标准搜索结果: 'GM/T 0094-2020'
标准编号 | GM/T 0094-2020 (GM/T0094-2020) | 中文名称 | 公钥密码应用技术体系框架规范 | 英文名称 | Public key cryptographic application technology framework specification | 行业 | Chinese Industry Standard (推荐) | 中标分类 | L80 | 字数估计 | 12,137 | 发布日期 | 2020-12-28 | 实施日期 | 2021-07-01 | 标准依据 | 国家密码管理局公告第41号 |
GM/T 0094-2020
(Framework specification of public key cryptography application technology system)
ICS 35.040
CCSL80
中华人民共和国密码行业标准
公钥密码应用技术体系框架规范
2020-12-28发布
2021-07-01实施
国家密码管理局 发 布
目次
前言 Ⅲ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 公钥密码应用技术体系框架 2
4.1 概述 2
4.2 密码设备服务层 3
4.3 通用密码应用支撑层 3
4.4 典型密码应用支撑层 3
4.5 基础设施安全支撑平台 3
4.6 框架内的系列规范 4
4.7 框架内系列标准 4
附录A(规范性) 接口命名 6
附录B(规范性) 错误代码区间划分 7
附录C(资料性) 框架中密码行业标准已转化为国家标准清单 8
参考文献 9
公钥密码应用技术体系框架规范
1 范围
本文件规定了公钥密码应用技术体系框架,给出该框架内各组成部分及其逻辑关系。
本文件适用于公钥密码应用技术体系的建设及相关标准的制修订,并指导应用系统的密码应用。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文
件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于
本文件。
GB/T 35275 信息安全技术 SM2密码算法加密签名消息语法规范
GM/Z4001 密码术语
3 术语和定义
GM/Z4001界定的以及下列术语和定义适用于本文件。
3.1
用来产生、签发、发布、更新和撤销属性证书的管理系统。
3.2
访问控制 accesscontrol
按照特定策略,允许或拒绝用户对资源访问的一种机制。
3.3
对数字证书的签发、发布、更新、撤销等数字证书全生命周期进行管理的系统。
3.4
向典型密码应用支撑和上层应用提供加解密、签名验签等通用密码功能。
3.5
密码设备 cryptographydevice
包括密码机、密码卡和智能密码终端等设备。
3.6
身份鉴别 authentication
确认一个实体所声称身份的过程。
3.7
由电子证据、身份鉴别、电子签章、访问控制和时间戳等组成,为上层应用提供对应的密码应用
支撑。
4.2 密码设备服务层
密码设备服务层由密码模块组成,密码模块包括密码机、密码卡和智能密码终端等设备或密码软件
组成,通过密码设备服务接口向通用密码应用支撑层提供密钥管理、密码运算及设备管理等服务,并接
受基础设施安全支撑平台的密码设备管理。
在云计算环境下,密码设备服务层由密码设备和密码资源池组成,物理密码设备虚拟化成为虚拟密
码设备,按需分配给租户使用。为了对虚拟的密码资源进行有效管理,基础设施安全支撑平台中需要密
码资源管理器对密码设备服务层的密码资源进行创建、销毁、配置和漂移等管理。
4.3 通用密码应用支撑层
通用密码服务功能主要包括负责完成与密码设备的安全连接;实现基于数字证书的身份认证,从证
书中获取有关信息,实现授权管理、访问控制等安全机制;负责具体与密码设备交互实现具体的密码运
算;将数据按照GB/T 35275格式进行封装,数据封装格式与应用系统无关性,实现应用系统互联互通
和信息共享。
通用密码应用支撑层通过通用密码应用支撑接口,为上层(典型密码应用支撑层和应用层)提供与
具体密码设备无关的透明密码应用支撑,将上层的密码应用支撑请求转化为具体的基础密码操作请求,
通过统一的密码设备应用接口调用相应密码设备实现具体的密码运算和密钥操作。
通用密码应用支撑包括证书解析、证书认证、信息的机密性、完整性、真实性和不可否认性等密码
功能。
通用密码应用支撑层属于中间件,可以单独实现;也可以在保证密钥安全的前提下,采用虚拟化的
方式实现。
4.4 典型密码应用支撑层
典型密码应用支撑层由电子证据、身份鉴别、访问控制、时间戳和电子签章等服务组成,为应用层提
供对应的应用支撑。典型密码应用支撑层需要的密码功能通过调用通用密码应用支撑接口实现。
电子证据通过标准接口为应用层提供证据采集服务,提供可信证据,实现证据的存储、归档、查询和
使用审计等管理功能。
身份鉴别通过标准接口为应用层提供身份查询、身份解析、身份验证等身份鉴别服务。
访问控制通过标准接口为应用层提供系统资源的访问控制,实现用户管理、资源管理、访问控制策
略管理和用户授权等功能。
时间戳通过标准接口为应用层和典型密码服务层其他组成部分提供与时间戳系统无关的时间戳加
盖、验证等时间认证服务。
电子签章通过标准接口为应用层和典型密码服务层其他组成部分提供电子签章生成与验证服务。
典型密码应用支撑层属于中间件,可以单独实现;也可以在保证密钥安全的前提下,采用虚拟化的
方式实现密码设备功能。
4.5 基础设施安全支撑平台
基础设施安全支撑平台由证书认证系统、属性管理系统、时间戳系统、密码设备管理和密码资源管
理器等组成。
证书认证系统、属性管理系统和时间戳系统等基础设施安全支撑平台为应用技术体系提供证书管
理、密钥管理和时间戳管理等基础服务。
密码设备管理向上层管理应用提供统一的设备管理应用接口,为实现远程密钥管理、设备维护、设
备监控等上层管理应用提供设备管理功能,将上层管理应用的管理请求转换为标准的消息调用,通过安
接口规范中所涉及的接口命名和错误代码区间划分按照附录A和附录B进行。
c) 通用密码服务(3):
GM/T 0009 SM2密码算法使用规范
GM/T 0010 SM2密码算法加密签名消息语法规范
d) 通用密码应用支撑到上层(4):
GM/T 0019 通用密码服务接口规范
GM/T 0020 证书应用综合服务接口规范
e) 身份鉴别(5):
GM/T 0026 安全认证网关产品规范
f) 电子签章(6):
GM/T 0031 安全电子签章密码技术规范
g) 访问控制(7):
GM/T 0032 基于角色的授权管理与访问控制技术规范
h) 时间戳系统到时间戳(8):
GM/T 0033 时间戳接口规范
接口规范中所涉及的接口命名和错误代码区间划分按照附录A和附录B进行。
i) 时间戳到应用层(9):
GM/T 0033 时间戳接口规范
接口规范中所涉及的接口命名和错误代码区间划分按照附录A和附录B进行。
j) 证书认证系统(10):
GM/T 0014 数字证书认证系统密码协议规范
GM/T 0015 基于SM2密码算法的数字证书格式规范
GM/T 0034 基于SM2密码算法的证书认证系统密码及其相关安全技术规范
k) 密码设备管理到管理应用(11):
GM/T 0050 密码设备管理 设备管理技术规范
GMT0051 密码设备管理 对称密钥管理技术规范
GM/T 0052 密码设备管理 VPN设备监察管理规范
l) 密码设备管理到密码设备服务层(12):
GM/T 0052 密码设备管理 VPN设备监察管理规范
GM/T 0053 ......
|