網(wǎng)絡(luò)安全技術(shù) 公鑰密碼應(yīng)用技術(shù)體系框架 征求意見稿

1GB/TXXXX—XXXX網(wǎng)絡(luò)安全技術(shù)公鑰密碼應(yīng)用技術(shù)體系框架本文件提出了公鑰密碼應(yīng)用技術(shù)體系框架，描述了該框架內(nèi)各組成部分及其關(guān)系。本文件適用于公鑰密碼產(chǎn)品的研制和開發(fā)，并為應(yīng)用系統(tǒng)使用密碼服務(wù)提供指導(dǎo)。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T25069信息安全技術(shù)術(shù)語(yǔ)3術(shù)語(yǔ)和定義GB/T25069界定的以及下列術(shù)語(yǔ)和定義適用于本文件。3.1密碼資源池cryptographicresourcepool一組密碼物理資源或虛擬密碼資源的集合，能夠?qū)γ艽a資源進(jìn)行實(shí)時(shí)監(jiān)控、合理分配和負(fù)載均衡，具有可擴(kuò)展性、高性能、低風(fēng)險(xiǎn)等特點(diǎn)。4公鑰密碼應(yīng)用技術(shù)體系框架4.1概述公鑰密碼應(yīng)用技術(shù)體系框架包括密碼設(shè)備層、通用密碼服務(wù)層、典型密碼服務(wù)層和密碼基礎(chǔ)設(shè)施層，由此四部分有機(jī)結(jié)合組成，為上層各業(yè)務(wù)應(yīng)用提供統(tǒng)一的密碼服務(wù)。在該框架內(nèi)，密碼設(shè)備層面向通用密碼服務(wù)層提供密鑰管理和基礎(chǔ)密碼運(yùn)算服務(wù)；通用密碼服務(wù)層面向典型密碼服務(wù)層和業(yè)務(wù)應(yīng)用提供數(shù)據(jù)加解密、數(shù)字簽名及驗(yàn)證等密碼功能服務(wù)；典型密碼服務(wù)層面向業(yè)務(wù)應(yīng)用提供身份鑒別、訪問控制、電子簽章及時(shí)間戳等密碼應(yīng)用服務(wù)；密碼基礎(chǔ)設(shè)施層面向上述三層提供時(shí)間認(rèn)證、權(quán)限認(rèn)證、公鑰認(rèn)證和設(shè)備遠(yuǎn)程管理應(yīng)用等基礎(chǔ)服務(wù)。該框架中，通用密碼服務(wù)層和典型密碼服務(wù)層屬于中間件，可實(shí)體化實(shí)現(xiàn)，也可以虛擬化實(shí)現(xiàn)。公鑰密碼應(yīng)用技術(shù)體系框架如圖1所示：2GB/TXXXX—XXXX圖1公鑰密碼應(yīng)用技術(shù)體系框架圖4.2密碼設(shè)備層密碼設(shè)備層包括智能密碼鑰匙、密碼模塊、密碼機(jī)和密碼資源池等設(shè)備，通過標(biāo)準(zhǔn)接口向通用密碼服務(wù)層提供密鑰生成、密碼運(yùn)算等基礎(chǔ)密碼服務(wù)。密碼設(shè)備還具備密鑰的加載、存儲(chǔ)、更新、備份和恢復(fù)等功能，并保障密鑰在密碼設(shè)備中的安全。密碼設(shè)備可通過密碼設(shè)備管理系統(tǒng)提供的標(biāo)準(zhǔn)接口來(lái)接受遠(yuǎn)程管理。4.3通用密碼服務(wù)層通用密碼服務(wù)層通過標(biāo)準(zhǔn)接口，向上層業(yè)務(wù)應(yīng)用和典型密碼服務(wù)層提供與密碼設(shè)備、密碼算法和具體密鑰無(wú)關(guān)的密碼功能服務(wù)。通用密碼服務(wù)層提供證書或標(biāo)識(shí)的解析、證書或標(biāo)識(shí)的驗(yàn)證，數(shù)據(jù)的加密解密及簽名驗(yàn)簽等通用的密碼服務(wù)功能，將上層的密碼服務(wù)請(qǐng)求轉(zhuǎn)化為具體的基礎(chǔ)密碼操作請(qǐng)求，通過調(diào)用密碼設(shè)備實(shí)現(xiàn)具體的密碼運(yùn)算和密鑰操作。4.4典型密碼服務(wù)層典型密碼服務(wù)層包括身份鑒別、訪問控制、時(shí)間戳和電子簽章等服務(wù)，面向上層應(yīng)用提供統(tǒng)一的共性密碼應(yīng)用服務(wù)。典型密碼服務(wù)層需要的密碼功能由通用密碼服務(wù)層提供。身份鑒別通過標(biāo)準(zhǔn)接口為上層業(yè)務(wù)應(yīng)用提供身份查詢、身份解析、身份驗(yàn)證等身份鑒別服務(wù)。訪問控制通過標(biāo)準(zhǔn)接口為上層業(yè)務(wù)應(yīng)用提供系統(tǒng)資源的訪問控制，實(shí)現(xiàn)用戶角色管理、系統(tǒng)資源管理、訪問控制策略管理和用戶授權(quán)管理等功能。3GB/TXXXX—XXXX電子簽章通過標(biāo)準(zhǔn)接口為上層業(yè)務(wù)應(yīng)用提供電子印章制作、電子印章驗(yàn)證、電子簽章生成和電子簽章驗(yàn)證功能。時(shí)間戳通過標(biāo)準(zhǔn)接口為上層業(yè)務(wù)應(yīng)用和典型密碼服務(wù)層中的其它組成部分提供與時(shí)間戳服務(wù)系統(tǒng)無(wú)關(guān)的時(shí)間戳加蓋、驗(yàn)證等時(shí)間認(rèn)證服務(wù)。4.5密碼基礎(chǔ)設(shè)施層密碼基礎(chǔ)設(shè)施層由電子認(rèn)證服務(wù)系統(tǒng)、授權(quán)管理系統(tǒng)、時(shí)間戳服務(wù)系統(tǒng)及密碼設(shè)備管理系統(tǒng)等組成，為通用密碼服務(wù)層、典型密碼服務(wù)層、密碼設(shè)備層提供統(tǒng)一的基礎(chǔ)服務(wù)。電子認(rèn)證服務(wù)系統(tǒng)包括證書認(rèn)證系統(tǒng)和標(biāo)識(shí)密碼認(rèn)證系統(tǒng)，通過接口對(duì)通用密碼服務(wù)層提供標(biāo)準(zhǔn)的接口調(diào)用，實(shí)現(xiàn)應(yīng)用對(duì)證書或標(biāo)識(shí)密鑰的訪問與管理；授權(quán)服務(wù)系統(tǒng)通過接口對(duì)訪問控制典型應(yīng)用提供標(biāo)準(zhǔn)的接口調(diào)用，實(shí)現(xiàn)授權(quán)與訪問控制的機(jī)制；時(shí)間戳服務(wù)系統(tǒng)通過接口對(duì)時(shí)間戳典型應(yīng)用提供標(biāo)準(zhǔn)的接口調(diào)用，為時(shí)間戳提供產(chǎn)生和管理服務(wù)；密碼設(shè)備管理通過接口對(duì)密碼設(shè)備進(jìn)行管理，實(shí)現(xiàn)將上層管理應(yīng)用的管理請(qǐng)求轉(zhuǎn)換為標(biāo)準(zhǔn)的消息調(diào)用，通過安全通道實(shí)現(xiàn)管理應(yīng)用與密碼設(shè)備間的消息傳遞（例如密碼設(shè)備遠(yuǎn)程配置、遠(yuǎn)程監(jiān)控與合規(guī)性檢驗(yàn)等）。5框架內(nèi)各部分間的關(guān)系公鑰密碼應(yīng)用技術(shù)體系框架內(nèi)各部分間的關(guān)系如圖1中的箭頭所示：密碼設(shè)備層面向通用密碼服務(wù)層，一般不直接面向典型密碼服務(wù)層和業(yè)務(wù)應(yīng)用層。密碼設(shè)備有客戶端密碼設(shè)備和服務(wù)端密碼設(shè)備之分，因此，密碼設(shè)備接口分別有客戶端密碼設(shè)備接口、移動(dòng)終端密碼模塊接口和服務(wù)端密碼設(shè)備接口，服務(wù)端的密碼設(shè)備還可以通過密碼設(shè)備管理接口接受遠(yuǎn)程管理。通用密碼服務(wù)層面向典型密碼服務(wù)層和業(yè)務(wù)應(yīng)用層，提供的接口有通用密碼服務(wù)接口和證書應(yīng)用綜合服務(wù)接口。通用密碼服務(wù)層訪問電子認(rèn)證服務(wù)系統(tǒng)發(fā)布接口，遵循電子認(rèn)證服務(wù)系統(tǒng)的相關(guān)標(biāo)準(zhǔn)。典型密碼服務(wù)層面向業(yè)務(wù)應(yīng)用層，提供的接口有身份鑒別接口、訪問控制接口、電子簽章服務(wù)接口和時(shí)間戳服務(wù)接口。典型密碼服務(wù)層訪問授權(quán)管理系統(tǒng)、時(shí)間戳服務(wù)系統(tǒng)的接口，遵循這些系統(tǒng)的相關(guān)標(biāo)準(zhǔn)。密碼設(shè)備層、通用密碼服務(wù)層和典型密碼服務(wù)層提供的這些接口函數(shù)命名及錯(cuò)誤代碼區(qū)間見表1。表1接口的函數(shù)命名及錯(cuò)誤代碼區(qū)間表框架內(nèi)各層接口名稱函數(shù)命名錯(cuò)誤代碼區(qū)間密碼設(shè)備層智能密碼鑰匙接口SKF_0x0A000000～0x0AFFFFFF移動(dòng)終端密碼模塊接口SSF_0x0D000000～0x0DFFFFFF密碼設(shè)備應(yīng)用接口SDF_0x01000000～0x01FFFFFF通用密碼服務(wù)層通用密碼服務(wù)接口SAF_0x02000000～0x02FFFFFF證書應(yīng)用綜合服務(wù)接口SOF_0x0B000000～0x0BFFFFFF典型密碼服務(wù)層身份鑒別接口SIF_0x05000000～0x05FFFFFF訪問控制接口SPF_0x07000000～0x07FFFFFF時(shí)間戳服務(wù)接口STF_0x04000000～0x04FFFFFF電子簽章服務(wù)接口SEF_0x0C000000～0x0CFFFFFF密碼基礎(chǔ)設(shè)施層密碼設(shè)備管理接口SMF_0x03000000～0x03FFFFFF4GB/TXXXX—XXXX參考文獻(xiàn)[1]GB/T20520信息安全技術(shù)基本信息公鑰基礎(chǔ)設(shè)施時(shí)間戳規(guī)范[2]GM/T0032基于角色的授權(quán)與訪問控制技術(shù)規(guī)范