《网络安全技术公钥密码应用技术体系框架》.doc

GB/TXXXX—XXXX

GB/TXXXX—XXXX

PAGE

PAGE2

PAGE

PAGEI

ICS35.030CCSL80XXXX-XXXX-XX实施GB/TXXXX—XXXX中华人民共和国国家标准网络安全技术公钥密码应用技术体系框架Cybersecuritytechnology—Publickeycryptographicapplicationtechnologyframework

ICS35.030

CCSL80

XXXX-XXXX-XX实施

GB/TXXXX—XXXX

中华人民共和国国家标准

网络安全技术

公钥密码应用技术体系框架

Cybersecuritytechnology—

Publickeycryptographicapplicationtechnologyframework

（征求意见稿）

XXXX-XX-XX发布

ICS35.040.

L80

PAGE

PAGE3

网络安全技术公钥密码应用技术体系框架

范围

本文件提出了公钥密码应用技术体系框架，描述了该框架内各组成部分及其关系。

本文件适用于公钥密码产品的研制和开发，并为应用系统使用密码服务提供指导。

规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T25069信息安全技术术语

术语和定义

GB/T25069界定的以及下列术语和定义适用于本文件。

密码资源池cryptographicresourcepool

一组密码物理资源或虚拟密码资源的集合，能够对密码资源进行实时监控、合理分配和负载均衡，具有可扩展性、高性能、低风险等特点。

公钥密码应用技术体系框架

概述

公钥密码应用技术体系框架包括密码设备层、通用密码服务层、典型密码服务层和密码基础设施层，由此四部分有机结合组成，为上层各业务应用提供统一的密码服务。在该框架内，密码设备层面向通用密码服务层提供密钥管理和基础密码运算服务；通用密码服务层面向典型密码服务层和业务应用提供数据加解密、数字签名及验证等密码功能服务；典型密码服务层面向业务应用提供身份鉴别、访问控制、电子签章及时间戳等密码应用服务；密码基础设施层面向上述三层提供时间认证、权限认证、公钥认证和设备远程管理应用等基础服务。

该框架中，通用密码服务层和典型密码服务层属于中间件，可实体化实现，也可以虚拟化实现。

公钥密码应用技术体系框架如图1所示：

图1公钥密码应用技术体系框架图

密码设备层

密码设备层包括智能密码钥匙、密码模块、密码机和密码资源池等设备，通过标准接口向通用密码服务层提供密钥生成、密码运算等基础密码服务。

密码设备还具备密钥的加载、存储、更新、备份和恢复等功能，并保障密钥在密码设备中的安全。

密码设备可通过密码设备管理系统提供的标准接口来接受远程管理。

通用密码服务层

通用密码服务层通过标准接口，向上层业务应用和典型密码服务层提供与密码设备、密码算法和具体密钥无关的密码功能服务。

通用密码服务层提供证书或标识的解析、证书或标识的验证，数据的加密解密及签名验签等通用的密码服务功能，将上层的密码服务请求转化为具体的基础密码操作请求，通过调用密码设备实现具体的密码运算和密钥操作。

典型密码服务层

典型密码服务层包括身份鉴别、访问控制、时间戳和电子签章等服务，面向上层应用提供统一的共性密码应用服务。

典型密码服务层需要的密码功能由通用密码服务层提供。

身份鉴别通过标准接口为上层业务应用提供身份查询、身份解析、身份验证等身份鉴别服务。

访问控制通过标准接口为上层业务应用提供系统资源的访问控制，实现用户角色管理、系统资源管理、访问控制策略管理和用户授权管理等功能。

电子签章通过标准接口为上层业务应用提供电子印章制作、电子印章验证、电子签章生成和电子签章验证功能。

时间戳通过标准接口为上层业务应用和典型密码服务层中的其它组成部分提供与时间戳服务系统无关的时间戳加盖、验证等时间认证服务。

密码基础设施层

密码基础设施层由电子认证服务系统、授权管理系统、时间戳服务系统及密码设备管理系统等组成，为通用密码服务层、典型密码服务层、密码设备层提供统一的基础服务。

电子认证服务系统包括证书认证系统和标识密码认证系统，通过接口对通用密码服务层提供标准的接口调用，实现应用对证书或标识密钥的访问与管理；

授权服务系统通过接口对访问控制典型应用提供标准的接口调用，实现授权与访问控制的机制；

时间戳服务系统通过接口对时间戳典型应用提供标准的接口调用，为时间戳提供产生和管理服务；

密码设备管理通过接