搜索结果: GM/T 0085-2020, GM/T0085-2020, GMT 0085-2020, GMT0085-2020
| 标准编号 | GM/T 0085-2020 (GM/T0085-2020) | | 中文名称 | 基于SM9标识密码算法的技术体系框架 | | 英文名称 | Identity-based cryptographic algorithm SM9 based on technology system framework | | 行业 | Chinese Industry Standard (推荐) | | 中标分类 | L80 | | 字数估计 | 12,196 | | 发布日期 | 2020-12-28 | | 实施日期 | 2021-07-01 | | 标准依据 | 国家密码管理局公告第41号 | | 发布机构 | 国家密码管理局 | GM/T 0085-2020: 基于SM9标识密码算法的技术体系框架
GM/T 0085-2020 英文名称: Identity-based cryptographic algorithm SM9 based on technology system framework
中华人民共和国密码行业标准
基于SM9标识密码算法的技术体系框架
国家密码管理局 发 布
1 范围
本文件描述了基于SM9标识密码算法的IBC技术应用框架、标识密码密钥管理系统的框架以及基
于SM9标识密码算法应用所涉及的标准规范。
本文件适用于基于SM9标识密码算法的应用体系建设、产品和系统研制、标识密码密钥管理系统
建设管理和相关标准研制、查询提供参考。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文
件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于
本文件。
3 术语和定义
GM/T 0044.1~GM/T 0044.4和GM/Z4001界定的以及下列术语适用于本文件。
5 基本特征
IBC是一种公钥密码技术,它能由用户/实体(以下统称用户)的标识和一组公开的数学参数计算出
用户的公钥,相应的用户私钥则由用户标识、一组公开的数学参数和一个域范围内的秘密值(系统私钥)
等参数计算出来。
本文件采用GM/T 0044.1~GM/T 0044.4标识密码算法。可支持数字签名与验证、数据加密与解
密、密钥协商、密钥封装与传送等密码运算,可实现公钥密码的基本功能。
6 IBC技术体系框架
IBC技术体系框架主要有以下方面的内容:密码基础技术,密码设备服务、通用密码服务、典型密码
服务,基础设施支撑这三个部分的有机结合。该体系以密码基础技术为依托,利用密码设备提供密码运
算服务,以标准接口形式为应用提供统一的身份鉴别、数据加解密、数据签名验签等服务。其中典型和
通用密码服务依靠基础设施支撑平台的密钥管理基础设施、时间戳系统获取密钥生成、系统参数和时间
管理等基础服务。见图1。
IBC技术体系框架中的三部分定义:
密码基础技术中的密码算法实现、应用理论是整个架构基础,为IBC技术提供标准密码算法、算法
应用所需的各种协议、基础编码格式、基本标识定义等底层支撑。该部分能够直接服务其他各个部分。
基础设施支撑部分是IBC技术信任源点,为IBC技术应用提供私钥生成服务、IBC系统参数和标
识状态发布服务、可信时间服务等。该部分依靠技术基础部分的理论、密码设备部分和接口部分的计算
支持完成信任源点的功能服务,并用于支撑IBC技术的各种应用。
密码设备服务由密码机、密码卡、智能密码终端等设备组成,通过标准的密码设备应用接口向通用
密码服务层提供基础密码服务。
主要功能包括密钥生成、密码运算等服务。
密码设备通过统一的设备管理接口来接受通用密码服务层的密码设备管理。
密码设备应具备密钥加载、存储、更新、备份和恢复等功能并保障密钥在密码设备中的安全。
通用密码服务由通用密码服务和密码设备管理服务组成,为上层应用提供与底层具体密码设备透
明的密码服务和设备管理服务。
通用密码服务通过统一的密码服务接口向典型密码服务层和应用层提供标识认证、信息的机密性、
完整性和不可否认性等通用密码服务,将上层的密码服务请求转化为具体的基础密码操作请求,通过统
一的密码设备应用接口调用相应密码设备实现具体的密码运算和密钥操作。
密码设备管理向上层管理应用提供统一的设备管理应用接口,为实现远程密钥管理、设备维护、设
备监控等上层管理应用提供设备管理功能,将上层管理应用的管理请求转换为标准的消息调用,通过安
全通道实现管理应用与密码设备间的消息传递。
典型密码服务由身份鉴别、单点登录、访问控制、时间戳和电子签章等服务组成,为上层应用提供对
应的密码服务。典型密码服务层使用的密码功能通过调用通用密码服务实现。
身份鉴别通过标准接口为上层应用提供身份查询、身份解析、身份验证等身份鉴别服务。
单点登录通过标准接口为上层应用提供登录凭据的产生、获取、验证等服务,在相互间存在信任关
系的应用系统之间实现单点登录和单点注销。
访问控制通过标准接口为上层应用提供系统资源的访问控制,实现用户管理、资源管理、访问控制
策略管理和用户授权等功能。
时间戳通过标准接口为上层应用和典型密码服务层其他组成部分提供与时间戳系统无关的时间戳
加盖、验证等时间认证服务。
电子签章通过标准接口为上层应用和典型密码服务层其他组成部分提供电子签章生成与验证
服务。
7 密钥管理系统框架
7.1 密钥管理系统关系结构
有层次的密钥管理系统(KMS)结构可分为两级,第一级是上级 KMS,第二级是应用(即下级)
KMS,形成扁平化结构。独立部署的KMS自己即为根同时直接作为应用KMS。见图2。
密钥管理系统技术规范见GM/T 0086。
分发方式是指下级KMS通过下列流程向其上级KMS申请产生主密钥对并签名。
报备方式是指下级KMS产生一对主密钥,并通过下列流程由其上级KMS对其主公钥签名。
独立部署的标识密钥管理系统可以自行产生主密钥和设置应用层主密钥。
7.2 上级标识密钥管理系统
上级标识密钥管理系统分为分级管理的KMS系统和独立KMS应用系统两种。
a) 分级管理的KMS系统
上级标识密钥管理系统包括上级KMS和上级PPS发布系统。
上级KMS是IBC体系的信任基础,以离线方式独立运行。对应用基础设施进行分类管控,为密钥
分发方式应用KMS产生主私钥。
上级PPS发布系统发布本根规定的基准算法参数、所有通过本根注册的应用KMS系统的信息、
PPS地址和状态,形成统一管理架构和完整部署结构,为各个应用IBC系统提供互认和互信查询列表。
b) 独立KMS应用系统
独立密钥管理基础设施包括应用KMS和应用PPS发布系统。
独立KMS是自身为本IBC体系的信任源点,以在线方式独立运行为应用提供密钥签发管理服务。
独立PPS发布系统发布本根规定的基准算法参数、用户密钥状态信息,为应用提供参数和密钥信
息查询服务。
7.3 下级应用密钥管理系统
下级应用密钥管理基础设施分为密钥分发方式、密钥报备方式、独立部署方式三种。
a) 密钥分发方式应用KMS
密钥分发方式应用KMS应向上级KMS申请注册,并由上级KMS自上而下签发应用主私钥,由
根统一管控。
IBC业务系统标明能够为用户提供安全可靠的服务时,应采用已经注册过的KMS系统为其签发
私钥。
b) 密钥报备方式应用KMS
密钥报备方式应用KMS为按照某一上级KMS发布的公共参数,自生成应用根密钥,并向该上级
KMS报备其公钥,接受上级KMS的监督管理。
c) 独立部署方式应用KMS
独立部署方式应用KMS为自生成根密钥并自行管理,无需向任何根报备。但应采用GM/T 0044
中的曲线、参数。独立部署方式应用KMS如需要时,可向某上级KMS报备申请,通过安全加固和安全
审查,具备向上级KMS报备的条件后,变换为密钥报备方式。
8 IBC技术标准
8.1 分类概述
基于SM9标识密码算法的IBC技术标准规范包括基础类型和应用类型两大类别,这些标准中有拟
研制新研制,对已发布标准的拟修订和已发布标准。
8.2 基础类
8.2.1 总体框架类
本文件的目标是为基于SM9标识密码算法的IBC技术提供密钥管理基础设施建设规划、标准研制
提供总体框架。本文件仅从理论研究和技术应用的角度给出标识密码密钥管理系统的建设规划以及
IBC技术体系所需的标准,不涉及具体的管理和标准内容编制细节,其架构见表1。
8.2.3 编码类
密码应用标识规范
修订类。对已发布GM/T 0006进行修订,增加SM9密码算法相关的内容。规范密码应用有关的
算法标识、密钥标识、设备标识、数据标识、协议标识、角色标识等的表示和使用。
标识密码应用标识规范
制定类。对基于标识的密码安全应用的标识编码格式进行规范,用于指导不同应用领域在使用标
识密码技术时遵循统一的标识编码格式。
SM9密码算法加密签名消息语法规范
制定类。定义使用SM9密码算法的加密签名消息语法,具体包括SM9签名数据类型、数字信封数
据类型、签名及数字信封数据类型、加密数据类型、密钥协商类型。用于指导使用SM9标识密码算法进
行加密和签名操作时对操作结果的标准化封装。
SM9密码算法XML加密签名消息语法与处理规范
制定类。主要定义在应用层基于XML封装传输SM9密码算法的加密签名的消息语法。用于指
导使用XML对SM9加密和签名消息结果的标准化封装和处理。
标识密码应用编码规范
制定类。主要定义与接口的函数名称及不同系统分配的错误代码区间,用于规范开发和用户的
使用。
8.2.4 密码服务类
智能密码钥匙技术规范
修订类。对已发布GM/T 0027-2014进行修订,增加基于IBC技术的智能密码钥匙的相关术语,
增加规范IBC智能密码钥匙功能要求、硬件要求、软件要求、性能要求、安全性要求等有关内容。
密码模块安全技术要求
见GM/T 0028-2014。
服务器密码机技术规范
修订类。对已发布GM/T 0030-2014进行修订,增加基于IBC技术的密码机的相关术语,规范
IBC密码机功能要求、硬件要求、软件要求、性能要求及安全性要求等有关内容。
8.2.5 密码应用接口类
智能密码钥匙密码应用接口规范
修订类。对已发布GM/T 0016-2012进行修订,增加基于SM9密码体制的智能密码钥匙应用接
口,描述应用接口的函数、数据类型、参数的定义和设备的安全要求。
智能密码钥匙密码应用接口数据格式规范
修订类。对已发布GM/T 0017-2012进行修订,增加基于SM9算法的智能IC卡应用接口,描述
应用接口的函数、数据类型、参数的定义和设备的安全要求。
密码设备应用接口规范
修订类。对已发布GM/T 0018-2012进行修订,增加基于SM9标识密码算法的密码设备应用接
口,描述应用接口的函数、数据类型、参数的定义和设备的安全要求。
通用密码服务接口规范
修订类。对已发布GM/T 0019-2012进行修订,增加定义IBC应用与密码设备无关的统一密码
应用接口,屏蔽密码应用支撑接口中的密码设备特性,以密码应用支撑接口为基础,服务于各种设施平
台、各种IBC应用。
签名验签服务器技术规范
修订类。对已发布GM/T 0029-2014进行修订,增加基于SM9标识密码算法的签名验签服务器
应用接口,描述应用接口的函数、数据类型、参数的定义和设备的安全要求。
8.2.6 应用协议类
SM9密码算法使用规范
制定类。描述SM9密码算法的使用方法,给出SM9的密钥对、密钥数据结构、签名数据结构、加密
数据结构、密钥封装数据格式等。用于指导SM9密码算法的使用,以及支持SM9密码算法的设备和系
统的研发和检测。
IBC公开参数访问规范
制定类。规范向PPS服务查询、下载相关信息的协议和格式。规范IBC公开参数服务系统(PPS)
的内容结构、逻辑关系、业务流程、系统管理、数据格式等。为建设、检测PPS提供技术支撑。
基于IBC技术的身份鉴别协议规范
制定类。面向应用系统中基于IBC技术和SM9标识密码算法进行身份认证时涉及的鉴别需求,基
于标识密码技术的特点,重点规范包括单向鉴别和双向鉴别在内的身份鉴别技术,并给出利用IBC技
术进行鉴别时访问PPS的基本流程和相关密码协议,用于公开参数和标识状态查询。
安全通信协议规范
修订类。规范基于IBC的安全通信技术,具体包括通信数据的加解密协议及完整性保护协议。
对已发布的GM/T 0022-2014、GM/T 0023-2014、GM/T 0024-2014、GM/T 0025-2014VPN
类进行修订,修改其规范的引用部分,明确引用SM9标识密码算法规范和SM9标识密码算法使用规
范;在预主密钥协商阶段,明确相对于交换证书时所交互的IBC信息。明确相关IBC数据的获取方式、
组成和编码等信息。以利于将SM9纳入SSLVPN技术体系之后,服务端和客户端之间实现互联
互通。
8.2.7 基础设施类规范
时间戳接口规范
修订类。对已发布GM/T 0033-2014进行修订,增加时间戳基于SM9的签名和验证的协议和接
口,并补充包括时间戳机构、证书持有者和信赖者,并规范时......
|