金融领域密码应用检测认证技术规范.pdf

ICS 03.060 A11 Q/ICFNR 北京中金国盛认证有限公司企业标准 Q/ICFNR 30001—2015 金融领域密码应用检测认证技术规范 Inspection and authentication Specification for financial Application of Civil Cryptographic technology 2015-07-31 发布 2015-07-31 实施 北京中金国盛认证有限公司 发 布 Q/ICFNR 30001—2015 目 次 1. 范围 4 2. 规范性引用文件 4 3. 术语和定义 4 4. 金融密码应用总体要求 5 5. 金融领域SM 系列算法应用技术要求 6 5.1. 用户身份认证 6 5.2. 终端机具认证 8 5.3. 传输通道 8 5.4. 应用报文加密 10 5.5. 存储加密 10 5.6. 签名验签 11 5.7. 密钥管理 13 附录A （资料性附录） 认证业务类型与密码应用情景关联分析 15 附录B （资料性附录） 业务类型与密码应用技术要求关联表 19 附录C （资料性附录） 检测方法 23 附录D （规范性附录） PBOC 涉及密码算法标识 24 1 Q/ICFNR 30001—2015 前 言 本标准根据GB/T 1.1-2009给出的规则起草。 本标准由北京中金国盛认证有限公司提出并归口。 本标准起草单位：中国人民银行、国家密码管理局、北京中金国盛认证有限公司、商用密码检测中 心、中国金融电子化公司、中国工商银行、中国农业银行、中国银行、中国建设银行、华夏银行、民生 银行、上海银行、乐山市商业银行、浙江网商银行、深圳前海微众银行。 本标准主要起草人：王永红、陈立吾、邬向阳、吴金海、赵丹、张平武、安晓龙、杨令军、谢永泉、 汪东艳、聂丽琴、李大为、罗鹏、王晓燕、马国照、刘力慷、温昱晖、马鸣、吴柳飞、刘常、马爱良、 王钊、马成龙、杨涛、王治纲、李强、孙勇、卢大航、龚文芳、张晶、俞永建、刘书洪、张明明、郭宇、 黄崇文、陈思奋、方海峰。 2 Q/ICFNR 30001—2015 引 言 密码技术作为保障金融行业信息安全的核心技术，在金融信息系统中得到了广泛应用，发挥着非常 重要的作用，应用部署安全可控的密码技术关系到国家金融安全与社会稳定。为实现金融领域核心业务 系统的安全稳定运行，金融行业相关机构正积极应用SM系列密码算法。金融领域密码应用技术认证是落 实金融行业、密码行业标准规范和信息安全要求的有效手段，在中国人民银行和国家密码管理局的指导 下，北京中金国盛认证有限公司组织相关检测机构及商业银行，根据SM系列密码算法在金融行业信息系 统的应用需求，制定本规范，以切实保障金融领域密码应用工作的逐步推进，提升我国金融信息系统的 安全性。本规范的制定，为金融领域密码应用检测认证工作的稳步开展打下良好基