《信息安全技术 密码设备应用接口规范》编制说明

一、任务来源

根据上述应用需求，在2015年6月2日会议上，经过商用密码基础设施专项工作组讨

论并一致同意，编制《密码设备应用接口规范》，并由卫士通信息产业股份有限公司负责，

由上海格尔软件股份有限公司、北京数字认证股份有限公司、兴唐通信科技有限公司、北京

三味信安科技发展有限公司、海泰方圆科技有限公司等公司参与，组成编制工作组开展该规

范的编写工作。

二、编制原则

《密码设备应用接口规范》的编制原则是：

(一)安全性：

遵循国家现有密码政策，使用国家规定的密码算法（SM1/SM2/SM3/SM4）。

(二)实用性：

满足应用需求，要从应用方便性、实用性考虑，在密码设备算法标识、密钥类型、密钥

及密码运算参数的数据结构、密码设备应用接口函数等方面提出明确的要求。方便安全厂商

开发满足规范的产品，促进符合应用接口要求的密码设备的广泛应用。

(三)统一性：

本规范要与已有的《通用密码服务接口规范》保持一致并在内容上融为一体，形成统一

的风格和互为补充。

(四)完备性：

对密码设备应用接口所涉及到的各个方面，如对密码设备应用接口的数据接口、函数接

口及参数定义以及密码设备的密钥管理、密码服务、设备状态和其他方面都要提出明确和细

致的要求。

三、主要工作过程

2015年6月20日，规范编写工作组正式成立并召开了第一次会议。在该次会议上，讨

论了我国密码设备应用接口的应用现状、存在的问题和发展需求，提出了规范的总体思路和

基本原则。对规范编制工作进行了任务划分，制定了工作计划并做了具体分工。

2015年11月25日至11月27日，工作组召开了第二次会议。在该次会议上，对该规

范的第一稿（初稿）进行了讨论。明确了将密钥分为设备密钥、密钥保护密钥和会话密钥三

大类。密钥的存储结构和密码运算结果的数据结构采用TLV(Type-类型或名称、Length-长度、

Value-值或含义)方式描述和类C语言定义。在整个密码应用技术体系框架中，密码设备应

用接口应处于通用密码服务和密码设备服务的中间层。对密码设备的使用采用有状态模式，

即对密码设备应用接口函数的调用需要按照打开设备-打开会话-获取信息-获取权限-关闭会

话-关闭设备的安全流程进行，设备句柄和会话句柄可重用，可执行多个接口函数。同时对

密码设备提供文件类操作接口。密码设备应用接口函数采用类C语言进行定义。

2016年5月13日至5月15日，工作组召开第三次会议。在该次会议上，对规范的修

订稿进行了讨论。对文档的整体框架、关键章节等进行了详细梳理，初步形成了一致意见，

形成了征求意见稿。本次会议明确了本规范的框架和章节等内容。

2016年7月4日至7月6日，密标委基础工作组年度会议上，提出应增加IPSEC和SSL

的会话密钥计算接口，以减轻应用压力，增强安全性。之后课题组在行标基础上增加了4

个接口函数：

a)计算IKE会话密钥：SDF_GenerateKeywithIKE

b)计算IPSEC会话密钥：SDF_GenerateKeywithIPSEC

c)计算SSL会话密钥：SDF_GenerateKeywithSSL

d)销毁协商句柄：SDF_DestroyAgreement

1)2016年x月x日至x月x日，工作组召开第五次会议。在该次会议上，结合专家

意见对征求意见稿进行修改，形成报批稿。

四、标准的主要内容及确定内容的依据

(一)本标准的主要内容

本规范共包括7章，分别为：范围、规范性引用文件、术语和定义、符号和缩略语、算

法标识和数据结构、设备接口描述、安全要求，其章节内容如下：

本标准主要框架如下：

1范围

2规范性引用文件

3术语和定义

4符号和缩略语

5算法标识和数据结构

6设备接口描述

7安全要求

(二)本标准在确定主要内容时主要基于如下几个方面：

本规范为公钥密码基础设施应用体系框架下的服务类密码设备制定统一的应用接口标

准，通过该接口调用密码设备，向上层提供基础密码服务。。

其中第1至第4章为总述性内容，介绍规范的整体情况、关键术语、缩略语等。

第5至第6章为规范的关键章节，详细规定了密码设备算法标识和数据结构，以及设

备接口函数定义。

第5章规定了密码设备各种类型密钥的分类及存储定义，对RSA密钥、ECC密钥、

ECC加密、ECC签名、ECC加密密钥对保护结构等重要信息的数据结构进行了定义。

第6对密码设备为用户提供的各种应用接口函数，包括设备管理类函数、密钥管理类函

数、非对称算法运算类函数、对称算法运算类函数、杂凑运算类函数、用户文件操作类函数

的接口形式、接口参数、返回值进行了详细的定义。国标在行标基础上增加了4个接口函数：

1)计算IKE会话密钥：SDF_GenerateKeywithIKE

2)计算IPSEC会话密钥：SDF_GenerateKeywithIPSEC

3)计算SSL会话密钥：SDF_GenerateKeywithSSL

4)销毁协商句柄：SDF_DestroyAgreement

第7章中对密码设备进行了约束，对密码设备的密钥管理、密码服务、设备状态和其他

方面都做出了明确的规定。

五、有关专利的说明

在Google网站的搜索引擎上，按照“密码设备应用接口规范专利”关键词，检索了

获得0条结果，证明本规范不涉及到知识产权冲突的问题。

在百度网站的搜索引擎上，按照“密码设备应用接口规范专利”关键词，找到相关网

页0