GB/T 38629-2020
基本信息
标准号:
GB/T 38629-2020
中文名称:信息安全技术 签名验签服务器技术规范
标准类别:国家标准(GB)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
下载大小:1243031
相关标签:
信息安全
技术
签名
服务器
技术规范
标准分类号
关联标准
出版信息
相关单位信息
标准简介
GB/T 38629-2020.Information security technology-Technical specifications for signature verification server.
1范围
GB/T 38629规定了签名验签服务器的功能要求、安全要求和消息协议语法规则等内容。
GB/T 38629适用于签名验签服务器的研制和使用。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 9813.3-2017计算机通用规范第 3部分:服务器
GB/T 19713-2005信息技术安全技术 公钥基础设施 在线 证书状态协议
GB/T 25069-2010信息安全技术 术语
GB/T 32905信息安全技术 SM3 密码杂凑算法
GB/T 32918(所有部分)信息安全技术 SM2 椭圆曲线公钥密码算法.
GB/T 33560-2017信息安全技术密 码应用标识规范
GB/T 35275信息安全技术 SM2 密码算法加密签名消息语法规范
GB/T 35276信息安全技术 SM2 密码算法使用规范
GB/T 35291-2017信息安 全技术。智能密码钥匙应用接口规范
GB/T 36322信息安全技术 密码设 备应用接口规范
GM/T 0020证书应用综合服务接口规范.
GM/T 0028密码模块安全要求
GM/T 0039密码模块安全检测要求.
3术语和定义
GB/T 25069-2010界定的以及下列术语和定义适用于本文件。
3.1
安全域 security domain
在信息系统中,单一安全策略下运行的实体的汇集。例如,由单个或一组认证机构采用同一安全策略创建的各公钥证书的汇集。
[GB/T 25069-2010,定义2.2.1.17]
3.2
签名验签服务器 signature verification server
用于服务端的,为应用实体提供基于PKI体系和数字证书的数字签名、验证签名等运算功能的服务器,保证关键业务信息的真实性、完整性和不可否认性。
3.3
用户 user
与应用实体进行通信或认证的个人、机构或系统。
标准内容
ICS35.040
中华人民共和国国家标准
GB/T38629—2020
信息安全技术
签名验签服务器技术规范
Information security technology-Technical specifications for signature verification server2020-04-28发布
国家市场监督管理总局
国家标准化管理委员会
2020-11-01实施
GB/T38629—2020
规范性引用文件
术语和定义
缩略语
签名验签服务器的功能要求
初始化功能
与公钥基础设施的连接配置功能应用管理功能
证书管理和验证功能
数字签名和验签功能
日志管理功能
时间源同步功能
6签名验签服务器的安全要求
接口要求
系统要求
使用要求
管理要求
设备物理安全防护
网络部署要求
服务接口
环境适应性
可靠性
其他·
消息协议语法规则
协议内容
请求协议
7.4响应协议
7.5协议接口功能说明
附录A(规范性附录)基于HTTP的消息协议语法规则附录B(规范性附录)
响应码定义和说明
本标准按照GB/T1.1—2009给出的规则起草GB/T38629—2020
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位:山东得安信息技术有限公司、成都卫士通信息产业股份公司、无锡江南信息安全工程技术中心、兴唐通信科技有限公司、格尔软件股份有限公司、长春吉大正元信息技术股份有限公司、上海市数字证书认证中心有限公司、北京数字认证股份有限公司、北京创原天地科技有限公司、北京三未信安科技发展有限公司、北京信安世纪科技股份有限公司。本标准主要起草人:马洪富、孔凡玉、罗俊、徐明翼、王妮娜、郑强、赵丽丽、韩玮、李述胜、肖青海、高志权、汪宗斌。
1范围
信息安全技术
签名验签服务器技术规范
GB/T38629—2020
本标准规定了签名验签服务器的功能要求、安全要求和消息协议语法规则等内容本标准适用于签名验签服务器的研制和使用。规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T9813.3—2017计算机通用规范第3部分:服务器GB/T19713—2005信息技术安全技术公钥基础设施在线证书状态协议GB/T250692010
信息安全技术术语
信息安全技术SM3密码杂算法
GB/T329051
GB/T32918(所有部分)信息安全技术SM2椭圆曲线公钥密码算法GB/T33560一2017信息安全技术密码应用标识规范GB/T35275
信息安全技术SM2密码算法加密签名消息语法规范GB/T35276
信息安全技术SM2密码算法使用规范GB/T35291一2017信息安全技术·智能密码钥匙应用接口规范GB/T36322
GM/T 0020
GM/T0028
GM/T0039
术语和定义
信息安全技术密码设备应用接口规范证书应用综合服务接口规范
密码模块安全要求
密码模块安全检测要求
GB/T25069一2010界定的以及下列术语和定义适用于本文件3.1
安全域securitydomain
在信息系统中,单一安全策略下运行的实体的汇集。例如,由单个或一组认证机构采用同一安全策略创建的各公钥证书的汇集。
[GB/T250692010.定义2.2.1.17]3.2
signatureverification server签名验签服务器
用于服务端的,为应用实体提供基于PKI体系和数字证书的数字签名、验证签名等运算功能的服务器,保证关键业务信息的真实性、完整性和不可否认性。3.3
用户user
与应用实体进行通信或认证的个人、机构或系统。1
GB/T38629—2020
注:其数字证书可导入到签名验签服务器中。3.4
SM2算法
SM2algorithm
由GB/T32918定义的一种椭圆曲线密码算法。3.5
SM3algorithm
SM3算法
由GB/T32905定义的一种杂凑算法4缩略语
下列缩略语适用于本文件。
API:应用程序接口(ApplicationProgramInterface)ASN.1:抽象语法记法1(AbstractSyntaxNotationOne)CA:证书认证机构(CertificationAuthority)CRL:证书撤销列表(CertificateRevocationList)OCSP:在线证书状态查询协议(OnlineCertificateStatusProtocol)PKI:公钥密码基础设施(PublicKeyInfrastructure)eeiKAca
5签名验签服务器的功能要求
5.1初始化功能
签名验签服务器的初始化应主要包括系统配置、生成管理员和审计员、创建密钥、申请证书和导人证书等,使设备处于正常工作状态。5.2与公钥基础设施的连接配置功能。5.2.1CRL连接配置
签名验签服务器应支持CRL连接配置功能,通过配置管理界面,提供从CRL发布点获取CRL、导人CRL等功能。
5.2.2OCSP连接配置
签名验签服务器应支持OCSP连接配置功能,通过配置管理界面,进行OCSP服务的连接配置管理。OCSP服务的连接配置应遵循GB/T19713—2005中6.1的规定。3应用管理功能
签名验签服务器的应用管理功能应包括应用实体的注册、配置密钥、设置私钥授权码等,并按照安全机制对应用实体的信息进行安全存储。应用实体注册的内容应包括设置应用实体名称、配置密钥索引号、导入证书等。
5.4证书管理和验证功能
5.4.1应用实体的密钥产生、证书申请在签名验签服务器注册的应用实体,应由签名验签服务器产生应用实体的签名密钥对和证书请求,并支持通过管理界面导人应用实体的签名证书、加密证书和加密密钥对。加密密钥对的保护结构应遵2
循GB/T35291—2017中6.4.10的规定。5.4.2证书导入和存储
GB/T38629—2020
签名验签服务器应支持用户证书、根证书或证书链的导入,导人时应对证书的有效性进行验证。5.4.3应用实体的证书更新
应用实体的证书更新时应保存原来的证书,以防止以前的签名不能验证。5.4.4证书验证
签名验签服务器应支持对证书的有效性的验证,包括验证证书有效期、验证证书签名有效性、验证证书状态。
5.4.5备份和恢复
签名验签服务器应支持备份和恢复功能,包括密钥、证书等数据的备份和恢复。备份操作产生的备份文件可存储到签名验签服务器外的存储介质中,应采取措施保证备份文件的机密性和完整性。
5.5数字签名和验签功能
签名验签服务器应支持SM2算法的数字签名和数字验签功能,提供对数据、消息、文件等多种格式的运算方式。
数据的结构应遵循GB/T35275 和GB/T35276Kaee
6日志管理功能
签名验签服务器应提供日志记录、查看,审计和导出功能,具备相应的配置管理和查看界面。日志内容包括:
a)系统管理日志,包括登录认证、系统配置、密钥管理等操作;b)异常事件,包括认证失败、非法访问等异常事件的记录c)如与设备管理中心连接,对相应操作进行记录;d)对应用接口的调用进行日志记录。5.7时间源同步功能
签名验签服务器应能够配置连接时间源服务器,自动同步时间。6签名验签服务器的安全要求
6.1接口要求
签名验签服务器调用密码设备的接口应遵循GB/T363226.2系统要求
签名验签服务器所使用的操作系统应进行安全加固,保障其安全性。6.3使用要求
签名验签服务器只接受合法的操作指令,并防止非授权用户的使用。3
GB/T38629—2020
6.4管理要求
6.4.1管理工具
签名验签服务器通过管理工具实现对该签名验签服务器的管理功能。6.4.2管理员身份鉴别
签名验签服务器应具备完善的身份鉴别机制,签名验签服务器应设置管理员和审计员,管理员和审计员应通过智能密码钥匙、智能IC卡等硬件介质与口令相结合的方式登录系统,并使用证书进行身份验证。各类管理员通过身份鉴别后执行自已权限范围内的相关管理操作。6.4.3设备管理
6.4.3.1设备初始化
签名验签服务器的初始化,除应由厂商进行的操作外,系统配置、密钥的生成(恢复)与安装、生成管理员和审计员等均应由用户方设备管理人员完成6.4.3.2设备自检
签名验签服务器应具备自检功能,应具备状态和功能自检功能,能够进行密码算法正确性检查、随机数发生器检查、存储密钥和数据的完整性检查等,检查不通过时应报警并停止工作。ee
6.5设备物理安全防护
签名验签服务器在工艺设计、硬件配置等方面应采取相应的保护措施,保证设备基本的物理安全防-ii
护功能。
6.6网络部署要求
签名验签服务器应部署在应用系统的安全域内,只为安全域内的应用实体和用户服务,不应为安全域外的应用实体和用户使用。
7服务接口
以基于HTTP的WEB方式提供服务的签名验签服务器.接口要求见附录A,响应码的定义见附录B。
以消息协议方式提供服务的签名验签服务器,接口要求见第7章,响应码的定义见附录B以应用程序接口方式提供服务的签名验签服务器,其接口应遵循GM/T0020。6.8环境适应性
签名验签服务器的工作环境应遵循GB/T9813.3一2017中5.8的规定6.9
可靠性
签名验签服务器的平均失效间隔工作时间应遵循GB/T9813.3一2017中4.9的规定。6.10其他
签名验签服务器的其他安全要求应遵循GM/T0028和GM/T00394
消息协议语法规则
7.1概述
GB/T38629—2020
签名验签服务的消息协议接口采用请求响应模式,如图1所示。协议模型由请求者、响应者和它们之间的交互协议组成。通过本协议,请求者将数字签名、验证数字签名等请求发送给响应者,由响应者完成签名验签服务并返回结果。本规则中的接口消息协议包括导出证书、解析证书、验证证书有效性、数字签名、验证数字签名、消息签名、验证消息签名等服务功能,每个服务都按照请求一响应的步骤执行。请求者可通过规则获得签名验签功能,而不必关心下层PKI公钥密码基础设施的实现细节。签名验签诗求
诺求者
签名验签而应
图1签名验签服务的消息协议接口模式自应者
请求者组织业务服务请求,发送到响应者,并延缓自身的事务处理过程,等待响应者响应返回:响应者接收到来自请求者的业务服务请求后,检查请求的合法性,根据请求类型处理服务请求,并将处理结果返回给请求者。
iKaeeiK
下面的协议内容将按照图1所示的框架进行。7.2协议内容
协议内容如下:
a)请求
也称业务服务请求,包含请求者业务请求的类型、性质以及特性数据等,该请求将被发送到响应者并得到服务。服务请求包括如下数据:协议版本(当前版本为1);
请求类型;
请求包;
请求时间。
b)响应
指响应者对来自请求者请求的处理响应。响应者的响应包括如下数据:协议版本(当前版本为1);
响应类型;
响应包;
响应时间。
c)异常情况
当响应者处理发生错误时,需要向请求者发送错误信息。错误可以是下列两类:请求失败:响应者验证来自请求者业务请求数据失败,请求者收到该响应后应重新组织业务请求数据进行发送。
内部处理失败:响应者处理请求者业务请求过程中发生内部错误,响应者通知请求者该请求处理失败,请求者需重新组织业务请求数据进行发送本规则采用抽象语法记法1(ASN.1)来描述具体协议内容。如果无特殊说明,默认使用ASN.1显5
GB/T38629—2020
式标记。
请求协议
请求数据格式
请求者请求数据的基本格式如下:SVSRequest ::= $
SEQUENCE
version
reqType
request
reqTime
reqTimeStampToken
extAttributes
其中:
Version DEFAULTvl,
ReqType
Request,
[o]IMPLICITGeneralizedTimeOPTIONAL[1JIMPLICITReqTimeStampToken OPTIONAL.[2]IMPLICITExtAttributesOPTIONALVersion ::= INTEGER ( vl(O))ReqType::=INTEGER(
exportCert
parseCert
validateCert
signData
verifySignedData
signDatalnit
signDataUpdate
signDataFinal
verifySignedDatalnit
verifySignedDataUpdate
verifySignedDataFinal
signMessage
werifySignedMessage
Request ::=
OCTET STRING
exportUserCertReq
parseCertReq
validateCertReq
signDataReq
verifySignedDataReq
signDatalnitReq
signDataUpdateReq
signDataFinalReq
verifySignedDatalnitReq
verifySignedDataUpdateReq
verifySignedDataFinalReq
(0),
(1),
(2),
(3),
(4),
(5),
(7),
(8),
(9),
[oIMPLICTExportUserCertReq
[1J IMPLICT ParseCertReq,
[2]IMPLICTValidateCertReq,
[3]IMPLICTSignDataReq,
[4JIMPLICTVerifySignedDataReq,[5]IMPLICTSignDatalnitReq,
[6J IMPLICT SignDataUpdateReq[7] IMPLICT SignDataFinalReq,[8JIMPLICTVerifySignedDatalnitReq,[9]IMPLICTVerifySignedDataUpdateReq,[1o]IMPLICTVerifySignedDataFinalReq,signMessageReq
verifySignedMessageReq
[11]IMPLICT SignMessageReq,
GB/T38629—2020
[12]IMPLICTVerifySignedMessageReqReqTimeStampToken::=TimeStampTokenExtAttributes ::= SET OF Attribute7.3.2SVSRequest及其结构解释
SVSRequest包含了请求语法中的重要信息,本条将对该结构作详细的描述和解释:a)
协议版本
本项描述了请求语法的版本号,当前版本为1,取整型值0。请求类型
本项描述了不同业务的请求类型值,0~999为保留值,不可占用。请求包
请求包与请求类型值之间的对应关系如表1所示表1请求包与请求类型值的对应关系请求类型字符描述
exportCert
parseCert
validateCert
signData
verifySignedData
signDatalnit
signDataUpdate
signDataFinal
verifySignedDatalnit
verifySignedDataUpdate
verifySignedDataFinal
signMessage
verifySignedMessage
请求时间
请求类型值
导出证书请求包
解析证书请求包
验证证书有效性请求包
单包数字签名请求包
请求包说明
单包验证数字签名请求包
多包数字签名初始化请求包
多包数字签名更新请求包
多包数字签名结束请求包
多包验证数字签名初始化请求包多包验证数字签名更新请求包
多包验证数字签名结束请求包
单包消息签名请求包
单包验证消息签名请求包
请求者产生请求的时间,采用GeneralizedTime语法表示。请求时间戳
request内容的时间截。如包含此项数据,签名服务器应验证该时间截。扩展数据
依据实际业务需求添加的扩展数据。7.4
响应协议
响应数据格式
响应者响应的基本格式如下:
GB/T38629—2020
SVSRespond ::=-$
SEQUENCEbZxz.net
version
respType
respond
respTime
respTimeStampToken
extAttributes
其中:
Version DEFAULT vl,
RespType,
Respond,
[o]IMPLICIT GeneralizedTime OPTIONAL[1J IMPLICIT RespTimeStampToken OPTIONAL,[2]IMPLICITExtAttributesOPTIONALVersion ::= INTEGER (vl(0))
RespType::= INTEGER
exportCert
parseCert
validateCert
signData
verifySignedData
signDataInit
signDataUpdate
signDataFinal
verifySignedDatalnit
verifySignedDataUpdate
verifySignedDataFinal
signMessage
verifySignedMessage
Respond::=OCTETSTRING(
exportUserCertResp
parseCertResp
validateCertResp
signDataResp
verifySignedDataResp
signDatalnitResp
signDataUpdateResp
signDataFinalResp
verifySignedDatalnitResp
verifySignedDataUpdateResp
verifySignedDataFinalResp
signMessageResp
verifySignedMessageResp
(2),
(3),
(4),
(5),
(6),
(7),
(8),
(9),
(10),
[o]IMPLICT ExportUserCertResp,[1]IMPLICTParseCertResp,
[2]IMPLICT ValidateCertResp,[3]IMPLICT SignDataResp,
[4]IMPLICT VerifySignedDataResp,[5]IMPLICTSignDataInitResp,
[6]IMPLICTSignDataUpdateResp,[7]IMPLICTSignDataFinalResp,[8]IMPLICTVerifySignedDatalnitResp,[9] IMPLICT VerifySignedDataUpdateResp.[1oJIMPLICTVerifySignedDataFinalResp,[11]IMPLICTSignMessageResp,[12]IMPLICTVerifySignedMessageResprespTimeStampToken::=TimeStampTokenExtAttributes ::= SET OF Attribute8
7.4.2SVSRespond及其结构解释
GB/T38629—2020
SVSRespond包含了响应语法中的重要信息,本条将对该结构作详细的描述和解释:a)
协议版本
本项描述了响应语法的版本号,当前版本为1,取整型值0。响应类型
本项描述了不同业务的响应类型值,0~999为保留值,不可占用。响应包
响应包与响应类型值之间的对应关系如表2所示响应包与相应类型值的对应关系表2
应答类型字符描述
exportCert
parseCert
validateCert
signData
verifySignedData
signDatalnit
signDataUpdate
signDataFinal
verifySignedDatalnit
verifySignedDataUpdate
verifySignedDataFinal
signMessage
verifySignedMessage
响应时间
应答类型值
导出证书响应包
解析证书响应包
响应包说明
验证证书有效性响应包
单包数字签名响应包
单包验证数字签名响应包
多包数字签名初始化响应包
多包数字签名更新响应包
多包数字签名结束响应包
多包验证数字签名初始化响应包多包验证数字签名更新响应包
多包验证数字签名结束响应包
单包消息签名响应包
单包验证消息签名响应包
响应者产生响应的时间,采用GeneralizedTime语法表示。响应时间戳
respond内容的时间戳。如包含此项数据,客户端应验证该时间戳扩展数据
依据实际业务需求添加的扩展数据。协议接口功能说明
导出证书
ExportCertReq包
ExportCertReq包为导出证书请求格式包,当reqType取值exportCert时,请求包采用本子包,其具体格式如下:
ExportCertReq::=
SEQUENCE+
identification
OCTETSTRING
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。