GBT 33560-2026《网络安全技术 密码应用标识》

1网络安全技术密码应用标识本文件规定了密码应用中所使用的密码服务类标识、安全管理类标识，以及商用密码领域中的相关OID定义。本文件适用于密码产品、密码系统的研制和使用，也适用于相关标准、协议的编制。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。3术语和定义标识符identifier用于标识在密码应用中涉及的密码算法、运算数据、角色管理、密钥管理、系统管理和产品管理的一个整数。CRL:证书撤销列表(CertificaDER:可辨别编码规则(DistinguishedHMAC:采用杂凑算法计算的消息验证码(Hash-basedMessageAuthenticationCode)IBC:基于标识的密码技术(Identity-BasedCryptography)MAC:消息鉴别码(MessageAuthenticationCode)2OFB:输出反馈模式(OutputFeedback)OFBNLF:带非线性函数的输出反馈(OutputFeedbackwithaNonlinearFunction)OID:对象标识符(ObjectIdentifier)PEM:隐私增强邮件(PrivacyEnhancedMail)XTS:带密文挪用的先异或再加密再异或的结构可调分组密码(Xor-Encryption-XorTweakable5标识符的格式和编码标识符类型指定为32位无符号整数，密码应用的开发实现、接口调用阶段，需保持该类型的原生性，直接以32位无符号整数进行定义、运算和传递，禁止中途转换为其他类型；标识符的编码操作仅在传输、存储场景触发，编码规则为字节级从低位到高位(小端序)编码，固定生成4字节编码结果。6密码服务类标识密码服务类标识定义了在密码服务设备或密码服务接口中涉及的密码算法、运算数据的表示短语和数据，该类数据标识在密码服务设备或密码服务接口的调用过程中使用，如数据加密、数字签名和身份鉴别应用场景。6.2算法标识6.2.1对称密码算法标识对称密码算法标识包含密码算法的类型、密钥长度以及对称算法的加密模式，在调用密码服务对象进行密码操作或在获取密码服务对象的密码运算能力时使用。对称密码算法标识的编码规则为从低位到高位，第0位～第7位和第24位～第31位按位表示对称密码算法工作模式，第8位～第15位按位表示对称密码算法的类型，第16位～第23位为0。对称密码算法标识应符合表1的规定。表1对称密码算法标识定义SM1算法ECB加密模式，密钥长度为128bitSM1算法CBC加密模式，密钥长度为128bitSM1算法CFB加密模式，密钥长度为128bitSM1算法OFB加密模式，密钥长度为128bitSM1算法MAC运算，密钥长度为128bitSM4算法ECB加密模式，密钥长度为128bitSM4算法CBC加密模式，密钥长度为128bitSM4算法CFB加密模式，密钥长度为128bit3表1对称密码算法标识(续)SM4算法OFB加密模式，密钥长度为128bitSM4算法MAC运算，密钥长度为128bitSM4算法CTR加密模式，密钥长度为128bitSM4算法OFBNLF加密模式，密钥长度SM4算法XTS加密模式，密钥长度为128bitSM4算法GCM加密模式，密钥长度为128bitSM4算法CCM加密模式，密钥长度为128bitSM4算法EAX加密模式，密钥长度为128bitSM4算法基于Feistel结构的FPE加ZUC祖冲之密码算法的ZUC-GXM鉴别式加密机制ZUC祖冲之密码算法的ZUC-MUR鉴别式加密机制SM7算法ECB加密模式，密钥长度为128bitSM7算法CBC加密模式，密钥长度为128bitSM7算法CFB加密模式，密钥长度为128bitSM7算法OFB加密模式，密钥长度为128bitSM7算法MAC运算，密钥长度为128bit注1:对称密码算法标识的第16位～第23位暂时为0,能为其他对称密码算法的类型或模式预留。注2:“SGD_SM4_MAC”标签泛指SM4MAC运算，若有需具体细分MAC算法的应用场景，6.2.2非对称密码算法标识非对称密码算法标识的编码规则为从低位到高位，第0位～第7位为0,第8位～第15位按位表示非对称密码算法的算法协议，如果所表示的非对称算法没有相应的算法协议则为0,第16位～第31位按位表示非对称密码算法类型。非对称密码算法标识应符合表2的规定。4表2非对称密码算法标识SGD_SM2_1SM2椭圆曲线密钥交换协议SGD_SM9_1SM9密钥交换协议SM9密钥封装机制为其他非对称密码算法预留“为其他非对称密码算法预留的标识符，预留的标签可自定义。6.2.3密码杂凑算法标识密码杂凑算法标识的编码规则为从低位到高位，第0位～第7位表示密码杂凑算法，第8位～第31位为0。密码杂凑算法标识应符合表3的规定。表3密码杂凑算法标识SM3_HMAC算法SHA256_HMAC算法为其他密码杂凑算法预留为其他密码杂凑算法预留的标识符，预留的标签名算法标识的编码规则为从低位到高位，第0位～第7位表示密码杂凑算法，第8位～第31位5表示非对称密码算法。签名算法标识应符合表4的规定。表4签名算法标识基于SM3算法和RSA算法的签名，SM3杂凑算法输出长度为基于SHA_1算法和RSA算法的签名基于SHA_256算法和RSA算法的签名基于SM3算法和SM2算法的签名，SM3杂凑算法输出长度为基于SM3算法和SM9算法的签名，SM3杂凑算法输出长度为为其他密码签名算法预留°为其他密码签名算法预留的标识符，预留的标6.3数据标识数据类型定义了密码应用中用到的数据类型标签。数据类型标签应符合表5的规定。表5数据类型标签16位，有符号整数16位，无符号整数32位，有符号整数，表示布尔型6.3.2数据常量标识6数据常量标识应符合表6的规定。表6数据常量标识6.3.3通用数据对象标识在数据的存储或传输过程中，对某些数据的特殊性进行明确的标识，以保证目标系统能对接收数据进行正确的处理。通用数据对象标识的编码规则为从低位到高位，第0位～第7位表示数据对象的属性，第8位为1,第9位～第31位为0。通用数据对象标识应符合表7的规定。表7通用数据对象标识定义密钥索引签名公钥加密公钥签名私钥加密私钥口令公钥证书属性证书数字签名随机数明文数据SM9签名公钥SM9加密公钥SM9签名私钥SM9加密私钥为其他数据对象预留为其他数据对象预留的标识符，预留的标签可自定义。76.3.4证书解析项标识在实现身份鉴别、授权管理和访问控制的安全机制时，可通过解析证书项获取公钥证书信息，在这种情况下应通过标识符指定证书项内容。证书解析项标识的编码规则为从低位到高位，第0位～第7位表示证书解析项的内容，第8位～第31位为0。证书解析项标识应符合表8的规定。表8证书解析项标识定义SGD_CERT_SIGNATURE_SGD_CERT_PUBLIC_KEY_P证书颁发者信息证书拥有者信息证书公钥信息证书扩展项信息SGD_EXT_AUTHORITYKEYIDENTISGD_EXT_SUBJECTKEYIDENTISGD_EXT_PRIVATEKEYUSAGEPESGD_EXT_CERTIFICATEPOLISGD_EXT_BASICCONSTRA基本限制SGD_EXT_POLICYCONSTRA策略限制SGD_EXT_CRLDISTRIBUTIONPOCRL发布点SGD_EXT_SELFDEFINED_EXTEN证书颁发者通用名证书拥有者通用名8表8证书解析项标识(续)定义SGD_EXT_UNIFORM_SOCIAL_CREDIT_I统一社会信用代码SGD_EXT_AUTHORITY_IN机构信息访问SGD_EXT_SUBJECT_INFORMATI主体信息访问为其他证书解析项预留“为其他证书解析项预留的标识符，预留的标签可自定义。6.3.5时间戳信息项标识在时间戳系统的实现及时间戳的应用过程中，解析时间戳信息时应通过标识符指定时间戳信息项的内容。时间戳信息项标识的编码规则为从低位到高位，第0位～第7位表示时间戳信息项的内容，第8位、第10位～第31位为0,第9位为1。表9时间戳信息项标识定义签发时间签发者的通用名时间戳请求的原始信息时间戳服务器的证书时间戳服务器的证书链时间源的来源时间精度响应方式SGD_SUBJECT_COUNTRY_OFSGD_SUBJECT_ORGNIZATION_OFSGD_SUBJECT_CITY_OF9表9时间戳信息项标识(续)SGD_SUBJECT_EMAIL_OF随机数时间戳请求/响应中的扩展域时间戳服务器证书序列号为其他时间戳信息项预留为其他时间戳信息项预留的标识符，预留的标单点登录标识项的编码规则为从低位到高位，第0位～第7位表示单点登录标识项的内容，第8位～第31位为0。单点登录标识应符合表10的规定。表10单点登录标识服务提供者用户标识数据，在服务提供者内唯一身份鉴别提供者唯一标识数据身份鉴别提供者用户标识数据，在身份鉴别提供者为其他单点登录项预留为其他单点登录项预留的标识符，预留的标签可自定数据编码格式标识的编码规则为从低位到高位，第0位～第23位为0,第24位～第31位表示数据编码格式。数据编码格式标识应符合表11的规定。表11数据编码格式标识定义由0～9、A~F表示16进制数据的字符串为自定义编码格式预留为自定义编码格式预留的标识符，预留的标签可自定义。7安全管理类标识安全管理类标识，是密码服务设备或密码服务接口中，面向角色管理、密钥管理、系统管理、产品管理的专用表示短语与数据。该类标识的适用场景涵盖两类：一是安全管理接口的调用过程，二是安全系统或产品管理的日志信息采集、处理过程。7.2角色管理标识7.2.1角色标识角色是在管理操作中的主体，是管理活动的实施者，在角色管理操作中也会作为被管理的对象。角色标识的编码规则为从低位到高位，第0位～第7位表示角色，第8位～第31位为0。角色标识应符合表12的规定。表12角色标识定义超级管理员业务管理员审计管理员审计操作员业务操作员用户为自定义角色预留7.2.2角色操作标识角色操作标识符包含角色自身的行为(签入、签出、修改口令)和对其他角色的管理行为(创建角色、删除角色、修改角色、对角色授权、启用角色、禁用角色)。角色操作标识的编码规则为从低位到高位，第0位～第7位表示角色管理操作，第8位～第31位为0。角色操作标识应符合表13的规定。表13角色操作标识定义签出启用禁用为其他角色操作项预留为其他角色操作项预留的标识符，预留的标签可自定7.2.3操作结果标识操作结果标识应符合表14的规定。表14操作结果标识为错误码预留的标识符，预留的标签可自定密钥类型标识的编码规则为从低位到高位，第0位～第7位表示密钥对象，第8位为1表示为密钥类型标识，第9位～第31位为0。密钥类型标识应符合表15的规定。表15密钥类型标识主密钥设备密钥用户密钥分割密钥为自定义密钥类型预留“为自定义密钥类型预留的标识符，预留的标签可自定义。7.3.2密钥操作标识密钥操作标识定义了对密钥的操作内容。密钥操作标识的编码规则为从低位到高位，第0位～第7位表示密钥操作标识，第8位为1表示为密钥管理类标识，第9位～第31位为0。密钥操作标识应符合表16的规定。表16密钥操作标识定义密钥导出密钥分割密钥归档为其他密钥操作项预留为其他密钥操作项预留的标识符，预留的标签可自定7.4系统管理标识系统管理标识的编码规则为从低位到高位，第0位～第7位表示系统管理操第31位为0,第9位为1表示为系统管理类标识。表17系统管理标识系统安装及初始化操作状态查询为其他系统管理项预留为其他其他系统管理项预留的标识符，预留的7.5.1产品基本信息标识产品基本信息标识可在获取密码产品的型号、编号信息时指定。产品基本信息标识的编码规则为从低位到高位，第0位～第7位表示产品信息，第8位、第10位~第31位为0,第9位为1表示为产品基本信息类标识。表18产品基本信息标识定义目录中生产厂商表18产品基本信息标识(续)定义SGD_DEVICE_SUPPORT_STOR产品最大文件存储空间SGD_DEVICE_SUPPORT_F标识密码产品空闲文件存储空间已运行时间产品管理者描述信息为其他产品基本信息项预留“为其他产品基本信息项预留的标识符，预留的标签可自定义。产品状态标识可标识密码产品当前的工作状态。产品状态标识的编码规则为从低位到高位，第0位～第7位表示产品状态标识，第8位、第10位～第31位为0,第9位为1表示为系统或产品管理类标识。产品状态标识应符合表19的规定。表19产品状态标识为其他产品状态预留为其他产品状态预留的标识符，预留的标签可自定产品编号可与产品型号组合使用唯一的标识某一