測(cè)結(jié)果應(yīng)符合5.9的要求。9簽名驗(yàn)簽服務(wù)器的服務(wù)接口必須遵循附錄A、附錄B或GM/T0020。對(duì)簽名驗(yàn)簽服務(wù)器進(jìn)行應(yīng)用編程接口檢測(cè)：對(duì)于正確的調(diào)用環(huán)境和調(diào)用過程，API函數(shù)應(yīng)該返回正確的結(jié)果，并完成相應(yīng)功能；對(duì)于設(shè)定的不正確的調(diào)用環(huán)境和調(diào)用過程，API函數(shù)應(yīng)返回相應(yīng)的錯(cuò)誤代碼。通過使用簽名驗(yàn)簽服務(wù)器的管理工具或管理界面進(jìn)行簽名驗(yàn)簽服務(wù)器的管理工具檢測(cè)。對(duì)簽名驗(yàn)簽服務(wù)器進(jìn)行管理工具檢測(cè)，檢測(cè)結(jié)果應(yīng)符合6.4.1的要求。目的是測(cè)試簽名驗(yàn)簽服務(wù)器進(jìn)行數(shù)字簽名等運(yùn)算的速度指標(biāo)。下列各項(xiàng)速度性能測(cè)試中的測(cè)試量由數(shù)據(jù)報(bào)文長(zhǎng)度和測(cè)試次數(shù)決定?？梢愿鶕?jù)各個(gè)測(cè)試項(xiàng)的具體分別測(cè)試后得到不同測(cè)試次數(shù)時(shí)的性能序列。數(shù)據(jù)報(bào)文長(zhǎng)度的選擇在各個(gè)速度性能測(cè)試項(xiàng)中分別定義。各個(gè)測(cè)試項(xiàng)的速度性能的計(jì)算如下式所示：S＝N／T其中，S為速度，單位為tps（次／秒N為測(cè)試次數(shù)；T為測(cè)量所耗費(fèi)的時(shí)間，單位為秒。對(duì)簽名驗(yàn)簽服務(wù)器的數(shù)字簽名和數(shù)字信封等功能進(jìn)行性能檢測(cè)的方法如下：將一個(gè)定長(zhǎng)數(shù)據(jù)報(bào)文，發(fā)送給簽名驗(yàn)簽服務(wù)器進(jìn)行數(shù)字簽名和數(shù)字信封操作，重復(fù)操作N次，測(cè)量其完成時(shí)間T。用于測(cè)試的數(shù)據(jù)由檢測(cè)機(jī)構(gòu)選取。測(cè)試應(yīng)進(jìn)行多次，結(jié)果取平均值。如簽名驗(yàn)簽服務(wù)器支持多種公鑰密碼算法，必須測(cè)試所支持的所有公鑰密碼算法及其各種應(yīng)用模式。數(shù)字簽名和數(shù)字信封性能單位統(tǒng)一為tps（次／秒）。7.5環(huán)境適應(yīng)性檢測(cè)環(huán)境適應(yīng)性檢測(cè)應(yīng)按照GB/T9813—2000中5.8的要求進(jìn)行，其結(jié)果應(yīng)符合本標(biāo)準(zhǔn)6.8的要求。外觀和結(jié)構(gòu)檢查、提交文檔的檢查按照相關(guān)標(biāo)準(zhǔn)進(jìn)行。8合格判定以外的各項(xiàng)檢測(cè)中，其任意一項(xiàng)檢測(cè)結(jié)果不合格，判定為產(chǎn)品不合格。附錄A（規(guī)范性附錄）消息協(xié)議語法規(guī)范簽名驗(yàn)簽服務(wù)的消息協(xié)議接口采用請(qǐng)求響應(yīng)模式，如圖A.1所示。協(xié)議模型由請(qǐng)求者、響應(yīng)者和它們之間的交互協(xié)議組成。通過本協(xié)議，請(qǐng)求者將數(shù)字簽名、驗(yàn)證數(shù)字簽名等請(qǐng)求發(fā)送給響應(yīng)者，由響應(yīng)者完成簽名驗(yàn)簽服務(wù)并返回結(jié)果。本規(guī)范中的接口消息協(xié)議包括導(dǎo)出證書、解析證書、驗(yàn)證證書有效性、數(shù)字簽名、驗(yàn)證數(shù)字簽名、消息簽名、驗(yàn)證消息簽名等服務(wù)功能，每個(gè)服務(wù)都按照請(qǐng)求—響應(yīng)的步驟執(zhí)行。請(qǐng)求者可通過本協(xié)議獲得簽名驗(yàn)簽功能，而不必關(guān)心下層PKI公鑰密碼基礎(chǔ)設(shè)施的實(shí)現(xiàn)細(xì)節(jié)。圖A.1簽名驗(yàn)簽服務(wù)消息協(xié)議請(qǐng)求者組織業(yè)務(wù)服務(wù)請(qǐng)求，發(fā)送到響應(yīng)者，并延緩自身的事務(wù)處理過程，等待響應(yīng)者響應(yīng)返回；響應(yīng)者接收到來自請(qǐng)求者的業(yè)務(wù)服務(wù)請(qǐng)求后，檢查請(qǐng)求的合法性，根據(jù)請(qǐng)求類型處理服務(wù)請(qǐng)求，并將處理結(jié)果返回給請(qǐng)求者。下面的協(xié)議內(nèi)容將按照?qǐng)DA.1所示的框架進(jìn)行。A.2協(xié)議內(nèi)容協(xié)議內(nèi)容如下：a)請(qǐng)求：也稱業(yè)務(wù)服務(wù)請(qǐng)求，包含請(qǐng)求者業(yè)務(wù)請(qǐng)求的類型、性質(zhì)以及特性數(shù)據(jù)等，該請(qǐng)求將被發(fā)送到響應(yīng)者并得到服務(wù)。服務(wù)請(qǐng)求包括如下數(shù)據(jù)：—協(xié)議版本（當(dāng)前版本為1);—請(qǐng)求類型；—請(qǐng)求包；—請(qǐng)求時(shí)間。指響應(yīng)者對(duì)來自請(qǐng)求者請(qǐng)求的處理響應(yīng)。響應(yīng)者的響應(yīng)包括如下數(shù)據(jù)：—協(xié)議版本（當(dāng)前版本為1);—響應(yīng)類型；—響應(yīng)包；—響應(yīng)時(shí)間。c)異常情況：當(dāng)響應(yīng)者處理發(fā)生錯(cuò)誤時(shí)，需要向請(qǐng)求者發(fā)送錯(cuò)誤信息。錯(cuò)誤可以是下列兩類：—請(qǐng)求失?。喉憫?yīng)者驗(yàn)證來自請(qǐng)求者業(yè)務(wù)請(qǐng)求數(shù)據(jù)失敗，請(qǐng)求者收到該響應(yīng)后應(yīng)重新組織業(yè)務(wù)請(qǐng)求數(shù)據(jù)進(jìn)行發(fā)送?！獌?nèi)部處理失敗：響應(yīng)者處理請(qǐng)求者業(yè)務(wù)請(qǐng)求過程中發(fā)生內(nèi)部錯(cuò)誤，響應(yīng)者通知請(qǐng)求者該請(qǐng)求處理失敗，請(qǐng)求者需重新組織業(yè)務(wù)請(qǐng)求數(shù)據(jù)進(jìn)行發(fā)送。本標(biāo)準(zhǔn)采用抽象語法表示法(ASN.1)來描述具體協(xié)議內(nèi)容。如果無特殊說明，默認(rèn)使用ASN.1顯式標(biāo)記。A.3請(qǐng)求協(xié)議A.3.1請(qǐng)求數(shù)據(jù)格式請(qǐng)求者請(qǐng)求數(shù)據(jù)的基本格式如下：versionVersionDEFAULTv1,reqTimeGeneralizedTime}其中：Version::=INTEGER{v1(0)}validateCert(2),}signDataReqverifySignedDataReqsignDataInitReqsignDataUpdateReqsignDataFinalReqverifySignedDataInitReqverifySignedDataUpdateReqverifySignedDataFinalReqsignMessageReqverifySignedMessageReqsignMessageInitReqsignMessageUpdateReqsignMessageFinalReqverifySignedMessageInitReqverifySignedMessageUpdateReqverifySignedMessageFinalReq}及其結(jié)構(gòu)解釋SVSRequest包含了請(qǐng)求語法中的重要信息，本條將對(duì)該結(jié)構(gòu)作詳細(xì)的描述和解釋：a)協(xié)議版本：本項(xiàng)描述了請(qǐng)求語法的版本號(hào)，當(dāng)前版本為1,取整型值0。b)請(qǐng)求類型：本項(xiàng)描述了不同業(yè)務(wù)的請(qǐng)求類型值。c)請(qǐng)求包：請(qǐng)求包與請(qǐng)求類型值之間的對(duì)應(yīng)關(guān)系如表A.1所示。表A.1請(qǐng)求包與請(qǐng)求類型值的對(duì)應(yīng)關(guān)系應(yīng)答類型字符描述應(yīng)答類型值響應(yīng)包說明0導(dǎo)出證書申請(qǐng)包1解析證書申請(qǐng)包validateCert2驗(yàn)證證書有效性申請(qǐng)包signData3單包數(shù)字簽名申請(qǐng)包verifySignedData4單包驗(yàn)證數(shù)字簽名申請(qǐng)包signDataInit5多包數(shù)字簽名初始化申請(qǐng)包signDataUpdate6多包數(shù)字簽名更新申請(qǐng)包signDataFinal7多包數(shù)字簽名結(jié)束申請(qǐng)包verifySignedDataInit8多包驗(yàn)證數(shù)字簽名初始化申請(qǐng)包verifySignedDataUpdate9多包驗(yàn)證數(shù)字簽名更新申請(qǐng)包verifySignedDataFinal多包驗(yàn)證數(shù)字簽名結(jié)束申請(qǐng)包請(qǐng)求類型字符描述請(qǐng)求類型值申請(qǐng)包說明signMessage單包消息簽名申請(qǐng)包verifySignedMessage單包驗(yàn)證消息簽名申請(qǐng)包signMessageInit多包消息簽名初始化申請(qǐng)包signMessageUpdate多包消息簽名更新申請(qǐng)包signMessageFinal多包消息簽名結(jié)束申請(qǐng)包verifySignedMessageInit多包驗(yàn)證消息簽名初始化申請(qǐng)包verifySignedMessageUpdate多包驗(yàn)證消息簽名更新申請(qǐng)包verifySignedMessageFinal多包驗(yàn)證消息簽名結(jié)束申請(qǐng)包d)請(qǐng)求時(shí)間：本項(xiàng)描述請(qǐng)求生成時(shí)間，該時(shí)間即為請(qǐng)求者產(chǎn)生請(qǐng)求的時(shí)間，采用GeneralizedTime語法表示。A.4響應(yīng)協(xié)議A.4.1響應(yīng)數(shù)據(jù)格式響應(yīng)者響應(yīng)的基本格式如下：versionVersionDEFAULTv1,respTimeGeneralizedTime}其中：Version::=INTEGER{v1(0)}validateCert(2),}}及其結(jié)構(gòu)解釋SVSRespond包含了響應(yīng)語法中的重要信息，本條將對(duì)該結(jié)構(gòu)作詳細(xì)的描述和解釋：a)協(xié)議版本：本項(xiàng)描述了響應(yīng)語法的版本號(hào)，當(dāng)前版本為1,取整型值0。b)響應(yīng)類型：本項(xiàng)描述了不同業(yè)務(wù)的響應(yīng)類型值。c)響應(yīng)包：響應(yīng)包與響應(yīng)類型值之間的對(duì)應(yīng)關(guān)系如表A.2所示。表A.2響應(yīng)包與相應(yīng)類型值的對(duì)應(yīng)關(guān)系應(yīng)答類型字符描述應(yīng)答類型值響應(yīng)包說明0導(dǎo)出證書響應(yīng)包1解析證書響應(yīng)包validateCert2驗(yàn)證證書有效性響應(yīng)包signData3單包數(shù)字簽名響應(yīng)包verifySignedData4單包驗(yàn)證數(shù)字簽名響應(yīng)包signDataInit5多包數(shù)字簽名初始化響應(yīng)包signDataUpdate6多包數(shù)字簽名更新響應(yīng)包signDataFinal7多包數(shù)字簽名結(jié)束響應(yīng)包verifySignedDataInit8多包驗(yàn)證數(shù)字簽名初始化響應(yīng)包verifySignedDataUpdate9多包驗(yàn)證數(shù)字簽名更新響應(yīng)包verifySignedDataFinal多包驗(yàn)證數(shù)字簽名結(jié)束響應(yīng)包signMessage單包消息簽名響應(yīng)包verifySignedMessage單包驗(yàn)證消息簽名響應(yīng)包signMessageInit多包消息簽名初始化響應(yīng)包signMessageUpdate多包消息簽名更新響應(yīng)包signMessageFinal多包消息簽名結(jié)束響應(yīng)包verifySignedMessageInit多包驗(yàn)證消息簽名初始化響應(yīng)包verifySignedMessageUpdate多包驗(yàn)證消息簽名更新響應(yīng)包verifySignedMessageFinal多包驗(yàn)證消息簽名結(jié)束響應(yīng)包d)響應(yīng)時(shí)間：A.5協(xié)議接口功能說明包：包為導(dǎo)出證書請(qǐng)求格式包，當(dāng)取值時(shí)其具體格式如下：identificationOCTETSTRING}表明要導(dǎo)出證書的標(biāo)識(shí)。包：包為導(dǎo)出證書響應(yīng)格式包，當(dāng)取值時(shí)其具體格式如下：certCertificateOPTIONAL}respValue表明響應(yīng)碼，0表示成功，非0表示錯(cuò)誤。cert表明導(dǎo)出的證書。A.5.2解析證書包：包為解析證書請(qǐng)求格式包，當(dāng)取值時(shí)其具體格式如下：certCertificate}infoType表明要解析證書信息的類型，詳細(xì)定義見GM/T0006—2012中6.3.4證書解析項(xiàng)標(biāo)識(shí)；cert表示要解析的數(shù)字證書。包：包為解析證書響應(yīng)格式包，當(dāng)取值時(shí)其具體格式如下：infoOCTETSTRINGOPTIONAL}respValue表明響應(yīng)碼，0表示成功，非0表示錯(cuò)誤。info表示獲取的證書信息。A.5.3驗(yàn)證證書有效性包：包為驗(yàn)證證書有效性請(qǐng)求格式包，當(dāng)取值請(qǐng)求包采用本子包，其具體格式如下：certCertificate,}cert表示要驗(yàn)證證書有效性的數(shù)字證書；ocsp表示是否獲取證書OCSP狀態(tài)，默認(rèn)值為FALSE。包：包為驗(yàn)證證書有效性響應(yīng)格式包，當(dāng)取值響應(yīng)包采用本子包，其具體格式如下：stateINTEGEROPTIONAL}respValue表明響應(yīng)碼，0表示成功，非0表示錯(cuò)誤；state表明獲取的證書OCSP狀態(tài)標(biāo)識(shí)。A.5.4單包數(shù)字簽名包：SignDataReq包為單包數(shù)字簽名請(qǐng)求格式包，當(dāng)reqType取值signData時(shí)，請(qǐng)求包采用本子包，其具體格式如下：INTEGER,keyIndexINTEGER,keyValueOCTETSTRING,inDataLenINTEGER,inDataOCTETSTRING}表明使用的簽名算法類型，詳細(xì)定義見keyIndex表示簽名者私鑰的索引值，如十進(jìn)制1表示索引值為1的密鑰；keyValue表示簽名者私鑰權(quán)限標(biāo)識(shí)碼；inDataLen表示待簽名的數(shù)據(jù)原文長(zhǎng)度；inData表示待簽名的數(shù)據(jù)原文。包：包為單包數(shù)字簽名響應(yīng)格式包，當(dāng)取值其具體格式如下：}respValue表明響應(yīng)碼，0表示成功，非0表示錯(cuò)誤；signature表示簽名值，當(dāng)公鑰算法為RSA時(shí)，數(shù)據(jù)的結(jié)構(gòu)遵循PKCS#1;當(dāng)公鑰算法為SM2時(shí)，數(shù)據(jù)的結(jié)構(gòu)遵循GM/T0009。A.5.5單包驗(yàn)證數(shù)字簽名包：包為單包驗(yàn)證數(shù)字簽名請(qǐng)求格式包，當(dāng)取值時(shí)請(qǐng)求包采用本子包，其具體格式如下：cert[0]IMPLICTCertificateOPTIONAL,certSN[1]IMPLICTOCTETSTRINGOPTIONAL,inDataLenINTEGER,inDataOCTETSTRING,verifyLevelINTEGER}type表示使用驗(yàn)證數(shù)字簽名時(shí)使用證書或證書序列號(hào)，1表示使用證書，2表示使用證書序列號(hào)；cert表示簽名證書，type取值1時(shí)有效；certSN表示簽名證書序列號(hào)，type取值2時(shí)有效；inDataLen表示待簽名的數(shù)據(jù)原文長(zhǎng)度；inData表示待簽名的數(shù)據(jù)原文；signature表示簽名值，當(dāng)公鑰算法為RSA時(shí)，數(shù)據(jù)的結(jié)構(gòu)遵循PKCS#1;當(dāng)公鑰算法為SM2時(shí)，數(shù)據(jù)的結(jié)構(gòu)遵循GM/T0009;verifyLevel表示證書驗(yàn)證級(jí)別，0：驗(yàn)證時(shí)間，1：驗(yàn)證時(shí)間和根證書簽名，2：驗(yàn)證時(shí)間、根證書簽名和CRL。包：包為單包驗(yàn)證數(shù)字簽名響應(yīng)格式包，當(dāng)取值時(shí)，響應(yīng)包采用本子包，其具體格式如下：respValueINTEGER}respValue表明響應(yīng)碼，0表示成功，非0表示錯(cuò)誤。A.5.6多包數(shù)字簽名初始化包：包為多包數(shù)字簽名初始化請(qǐng)求格式包，當(dāng)取值時(shí)請(qǐng)求包采用本子包，其具體格式如下：inDataLenINTEGER,inDataOCTETSTRING}表明使用的簽名算法類型，詳細(xì)定義見簽名算法標(biāo)識(shí)；為或時(shí)有效表示簽名者的ID長(zhǎng)度為或時(shí)有效；表示簽名者的ID值當(dāng)為或時(shí)有效inDataLen表示數(shù)據(jù)明文長(zhǎng)度；inData表示數(shù)據(jù)明文。包：包為多包數(shù)字簽名初始化響應(yīng)格式包，當(dāng)取值響應(yīng)包采用本子包，其具體格式如下：hashValueOCTETSTRINGOPTIONAL}respValue表明響應(yīng)碼，0表示成功，非0表示錯(cuò)誤；表示雜湊值。A.5.7多包數(shù)字簽名更新包：包為多包數(shù)字簽名更新請(qǐng)求格式包，當(dāng)取值請(qǐng)求包采用本子包，其具體格式如下：INTEGER,hashValueLenINTEGER,hashValueOCTETSTRING,inDataLenINTEGER,inDataOCTETSTRING}表明使用的簽名算法類型，詳細(xì)定義見表示雜湊中間值長(zhǎng)度；hashValue表示雜湊中間值；inDataLen表示數(shù)據(jù)明文長(zhǎng)度；inData表示數(shù)據(jù)明文。包：包為多包數(shù)字簽名更新響應(yīng)格式包，當(dāng)取值響應(yīng)包采用本子包，其具體格式如下：hashValueOCTETSTRINGOPTIONAL}respValue表明響應(yīng)碼，0表示成功，非0表示錯(cuò)誤；表示雜湊值。A.5.8多包數(shù)字簽名結(jié)束包：包為多包數(shù)字簽名結(jié)束請(qǐng)求格式包，當(dāng)取值時(shí)請(qǐng)求包采用本子包，其具體格式如下：INTEGER,keyIndexINTEGER,keyValueOCTETSTRING,hashValueLenINTEGER,hashValueOCTETSTRING}表明使用的簽名算法類型，詳細(xì)定義見keyIndex表示簽名者私鑰的索引值，如十進(jìn)制1表示索引值為1的密鑰；keyValue表示簽名者私鑰權(quán)限標(biāo)識(shí)碼；表示雜湊中間值長(zhǎng)度；hashValue表示雜湊中間值。包：包為多包數(shù)字簽名結(jié)束響應(yīng)格式包，當(dāng)取值時(shí)響應(yīng)包采用本子包，其具體格式如下：}respValue表明響應(yīng)碼，0表示成功，非0表示錯(cuò)誤；signature表示簽名值，當(dāng)公鑰算法為RSA時(shí)，數(shù)據(jù)的結(jié)構(gòu)遵循PKCS#1;當(dāng)公鑰算法為SM2時(shí)，數(shù)據(jù)的結(jié)構(gòu)遵循GM/T0009。A.5.9多包驗(yàn)證數(shù)字簽名初始化包：取值SignedDataInit時(shí)，請(qǐng)求包采用本子包，其具體格式如下：inDataLenINTEGER,inDataOCTETSTRING}表明使用的簽名算法類型，詳細(xì)定義見簽名算法標(biāo)識(shí)；為或時(shí)有效表示簽名者的ID長(zhǎng)度為或時(shí)有效；表示簽名者的ID值當(dāng)為或時(shí)有效inDataLen表示數(shù)據(jù)明文長(zhǎng)度；inData表示數(shù)據(jù)明文。包：包為多包驗(yàn)證數(shù)字簽名初始化響應(yīng)格式包，當(dāng)取值SignedDataInit時(shí)，響應(yīng)包采用本子包，其具體格式如下：hashValueOCTETSTRINGOPTIONAL}respValue表明響應(yīng)碼，0表示成功，非0表示錯(cuò)誤；表示雜湊值。A.5.10多包驗(yàn)證數(shù)字簽名更新包：取值SignedDataUpdate時(shí)，請(qǐng)求包采用本子包，其具體格式如下：INTEGER,hashValueLenINTEGER,hashValueOCTETSTRING,inDataLenINTEGER,inDataOCTETSTRING}表明使用的簽名算法類型，詳細(xì)定義見表示雜湊中間值長(zhǎng)度；hashValue表示雜湊中間值；inDataLen表示數(shù)據(jù)明文長(zhǎng)度；inData表示數(shù)據(jù)明文。包：包為多包驗(yàn)證數(shù)字簽名更新響應(yīng)格式包，當(dāng)取值SignedDataUpdate時(shí)，響應(yīng)包采用本子包，其具體格式如下：hashValueOCTETSTRINGOPTIONAL}respValue表明響應(yīng)碼，0表示成功，非0表示錯(cuò)誤；表示雜湊值。A.5.11多包驗(yàn)證數(shù)字簽名結(jié)束包：包為多包驗(yàn)證數(shù)字簽名結(jié)束請(qǐng)求格式包，當(dāng)取值Final時(shí)，請(qǐng)求包采用本子包，其具體格式如下：cert[0]IMPLICTCertificateOPTIONAL,certSN[1]IMPLICTOCTETSTRINGOPTIONAL,hashValueLenINTEGER,hashValueOCTETSTRING,verifyLevelINTEGER}表明使用的簽名算法類型，詳細(xì)定義見簽名算法標(biāo)識(shí)；type表示使用驗(yàn)證數(shù)字簽名時(shí)使用證書或證書序列號(hào)，1表示使用證書，2表示使用證書序列號(hào)；cert表示簽名證書，type取值1時(shí)有效；certSN表示簽名證書序列號(hào)，type取值2時(shí)有效；表示雜湊中間值長(zhǎng)度；hashValue表示雜湊中間值；signature表示簽名值，當(dāng)公鑰算法為RSA時(shí)，數(shù)據(jù)的結(jié)構(gòu)遵循PKCS#1;當(dāng)公鑰算法為SM2時(shí)，數(shù)據(jù)的結(jié)構(gòu)遵循GM/T0009。verifyLevel表示證書驗(yàn)證級(jí)別，0：驗(yàn)證時(shí)間，1：驗(yàn)證時(shí)間和根證書簽名，2：驗(yàn)證時(shí)間、根證書簽名和CRL。包：取值SignedDataFinal時(shí)，響應(yīng)包采用本子包，其具體格式如下：respValueINTEGER}respValue表明響應(yīng)碼，0表示成功，非0表示錯(cuò)誤。A.5.12單包消息簽名包：包為單包消息簽名請(qǐng)求格式包，當(dāng)取值請(qǐng)求包采用本子包，其具體格式如下：INTEGER,keyIndexINTEGER,keyValueOCTETSTRING,inDataLenINTEGER,inDataOCTETSTRING,hashFlagBOOLEANDEFAULTFALSE,originalText[0]IMPLICTBOOLEANOPTIONAL,certificateChain[1]IMPLICTBOOLEANOPTIONAL,crl[2]IMPLICTBOOLEANOPTIONAL,authenticationAttributes}[3]IMPLICTBOOLEANOPTIONAL表明使用的簽名算法類型，詳細(xì)定義見keyIndex表示簽名者私鑰的索引值，如十進(jìn)制1表示索引值為1的密鑰；keyValue表示簽名者私鑰權(quán)限標(biāo)識(shí)碼；inDataLen表示待簽名的數(shù)據(jù)長(zhǎng)度；inData表示待簽名的數(shù)據(jù)；hashFlag表示待簽名的數(shù)據(jù)是否已哈希，默認(rèn)FALSE表示未哈希；originalText表示是否附加原文選項(xiàng)；表示是否附加證書鏈選項(xiàng)；crl表示是否附加黑名單選項(xiàng)；表示是否附加鑒別屬性選項(xiàng)。包：包為單包消息簽名響應(yīng)格式包，當(dāng)取值響應(yīng)包采用本子包，其具體格式如下：}respValue表明響應(yīng)碼，0表示成功，非0表示錯(cuò)誤；signedMessage表示消息簽名數(shù)據(jù)，當(dāng)公鑰算法為RSA時(shí)，消息的結(jié)構(gòu)遵循PKCS#7;當(dāng)公鑰算法為SM2時(shí)，消息的結(jié)構(gòu)遵循GM/T0010。A.5.13單包驗(yàn)證消息簽名包：包為單包驗(yàn)證消息簽名請(qǐng)求格式包，當(dāng)取值時(shí)，請(qǐng)求包采用本子包，其具體格式如下：inDataLenINTEGER,inDataOCTETSTRING,OCTETSTRING,hashFlagBOOLEANDEFAULTFALSE,originalText[0]IMPLICTBOOLEANOPTIONAL,certificateChain[1]IMPLICTBOOLEANOPTIONAL,crl[2]IMPLICTBOOLEANOPTIONAL,authenticationAttributes}[3]IMPLICTBOOLEANOPTIONALinDataLen表示待簽名的數(shù)據(jù)原文長(zhǎng)度；inData表示待簽名的數(shù)據(jù)原文；signedMessage表示輸入的消息簽名數(shù)據(jù)，當(dāng)公鑰算法為RSA時(shí)，消息的結(jié)構(gòu)遵循PKCS#7;當(dāng)公鑰算法為SM2時(shí)，消息的結(jié)構(gòu)遵循GM/T0010;hashFlag表示待簽名的數(shù)據(jù)是否已哈希，默認(rèn)FALSE表示未哈希；originalText表示是否附加原文選項(xiàng)；表示是否附加證書鏈選項(xiàng)；crl表示是否附加黑名單選項(xiàng)；表示是否附加鑒別屬性選項(xiàng)。包：取值dMessage時(shí)，響應(yīng)包采用本子包，其具體格式如下：respValueINTEGER}respValue表明響應(yīng)碼，0表示成功，非0表示錯(cuò)誤。A.5.14多包消息簽名初始化包：包為多包消息簽名初始化請(qǐng)求格式包，當(dāng)取值時(shí)請(qǐng)求包采用本子包，其具體格式如下：inDataLenINTEGER,inDataOCTETSTRING}表明使用的簽名算法類型，詳細(xì)定義見簽名算法標(biāo)識(shí)；為或時(shí)有效表示簽名者的ID長(zhǎng)度為或時(shí)有效；表示簽名者的ID值當(dāng)為或時(shí)有效inDataLen表示數(shù)據(jù)明文長(zhǎng)度；inData表示數(shù)據(jù)明文。包：包為多包消息簽名初始化響應(yīng)格式包，當(dāng)取值時(shí)，響應(yīng)包采用本子包，其具體格式如下：hashValueOCTETSTRINGOPTIONAL}respValue表明響應(yīng)碼，0表示成功，非0表示錯(cuò)誤；表示雜湊值。A.5.15多包消息簽名更新包：包為多包消息簽名更新請(qǐng)求格式包，當(dāng)取值時(shí)請(qǐng)求包采用本子包，其具體格式如下：INTEGER,hashValueLenINTEGER,hashValueOCTETSTRING,inDataLenINTEGER,inDataOCTETSTRING}表明使用的簽名算法類型，詳細(xì)定義見表示雜湊中間值長(zhǎng)度；hashValue表示雜湊中間值；inDataLen表示數(shù)據(jù)明文長(zhǎng)度；inData表示數(shù)據(jù)明文。包：包為多包消息簽名更新響應(yīng)格式包，當(dāng)取值時(shí)，響應(yīng)包采用本子包，其具體格式如下：hashValueOCTETSTRINGOPTIONAL}respValue表明響應(yīng)碼，0表示成功，非0表示錯(cuò)誤；表示雜湊值。A.5.16多包消息簽名結(jié)束包：包為多包消息簽名結(jié)束請(qǐng)求格式包，當(dāng)取值時(shí)請(qǐng)求包采用本子包，其具體格式如下：INTEGER,keyIndexINTEGER,keyValueOCTETSTRING,hashValueLenINTEGER,hashValueOCTETSTRING}表明使用的簽名算法類型，詳細(xì)定義見keyIndex表示簽名者私鑰的索引值，如十進(jìn)制1表示索引值為1的密鑰；keyValue表示簽名者私鑰權(quán)限標(biāo)識(shí)碼；表示雜湊中間值長(zhǎng)度；hashValue表示雜湊中間值。包：包為多包消息簽名結(jié)束響應(yīng)格式包，當(dāng)取值時(shí)響應(yīng)包采用本子包，其具體格式如下：}respValue表明響應(yīng)碼，0表示成功，非0表示錯(cuò)誤。signedMessage表示消息簽名數(shù)據(jù)，當(dāng)公鑰算法為RSA時(shí)，消息的結(jié)構(gòu)遵循PKCS#7;當(dāng)公鑰算法為SM2時(shí)，消息的結(jié)構(gòu)遵循GM/T0010。A.5.17多包驗(yàn)證消息簽名初始化包：包為多包驗(yàn)證消息簽名初始化請(qǐng)求格式包，當(dāng)取值SignedMessageInit時(shí)，請(qǐng)求包采用本子包，其具體格式如下：inDataLenINTEGER,inDataOCTETSTRING}表明使用的簽名算法類型，詳細(xì)定義見簽名算法標(biāo)識(shí)；為或時(shí)有效表示簽名者的ID長(zhǎng)度為或時(shí)有效；表示簽名者的ID值當(dāng)為或時(shí)有效inDataLen表示數(shù)據(jù)明文長(zhǎng)度；inData表示數(shù)據(jù)明文。包：包為多包驗(yàn)證消息簽名初始化響應(yīng)格式包，當(dāng)取值響應(yīng)包采用本子包其具體格式如下：hashValueOCTETSTRINGOPTIONAL}respValue表明響應(yīng)碼，0表示成功，非0表示錯(cuò)誤；表示雜湊值。A.5.18多包驗(yàn)證消息簽名更新包：包為多包驗(yàn)證消息簽名更新請(qǐng)求格式包，當(dāng)取值請(qǐng)求包采用本子包其具體格式如下：INTEGER,hashValueLenINTEGER,hashValueOCTETSTRING,inDataLenINTEGER,inDataOCTETSTRING}表明使用的簽名算法類型，詳細(xì)定義見表示雜湊中間值長(zhǎng)度；hashValue表示雜湊中間值；inDataLen表示數(shù)據(jù)明文長(zhǎng)度；inData表示數(shù)據(jù)明文。包：包為多包驗(yàn)證消息簽名更新響應(yīng)格式包，當(dāng)取值響應(yīng)包采用本子包其具體格式如下：hashValueOCTETSTRINGOPTIONAL}respValue表明響應(yīng)碼，0表示成功，非0表示錯(cuò)誤；表示雜湊值。A.5.19多包驗(yàn)證消息簽名結(jié)束包：包為多包驗(yàn)證消息簽名結(jié)束請(qǐng)求格式包，當(dāng)取值dMessageFinal時(shí)，請(qǐng)求包采用本子包，其具體格式如下：INTEGER,hashValueLenINTEGER,hashValueOCTETSTRING,signatureOCTETSTRING}表明使用的簽名算法類型，詳細(xì)定義見簽名算法標(biāo)識(shí)；type表示使用驗(yàn)證消息簽名時(shí)使用證書或證書序列號(hào)，1表示使用證書，2表示使用證書序列號(hào)；cert表示簽名證書，type取值1時(shí)有效；certSN表示簽名證書序列號(hào)，type取值2時(shí)有效；表示雜湊中間值長(zhǎng)度；hashValue表示雜湊中間值；signedMessage表示消息簽名數(shù)據(jù)，當(dāng)公鑰算法為RSA時(shí)，消息的結(jié)構(gòu)遵循PKCS#7;當(dāng)公鑰算法為SM2時(shí)，消息的結(jié)構(gòu)遵循GM/T0010。包：包為多包驗(yàn)證消息簽名結(jié)束響應(yīng)格式包，當(dāng)取值SignedMessageFinal時(shí)，響應(yīng)包采用本子包，其具體格式如下：respValueINTEGER}respValue表明響應(yīng)碼，0表示成功，非0表示錯(cuò)誤。附錄B（規(guī)范性附錄）基于HTTP的簽名消息協(xié)議語