ICS35.030 CCSL80 中华人民共和国国家标准 GB/T43694—2024 网络安全技术 证书应用综合服务接口规范 Cybersecuritytechnology—Certificateapplication integratedserviceinterfacespecification 2024-04-25发布 2024-11-01实施 国家市场监督管理总局 国家标准化管理委员会发布目 次 前言 Ⅰ ………………………………………………………………………………………………………… 1 范围 1 ……………………………………………………………………………………………………… 2 规范性引用文件 1 ………………………………………………………………………………………… 3 术语和定义 1 ……………………………………………………………………………………………… 4 缩略语 2 …………………………………………………………………………………………………… 5 证书应用综合服务接口 2 ………………………………………………………………………………… 5.1 证书应用综合服务接口在公钥密码应用技术体系框架中的位置 2 ……………………………… 5.2 证书应用综合服务接口分类 2 ……………………………………………………………………… 5.3 客户端服务接口 2 …………………………………………………………………………………… 5.4 服务器端服务接口 2 ………………………………………………………………………………… 6 标识和数据结构 3 ………………………………………………………………………………………… 6.1 标识定义 3 …………………………………………………………………………………………… 6.2 数据结构定义 3 ……………………………………………………………………………………… 6.3 数据格式要求 3 ……………………………………………………………………………………… 7 证书应用综合服务接口定义 3 …………………………………………………………………………… 7.1 客户端COM组件接口 3 …………………………………………………………………………… 7.2 客户端JavaScript脚本接口 16 ……………………………………………………………………… 7.3 服务器端COM组件接口 28 ………………………………………………………………………… 7.4 服务器端Java组件接口 42 ………………………………………………………………………… 8 接口验证方法 56 …………………………………………………………………………………………… 8.1 验证环境 56 …………………………………………………………………………………………… 8.2 验证原则 56 …………………………………………………………………………………………… 8.3 验证场景 57 …………………………………………………………………………………………… 附录A(规范性) 证书应用综合服务接口错误代码定义 61 ……………………………………………… 附录B(资料性) 证书应用综合服务接口典型部署模型 64 ……………………………………………… 附录C(资料性) 证书应用综合服务接口集成示例 65 …………………………………………………… 附录D(资料性) 证书应用综合服务接口汇总 67 ………………………………………………………… 附录E(资料性) 客户端JavaScript脚本接口异步调用示例说明 73 …………………………………… 参考文献 74 ……………………………………………………………………………………………………GB/T43694—2024 前 言 本文件按照GB/T1.1—2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国网络安全标准化技术委员会(SAC/TC260)提出并归口。 本文件起草单位:北京数字认证股份有限公司、博雅中科(北京)信息技术有限公司、北京奇虎科技 有限公司、山东得安信息技术有限公司、中国电力科学研究院、北京信安世纪科技股份有限公司、无锡江 南信息安全工程技术中心、中国电子技术标准化研究院、格尔软件股份有限公司、中电科网络安全科技 股份有限公司、深圳市不动产登记中心、郑州信大捷安信息技术股份有限公司、阿里云计算有限公司、浙 江九州量子信息技术股份有限公司、航天信息股份有限公司、数安时代科技股份有限公司、智巡密码(上 海)检测技术有限公司、中科信息安全共性技术国家工程研究中心有限公司、中国汽车工程研究院股份 有限公司。 本文件主要起草人:刘伟、赵永省、夏鲁宁、李述胜、刘中、程科伟、浦雨三、张屹、张志磊、马洪富、 袁中林、李智虎、焦靖伟、刘平、黄晶晶、谭武征、寇建波、颜海龙、刘献伦、刘为华、肖淑婷、张文科、 杨倩媚、董亮亮、周蔚林、韩玮、高振鹏、胡建勋、刘冲、牟洁。 ⅠGB/T43694—2024 网络安全技术 证书应用综合服务接口规范 1 范围 本文件规定了面向证书应用的综合服务接口要求和定义,描述了相应验证方法。 本文件适用于公钥密码基础设施应用技术体系下证书应用中间件和证书应用系统的开发,以及密 码应用支撑平台的研制和检测。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文 件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于 本文件。 GB/T20518 信息安全技术 公钥基础设施 数字证书格式 GB/T25061 信息安全技术 XML数字签名语法与处理规范 GB/T25069 信息安全技术 术语 GB/T33560 信息安全技术 密码应用标识规范 GB/T35275 信息安全技术 SM2密码算法加密签名消息语法规范 GB/T35276 信息安全技术 SM2密码算法使用规范 GB/T35291 信息安全技术 智能密码钥匙应用接口规范 GB/T36322 信息安全技术 密码设备应用接口规范 GB/T43578 信息安全技术 通用密码服务接口规范 GM/T0094—2020 公钥密码应用技术体系框架规范 GM/Z4001 密码术语 3 术语和定义 GB/T25069、GM/Z4001界定的以及下列术语和定义适用于本文件。 3.1 数字证书 digitalcertificate 由CA签名的包含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及扩展信息的一种数据 结构。 注:数字证书也称公钥证书,按类别分为个人证书、机构证书和设备证书,按用途分为签名证书和加密证书。 [来源:GM/Z4001—2013,2.115] 3.2 用户密钥 userkey 存储在设备内部的用于应用密码运算的非对称密钥对。 注:用户密钥包含签名密钥对和加密密钥对。 3.3 密钥容器 keycontainer 密码设备中用于保存用户密钥的唯一性存储空间。 1GB/T43694—2024 4 缩略语 下列缩略语适用于本文件。 B/S:浏览器/服务器(Browser/Server) CA:证书认证机构(CertificationAuthority) COM:组件对象模型(ComponentObjectModel) CRL:证书撤销列表(CertificateRevocationList) JAR:Java归档文件(JavaArchive) LDAP:轻量级目录访问协议(LightweightDirectoryAccessProtocol) OID:对象标识符(ObjectIdentifier) XML:可扩展标记语言(ExtensibleMarkupLanguage) 5 证书应用综合服务接口 5.1 证书应用综合服务接口在公钥密码应用技术体系框架中的位置 公钥密码应用技术体系框架由应用层、典型密码应用支撑层、通用密码应用支撑层、基础设施安全 支撑平台、密码设备服务层组成。证书应用综合服务接口属于通用密码应用支撑层,是中间件,为典型 密码应用支撑层和应用层提供密码服务。其功能主要包括:负责完成与密码设备的安全连接;实现基于 数字证书的身份认证,从证书中获取有关信息,实现授权管理、访问控制等安全机制;负责具体与密码设 备交互实现具体的密码运算;将数据按照GB/T35275要求的格式进行封装,实现数据封装格式与应用 系统无关性,实现应用系统互联互通和信息共享。证书应用综合服务接口规范在公钥密码应用技术框 架内的位置应遵循GM/T0094—2020的第4章。 5.2 证书应用综合服务接口分类 证书应用综合服务接口包括客户端服务接口和服务器端服务接口两类。它位于典型密码应用支撑 层和密码设备服务层之间,既可被典型密码应用支撑层调用也可被应用层直接调用,向上层提供证书信 息解析、基于数字证书身份认证、信息的机密性、完整性和不可否认性等密码服务。 5.3 客户端服务接口 客户端服务接口采用支持多种编程语言的COM组件和客户端常使用的JavaScript脚本语言为例 描述,其适用于客户端程序调用,接口的形态包括动态库、控件、插件、扩展等。 客户端服务接口一般通过调用智能密码钥匙应用接口或通用密码服务接口来实现,此类接口应符 合GB/T35291或GB/T43578中的规定,主要功能包括:配置管理、证书解析、签名与验证、加