ICS 35.040 CCSL 80 GM 中华人民共和国密码行业标准 GM/T 0098—2020 基于IP网络的加密语音通信 密码技术规范 Cryptographic technical specifications for encrypted voice communication based on IP network 2020-12-28 发布 2021-07-01实施 国家密码管理局 发布 GM/T0098—2020 目 次 前言 Il 范围 规范性引用文件 3 术语和定义 4 缩略语 基于IP网络的加密语音通信系统· 5.1 概述 5.2 系统框架 5.3 业务过程 6 密钥管理 6.1 概述 6.2 终端证书及密钥对 6.3 服务器证书及密钥对 6.4 会话密钥 安全协议 7.1 会话建立 7.2 开户绑定 7.3 密钥分发 11 7.4 密钥协商 15 7.5 通信数据： 18 7.6 Sip流程 19 密码模块 20 8.1 功能 20 8.2 接口 20 8.3 安全性 20 其他安全要求 9.1 敏感数据保护 21 9.2 管理安全 21 9.3 角色设定 9.4 身份鉴别 21 9.5 日志管理 21 9.6 密钥备份： 21 10 产品检测基本要求 21 10.1 产品功能检测基本要求 10.2 产品性能检测基本指标 22 GM/T 0098—2020 10.3 密钥管理检测要求 10.4密码模块检测要求 23 10.5其他安全检测基本要求 附录A（规范性） 基于SM9密码算法的加密语音通信系统 24 附录B（资料性） 基于SM9密码算法的安全协议SIP报文 35 附录C（资料性） 会话过程示例 37 附录D（资料性） 安全协议SIP报文 39 I GM/T 0098—2020 前言 本文件按照GB/T1.1-2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件按照GB/T1.1一2009给出的规则起草 本文件由密码行业标准化技术委员会提出并归口。 本文件起草单位：北京三未信安科技发展有限公司、山东大学软件学院、北京数字认证股份有限公 司、公安部第一研究所、数安时代科技股份有限公司、北京创原天地科技有限公司、大唐高鸿数据网络技 信通信有限公司、深圳奥联信息安全技术有限公司。 本文件主要起草人：高志权、刘晓东、张玉涛、张永强、亢洋、赵振涛、张磊、王胜男、方恒禄、王允升、 许涛、李耀龙、吕国栋、吕士鹏、白顺东。 GM/T 0098—2020 基于IP网络的加密语音通信 密码技术规范 1范围 本文件定义了基于IP网络的加密语音通信系统、密钥管理、安全协议、密码模块、安全要求和产品 检测基本要求。 本文件适用于指导基于IP网络的加密语音通信系统应用中密码安全方案设计、产品研制，也可用 于指导基于IP网络的加密语音通信系统产品的检测。 规范性引用文 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文 件，仅该日期对应的版本适用于本文件：不注日期的引用文件，其最新版本（包括所有的修改单）适用于 本文件。 GB/ 32905 信息安全技术 SM3密码杂凑算法 GB/ 32907 信息安全技术 SM4分组密码算法 GB/T T32918（所有部分）信息安全技术 SM2椭圆曲线公钥密码算法 GB/T33133.1 信息安全技 祖冲之序列密码算法 第1部分：算法描述 GB/ 35291 信息安 全技术 智能密码钥匙应用接口规范 GB/T 36322 信息安全技术 密码设备应用接口规范 GB/T 37092 信息安全技术密码模块安全要求 GM/T 027 智能密码钥匙技术规范 GM/T 0028 密码模块安全要求 GM/T0030 服务器密码机技术规范 GM/T 0044 SM9标识密码算法 GM/T0044.1 SM9标识密码算法第1部分：总则 GM/T0044.2 SM9 标识密码算法第 2 部分:数字签名算法 GM/T0044.3 SM9标识密码算法第3部分：密钥交换协议 GM/T0044.4 SM9标识密码算法第4部分：密钥封装机制和公钥加密算法 GM/T0062 密码产品随机数检测要求 GM/Z4001—2013密码术语 RFC3261 SIP:Session Initiation Protocol 3术语和定义 GM/Z4001一2013界定的以及下列术语和定义适用于本文件。 3.1 鉴别authentication 为一个实体声称的特征是正确的而提供的保障措施。 GM/T 0098—2020 3.2 被叫callee 通话过程中，接受呼叫的一方。 3.3 主叫caller 通话过程中，主动发起呼叫的一方。 3.4 机密性 confidentiality 保证信息不被泄露给非授权的个人、进程等实体的性质。 3.5 密码模块 cryptographic module 具有安全边界的用于进行密码相关的存储和计算操作的软件、固件或硬件组合。 3.6 密码协议 cryptographicprotocol 两个或两个以上参与者使用密码算法，按照约定的规则，为达到某种特定目的而采用的一系列 步骤。 3.7 数据完整性dataintegrity 数据没有遭受以未授权方式所作的更改或破坏的特性。 3.8 实体entity 人、组、设备或进程。 3.9 原发抗抵赖 non-repudiation of origin 旨在防止原发者否认其已创建了消息内容和已发送了消息的服务 3.10 公钥密码算法/非对称密码算法 去public-key cryptographic algorithm/asymmetric cryptographical- gorithm 加密和解密使用不同密钥的密码算法。其中一个密钥（公钥)可公开，另一个密钥（私钥)必须保密 且由公钥求解私钥的计算是不可行的， 3.11 敏感数据 sensitive data 从用户的角度看，需要被保护的数据。 3.12 服务器证书 servercertificate 由证书认证机构（CA)签发的用于标识服务器身份的数字证书。 3.13 会话 舌session 次通信过程中所有参与者之间的关联关系以及他们之间的媒体流的集合。 3.14 会话密钥 session key 处于层次化密钥结构中的最低层，仅在一次会话中使用的密钥，依据用途可分为会话加密密钥和会 话鉴别密钥。 2