登录
EN

读懂《密码标准应用指南》,做合规的密码产品和技术服务

2021-08-09

一、密码标准综述

 

密码技术是网络安全的核心基础支撑,密码技术、管理和应用标准化是大规模商用的必由之路。截止到2017年6月,国家密码管理局已发布了我国自主的密码技术标准53项,涵盖基础密码算法、密码应用协议、密码设备接口等方面。自2015年起,以全国信息安全标准化技术委员会(信安标委)WG3密码技术标准工作组为依托,将具有通用性的11项密码行业标准升级为国家标准。

 

2017年11月,密码行业标准化技术委员会(密标委)发布了2018版《密码标准应用指南》,用以指导国内各行业正确使用密码算法、技术和产品。国内商用密码生产商、技术服务商、密码应用单位(特别是金融机构、政府机构等)应遵循该指南和具体相关的密码标准,从产品研发、技术应用、保密管理等角度,落实好国产密码的自主可控政策。

 

二、密码标准框架

 

2018版的《密码标准应用指南》将密码标准体系框架划分为:密码基础类标准、基础设施类标准、密码设备类标准、密码服务类标准、密码检测类标准、密码管理类标准、密码应用类标准。

 

clip_image002.png

 

其中,(1)密码基础类标准主要规定了通用密码技术和算法的要求;(2)基础设施类标准主要规定了认证体系等密码基础设施的要求;(3)密码设备类标准主要规定了接口、规格和安全要求;(4)密码服务类标准规定了密码报文、调用接口等方面的要求;(5)密码检测类标准针对基础类标准、设备类标准、服务类标准等对定了相应的检测要求;(6)密码管理类标准规定了设备管理、密钥管理、设备监察等方面的要求;(7)密码应用类标准规定了使用密码技术实现密码应用的要求(如动态口令、电子签章等、IC卡应用等)。

 

三、密码标准清单

 

国内密码算法的使用、密码产品的研发生产、密码技术服务、密码产品和系统检测、密码管理、密码应用安全等方面的工作,应遵循相应的标准。本指南相关的具体标准可在密标委网站查询:http://www.gmbz.org.cn/main/bzlb.html。

 

2018版《密码标准应用指南》公布的密码标准清单如下:

 

(一)密码标准类

 

1.GM/T 0001-2012 祖冲之序列密码算法

对应国家标准:

GB/T 33133.1-2016 《信息安全技术 祖冲之序列密码算法 第1部分 算法描述》

2.GM/T 0002-2012 SM4分组密码算法

对应国家标准:

GB/T 32907-2016 《信息安全按技术 SM4分组密码算法》

3.GM/T 0003-2012 SM2椭圆曲线公钥密码算法

对应国家标准:

GB/T 32918.1-2016 《信息安全技术 SM2椭圆曲线公钥密码算法第1部分 总则》

GB/T 32918.2-2016 《信息安全技术 SM2椭圆曲线公钥密码算法第2部分 数字签名算法》

GB/T 32918.3-2016 《信息安全技术 SM2椭圆曲线公钥密码算法第3部分 密钥交换协议》

GB/T 32918.4-2016 《信息安全技术 SM2椭圆曲线公钥密码算法第4部分 公钥加密算法》

GB/T 32918.5-2017 《信息安全技术 SM2椭圆曲线公钥密码算法第5部分 参数定义》

4.GM/T 0004-2012 SM3密码杂凑算法

对应国家标准:

GB/T 32905-2016《信息安全技术 SM3杂凑密码算法》

5.GM/T 0006-2012 密码应用标识规范

对应国家标准:

GB/T 33560-2017《信息安全技术 密码应用标识规范》

6.GM/T 0009-2012 SM2密码算法使用规范

7.GM/T 0010-2014 密码算法加密签名消息语法规范

8.GM/T 0028-2014 密码模块安全技术要求

9.GM/T 0044-2016 SM9标识密码算法

10.GM/Z 4001-2013 密码术语

 

(二)基础设施类标准

 

11.GM/T 0014-2012 数字证书认证系统密码协议规范

12.GM/T 0015-2012 基于SM2密码算法的数字证书格式规范

13.GM/T 0034-2014 基于SM2密码算法的证书认证系统密码及其相关安全技术规范

 

(三)密码设备类标准

 

14.GM/T 0012-2012 可信计算 可信密码模块接口规范

15.GM/T 0016-2012 智能密码钥匙密码应用接口规范

16.GM/T 0017-2012 智能密码钥匙密码应用接口数据格式规范

17.GM/T 0018-2012 密码设备应用接口规范

18.GM/T 0022-2014 IPSec VPN技术规范

对应国家标准:

GB/T 32922-2016 《信息安全技术IPSec VPN安全接入技术要求与实施指南》

19.GM/T 0023-2014 IPSec VPN网关产品规范

20.GM/T 0024-2014 SSL VPN技术规范

21.GM/T 0025-2014 SSL VPN网关产品规范

22.GM/T 0026-2014 安全认证网关产品规范

23.GM/T 0027-2014 智能密码钥匙技术规范

24.GM/T 0029-2014 签名验签服务器技术规范

25.GM/T 0030-2014 服务器密码机技术规范

26.GM/T 0045-2016 金融数据密码机技术规范

 

(四)密码服务类标准

 

27.GM/T 0011-2012 可信计算 可信密码支撑平台功能与接口规范

对应国家标准:

GB/T 29829-2013 《信息安全技术 可信密码支撑平台功能与接口规范》

28.GM/T 0019-2012 通用密码服务接口规范

29.GM/T 0020-2012 证书应用综合服务接口规范

30.GM/T 0032-2014 基于角色的授权管理与访问控制技术规范

31.GM/T 0033-2014 时间戳接口规范

 

(五)密码检测类标准

 

32.GM/T 0005-2012 随机性检测规范

对应国家标准:

GB/T 32915-2016 《信息安全技术 二元序列随机性检测方法》

33.GM/T 0008-2012 安全芯片密码检测准则

34.GM/T 0013-2012 可信计算 可信密码模块接口符合性测试规范

35.GM/T 0037-2014 证书认证系统检测规范

36.GM/T 0038-2014 证书认证密钥管理系统检测规范

37.GM/T 0039-2015 密码模块安全检测要求

38.GM/T 0040-2015 射频识别标签模块密码检测准则

39.GM/T 0041-2015 智能IC卡密码检测规范

40.GM/T 0042-2015 三元对等密码安全协议测试规范

41.GM/T 0043-2015 数字证书互操作检测规范

42.GM/T 0046-2016 金融数据密码机检测规范

43.GM/T 0047-2016 安全电子签章密码检测规范

44.GM/T 0048-2016 智能密码密钥密码检测规范

45.GM/T 0049-2016 密码键盘密码检测规范

 

(六)密码管理类标准

 

46.GM/T 0050-2016 密码设备管理 设备管理技术规范

47.GM/T 0051-2016 密码设备管理 对称密钥管理技术规范

48.GM/T 0052-2016 密码设备管理 VPN设备监察管理规范

49.GM/T 0053-2016 密码设备管理 远程监控和合规性检验接口数据规范

 

(七)密码应用类标准

 

50.GM/T 0021-2012 动态口令密码应用技术规范

51.GM/T 0031-2014 安全电子签章密码技术规范

52.GM/T 0035-2014 射频识别系统密码应用技术要求

53.GM/T 0036-2014 采用非接触卡的门禁系统密码应用技术指南

 

在国家大力提倡网络安全自主可控的形势下,各行各业(特别是金融、政府、电信、电子商务、军队等)对国产密码产品和技术的应用需求越来越迫切,同时,随着网络安全等级保护2.0时代的到来,也对重要信息系统的密码产品和技术应用提出了更高要求。我们相信,以国家安全和自主可控为出发点,更好地贯彻《密码标准应用指南》,大力发展国产密码产品和技术应用,定会为我国的网络安全事业做出更大贡献。

 

江南天安作为全国信息安全标准化技术委员会WG3(密码技术标准工作组)、WG5、WG7、SWG组成员,及北京商用密码行业协会副会长单位,积极参与了密码行业标准和信息安全国家标准的研究和制修订工作。