GM-T 0094-2020 公钥密码应用技术体系框架规范.pdf
- 文档编号:14661322
- 上传时间:2023-06-25
- 格式:PDF
- 页数:16
- 大小:887.57KB
GM-T 0094-2020 公钥密码应用技术体系框架规范.pdf
《GM-T 0094-2020 公钥密码应用技术体系框架规范.pdf》由会员分享,可在线阅读,更多相关《GM-T 0094-2020 公钥密码应用技术体系框架规范.pdf(16页珍藏版)》请在冰点文库上搜索。
书书书犐犆犛犆犆犛犔中华人民共和国密码行业标准犌犕犜公钥密码应用技术体系框架规范犘狌犫犾犻犮犽犲狔犮狉狔狆狋狅犵狉犪狆犺犻犮犪狆狆犾犻犮犪狋犻狅狀狋犲犮犺狀狅犾狅犵狔犳狉犪犿犲狑狅狉犽狊狆犲犮犻犳犻犮犪狋犻狅狀发布实施国家密码管理局发布书书书目次前言范围规范性引用文件术语和定义公钥密码应用技术体系框架概述密码设备服务层通用密码应用支撑层典型密码应用支撑层基础设施安全支撑平台框架内的系列规范框架内系列标准附录(规范性)接口命名附录(规范性)错误代码区间划分附录(资料性)框架中密码行业标准已转化为国家标准清单参考文献犌犕犜前言本文件按照标准化工作导则第部分:
标准化文件的结构和起草规则的规定起草。
请注意本文件的某些内容可能涉及专利。
本文件的发布机构不承担识别专利的责任。
本文件起草单位:
格尔软件股份有限公司、飞天诚信科技股份有限公司、北京信安世纪科技股份有限公司、长春吉大正元信息技术股份有限公司、上海交通大学、成都卫士通信息产业股份有限公司、北京数字认证股份有限公司、北京海泰方圆科技股份有限公司、北京国脉信安科技有限公司、北京握奇智能科技有限公司、国民技术股份有限公司、北京天融信网络安全技术有限公司、山东得安信息技术有限公司。
本文件主要起草人:
郑强、朱鹏飞、张庆勇、赵丽丽、李强、罗俊、傅大鹏、蒋红宇、药乐、张渊、付月朋、雷晓峰、马洪富。
犌犕犜公钥密码应用技术体系框架规范范围本文件规定了公钥密码应用技术体系框架,给出该框架内各组成部分及其逻辑关系。
本文件适用于公钥密码应用技术体系的建设及相关标准的制修订,并指导应用系统的密码应用。
规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。
其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
信息安全技术密码算法加密签名消息语法规范密码术语术语和定义界定的以及下列术语和定义适用于本文件。
属性管理系统犪狋狋狉犻犫狌狋犲犪狌狋犺狅狉犻狋狔狊狔狊狋犲犿用来产生、签发、发布、更新和撤销属性证书的管理系统。
访问控制犪犮犮犲狊狊犮狅狀狋狉狅犾按照特定策略,允许或拒绝用户对资源访问的一种机制。
证书认证系统犮犲狉狋犻犳犻犮犪狋犲犪狌狋犺犲狀狋犻犮犪狋犻狅狀狊狔狊狋犲犿对数字证书的签发、发布、更新、撤销等数字证书全生命周期进行管理的系统。
通用密码应用支撑犮狅犿犿狅狀犮狉狔狆狋狅犵狉犪狆犺狔犪狆狆犾犻犮犪狋犻狅狀狊狌狆狆狅狉狋向典型密码应用支撑和上层应用提供加解密、签名验签等通用密码功能。
密码设备犮狉狔狆狋狅犵狉犪狆犺狔犱犲狏犻犮犲包括密码机、密码卡和智能密码终端等设备。
身份鉴别犪狌狋犺犲狀狋犻犮犪狋犻狅狀确认一个实体所声称身份的过程。
典型密码应用支撑狋狔狆犻犮犪犾犮狉狔狆狋狅犵狉犪狆犺狔犪狆狆犾犻犮犪狋犻狅狀狊狌狆狆狅狉狋由电子证据、身份鉴别、电子签章、访问控制和时间戳等组成,为上层应用提供对应的密码应用支撑。
犌犕犜时间戳狋犻犿犲狊狋犪犿狆对时间和其他待签名数据进行签名得到的数据,用于表明数据的时间属性。
密码资源池犮狉狔狆狋狅犵狉犪狆犺狔狉犲狊狅狌狉犮犲狆狅狅犾一组密码物理资源或虚拟密码资源的集合,能够对密码资源进行实时监控、合理分配和负载均衡,具有可扩展性、高性能、低风险等特点。
注:
密码资源包括密码运算部件、密钥存储部件和随机数发生器等。
公钥密码应用技术体系框架概述公钥密码应用技术体系框架包括密码设备服务层、通用密码应用支撑层、典型密码应用支撑层和基础设施安全支撑平台,四部分有机结合组成公钥密码应用技术体系。
该体系通过密码设备服务层为通用密码应用支撑层提供服务,通用密码应用支撑层使用密码设备服务层提供的服务为应用系统提供应用支撑,也可以为典型密码应用支撑层提供服务。
典型密码应用支撑层直接为应用系统提供典型的密码应用支撑。
基础设施支撑平台为密码设备服务层、通用密码应用支撑层和典型密码应用支撑层提供相关的基础服务。
非云计算环境下,密码设备服务层通过密码设备向通用密码应用支撑层提供支撑,基础设施安全支撑平台通过密码设备管理对密码设备进行管理。
云计算环境下,密码设备服务层通过密码资源池向通用密码应用支撑层提供服务。
基础设施安全支撑平台通过密码资源管理对密码资源池进行管理,见图。
图公钥密码应用技术体系框架图犌犕犜密码设备服务层密码设备服务层由密码模块组成,密码模块包括密码机、密码卡和智能密码终端等设备或密码软件组成,通过密码设备服务接口向通用密码应用支撑层提供密钥管理、密码运算及设备管理等服务,并接受基础设施安全支撑平台的密码设备管理。
在云计算环境下,密码设备服务层由密码设备和密码资源池组成,物理密码设备虚拟化成为虚拟密码设备,按需分配给租户使用。
为了对虚拟的密码资源进行有效管理,基础设施安全支撑平台中需要密码资源管理器对密码设备服务层的密码资源进行创建、销毁、配置和漂移等管理。
通用密码应用支撑层通用密码服务功能主要包括负责完成与密码设备的安全连接;实现基于数字证书的身份认证,从证书中获取有关信息,实现授权管理、访问控制等安全机制;负责具体与密码设备交互实现具体的密码运算;将数据按照格式进行封装,数据封装格式与应用系统无关性,实现应用系统互联互通和信息共享。
通用密码应用支撑层通过通用密码应用支撑接口,为上层(典型密码应用支撑层和应用层)提供与具体密码设备无关的透明密码应用支撑,将上层的密码应用支撑请求转化为具体的基础密码操作请求,通过统一的密码设备应用接口调用相应密码设备实现具体的密码运算和密钥操作。
通用密码应用支撑包括证书解析、证书认证、信息的机密性、完整性、真实性和不可否认性等密码功能。
通用密码应用支撑层属于中间件,可以单独实现;也可以在保证密钥安全的前提下,采用虚拟化的方式实现。
典型密码应用支撑层典型密码应用支撑层由电子证据、身份鉴别、访问控制、时间戳和电子签章等服务组成,为应用层提供对应的应用支撑。
典型密码应用支撑层需要的密码功能通过调用通用密码应用支撑接口实现。
电子证据通过标准接口为应用层提供证据采集服务,提供可信证据,实现证据的存储、归档、查询和使用审计等管理功能。
身份鉴别通过标准接口为应用层提供身份查询、身份解析、身份验证等身份鉴别服务。
访问控制通过标准接口为应用层提供系统资源的访问控制,实现用户管理、资源管理、访问控制策略管理和用户授权等功能。
时间戳通过标准接口为应用层和典型密码服务层其他组成部分提供与时间戳系统无关的时间戳加盖、验证等时间认证服务。
电子签章通过标准接口为应用层和典型密码服务层其他组成部分提供电子签章生成与验证服务。
典型密码应用支撑层属于中间件,可以单独实现;也可以在保证密钥安全的前提下,采用虚拟化的方式实现密码设备功能。
基础设施安全支撑平台基础设施安全支撑平台由证书认证系统、属性管理系统、时间戳系统、密码设备管理和密码资源管理器等组成。
证书认证系统、属性管理系统和时间戳系统等基础设施安全支撑平台为应用技术体系提供证书管理、密钥管理和时间戳管理等基础服务。
密码设备管理向上层管理应用提供统一的设备管理应用接口,为实现远程密钥管理、设备维护、设备监控等上层管理应用提供设备管理功能,将上层管理应用的管理请求转换为标准的消息调用,通过安犌犕犜全通道实现管理应用与密码设备间的消息传递。
云计算环境下,基础设施安全支撑平台中的密码资源管理对密码资源进行统一管理,包括对密码资源的隔离、协同、整合和调配等。
框架内的系列规范框架内各部分间的逻辑关系见图。
图公钥密码应用技术体系框架逻辑图框架内系列标准本框架内的系列标准包括但不限于:
)密码设备():
智能密码钥匙密码应用接口数据格式规范技术规范技术规范智能密码钥匙技术规范密码模块安全技术要求签名验签服务器技术规范服务器密码机技术规范)密码设备服务层到通用密码应用支撑层():
智能密码钥匙密码应用接口规范密码设备应用接口规范犌犕犜接口规范中所涉及的接口命名和错误代码区间划分按照附录和附录进行。
)通用密码服务():
密码算法使用规范密码算法加密签名消息语法规范)通用密码应用支撑到上层():
通用密码服务接口规范证书应用综合服务接口规范)身份鉴别():
安全认证网关产品规范)电子签章():
安全电子签章密码技术规范)访问控制():
基于角色的授权管理与访问控制技术规范)时间戳系统到时间戳():
时间戳接口规范接口规范中所涉及的接口命名和错误代码区间划分按照附录和附录进行。
)时间戳到应用层():
时间戳接口规范接口规范中所涉及的接口命名和错误代码区间划分按照附录和附录进行。
)证书认证系统():
数字证书认证系统密码协议规范基于密码算法的数字证书格式规范基于密码算法的证书认证系统密码及其相关安全技术规范)密码设备管理到管理应用():
密码设备管理设备管理技术规范密码设备管理对称密钥管理技术规范密码设备管理设备监察管理规范)密码设备管理到密码设备服务层():
密码设备管理设备监察管理规范密码设备管理远程监控与合规性检验接口数据规范接口规范中所涉及的接口命名和错误代码区间划分按照附录和附录进行。
)时间戳()信息安全技术公钥基础设施时间戳规范)属性管理系统()信息枝术开放系统互连目录第部分:
公钥和属性证书框架以上密码行业标准中已有部分标准转化为国家标准,见附录。
犌犕犜附录犃(规范性)接口命名本框架内各规范的接口命名如下:
密码设备应用接口:
;通用密码服务接口:
;密码设备管理接口:
;证据采集与管理接口:
;身份鉴别接口:
;授权管理与访问控制接口:
;时间戳服务接口:
;智能密码钥匙接口:
;证书应用综合服务接口:
;电子签章服务接口:
。
犌犕犜附录犅(规范性)错误代码区间划分本框架内各规范接口分配的错误代码区间为:
密码设备应用接口:
;通用密码服务接口:
;密码设备管理接口:
;证据采集与管理接口:
;身份鉴别接口:
;授权管理与访问控制接口:
;时间戳服务接口:
;智能密码钥匙接口:
;证书应用综合服务接口:
;电子签章服务接口:
;保留将来使用接口:
。
犌犕犜附录犆(资料性)框架中密码行业标准已转化为国家标准清单框架中密码行业标准已转化为国家标准清单如下:
)技术规范对应国家标准信息安全技术技术规范;)密码模块安全要求对应国家标准信息安全技术密码模块安全要求;)智能密码钥匙密码应用接口规范对应国家标准信息安全技术智能密码钥匙应用接口规范;)密码算法使用规范对应国家标准信息安全技术密码算法使用规范;)密码算法加密签名消息语法规范对应国家标准信息安全技术密码算法加密签名消息语法规范;)基于密码算法的数字证书格式规范对应国家标准信息安全技术公钥基础设施数字证书格式;)基于密码算法的证书认证系统密码及其相关安全技术规范对应国家标准信息安全技术证书认证系统密码及其相关安全技术规范。
犌犕犜参考文献互联网公开密钥基础设施在线证书状态协议互联网公开密钥基础设施证书和轮廓:
()犌犕犜书书书犜犕犌中华人民共和国密码行业标准公钥密码应用技术体系框架规范中国标准出版社出版发行北京市朝阳区和平里西街甲号()北京市西城区三里河北街号()网址总编室:
()发行中心:
()读者服务部:
()中国标准出版社秦皇岛印刷厂印刷各地新华书店经销开本印张字数千字年月第一版年月第一次印刷书号:
定价元如有印装差错由本社发行中心调换版权专有侵权必究举报电话:
()
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- GM-T 0094-2020 公钥密码应用技术体系框架规范 GM 0094 2020 密码 应用技术 体系 框架 规范