网络安全技术 公钥密码应用技术体系框架及编制说明.pdf

目次

目次I

前言II

网络安全技术公钥密码应用技术体系框架1

1范围1

2规范性引用文件1

3术语和定义1

3.11

4公钥密码应用技术体系框架1

4.1概述1

4.2密码设备层2

4.3通用密码服务层2

4.4典型密码服务层2

4.5密码基础设施层3

5框架内各部分间的关系3

参考文献4

GB/TXXXX—XXXX

前 言

本文件按照GB/T1.12020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规则编

写。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由全国网络安全标准化技术委员会(SAC/TC260)提出并归口。

本文件起草单位：

本文件主要起草人：

II

GB/TXXXX—XXXX

网络安全技术公钥密码应用技术体系框架

1范围

本文件提出了公钥密码应用技术体系框架，描述了该框架内各组成部分及其关系。

本文件适用于公钥密码产品的研制和开发，并为应用系统使用密码服务提供指导。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其必威体育精装版版本（包括所有的修改单）适用于本

文件。

GB/T25069信息安全技术术语

3术语和定义

GB/T25069界定的以及下列术语和定义适用于本文件。

3.1

密码资源池cryptographicresourcepool

一组密码物理资源或虚拟密码资源的集合，能够对密码资源进行实时监控、合理分配和负载均衡，

具有可扩展性、高性能、低风险等特点。

4公钥密码应用技术体系框架

4.1概述

公钥密码应用技术体系框架包括密码设备层、通用密码服务层、典型密码服务层和密码基础设施层，

由此四部分有机结合组成，为上层各业务应用提供统一的密码服务。在该框架内，密码设备层面向通用

密码服务层提供密钥管理和基础密码运算服务；通用密码服务层面向典型密码服务层和业务应用提供数

据加解密、数字签名及验证等密码功能服务；典型密码服务层面向业务应用提供身份鉴别、访问控制、

电子签章及时间戳等密码应用服务；密码基础设施层面向上述三层提供时间认证、权限认证、公钥认证

和设备远程管理应用等基础服务。

该框架中，通用密码服务层和典型密码服务层属于中间件，可实体化实现，也可以虚拟化实现。

公钥密码应用技术体系框架如图1所示：

1

GB/TXXXX—XXXX

图1公钥密码应用技术体系框架图

4.2密码设备层

密码设备层包括智能密码钥匙、密码模块、密码机和密码资源池等设备，通过标准接口向通用密码

服务层提供密钥生成、密码运算等基础密码服务。

密码设备还具备密钥的加载、存储、更新、备份和恢复等功能，并保障密钥在密码设备中的安全。

密码设备可通过密码设备管理系统提供的标准接口来接受远程管理。

4.3通用密码服务层

通用密码服务层通过标准接口，向上层业务应用和典型密码服务层提供与密码设备、密码算法和具

体密钥无关的密码功能服务。

通用密码服务层提供证书或标识的解析、证书或标识的验证，数据的加密解密及签名验签等通用的

密码服务功能，将上层的密码服务请求转化为具体的基础密码操作请求，通过调用密码设备实现具体的

密码运算和密钥操作。

4.4典型密码服务层

典型密码服务层包括身份鉴别、访问控制、时间戳和电子签章等服务，面向上层应用提供统一的共

性密码应用服务。

典型密码服务层需要的密码功能由通用密码服务层提供。

身份鉴别通过标准接口为上层业务应用提供身份查询、身份解析、身份验证等身份鉴别服务。