GM/T 0017-2023 智能密码钥匙密码应用接口数据格式规范

ICS35.030

CCSL80

中华人民共和国密码行业标准

/—

GMT00172023

代替/—

GMT00172012

智能密码钥匙密码应用接口数据格式规范

Smarttokencrtorahalicationinterfacedataformatsecification

ypgpyppp

2023-12-04发布2024-06-01实施

国家密码管理局发布

/—

GMT00172023

目次

前言…………………………Ⅲ

引言…………………………Ⅴ

1范围………………………1

2规范性引用文件…………………………1

3术语和定义………………1

4符号和缩略语……………2

4.1符号…………………2

4.2缩略语………………2

5结构模型…………………3

6APDU报文结构…………………………4

6.1概述…………………4

6.2命令APDU…………………………4

6.3命令体的编码约定…………………5

6.4响应APDU…………………………6

、……………

7命令头数据字段和响应状态字的编码约定6

7.1概述…………………6

()……………………

7.2CLA类别字节7

()………………………

7.3INS指令字节7

7.4参数字节……………10

7.5数据字段字节………………………10

7.6状态字节……………10

8APDU指令……………12

8.1设备管理指令………………………12

8.2访问控制指令………………………17

8.3应用管理指令………………………25

8.4文件管理指令………………………31

8.5容器管理指令………………………39

8.6密码服务指令………………………48

8.7验证调试类指令…………………101

9设备接口协议…………………………112

9.1使用要求…………………………112

9.2CCID协议…………………………112

9.3USBMassStorae协议扩展……………………112

g

Ⅰ

/—

GMT00172023

9.4HID协议扩展……………………116

()……………………

附录规范性设备返回码定义

A120

()…………………

附录规范性安全报文计算过程

B122

()……………

附录资料性编程范例

C124

()……………………

附录规范性指令

DSM9APDU160

()…………………

附录资料性算法编程范例

ESM9192

()………………

附录规范性相关指令

FVPNAPDU210

()………………………

附录规范性接口协议

GBLE217

参考文献……………………221

Ⅱ

/—

GMT00172023

前言

/—《:》

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GBT1.120201

起草。

/—《》,/—

本文件代替GMT00172012智能密码钥匙密码应用接口数据格式规范与GMT0017

,,:

2012相比除结构调整和编辑性改动外主要技术变化如下

)“”()、“”()、“”(

a删除了术语智能密码钥匙见2012年版的3.1设备见2012年版的3.2功能见

)“”();

2012年版的3.5和消息鉴别码见2012年版的3.6

)“”(,);

b更改了术语应用的说明见3.52012年版的3.9

)“”“”“”“”();

增加了缩略语和见

cASCIIBLENFCUUID4.2

)“”“”“”(,);

更改了缩略语的说明见年版的第章

dCBCECBMAC4.220124

)“”(,);

更改了结构模型的图见第章年版的第章

e1520126

)(,);

f更改了APDU报文结构概述见6.12012年版的7.1

)()、、

g增加了带密钥的杂凑运算HMAC相关指令验证调试类指令SM9APDU指令和VPN相

(、、、、、、、);

关指令见附录附录

APDU7.38.6.368.6.378.6.388.6.398.7AB

)(),‘’‘’

h更改了ExtRSAPubKeOeration外部RSA公钥运算指令的INS字节由60改为8A

yp

(、,、);

见7.38.6.8.32012年版的8.39.6.9.3

),()

i更改了标准版本号将GetDevInfo获取设备信息指令返回的设备信息中的标准当前版本号

“”“”(,);

由更改为见年版的

1.02.08.1.3.520129.1.3.5

)()

更改了ChaneDevAuthKe修改设备认证密钥指令的命令报文DATA字段中对密文数据

jgy

(,);

长度的说明见8.2.3.32012年版的9.2.3.3

)()、()、()

k更改了ChanePin修改PINVerifPin校验PINUnblockPin解锁PIN指令中使用的杂

gy

,(、、,、、);

凑算法由更改为见年版的

SHA1SM38.2.58.2.68.2.720129.2.59.2.69.2.7

)()、()

l更改了EnumContainer枚举容器DestroSessionKe销毁会话密钥指令的命令报文Le

yy

(、,、);

字段说明见8.5.5.38.6.40.32012年版的9.5.5.39.6.38.3

)更改了(获取容器信息)、(导出公钥)、

mGetContainerInfoExortPublicKeImortSessionKe

pypy

(),(、、,

导入加密会话密钥指令增加对SM9算法的支持见8.5.78.6.188.6.192012年版的

、、);

9.5.79.6.249.6.25

)(,);

n更改了密码服务指令概述见8.6.12012年版的9.6.1

)更改了(生成签名密钥对)、(导入加密密钥

oGenRSAKePairRSAImortRSAKePairRSA

ypy

)“”(、,、);

对指令的注意事项见8.6.3.28.6.4.22012年版的9.6.3.29.6.4.2

)()(),

更改了RSASinDataRSA签名和RSAVerifRSA验签指令的命令报文编码不再支持

pgy

(、,、);

SHA1算法见8.6.5.38.6.6.32012年版的9.6.5.39.6.6.3

)()()

删除了导出会话密钥指令见年版的和

RSAExortSessionKeExRSA20129.6.8ECCEx-

qpy

()();

ortSessionKeExECC导出会话密钥指令见2012年版的9.6.15

py

)更改了(生成密钥协商参数并输出)、

rGenerateAreementDataWithECCSM2GenerateAree-

gg

()

mentDataAndKeWithECCSM2产生协商数据并计算会话密钥和GenerateKeWithECC

yy

(),

SM2计算会话密钥指令的响应报文数据域分别增加了发起方SM2公钥和响应方SM2公

,(、、,、

钥会话密钥的长度统一为字节见年版的

ID28.6.15.58.6.16.58.6.17.520129.6.17.5

、);

9.6.18.59.6.19.5

Ⅲ

/—

GMT00172023

)()、()(

s更改了EncrtInit加密初始化DecrtInit解密初始化和MACInit消息鉴别码运算初始

ypyp

),“”(、、,

化指令的命令报文数据域编码删除填充方式字段见8.6.20.48.6.24.48.6.32.42012年版

的、、);

9.6.22.49.6.26.49.6.34.4

)(),“”

t更改了DecrtInit解密初始化指令的命令报文数据域增加了算法标识字段

yp

(,);

见8.6.24.42012年版的9.6.26.4

)(),(,

u更改了DiestInit密码杂凑初始化指令的命令报文编码不再支持SHA1算法见8.6.28.3

g

2012年版的9.6.30.3);

)(,);

v更改了设备接口协议概述见9.12012年版的10.1

)“”();

w删除了设备识别机制见2012年版的10.2

)(,);

更改了对大容量存储设备的说明见见年版的

x9.3.2201210.4.2

)(、)。

增加了算法编程范例和蓝牙接口协议见附录附录

ySM9BLEFG

。。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

本文件由密码行业标准化技术委员会提出并归口。

:、、

本文件起草单位北京握奇智能科技有限公司北京江南天安科技有限公司北京国脉信安科技有

、、、

限公司北京海泰方圆科技股份有限公司中电科网络安全科技股份有限公司飞天诚信科技股份有限

、、、、

公司北京天地融科技有限公司恒宝股份有限公司北京数字证书认证中心有限公司北京天威诚信电

、、、

子商务服务有限公司北京国富安电子商务安全认证有限公司北京华大智宝电子系统有限公司北京

、、、

大明五洲科技有限公司中钞信用卡产业发展有限公司北京华虹集成电路设计有限责任公司北京旋

、、()、

极信息技术股份有限公司北京创原天地科技有限公司中铁信安北京信息安全技术有限公司北京

、、、

天诚盛业科技有限公司东方口岸科技有限公司格尔软件股份有限公司北京永新视博数字电视技术

、、、

有限公司吉大正元信息技术股份有限公司深圳市文鼎创数据科技有限公司武汉天喻信息产业股份

有限公司。

:、、、、、、、、、、、

本文件主要起草人刘平李勃张渊汪宗斌袁峰蒋红宇罗俊郑强王艳平李少雄刘波

、、、、、、、、、、、。

李庆邓小四汪雪林李国胡衍分朱鹏飞赵李明冯承勇张海松付伟封维端陈国

本文件及其所代替文件的历次版本发布情况为:

———年首次发布为/—;

2012GMT00172012

———本次为第一次修订。

Ⅳ

/—

GMT00172023

引言

本文件的目标是为公钥密码基础设施应用体系框架下的智能密码钥匙设备制定统一的接口数据格

。,、

式标准在设备访问层规定统一的接口数据格式为该类密码设备的开发使用及检测提供标准依据和

,、。

指导有利于提高该类密码设备的产品化标准化和互操作性水平

,。

本文件凡涉及密码算法相关内容按国家有关法规实施

Ⅴ

/—

GMT00172023

智能密码钥匙密码应用接口数据格式规范

1范围

,

本文件规定了智能密码钥匙密码应用接口与设备之间的数据交换格式给出了接口相关数据的类

、、。

型格式参数和使用方法的说明

、。

本文件适用于智能密码钥匙产品的研制使用和检测

2规范性引用文件

。,

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

,;,()

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

本文件。

/:

识别卡带触点的集成电路卡第部分电信号和传输协议

GBT16649.33

/信息安全技术密码算法使用规范

GBT35276SM2

/信息安全技术密码算法使用规范

GBT41389SM9

/密码应用标识规范

GMT0006

/智能密码钥匙密码应用接口规范

GMT0016

/技术规范

GMT0022IPSecVPN

/技术规范

GMT0024SSLVPN

/密码术语

GMZ4001

3术语和定义

/界定的以及下列术语和定义适用于本文件。

GMZ4001

3.1

命令command

应用接口向设备发出的用于启动一个操作或请求一个应答的信息。

3.2

响应resonse

p

,。

设备处理完成收到的命令后返回给应用接口的信息

3.3

管理员PINadministratorPIN

以ASCII字符串表示的管理员口令。

3.4

用户PINuserPIN

以ASCII字符串表示的用户个人口令。

3.5

应用alication

pp

具备独立的权限管理包括容器和文件的结构。

1