标准内容.doc

密码行业标准 （征求意见稿） 编制说明 名 称：移动智能终端密码安全技术要求 类 型： 标准制定项目 编制单位： 编制工作组 2017年3月12日 任务来源 2016年3月，经密码行业标准化技术委员会立项同意，启动《移动智能终端密码应用技术体系及标准体系研究》有关工作。工作组由大唐微电子技术有限公司牵头，华为技术有限公司、北京创原天地科技有限公司、北京展讯高科通信技术有限公司、郑州信大捷安信息技术股份有限公司、北京中电华大电子设计有限责任公司、北京同方微电子有限公司、酷派科技有限公司、蚂蚁金服、上海联芯科技有限公司等9家单位共同参与。 项目背景 近年来，随着移动智能终端的迅猛发展，我国移动智能终端安全应用取得了巨大进展，以微信和支付宝为代表的大批应用软件在应用层面上实现了所有的支付功能，手机语音加密和文件加密，移动办公等安全功能越来越多，为移动智能终端安全应用发展奠定了良好基础。总体来看，移动智能终端安全密码应用，在国内还处于发展初期，国家密码管理局尚未出台针对移动智能终端做出规范性要求的、科学合理的、适用性强的规范。 《移动智能终端密码应用技术体系及标准体系研究》工作，整合了国内移动互网应用的提供商、移动智能终端的生产厂商、基带芯片和安全芯片的研制厂商，共同调研和分析移动智能终端对于安全体系方案的需求，确定了移动智能终端密码应用技术体系的框架。经过工作组多次讨论、交流，为尽快满足当前市场的迫切需求，决定先行开展《移动智能终端密码安全技术要求》标准规范的编制工作。《移动智能终端密码安全技术要求》将对发挥产业各方优势，规范和推动移动智能终端密码安全产品健康发展起到基础性作用。 编制原则 本标准的编制遵循以下原则： 符合国家相关政策、法律法规及业务监管要求； 兼容现有国家和行业标准，已在现有标准中规定的内容，原则上应符现有标准规定； 规范内容可检测、可评估； 适用性强，对产业各方能够起到规范性作用； 5. 具有可扩展性，不涉及技术实现细节，仅提出技术实现应遵循的规范性要求； 6．规范内容经产业各方共同商议确定。 本标准主要以GM/T0028-2012为参考基础，结合移动智能终端的实际应用，更详细更有针对性的规范了移动智能终端的密码安全技术要求。 本标准编制过程中，参考和引用了以下标准和文档： GM/T0008-2012 《安全芯片密码检测准则》 GM/T0028-2012 《密码模块安全技术要求》 GM/T0039-2015 《密码模块安全检测要求》 GM/T 0001-2012 《祖冲之序列密码算法》 GM/T 0002-2012 《SM4分组密码算法》 GM/T 0003-2012 《SM2椭圆曲线公钥密码算法》 GM/T 0004-2012《SM3密码杂凑算法》 GM/T 0005-2012《随机性检测规范》 GB/T 15843.2-2008信息技术安全技术实体鉴别第2部分:采用对称加密算法的机制 GB/T 15843.3-2008信息技术安全技术实体鉴别第2部分:采用数字签名技术的机制 GB/T 15843.4-2008信息技术安全技术实体鉴别第2部分:采用密码校验函数的机制 GB/T 15843.5-2005信息技术安全技术实体鉴别第2部分:使用零知识技术的机制 GB/T17964-2008 信息技术安全技术 分组密码算法的工作模式 YDT 1699-2007 移动终端信息安全技术要求 YDT 1700-2007 移动终端信息安全测试方法 YDT 2407-2013 移动智能终端安全能力技术要求 YDT 2408-2013 移动智能终端安全能力测试方法 GlobalPlatform Device Technology TEE Secure Element API Version 1.1.1 主要工作过程 工作组成立 2016年1月，发起单位大唐微电子召集了产业链几家单位，共同讨论了国、内外移动智能终端密码模块安全技术要求和检测标准的现状、存在的问题和发展需求，提出了研究报告的总体思路和基本原则，并根据需要与多家单位沟通，成立工作组，制定了工作计划，进行了任务划分，正式启动该课题研究。 调研阶段 2016年7月7日，召开工作组全体单位第二次技术研讨会，国密局要求各单位充分调研、了解介绍应用行业需求；初步确定标准方案的框架，由大唐微电子列出调研报告的大纲目录，发给各单位与会代表分头调研、汇总。 2016年8月2日，讨论汇总后的调研报告《移动智能终端密码应用技术体系及标准体系研究》（以下简称《研究报告》），由各单位根据已涉及的行业应用情况，对密码技术应用场景、安全需求分析、解决方案和建议等内容进行讲解； 标准初稿编写阶段 2016年12月29日，在大唐