《信息安全技術(shù)公民網(wǎng)絡(luò)電子身份標(biāo)識(shí)安全技術(shù)要求第1部分:公民網(wǎng)絡(luò)電子身份標(biāo)識(shí)讀寫機(jī)具安全技術(shù)要求》_第1頁
《信息安全技術(shù)公民網(wǎng)絡(luò)電子身份標(biāo)識(shí)安全技術(shù)要求第1部分:公民網(wǎng)絡(luò)電子身份標(biāo)識(shí)讀寫機(jī)具安全技術(shù)要求》_第2頁
《信息安全技術(shù)公民網(wǎng)絡(luò)電子身份標(biāo)識(shí)安全技術(shù)要求第1部分:公民網(wǎng)絡(luò)電子身份標(biāo)識(shí)讀寫機(jī)具安全技術(shù)要求》_第3頁
《信息安全技術(shù)公民網(wǎng)絡(luò)電子身份標(biāo)識(shí)安全技術(shù)要求第1部分:公民網(wǎng)絡(luò)電子身份標(biāo)識(shí)讀寫機(jī)具安全技術(shù)要求》_第4頁
《信息安全技術(shù)公民網(wǎng)絡(luò)電子身份標(biāo)識(shí)安全技術(shù)要求第1部分:公民網(wǎng)絡(luò)電子身份標(biāo)識(shí)讀寫機(jī)具安全技術(shù)要求》_第5頁
已閱讀5頁,還剩4頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

GB/TXXXXX.1—20XX

1部分讀寫機(jī)具安全技術(shù)要求

1范圍

本標(biāo)準(zhǔn)規(guī)定了公民網(wǎng)絡(luò)電子身份標(biāo)識(shí)讀寫機(jī)具的基本安全要求、初始化數(shù)據(jù)安全要求、密碼應(yīng)用服

務(wù)接口和應(yīng)用管理接口安全要求。

本標(biāo)準(zhǔn)適用于公民網(wǎng)絡(luò)電子身份標(biāo)識(shí)讀寫機(jī)具的設(shè)計(jì)、開發(fā)、測(cè)試等。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件,僅注日期的版本適用于本文件。

凡是不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。

GB/T20518信息安全技術(shù)公鑰基礎(chǔ)設(shè)施數(shù)字證書格式

GB/T25069-2010信息安全技術(shù)術(shù)語

GB/T32905-2016信息安全技術(shù)SM3密碼雜湊算法

GB/T32907-2016信息安全技術(shù)SM4分組密碼算法

GB/T32918.1-2016信息安全技術(shù)SM2橢圓曲線公鑰密碼算法第1部分:總則

GB/T32918.2-2016信息安全技術(shù)SM2橢圓曲線公鑰密碼算法第2部分:數(shù)字簽名算法

GB/T32918.3-2016信息安全技術(shù)SM2橢圓曲線公鑰密碼算法第3部分:密鑰交換協(xié)議

GB/T32918.4-2016信息安全技術(shù)SM2橢圓曲線公鑰密碼算法第4部分:公鑰加密算法

GB/TAAAA-201X信息安全技術(shù)公民網(wǎng)絡(luò)電子身份標(biāo)識(shí)格式規(guī)范

GM/T0005-2012隨機(jī)性檢測(cè)規(guī)范

GM/T0018-2012密碼設(shè)備應(yīng)用接口規(guī)范

3術(shù)語和定義

下列術(shù)語和定義適用于本文件。

3.1

3.2公民網(wǎng)絡(luò)電子身份標(biāo)識(shí)讀寫機(jī)具citizencyberelectronicidentityreaders

能夠讀寫承載于智能安全芯片上的公民網(wǎng)絡(luò)電子身份標(biāo)識(shí)相關(guān)信息的讀寫機(jī)具。

3.3

3.4公民網(wǎng)絡(luò)電子身份標(biāo)識(shí)簽名PIN碼citizencyberelectronicidentitysignaturepassword

確認(rèn)公民網(wǎng)絡(luò)電子身份標(biāo)識(shí)載體簽名操作的校驗(yàn)保護(hù)口令。

3.5

3.6讀寫機(jī)具數(shù)字證書certificateofreaders

1

GB/TXXXXX.1—20XX

用于唯一性標(biāo)識(shí)讀寫機(jī)具的數(shù)字證書。

3.7

3.8讀寫機(jī)具數(shù)字證書頒發(fā)系統(tǒng)issuingsystemofreaders

使用數(shù)字簽名技術(shù)頒發(fā)讀寫機(jī)具數(shù)字證書的信息系統(tǒng)。

3.9

3.10讀寫機(jī)具數(shù)字證書頒發(fā)系統(tǒng)證書certificateofissuingsystemofreaders

用于唯一性標(biāo)識(shí)讀寫機(jī)具數(shù)字證書頒發(fā)系統(tǒng)的數(shù)字證書。

3.11

3.12讀寫機(jī)具初始化數(shù)據(jù)personalizationdataofreaders

實(shí)現(xiàn)讀寫機(jī)具初始化的數(shù)據(jù)信息。包括讀寫機(jī)具數(shù)據(jù)、讀寫機(jī)具證書和讀寫機(jī)具證書頒發(fā)系統(tǒng)證書。

3.13

3.14讀寫機(jī)具安全模塊securityelementofreaders

讀寫機(jī)具內(nèi)部的一個(gè)硬件電路單元,是讀寫機(jī)具的核心安全組件。

3.15

3.16簽名PIN碼signaturePIN

通過讀寫機(jī)具對(duì)公民網(wǎng)絡(luò)電子身份標(biāo)識(shí)持有者校驗(yàn)的口令。

4縮略語

下列縮略語適用于本文件。

MCU:微控制單元(MicrocontrollerUnit)

PIN:個(gè)人識(shí)別碼(PersonalIdentificationNumber)

SE:安全模塊(SecurityElement)

5讀寫機(jī)具基本安全要求

5.1基本組件

讀寫機(jī)具包括微控制單元MCU、安全模塊SE、輸入輸出接口、軟件接口等部件,如圖1所示。

2

GB/TXXXXX.1—20XX

圖1公民網(wǎng)絡(luò)電子身份標(biāo)識(shí)的讀寫機(jī)具組件示意圖

上述公民網(wǎng)絡(luò)電子身份標(biāo)識(shí)的讀寫機(jī)具的MCU各模塊和安全模塊SE通過電路互聯(lián),實(shí)現(xiàn)公民網(wǎng)絡(luò)電

子身份標(biāo)識(shí)的讀寫機(jī)具功能。

5.2安全模塊

安全模塊的要求如下:

a)應(yīng)具有密鑰生成和數(shù)字簽名運(yùn)算功能,保證敏感操作在SE內(nèi)進(jìn)行,不被非法注入或更新,不得

泄露敏感信息或影響安全功能。

b)應(yīng)有獨(dú)立的不可讀區(qū)域,存放讀寫機(jī)具密鑰等代表讀寫機(jī)具唯一性的重要信息。

c)不應(yīng)存在輸出明文私鑰、明文密鑰等機(jī)制,或者使用本身可能已經(jīng)泄露的密鑰來加密密鑰。

d)參與密鑰運(yùn)算的隨機(jī)數(shù)應(yīng)由安全模塊生成,其隨機(jī)性指標(biāo)應(yīng)符合GM/T0005-2012的相關(guān)要求。

5.3輸入輸出接口

輸入輸出接口的要求如下:

a)應(yīng)保證敏感信息的安全輸入和加密處理,支持對(duì)與外部交互的數(shù)據(jù)進(jìn)行加、解密運(yùn)算及合法性、

完整性驗(yàn)證。

b)讀寫機(jī)具上鍵入公民網(wǎng)絡(luò)電子身份標(biāo)識(shí)的簽名PIN碼時(shí),應(yīng)不顯示明文。

5.4軟件接口

應(yīng)支持密碼應(yīng)用管理接口、密碼應(yīng)用服務(wù)接口等。用于MCU和SE之間的數(shù)據(jù)交互。

5.5業(yè)務(wù)

5.5.1初始化數(shù)據(jù)

用于讀寫公民網(wǎng)絡(luò)電子身份標(biāo)識(shí)所需的信息經(jīng)SM2、SM4等密碼算法處理后安全寫入讀寫機(jī)具的過

程。

5.5.2密碼應(yīng)用管理

用于對(duì)讀寫機(jī)具安全模塊上的密鑰進(jìn)行成、存儲(chǔ)、導(dǎo)入、導(dǎo)出等操作,并對(duì)證書進(jìn)行導(dǎo)入、更新、

刪除、查詢等操作。

5.5.3密碼應(yīng)用服務(wù)

3

GB/TXXXXX.1—20XX

通過讀寫機(jī)具對(duì)應(yīng)用提供數(shù)據(jù)加解密、數(shù)字簽名和簽名PIN碼的校驗(yàn)、修改等服務(wù)。

6讀寫機(jī)具初始化數(shù)據(jù)安全要求

6.1讀寫機(jī)具標(biāo)識(shí)數(shù)據(jù)要求

讀寫機(jī)具標(biāo)識(shí)數(shù)據(jù)的要求如下:

a)讀寫機(jī)具標(biāo)識(shí)數(shù)據(jù)應(yīng)包含讀寫機(jī)具生產(chǎn)廠商標(biāo)識(shí)碼、讀寫機(jī)具生產(chǎn)日期、讀寫機(jī)具標(biāo)識(shí)碼;

b)讀寫機(jī)具標(biāo)識(shí)數(shù)據(jù)應(yīng)在終端出廠前預(yù)置,出廠后不允許更改。

6.2讀寫機(jī)具標(biāo)識(shí)數(shù)據(jù)編碼

讀寫機(jī)具標(biāo)識(shí)數(shù)據(jù)編碼的要求如下:

a)讀寫機(jī)具生產(chǎn)廠商標(biāo)識(shí)碼應(yīng)由組織機(jī)構(gòu)代碼表示;

b)讀寫機(jī)具生產(chǎn)日期應(yīng)由8位數(shù)字代碼組成,編碼格式為:YYYYMMDD,如生產(chǎn)日期為2013年12月22,

即為20131222;

c)讀寫機(jī)具標(biāo)識(shí)碼命名規(guī)則如下:

通信接口類型+讀寫機(jī)具類型+‘_’+讀寫機(jī)具生產(chǎn)廠商代碼

其中,‘_’表示空格,讀寫機(jī)具生產(chǎn)廠商標(biāo)識(shí)碼應(yīng)由組織機(jī)構(gòu)代碼表示;通信接口類型、讀寫機(jī)具類

型分別見表1和表2。

表1通信接口類型

通信接口類型含義

‘B’藍(lán)牙通信接口

‘U’USB通信接口

'X'其他類型接口

表2讀寫機(jī)具類型

讀寫機(jī)具類型含義

1通用接觸式讀寫器

2具有LCD和鍵盤的接觸讀寫器

3通用雙界面讀寫器

4具有LCD和鍵盤的雙界面讀寫器

5通用非接觸讀寫器

6具有LCD和鍵盤的非接觸讀寫器

0其他類型讀寫器

6.3讀寫機(jī)具證書格式要求

讀寫機(jī)具證書格式符合GB/T20518-2006的要求。其主體項(xiàng)(subject)表示讀寫機(jī)具的實(shí)體信息,

由主體名稱、主體機(jī)構(gòu)、主體組織、主體國家等標(biāo)識(shí)組成。其邏輯表達(dá)式為:

主體項(xiàng)=主體名稱+主體機(jī)構(gòu)+主體組織+主體國家;

其中,主體名稱由讀寫機(jī)具標(biāo)識(shí)碼構(gòu)成。讀寫機(jī)具標(biāo)識(shí)碼編碼格式見6.2。主體機(jī)構(gòu)是發(fā)行機(jī)構(gòu)的

英文或拼音簡稱,全部大寫。主體組織是讀寫機(jī)具證書頒發(fā)系統(tǒng)的英文或拼音簡稱,全部大寫。主體國

家是中國的英文簡稱CN。

4

GB/TXXXXX.1—20XX

6.4讀寫機(jī)具證書頒發(fā)系統(tǒng)證書格式要求

讀寫機(jī)具證書頒發(fā)系統(tǒng)證書格式符合GB/T20518-2006的要求。其主體項(xiàng)(subject)表示讀寫機(jī)具

證書頒發(fā)系統(tǒng)的實(shí)體信息,由主體名稱、主體機(jī)構(gòu)、主體組織、主體國家等標(biāo)識(shí)組成。其邏輯表達(dá)式為:

主體項(xiàng)=主體名稱+主體機(jī)構(gòu)+主體組織+主體國家;

其中,主體名稱是發(fā)行機(jī)構(gòu)的英文或拼音簡稱,全部大寫。主體機(jī)構(gòu)是發(fā)行機(jī)構(gòu)的英文或拼音簡稱,

全部大寫。主體組織是讀寫機(jī)具證書頒發(fā)系統(tǒng)的英文或拼音簡稱,全部大寫。主體國家是中國的英文簡

稱CN。

7讀寫機(jī)具密碼應(yīng)用管理接口安全要求

7.1密碼算法

密碼算法的要求如下:

a)公鑰密碼算法應(yīng)遵循GB/T32918.4-2016的要求;

b)密碼雜湊算法遵循GB/T32905-2016的要求;

c)分組密碼算法遵循GB/T32907-2016的要求。

7.2密鑰管理接口

密鑰管理接口要求如下:

a)應(yīng)支持基于SM3密碼雜湊算法的SM2橢圓曲線公鑰密碼算法的密鑰對(duì)的生成、存儲(chǔ)、導(dǎo)入以及公

鑰的導(dǎo)出等功能;

b)應(yīng)支持SM4分組密碼算法的密鑰對(duì)的生成、存儲(chǔ)、導(dǎo)入、導(dǎo)出等功能。

7.3證書管理接口

7.3.1讀寫機(jī)具數(shù)字證書管理接口

讀寫機(jī)具數(shù)字證書管理接口的要求如下:

a)應(yīng)支持讀寫機(jī)具在從讀寫機(jī)具數(shù)字證書頒發(fā)系統(tǒng)申請(qǐng)、制證和下載證書前,在讀寫機(jī)具內(nèi)產(chǎn)生

讀寫機(jī)具公私鑰;

b)讀寫機(jī)具產(chǎn)生的公鑰應(yīng)提交讀寫機(jī)具數(shù)字證書頒發(fā)系統(tǒng)參與制作證書;

c)讀寫機(jī)具私鑰應(yīng)保存讀寫機(jī)具的安全模塊中,不允許導(dǎo)出;

d)讀寫機(jī)具數(shù)字證書頒發(fā)系統(tǒng)應(yīng)對(duì)證書申請(qǐng)進(jìn)行安全審核,審核通過后才能進(jìn)行證書的申請(qǐng)和發(fā)

放流程。

7.3.2讀寫機(jī)具數(shù)字證書頒發(fā)系統(tǒng)證書管理接口

讀寫機(jī)具數(shù)字證書頒發(fā)系統(tǒng)證書管理接口的要求如下:

a)應(yīng)能夠驗(yàn)證讀寫機(jī)具數(shù)字證書的真?zhèn)?,以辨別其身份的有效性;

b)需要在初始化過程中寫入網(wǎng)絡(luò)電子身份標(biāo)識(shí)讀寫機(jī)具的安全模塊中。

7.4讀寫機(jī)具開機(jī)口令管理接口

7.4.1讀寫機(jī)具開機(jī)口令校驗(yàn)接口

應(yīng)支持讀寫機(jī)具開機(jī)口令校驗(yàn)的功能接口。

5

GB/TXXXXX.1—20XX

7.4.2讀寫機(jī)具開機(jī)口令修改接口

應(yīng)支持讀寫機(jī)具開機(jī)口令修改的功能接口。

8讀寫機(jī)具密碼應(yīng)用服務(wù)接口安全要求

8.1加解密接口

加解密接口要求如下:

a)應(yīng)支持基于SM3國產(chǎn)商密密碼雜湊算法的SM2橢圓曲線公鑰密碼算法的數(shù)據(jù)加解密功能;

b)應(yīng)支持SM4分組密碼算法的加解密功能。

8.2數(shù)字簽名接口

應(yīng)支持GB/T32918.2-2016規(guī)定的SM2算法的數(shù)字簽名功能。

8.3簽名PIN碼服務(wù)接口

8.3.1校驗(yàn)簽名PIN碼接口

應(yīng)支持通過讀寫機(jī)具對(duì)公民網(wǎng)絡(luò)電子身份標(biāo)識(shí)的簽名PIN碼進(jìn)行校驗(yàn)的功能接口,并符合GM/T

0018-2012中6.2.7的要求。

8.3.2修改簽名PIN碼接口

應(yīng)支持通過讀寫機(jī)具對(duì)公民網(wǎng)絡(luò)電子身份標(biāo)識(shí)的簽名PIN碼進(jìn)行修改的功能接口,符合GM/T

0018-2012中7.4的要求。

_________________________________

6

ICS35.040

L80

中華人民共和國國家標(biāo)準(zhǔn)

GB/TXXXXX.1—20XX

信息安全技術(shù)

公民網(wǎng)絡(luò)電子身份標(biāo)識(shí)安全技術(shù)要求

第1部分讀寫機(jī)具安全技術(shù)要求

Informationsecuritytechnology–

Securitytechniquesrequirementforcitizencyberelectronicidentitysecurity

Part1:Securitytechniquesrequirementforcitizencyberelectronicidentityreaders

點(diǎn)擊此處添加與國際標(biāo)準(zhǔn)一致性程度的標(biāo)識(shí)

(征求意見稿)

(在提交反饋意見時(shí),請(qǐng)將您知道的相關(guān)專利連同支持性文件一并附上)

(本稿完成日期:2017年4月30日)

-XX-XX發(fā)布XXXX-XX-XX實(shí)施

GB/TXXXXX.1—20XX

6.4讀寫機(jī)具證書頒發(fā)系統(tǒng)證書格式要求

讀寫機(jī)具證書頒發(fā)系統(tǒng)證書格式符合GB/T20518-2006的要求。其主體項(xiàng)(subject)表示讀寫機(jī)具

證書頒發(fā)系統(tǒng)的實(shí)體信息,由主體名稱、主體機(jī)構(gòu)、主體組織、主體國家等標(biāo)識(shí)組成。其邏輯表達(dá)式為:

主體項(xiàng)=主體名稱+主體機(jī)構(gòu)+主體組織+主體國家;

其中,主體名稱是發(fā)行機(jī)構(gòu)的英文或拼音簡稱,全部大寫。主體機(jī)構(gòu)是發(fā)行機(jī)構(gòu)的英文或拼音簡稱,

全部大寫。主體組織是讀寫機(jī)具證書頒發(fā)系統(tǒng)的英文或拼音簡稱,全部大寫。主體國家是中國的英文簡

稱CN。

7讀寫機(jī)具密碼應(yīng)用管理接口安全要求

7.1密碼算法

密碼算法的要求如下:

a)公鑰密碼算法應(yīng)遵循GB/T32918.4-2016的要求;

b)密碼雜湊算法遵循GB/T32905-2016的要求;

c)分組密碼算法遵循GB/T32907-2016的要求。

7.2密鑰管理接口

密鑰管理接口要求如下:

a)應(yīng)支持基于SM3密碼雜湊算法的SM2橢圓曲線公鑰密碼算法的密鑰對(duì)的生成、存儲(chǔ)、導(dǎo)入以及公

鑰的導(dǎo)出等功能;

b)應(yīng)支持SM4分組密碼算法的密鑰對(duì)的生成、存儲(chǔ)、導(dǎo)入、導(dǎo)出等功能。

7.3證書管理接口

7.3.1讀寫機(jī)具數(shù)字證書管理接口

讀寫機(jī)具數(shù)字證書管理接口的要求如下:

a)應(yīng)支持讀寫機(jī)具在從讀寫機(jī)具數(shù)字證書頒發(fā)系統(tǒng)申請(qǐng)、制證和下載證書前,在讀寫機(jī)具內(nèi)產(chǎn)生

讀寫機(jī)具公私鑰;

b)讀寫機(jī)具產(chǎn)生的公鑰應(yīng)提交讀寫機(jī)具數(shù)字證書頒發(fā)系統(tǒng)參與制作證書;

c)讀寫機(jī)具私鑰應(yīng)保存讀寫機(jī)具的安全模塊中,不允許導(dǎo)出;

d)讀寫機(jī)具數(shù)字證書頒發(fā)系統(tǒng)應(yīng)對(duì)證書申請(qǐng)進(jìn)行安全審核,審核通過后才能進(jìn)行證書的申請(qǐng)和發(fā)

放流程。

7.3.2讀寫機(jī)具數(shù)字證書頒發(fā)系統(tǒng)證書管理接口

讀寫機(jī)具數(shù)字證書頒發(fā)系統(tǒng)證書管理接口的要求如下:

a)應(yīng)能夠驗(yàn)證讀寫機(jī)具數(shù)字證書的真?zhèn)?,以辨別其身份的有效性;

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論