(高清版)GB∕T 38629-2020 信息安全技术 签名验签服务器技术规范

签名验签服务器技术规范Informationsecuritytech2020-04-28发布2020-11-01实施国家标准化管理委员会国家市场监督管理总局发布国家标准化管理委员会GB/T38629—2020 I 4缩略语 2 25.1初始化功能 25.2与公钥基础设施的连接配置功能 25.3应用管理功能 25.4证书管理和验证功能 25.5数字签名和验签功能 3 3 3 3 3 3 3 46.5设备物理安全防护 46.6网络部署要求 46.7服务接口 46.8环境适应性 46.9可靠性 46.10其他 4 57.1概述 5 5 6 7 9附录A(规范性附录)基于HTTP的消息协议语法规则 附录B(规范性附录)响应码定义和说明 22I1GB/T9813.3—2017计算机通用规范第3部分：服务器GB/T19713—2005信息技术安全技术公钥基础设施在线证书状态协议GB/T25069—2010信息安全技术术语GB/T35291—2017信息安全技术智能密码钥匙应用接口规范2API:应用程序接口(ApplicationProgramInterface)ASN.1:抽象语法记法1(AbstractSyntaxNotationOne)CA:证书认证机构(CertificatiCRL:证书撤销列表(CertificateRevocaPKI:公钥密码基础设施(PublicKeyInfrastructure)入CRL等功能。签名验签服务器应支持OCSP连接配置功能，通过配置管理界面，进行OCSP服务的连接配置管理。OCSP服务的连接配置应遵循GB/T19713—2005中6.1的规定。全机制对应用实体的信息进行安全存储。应用实体注册的内容应包括设置应用并支持通过管理界面导入应用实体的签名证书、加密证书和加密密钥3456VersionDEFAULTvl,verifySignedDataUpdatVerifySignedDataUpdaVerifySignedDataFin7signMessageReqverifySignedMessageRe}ReqTimeStampToken请求包说明012345多包数字签名初始化请求包6多包数字签名更新请求包7多包数字签名结束请求包8多包验证数字签名初始化请求包9多包验证数字签名更新请求包多包验证数字签名结束请求包8VersionDEFAULTvl,[0]IMPLICITGeneralizedTime[1]IMPLICITRespTimeStampTokenRespond::=OCTETSTRING{verifySignedDataIniverifySignedDataUpdaVerifySignedDataIniVerifySignedDataUpdatVerifySignedDataFinarespTimeStampToken::=TimeSta9a)协议版本b)响应类型c)响应包响应包与响应类型值之间的对应关系如表2所示。响应包说明012345多包数字签名初始化响应包6多包数字签名更新响应包7多包数字签名结束响应包8多包验证数字签名初始化响应包9多包验证数字签名更新响应包多包验证数字签名结束响应包d)响应时间e)响应时间戳——ExportCertReq包ExportCertReq包为导出证书请求格式包，当reqType取值exportCert时，请求包采}——ExportCertResp包certCertificate}——ParseCertReq包}——ParseCertResp包infoOCTET}——ValidateCertReq包ValidateCertReq::=SE——ValidateCertResp包ValidateCertResp::=SE}——SignDataReq包signMethodINTEkeyIndexINTEGER,signerID[1]IMPLICT——SignDataResp包respValue}——VerifySignedDataReq包VerifySignedDataReq::=SEsignMethodcert[0]inDataLenverifyLevelINTEGER——VerifySignedDataResVerifySignedDataResp::=SErespValue——SignDataInitReq包signerPublicKey[0]IMPLIsignerID——SignDataInitResp包SessionIDSignDataUpdateReq包为多包数字签名更新请求格式包，当reqType取值signDataUpdateSignDataUpdateReq::=SEQUENCE{SessionID}SessionID——SignDataFinalResp包respValueINTEGER,signatureO}VerifySignedDataInitReq::=SE——VerifySignedDataInitResp包VerifySignedDataInitResp::=SESessionID}VerifySignedDataUpdateReq::=SE——VerifySignedDataUpdateResVerifySignedDataUpdateResp::=SrespValueINTEGER,SessionID}VerifySignedDataFinalReq::=Scert[0]certSN}——VerifySignedDataFinalResp包VerifySignedDataFinalResp::=SkeyValueOCTETcertificateChaincrl[2]IMPLICT}SignMessageResp::=SEQUENCE{respValueINTEGER,signedMessageOCTETVerifySignedMessageReq::=SEinDataLenINTEGERinDataOCTETsignerIDLen——VerifySignedMessageResVerifySignedMessageResp包为验证消息签名响应格式包，当respType取值verifySigne-VerifySignedMessageResp::=SErespValueINT第7章中描述的ASN.1格式是一种二进制格式，考虑到签名验证服务将被广泛用于各种WEB系其工作原理与第7章中的请求响应模式类似，不同的是将消息格式从二进制的ASN.1格式，转换为易于在WEB应用和HTTP协议中传递的文本格式。本附录只描述了从第7章的消息格式到对应HTTP格式的转换规则，而不再复述第7章中每个请ASN.1类型示例文本TRUE和FALSE带时区格式的时间字符串YYYYMMDDhhmm[ss[.s...]]{ZI+hhmm|对OCTETSTRING进行BASEA.3HTTP请求的转换规则(urlencoded格式)versionVersionDEFAULTvl,a)所有请求都采用HTTP的POST模式；c)version被作为一个自定义的HTTP字段SVS-Request-Version;d)reqTime被作为一个自定义的HTTP字段SVS-Request-Time;f)HTTPHeader中的Content-Length为第7章中请求数据的实际长度。POST/SignServer/SignDataHTTP/1.1\r\nSVS-Request-Time:2013100Content-Type:application/x-www-form-Content-Length:实际请求body长度\r\nsignMethod=.第7章中代表业务请求实体的Request类型，将被转换为一个HTTP的form表单：paraml=valuel¶m2=value2…paramN=vsignMethod=签名算法类型&keyIndex=私钥的索引&keyValue=私钥权限标识码&inDataLenrespTypeRespT}a)respType被作为一个自定义的H