数据交换平台服务类密码设备技术要求..doc

附件： 数据交换平台服务类密码设备技术要求 1. 基本要求 应具备国家密码管理局批准的商用密码产品型号证书（在有效期内） 2. 算法要求 1、支持1024位RSA、2048位RSA、SM2非对称密钥密码算法 2、支持SM1、SM4对称密码算法 3、支持SHA1、SM3消息摘要算法 3. 功能要求 1、密钥生成与管理：支持生成1024/2048位RSA算法密钥对和256位SM2算法密钥对。? 2、数据加密和解密：支持1024/2048位RSA算法、256位SM2算法的数据加密、解密运算；支持SM1算法、SM4算法数据加密和解密运算。? 3、数据摘要的产生和验证：支持SHA1、SM3消息摘要算法计算消息摘要。? 4、?数字签名的产生和验证：支持1024/2048位RSA算法、256位SM2算法的数字签名、验证签名运算； 5、生成签名证书请求：支持按照PKCS#10标准生成证书请求并导出请求包； 6、加密密钥对导入：支持导入加密密钥对功能，加密密钥对格式见附件。（预留功能，当跨境电子商务进口统一版信息化系统有数据加密需求时，需使用该功能） 附件：加密密钥对数字信封格式说明 附件： 数字信封格式说明 数字信封文件名称：envprivatekey，包含以下内容： 内容 长度 说明 算法标识 10字节 见表格3 分组长度1 2字节 使用签名公钥加密对称密钥后的密文数据长度 分组长度2 2字节 使用对称密钥加密用户加密私钥后的密文数据长度 密文数据1 RSA1024:128字节 RSA2048:256字节 SM2:=142字节 使用签名公钥加密对称密钥后的密文数据 密文数据2 RSA1024:=624字节 RSA2048: =1200字节 SM2:48字节 使用对称密钥加密用户加密私钥后的密文数据 表格 SEQ 表格 \* ARABIC 1 数字信封内容 解析后的数字信封包含以下内容： 内容 长度 说明 密钥1 16字节 使用签名私钥解密数据1后得到的对称密钥 密钥2 RSA1024:624字节 RSA2048:1200字节 SM2:32字节 使用对称密钥解密数据2后得到的加密密钥 表格 SEQ 表格 \* ARABIC 2 解析后的数字信封内容 算法标识说明： 此项在有些系统上发放时可能不存在。使用者在解析本数据包时可根据前两字节来判断本数据包是否包含算法标识（前两字节为30 08，表示包含算法标识；前两字节为非30 08，表示不包含算法标识）。实际标识算法的是30 08后面的8个字节，定义如下： 位置（下标） 描述 字节0 预留。 字节1 预留。 字节2 预留。 字节3 被加密保护的非对称密钥标识。定义：1—RSA1024；2—RSA2048；3—SM2。 字节4 数据填充，与RA中的算法标识保持格式上一致，无实际意义。 字节5 签发证书使用的非对称密钥标识。定义同字节3。 字节6 被保护的非对称密钥的数据格式。定义：1—密钥被编码成DER；2—密钥不进行编码。 字节7 加密保护中使用的对称密码算法，加密模式为ECB。定义：1—SSF33；2—SM1；4—SM4。 表格 SEQ 表格 \* ARABIC 3 算法标识说明 数字信封示例A：RSA1024 1． 数字信封全文【示例：密文数据1：使用签名公钥加密对称密钥后的密文；示例：密文数据2：使用对称密钥加密加密密钥后的密文】 算法标识（10字节） 分组长度 30 08 00 00 00 01 01 01 01 01 00 80 02 70 27 de c4 60 46 4c 34 d7 8b 5a fc 18 56 70 52 bb 2c 83 8f 16 5b e0 96 ed 6c cd b5 b8 f9 a1 79 80 ad 30 1b 4a 9a 1a f8 48 93 47 d2 f8 68 82 c6 c0 11 a3 30 c5 80 89 50 77 66 b7 16 ab 7a 18 2b 73 2d 87 60 1f 82 8f 42 08 1c e2 57 b1 cf f5 c5 c9 d9 f0 21 44 45 7a de d9 7f 67 78 6e 71 27 1a e4 b6 1a b9 1b 3c b2 28 b7 87 b5 da 11 b3 87 ed 50 08 21 af b9 1a bf f2 a9 2e e1 95 11 39 f2 6a 4a de 13 66 ba 67 92 c9 cd 28 27 4d a5 ba c4 a4 4d cb 3e f8 44 81 1d e1 bb 05 ba f8 d4 61 5a 8d 1a 11 04 d8 e8 1e 63 cb 6f b