商用密码应用与安全性评估要点笔记（密码标准和产品）

3.5 密码标准和产品

词条

内容

智能IC卡分类

1. 存储器卡，外部可对片内信息任意存储，存放不需要保密的信息

2. 逻辑加密卡，硬件加密逻辑，具备简单的信息处理能力。保密要求较低的场合。

3. 智能CPU卡，如银行卡、门禁卡、护照、身份证、社保卡、手机SIM卡

4. 接触式（多个金属触点）

5. 非接触式（射频技术）

6. 双界面卡，以上两种的结合。

智能IC卡应用系统

发卡系统

智能IC卡

读卡器（接口设备）：与智能IC卡之间通过APDU（应用协议数据单元）交互

后台管理系统：PC、服务器、密码机

APDU（一次交互）

命令APDU，读卡器发送给IC卡

响应APDU，IC卡发送给读卡器

智能IC卡鉴别机制

智能IC卡对持卡人鉴别，利用PIN码的方式。

智能IC卡对读卡器鉴别（外部鉴别），基于“挑战-响应”（预先共享对称密钥）。

读卡器对智能IC卡鉴别（内部鉴别），基于“挑战-响应”（预先共享对称密钥）。

读卡器和IC卡相互鉴别，结合外部鉴别和内部鉴别机制来实现。

智能IC卡相关规范（1项）及要点

GM/T0041-2015《智能IC卡密码检测规范》（检测类1项）

1. 密钥文件的建立（文件大小分配）与主控密钥的更新
2. IC卡密钥体系（根密钥的生成-后台系统密码机生成，安全导入到读卡器或者后天安全模块中；密钥管理系统通过对称加密算法对根密钥进行密钥分散，一卡一密。

智能密码钥匙产品

存储用户秘密信息（私钥，证书），数据加解密，数据完整性校验，数字签名，访问控制等功能。

和智能IC卡一样基于处理器芯片，不同则是：前者对卡中信息提供访问控制与读卡器交互，后者作为私钥和数字证书的载体，向具体的应用提供密码运算功能。

基于身份的用户鉴别，采用PIN来实现。

第二代智能密码钥匙

为避免为伪造的数据生成签名，增加了与用户的交互过程。从待签名数据中提取关键信息，技术显示在屏幕上供用户确认。

智能密码钥匙相关规范（4项）

GM/T0048-2016《智能密码钥匙密码检测规范》（检测类1项）

GM/T0016-2012《智能密码钥匙应用接口规范》-基于PKI密码体制

GM/T0017-2012《智能密码钥匙密钥应用接口数据格式规范》-APDU报文，适用于研制、使用和检测。

GM/T0027-2014《智能密码钥匙技术规范》（产品类3项目）-相当于产品白皮书

智能密码钥匙要点

（1）密钥体系：设备认证密钥；用户密钥（签名-内部生成、加密-外部生成导入）；会话密钥（内外部均可）

（2）初始化包括出厂初始化（设备认证密码初始化）和应用初始化（修改设备认证密码、建立相应的应用参数）。

（3）除特殊情况（国际互联互通），使用商密算法。

（4）PIN不少于6个字符，错误次数限制不超过10次。安全存储访问和传输（防重放攻击），不能输出。

（5）每次签名前都要对用户进行身份鉴别，执行完后理解清除，下次执行敏感操作前再进行身份鉴别。

密码机产品

实现数据加解密、签名\验证、密钥管理和随机数生成等功能。

1. 通用型服务器密码机
2. 签名验签密码机（证书认证领域）
3. 金融数据密码机（金融行业）

一般情况下，密码机作为后台设备采用网络直连的方式连接到具体业务系统。

SM3、SM4处理速率磕到10Gb/s，SM2签名速率可达150万次/s。

服务器密码机

1. 工控机+PCI/PCI-E密码卡
2. 硬件自主设计，计算机主板功能和密码芯片集成到一个板卡上，提高集成度和稳定性。

采用智能卡、智能密码钥匙对管理员鉴别。采用安全管理链路实现设备远程管理。

签名验签密码机

主要用于数字认证系统以及基于PKI的业务系统，提供数字证书的管理和验证服务。支持初始化、CA链接（CRL、OSCP）、应用管理、证书管理、备份和恢复等。

3种方式提供服务：

1. API调用方式。
2. 通用请求响应方式。（ASN.1格式）
3. HTTP请求响应方式。（web文本格式）

金融数据密码机

提供PIN加密、PIN转加密、MAC产生和校验、数据加解密、签名验证及密钥管理

密码机相关标准（7项）

3项检测规范、4项产品规范 GM/T0018-2012《密码设备应用接口规范》

服务器密码机应用要点

密钥体系，至少三层

1. 管理密钥（不对外，与应用无关）
2. 用户密钥（签名、加密）、设备密钥（签名、加密，可以和用户密码存储在同一区域）、密钥加密密钥（定期更换对称密钥，对会话密钥保护）
3. 会话密钥（不能以明文形态进出密码机）

服务器密码机接口类别和调用：设备管理类、密钥管理类、非对称算法运算类函数、对称算法运算类函数、杂凑运算函数、文件类函数。

签名验签服务器应用要点

有格式和无格式的数字签名/签名验证、数字证书的验证服务。密钥体系与服务器密码机基本类似。

金融数据密码机应用要点

基于对称密码三层体制，“自上而下逐层保护”，所有密钥不能以明文形态出现在密码机外部，必须采用加密或知识拆分导入导出。

1. 主密钥，必须强保护，加密或微电保护存储
2. 次主密钥，保护数据密钥，一般采用离线分发
3. 数据密钥，直接用于加密或校验，包括PIN密钥、MAC密钥，需要按时更新。

接口规范不使用API接口形式，直接以网络数据包格式的形式定义，利用socket编程直接调用。（磁卡条应用接口、IC卡应用接口、基础密码运算服务接口）

VPN产品

通过VPN技术提供的安全功能，用户可以实现在外部对企业内网资源的安全访问。

节省搭建网络的成本（不需要租用专门的物理链路）；连接方便灵活（不需要协商如何在双方之间建立租用线路）；传输数据安全可靠。IPSec VPN、SSL VPN以及安全认证网关（基于IPsec/SSL协议实现）。

IPSec VPN

工作在网络层，对应用层协议完全透明（不感知），如Web、SMTP、FTP、VoIP等。一般都是对远端开放一个网段，安全控制的力度相对较粗。

典型应用场景：

Site to Site,，End to Site 常见，使用隧道模式（必备模式）

End to End 不常见，可以使用隧道模式或传输模式（可选模式）

SSL VPN

工作在应用层和传输层之间，开放一个主机或端口，控制精细。基于B/S架构是SSL VPN最为常见的应用方式。客户端-服务器模式（必备），网关-网关模式（可选）

典型应用场景：只需要在内网出口部署SSL VPN网关，接入端采用集成SSL协议的终端即可。

安全认证网关

采用数字证书为应用系统提供用户管理、身份鉴别、单点登录、传输加密、访问控制和安全审计服务等功能，保证网络资源的安全访问。（一般安全网关不采用数字证书技术）

代理模式：（主流）基于IPsec、SSL VPN实现的网关产品。

调用模式：提供专用的安全功能（身份鉴别），被信息系统调用。

VPN相关规范（5项）

GM/T0022-0026-2014 5项产品类标准。

GM/T0022-2014《IPSec VPN技术规范》，明确和规范SM2、SM3、SM4的使用；增加对双证书的支持，身份鉴别必须使用数字证书方式，不再支持公私钥对方式；对IPv6支持。

VPN产品应用要点

对国密算法的支持

IPsec VPN在IKE阶段密码算法属性值定义：SM1 128、SM2 2（RSA 1，DE 10）、SM3 20（SHA-1 2），SM4 129

SSL VPN密码套件列表和属性值，在握手协议报文中解析。

IPsec VPN密钥体系

1. 设备密钥（签名、加密）用于IKE阶段身份鉴别和加密保护
2. 工作密钥（对称密钥）IKE第一阶段派生得到，用于第二阶段提供加密和完整性
3. 会话密钥（对称密钥）IKE第二阶段派生得到，用户数据报文及报文MAC的加密和完整性保护。

IPsec VPN密钥生命周期防护

设备密钥

签名密钥对（设备内部产生，公钥可以导出，私钥采用安全保护措施，安全形式备份，安全销毁）

加密密钥对（外部密钥管理机构产生）

工作密钥和会话密钥，不导入导出，掉电即丢失，不备份，链接断开或掉电销毁

IPSec、SSL VPN设备密钥对应的签名证书和加密证书应由外部认证机构签发，可是同一家，也可是建立信任关系的两家机构签发。

SSL VPN密钥体系

1. 设备密钥（签名、加密）用于握手协议身份鉴别，预主密钥加密保护
2. 预主密钥、主密钥，（对称密钥）
3. 工作密钥（对称密钥，加密和完整性保护），发送方-写密码，接收方-读密码

VPN管理员分权管理

安全管理员、系统管理员、审计管理员。采用表征用户身份信息的硬件装置和登录口令结合登录系统。口令不小于8字符，不包含全部或部分用户账号名，至少有四类字符中的三类。错误次数不超过8次。

安全认证网关应用要点

管理员分权管理。

部署模式：物理串联（必备）、物理并联（可选）

电子签章系统产品

确保“签名”文档来源的真实性和文档的完整性，防止文档篡改，确保签章行为不可否认性。

（1）电子印章：由制作者签名的包括持有者信息和图形化内容的数据，可用于签署电子文件。

（2）电子签章：使用电子印章签署电子文件的过程，包含电子印章信息和签名信息。

电子签章的四个部分：电子印章生成、电子签章生产、电子印章验证、电子签章验证。

电子签章系统构成

包含电子印章管理系统和电子签章软件，实现电子印章管理、电子印章、电子签章验证。（制章人-机构和签章人使用）

电子签章系统相关规范（2项）

1项产品规范，1项测试规范

电子签章系统应用要点

1. 除特殊情况外，应使用国密算法SM2、SM3
2. 电子印章数据格式（印章信息+签章人证书列表+制章人数字证书+签名值）、电子签章数据格式（电子印章+原文属性信息+签章人数字证书+签名值）
3. 电子印章验证：签章人和用户都可以验证，通过电子印章管理系统或电子签章软件均可。验证内容包括印章格式、印章签名、制章人证书有效性、印章有效期。
4. 生成电子签章过程：签章人签名证书并验证证书有效性；获取电子印章并验证印章；验证签章人数字证书是否在电子印章签章人列表中；获取待签名原文；形成原文杂凑值；组装待签名数据；生成电子签章签名值；把待签名数据、电子签章签名值打包形成电子签章数据，由电子文档阅读器放置到电子文档中，得到签章的电子文档。
5. 电子签章验证：签章人和用户都可以验证，通过电子印章系统或电子签章软件均可。验证内容包括：电子签章格式、签名验证、证书有效性、签章时间有效期、签章原文杂凑值、电子印章有效性、签章人证书列表GM/T0047-2016。

动态口令系统产品

一次性口令机制，广泛应用于身份鉴别场合。（用户名和口令方式）

三部分构成：动态令牌（生成动态口令）、认证系统（验证动态口令）和密钥管理系统（动态令牌的密钥管理）。

动态口令可使用对称密码算法或杂凑算法，一般为6-8位数字。

动态口令系统相关规范（2项）

1项产品规范（基于SM3和SM4两种选择），1项检测规范

动态口令系统密钥体系

三层体系(1)管理类密钥，（2）密钥加密类密钥，（3）种子密钥（动态口令生产）

管理类密钥

主密钥Km

厂商生产主密钥Kp，从主密钥Km派生出

密钥加密类密钥

种子密钥加密密钥Ks，从主密钥Km派生出

厂商种子密钥加密密钥Kps，从厂商生产主密钥Kp派生出

传输密钥Kt，用于保护Kp（在硬件密码设备内随机产生Kt）

种子密钥写入过程安全（动态令牌）

种子密钥写入动态令牌时过程必须在安全的生产环境中依照安全的管理机制进行。

写入线路的安全；计算机必须位于封闭、无网络连接的环境中；安全管理措施包括：

（1）安装监控设备（2）2人同时输入用户名和口令，1人操作1人审核（3）限制USB存储设备使用，除非获得允许。

种子密钥导入和存储（认证系统）

采用硬件传输方式（光盘）导入认证系统中，传输时采用密文形式。存储采用加密形式，SM4算法使用Ks密钥加密密钥。加密完成后，将Ks和明文种子密钥销毁。

种子密钥使用安全

使用种子密钥计算动态口令过程中的安全，全部在硬件密码设备中完成。

对加密的种子密码进行解密并计算出动态口令后，Ks和明文种子密码被销毁。

令牌使用采用PIN

PIN长度不少于6位十进制数字，防暴力穷举功能。连续输入错误不超过5次，若操作等1小时才能继续尝试。PIN输入超过最大尝试次数的情况不超过5次，否则令牌永久锁定，不能再使用。用户可以设置令牌锁定机制，连续尝试认证失败次数累计达到上限时，则令牌锁定。

认证服务器和应用服务器通信安全

Kp从应用服务器传输给厂商的过程中，需要使用Kt来加密Kp保护。

电子门禁系统产品

实现物理环境访问控制，目前多基于非接触式智能IC卡实现。

GM/T0036-2014《采用非接触卡的门禁系统密码应用技术指南》，基于对称密钥体制。

电子门禁系统组成

三部分构成：门禁卡、门禁读卡器和后天管理系统，通过设备内安全模块对系统提供安全保护。（1）门禁卡内安全模块。（2）门禁读卡器/后天管理系统内安全模块，具体方案设计时，可选择在读卡器或后台管理系统配用安全模块。

电子门禁系统密钥管理

（1）密钥管理子系统位门禁系统的密码应用生成密钥：向密码模块中注入密钥，从而完成密码模块发行。（2）发卡子系统通过门禁卡发卡设备进行分卡（初始化门禁卡、注入密钥、写应用信息等）-SM4算法做密钥分散，一卡一密。

电子门禁系统（智能IC卡）密码应用方案

1. 基于SM7算法的非接触式逻辑加密方案
2. 基于SM1、SM4算法的非接触式CPU卡方案（主要）

两种实现方式

1. 将安全模块部署在门禁卡和门禁读卡器中
2. 将安全模块部署在门禁开和后台管理系统中（适合门禁读卡器实时在线情况）

电子门禁系统的整体安全

1. 后台管理系统的管理要求；
2. 门禁读卡器与后台管理系统的安全；
3. 其他与密码安全机制无关的管理及技术措施，如口令识别、生物特征识别、人员值守等。

数字证书认证系统产品

对生命周期内的数字证书进行全过程管理的安全系统。签发的证书可以标明设备、用户、机构身份。

双证书：用户数字签名的证书和用于数据加密的证书

双中心：证书认证中心和密钥管理中心

数字证书认证系统逻辑分层

1. 核心层（密钥管理中心、证书/CRL生成与签发/存储与发布系统）
2. 管理层（证书管理系统、安全管理系统）
3. 服务层（证书CRL查询系统、用户注册管理系统、远程用户注册管理系统）

CA

提供数字证书在其生命周期中的管理服务。RA可多种建设方式（全部或部分托管在CA），提供人工审核或自动审核两种审核模式；支持多CA认证；提供证书签发、证书查询、证书状态查询、CRL下载、目录服务等功能。

RA

负责用户证书申请、身份审核、证书下载，支持本地或远程注册管理，证书申请和下载都是在线或离线。

KM

提供对生命周期内的加密证书密钥对进行全过程管理的功能。

数字证书认证系统相关规范（7项）

3项基础设施类规范，1项应用支撑类规范，3项密码检测类规范。

数字证书认证系统应用要点

检测分产品（CA服务器等组成的证书认证心痛）和项目（证书认证服务运营系统）两类，这两类检测内容各有区别。《证书认证系统检测规范》《证书认证密钥管理系统检测规范》

双证书、双中心

签名证书，用于签名的密钥对可以由用户利用具有密码运算功能的证书载体产生。

加密证书，用于加密的密钥对由密钥管理中心产生，并负责安全管理。

可以一起保存在用户的证书载体中，可通过Key Usage拓展字段内容区分。

双中心：密钥管理中心和证书认证中心

涉及的商密算法

SM2、SM3、SM4

CA和KM的管理员分权管理

设置超级管理员、审计管理员、审计员、业务管理员和业务操作员。各类人员使用证书登录，其中超级管理员和审计管理员的证书，应在CA和KM进行初始化时产生。KM工作人员的证书由KM自建的独立内部CA签发，自建的独立CA的根证书必须由国家级认证机构的根CA签发。

物理区域划分

证书认证系统物理区域划分：公共区、服务区、管理区、核心区，进入顺序为管理区、服务区、核心区。各区域间应放置防火墙，核心区设置独立的电磁屏蔽，各区域设置监控探头、消防探头及门禁系统，并设置监控室，对各区进行实时监控。

KM物理区域划分为：密钥服务区、密钥管理区，进入顺序为密钥管理区、密钥服务区。各物理区域间应放置防火墙，密钥服务区设置独立的电磁屏蔽，各区域设置监控探头、消防探头及门禁系统，并设置监控室，对各区进行实时监控。

配置安全策略保障网络安全

1. KM和CA在用一局域网内，通过防火墙与CA连接
2. 不在同一局域网内，应通过网络密码机与CA连接
3. 系统各相邻网段之间采用不同的防火墙进行隔离（路由模式），关闭所有不需要端口，对防火墙发现的安全事件应有相应的响应策略。
4. 服务区交换机上部署IDS，保证对外来所以信息包的检测。
5. 定期对关键设备进行漏洞扫描，对扫描发现的安全漏洞应有相应的响应策略，并及时更新漏洞库。
6. 系统中密码机应通过独立的物理端口与服务器连接。

CA中所使用密钥的整个生命周期进行防护

密钥安全基本要求：

1. 密钥的生成和使用必须在硬件密码设备中完成，安全可靠的管理机制
2. 在硬件密码设备之外的所有密钥必须加密
3. 密钥必须由安全可靠的备份和恢复机制
4. 密码设备操作必须由多个操作员实施

根CA存放在生成该密钥的密码设备中，采用密钥分割或密钥共享机制进行备份，设置3个或5个分管者保存分割后的根密钥（口令保护，保存在智能密码钥匙中）。

管理员证书密钥的安全性管理：

1. 管理员证书密钥的产生和使用必须在证书载体中完成
2. 密钥的生成和使用必须由安全可靠的管理机制
3. 管理员口令8个字符以上
4. 管理员账号要和普通用户账号严格分类管理

各组件间通信安全

CA各子系统之间、CA与KM之间、CA与RA之间（通信加密、安全协议等）

时间戳服务器

时间戳服务器是一款基于PKI（公钥密码基础设施）技术的时间戳权威系统，对外提供精确可信的时间戳服务。它采用精确 的时间源、高强度高标准的安全机制，以确认系统处理数据在某一时间的存在性和相关操作的相对时间顺序，为信息系统中的时间 防抵赖提供基础服务。