2024-01-26發(fā)布I V 1 1 1 1 2 2 2 3 3 3 3 9 本文件是T/WAPIA013《信息安全技術(shù)數(shù)字b)增加了對(duì)SM2和SM3算法的支持（見(jiàn)6.3）；c)增加了應(yīng)用領(lǐng)域（見(jiàn)6.3）；d)更改了附錄A（見(jiàn)附錄A，2011年版的附錄Ae)更改了附錄B（見(jiàn)附錄B，2011年版的附錄B）。請(qǐng)注意本文件的某些內(nèi)容可能涉及專(zhuān)利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專(zhuān)利的責(zé)任。V立前需要通過(guò)對(duì)端實(shí)體訪問(wèn)可信第三方的一端和對(duì)端之間提供對(duì)等安全保障，其核心技術(shù)已發(fā)布為T(mén)/WAPIA013《信息安全技術(shù)數(shù)字證書(shū)管理》規(guī)定了三元對(duì)等密碼安全協(xié)議中所使用的X.509數(shù)字元對(duì)等密碼安全協(xié)議的產(chǎn)品的安全性。T/WAPIA013擬由五1信息安全技術(shù)數(shù)字證書(shū)管理第2部分：證書(shū)存儲(chǔ)和使用安全分發(fā)、安全使用，以及數(shù)字證書(shū)和私鑰獨(dú)立安全本文件適用于使用獨(dú)立安全媒體采用三元對(duì)等密碼安全協(xié)議的設(shè)備生產(chǎn)、網(wǎng)絡(luò)運(yùn)營(yíng)T/WAPIA038信息安全技術(shù)終端實(shí)體證書(shū)基于三元對(duì)等架構(gòu)實(shí)現(xiàn)通信實(shí)體之間對(duì)等鑒別和安全通信的密碼安4縮略語(yǔ)ALW總是（always）2ATH鑒別（authentication）EF基本文件（elementaryfME移動(dòng)設(shè)備（mobileequipment）MF主目錄文件（maindirectoryfile）MMC多媒體存儲(chǔ)卡（multi-mediacard）NEV永遠(yuǎn)不（never）SIM用戶(hù)身份識(shí)別模塊（subscriberidentityTLSec基于三元對(duì)等架構(gòu)的局域網(wǎng)安全（TePA-basedLANsecurWAPI無(wú)線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu)（WLANauthenticationandprivacyinfrastructure）WLAN無(wú)線局域網(wǎng)（wirelesslocalarea立安全媒體中，如計(jì)算機(jī)存儲(chǔ)在智能密碼鑰匙中、或密碼模塊中，移動(dòng)終端存儲(chǔ)在SIM卡或SE三元對(duì)等密碼安全協(xié)議處理程序通過(guò)調(diào)用數(shù)字證書(shū)和私鑰獨(dú)立安全媒體應(yīng)用接口訪問(wèn)獨(dú)立安全媒體，三元對(duì)等密碼安全協(xié)議數(shù)字證書(shū)存儲(chǔ)和使用應(yīng)用結(jié)三元對(duì)等密碼安全協(xié)議處理程序數(shù)字證書(shū)和私鑰獨(dú)立安全媒體應(yīng)用接口獨(dú)立安全媒體設(shè)備驅(qū)動(dòng)獨(dú)立安全媒體設(shè)備3其中智能密碼鑰匙應(yīng)符合GM/T0027，密碼模塊應(yīng)符合GM/T0028；數(shù)字證書(shū)和私鑰在SIM在中止應(yīng)用程序前，應(yīng)調(diào)用清除環(huán)境接口,中止與獨(dú)立安全媒體的連接，銷(xiāo)毀所創(chuàng)建的安全程序空a)DF，用于支持文件夾，作為其他文件b)EF，用于存放數(shù)據(jù)，不能作為其他文件的父文件。EF文件數(shù)據(jù)結(jié)構(gòu)包括兩2）記錄結(jié)構(gòu)：EF為一序列各自可標(biāo)識(shí)的記錄。記錄結(jié)構(gòu)只支持固定長(zhǎng)度且以的生存周期中不允許重新創(chuàng)建和刪除本文件所列初始化階段的安全管理，根據(jù)各初始化主體的規(guī)定來(lái)執(zhí)行，本文件不做限對(duì)獨(dú)立安全媒體中的文件的每項(xiàng)操作應(yīng)滿足文件的訪問(wèn)控制條件，文件訪問(wèn)控制條件見(jiàn)表1。值A(chǔ)LWATHADMNEV的組織方式，在獨(dú)立安全媒體主文件下的任意一級(jí)或二級(jí)目錄下，增加一個(gè)目錄文件:DF_HUFU，其中DF_HUFU下面又包含兩個(gè)EF文件和四個(gè)目錄文件，獨(dú)立安全媒體上數(shù)字證書(shū)和私鑰相關(guān)文件目錄結(jié)構(gòu)見(jiàn)4DF_HUFUDF_HUFUEF_netCfgEF_HF_EF_netCfgEF_userCer1EF_userCer1EF_userCer0DF_ASCERDF_ASCEREF_asCer0EF_asCer0EF_asCer1DF_CISCEREF_cisCer0EF_cisCer0EF_cisCer1三元對(duì)等密碼安全協(xié)議中涉及的在獨(dú)立安全媒體中存儲(chǔ)的數(shù)字證書(shū)和私鑰相關(guān)文件定義見(jiàn)表文件規(guī)定的下列文件在獨(dú)立安全媒體初始化階段生成，在生存周期階段只5條6位11021標(biāo)識(shí)證書(shū)文件對(duì)應(yīng)的私鑰0101在EF_HF_Idx文件中，每一條有效的記錄都通過(guò)“證書(shū)文件的文件標(biāo)識(shí)”字段，對(duì)應(yīng)了一個(gè)證7NULLWAPI1WAPI28WAPI-ECC-1929●EF_netCfg、EF_cisCer[x]應(yīng)被初始化為有效內(nèi)容；EF_HF_Idx文件中應(yīng)建立一條指向b)在生存周期階段，數(shù)字證書(shū)的安全分發(fā)包括證書(shū)文件的申請(qǐng)、更新和撤銷(xiāo)過(guò)程：b)用戶(hù)原來(lái)已申請(qǐng)注冊(cè)，后期注銷(xiāo)該業(yè)務(wù)，重新申請(qǐng)開(kāi)通時(shí)，執(zhí)行本過(guò)程；c)用戶(hù)使用中，但是數(shù)字證書(shū)已經(jīng)過(guò)期應(yīng)重新申請(qǐng)?jiān)讵?dú)立安全媒體內(nèi)部生成一對(duì)公私鑰，然后利于公私鑰生成證書(shū)申請(qǐng)，可在線通過(guò)T/WAPIA038申請(qǐng)到的數(shù)字證書(shū)寫(xiě)入獨(dú)立安全媒體，并在EF_HF_Idx中建立一個(gè)記錄，并指向證書(shū)文件和公私鑰；然后利于公私鑰生成證書(shū)申請(qǐng)，可在線通過(guò)符合T/WAPIA038規(guī)定的管理協(xié)議及其安全傳輸機(jī)制進(jìn)行證書(shū)更新，也可采用離線方式b)將獲取到的更新數(shù)字證書(shū)寫(xiě)入獨(dú)立安全媒體，并更新已建立的EF_HF_Idx記錄，并指向更新后當(dāng)用戶(hù)獨(dú)立安全媒體中所存儲(chǔ)的私鑰和數(shù)字證書(shū)不再使用或因其他原因需要撤銷(xiāo)，可通過(guò)符合T/WAPIA038規(guī)定的終端實(shí)體證書(shū)的管理協(xié)議及其安9數(shù)字證書(shū)和私鑰安全使用簽名進(jìn)行驗(yàn)證并返回響應(yīng)，簽名驗(yàn)證一般在執(zhí)行鑒別過(guò)程機(jī)數(shù)并返回響應(yīng)，隨機(jī)數(shù)生成一般在執(zhí)行鑒別過(guò)程中使三元對(duì)等密碼安全協(xié)議所使用的數(shù)字證書(shū)和私鑰在獨(dú)立安全媒體上存儲(chǔ)和使用應(yīng)用接口由以下部*puiRemainCount)；修改口令操作的接口。uiReadRights（輸入）文件讀權(quán)限,見(jiàn)表1。小。每個(gè)文件名稱(chēng)以單個(gè)’\0’結(jié)束，以雙’\0uiFileListBufSize（輸入）表示數(shù)據(jù)緩沖區(qū)的puiFileListLen（輸出）表示實(shí)際文件名稱(chēng)列表的長(zhǎng)度。typedefstruct_file_atcharszFileName[32];}SCF_FILEATTRIBUTE,*PSCF_文件名，符合GB/T1988以’\0’結(jié)束的字符串，最大長(zhǎng)度intSCF_ReadFile(void*hHandle，char*szFileName,unsignedintuiOffset,unsiuiSize,unsignedchar*pbOutData,unsignedintuiOutDataBufSize,unsiguiOffset（輸入）文件讀取偏移位置。uiOutDataBufSize（輸入）數(shù)據(jù)緩沖區(qū)大小。intSCF_WriteFile(void*hHandle，char*szFileName,unsignedintuiOffset,unsuiOffset（輸入）文件寫(xiě)入偏移位置。uiFileID,unsignedchar*pbCerData,unsigneuiCerDataLen（輸入）寫(xiě)入數(shù)據(jù)大小。intSCF_GetCertificateunsignedchar*pbCerData,unsignedintuiCerDataBufSize,unsignedint*puiCerDataLen)；導(dǎo)出pbCerData（輸出）導(dǎo)出證書(shū)數(shù)據(jù)的uiCerDataBufSize（輸入）證書(shū)數(shù)據(jù)緩沖區(qū)大括產(chǎn)生密鑰對(duì)、獲取公鑰、私鑰簽名、簽名驗(yàn)證、生成隨機(jī)數(shù)等。密碼運(yùn)算相關(guān)接口見(jiàn)表11。pucPublicKey（輸出）輸出公鑰數(shù)pucPublicKey（輸出）輸出公鑰數(shù)uiInDataLen,unsignedchar*pucSignData,unsignpucSignData（輸出）輸出的簽*pucSignData,unsignedintuiSignDataLen)；公鑰驗(yàn)證簽名操作的intSCF_GenRandom(void*hHandle，unsignedintuiRandLen,unsignedA.1概述的承載媒體有各自不同的協(xié)議定義，具體實(shí)現(xiàn)本文件時(shí)數(shù)字證書(shū)和私鑰在SIM卡的安全存儲(chǔ)、分MEA.2SIM卡上的安全存儲(chǔ)在SIM卡上安全存儲(chǔ)具體的操作流程可以使用GSM11.11規(guī)范中定A.2.2.1命令列表A.2.2.2命令編碼規(guī)則使用GSM11.11規(guī)范定義的文件安全操作指令編碼應(yīng)符合GSM11.11規(guī)定。保留命令編碼命令控制長(zhǎng)度參數(shù)b7b6b5b4b3b2b1b0長(zhǎng)度高字節(jié)長(zhǎng)度低字節(jié)0-n個(gè)字節(jié)A.2.2.3命令編碼a)readFileReq命令，命令編碼保留：0級(jí)b)readFileRsp命令，命令編碼見(jiàn)圖A.保留：03A.3SIM卡上安全分發(fā)A.3.1安全分發(fā)流程A.3.2.1命令列表A.3.2.2命令編碼規(guī)則保留命令編碼命令控制長(zhǎng)度參數(shù)b7b6b5b4b3b2b1b0長(zhǎng)度高字節(jié)長(zhǎng)度低字節(jié)0-n個(gè)字節(jié)A.3.2.3命令編碼a)generateKeyPairReq命令，命保留：0長(zhǎng)度：31b)generateKeyPairRsp命令，命令編碼見(jiàn)保留：0長(zhǎng)度：131獨(dú)立安全媒體生成的用戶(hù)公鑰c)fileWriteReq命令，保留：0級(jí)保留：0長(zhǎng)度：11A.4SIM卡上安全使用A.4.1安全使用流程A.4.2安全使用命令A(yù).4.2.1命令列表私鑰簽名請(qǐng)求，終端發(fā)給獨(dú)立安全媒體，要求對(duì)數(shù)私鑰簽名響應(yīng)，獨(dú)立安全媒體發(fā)給終端，獨(dú)立安全簽名驗(yàn)證請(qǐng)求，終端發(fā)給獨(dú)立安全媒體，要求對(duì)簽簽名驗(yàn)證響應(yīng)，獨(dú)立安全媒體發(fā)給終端，返回簽名mkRandReq隨機(jī)數(shù)生成請(qǐng)求，終端發(fā)給獨(dú)立安全媒體，要求生mkRandRsp隨機(jī)數(shù)生成響應(yīng)，獨(dú)立安全媒體發(fā)給終端，獨(dú)立安A.4.2.2命令編碼規(guī)則命令控制長(zhǎng)度參數(shù)保留命令控制b7b6b5b4b3b2b1b0長(zhǎng)度高字節(jié)長(zhǎng)度低字節(jié)0-n個(gè)字節(jié)——參數(shù)部分由0-N個(gè)字節(jié)構(gòu)成，不同的命令攜帶不同的參數(shù)，具體定義下文。A.4.2.3命令編碼a)mkSignReq命令，命令編碼見(jiàn)保留：03要求簽名的待簽名數(shù)據(jù)的哈法按照具體簽名算法要求選b)mkSignRsp命令，命令編碼見(jiàn)圖A.1保留：0長(zhǎng)度：1301私鑰簽名值（允許最大