GB_T 43694-2024 网络安全技术 证书应用综合服务接口规范.docx

《GB_T 43694-2024 网络安全技术 证书应用综合服务接口规范.docx》由会员分享，可在线阅读，更多相关《GB_T 43694-2024 网络安全技术 证书应用综合服务接口规范.docx（96页珍藏版）》请在三一办公上搜索。

1、ICS35.030CCS1.80OB中华人民共和国国家标准GB/T436942024网络安全技术证书应用综合服务接口规范CybersecuritytechnologyCertificateapplicationintegratedserviceinterfacespecication2024-04-25发布2024-11-01实施国家市场监督管理总局给希国家标准化管理委员会发布目次前言I1范围12规范性引用文件13术语和定义14缩略语25证书应用综合服务接口25.1 证书应用综合服务接口在公钥密码应用技术体系框架中的位置25.2 证书应用综合服务接口分类25.3 客户端服务接口25.4 服务器

2、端服务接口26标识和数据结构31.1 标识定义31.2 数据结构定义31.3 数据格式要求37 证书应用综合服务接口定义37.1 客户端COM组件接口37.2 客户端JaVaSCriPt脚本接口167.3 服务器端CoM组件接口287.4 服务器端JaVa组件接口428 接口验证方法568.1 验证环境568.2 验证原则568.3 验证场景57附录A（规范性）证书应用综合服务接口错误代码定义61附录B（资料性）证书应用综合服务接口典型部署模型64附录C（资料性）证书应用综合服务接口集成示例65附录D（资料性）证书应用综合服务接口汇总67附录E（资料性）客户端JaVaSCriPt脚本接口异步调

3、用示例说明73参考文献74本文件按照GB/T1.12020标准化工作导则第1部分：标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国网络安全标准化技术委员会（SAC/TC260）提出并归口。本文件起草单位：北京数字认证股份有限公司、博雅中科（北京）信息技术有限公司、北京奇虎科技有限公司、山东得安信息技术有限公司、中国电力科学研究院、北京信安世纪科技股份有限公司、无锡江南信息安全工程技术中心、中国电子技术标准化研究院、格尔软件股份有限公司、中电科网络安全科技股份有限公司、深圳市不动产登记中心、郑州信大捷安信息技术股份有限公

4、司、阿里云计算有限公司、浙江九州量子信息技术股份有限公司、航天信息股份有限公司、数安时代科技股份有限公司、智巡密码（上海）检测技术有限公司、中科信息安全共性技术国家工程研究中心有限公司、中国汽车工程研究院股份有限公司。本文件主要起草人：刘伟、赵永省、夏鲁宁、李述胜、刘中、程科伟、浦雨三、张屹、张志磊、马洪富、袁中林、李智虎、焦靖伟、刘平、黄晶晶、谭武征、寇建波、颜海龙、刘献伦、刘为华、肖淑婷、张文科、杨倩媚、董亮亮、周蔚林、韩玮、高振鹏、胡建勋、刘冲、牟洁。网络安全技术证书应用综合服务接口规范1范围本文件规定了面向证书应用的综合服务接口要求和定义，描述了相应验证方法。本文件适用于公钥密码基础设

5、施应用技术体系下证书应用中间件和证书应用系统的开发，以及密码应用支撑平台的研制和检测。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T20518信息安全技术公钥基础设施数字证书格式GB/T25061信息安全技术XM1.数字签名语法与处理规范GB/T25069信息安全技术术语GB/T33560信息安全技术密码应用标识规范GB/T35275信息安全技术SM2密码算法加密签名消息语法规范GB/T35276信息安全技术SM2密码算法使用规范GB

6、/T35291信息安全技术智能密码钥匙应用接口规范GB/T36322信息安全技术密码设备应用接口规范GB/T43578信息安全技术通用密码服务接口规范GM/T00942020公钥密码应用技术体系框架规范GM/Z4001密码术语3术语和定义GB/T25069、GM/Z4001界定的以及下列术语和定义适用于本文件。3.1数字证书digitalcertificate由CA签名的包含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及扩展信息的一种数据结构。注：数字证书也称公钥证书，按类别分为个人证书、方购证书和设备证书，按用途分为签名证书和加密证书。来源：GM/Z40012013,2.1153.2用

7、户密钥userkey存储在设备内部的用于应用密码运算的非对称密钥对。注：用户密钥包含签名密钥对和加密密钥对。3.3密钥容器keycontainer密码设备中用于保存用户密钥的唯一性存储空间。4缩略语下列缩略语适用于本文件。B/S:浏览器/服务器(BrOWSeIVServer)CA:证书认证机构(CertifiCationAuthority)COM:组件对象模型(COmPonentObjectModel)CR1.:证书撤销列表(CertifiCaIeRevocation1.ist)JARJava归档文件(JaVaArchive)1.DAP:轻量级目录访问协议(1.ightWeightDirect

8、oryAccessProtocol)OlD:对象标识符(ObjeCtIdentifier)XM1.:可扩展标记语言(EXtenSibIeMarkup1.anguage)5证书应用综合服务接口5.1 证书应用综合服务接口在公钥密码应用技术体系框架中的位公钥密码应用技术体系框架由应用层、典型密码应用支撑层、通用密码应用支撑层、基础设施安全支撑平台、密码设备服务层组成。证书应用综合服务接口属于通用密码应用支撑层，是中间件，为典型密码应用支撑层和应用层提供密码服务。其功能主要包括：负责完成与密码设备的安全连接；实现基于数字证书的身份认证，从证书中获取有关信息，实现授权管理、访问控制等安全机制；负责具体

9、与密码设备交互实现具体的密码运算；将数据按照GB/T35275要求的格式进行封装，实现数据封装格式与应用系统无关性，实现应用系统互联互通和信息共享。证书应用综合服务接口规范在公钥密码应用技术框架内的位置应遵循GM/T00942020的第4章。5.2 证书应用综合朦务接口分类证书应用综合服务接口包括客户端服务接口和服务器端服务接口两类。它位于典型密码应用支撑层和密码设备服务层之间，既可被典型密码应用支撑层调用也可被应用层直接调用，向上层提供证书信息解析、基于数字证书身份认证、信息的机密性、完整性和不可否认性等密码服务。5.3 客户端服务接口客户端服务接口采用支持多种编程语言的CoM组件和客户端常

10、使用的JavaSCriPt脚本语言为例描述，其适用于客户端程序调用，接口的形态包括动态库、控件、插件、扩展等。客户端服务接口一般通过调用智能密码钥匙应用接口或通用密码服务接口来实现，此类接口应符合GB/T35291或GB/T43578中的规定，主要功能包括：配置管理、证书解析、签名与验证、加密与解密数字信封、XM1.数据签名与验证等。5.4 服务器端服务接口服务器端服务接口采用支持多种编程语言的COM组件和服务端常使用的JaVa语言为例描述，其适用于服务器端程序调用，接口的形态包括COM组件、JAR包等，支持主流操作系统。服务器端服务接口一般通过调用密码设备应用接口或通用密码服务接口来实现，此

11、类接口应符合GB/T36322或GB/T43578中的规定，功能基本与客户端服务接口相对应，主要包括：配置管理、证书解析、签名与验证、加密与解密数字信封、XM1.数据签名与验证、时间戳等。6标识和数据结构6.1 标识定义本文件所使用的常量、各类算法标识和证书解析标识应符合GB/T33560的规定。6.2 数据结构定义本文件规定的接口处理的数据分为两种类型：数据类型A:是一种基于公钥的加密或签名结构，当公钥算法为RSA时，数据的结构参见PKCS#1v1.5;当公钥算法为SM2时，数据的结构应符合GB/T35276的规定。数据类型B:是一种基于证书的加密或签名结构，当证书的公钥律法为RSA时，消息

12、的结构参见PKCS#7;当证书的公钥算法为SM2时，消息的结构应符合GB/T35275的规定。6.3 数据格式要求本文件所涉及的数字证书格式应符合GB/T20518的规定。本文件所描述的Base64编码格式参见RFC4648中Base64EnCoding部分。在没有特殊说明的情况下，本文件中字符串采用UTF-8编码，其格式参见RFC3629。本文件所定义接口返回的错误码或抛出的异常信息应符合附录A,典型部署模型可参见附录B,集成示例可参见附录C。本文件以COM组件为例进行接口描述时，所用到的数据类型说明见表1。表1COM组件数据类型说明类型说明BSTR字符串类型，不同的开发语言应采取对应的类型

13、定义，如：Char*、CString、java.lang.String等1.OXG32位整数SHORT16位整数BOO1.布尔类型，其取值范围是TRUE和FA1.SE,其中TRUE表示真值，FA1.SE表示假值空串长度等于0的字符串非空长度大于0的字符串7证书应用综合服务接口定义7.1 客户端CoM组件接口7.1.1 客户端COM组件接口综述客户端COM组件接口提供配置管理、证书解析、签名与验证、加密与解密数字信封、XM1.数据签名与验证等功能，共包含35个接口。客户端CoM组件接口列表见附录D的表D.1,7.1.27.1.36给出了接口详细定义。7.1.2 获取接口版本信息表2获取接口版本信

14、息接口定义原型BSTRSOF_GetVersion()描述获取接口的版本号参数无返回值接口版本号（成功）空串（失败，可通过SOF-Get1.astError获取符合表A.1定义的错误代码）7.1.3 设签名算法设置签名算法接口定义应符合表3的规定。表3设签名算法接口定义原型1.ONGSOF-SetSignMethod(1.ONGSignMethod)描述设置接口在签名和验签运算时使用的签名算法参数SignMethOd（签名算法标识，应符合GB/T33560的规定）返回值SOR_OK(成功)其他（失败，返回符合表AJ定义的错误代码）7.1.4 获得签名算法获得签名算法接口定义应符合表4的规定。4

15、获得签名算法接口定义原型1.ONGSOF_GetSignMethod()描述获得接口当前使用的签名算法参数无返回值当前使用的签名算法标识（成功）0（当前没有设置签名算法）7.1.5 设加密算法设置加密算法接口定义应符合表5的规定。表5设加密算法接口定义原型1.ONGSOF-SetEncryptMethod(1.ONGEncryptMcthod)描述设置接口进行数据加密时使用的对称算法参数EnCryPtMethod（对称加密算法标识，应符合GB/T33560的规定，本接口可支持不带附加认证数据的加解密算法）返回值SOR_OK(成功)其他（失败，返回表A.1定义的错误代码）7.1.6 获得加密算法

16、获得加密算法接口定义应符合表6的规定。*6获得加密算法接口定义原型1.OXGSOF-GetEncryptMethodO描述获得接口当前使用的对称加解密算法参数无返回值当前使用的加密算法标识（成功）0（当前没有设置加密算法）7.1.7 获得证书列表获得证书列表接口定义应符合表7的规定。7获得证书列表接口定义原型BSTRSOF-GetUser1.istO描述取得当前已安装证书的用户列表参数无返回值证书列表成功，返回证书列表字符串数据，格式为：用户名1CertID18.&.&.用户名21CertID2.根据证书应用的策略不同得到不同的证书列表返回值。在证书列表中，用户名代表证书的通用名（Common

17、Name）,CertID是证书唯一标识，其格式由实现者自定义，宜包含容器名、应用名、设备序列号等项。通过CerIn）应找到唯一的签名证书、加密证书，并使用对应的用户密钥空串（失败或当前不存在证书用户列表，可通过SOF-Get1.astError获取符合表A.1定义的错误代码）7.1.8 导出用户签名证书导出用户签名证书接口定义应符合表8的规定C*8导出用户签名证书接口定义原型BSTRSOF_ExportUserCert(BSTRCertID)描述根据证书唯一标识，获取Base64编码的签名证书字符串参数CertlD（证书唯一标识）返回值Base64编码的签名证书字符串（成功）空串（失败，可通过

18、SOF.Get1.aStErrOr获取符合表AJ定义的错误代码）7.1.9 证书登录证书登录接口定义应符合表9的规定。表9证书登录接口定义原型BOO1.S0F_1.ogin(BSTRCertID,BSTRPassWd)描述校验证书口令，进行证书认证参数CertID（证书唯一标识）PaSSWd（证书口令）返回值TRUE（成功）FA1.SE（失败，可通过SO叱Get1.aStErrOr获取符合表A.1定义的错误代码）安全规则证书登录成功后，表示该证书用户已拥有私钥使用权限，即登录状态。登录状态下，可正常调用签名、解密等需要私钥使用权限的接口，获得计算结果7.1.10 获取证书口令剩余重试次数获取证

19、书口令剩余重试次数接口定义应符合表10的规定。*10获取证书口令剩余重试次数接口定义原型1.ONGSOF-GetPinRetryCount(BSTRCertID)描述获取证书Il令的剩余重试次数参数CertlD（证书唯一标识）返回值剩余口令重试次数，当重试次数小于或等于0时表示证书口令已被锁定7.1.11 修改证书口令修改证书口令接口定义应符合表11的规定。*11修改证书口令接口定义原型BOO1.SOF_ChangePassWd(BSTRCertID,BSTROldPassWd,BSTRNewPassWd)描述修改设备的用户认证口令参数CertlD（证书唯一标识）OIdPaSSWd（旧证书口令

20、）NeWPaSSM1（新证书口令）返回值TRUE（成功）FA1.SE（失败，可通过SOF-Get1.astError获取符合表A.1定义的错误代码）7.1.12 导出用户加密证书导出用户加密证书接口定义应符合表12的规定。12导出用户加密证书接口定义原型BSTRSOF_ExportExChangeUserCert(BSTRCertID)描述根据证书唯一标识，获取BaSe64编码的加密（交换）证书字符串参数Certn）（证书唯一标识）返回值Base64编码的加密证书字符串（成功）空串（失败，可通过SO叱Get1.aStErrOr获取符合表A.1定义的错误代码）7.1.13 获得证书信息获得证书信

21、息接口定义应符合表13的规定。13获得证书信息接口定义原型BSTRSOF_GetCertInfo(BSTRBase64Cert,SHORTType)描述获取证书内指定类型的信息参数Base64Cert（BaSC64编码的证书字符串）Type（证书解析标识，应符合GB/T33560的规定）返回值指定类型的证书信息（成功）空串（失败或证书中不存在该项内容）7.1.14 获得证书扩展信息获得证书扩展信息接口定义应符合表14的规定。*14获得证书扩展信息接口定义原型BSTRSOF_GetCertInfoByOid(BSTRBase64Cert,BSTROid)描述根据OID获取证书私有扩展项信息参数B

22、ase64Cert（Base64编码的证书字符串）Oid（私有扩展对象ID,如“1.2.156.xxx”）返回值证书私有扩展项OlD对应的信息（成功）空串（失败或证书中不存在该私有扩展项）7.1.15 获得设备信息获得设备信息接口定义应符合表15的规定。*15获得设备信息接口定义原型BSTRSOF-GetDevicelnfo(BSTRCertID,1.ONGType)描述根据证书唯一标识和类型代码获得设备信息参数CertlD（证书唯一标识）Type（设备信息的类型，应符合GB/T33560的规定）返回值对应的设备信息（成功）空串（失败，可通过SOF-Get1.astError获取符合表A.1定

23、义的错误代码）7.1.16 验证证书有效性验证证书有效性接口定义应符合表16的规定。16验证证书有效性接口定义原型1.ONGSOF-ValidateCert(BSTRBase64Cert)描述验证证书有效性参数Ba$e64Cert（Ba$e64编码的证书字符串）返回值SARJ）K（验证成功）其他（验证失败，失败原因应符合表A.1中的错误代码范围OXOBOOO5000X0B000505）验证策略基本的证书验证策略应包括：a）验证CA信任列表，各层都要进行签名验证；b）各层证书的有效期验证；C）各层证书的吊销状态Il在特殊情况下（如：网络条件不允许），证书的吊销状态可采取灵活方式，由应用系统各层内

24、部维护一个吊销列表，在证书登录认证时应用该吊销列表。验证证书有效性也可采取代理验证方式7.1.17 数据签名数据签名接口定义应符合表17的规定。表17数据签名接口定义原型BSTRSOF_SignData(BSTRCertID,BSTRInData)描述对字符串数据进行数字签名，返回Basc64编码的数据类型A签名结果参数CertlD（证书唯一标识）InData(原文)返回值Ba$e64编码的签名值（成功）空串（失败，可通过SOF-Get1.astError获取符合表A.1定义的错误代码）安全规则本接口应在登录状态下才能成功返回签名值，否则应返回空串7.1.18 验证数据签名验证数据签名接口定义

25、应符合表18的规定。18验证数据签名接口定义原型BOO1.SOF-VerifySignedData(BSTRBase64Cert,BSTRInData.BSTRSignValue)描述验证数据签名，签名值格式为Base64编码的数据类型A参数Base64Cert（Base64编码的签名者证书字符串）InData(原文)SignVaIUe（BaSe64编码的签名值）返回值TRUE（成功）FA1.SE（失败，可通过SoF一Get1.aStErrOr获取符合表A.1定义的错误代码）7.1.19 文件签名文件签名接口定义应符合表19的规定。*19文件签名接口定义原型BSTRS0F_SignFiIe(B

26、STRCertID,BSTRInFile)描述根据文件全路径，对指定文件进行数字签名，返回Base64编码的数据类型A签名结果参数CertlD（证书唯一标识）InFiIe（原文文件全路径）返回值Base64编码的签名值（成功）空串（失败，可通过SOF-Get1.aStErrOr获取符合表Aj定义的错误代码）安全规则本接口应在登录状态下才能成功返回签名值，否则应返回空串7.1.20 验证文件签名验证文件签名接口定义应符合表20的规定。表20验证文件签名接口定义原型BOO1.S0F_VeriFySignedFile(BSTRBase64Cert,BSTRInFile,BSTRSignValue)描

27、述验证文件的数字签名，签名值格式为Base64编码的数据类型A参数Base64Cert（Base64编码的签名者证书）InFile（原文文件全路径）SignVaIUe（BaSe64编码的签名值）返回值TRUE（成功）FA1.SE（失败，可通过SOF.Get1.astError获取符合表A.1定义的错误代码）7.1.21 数据加密数据加密接口定义应符合表21的规定。21数据加密接口定义原型BSTRSOFEncryptData(BSTRBase64Cert,BSTRInData)描述数字信封加密，加密过程为使用临时产生的对称密钥加密数据，然后使用数字证书的公钥加密对称密钥，返回Base64编码格式

28、的数据类型B密文数据参数Ba$e64Cert（Ba$e64编码的数据接收者的加密证书，若使用多个证书对数据加密，证书之间用&.&.&.作为分隔符连接）InData（待加密的明文）返回值Base64编码的密文数据（成功）空串（失败，可通过S0F_Get1.aStErrOr获取符合表A.1定义的错误代码）7.1.22 数据解密数据解密接口定义应符合表22的规定。*22数据解密接口定义原型BSTRSOF_DecryptData(BSTRCertID,BSTRInData)描述使用证书对应的私钥解密数字信封，密文数据格式为Base64编码的数据类型B参数CertlD（证书唯一标识）InData（待解密

29、的Base64编码的密文数据）返回值解密后的明文数据（成功）空串（失败，可通过SOF-Get1.astError获取符合表A.1定义的错误代码）安全规则本接口应在登录状态下才能解密得到明文，否则应返回空串7.1.23 消息签名消息签名接口定义应符合表23的规定。表23消息签名接口定义原型BSTRSOF_SignMessage(SHORTFlag,BSTRCertID,BSTRInData)描述对字符串数据进行消息签名，返回Base64编码的数据类型B签名结果参数Flag（是否为DetaChed的标识），取值范围：a）1:表示Detaehed,即不带原文：b）0:表示AttaChed,即带原文C

30、ertID（证书唯一标识）InData（原文）返回值Basc64编码的消息签名值（成功）空串（失败，可通过SOF_Get1.aStErrOr获取符合表A.1定义的错误代码）安全规则签名结果包含：原文（可选）、签名者证书、签名算法和签名值。本接口应在登录状态下才能返回签名值，否则应返回空串7.1.24 臆证消息签名验证消息签名接口定义应符合表24的规定。*24验证消息签名接口定义原型BOO1.SOF-VerifySignedMessage(BSTRSignedMessage,BSTRInData)描述验证消息签名，签名值格式为Base64编码的数据类型B参数SignedMeSSage（BaSe6

31、4编码的消息签名值）InData（原文，若签名结果中包含原文，忽略本参数）返回值TRUE（成功）FA1.SE（失败，可通过SOF一Get1.aStError获取符合表A.1定义的错误代码）7.1.25 解析消息签名解析消息签名接口定义应符合表25的规定。25解析消息签名接口定义原型BSTRSoF-GetInfoFromSignedMessage(BSTRSignedMessage,SHORTType)描述解析消息签名值中的信息，包括：原文、签名值、签名证书等，消息签名值格式为Base64编码的数据类型B参数SignedMeSSage（BaSe64编码的消息签名值）Type（获取的信息类型），取

32、值范围：a）l:解析出原文；b）2:解析出Base64编码的签名者证书：c）3:解析出BaSC64编码的签名值返回值解析结果（成功）空串（失败或不存在该项）7.1.26 XM1.数据签名XM1.数据签名接口定义应符合表26的规定。26XM1.数据签名接口定义原型BSTRSOF_SignDataXM1.(BSTRCertID.BSTRInData)描述对XM1.数据进行数字签名，证书为RSA算法时签名结果参见RFC3275,证书为SM2算法时签名结果应符合GB/T25061的规定参数CertID（证书唯一标识）InDaIa（XM1.格式的签名原文）返回值XM1.签名结果（成功）空串（失败，可通过

33、SOFGet1.aSlError获取符合表A.1定义的错误代码）26XM1.数据签名接口定义（续）安全规则本接口在登录状态下才能返回签名值，否则返回空串。缺省配置和参数如下：a）采用封皮签名，签名前应对签名原文做格式化；b）格式化方法采用带注释的XM1.格式化1.1,证书为RSA算法时标识符为http/WWw.w3.org200612xml-cl4nlImVithComment,证书为SM2算法时标识符为http:127.0.0.1/2006/12xml-cl4nlWWithComments7.1.27 验证XM1.数据签名验证XM1.数据签名接口定义应符合表27的规定。*27验证XM1.数据

34、签名接口定义原型BOO1.SOFferifySignedDataXM1.(BSTRXM1.SignedData)描述验证XM1.签名参数XM1.SignedData(XM1.签名结果)返回值TRUE（成功）FA1.SE（失败，可通过SOFGet1.aStErrOr获取符合表A.1定义的错误代码）7.1.28 解析XM1.数据签名解析XM1.数据签名接口定义应符合表28的规定。28解析XM1.数据签名接口定义原型BSTRSOF_GetXM1.SignatureInfo(BSTRXM1.SigncdData,SHORTType)描述解析XM1.数据签名，获取签名值、XM1.原文、证书和相关算法等信

35、息参数XM1.SignedData(XM1.签名结果)TyPe（待解析的参数类型），取值范围：a）1:解析出XM1.原文；b）2:解析出摘要值；c）3:解析出签名值：d）4:解析出签名证书；。）5:解析出摘要算法：f）6:解析出签名算法返回值解析结果（成功）空串（失败，可通过SOF-Get1.astError获取符合表A.1定义的错误代码）表28解析XM1.数据签名接口定义（续）安全规则XM1.签名缺省配置和参数值样例：a)XM1.原文取自ObjeCt元素；b)摘要值取自DigeStValUe元素，形如http:127.0.0.1/200104xm1dsig-morc#sm3;c)签名值取自S

36、ignatUreValUe元素,为Base64编码;CI)签名证书取自X509Data元素，为Base64编码：e)摘要算法取自DigeStMethOd元素的AlgOrithm属性,形如http:127.0.0.l/2001/04/xmldsig-more#sm3:f)签名算法取自SignatUreMethod元素的AIgorithm属性，形如http:127.0.0.1/2001/04/xmldsig-moret#sm2-sm37.1.29 产生随机数产生随机数接口定义应符合表29的规定。29产生随机数接口定义原型BSTRSOF_GenRandom(1.ONGRandom1.en)描述产生指

37、定长度的随机数参数Random1.en（待产生随机数的字节长度）返回值Base64编码的随机数（成功）空串（失败，可通过SOF.Get1.astError获取符合表A.1定义的错误代码）7.1.30 获取最新的错误侑息获取最新的错误信息接口定义应符合表30的规定C表30获取最新的错误信息接口定义原型1.ONGSOF-Get1.astErrorO描述获取最新的错误代码参数无返回值错误代码，应符合表A.1错误代码表7.1.31 计算数据摘要计算数据摘要接口定义应符合表31的规定。*31计算数据摘要接口定义原型BSTRSOF_HashData(1.ONGHashAlg,BSTRInData,BSTR

38、SignCertjBSTRUserlD)描述计算数据摘要。若采用SM3算法，当SignCert和USreID为空时，只计算数据的摘要值，当SignCert和USreID值不为空时，应按照GB/T35276规定的预处理过程计算，摘要值可作为SM2签名的输入表31计算数据摘要接口定义（续）参数HaShAIg（摘要算法，应符合GB/T33560的规定）Indata(原文)SignCert（BaSe64编码的签名者证书，当摘要算法为SM3时有效，如不需要可传空串）USerlD（签名者用户ID,当摘要算法为SM3时有效，若SignCert参数为空，本参数无意义）返回值BaSe64编码的数据摘要值（成功）

39、空串（失败，可通过SOF_Get1.aSEEITOr获取符合表A.1定义的错误代码）7.1.32 计算文件摘要计算文件摘要接口定义应符合表32的规定。*32计算文件摘要接口定义原型BSTRSOFHashFiIe(1.ONGHaShAIg,BSTRInFilejBSTRSignCertjBSTRUserID)描述计算文件数据摘要，若采用SM3算法，当SignCert和USrelD为空时，只计算数据的摘要值，当SignCert和USreID值不为空时，应按照GB/T35276规定的预处理过程计算，摘要值可作为SM2签名的输入参数HashA1g（摘要算法，应符合GB/T33560的规定）InFiIe

40、（原文文件全路径）SignCerI（BaSe64编码的签名者证书，当摘要算法为SM3时有效，如不需要可传空串）USerlD（签名者用户ID,当摘要算法为SM3时有效，若SignCert参数为空，本参数无意义）返回值Base64编码的文件摘要值（成功）空串（失败，可通过SOF-Get1.astError获取符合表A.1定义的错误代码）7.1.33 摘要数据签名摘要数据签名接口定义应符合表33的规定。33摘要数据签名接口定义原型BSTRSoF-SignHaShData(BSTRCertIDlBSTRBase64HashData,1.ONGHashAlg)描述对数据摘要值签名，返回Ba$e64编码的

41、数据类型A签名结果。Base64HashData参数般是SoFjlaShData或SOFJashFiIe函数的计算结果。当采用SM2算法签名时，SM3算法的摘要值应按照GB/T35276规定的预处理过程计算参数CertlD（证书唯一标识）BaSC64HaShData(BaSe64编码的摘要值)HaShAlg（摘要算法，应符合GB/T33560的规定）返回值Ba$e64编码的签名值（成功）空串（失败，可通过SOF-Get1.asiError获取符合表A.1定义的错误代码）安全规则本接口应在登录状态下才能成功返回签名值，否则应返回空串M7.1.34 验证摘要数据签名验证摘要数据签名接口定义应符合表

42、34的规定。34验证摘要数据签名接口定义原型BOO1.SOF-VerifySignedIIashData(BSTRBase64Cert,BSTRBase64HashData,BSTRSignValue,1.ONGHashAlg)描述数据摘要签名验证，签名值格式为Base64编码的数据类型M若使用SM2算法验证签名，Base64HashData参数是SV3算法的摘要值，应按照GB/T35276规定的预处理过程计算参数Base64Cert（BaSe64编码的签名者证书）Base64HaShData(BaSe64编码的摘要值)SignValUe（BaSe64编码的签名值）HaShAIg（摘要算法，应

43、符合GB/T33560的规定）返回值TRUE（成功）FA1.SE（失败，可通过SOF-Get1.aStError获取符合表A.1定义的错误代码）7.1.35 证书警出证书登出接口定义应符合表35的规定。35证书登出接口定义原型B1.SOF_1.ogout(BSTRCertID)描述退出登录状态参数CertID（证书唯一标识）返回值TRUE(成功)FA1.SE（失败，可通过SOF-Get1.astError获取符合表A.1定义的错误代码）安全规则证书登出衣示释放该证书用户对应的私钥使用权限。证书登出后再调用签名、解密等需要拥有私钥使用权限才能正常操作的接口时，应再次成功调用SOFJOgin接口获

44、取私钥使用权限7.1.36 证书登录状态检测证书登录状态检测接口定义应符合表36的规定。36证书登录状态检溜接口定义原型BOO1.SOF_Is1.ogin(BSTRCertID)描述判断证书用户是否为登录状态参数CertlD（证书唯一标识）返回值TRUE（登录状态）FA1.SE（非登录状态）7.2 客户端JaVaSCriPt脚本接口1.1.1 2.1客户端JaVaSCriPt脚本接口综述客户端JaVaSCriPt脚本接口采用异步方式定义，所有接口的返回值都通过回调函数的第一个参数返回，提供配置管理、证书解析、签名与验证、加密与解密数字信封、XM1.数据签名与验证等功能，共包含32个接口。客户端JaVaSCriPl脚本接口列表见表D.2。7.2.27.2.33给出了接口详细定义，其调用示例说明见附录E。1.1.2 获取接口版本信息获取接口版本信息接口定义应符合表37的规定。*37获取接口版本信息接口定义原型functionS0F_GctVcrsion(cb,ctx)描述获取接口的版本号参数cb（回调函数）ctx（回调函数所需参数）返回值接口版本号（成功）空串（失败，可通过SOF-Get1.astError获取符合表A.1定义的错误代码）1.1.3 设置签名算法设置签名算法接口定义应符合表38的规定。*38设置签名算法接口定义原型functionSOFSetSi