犐犆犛35.040 犆犆犛犔80 中华人民共和国密码行业标准 犌犕/犜0085—2020 基于 犛犕9 标识密码算法的技术体系框架 犐犱犲狀狋犻狋狔犫犪狊犲犱犮狉狔狆狋狅犵狉犪狆犺犻犮犪犾犵狅狉犻狋犺犿犛犕9犫犪狊犲犱狅狀 狋犲犮犺狀狅犾狅犵狔狊狔狊狋犲犿犳狉犪犿犲狑狅狉犽 20201228 发布 20210701 实施 国家密码管理局 发 布 犌犕/犜0085—2020 目 次 前言 ………………………………………………………………………………………………………… Ⅲ 引言 ………………………………………………………………………………………………………… Ⅳ 1 范围 ……………………………………………………………………………………………………… 1 2 规范性引用文件 ………………………………………………………………………………………… 1 3 术语和定义 ……………………………………………………………………………………………… 1 4 缩略语 …………………………………………………………………………………………………… 1 5 基本特征 ………………………………………………………………………………………………… 1 6 IBC 技术体系框架 ……………………………………………………………………………………… 2 7 密钥管理系统框架 ……………………………………………………………………………………… 3 7.1 密钥管理系统关系结构 …………………………………………………………………………… 3 7.2 上级标识密钥管理系统 …………………………………………………………………………… 3 7.3 下级应用密钥管理系统 …………………………………………………………………………… 4 8 IBC 技术标准 …………………………………………………………………………………………… 4 8.1 分类概述 …………………………………………………………………………………………… 4 8.2 基础类 ……………………………………………………………………………………………… 4 8.3 应用类 ……………………………………………………………………………………………… 7 Ⅰ 犌犕/犜0085—2020 前 言 本文件按照 GB/T1.1—2020《标准化工作导则 第 1 部分 :标准化文件的结构和起草规则》的规定 起草 。 请注意本文件的某些内容可能涉及专利 。 本文件的发布机构不承担识别专利的责任 。 本文件由密码行业标准化技术委员会提出并归口 。 本文件起草单位 :上海信息安全工程技术研究中心 、北京国脉信安科技有限公司 、西安工业大学 、 长春吉大正元信息技术股份有限公司 、上海格尔软件股份有限公司 、中国科学院自动化研究所苏州研究 院 、北京海泰方圆科技有限公司 、航天信息股份有限公司 、深圳奥联信息安全技术有限公司 。 本文件主要起草人 :袁峰 、王晓春 、封维端 、张立圆 、郭保安 、容晓峰 、赵丽丽 、郑强 、汪雪林 、蒋红宇 、 蔡先勇 、张庆盛 、唐静 、袁文恭 。 Ⅲ 犌犕/犜0085—2020 引 言 基于标识的密码技术(IdentityBasedCryptography,IBC)是一种公钥密码技术 ,利用椭圆曲线双线 性对理论 ,由用户的标识和一组公开的数学参数计算出用户的公钥 ,相应的用户私钥则由用户标识 、一 组公开的数学参数和一个域范围内的秘密值(系统私钥等参数)计算出来 。IBC 公钥能被任一个具有相 应算法和公开参数的实体计算出来 ,实现用户身份与密钥对直接绑定的密码技术 。 该密码技术可实现公钥密码的基本功能包括 :数字签名与验证 、数据加密与解密 、密钥协商 、密钥封 装与传送等 。 在IBC 技术体系中 ,用户的私钥通常不在自身管理的密码设备中产生 ,而是由密钥管理 基础设施 KMS 统一产生并下载给用户 。 用户的公钥可依据用户标识和规范算法及参数实时生成 。 本文件的目标是为基于 SM9 标识密码算法的IBC 技术提供技术应用框架 、密钥管理基础设施建设 框架和标准体系研制框架 。 本文件仅从理论研究和技术应用的角度描述了相关内容 ,不涉及具体的管理和标准内容编制细节 。 Ⅳ 犌犕/犜0085—2020 基于 犛犕9标识密码算法的技术体系框架 1 范围 本文件描述了基于 SM9 标识密码算法的IBC 技术应用框架 、标识密码密钥管理系统的框架以及基 于 SM9 标识密码算法应用所涉及的标准规范 。 本文件适用于基于 SM9 标识密码算法的应用体系建设 、产品和系统研制 、标识密码密钥管理系统 建设管理和相关标准研制 、查询提供参考 。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款 。 其中 ,注日期的引用文 件 ,仅该日期对应的版本适用于本文件 ;不注日期的引用文件 ,其最新版本 (包括所有的修改单 )适用于 本文件 。 GM/T0044.1 SM9 标识密码算法 第 1 部分 :总则 GM/T0044.2 SM9 标识密码算法 第 2 部分 :数字签名算法 GM/T0044.3 SM9 标识密码算法 第 3 部分 :密钥交换协议 GM/T0044.4 SM9 标识密码算法 第 4 部分 :密钥封装机制和公钥加密算法 GM/T0086 基于 SM9 标识密码算法的密钥管理系统技术规范 GM/Z4001 密码术语 3 术语和定义 GM/T0044.1~GM/T0044.4 和 GM/Z4001 界定的以及下列术语适用于本文件 。 3.1 基于标识的密码 犻犱犲狀狋犻狋狔犫犪狊犲犱犮狉狔狆狋狅犵狉犪狆犺狔;犐犅犆 在指定应用范围内基于用户/实体唯一性身份标识和系统主密钥而生成用户密钥的密码机制 。 3.2 公开参数服务 狆狌犫犾犻犮狆犪狉犪犿犲狋犲狉狊犲狉狏犻犮犲;犘犘犛 为IBC 系统的用户提供包括密码算法参数 、系统策略和用户标识变化等相关公开信息的服务 。 4 缩略语 下列缩略语适用于本文件 。 KMS:标识密钥管理系统(Key ManagementServer) PPS:公共参数服务器(PublicParameterServer) 5 基本特征 IBC 是一种公钥密码技术 ,它能由用户/实体(以下统称用户)的标识和一组公开的数学参数计算出 1 犌犕/犜0085—2020 用户的公钥 ,相应的用户私钥则由用户标识 、一组公开的数学参数和一个域范围内的秘密值(系统私钥) 等参数计算出来 。 本文件采用 GM/T0044.1~GM/T0044.4 标识密码算法 。 可支持数字签名与验证 、数据加密与解 密 、密钥协商 、密钥封装与传送等密码运算 ,可实现公钥密码的基本功能 。 6 犐犅犆 技术体系框架 IBC 技术体系框架主要有以下方面的内容 :密码基础技术 ,密码设备服务 、通用密码服务 、典型密码 服务 ,基础设施支撑这三个部分的有机结合 。 该体系以密码基础技术为依托 ,利用密码设备提供密码运 算服务 ,以标准接口形式为应用提供统一的身份鉴别 、数据加解密 、数据签名验签等服务 。 其中典型和 通用密码服务依靠基础设施支撑平台的密钥管理基础设施 、时间戳系统获取密钥生成 、系统参数和时间 管理等基础服务 。 见图 1。 图 1 犐犅犆 技术体系框架 IBC 技术体系框架中的三部分定义 : 密码基础技术中的密码算法实现 、应用理论是整个架构基础 ,为IBC 技术提供标准密码算法 、算法 应用所需的各种协议 、基础编码格式 、基本标识定义等底层支撑 。 该部分能够直接服务其他各个部分 。 基础设施支撑部分是IBC 技术信任源点 ,为 IBC 技术应用提供私钥生成服务 、IBC 系统参数和标 识状态发布服务 、可信时间服务等 。 该部分依靠技术基础部分的理论 、密码设备部分和接口部分的计算 支持完成信任源点的功能服务 ,并用于支撑IBC 技术的各种应用 。 密码设备服务由密码机 、密码卡 、智能密码终端等设备组成 ,通过标准的密码设备应用接口向通用 密码服务层提供基础密码服务 。 主要功能包括密钥生成 、密码运算等服务 。 密码设备通过统一的设备管理接口来接受通用密码服务层的密码设备管理 。 密码设备应具备密钥加载 、存储 、更新 、备份和恢复等功能并保障密钥在密码设备中的安全 。 通用密码服务由通用密码服务和密码设备管理服务组成 ,为上层应用提供与底层具体密码设备透 明的密码服务和设备管理服务 。 通用密码服务通过统一的密码服务接口向典型密码服务层和应用层提供标识认证 、信息的机密性 、 2 犌犕/犜0085—2020 完整性和不可否认性等通用密码服务 ,将上层的密码服务请求转化为具体的基础密码操作请求 ,通过统 一的密码设备应用接口调用相应密码设备实现具体的密码运算和密钥操作 。 密码设备管理向上层管理应用提供统一的设备管理应用接口 ,为实现远程密钥管理 、设备维护 、设 备监控等上层管理应用提供设备管理功能 ,将上层管理应用的管理请求转换为标准的消息调用 ,通过安 全通道实现管理应用与密码设备间的消息传递 。 典型密码服务由身份鉴别 、单点登录 、访问控制 、时间戳和电子签章等服务组成 ,为上层应用提供对 应的密码服务 。 典型密码服务层使用的密码功能通过调用通用密码服务实现 。 身份鉴别通过标准接口为上层应用提供身份查询 、身份解析 、身份验证等身份鉴别服务 。 单点登录通过标准接口为上层应用提供登录凭据的产生 、获取 、验证等服务 ,在相互间存在信任关 系的应用系统之间实现单点登录和单点注销 。 访问控制通过标准接口为上层应用提供系统资源的访问控制 ,实现用户管理 、资源管理 、访问控制 策略管理和用户授权等功能 。 时间戳通过标准接口为上层应用和典型密码服务层其他组成部分提供与时间戳系统无关的时间戳 加盖 、验证等时间认证服务 。 电子签章通过标准接口为上层应用和典型密码服务层其他组成部分提供电子签章生成与验证 服务 。 7 密钥管理系统框架 7.1 密钥管理系统关系结构 有层次的密钥管理系统 (KMS)结构可分为两级 ,第一级是上级 KMS,第二级是应用 (即下级 ) KMS,形成扁平化结构 。 独立部署的 KMS 自己即为根同时直接作为应用 KMS。 见图 2。 图 2 密钥基础设施关系架构图 密钥管理系统技术规范见 GM/T0086。 分发方式是指下级 KMS 通过下列流程向其上级 KMS 申请产生主密钥对并签名 。 报备方式是指下级 KMS 产生一对主密钥 ,并通
GM/T 0085-2020 基于SM9标识密码算法的技术体系框架
文档预览
中文文档
16 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
温馨提示:本文档共16页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
本文档由 路人甲 于 2022-05-14 08:55:44上传分享