密评：依据标准

Jasioniso

已于 2024-11-12 14:33:51 修改

阅读量696

点赞数 4

分类专栏：密评文章标签：网络服务器 linux

于 2024-11-12 14:20:08 首次发布

本文链接：https://blog.csdn.net/weixin_46849758/article/details/143713164

版权

密评专栏收录该内容

9 篇文章

订阅专栏

1.密码标准体系概要

2018版密码标准体系框架从技术、管理和应用三个维度对密码标准进行布局，如图所示。

1．技术维
技术维主要从标准所处技术层次的角度进行刻画，共有七大类，这其中包括：密码基础类、基础设施类、密码产品类、应用支撑类、密码应用类、密码检测类和密码管理类。这七类标准的关系如图所示。

1）密码基础类标准
密码基础类标准主要对通用密码技术进行规范，它是体系框架内的基础性规范，主要包括密码术语与标识标准、密码算法标准、密码设计与使用标准等。包括以下标准：
GM/Z 0001-2013《密码术语》
GB/T 33133-2021《信息安全技术祖冲之序列密码算法》
GB/T 32907-2016《信息安全技术 SM4 分组密码算法》
GB/T 32918-2016《SM2 椭圆曲线公钥密码算法》
GB/T 32905-2016《信息安全技术 SM3 密码杂凑算法》
GB/T 33560-2017《信息安全技术密码应用标识规范》
GB/T 37092-2018《信息安全技术密码模块安全要求》
GB/T 35276-2017《信息安全技术 SM2密码算法使用规范》
GB/T 35275-2017《信息安全技术 SM2密码算法加密签名消息语法规范》
GB/T 38635-2020 《信息安全技术 SM9标识密码算法》；

2）基础设施类标准
基础设施类标准主要针对密码基础设施进行规范，包括：证书认证系统密码协议、数字证书格式、证书认证系统密码及相关安全技术等。目前己颁布的密码标准只涉及公钥基础设施，未来可能还会出现标识基础设施等其他密码基础设施类标准。包括以下标准：
GM/T 0014-2023《数字证书认证系统密码协议规范》
GB/T 20518-2018《信息安全技术公钥基础设施数字证书格式》
GB/T 25056-2018《信息安全技术证书认证系统证书认证系统密码及其相关安全技术规范》

3）密码产品类标准
密码产品类标准主要规范各类密码产品的接口、规格以及安全要求。从产品检测角度，密码产品可大致分为安全芯片、密码模块类和密码系统类二大类。密码产品类标准，对于智能密码钥匙、VPN、安全认证网关、密码机等密码产品给出设备接口、技术规范和产品规范；对于密码模块类产品的安全性，则不区分产品功能的差异，而以统一的密码模块分级安全性标准给出要求；对于密码产品的配置和技术管理架构，则以GM/T 0050-2016《密码设备管理设备管理技术规范》为基础统一制定。包括以下标准：
GM/T 0012-2020《可信计算可信密码模块接口规范》
GB/T 35291-2017《信息安全技术智能密码钥匙应用接口规范》
GM/T 0017-2023《智能密码钥匙密码应用接口数据格式规范》
GM/T 36322-2018《信息安全技术密码设备应用接口规范》
GB/T 36986-2020《信息安全技术 IPSec VPN 技术规范》
GM/T 0023-2023《IPSec VPN 网关产品规范》
GM/T 0024-2023《SSL VPN 技术规范》
GM/T 0025-2023《SSL VPN 网关产品规范》
GM/T 0026-2023《安全认证网关产品规范》
GM/T 0027-2014《智能密码钥匙技术规范》
GB/T 37092-2018《信息安全技术密码模块安全技术要求》
GB/T 38629-2020《信息安全技术签名验签服务器技术规范》
GM/T 0030-2014《服务器密码机技术规范》
GM/T 0045-2016《金融数据密码机》
GM/T 0050-2016《密码设备管理设备管理技术规范》
GM/T 0051-2016《密码设备管理对称密钥管理技术规范》
GM/T 0052-2016《密码设备管理 VPN设备监察管理规范》
GM/T 0053-2016《密码设备管理远程监控与合规性检验接口数据规范》
GM/T 0056-2018《多应用载体密码应用接口规范》
GM/T 0058-2018《可信计算TCM服务模块接口规范》

4）应用支撑类标准
应用支撑类标准针对密码报文、交互流程、调用接口等方面进行规范，包括通用支撑和典型支撑两个层次。通用支撑规范（GM/T 0019-2012）通过统一的接囗向典型支撑标准和密码应用标准提供加解密、签名验签等通用密码功能，典型支撑类标准是基于密码技术实现的与应用无关的安全机制、安全协议和服务接口，如可信计算可信密码支撑平台接口、证书应用综合服务接口等。包括以下标准：
GB/T 29829-2022《信息安全技术可信计算密码支撑平台功能与接口规范》
GM/T 0019-2023《通用密码服务接口规范》
GM/T 0020-2023《证书应用综合服务接口规范》
GM/T 0032-2014《基于角色的授权与访问控制技术规范》
GM/T 0033-2023《时间戳接口规范》
GM/T 0057-2018《基于IBC技术的身份鉴别规范》
GM/T 0067-2019《基于数字证书的身份鉴别接口规范》
GM/T 0068-2019《开放的第三方资源授权协议框架》
GM/T 0069-2019《开放的身份鉴别框架》

5）密码应用类标准
密码应用类标准是对使用密码技术实现某种安全功能的应用系统提出的要求以及规范，包括应用要求和典型应用两类。应用要求旨在规范社会各行业信息系统对密码技术的合规使用，典型应用则定义了具体的密码应用，如动态口令、安全电子签章等。典型应用类标准也包括其它行业标准机构制定的跟行业密切相关的密码应用类标准，如JR/T 0025《中国金融集成电路(IC)卡规范》中，对金融℃卡业务过程中的密码技术应用做了详细规范。包括以下标准：
GB/T 38556-2020《信息安全技术动态口令密码应用技术规范》
GB/T 38540-2020《信息安全技术安全电子签章密码技术规范》
GB/T 37033-2018《信息安全技术射频识别系统密码应用技术要求》
GM/T 0036-2014《采用非接触卡的门禁系统密码应用技术指南》
GB/T 39786-2021《信息安全技术信息系统密码应用基本要求》
GM/T 0055-2018《电子文件密码应用技术规范》
GM/T 0070-2019《电子保单密码应用技术要求》
GB/T 38541-2020《信息安全技术电子文件密码应用指南》
GM/T 0072-2019《远程移动支付密码应用技术要求》
GM/T 0073-2019《手机银行信息系统密码应用技术要求》
GM/T 0074-2019《网上银行密码应用技术要求》
GM/T 0075-2019《银行信贷信息系统密码应用技术要求》
GM/T 0076-2019《银行卡信息系统密码应用技术要求》
GM/T 0077-2019《银行核心信息系统密码应用技术要求》

6）密码检测类标准
密码检测类标准针对标准体系所确定的基础、产品和应用等类型的标准出台对应检测标准，如针对随机数、安全协议、密码产品功能和安全性等方面的检测规范其中对于密码产品的功能检测，分别针对不同的密码产品定义检测规范；对于密码产品的安全性检测则基于统一的准则执行。包括以下标准：
GB/T 32915-2016 《信息安全技术二元序列随机性检测方法》
GM/T 0008-2012 《安全芯片密码检测准则》
GM/T 0013-2021 《可信计算可信密码模块接口符合性测试规范》
GM/T 0037-2014 《证书认证系统检测规范》
GM/T 0038-2014 《证书认证密钥管理系统检测规范》
GB/T 38625-2020 《信息安全技术密码模块安全检测要求》
GM/T 0040-2015 《射频识别标签模块密码检测准则》
GM/T 0041-2015 《智能IC卡密码检测规范》
GM/T 0042-2015 《三元对等密码安全协议测试规范》
GM/T 0043-2015 《数字证书互操作检测规范》
GM/T 0046-2016 《金融数据密码机检测规范》
GM/T 0047-2016 《安全电子签章密码检测规范》
GM/T 0048-2016 《智能密码钥匙密码检测规范》
GM/T 0049-2016 《密码键盘密码检测规范》
GM/T 0059-2018 《服务器密码机检测规范》
GM/T 0060-2018 《签名验签服务器检测规范》
GM/T 0061-2018 《动态口令密码应用检测规范》
GM/T 0062-2018 《密码产品随机数检测要求》
GM/T 0063-2018 《智能密码钥匙密码应用接口检测规范》
GM/T 0064-2018 《限域通信(RCC)密码检测要求》