《商用密码应用与安全性评估》第三章商用密码标准与产品应用-小结.pdfVIP

其身正，不令而行；其身不正，虽令不从。——《论语》 《商⽤密码应⽤与安全性评估》第三章商⽤密码标准与产品应 ⽤-⼩结 ①功能要求 ②硬件要求 ③软件要求 ④业务要求 ⑤安全性要求 ⑥测试要求 密码标准体系概要： 技术维： 1. 密码基础类：主要对通⽤密码技术进⾏规范，是体系框架内的基础性规范，主要包括密码术语与标识标准、密码算法标准、密码设计 与使⽤标准等 2. 密码设施类：主要针对密码基础措施进⾏规范，包括：证书认证系统密码协议、数字证书格式、证书认证系统密码及相关安全技术等 3. 密码产品类：主要规范各种密码产品的接⼝、规格以及安全要求 4. 应⽤⽀撑类：针对密码报⽂、交互流程、调⽤接⼝等⽅⾯进⾏规范，包括通⽤⽀撑和典型⽀撑两个层⾯。通⽤⽀撑规范：通过统⼀的 接⼝向典型⽀撑标准和密码应⽤标准提供加解密、签名验签等通⽤密码功能；典型⽀撑类标准：基于密码技术实现的与应⽤⽆关的安 全机制、安全协议和服务接⼝，如可信密码⽀撑平台接⼝、证书应⽤综合服务接⼝等 5. 密码应⽤类：对使⽤密码技术实现某种安全功能的应⽤系统提出的要求以及规范，包括应⽤要求和典型应⽤两类。应⽤要求：旨在规 范社会各⾏业信息系统对密码技术的合规使⽤；典型应⽤：定义了具体的密码应⽤，如动态⼝令、安全电⼦签章、其他⾏业标准机构 制定的跟⾏业密切相关的密码应⽤类标准 6. 密码检测类：针对标准体系所确定的基础、产品和应⽤等类型的标准出台对应检测标准，如针对随机数、安全协议、密码产品功 能和安全性等⽅⾯的检测规范 7. 密码管理类：主要包括国家密码管理部门在技术管理、标准管理、产业管理、测评管理、监查管理等⽅⾯的管理规程和实施指南 管理维： ①团体标准 ②⾏业标准 ③国家标准 应⽤维： ①物联⽹应⽤ ②云计算应⽤ ③交通⾏业应⽤ ④社保⾏业应⽤ ⑤电⼒⾏业应⽤ ⑥⾦融⾏业 商⽤密码⾏业标准分为 ：基础类标准、应⽤类标准、检测类标准、管理类标准、 服务器密码机主要提供：数据加解密、数据签名验签及密钥管理等⾼性能密码服务。既可以为安全公⽂传输系统、安全电⼦邮件系统、电⼦ 签章系统等提供⾼性能的数据加解密服务；⼜可以作为主机数据安全存储系统、⾝份认证系统、以及对称/⾮对称密钥管理系统的主要密码 设备和核⼼组件 VPN设备 ：为远程服务提供安全接⼊⼿段，为⽹络通信提供保密性、完整性保护，以及数据源的⾝份鉴别和抗重放攻击等安全功能 加密硬盘 ：⼀般采⽤密码芯⽚对数据进⾏加密保护，还带有对⽤户⾝份鉴别的功能，该功能可与智能IC卡等⾝份鉴别产品配合使⽤ 认证⽹关：主要为⽹络应⽤提供基于数字证书的⾼强度⾝份鉴别服务 证书认证系统：对⽣命周期内的数字证书进⾏全过程管理的系统，包括⽤户注册管理、证书/CRL的⽣成与签发、证书/CRL的存储和发布、 证书状态的查询及安全管理等，通常还与密钥管理系统配合部署（“双中⼼”） 时间戳服务器 ：基于PKI技术的时间戳权威系统，对外提供精准可信的时间戳服务 商⽤密码产品按功能划分为七类： 1. 密码算法类：①算法芯⽚ ：椭圆曲线密码算法芯⽚、数字物理噪声源芯⽚ ；②安全芯⽚ ：密码板主控芯⽚ 2. 数据加解密类：服务器密码机、云服务器密码机、VPN设备、加密硬盘 3. 认证鉴别类：认证⽹关、动态⼝令系统、签名验证服务器 4. 证书管理类：证书认证系统 5. 密钥管理类：提供密钥⽣成、分发、更新、归档和恢复等功能的产品，如密钥管理系统等。通常以系统形态出现，通常包括产⽣密钥 的硬件，如密码机、密码卡，以及实现密钥存储、分发、备份、更新、销毁、归档、恢复、查询、统计等服务功能的软件。典型产品 有 ：⾦融IC卡密钥管理系统、证书认证密钥管理系统、社会保障卡密钥管理系统、⽀付服务密钥管理系统。 （密钥管理类产品⼀般是 各类密码系统的核⼼） 6. 密码防伪类：电⼦印章系统 （包括电⼦印章制作系统、电⼦印章服务系统两部分）、时间戳服务器 百学须先立志。——朱熹 海纳百川，有容乃大；壁立千仞，无欲则刚。——林则徐 7. 综合类：提供上述六类产品功能的两种或两种以上的测评，如⾃动柜员机（ATM）密码应⽤系统 商⽤密码产品按形态划分为六类： 1. 软件：密码算法软件 2. 芯⽚：算法芯⽚、安全芯⽚ 3. 模块：具备专⽤密码功能的产品，如加解密模块、安全控制模块 4. 板卡：智能IC卡、智能密码钥匙、密码卡 5. 整