GM/T 0094-2020 公钥密码应用技术体系框架规范在线下载,免费下载

犐犆犛３５．０４０犆犆犛犔８０中华人民共和国密码行业标准犌犕／犜００９４—２０２０公钥密码应用技术体系框架规范犘狌犫犾犻犮犽犲狔犮狉狔狆狋狅犵狉犪狆犺犻犮犪狆狆犾犻犮犪狋犻狅狀狋犲犮犺狀狅犾狅犵狔犳狉犪犿犲狑狅狉犽狊狆犲犮犻犳犻犮犪狋犻狅狀２０２０１２２８发布２０２１０７０１实施国家密码管理局发布犌犕／犜００９４—２０２０目　　次前言 ………………………………………………………………………………………………………… Ⅲ １　范围 ……………………………………………………………………………………………………… １２　规范性引用文件 ………………………………………………………………………………………… １３　术语和定义 ……………………………………………………………………………………………… １４　公钥密码应用技术体系框架 …………………………………………………………………………… ２　４．１　概述 ………………………………………………………………………………………………… ２　４．２　密码设备服务层 …………………………………………………………………………………… ３　４．３　通用密码应用支撑层 ……………………………………………………………………………… ３　４．４　典型密码应用支撑层 ……………………………………………………………………………… ３　４．５　基础设施安全支撑平台 …………………………………………………………………………… ３　４．６　框架内的系列规范 ………………………………………………………………………………… ４　４．７　框架内系列标准 …………………………………………………………………………………… ４附录Ａ（规范性）　接口命名 ……………………………………………………………………………… ６附录Ｂ（规范性）　错误代码区间划分 …………………………………………………………………… ７附录Ｃ（资料性）　框架中密码行业标准已转化为国家标准清单 ……………………………………… ８参考文献 ……………………………………………………………………………………………………… ９ Ⅰ 犌犕／犜００９４—２０２０前　　言　　本文件按照ＧＢ／Ｔ１．１—２０２０《标准化工作导则　第１部分：标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件起草单位：格尔软件股份有限公司、飞天诚信科技股份有限公司、北京信安世纪科技股份有限公司、长春吉大正元信息技术股份有限公司、上海交通大学、成都卫士通信息产业股份有限公司、北京数字认证股份有限公司、北京海泰方圆科技股份有限公司、北京国脉信安科技有限公司、北京握奇智能科技有限公司、国民技术股份有限公司、北京天融信网络安全技术有限公司、山东得安信息技术有限公司。本文件主要起草人：郑强、朱鹏飞、张庆勇、赵丽丽、李强、罗俊、傅大鹏、蒋红宇、药乐、张渊、付月朋、雷晓峰、马洪富。 Ⅲ 犌犕／犜００９４—２０２０公钥密码应用技术体系框架规范１　范围本文件规定了公钥密码应用技术体系框架，给出该框架内各组成部分及其逻辑关系。本文件适用于公钥密码应用技术体系的建设及相关标准的制修订，并指导应用系统的密码应用。２　规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。ＧＢ／Ｔ３５２７５　信息安全技术　ＳＭ２密码算法加密签名消息语法规范ＧＭ／Ｚ４００１　密码术语３　术语和定义ＧＭ／Ｚ４００１界定的以及下列术语和定义适用于本文件。３．１属性管理系统　犪狋狋狉犻犫狌狋犲犪狌狋犺狅狉犻狋狔狊狔狊狋犲犿用来产生、签发、发布、更新和撤销属性证书的管理系统。３．２访问控制　犪犮犮犲狊狊犮狅狀狋狉狅犾按照特定策略，允许或拒绝用户对资源访问的一种机制。３．３证书认证系统　犮犲狉狋犻犳犻犮犪狋犲犪狌狋犺犲狀狋犻犮犪狋犻狅狀狊狔狊狋犲犿对数字证书的签发、发布、更新、撤销等数字证书全生命周期进行管理的系统。３．４通用密码应用支撑　犮狅犿犿狅狀犮狉狔狆狋狅犵狉犪狆犺狔犪狆狆犾犻犮犪狋犻狅狀狊狌狆狆狅狉狋向典型密码应用支撑和上层应用提供加解密、签名验签等通用密码功能。３．５密码设备　犮狉狔狆狋狅犵狉犪狆犺狔犱犲狏犻犮犲包括密码机、密码卡和智能密码终端等设备。３．６身份鉴别　犪狌狋犺犲狀狋犻犮犪狋犻狅狀确认一个实体所声称身份的过程。３．７典型密码应用支撑　狋狔狆犻犮犪犾犮狉狔狆狋狅犵狉犪狆犺狔犪狆狆犾犻犮犪狋犻狅狀狊狌狆狆狅狉狋由电子证据、身份鉴别、电子签章、访问控制和时间戳等组成，为上层应用提供对应的密码应用支撑。１犌犕／犜００９４—２０２０３．８时间戳　狋犻犿犲狊狋犪犿狆对时间和其他待签名数据进行签名得到的数据，用于表明数据的时间属性。３．９密码资源池　犮狉狔狆狋狅犵狉犪狆犺狔狉犲狊狅狌狉犮犲狆狅狅犾一组密码物理资源或虚拟密码资源的集合，能够对密码资源进行实时监控、合理分配和负载均衡，具有可扩展性、高性能、低风险等特点。　　注：密码资源包括密码运算部件、密钥存储部件和随机数发生器等。４　公钥密码应用技术体系框架４．１　概述公钥密码应用技术体系框架包括密码设备服务层、通用密码应用支撑层、典型密码应用支撑层和基础设施安全支撑平台，四部分有机结合组成公钥密码应用技术体系。该体系通过密码设备服务层为通用密码应用支撑层提供服务，通用密码应用支撑层使用密码设备服务层提供的服务为应用系统提供应用支撑，也可以为典型密码应用支撑层提供服务。典型密码应用支撑层直接为应用系统提供典型的密码应用支撑。基础设施支撑平台为密码设备服务层、通用密码应用支撑层和典型密码应用支撑层提供相关的基础服务。非云计算环境下，密码设备服务层通过密码设备向通用密码应用支撑层提供支撑，基础设施安全支撑平台通过密码设备管理对密码设备进行管理。云计算环境下，密码设备服务层通过密码资源池向通用密码应用支撑层提供服务。基础设施安全支撑平台通过密码资源管理对密码资源池进行管理，见图１。图１　公钥密码应用技术体系框架图２犌犕／犜００９４—２０２０４．２　密码设备服务层密码设备服务层由密码模块组成，密码模块包括密码机、密码卡和智能密码终端等设备或密码软件组成，通过密码设备服务接口向通用密码应用支撑层提供密钥管理、密码运算及设备管理等服务，并接受基础设施安全支撑平台的密码设备管理。在云计算环境下，密码设备服务层由密码设备和密码资源池组成，物理密码设备虚拟化成为虚拟密码设备，按需分配给租户使用。为了对虚拟的密码资源进行有效管理，基础设施安全支撑平台中需要密码资源管理器对密码设备服务层的密码资源进行创建、销毁、配置和漂移等管理。４．３　通用密码应用支撑层通用密码服务功能主要包括负责完成与密码设备的安全连接；实现基于数字证书的身份认证，从证书中获取有关信息，实现授权管理、访问控制等安全机制；负责具体与密码设备交互实现具体的密码运算；将数据按照ＧＢ／Ｔ３５２７５格式进行封装，数据封装格式与应用系统无关性，实现应用系统互联互通和信息共享。通用密码应用支撑层通过通用密码应用支撑接口，为上层（典型密码应用支撑层和应用层）提供与具体密码设备无关的透明密码应用支撑，将上层的密码应用支撑请求转化为具体的基础密码操作请求，通过统一的密码设备应用接口调用相应密码设备实现具体的密码运算和密钥操作。通用密码应用支撑包括证书解析、证书认证、信息的机密性、完整性、真实性和不可否认性等密码功能。通用密码应用支撑层属于中间件，可以单独实现；也可以在保证密钥安全的前提下，采用虚拟化的方式实现。４．４　典型密码应用支撑层典型密码应用支撑层由电子证据、身份鉴别、访问控制、时间戳和电子签章等服务组成，为应用层提供对应的应用支撑。典型密码应用支撑层需要的密码功能通过调用通用密码应用支撑接口实现。电子证据通过标准接口为应用层提供证据采集服务，提供可信证据，实现证据的存储、归档、查询和使用审计等管理功能。身份鉴别通过标准接口为应用层提供身份查询、身份解析、身份验证等身份鉴别服务。访问控制通过标准接口为应用层提供系统资源的访问控制，实现用户管理、资源管理、访问控制策略管理和用户授权等功能。时间戳通过标准接口为应用层和典型密码服务层其他组成部分提供与时间戳系统无关的时间戳加盖、验证等时间认证服务。电子签章通过标准接口为应用层和典型密码服务层其他组成部分提供电子签章生成与验证服务。典型密码应用支撑层属于中间件，可以单独实现；也可以在保证密钥安全的前提下，采用虚拟化的方式实现密码设备功能。４．５　基础设施安全支撑平台基础设施安全支撑平台由证书认证系统、属性管理系统、时间戳系统、密码设备管理和密码资源管理器等组成。证书认证系统、属性管理系统和时间戳系统等基础设施安全支撑平台为应用技术体系提供证书管理、密钥管理和时间戳管理等基础服务。密码设备管理向上层管理应用提供统一的设备管理应用接口，为实现远程密钥管理、设备维护、设备监控等上层管理应用提供设备管理功能，将上层管理应用的管理请求转换为标准的消息调用，通过安３犌犕／犜００９４—２０２０全通道实现管理应用与密码设备间的消息传递。云计算环境下，基础设施安全支撑平台中的密码资源管理对密码资源进行统一管理，包括对密码资源的隔离、协同、整合和调配等。４．６　框架内的系列规范框架内各部分间的逻辑关系见图２。图２　公钥密码应用技术体系框架逻辑图４．７　框架内系列标准本框架内的系列标准包括但不限于：ａ）　密码设备（１）：ＧＭ／Ｔ００１７　智能密码钥匙密码应用接口数据格式规范ＧＭ／Ｔ００２２　ＩＰＳｅｃＶＰＮ技术规范ＧＭ／Ｔ００２４　ＳＳＬＶＰＮ技术规范ＧＭ／Ｔ００２７　