海南省公共资源交易统一CA互认平台CA签章机构介质技术规范.docxVIP

介质技术规范 一、数字证书介质接口及使用规范 1.1范围 本规范描述了支持的数字证书介质的各项要求，包括对安全机制、软件要求、硬件指标等要求，用于指导电子认证服务机构在平台内进行数字证书介质的定制和选型。本标准遵循GM/T 0027-2014 《智能密码钥匙技术规范》和GM/T 0016-2012 《智能密码钥匙密码应用接口规范》。 1.2安全机制 1.2.1、密钥管理 数字证书介质的密钥空间必须能够至少保存2对RSA密钥对，2对SM2密钥对和2个对称密钥（包含1个设备认证密钥和1个会话密钥的空间）。所有密钥必须安全存储。签名私钥必须在数字证书介质内生成，且不能以任何形式导出。加密私钥以密文方式导入，且不能以任何形式导出，对称密钥不能以明文倒出。 1.2.3、数字证书介质的扩展区要求 数字证书介质内可创建用户私有文件区，对私有文件区操作时，用户应输入介质口令进行验证，扩展区的空间大小不小于64K 1.3软件要求 1.3.1、数字证书介质接口要求 介质接口及数据类型必须遵循国家密码管理局《智能密码钥匙密码应用接口规范》的要求，提供设备管理、访问控制、文件管理和密码服务等相关服务接口。介质有应用、容器，应用中可有多个容器，容器中可有多个私钥和证书。介质初始化后，无应用，无容器。 1.3.2、设备管理接口 设备管理主要完成介质的插拔事件处理、枚举设备、连接设备、断开连接、获取设备状态、设置设备标签，锁定设备、解锁设备和设备命令传输等操作。设备管理接口函数如下表所示： 函数名称 功能 SKF_WaitForDevEvent 等待设备插拔事件 SKF_CancelWaitForDevEvent 取消等待设备插拔事件 SKF_EnumDev 枚举设备 SKF_ConnectDev 连接设备 SKF_DisconnectDev 断开设备 SKF_GetDevState 获取设备状态 SKF_SetLabel 设置设备标签 SKF_GetDevInfo 获取设备信息 SKF_LockDev 锁定设备 SKF_UnlockDev 解锁设备 SKF_Transmit 设备命令传输 1.3.3、访问控制接口 访问控制主要完成设备认证、PIN码管理和安全状态管理等操作。访问控制接口函数如下表所示： 函数名称 功能 SKF_ChangeDevAuthKey 修改设备认证密钥 SKF_DevAuth 设备认证 SKF_ChangePIN 修改PIN SKF_GetPINInfo 获得PIN码信息 SKF_VerifyPIN 校验PIN SKF_UnblockPIN 解锁PIN SKF_ClearSecueState 清除应用安全状态 1.3.4、应用管理接口 应用管理主要完成应用的创建、枚举、删除、打开和关闭等操作。应用管理接口函数如下表所示： 函数名称 功能 SKF_CreateApplication 创建应用 SKF_EnumApplication 枚举应用 SKF_DeleteApplication 删除应用 SKF_OpenApplication 打开应用 SKF_CloseApplication 关闭应用 1.3.5、文件管理接口 文件管理接口函数用以满足用户扩展开发（如签章）的需要，包括创建文件、删除文件、枚举文件、获取文件信息、文件读写操作。文件管理接口函数下表所示： 函数名称 功能 SKF_CreateFile 创建文件 SKF_DeleteFile 删除文件 SKF_EnumFiles 枚举文件 SKF_GetFileInfo 获取文件信息 SKF_ReadFile 读文件 SKF_WriteFile 写文件 1.3.6、容器管理接口 容器管理接口函数用于创建、删除、枚举、打开和关闭容器。容器管理接口函数如下： 函数名称 功能 SKF_CreateContainer 创建容器 SKF_DeleteContainer 删除容器 SKF_EnumContainer 枚举容器 SKF_OpenContainer 打开容器 SKF_CloseContainer 关闭容器 SKF_GetContainerType 获得容器类型 SKF_ImportCertificate 导入数字证书 SKF_ExportCertificate 导出数字证书 1.4、数字证书介质驱动安装程序要求 电子认证服务机构提供的数字证书介质安装程序应满足以下要求： 提供无界面的安装程序，或支持无界面的安装指令。 介质安装程序应支持WINXP、WIN7、WIN8、WIN10等主流32位和64位操作系统。 驱动程序安在驱动注册到CSP时，需要在相应注册表中添加键值为SKFImage Path注册项，该项内容应该包含一个指向SKF接口驱动文件的路径。注册表示例如下： Window