GM/T 0085-2020 基于SM9标识密码算法的技术体系框架在线下载,免费下载

犐犆犛３５．０４０犆犆犛犔８０中华人民共和国密码行业标准犌犕／犜００８５—２０２０基于犛犕９标识密码算法的技术体系框架犐犱犲狀狋犻狋狔犫犪狊犲犱犮狉狔狆狋狅犵狉犪狆犺犻犮犪犾犵狅狉犻狋犺犿犛犕９犫犪狊犲犱狅狀狋犲犮犺狀狅犾狅犵狔狊狔狊狋犲犿犳狉犪犿犲狑狅狉犽２０２０１２２８发布２０２１０７０１实施国家密码管理局发布犌犕／犜００８５—２０２０目　　次前言 ………………………………………………………………………………………………………… Ⅲ 引言 ………………………………………………………………………………………………………… Ⅳ １　范围 ……………………………………………………………………………………………………… １２　规范性引用文件 ………………………………………………………………………………………… １３　术语和定义 ……………………………………………………………………………………………… １４　缩略语 …………………………………………………………………………………………………… １５　基本特征 ………………………………………………………………………………………………… １６　ＩＢＣ技术体系框架 ……………………………………………………………………………………… ２７　密钥管理系统框架 ……………………………………………………………………………………… ３　７．１　密钥管理系统关系结构 …………………………………………………………………………… ３　７．２　上级标识密钥管理系统 …………………………………………………………………………… ３　７．３　下级应用密钥管理系统 …………………………………………………………………………… ４８　ＩＢＣ技术标准 …………………………………………………………………………………………… ４　８．１　分类概述 …………………………………………………………………………………………… ４　８．２　基础类 ……………………………………………………………………………………………… ４　８．３　应用类 ……………………………………………………………………………………………… ７ Ⅰ 犌犕／犜００８５—２０２０前　　言　　本文件按照ＧＢ／Ｔ１．１—２０２０《标准化工作导则　第１部分：标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由密码行业标准化技术委员会提出并归口。本文件起草单位：上海信息安全工程技术研究中心、北京国脉信安科技有限公司、西安工业大学、长春吉大正元信息技术股份有限公司、上海格尔软件股份有限公司、中国科学院自动化研究所苏州研究院、北京海泰方圆科技有限公司、航天信息股份有限公司、深圳奥联信息安全技术有限公司。本文件主要起草人：袁峰、王晓春、封维端、张立圆、郭保安、容晓峰、赵丽丽、郑强、汪雪林、蒋红宇、蔡先勇、张庆盛、唐静、袁文恭。 Ⅲ 犌犕／犜００８５—２０２０引　　言　　基于标识的密码技术（ＩｄｅｎｔｉｔｙＢａｓｅｄＣｒｙｐｔｏｇｒａｐｈｙ，ＩＢＣ）是一种公钥密码技术，利用椭圆曲线双线性对理论，由用户的标识和一组公开的数学参数计算出用户的公钥，相应的用户私钥则由用户标识、一组公开的数学参数和一个域范围内的秘密值（系统私钥等参数）计算出来。ＩＢＣ公钥能被任一个具有相应算法和公开参数的实体计算出来，实现用户身份与密钥对直接绑定的密码技术。该密码技术可实现公钥密码的基本功能包括：数字签名与验证、数据加密与解密、密钥协商、密钥封装与传送等。在ＩＢＣ技术体系中，用户的私钥通常不在自身管理的密码设备中产生，而是由密钥管理基础设施ＫＭＳ统一产生并下载给用户。用户的公钥可依据用户标识和规范算法及参数实时生成。本文件的目标是为基于ＳＭ９标识密码算法的ＩＢＣ技术提供技术应用框架、密钥管理基础设施建设框架和标准体系研制框架。本文件仅从理论研究和技术应用的角度描述了相关内容，不涉及具体的管理和标准内容编制细节。 Ⅳ 犌犕／犜００８５—２０２０基于犛犕９标识密码算法的技术体系框架１　范围本文件描述了基于ＳＭ９标识密码算法的ＩＢＣ技术应用框架、标识密码密钥管理系统的框架以及基于ＳＭ９标识密码算法应用所涉及的标准规范。本文件适用于基于ＳＭ９标识密码算法的应用体系建设、产品和系统研制、标识密码密钥管理系统建设管理和相关标准研制、查询提供参考。２　规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。ＧＭ／Ｔ００４４．１　ＳＭ９标识密码算法　第１部分：总则ＧＭ／Ｔ００４４．２　ＳＭ９标识密码算法　第２部分：数字签名算法ＧＭ／Ｔ００４４．３　ＳＭ９标识密码算法　第３部分：密钥交换协议ＧＭ／Ｔ００４４．４　ＳＭ９标识密码算法　第４部分：密钥封装机制和公钥加密算法ＧＭ／Ｔ００８６　基于ＳＭ９标识密码算法的密钥管理系统技术规范ＧＭ／Ｚ４００１　密码术语３　术语和定义ＧＭ／Ｔ００４４．１～ＧＭ／Ｔ００４４．４和ＧＭ／Ｚ４００１界定的以及下列术语适用于本文件。３．１　基于标识的密码　犻犱犲狀狋犻狋狔犫犪狊犲犱犮狉狔狆狋狅犵狉犪狆犺狔；犐犅犆在指定应用范围内基于用户／实体唯一性身份标识和系统主密钥而生成用户密钥的密码机制。３．２公开参数服务　狆狌犫犾犻犮狆犪狉犪犿犲狋犲狉狊犲狉狏犻犮犲；犘犘犛为ＩＢＣ系统的用户提供包括密码算法参数、系统策略和用户标识变化等相关公开信息的服务。４　缩略语下列缩略语适用于本文件。ＫＭＳ：标识密钥管理系统（ＫｅｙＭａｎａｇｅｍｅｎｔＳｅｒｖｅｒ）ＰＰＳ：公共参数服务器（ＰｕｂｌｉｃＰａｒａｍｅｔｅｒＳｅｒｖｅｒ）５　基本特征ＩＢＣ是一种公钥密码技术，它能由用户／实体（以下统称用户）的标识和一组公开的数学参数计算出１犌犕／犜００８５—２０２０用户的公钥，相应的用户私钥则由用户标识、一组公开的数学参数和一个域范围内的秘密值（系统私钥）等参数计算出来。本文件采用ＧＭ／Ｔ００４４．１～ＧＭ／Ｔ００４４．４标识密码算法。可支持数字签名与验证、数据加密与解密、密钥协商、密钥封装与传送等密码运算，可实现公钥密码的基本功能。６　犐犅犆技术体系框架ＩＢＣ技术体系框架主要有以下方面的内容：密码基础技术，密码设备服务、通用密码服务、典型密码服务，基础设施支撑这三个部分的有机结合。该体系以密码基础技术为依托，利用密码设备提供密码运算服务，以标准接口形式为应用提供统一的身份鉴别、数据加解密、数据签名验签等服务。其中典型和通用密码服务依靠基础设施支撑平台的密钥管理基础设施、时间戳系统获取密钥生成、系统参数和时间管理等基础服务。见图１。图１　犐犅犆技术体系框架ＩＢＣ技术体系框架中的三部分定义：密码基础技术中的密码算法实现、应用理论是整个架构基础，为ＩＢＣ技术提供标准密码算法、算法应用所需的各种协议、基础编码格式、基本标识定义等底层支撑。该部分能够直接服务其他各个部分。基础设施支撑部分是ＩＢＣ技术信任源点，为ＩＢＣ技术应用提供私钥生成服务、ＩＢＣ系统参数和标识状态发布服务、可信时间服务等。该部分依靠技术基础部分的理论、密码设备部分和接口部分的计算支持完成信任源点的功能服务，并用于支撑ＩＢＣ技术的各种应用。密码设备服务由密码机、密码卡、智能密码终端等设备组成，通过标准的密码设备应用接口向通用密码服务层提供基础密码服务。主要功能包括密钥生成、密码运算等服务。密码设备通过统一的设备管理接口来接受通用密码服务层的密码设备管理。密码设备应具备密钥加载、存储、更新、备份和恢复等功能并保障密钥在密码设备中的安全。通用密码服务由通用密码服务和密码设备管理服务组成，为上层应用提供与底层具体密码设备透明的密码服务和设备管理服务。通用密码服务通过统一的密码服务接口向典型密码服务层和应用层提供标识认证、信息的机密性、２犌犕／犜００８５—２０２０完整性和不可否认性等通用密码服务，将上层的密码服务请求转化为具体的基础密码操作请求，通过统一的密码设备应用接口调用相应密码设备实现具体的密码运算和密钥操作。密码设备管理向上层管理应用提供统一的设备管理应用接口，为实现远程密钥管理、设备维护、设备监控等上层管理应用提供设备管理功能，将上层管理应用的管理请求转换为标准的消息调用，通过安全通道实现管理应用与密码设备间的消息传递。典型密码服务由身份鉴别、单点登录、访问控制、时间戳和电子签章等服务组成，为上层应用提供对应的密码服务。典型密码服务层使用的密码功能通过调用通用密码服务实现。身份鉴别通过标准接口为上层应用提供身份查询、身份解析、身份验证等身份鉴别服务。单点登录通过标准接口为上层应用提供登录凭据的产生、获取、验证等服务，在相互间存在信任关系的应用系统之间实现单点登录和单点注销。访问控制通过标准接口为上层应用提供系统资源的访问控制，实现用户管理、资源管理、访问控制策略管理和用户授权等功能。时间戳通过标准接口为上层应用和典型密码服务层其他组成部分提供与时间戳系统无关的时间戳加盖、验证等时间认证服务。电子签章通过标准接口为上层应用和典型密码服务层其他组成部分提供电子签章生成与验证服务。７　密钥管理系统框架７．１　密钥管理系统关系结构有层次的密钥管理系统（ＫＭＳ）结构可分为两级，第一级是上级ＫＭＳ，第二级是应用（即下级）ＫＭＳ，形成扁平化结构。独立部署的ＫＭＳ自己即为根同时直接作为应用ＫＭＳ。见图２。图２　密钥基础设施关系架构图密钥管理系统技术规范见ＧＭ／Ｔ００８６。分发方式是指下级ＫＭＳ通过下列流程向其上级ＫＭＳ申请产生主密钥对并签名。报备方式是指下级ＫＭＳ产生一对主密钥，并通