犐犆犛35.040 犆犆犛犔80 中华人民共和国密码行业标准 犌犕/犜0094—2020 公钥密码应用技术体系框架规范 犘狌犫犾犻犮犽犲狔犮狉狔狆狋狅犵狉犪狆犺犻犮犪狆狆犾犻犮犪狋犻狅狀狋犲犮犺狀狅犾狅犵狔犳狉犪犿犲狑狅狉犽狊狆犲犮犻犳犻犮犪狋犻狅狀 20201228 发布 20210701 实施 国家密码管理局 发 布 犌犕/犜0094—2020 目 次 前言 ………………………………………………………………………………………………………… Ⅲ 1 范围 ……………………………………………………………………………………………………… 1 2 规范性引用文件 ………………………………………………………………………………………… 1 3 术语和定义 ……………………………………………………………………………………………… 1 4 公钥密码应用技术体系框架 …………………………………………………………………………… 2 4.1 概述 ………………………………………………………………………………………………… 2 4.2 密码设备服务层 …………………………………………………………………………………… 3 4.3 通用密码应用支撑层 ……………………………………………………………………………… 3 4.4 典型密码应用支撑层 ……………………………………………………………………………… 3 4.5 基础设施安全支撑平台 …………………………………………………………………………… 3 4.6 框架内的系列规范 ………………………………………………………………………………… 4 4.7 框架内系列标准 …………………………………………………………………………………… 4 附录 A (规范性) 接口命名 ……………………………………………………………………………… 6 附录 B (规范性) 错误代码区间划分 …………………………………………………………………… 7 附录 C (资料性) 框架中密码行业标准已转化为国家标准清单 ……………………………………… 8 参考文献 ……………………………………………………………………………………………………… 9 Ⅰ 犌犕/犜0094—2020 前 言 本文件按照 GB/T1.1—2020《标准化工作导则 第 1 部分 :标准化文件的结构和起草规则》的规定 起草 。 请注意本文件的某些内容可能涉及专利 。 本文件的发布机构不承担识别专利的责任 。 本文件起草单位 :格尔软件股份有限公司 、飞天诚信科技股份有限公司 、北京信安世纪科技股份有 限公司 、长春吉大正元信息技术股份有限公司 、上海交通大学 、成都卫士通信息产业股份有限公司 、北京 数字认证股份有限公司 、北京海泰方圆科技股份有限公司 、北京国脉信安科技有限公司 、北京握奇智能 科技有限公司 、国民技术股份有限公司 、北京天融信网络安全技术有限公司 、山东得安信息技术有限 公司 。 本文件主要起草人 :郑强 、朱鹏飞 、张庆勇 、赵丽丽 、李强 、罗俊 、傅大鹏 、蒋红宇 、药乐 、张渊 、付月朋 、 雷晓峰 、马洪富 。 Ⅲ 犌犕/犜0094—2020 公钥密码应用技术体系框架规范 1 范围 本文件规定了公钥密码应用技术体系框架 ,给出该框架内各组成部分及其逻辑关系 。 本文件适用于公钥密码应用技术体系的建设及相关标准的制修订 ,并指导应用系统的密码应用 。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款 。 其中 ,注日期的引用文 件 ,仅该日期对应的版本适用于本文件 ;不注日期的引用文件 ,其最新版本 (包括所有的修改单 )适用于 本文件 。 GB/T35275 信息安全技术 SM2 密码算法加密签名消息语法规范 GM/Z4001 密码术语 3 术语和定义 GM/Z4001 界定的以及下列术语和定义适用于本文件 。 3.1 属性管理系统 犪狋狋狉犻犫狌狋犲犪狌狋犺狅狉犻狋狔狊狔狊狋犲犿 用来产生 、签发 、发布 、更新和撤销属性证书的管理系统 。 3.2 访问控制 犪犮犮犲狊狊犮狅狀狋狉狅犾 按照特定策略 ,允许或拒绝用户对资源访问的一种机制 。 3.3 证书认证系统 犮犲狉狋犻犳犻犮犪狋犲犪狌狋犺犲狀狋犻犮犪狋犻狅狀狊狔狊狋犲犿 对数字证书的签发 、发布 、更新 、撤销等数字证书全生命周期进行管理的系统 。 3.4 通用密码应用支撑 犮狅犿犿狅狀犮狉狔狆狋狅犵狉犪狆犺狔犪狆狆犾犻犮犪狋犻狅狀狊狌狆狆狅狉狋 向典型密码应用支撑和上层应用提供加解密 、签名验签等通用密码功能 。 3.5 密码设备 犮狉狔狆狋狅犵狉犪狆犺狔犱犲狏犻犮犲 包括密码机 、密码卡和智能密码终端等设备 。 3.6 身份鉴别 犪狌狋犺犲狀狋犻犮犪狋犻狅狀 确认一个实体所声称身份的过程 。 3.7 典型密码应用支撑 狋狔狆犻犮犪犾犮狉狔狆狋狅犵狉犪狆犺狔犪狆狆犾犻犮犪狋犻狅狀狊狌狆狆狅狉狋 由电子证据 、身份鉴别 、电子签章 、访问控制和时间戳等组成 ,为上层应用提供对应的密码应用 支撑 。 1 犌犕/犜0094—2020 3.8 时间戳 狋犻犿犲狊狋犪犿狆 对时间和其他待签名数据进行签名得到的数据 ,用于表明数据的时间属性 。 3.9 密码资源池 犮狉狔狆狋狅犵狉犪狆犺狔狉犲狊狅狌狉犮犲狆狅狅犾 一组密码物理资源或虚拟密码资源的集合 ,能够对密码资源进行实时监控 、合理分配和负载均衡 , 具有可扩展性 、高性能 、低风险等特点 。 注 :密码资源包括密码运算部件 、密钥存储部件和随机数发生器等 。 4 公钥密码应用技术体系框架 4.1 概述 公钥密码应用技术体系框架包括密码设备服务层 、通用密码应用支撑层 、典型密码应用支撑层和基 础设施安全支撑平台 ,四部分有机结合组成公钥密码应用技术体系 。 该体系通过密码设备服务层为通 用密码应用支撑层提供服务 ,通用密码应用支撑层使用密码设备服务层提供的服务为应用系统提供应 用支撑 ,也可以为典型密码应用支撑层提供服务 。 典型密码应用支撑层直接为应用系统提供典型的密 码应用支撑 。 基础设施支撑平台为密码设备服务层 、通用密码应用支撑层和典型密码应用支撑层提供 相关的基础服务 。 非云计算环境下 ,密码设备服务层通过密码设备向通用密码应用支撑层提供支撑 ,基础设施安全支 撑平台通过密码设备管理对密码设备进行管理 。 云计算环境下 ,密码设备服务层通过密码资源池向通用密码应用支撑层提供服务 。 基础设施安全 支撑平台通过密码资源管理对密码资源池进行管理 ,见图 1。 图 1 公钥密码应用技术体系框架图 2 犌犕/犜0094—2020 4.2 密码设备服务层 密码设备服务层由密码模块组成 ,密码模块包括密码机 、密码卡和智能密码终端等设备或密码软件 组成 ,通过密码设备服务接口向通用密码应用支撑层提供密钥管理 、密码运算及设备管理等服务 ,并接 受基础设施安全支撑平台的密码设备管理 。 在云计算环境下 ,密码设备服务层由密码设备和密码资源池组成 ,物理密码设备虚拟化成为虚拟密 码设备 ,按需分配给租户使用 。 为了对虚拟的密码资源进行有效管理 ,基础设施安全支撑平台中需要密 码资源管理器对密码设备服务层的密码资源进行创建 、销毁 、配置和漂移等管理 。 4.3 通用密码应用支撑层 通用密码服务功能主要包括负责完成与密码设备的安全连接 ;实现基于数字证书的身份认证 ,从证 书中获取有关信息 ,实现授权管理 、访问控制等安全机制 ;负责具体与密码设备交互实现具体的密码运 算 ;将数据按照 GB/T35275 格式进行封装 ,数据封装格式与应用系统无关性 ,实现应用系统互联互通 和信息共享 。 通用密码应用支撑层通过通用密码应用支撑接口 ,为上层 (典型密码应用支撑层和应用层 )提供与 具体密码设备无关的透明密码应用支撑 ,将上层的密码应用支撑请求转化为具体的基础密码操作请求 , 通过统一的密码设备应用接口调用相应密码设备实现具体的密码运算和密钥操作 。 通用密码应用支撑包括证书解析 、证书认证 、信息的机密性 、完整性 、真实性和不可否认性等密码 功能 。 通用密码应用支撑层属于中间件 ,可以单独实现 ;也可以在保证密钥安全的前提下 ,采用虚拟化的 方式实现 。 4.4 典型密码应用支撑层 典型密码应用支撑层由电子证据 、身份鉴别 、访问控制 、时间戳和电子签章等服务组成 ,为应用层提 供对应的应用支撑 。 典型密码应用支撑层需要的密码功能通过调用通用密码应用支撑接口实现 。 电子证据通过标准接口为应用层提供证据采集服务 ,提供可信证据 ,实现证据的存储 、归档 、查询和 使用审计等管理功能 。 身份鉴别通过标准接口为应用层提供身份查询 、身份解析 、身份验证等身份鉴别服务 。 访问控制通过标准接口为应用层提供系统资源的访问控制 ,实现用户管理 、资源管理 、访问控制策 略管理和用户授权等功能 。 时间戳通过标准接口为应用层和典型密码服务层其他组成部分提供与时间戳系统无关的时间戳加 盖 、验证等时间认证服务 。 电子签章通过标准接口为应用层和典型密码服务层其他组成部分提供电子签章生成与验证服务 。 典型密码应用支撑层属于中间件 ,可以单独实现 ;也可以在保证密钥安全的前提下 ,采用虚拟化的 方式实现密码设备功能 。 4.5 基础设施安全支撑平台 基础设施安全支撑平台由证书认证系统 、属性管理系统 、时间戳系统 、密码设备管理和密码资源管 理器等组成 。 证书认证系统 、属性管理系统和时间戳系统等基础设施安全支撑平台为应用技术体系提供证书管 理 、密钥管理和时间戳管理等基础服务 。 密码设备管理向上层管理应用提供统一的设备管理应用接口 ,为实现远程密钥管理 、设备维护 、设 备监控等上层管理应用提供设备管理功能 ,将上层管理应用的管理请求转换为标准的消息调用 ,通过安 3 犌犕/犜0094—2020 全通道实现管理应用与密码设备间的消息传递 。 云计算环境下 ,基础设施安全支撑平台中的密码资源管理对密码资源进行统一管理 ,包括对密码资 源的隔离 、协同 、整合和调配等 。 4.6 框架内的系列规范 框架内各部分间的逻辑关系见图 2。 图 2 公钥密码应用技术体系框架逻辑图 4.7 框架内系列标准 本框架内的系列标准包括但不限于 : a) 密码设备 (1): GM/T0017 智能密码钥匙密码应用接口数据格式规范 GM/T0022 IPSecVPN 技术规范 GM/T0024 SSLVPN 技术规范 GM/T0027
GM/T 0094-2020 公钥密码应用技术体系框架规范
文档预览
中文文档
16 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
温馨提示:本文档共16页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
本文档由 路人甲 于 2022-05-14 08:55:44上传分享