GB/T 29829-2013信息安全技术可信计算密码支撑平台功能与接口规范

ICS35040

L80.

中华人民共和国国家标准

GB/T29829—2013

信息安全技术

可信计算密码支撑平台功能与接口规范

Informationsecuritytechniques—Functionalityandinterfacespecificationof

cryptographicsupportplatformfortrustedcomputing

2013-11-12发布2014-02-01实施

中华人民共和国国家质量监督检验检疫总局发布

中国国家标准化管理委员会

GB/T29829—2013

目次

前言

…………………………Ⅴ

引言

…………………………Ⅵ

范围

1………………………1

规范性引用文件

2…………………………1

术语定义和缩略语

3、………………………1

术语和定义

3.1…………………………1

缩略语

3.2………………3

可信计算密码支撑平台功能原理

4………………………3

平台体系结构

4.1………………………3

密码与平台功能的关系

4.1.1………………………3

平台组成结构

4.1.2…………………4

可信密码模块

4.1.3…………………5

服务模块

4.1.4TCM…………………6

密码算法要求

4.2………………………6

概述

4.2.1……………6

4.2.2SM2……………7

4.2.3SM3……………9

4.2.4HMAC………………………10

4.2.5SMS4…………………………10

随机数发生器

4.2.6…………………11

功能原理

4.3……………11

平台完整性

4.3.1……………………11

平台身份可信

4.3.2…………………13

平台数据安全保护

4.3.3……………14

可信计算密码支撑平台功能接口

5………………………17

概述

5.1…………………17

上下文管理

5.2…………………………18

概述

5.2.1……………18

创建上下文

5.2.2……………………18

关闭上下文

5.2.3……………………19

设置上下文属性整型参数

5.2.4()…………………19

获取上下文属性整型参数

5.2.5()…………………20

设置上下文属性变长参数

5.2.6()…………………21

获取上下文属性变长参数

5.2.7()…………………22

连接上下文

5.2.8……………………23

释放上下文

5.2.9……………………23

获取上下文默认策略

5.2.10………………………24

Ⅰ

GB/T29829—2013

创建对象

5.2.11……………………24

关闭对象

5.2.12……………………25

获取平台功能特性

5.2.13…………25

获取对象句柄

5.2.14TCM…………27

通过密钥属性加载密钥

5.2.15……………………27

通过密钥加载密钥

5.2.16ID………………………28

注册密钥

5.2.17……………………28

销毁密钥

5.2.18……………………29

通过密钥获取密钥

5.2.19ID………………………30

通过公钥获取密钥

5.2.20…………30

通过获取注册密钥

5.2.21ID………………………31

设置传输会话加密密钥

5.2.22……………………32

关闭传输会话

5.2.23………………32

策略管理

5.3……………32

设置策略类属性整型参数

5.3.1()…………………33

获取上下文属性整型参数

5.3.2()…………………34

设置上下文属性变长参数

5.3.3()…………………35

获取上下文属性变长参数

5.3.4()…………………36

设置策略授权

5.3.5…………………37

清除策略授权

5.3.6…………………37

绑定策略对象

5.3.7…………………38

可信密码模块管理

5.4(TCM)………………………38

概述

5.4.1……………38

创建平台身份和证书请求

5.4.2……………………38

激活平台身份和获取证书

5.4.3PIK………………39

创建请求

5.4.4PEK………………40

获取证书

5.4.5PEK………………41

导入密钥

5.4.6PEK………………42

创建不可撤消的密码模块密钥

5.4.7………………42

获取密码模块密钥公钥

5.4.8………………………43

创建可撤销的密码模块密钥

5.4.9…………………43

撤销密码模块密钥

5.4.10…………44

创建密码模块所有者

5.4.11………………………45

清除可信密码模块所有者

5.4.12…………………45

设置操作者授权

5.4.13……………46

设置可信密码模块状态

5.4.14……………………46

查询设置可信密码模块状态

5.4.15………………48

获取可信密码模块特性

5.4.16……………………49

可信密码模块完全自检

5.4.17……………………52

获取可信密码模块自检结果

5.4.18………………53

获取可信密码模块产生的随机数

5.4.19…………53

获取可信密码模块单个事件

5.4.20………………54

获取可信密码模块一组事件

5.4.21………………54

Ⅱ

GB/T29829—2013

获取可信密码模块事件日志

5.4.22………………55

可信密码模块扩展

5.4.23PCR……………………55

读取可信密码模块值

5.4.24PCR…………………56

重置可信密码模块

5.4.25PCR……………………57

引证

5.4.26PCR……………………57

读可信密码模块计数器

5.4.27……………………58

读可信密码模块当前时钟

5.4.28…………………58

获取可信密码模块审计摘要值

5.4.29……………59

设置可信密码模块命令审计状态

5.4.30…………60

密钥管理

5.5……………60

概述

5.5.1……………60

改变实体授权数据

5.5.2……………60

获取策略对象

5.5.3…………………61

设置密钥属性整型参数

5.5.4()……………………61

获取密钥属性整型参数

5.5.5()……………………63

设置密钥属性变长参数

5.5.6()……………………65

获取设置密钥属性变长参数

5.5.7()………………65

加载密钥

5.5.8………………………67

卸载密钥

5.5.9………………………67

获取密钥公钥

5.5.10………………68

签署密钥

5.5.11……………………68

创建密钥

5.5.12……………………69

封装密钥

5.5.13……………………69

创建迁移授权

5.5.14………………70

创建迁移密钥数据块

5.5.15………………………70

导入迁移密钥数据块

5.5.16………………………71

数据加密与解密

5.6……………………72

改变实体授权

5.6.1…………………72

获取策略对象

5.6.2…………………73

获取数据属性整型参数

5.6.3()……………………73

设置数据属性变长参数

5.6.4()……………………74

获取数据属性

5.6.5…………………75

数据加密

5.6.6………………………76

数据解密

5.6.7………………………76

数据封装

5.6.8………………………77

数据解封

5.6.9………………………78

数字信封封装

5.6.10………………79

数字信封解密

5.6.11………………79

管理

5.7PCR…………………………80

概述

5.7.1……………80

设置属性

5.7.2PCRLocality………………………80

获取属性

5.7.3PCRLocality………………………80

获取摘要

5.7.4PCR………………81

Ⅲ

GB/T29829—2013

设置值

5.7.5PCR…………………81

获取值

5.7.6PCR…………………82

选择索引

5.7.7PCR………………83

非易失性存储管理

5.7.8……………83

设置非易失性存储区属性整型参数

5.7.9()………83

获取非易失性存储区属性整型参数

5.7.10()……………………84

获取非易失性存储区属性变长参数

5.7.11()……………………85

创建非易失性存储区空间

5.7.12…………………86

释放非易失性存储区空间

5.7.13…………………87

数据写入非易失性存储区

5.7.14…………………88

从非易失性存储区读取数据

5.7.15………………89

杂凑操作

5.8……………89

设置杂凑对象属性整型参数

5.8.1()………………89

获取杂凑对象属性整型参数

5.8.2()………………90

设置杂凑对象属性变长参数

5.8.3()………………91

对用户数据进行杂凑操作

5.8.4……………………92

设置杂凑值

5.8.5……………………93

获取杂凑值

5.8.6……………………93

更新杂凑值

5.8.7……………………94

对杂凑值签名

5.8.8…………………94

验证杂凑值签名

5.8.9………………95

给杂凑类加时间戳

5.8.10…………96

密钥协商

5.9……………96

创建会话

5.9.1………………………96

获取会话密钥

5.9.2…………………97

释放会话

5.9.3………………………98

附录规范性附录数字证书格式

A()…………………100

附录规范性附录接口规范数据结构

B()……………106

参考文献

……………………133

Ⅳ

GB/T29829—2013

前言

本标准依据给出的规则起草

GB/T1.1—2009。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任

。。

本标准由国家密码管理局提出

。

本标准由全国信息安全标准化技术委员会归口

(SAC/TC260)。

本标准主要起草单位联想北京有限公司国民技术有限责任公司中国科学院软件研究所同方

:()、、、

股份有限公司北京信息科技大学北京兆日技术有限责任公司瑞达信息安全产业股份有限公司长春

、、、、

吉大正元信息技术股份有限公司方正科技集团股份有限公司中国长城计算机深圳股份有限公司成

、、、

都卫士通信息产业股份有限公司无锡江南信息安全工程技术中心中国人民解放军国防科学技术

、、

大学

。

本标准主要起草人吴秋新韦卫冯登国徐震杨贤伟邹浩余发江宁晓魁秦宇郑必可刘韧

:、、、、、、、、、、、

王梓林洋刘鑫李伟平尹洪兵严飞李丰许勇贾兵王蕾顾健何长龙

、、、、、、、、、、、。

Ⅴ

GB/T29829—2013

引言

本标准以我国可信计算密码技术要求与应用方案为指导描述了可信计算密码支撑平台的功能原

,

理与要求并定义了可信计算密码支撑平台为应用层提供服务的接口规范用以指导我国相关可信计算

,,

产品开发和应用

。

Ⅵ

GB/T29829—2013

信息安全技术

可信计算密码支撑平台功能与接口规范

1范围

本标准描述可信计算密码支撑平台功能原理与要求并详细定义了可信计算密码支撑平台的密码

,

算法密钥管理证书管理密码协议密码服务等应用接口规范

、、、、。

本标准适用于可信计算密码支撑平台相关产品的研制生产测评与应用开发