GM-T 0029-2014 清晰版 簽名驗簽服務(wù)器技術(shù)規(guī)范

ICS35.040L80中華人民共和國密碼行業(yè)標(biāo)準(zhǔn)簽名驗簽服務(wù)器技術(shù)規(guī)范2014-02-13發(fā)布2014-02-13實施國家密碼管理局發(fā)布前言 2規(guī)范性引用文件 3術(shù)語和定義 4縮略語 5簽名驗簽服務(wù)器的功能要求 5.2與CA基礎(chǔ)設(shè)施的連接功能 5.3應(yīng)用管理功能 5.4證書管理和驗證功能 5.5數(shù)字簽名功能 5.6訪問控制功能 5.8系統(tǒng)自檢功能 5.9NTP時間源同步功能 6簽名驗簽服務(wù)器的安全要求 6.5設(shè)備物理安全防護(hù) 6.6網(wǎng)絡(luò)部署要求 6.8環(huán)境適應(yīng)性 7簽名驗簽服務(wù)器的檢測要求 7.1外觀和結(jié)構(gòu)的檢查 7.2提交文檔的檢查 7.5環(huán)境適應(yīng)性檢測 8合格判定 附錄A（規(guī)范性附錄）消息協(xié)議語法規(guī)范 附錄B（規(guī)范性附錄）基于HTTP的簽名消息協(xié)議語法規(guī)范 附錄C（規(guī)范性附錄）響應(yīng)碼定義和說明 Ⅰ本標(biāo)準(zhǔn)按照GB/T1.1—2009給出的規(guī)則起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別這些專利的責(zé)任。本標(biāo)準(zhǔn)由密碼行業(yè)標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口。本標(biāo)準(zhǔn)起草單位：山東得安信息技術(shù)有限公司、成都衛(wèi)士通信息產(chǎn)業(yè)股份公司、無錫江南信息安全工程技術(shù)中心、興唐通信科技有限公司、上海格爾軟件股份有限公司、長春吉大正元信息技術(shù)股份有限公司、上海市數(shù)字證書認(rèn)證中心有限公司、北京數(shù)字認(rèn)證股份有限公司、北京創(chuàng)原天地科技有限公司、北京三未信安科技發(fā)展有限公司、山東漁翁信息技術(shù)股份有限公司。宋志華。1簽名驗簽服務(wù)器技術(shù)規(guī)范本標(biāo)準(zhǔn)規(guī)定了簽名驗簽服務(wù)器的功能要求、安全要求、接口要求、檢測要求和消息協(xié)議語法規(guī)范等有關(guān)內(nèi)容。本標(biāo)準(zhǔn)適用于簽名驗簽服務(wù)器的研制設(shè)計、應(yīng)用開發(fā)、管理和使用，也可用于指導(dǎo)簽名驗簽服務(wù)器的檢測。2規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T9813微型計算機(jī)通用規(guī)范GB/T19713—2005信息技術(shù)安全技術(shù)公鑰基礎(chǔ)設(shè)施在線證書狀態(tài)協(xié)議GM/T0006—2012密碼應(yīng)用標(biāo)識規(guī)范GM/T0009SM2密碼算法使用規(guī)范GM/T0010SM2密碼算法加密簽名消息語法規(guī)范GM/T0014數(shù)字證書認(rèn)證系統(tǒng)密碼協(xié)議規(guī)范GM/T0015基于SM2密碼算法的數(shù)字證書格式規(guī)范GM/T0018密碼設(shè)備應(yīng)用接口規(guī)范GM/T0020證書應(yīng)用綜合服務(wù)接口規(guī)范GM/T0030服務(wù)器密碼機(jī)技術(shù)規(guī)范PKCS#1RSA密碼算法使用規(guī)范PKCS#7RSA密碼算法消息語法規(guī)范3術(shù)語和定義下列術(shù)語和定義適用于本文件。3.1簽名驗簽服務(wù)器用于服務(wù)端的，為應(yīng)用實體提供基于PKI體系和數(shù)字證書的數(shù)字簽名、驗證簽名等運(yùn)算功能的服務(wù)器，可以保證關(guān)鍵業(yè)務(wù)信息的真實性、完整性和不可否認(rèn)性。3.2應(yīng)用實體簽名驗簽服務(wù)器的服務(wù)對象，可以是個人、機(jī)構(gòu)或系統(tǒng)，其私鑰存儲在簽名驗簽服務(wù)器的密碼設(shè)備中，能夠使用簽名驗簽服務(wù)器進(jìn)行簽名及驗簽運(yùn)算。3.3用戶與應(yīng)用實體進(jìn)行通信或認(rèn)證的個人、機(jī)構(gòu)或系統(tǒng)，其數(shù)字證書可導(dǎo)入到簽名驗簽服務(wù)器中。23.4算法一種橢圓曲線公鑰密碼算法，其密鑰長度為256比特。3.5算法一種密碼雜湊算法，其輸出為256比特。4縮略語下列縮略語適用于本文件。應(yīng)用程序接口(證書認(rèn)證機(jī)構(gòu)(證書撤銷列表(輕量級目錄訪問協(xié)議(在線證書狀態(tài)查詢協(xié)議(公鑰密碼標(biāo)準(zhǔn)(公鑰密碼基礎(chǔ)設(shè)施(5簽名驗簽服務(wù)器的功能要求簽名驗簽服務(wù)器的初始化主要包括系統(tǒng)配置、生成管理員等，使設(shè)備處于正常工作狀態(tài)。簽名驗簽服務(wù)器應(yīng)支持與CA基礎(chǔ)設(shè)施的連接功能，包括CRL連接配置、OCSP連接配置等。連接配置簽名驗簽服務(wù)器應(yīng)支持CRL連接配置功能，通過配置管理界面，提供從CRL發(fā)布點(diǎn)獲取CRL、導(dǎo)入CRL等功能。連接配置簽名驗簽服務(wù)器可支持OCSP連接配置功能，通過配置管理界面，進(jìn)行OCSP服務(wù)的連接配置管理。OCSP連接配置應(yīng)遵循GB/T19713—2005。5.3應(yīng)用管理功能簽名驗簽服務(wù)器的應(yīng)用管理功能主要包括應(yīng)用實體的注冊、配置密鑰、設(shè)置私鑰授權(quán)碼等，并按照安全機(jī)制對應(yīng)用實體的信息進(jìn)行安全存儲。應(yīng)用實體注冊的內(nèi)容應(yīng)包括設(shè)置應(yīng)用實體名稱、配置密鑰5.4證書管理和驗證功能簽名驗簽服務(wù)器管理的證書包括應(yīng)用實體證書和用戶證書。簽名驗簽服務(wù)器應(yīng)具有對應(yīng)用實體證書、用戶證書、根證書或證書鏈的導(dǎo)入、存儲、驗證、使用以及備份和恢復(fù)等功能。35.4.1應(yīng)用實體的密鑰產(chǎn)生、證書申請在簽名驗簽服務(wù)器注冊的應(yīng)用實體，應(yīng)由簽名驗簽服務(wù)器產(chǎn)生應(yīng)用實體的簽名密鑰對和證書請求，見GM/T0014。5.4.2用戶證書導(dǎo)入和存儲簽名驗簽服務(wù)器應(yīng)支持用戶證書、根證書或證書鏈的導(dǎo)入，導(dǎo)入時應(yīng)對證書的有效性進(jìn)行驗證。5.4.3應(yīng)用實體的證書更新應(yīng)用實體的證書更新時必須保存原來的證書，以防止以前的簽名不能驗證。簽名驗簽服務(wù)器應(yīng)支持對證書的有效性的驗證，包括驗證證書有效期、驗證證書簽名有效性、驗證是否在CRL中。簽名驗簽服務(wù)器應(yīng)支持備份／恢復(fù)功能，包括密鑰的備份恢復(fù)和證書等數(shù)據(jù)的備份／恢復(fù)。密鑰的備份恢復(fù)應(yīng)通過簽名驗簽服務(wù)器的管理界面實現(xiàn)。數(shù)據(jù)的備份／恢復(fù)包括證書、配置參數(shù)等數(shù)據(jù)的備份／恢復(fù)。備份操作產(chǎn)生的備份文件可存儲到簽名驗簽服務(wù)器外的存儲介質(zhì)中，應(yīng)采取措施保證備份文件的完整性；備份文件可以恢復(fù)到簽名驗簽服務(wù)器中，同廠家的不同型號的簽名驗簽服務(wù)器之間應(yīng)能夠互相備份恢復(fù)。5.5數(shù)字簽名功能簽名驗簽服務(wù)器必須至少支持SM2算法的數(shù)字簽名功能，提供對數(shù)據(jù)、消息、文件等多種格式的運(yùn)算方式。簽名驗簽服務(wù)器可以支持RSA算法的數(shù)字簽名功能，其中RSA算法模長至少為2048比特以上。當(dāng)簽名驗簽服務(wù)器的公鑰算法為SM2算法時，數(shù)據(jù)的結(jié)構(gòu)遵循GM/T0009或GM/T0010。當(dāng)簽名驗簽服務(wù)器的公鑰算法為RSA算法時，數(shù)據(jù)的結(jié)構(gòu)遵循PKCS#1標(biāo)準(zhǔn)或PKCS#7標(biāo)準(zhǔn)。5.6訪問控制功能簽名驗簽服務(wù)器的管理界面應(yīng)具備完善的身份鑒別機(jī)制，通過智能密碼鑰匙、智能IC卡與口令相結(jié)合的方式實現(xiàn)管理員身份的鑒別，其中“口令”需要進(jìn)行時效限制，超過時限，需強(qiáng)制修改密碼。管理員登錄成功后，通過管理界面進(jìn)行應(yīng)用管理、證書管理、系統(tǒng)配置以及日志查詢等管理操作。5.7日志管理功能簽名驗簽服務(wù)器應(yīng)提供日志記錄、查看、審計和導(dǎo)出功能，具備相應(yīng)的配置管理和查看界面。日志內(nèi)容分為系統(tǒng)管理日志、異常事件、系統(tǒng)服務(wù)日志等，包括登錄認(rèn)證、系統(tǒng)配置、密鑰管理等操作，認(rèn)證失敗、非法訪問等異常事件的記錄，以及與設(shè)備管理中心連接，對相應(yīng)操作進(jìn)行記錄，對應(yīng)用接口的調(diào)用進(jìn)行日志記錄。5.8系統(tǒng)自檢功能簽名驗簽服務(wù)器應(yīng)具備自檢功能，包括自身自檢和密碼設(shè)備自檢。簽名驗簽服務(wù)器使用的密碼設(shè)4備應(yīng)具備狀態(tài)和功能自檢功能，能夠進(jìn)行密碼算法正確性檢查、隨機(jī)數(shù)發(fā)生器檢查、存儲密鑰和數(shù)據(jù)的完整性檢查等。簽名驗簽服務(wù)器的自身自檢包括密碼功能檢測、存儲信息的完整性檢查等。5.9NTP時間源同步功能簽名驗簽服務(wù)器能夠配置時間源服務(wù)器，自動同步時間。6簽名驗簽服務(wù)器的安全要求簽名驗簽服務(wù)器必須使用國家密碼管理主管部門審批的密碼設(shè)備。調(diào)用密碼設(shè)備的接口API應(yīng)遵循GM/T0018。簽名驗簽服務(wù)器所使用的操作系統(tǒng)應(yīng)進(jìn)行安全加固，裁減一切不需要的模塊，關(guān)閉所有不需要的端口和服務(wù)。6.3使用要求簽名驗簽服務(wù)器只接受合法的操作指令，簽名驗簽服務(wù)器軟件應(yīng)采用模塊化設(shè)計，應(yīng)通過身份鑒別等技術(shù)措施防止用戶的非法調(diào)用。簽名驗簽服務(wù)器通過管理工具實現(xiàn)對該簽名驗簽服務(wù)器的管理功能。管理工具可以安裝簽名驗簽服務(wù)器上，也可以安裝在簽名驗簽服務(wù)器之外的管理終端上。簽名驗簽服務(wù)器應(yīng)設(shè)置管理員和審計員，管理員和審計員的職責(zé)按照國家密碼管理機(jī)構(gòu)的要求進(jìn)行管理。管理員和審計員應(yīng)采用智能密碼鑰匙、智能IC卡等硬件裝置與登錄口令相結(jié)合的方式登錄系統(tǒng)，并使用證書進(jìn)行身份驗證。各類管理員通過身份鑒別后執(zhí)行相關(guān)管理操作。簽名驗簽服務(wù)器的初始化，除必須由廠商進(jìn)行的操作外，系統(tǒng)配置、密鑰的生成（恢復(fù)）與安裝、生成管理員和審計員等均應(yīng)由用戶方設(shè)備管理人員完成。簽名驗簽服務(wù)器的自檢包括密碼設(shè)備的自檢和自身的自檢，對密碼運(yùn)算功能、隨機(jī)數(shù)發(fā)生器和存儲的敏感信息進(jìn)行檢查。在檢查不通過時應(yīng)報警并停止工作。6.5設(shè)備物理安全防護(hù)簽名驗簽服務(wù)器在工藝設(shè)計、硬件配置等方面要采取相應(yīng)的保護(hù)措施，保證設(shè)備基本的物理安全防護(hù)功能。56.6網(wǎng)絡(luò)部署要求簽名驗簽服務(wù)器應(yīng)部署在局域網(wǎng)內(nèi)，只為局域網(wǎng)內(nèi)的應(yīng)用實體和用戶服務(wù)，不能為局域網(wǎng)外的用戶使用，不能連接互聯(lián)網(wǎng)。建議的網(wǎng)絡(luò)部署圖如圖1~圖4所示。一臺應(yīng)用服務(wù)器對應(yīng)一臺簽名驗簽服務(wù)器的網(wǎng)絡(luò)部署圖如圖1所示。簽名驗簽服務(wù)器只能為一臺應(yīng)用服務(wù)器提供服務(wù)。一臺應(yīng)用服務(wù)器對應(yīng)多臺簽名驗簽服務(wù)器的網(wǎng)絡(luò)部署圖如圖2所示。多臺簽名驗簽服務(wù)器同時為一臺應(yīng)用服務(wù)器提供服務(wù)。核心交換機(jī)采用雙機(jī)熱備。多臺應(yīng)用服務(wù)器對應(yīng)一臺簽名驗簽服務(wù)器的網(wǎng)絡(luò)部署圖如圖3所示。一臺簽名驗簽服務(wù)器同時為多臺應(yīng)用服務(wù)器提供服務(wù)。核心交換機(jī)采用雙機(jī)熱備。6多臺應(yīng)用服務(wù)器對應(yīng)多臺簽名驗簽服務(wù)器的網(wǎng)絡(luò)部署圖如圖4所示。多臺簽名驗簽服務(wù)器同時為多臺應(yīng)用服務(wù)器提供服務(wù)。核心交換機(jī)采用雙機(jī)熱備。7以消息包方式提供服務(wù)的簽名驗簽服務(wù)器，其接口應(yīng)遵循附錄A的要求，響應(yīng)碼的定義應(yīng)遵循附錄C的要求。以WEB方式提供服務(wù)的簽名驗簽服務(wù)器，其接口應(yīng)遵循附錄B的要求，響應(yīng)碼的定義應(yīng)遵循附錄C的要求。以應(yīng)用程序接口提供服務(wù)的簽名驗簽服務(wù)器，其接口應(yīng)遵循GM/T0020的要求。應(yīng)用實體可以通過內(nèi)部網(wǎng)絡(luò)、USB或者其他接口形式與簽名驗簽服務(wù)器連接。6.8環(huán)境適應(yīng)性簽名驗簽服務(wù)器的工作環(huán)境應(yīng)根據(jù)實際需要遵循GB/T9813中關(guān)于“氣候環(huán)境適應(yīng)性”的規(guī)定要求。簽名驗簽服務(wù)器的平均無故障工作時間應(yīng)不低于20000h。7簽名驗簽服務(wù)器的檢測要求7.1外觀和結(jié)構(gòu)的檢查根據(jù)產(chǎn)品的物理參數(shù)，對簽名驗簽服務(wù)器的外觀、尺寸、內(nèi)部部件及附件進(jìn)行檢查。7.2提交文檔的檢查簽名驗簽服務(wù)器研制單位按照國家密碼管理主管部門檢測要求提交相關(guān)文檔資料，作為簽名驗簽服務(wù)器的檢測依據(jù)。文檔資料應(yīng)包含但不限于以下內(nèi)容：a)后臺服務(wù)程序、應(yīng)用編程接口和客戶端管理軟件的結(jié)構(gòu)框圖、流程圖和基本功能的源代碼；b)開機(jī)自檢的工作原理說明；c)自測程序的工作原理說明；d)敏感數(shù)據(jù)信息的存儲和使用說明；e)物理防護(hù)措施說明；f)技術(shù)工作總結(jié)報告；g)安全性設(shè)計報告；h)安裝使用說明。簽名驗簽服務(wù)器的功能檢測目的是測試簽名驗簽服務(wù)器各項功能的運(yùn)行情況，并檢驗功能實現(xiàn)的正確性。簽名驗簽服務(wù)器能正常啟動，對簽名驗簽服務(wù)器進(jìn)行初始化功能檢測。簽名驗簽服務(wù)器需要進(jìn)行初始化檢測，初始化主要包括系統(tǒng)配置、生成管理員，使設(shè)備處于正常工作狀態(tài)。簽名驗簽服務(wù)器應(yīng)能8簽名驗簽服務(wù)器的與CA基礎(chǔ)設(shè)施的連接功能檢測范圍包括CRL連接配置、OCSP連接配置等操作，通過使用簽名驗簽服務(wù)器的管理工具進(jìn)行測試。對簽名驗簽服務(wù)器進(jìn)行與CA基礎(chǔ)設(shè)施的連接功能的檢測結(jié)果應(yīng)符合5.2的要求。7.3.3應(yīng)用管理功能檢測簽名驗簽服務(wù)器的應(yīng)用管理功能檢測范圍主要包括應(yīng)用實體的注冊和用戶信息的存儲，通過使用簽名驗簽服務(wù)器的管理工具進(jìn)行測試。對簽名驗簽服務(wù)器進(jìn)行應(yīng)用管理功能的檢測結(jié)果應(yīng)符合5.3的要求。7.3.4證書管理和驗證功能檢測簽名驗簽服務(wù)器的證書管理和驗證功能檢測范圍包括對應(yīng)用實體證書、用戶證書、根證書或證書鏈的導(dǎo)入、存儲、驗證、使用以及備份和恢復(fù)等操作，通過使用簽名驗簽服務(wù)器的管理工具進(jìn)行測試。對簽名驗簽服務(wù)器進(jìn)行證書管理和驗證檢測的檢測結(jié)果應(yīng)符合5.4的要求。7.3.5數(shù)字簽名功能檢測簽名驗簽服務(wù)器的數(shù)字簽名功能測試程序由國家密碼管理部門認(rèn)可的檢測機(jī)構(gòu)設(shè)計提供。檢測方法是將簽名驗簽服務(wù)器的密碼運(yùn)算與第三方設(shè)備進(jìn)行互通測試，如果測試互通，則測試通過；否則，測試失敗。數(shù)字簽名功能檢測的范圍必須包括簽名驗簽服務(wù)器提供的每個公鑰密碼算法的每個功能函數(shù)，如：數(shù)據(jù)、消息、文件等多種格式的運(yùn)算方式，通過使用簽名驗簽服務(wù)器的《消息協(xié)議語法規(guī)范》（見附錄A)或GM/T0020進(jìn)行測試。對簽名驗簽服務(wù)器進(jìn)行數(shù)字簽名功能的檢測結(jié)果應(yīng)符合5.5和6.1的要求。7.3.6訪問控制功能檢測通過使用簽名驗簽服務(wù)器的管理工具或管理界面進(jìn)行簽名驗簽服務(wù)器的訪問控制檢測。對簽名驗簽服務(wù)器的不同管理操作設(shè)置不同的操作權(quán)限，登錄簽名驗簽服務(wù)器應(yīng)具備完善的身份鑒別機(jī)制；簽名驗簽服務(wù)器應(yīng)拒絕任何不具備相應(yīng)權(quán)限的訪問或操作。對簽名驗簽服務(wù)器進(jìn)行訪問控制檢測，檢測結(jié)7.3.7日志管理功能檢測通過使用簽名驗簽服務(wù)器的日志管理工具或管理界面進(jìn)行簽名驗簽服務(wù)器的日志審計檢測。簽名驗簽服務(wù)器應(yīng)提供日志記錄、查看、審計和導(dǎo)出功能；簽名驗簽服務(wù)器的日志內(nèi)容分為系統(tǒng)管理日志、異常事件、系統(tǒng)服務(wù)日志等，包括登錄認(rèn)證、系統(tǒng)配置、密鑰管理等操作，以及認(rèn)證失敗、非法訪問等異常事件的記錄。對簽名驗簽服務(wù)器進(jìn)行日志管理檢測的檢測結(jié)果應(yīng)符合5.7的要求。7.3.8系統(tǒng)自檢功能檢測簽名驗簽服務(wù)器的系統(tǒng)自檢功能主要包括密碼算法正確性檢查、隨機(jī)數(shù)發(fā)生器檢查、存儲密鑰和數(shù)據(jù)的完整性檢查，以及關(guān)鍵部件的正確性檢測等。對簽名驗簽服務(wù)器進(jìn)行系統(tǒng)自檢檢測的檢測結(jié)果應(yīng)7.3.9NTP時間源同步功能檢測對簽名驗簽服務(wù)器進(jìn)行NTP時間源同步的檢測結(jié)果應(yīng)符合5.9的要求。9簽名驗簽服務(wù)器的服務(wù)接口必須遵循附錄A、附錄B或GM/T0020。對簽名驗簽服務(wù)器進(jìn)行應(yīng)用編程接口檢測：對于正確的調(diào)用環(huán)境和調(diào)用過程，API函數(shù)應(yīng)該返回正確的結(jié)果，并完成相應(yīng)功能；對于設(shè)定的不正確的調(diào)用環(huán)境和調(diào)用過程，API函數(shù)應(yīng)返回相應(yīng)的錯誤代碼。通過使用簽名驗簽服務(wù)器的管理工具或管理界面進(jìn)行簽名驗簽服務(wù)器的管理工具檢測。對簽名驗簽服務(wù)器進(jìn)行管理工具檢測，檢測結(jié)果應(yīng)符合6.4.1的要求。目的是測試簽名驗簽服務(wù)器進(jìn)行數(shù)字簽名等運(yùn)算的速度指標(biāo)。下列各項速度性能測試中的測試量由數(shù)據(jù)報文長度和測試次數(shù)決定?？梢愿鶕?jù)各個測試項的具體分別測試后得到不同測試次數(shù)時的性能序列。數(shù)據(jù)報文長度的選擇在各個速度性能測試項中分別定義。各個測試項的速度性能的計算如下式所示：S＝N／T其中，S為速度，單位為tps（次／秒N為測試次數(shù)；T為測量所耗費(fèi)的時間，單位為秒。對簽名驗簽服務(wù)器的數(shù)字簽名和數(shù)字信封等功能進(jìn)行性能檢測的方法如下：將一個定長數(shù)據(jù)報文，發(fā)送給簽名驗簽服務(wù)器進(jìn)行數(shù)字簽名和數(shù)字信封操作，重復(fù)操作N次，測量其完成時間T。用于測試的數(shù)據(jù)由檢測機(jī)構(gòu)選取。測試應(yīng)進(jìn)行多次，結(jié)果取平均值。如簽名驗簽服務(wù)器支持多種公鑰密碼算法，必須測試所支持的所有公鑰密碼算法及其各種應(yīng)用模式。數(shù)字簽名和數(shù)字信封性能單位統(tǒng)一為tps（次／秒）。7.5環(huán)境適應(yīng)性檢測環(huán)境適應(yīng)性檢測應(yīng)按照GB/T9813—2000中5.8的要求進(jìn)行，其結(jié)果應(yīng)符合本標(biāo)準(zhǔn)6.8的要求。外觀和結(jié)構(gòu)檢查、提交文檔的檢查按照相關(guān)標(biāo)準(zhǔn)進(jìn)行。8合格判定以外的各項檢測中，其任意一項檢測結(jié)果不合格，判定為產(chǎn)品不合格。附錄A（規(guī)范性附錄）消息協(xié)議語法規(guī)范簽名驗簽服務(wù)的消息協(xié)議接口采用請求響應(yīng)模式，如圖A.1所示。協(xié)議模型由請求者、響應(yīng)者和它們之間的交互協(xié)議組成。通過本協(xié)議，請求者將數(shù)字簽名、驗證數(shù)字簽名等請求發(fā)送給響應(yīng)者，由響應(yīng)者完成簽名驗簽服務(wù)并返回結(jié)果。本規(guī)范中的接口消息協(xié)議包括導(dǎo)出證書、解析證書、驗證證書有效性、數(shù)字簽名、驗證數(shù)字簽名、消息簽名、驗證消息簽名等服務(wù)功能，每個服務(wù)都按照請求—響應(yīng)的步驟執(zhí)行。請求者可通過本協(xié)議獲得簽名驗簽功能，而不必關(guān)心下層PKI公鑰密碼基礎(chǔ)設(shè)施的實現(xiàn)細(xì)節(jié)。圖A.1簽名驗簽服務(wù)消息協(xié)議請求者組織業(yè)務(wù)服務(wù)請求，發(fā)送到響應(yīng)者，并延緩自身的事務(wù)處理過程，等待響應(yīng)者響應(yīng)返回；響應(yīng)者接收到來自請求者的業(yè)務(wù)服務(wù)請求后，檢查請求的合法性，根據(jù)請求類型處理服務(wù)請求，并將處理結(jié)果返回給請求者。下面的協(xié)議內(nèi)容將按照圖A.1所示的框架進(jìn)行。A.2協(xié)議內(nèi)容協(xié)議內(nèi)容如下：a)請求：也稱業(yè)務(wù)服務(wù)請求，包含請求者業(yè)務(wù)請求的類型、性質(zhì)以及特性數(shù)據(jù)等，該請求將被發(fā)送到響應(yīng)者并得到服務(wù)。服務(wù)請求包括如下數(shù)據(jù)：—協(xié)議版本（當(dāng)前版本為1);—請求類型；—請求包；—請求時間。指響應(yīng)者對來自請求者請求的處理響應(yīng)。響應(yīng)者的響應(yīng)包括如下數(shù)據(jù)：—協(xié)議版本（當(dāng)前版本為1);—響應(yīng)類型；—響應(yīng)包；—響應(yīng)時間。c)異常情況：當(dāng)響應(yīng)者處理發(fā)生錯誤時，需要向請求者發(fā)送錯誤信息。錯誤可以是下列兩類：—請求失?。喉憫?yīng)者驗證來自請求者業(yè)務(wù)請求數(shù)據(jù)失敗，請求者收到該響應(yīng)后應(yīng)重新組織業(yè)務(wù)請求數(shù)據(jù)進(jìn)行發(fā)送?！獌?nèi)部處理失?。喉憫?yīng)者處理請求者業(yè)務(wù)請求過程中發(fā)生內(nèi)部錯誤，響應(yīng)者通知請求者該請求處理失敗，請求者需重新組織業(yè)務(wù)請求數(shù)據(jù)進(jìn)行發(fā)送。本標(biāo)準(zhǔn)采用抽象語法表示法(ASN.1)來描述具體協(xié)議內(nèi)容。如果無特殊說明，默認(rèn)使用ASN.1顯式標(biāo)記。A.3請求協(xié)議A.3.1請求數(shù)據(jù)格式請求者請求數(shù)據(jù)的基本格式如下：versionVersionDEFAULTv1,reqTimeGeneralizedTime}其中：Version::=INTEGER{v1(0)}validateCert(2),}signDataReqverifySignedDataReqsignDataInitReqsignDataUpdateReqsignDataFinalReqverifySignedDataInitReqverifySignedDataUpdateReqverifySignedDataFinalReqsignMessageReqverifySignedMessageReqsignMessageInitReqsignMessageUpdateReqsignMessageFinalReqverifySignedMessageInitReqverifySignedMessageUpdateReqverifySignedMessageFinalReq}及其結(jié)構(gòu)解釋SVSRequest包含了請求語法中的重要信息，本條將對該結(jié)構(gòu)作詳細(xì)的描述和解釋：a)協(xié)議版本：本項描述了請求語法的版本號，當(dāng)前版本為1,取整型值0。b)請求類型：本項描述了不同業(yè)務(wù)的請求類型值。c)請求包：請求包與請求類型值之間的對應(yīng)關(guān)系如表A.1所示。表A.1請求包與請求類型值的對應(yīng)關(guān)系應(yīng)答類型字符描述應(yīng)答類型值響應(yīng)包說明0導(dǎo)出證書申請包1解析證書申請包validateCert2驗證證書有效性申請包signData3單包數(shù)字簽名申請包verifySignedData4單包驗證數(shù)字簽名申請包signDataInit5多包數(shù)字簽名初始化申請包signDataUpdate6多包數(shù)字簽名更新申請包signDataFinal7多包數(shù)字簽名結(jié)束申請包verifySignedDataInit8多包驗證數(shù)字簽名初始化申請包verifySignedDataUpdate9多包驗證數(shù)字簽名更新申請包verifySignedDataFinal多包驗證數(shù)字簽名結(jié)束申請包請求類型字符描述請求類型值申請包說明signMessage單包消息簽名申請包verifySignedMessage單包驗證消息簽名申請包signMessageInit多包消息簽名初始化申請包signMessageUpdate多包消息簽名更新申請包signMessageFinal多包消息簽名結(jié)束申請包verifySignedMessageInit多包驗證消息簽名初始化申請包verifySignedMessageUpdate多包驗證消息簽名更新申請包verifySignedMessageFinal多包驗證消息簽名結(jié)束申請包d)請求時間：本項描述請求生成時間，該時間即為請求者產(chǎn)生請求的時間，采用GeneralizedTime語法表示。A.4響應(yīng)協(xié)議A.4.1響應(yīng)數(shù)據(jù)格式響應(yīng)者響應(yīng)的基本格式如下：versionVersionDEFAULTv1,respTimeGeneralizedTime}其中：Version::=INTEGER{v1(0)}validateCert(2),}}及其結(jié)構(gòu)解釋SVSRespond包含了響應(yīng)語法中的重要信息，本條將對該結(jié)構(gòu)作詳細(xì)的描述和解釋：a)協(xié)議版本：本項描述了響應(yīng)語法的版本號，當(dāng)前版本為1,取整型值0。b)響應(yīng)類型：本項描述了不同業(yè)務(wù)的響應(yīng)類型值。c)響應(yīng)包：響應(yīng)包與響應(yīng)類型值之間的對應(yīng)關(guān)系如表A.2所示。表A.2響應(yīng)包與相應(yīng)類型值的對應(yīng)關(guān)系應(yīng)答類型字符描述應(yīng)答類型值響應(yīng)包說明0導(dǎo)出證書響應(yīng)包1解析證書響應(yīng)包validateCert2驗證證書有效性響應(yīng)包signData3單包數(shù)字簽名響應(yīng)包verifySignedData4單包驗證數(shù)字簽名響應(yīng)包signDataInit5多包數(shù)字簽名初始化響應(yīng)包signDataUpdate6多包數(shù)字簽名更新響應(yīng)包signDataFinal7多包數(shù)字簽名結(jié)束響應(yīng)包verifySignedDataInit8多包驗證數(shù)字簽名初始化響應(yīng)包verifySignedDataUpdate9多包驗證數(shù)字簽名更新響應(yīng)包verifySignedDataFinal多包驗證數(shù)字簽名結(jié)束響應(yīng)包signMessage單包消息簽名響應(yīng)包verifySignedMessage單包驗證消息簽名響應(yīng)包signMessageInit多包消息簽名初始化響應(yīng)包signMessageUpdate多包消息簽名更新響應(yīng)包signMessageFinal多包消息簽名結(jié)束響應(yīng)包verifySignedMessageInit多包驗證消息簽名初始化響應(yīng)包verifySignedMessageUpdate多包驗證消息簽名更新響應(yīng)包verifySignedMessageFinal多包驗證消息簽名結(jié)束響應(yīng)包d)響應(yīng)時間：A.5協(xié)議接口功能說明包：包為導(dǎo)出證書請求格式包，當(dāng)取值時其具體格式如下：identificationOCTETSTRING}表明要導(dǎo)出證書的標(biāo)識。包：包為導(dǎo)出證書響應(yīng)格式包，當(dāng)取值時其具體格式如下：certCertificateOPTIONAL}respValue表明響應(yīng)碼，0表示成功，非0表示錯誤。cert表明導(dǎo)出的證書。A.5.2解析證書包：包為解析證書請求格式包，當(dāng)取值時其具體格式如下：certCertificate}infoType表明要解析證書信息的類型，詳細(xì)定義見GM/T0006—2012中6.3.4證書解析項標(biāo)識；cert表示要解析的數(shù)字證書。包：包為解析證書響應(yīng)格式包，當(dāng)取值時其具體格式如下：infoOCTETSTRINGOPTIONAL}respValue表明響應(yīng)碼，0表示成功，非0表示錯誤。info表示獲取的證書信息。A.5.3驗證證書有效性包：包為驗證證書有效性請求格式包，當(dāng)取值請求包采用本子包，其具體格式如下：certCertificate,}cert表示要驗證證書有效性的數(shù)字證書；ocsp表示是否獲取證書OCSP狀態(tài)，默認(rèn)值為FALSE。包：包為驗證證書有效性響應(yīng)格式包，當(dāng)取值響應(yīng)包采用本子包，其具體格式如下：stateINTEGEROPTIONAL}respValue表明響應(yīng)碼，0表示成功，非0表示錯誤；state表明獲取的證書OCSP狀態(tài)標(biāo)識。A.5.4單包數(shù)字簽名包：SignDataReq包為單包數(shù)字簽名請求格式包，當(dāng)reqType取值signData時，請求包采用本子包，其具體格式如下：INTEGER,keyIndexINTEGER,keyValueOCTETSTRING,inDataLenINTEGER,inDataOCTETSTRING}表明使用的簽名算法類型，詳細(xì)定義見keyIndex表示簽名者私鑰的索引值，如十進(jìn)制1表示索引值為1的密鑰；keyValue表示簽名者私鑰權(quán)限標(biāo)識碼；inDataLen表示待簽名的數(shù)據(jù)原文長度；inData表示待簽名的數(shù)據(jù)原文。包：包為單包數(shù)字簽名響應(yīng)格式包，當(dāng)取值其具體格式如下：}respValue表明響應(yīng)碼，0表示成功，非0表示錯誤；signature表示簽名值，當(dāng)公鑰算法為RSA時，數(shù)據(jù)的結(jié)構(gòu)遵循PKCS#1;當(dāng)公鑰算法為SM2時，數(shù)據(jù)的結(jié)構(gòu)遵循GM/T0009。A.5.5單包驗證數(shù)字簽名包：包為單包驗證數(shù)字簽名請求格式包，當(dāng)取值時請求包采用本子包，其具體格式如下：cert[0]IMPLICTCertificateOPTIONAL,certSN[1]IMPLICTOCTETSTRINGOPTIONAL,inDataLenINTEGER,inDataOCTETSTRING,verifyLevelINTEGER}type表示使用驗證數(shù)字簽名時使用證書或證書序列號，1表示使用證書，2表示使用證書序列號；cert表示簽名證書，type取值1時有效；certSN表示簽名證書序列號，type取值2時有效；inDataLen表示待簽名的數(shù)據(jù)原文長度；inData表示待簽名的數(shù)據(jù)原文；signature表示簽名值，當(dāng)公鑰算法為RSA時，數(shù)據(jù)的結(jié)構(gòu)遵循PKCS#1;當(dāng)公鑰算法為SM2時，數(shù)據(jù)的結(jié)構(gòu)遵循GM/T0009;verifyLevel表示證書驗證級別，0：驗證時間，1：驗證時間和根證書簽名，2：驗證時間、根證書簽名和CRL。包：包為單包驗證數(shù)字簽名響應(yīng)格式包，當(dāng)取值時，響應(yīng)包采用本子包，其具體格式如下：respValueINTEGER}respValue表明響應(yīng)碼，0表示成功，非0表示錯誤。A.5.6多包數(shù)字簽名初始化包：包為多包數(shù)字簽名初始化請求格式包，當(dāng)取值時請求包采用本子包，其具體格式如下：inDataLenINTEGER,inDataOCTETSTRING}表明使用的簽名算法類型，詳細(xì)定義見簽名算法標(biāo)識；為或時有效表示簽名者的ID長度為或時有效；表示簽名者的ID值當(dāng)為或時有效inDataLen表示數(shù)據(jù)明文長度；inData表示數(shù)據(jù)明文。包：包為多包數(shù)字簽名初始化響應(yīng)格式包，當(dāng)取值響應(yīng)包采用本子包，其具體格式如下：hashValueOCTETSTRINGOPTIONAL}respValue表明響應(yīng)碼，0表示成功，非0表示錯誤；表示雜湊值。A.5.7多包數(shù)字簽名更新包：包為多包數(shù)字簽名更新請求格式包，當(dāng)取值請求包采用本子包，其具體格式如下：INTEGER,hashValueLenINTEGER,hashValueOCTETSTRING,inDataLenINTEGER,inDataOCTETSTRING}表明使用的簽名算法類型，詳細(xì)定義見表示雜湊中間值長度；hashValue表示雜湊中間值；inDataLen表示數(shù)據(jù)明文長度；inData表示數(shù)據(jù)明文。包：包為多包數(shù)字簽名更新響應(yīng)格式包，當(dāng)取值響應(yīng)包采用本子包，其具體格式如下：hashValueOCTETSTRINGOPTIONAL}respValue表明響應(yīng)碼，0表示成功，非0表示錯誤；表示雜湊值。A.5.8多包數(shù)字簽名結(jié)束包：包為多包數(shù)字簽名結(jié)束請求格式包，當(dāng)取值時請求包采用本子包，其具體格式如下：INTEGER,keyIndexINTEGER,keyValueOCTETSTRING,hashValueLenINTEGER,hashValueOCTETSTRING}表明使用的簽名算法類型，詳細(xì)定義見keyIndex表示簽名者私鑰的索引值，如十進(jìn)制1表示索引值為1的密鑰；keyValue表示簽名者私鑰權(quán)限標(biāo)識碼；表示雜湊中間值長度；hashValue表示雜湊中間值。包：包為多包數(shù)字簽名結(jié)束響應(yīng)格式包，當(dāng)取值時響應(yīng)包采用本子包，其具體格式如下：}respValue表明響應(yīng)碼，0表示成功，非0表示錯誤；signature表示簽名值，當(dāng)公鑰算法為RSA時，數(shù)據(jù)的結(jié)構(gòu)遵循PKCS#1;當(dāng)公鑰算法為SM2時，數(shù)據(jù)的結(jié)構(gòu)遵循GM/T0009。A.5.9多包驗證數(shù)字簽名初始化包：取值SignedDataInit時，請求包采用本子包，其具體格式如下：inDataLenINTEGER,inDataOCTETSTRING}表明使用的簽名算法類型，詳細(xì)定義見簽名算法標(biāo)識；為或時有效表示簽名者的ID長度為或時有效；表示簽名者的ID值當(dāng)為或時有效inDataLen表示數(shù)據(jù)明文長度；inData表示數(shù)據(jù)明文。包：包為多包驗證數(shù)字簽名初始化響應(yīng)格式包，當(dāng)取值SignedDataInit時，響應(yīng)包采用本子包，其具體格式如下：hashValueOCTETSTRINGOPTIONAL}respValue表明響應(yīng)碼，0表示成功，非0表示錯誤；表示雜湊值。A.5.10多包驗證數(shù)字簽名更新包：取值SignedDataUpdate時，請求包采用本子包，其具體格式如下：INTEGER,hashValueLenINTEGER,hashValueOCTETSTRING,inDataLenINTEGER,inDataOCTETSTRING}表明使用的簽名算法類型，詳細(xì)定義見表示雜湊中間值長度；hashValue表示雜湊中間值；inDataLen表示數(shù)據(jù)明文長度；inData表示數(shù)據(jù)明文。包：包為多包驗證數(shù)字簽名更新響應(yīng)格式包，當(dāng)取值SignedDataUpdate時，響應(yīng)包采用本子包，其具體格式如下：hashValueOCTETSTRINGOPTIONAL}respValue表明響應(yīng)碼，0表示成功，非0表示錯誤；表示雜湊值。A.5.11多包驗證數(shù)字簽名結(jié)束包：包為多包驗證數(shù)字簽名結(jié)束請求格式包，當(dāng)取值Final時，請求包采用本子包，其具體格式如下：cert[0]IMPLICTCertificateOPTIONAL,certSN[1]IMPLICTOCTETSTRINGOPTIONAL,hashValueLenINTEGER,hashValueOCTETSTRING,verifyLevelINTEGER}表明使用的簽名算法類型，詳細(xì)定義見簽名算法標(biāo)識；type表示使用驗證數(shù)字簽名時使用證書或證書序列號，1表示使用證書，2表示使用證書序列號；cert表示簽名證書，type取值1時有效；certSN表示簽名證書序列號，type取值2時有效；表示雜湊中間值長度；hashValue表示雜湊中間值；signature表示簽名值，當(dāng)公鑰算法為RSA時，數(shù)據(jù)的結(jié)構(gòu)遵循PKCS#1;當(dāng)公鑰算法為SM2時，數(shù)據(jù)的結(jié)構(gòu)遵循GM/T0009。verifyLevel表示證書驗證級別，0：驗證時間，1：驗證時間和根證書簽名，2：驗證時間、根證書簽名和CRL。包：取值SignedDataFinal時，響應(yīng)包采用本子包，其具體格式如下：respValueINTEGER}respValue表明響應(yīng)碼，0表示成功，非0表示錯誤。A.5.12單包消息簽名包：包為單包消息簽名請求格式包，當(dāng)取值請求包采用本子包，其具體格式如下：INTEGER,keyIndexINTEGER,keyValueOCTETSTRING,inDataLenINTEGER,inDataOCTETSTRING,hashFlagBOOLEANDEFAULTFALSE,originalText[0]IMPLICTBOOLEANOPTIONAL,certificateChain[1]IMPLICTBOOLEANOPTIONAL,crl[2]IMPLICTBOOLEANOPTIONAL,authenticationAttributes}[3]IMPLICTBOOLEANOPTIONAL表明使用的簽名算法類型，詳細(xì)定義見keyIndex表示簽名者私鑰的索引值，如十進(jìn)制1表示索引值為1的密鑰；keyValue表示簽名者私鑰權(quán)限標(biāo)識碼；inDataLen表示待簽名的數(shù)據(jù)長度；inData表示待簽名的數(shù)據(jù)；hashFlag表示待簽名的數(shù)據(jù)是否已哈希，默認(rèn)FALSE表示未哈希；originalText表示是否附加原文選項；表示是否附加證書鏈選項；crl表示是否附加黑名單選項；表示是否附加鑒別屬性選項。包：包為單包消息簽名響應(yīng)格式包，當(dāng)取值響應(yīng)包采用本子包，其具體格式如下：}respValue表明響應(yīng)碼，0表示成功，非0表示錯誤；signedMessage表示消息簽名數(shù)據(jù)，當(dāng)公鑰算法為RSA時，消息的結(jié)構(gòu)遵循PKCS#7;當(dāng)公鑰算法為SM2時，消息的結(jié)構(gòu)遵循GM/T0010。A.5.13單包驗證消息簽名包：包為單包驗證消息簽名請求格式包，當(dāng)取值時，請求包采用本子包，其具體格式如下：inDataLenINTEGER,inDataOCTETSTRING,OCTETSTRING,hashFlagBOOLEANDEFAULTFALSE,originalText[0]IMPLICTBOOLEANOPTIONAL,certificateChain[1]IMPLICTBOOLEANOPTIONAL,crl[2]IMPLICTBOOLEANOPTIONAL,authenticationAttributes}[3]IMPLICTBOOLEANOPTIONALinDataLen表示待簽名的數(shù)據(jù)原文長度；inData表示待簽名的數(shù)據(jù)原文；signedMessage表示輸入的消息簽名數(shù)據(jù)，當(dāng)公鑰算法為RSA時，消息的結(jié)構(gòu)遵循PKCS#7;當(dāng)公鑰算法為SM2時，消息的結(jié)構(gòu)遵循GM/T0010;hashFlag表示待簽名的數(shù)據(jù)是否已哈希，默認(rèn)FALSE表示未哈希；originalText表示是否附加原文選項；表示是否附加證書鏈選項；crl表示是否附加黑名單選項；表示是否附加鑒別屬性選項。包：取值dMessage時，響應(yīng)包采用本子包，其具體格式如下：respValueINTEGER}respValue表明響應(yīng)碼，0表示成功，非0表示錯誤。A.5.14多包消息簽名初始化包：包為多包消息簽名初始化請求格式包，當(dāng)取值時請求包采用本子包，其具體格式如下：inDataLenINTEGER,inDataOCTETSTRING}表明使用的簽名算法類型，詳細(xì)定義見簽名算法標(biāo)識；為或時有效表示簽名者的ID長度為或時有效；表示簽名者的ID值當(dāng)為或時有效inDataLen表示數(shù)據(jù)明文長度；inData表示數(shù)據(jù)明文。包：包為多包消息簽名初始化響應(yīng)格式包，當(dāng)取值時，響應(yīng)包采用本子包，其具體格式如下：hashValueOCTETSTRINGOPTIONAL}respValue表明響應(yīng)碼，0表示成功，非0表示錯誤；表示雜湊值。A.5.15多包消息簽名更新包：包為多包消息簽名更新請求格式包，當(dāng)取值時請求包采用本子包，其具體格式如下：INTEGER,hashValueLenINTEGER,hashValueOCTETSTRING,inDataLenINTEGER,inDataOCTETSTRING}表明使用的簽名算法類型，詳細(xì)定義見表示雜湊中間值長度；hashValue表示雜湊中間值；inDataLen表示數(shù)據(jù)明文長度；inData表示數(shù)據(jù)明文。包：包為多包消息簽名更新響應(yīng)格式包，當(dāng)取值時，響應(yīng)包采用本子包，其具體格式如下：hashValueOCTETSTRINGOPTIONAL}respValue表明響應(yīng)碼，0表示成功，非0表示錯誤；表示雜湊值。A.5.16多包消息簽名結(jié)束包：包為多包消息簽名結(jié)束請求格式包，當(dāng)取值時請求包采用本子包，其具體格式如下：INTEGER,keyIndexINTEGER,keyValueOCTETSTRING,hashValueLenINTEGER,hashValueOCTETSTRING}表明使用的簽名算法類型，詳細(xì)定義見keyIndex表示簽名者私鑰的索引值，如十進(jìn)制1表示索引值為1的密鑰；keyValue表示簽名者私鑰權(quán)限標(biāo)識碼；表示雜湊中間值長度；hashValue表示雜湊中間值。包：包為多包消息簽名結(jié)束響應(yīng)格式包，當(dāng)取值時響應(yīng)包采用本子包，其具體格式如下：}respValue表明響應(yīng)碼，0表示成功，非0表示錯誤。signedMessage表示消息簽名數(shù)據(jù)，當(dāng)公鑰算法為RSA時，消息的結(jié)構(gòu)遵循PKCS#7;當(dāng)公鑰算法為SM2時，消息的結(jié)構(gòu)遵循GM/T0010。A.5.17多包驗證消息簽名初始化包：包為多包驗證消息簽名初始化請求格式包，當(dāng)取值SignedMessageInit時，請求包采用本子包，其具體格式如下：inDataLenINTEGER,inDataOCTETSTRING}表明使用的簽名算法類型，詳細(xì)定義見簽名算法標(biāo)識；為或時有效表示簽名者的ID長度為或時有效；表示簽名者的ID值當(dāng)為或時有效inDataLen表示數(shù)據(jù)明文長度；inData表示數(shù)據(jù)明文。包：包為多包驗證消息簽名初始化響應(yīng)格式包，當(dāng)取值響應(yīng)包采用本子包其具體格式如下：hashValueOCTETSTRINGOPTIONAL}respValue表明響應(yīng)碼，0表示成功，非0表示錯誤；表示雜湊值。A.5.18多包驗證消息簽名更新包：包為多包驗證消息簽名更新請求格式包，當(dāng)取值請求包采用本子包其具體格式如下：INTEGER,hashValueLenINTEGER,hashValueOCTETSTRING,inDataLenINTEGER,inDataOCTETSTRING}表明使用的簽名算法類型，詳細(xì)定義見表示雜湊中間值長度；hashValue表示雜湊中間值；inDataLen表示數(shù)據(jù)明文長度；inData表示數(shù)據(jù)明文。包：包為多包驗證消息簽名更新響應(yīng)格式包，當(dāng)取值響應(yīng)包采用本子包其具體格式如下：hashValueOCTETSTRINGOPTIONAL}respValue表明響應(yīng)碼，0表示成功，非0表示錯誤；表示雜湊值。A.5.19多包驗證消息簽名結(jié)束包：包為多包驗證消息簽名結(jié)束請求格式包，當(dāng)取值dMessageFinal時，請求包采用本子包，其具體格式如下：INTEGER,hashValueLenINTEGER,hashValueOCTETSTRING,signatureOCTETSTRING}表明使用的簽名算法類型，詳細(xì)定義見簽名算法標(biāo)識；type表示使用驗證消息簽名時使用證書或證書序列號，1表示使用證書，2表示使用證書序列號；cert表示簽名證書，type取值1時有效；certSN表示簽名證書序列號，type取值2時有效；表示雜湊中間值長度；hashValue表示雜湊中間值；signedMessage表示消息簽名數(shù)據(jù)，當(dāng)公鑰算法為RSA時，消息的結(jié)構(gòu)遵循PKCS#7;當(dāng)公鑰算法為SM2時，消息的結(jié)構(gòu)遵循GM/T0010。包：包為多包驗證消息簽名結(jié)束響應(yīng)格式包，當(dāng)取值SignedMessageFinal時，響應(yīng)包采用本子包，其具體格式如下：respValueINTEGER}respValue表明響應(yīng)碼，0表示成功，非0表示錯誤。附錄B（規(guī)范性附錄）基于HTTP的簽名消息協(xié)議語