《SZSD01 0003—2024电子政务外网量子加密技术要求与实施指南.docx》由会员分享,可在线阅读,更多相关《SZSD01 0003—2024电子政务外网量子加密技术要求与实施指南.docx(10页珍藏版)》请在课桌文档上搜索。
1、前111范用12规范性引用文件13术语和定义14缩略语25基本原则25.125- 2遵循国家密码管理原则25.3 等缎保护合规性原则5.4 层级化管理原则5.5 准入测试原则5.6 番案原则6应用架构6.1 翊架构图6.2 2电子密钥生成层6.3 最子密钥传输层6.4 量子密蝌管理层46.5 量子密钠应用层47部署方式41.1 1械472分支机构与中心部署67.3 终端系统部署67.4 量子安全服务部詈67.5 业务系统部署68技术与管理要求781功能要求782性能要求783接11要求78.4管理要求89实施与应用99.1期乱场景992密钥充注场景99.3终端安全应用场景1094业务系统密码应
2、用场景10参考文献11-J1.X.刖百本文件按照GB/T1.120204标准化工作导则第I部分:标准化文件的结构和起草规则#的规定起草,本文件由济南大数据局提出、归口,井加税实施。本文件起草单位:济南市大数据局、安徽向大地子科技股份有限公司、中电信量子信息科技集团有限公司、中国电信股份有限公司济南分公司、山东建筑大学.本文件主要起卓人:王越,李宁,高明阳,苗春华,刘姑姑,施红旗,王新莲,洪泰辉,赵林,杨林电子政务外网量子加密技术要求与实施指南1晁围本文件规定了电子政务外网系统量子加密的基本原则、应用架构、部署流程、技术要求和应用指南.本文件适用于曜子密码技术在行级、市级电子政务外网业务场景的应
3、用。特别是累子密钊在认证、机密性保障、防装改的防护等。2规葩性引用文件卜列文件中的内容通过文中的Me范性引用而构成本文件必不Ur少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件:不让日期的引用文件,其最新成本(包括所有的修改单)适用于本文件.GBZT39786-2021信恩安全技术信恩系统密码应用基本要求GH/T0014-2012数字证书认证系统曲码协议规范GM/T0016-2012智能密码钥匙密码应用接口规范GMZT00182012密码设招应用接口规范GM/T0022-2014IPSecVPN技术规范GWT0024-2011SS1.VPN技术规范GM/T0028-2011密码
4、模块安全技术要求GM/T0051-2016带码设符管理对称密钥管理技术规范GM/T0103-2021MI机数发生器总体框架GH/T0108-2021脏态BB84麻了密包分配产品技术规范SZSDOl0011-2020电子政务外网认证修子通信应用规范IS0/IEC7816识别W成电路卡3术语和定义下列术语和定义适用于本文件。3.1量子安全模块quantmcryptographicmodule适用于终端的量子密钥存储与安全.算法模块,包括信子S卡、TF卡、U盾、软件密码模块和PClE密码卡。3.2密钥管理系统keymanagementsystem密:伺生成、存储、分发、销毁、归档等生命用期的管理系统
5、.3.3密钥池keyPool具有密钥存储和分发能力的安全模块.密钥充注机keyfi11ingmachine对密码模块中的密物进行加注的设备.3.5量子随机数发生器quantumrandom11un*ergenerator基于埴子力学原理所保证的也随机数生成设备。3.6量子密钥分配终端quantumkeydistributionproduct具有吊子密钥分发功能的设备。3.7密钥史新周期keyupdatecycle密悌更新的时间间依3.8加密延时encryptiondelay密码设需利用密钥和加密驾法对数据加率或解密过程所耗费的时间,3.9会话密钥sessionkoy会话密钥包括数据加密密钥和校
6、验济钊其中数据加密密的用于数据的加密和解密,校验密钥用于数据的完整性计簿和校验,3.10认证密钥authenticationkey用于身份鉴别的密钥对,包括签名密钥对利加密密的对,其中签名密钥对由安全设备自身密码模块产生,加密密钥时应通过CA认证中心向KK申请。用于握手过程中客户端身份卷别。31密钥加密密钥keyencryptionkey通信设备双方预置或首通过算法生成的密钥,用于对会话密钥进行加密保妒.4缩略语QKD:fit子密W分发(QuantUmKeyDistribution)VPN:虚拟专用网(VirtualPrivateNetwork)(CertificateAuthority)(K
7、eyManagc三cntCenter)(SecureKeyFunction)(SecureDoviceFunction)C:电子认证服务KHC:密钥管理中心SKI;安全钥匙函数SDF:安全设备函数5基本原则1.1 概述电子政务外网M子加密技术要求与实施,主要是依托现有电子政务外网网络和政务办公应用技术设施.建设并部署实施1子通讯密彷基础设施,实现基于电子政务外网政务应用环境的数据量:子密钥加密传输,进一步提升党政机关网上、掌上政务办公安全保障水平.52遵地国家定翦管理原剜1.2 2量子密钥生成层齐if密钥生成层通过奴干物理特性生成献尸密例.包括本地班子Kl机数发生器生成畲伺和异地QKD设需生成
8、量子密钥。1.3 量子密期传输层讨产密物传输层独立于城子理钥分把网络,通过独立网络分配、共纤传输、隔窗管埋和融合管埋等方式迸行密钥的分发,1.4 量子密钥管理层量广密但管理层实现密物的存储、更新、分发、归档、备份、销毁和恢复等,同时进行密钥设备管理和业务管理。1.5 量子密钥应用层量于密钥应用层实现电子认证、传谕安全保障、数据安全防护等.7郃署方式7.1 侬山东省政分外网接入分三层级:包括省级、市级、县(市、区)级电子政务外网城域网.接入方式:包括专戏、VPN两种方式,专找、YPNo接入设需包括:a)以专线方式接入电子政务外网的接入部门,应通过网络设符或者安全设符等方式接入电子政务外网;b)不
9、具备专线接入条件的接入部门,应通过VPN网关或VPN终端等方式接入电子政务外网县级及以下接入部门宜接接入市级电子政务外网,VPN可使用IPSee和SS1.协议.8技术与管理要求81功能要求81.1身份鉴别功能采用密码技术对通信实体进行身份鉴别.保证通信实体身份的真实性.对从外部连接到内部网络的设备进行接入认证,确保接入的设身份直实性,包括终战设备身份界别和登录用户角色称别,8.1.2数据机密性采用密码技术保证通信过程中的敬感信息或通信报文的机密性.保证服务施与终端业务数据存储的机密性,防止数据被非法窃取导致的信息滑甯.8.13数据完整性采用密码技术保证通信过程中数据的完整性,网络边界访问控制信
10、息的完整性,业务存储数据、日志审计信息的完整性等.8.14不可抵赖性在可能涉及法律责任认定的应用中,宜采用密码技术提供数据原发证据和数据接收证据,实现数据原发行为的不可否认性和数据接收行为的不可否认性:如采用密码技术保证十件过程、操作裂顶、通信内容的不可抵赖性.&2性能要求8.2.1 加密带宽终地加密带宽2NbPS,8.2.2 加密延时加密延时45O*s.8.2.3 并发连接数中心战必子VPN并发连接数与100Q个。8.2.4 2.4密切更新周期:密例更新周期:60-3600秒或一次一密.83接口要求8.2.5 3.1硬件接口要求量子安全模块主要包括成子SIM卡、信于TF卡、破了U后和信FPC
11、IE密码卡,应分别满足以下接Il要求:a)量子SIM卡接口满足IS0/IEC7816接口规范:b)fit子TF卡接口符合MiCr。SD接I规范:C)fit子U)满足USB接口规阻:d)词:子PCIE声玛卡满足PCIE接口堤范.量子安全服务主要包括量子密钥充注机、量子服务济密码机、出子密蝌管理设备,应满足a)应具有RJ45电接11或光网络接口:b)应具有USB接口。量fVPN应满足:a)应具有RJ45电接口或光网络接口:b)应具有USB接口,屈子济钊分配终端应满足:a)应具有RJ45电接口或光网络接口;b)应具有USB接口:c)应具有FCTCfit子光接口.8.3.2软件接口要求软件接口主要包括
12、终端球子安全模块接U和信子服务器函码机接口,应分别湎足以下要求:a)量子安全模块接口应满足国密SKF接I规范,GwTOoI6-2012智能率码钥匙密码应用接口规范,其中PCIE密码卡应涵足国密SDF接口规莅,GM/T0018-2012密码设应用接口规莅:b)JN子服务器密码机接11应满足国密SDF接Il规范,CM0018-2012密码设得应用接I现范.8.3.1 协议要求协议要求主要包括以下方面:a)量了VPN应满足GY/T0024-2014SS1.,P技术规范或GM/T0022-2011IPSecYPN技术规范:b)麻子密的分足终珀应满足CMOIOS-2021诱痂态BBHi量子密的分配产品技
13、术规范:c)依子随机数发生器应湎足GM/T0103l机数发生器总体框架;d)玳子服务器密码机应满足GM/T0028-2014密码模块安全技术要求:e)家予安全模块应满足GHZT0028-2011密码模块安全技术要求:f)质子C盾应满足(M/T0016-2012智能密码钥匙密码应用接11规范:g)负子密仍管理设的应满足GM/T0051梆码设备管埋对称定饰管埋技术规范.8.4管理要求8.4.1 密钥的管理密钥管理应遵循以下要求:a)母子率钊分根密钥、认证率钊和签名密钥、率切加密密钥和公话密钥:b)签名密钥对布密眄安全产品自身产生,其公悌应能被导出,由外部认证机构签发签名证书:c)加密密钥对由外部密
14、钥管理机构产生并由外部认证机构签发加密证书.加密密钥对的私钥保护方法见GM/TOObl数字证书认证系统密码协议规范:d)签名证书、加密证书和加密密切对的私钥应能被导入密码安全产品中:e)在密码安全产品中,密例的私钥应有安全保护措施:f)密值应按设定的安全策珞进行更新:8)密钥可以安全形式进行拓份并在衢要时能够恢复:h)会话密钥产生后应保存在易失性存储器中,达到其更新条件后应立即变换,在连接断开、设备断电时应销/8.4.2 管理员的管理管理员的管理应遵箭以下要求:a)密码安全产品应设置系统管理员、安全员和审计员,进行三员管理:b)管埋员进行系统配置、密仍生成、导入、备份和恢复等操作,管理员应持彳
15、I1表征用户身份信息(如证书、公私密蝌对)的便件装置,与登录口令相结合登录系统,进行管理操作前应通过身份鉴别:c)登录口令长度应不小于8个字符,应包含大小写字母和特殊字符;d)使用惜误1.l令或非法身份登录的次数限制应小于或等于8.8.4.3 设福奥源的管理设饴资源的管理应遵循以卜要求:a)密码安全产品的初始化,除由厂商进行的操作外,系统配置、率切的生成和管理、管理员的产生等均应由用户完成;b)应对密码运算部件等美犍部件进行正确性检查,应对存储的密钥等被迷伯息进行完整性检查:在检查不通过时应报警并停止工作.9实施与应用9.1应用场景fit子加密技术的应用场景包括密蝌充注场景、终端安全应用场兔、
16、业务系统密码应用场景.92密钥充注场景密钥充注场景应在可控环境使用崎子密钥充注机对址子安全模块进行甫钊加注.主要过程包括充注管理员身份认证、充注密钥申请、充注密钊写入、充注率钊校验和充注密钥使用.9.2.1充注管理员身份认证Wt子密钥充注机转录时,通过管理员盾向眼子密钥管理设备进行身份认证,U盾内包含管理坊的数字证书,通过签.名验签操作校物管理员身份合法性.9.2.2充注密钥申请同子密的充注机扶取技于安全模块信息,向后于依的管理设备请求充注密伪,量子密的管理设备从M子服务器密码机或信于保密迪倍网络QKD中狭取充注密翎,并使用量子安全模块的加密公饰以致字伯封形式封装充注密钥保护充注密钥下发过程.
17、充注密钥申请时.根据量子安全模块的设备类型与附用场景,可指定充注密钥长度,92.3充注密钥写入量子安全模块接收充注密钥数字信封,使用加密私钥解密数字信封.9.2.4充注密钥校验对充注密钥密文进行校骁,判断充注密钥的完整性并将充注密钥密文导入量子安全模块存储,925充注密钥使用充注密钥应用于量子安全模块入网认证会话密钥申请等场景,充注密钥基于一次一密原则使用.被使用过的充注密钥需要进行置零操作。9-3终端安全应用场景业务终端包含PC端与移动邮.业芬终端软件佻成破千安全模块并调用量子安全模块的功能接I1.主要过程包括房子安全模块安全接入、终端身份认证、会话密钥申请、数据加密与解密,9.3.1模块安
18、全接入业务终端连接IA于安全模块,房子安全模块枚举内部密码应用及容器并对应用PI做脸证.93.2终觥身份认证业务终端软件通过量子安全模块提供的身份认证接口与量子密钥管理设招进行双向身份认证,并获取fit子密钥管埋备分发的身份令牌.身份认证协议使用GB/T15843.2信总技术安全技术实体鉴别第2部分:采用对称加密算法的机制中约定的双向认证协议.933会话密钥申请业务终端创建会话密的11),通过房子安全模块向l子密钥管埋设备申请会话密的.会话密彷传输过程使用充注密钥加密保护,在业务终端设在上,由充注密钥解密并导入砥子安全模块,934数据机密性与完整性保护业务终端通过Jltf安全模块使用会话密钥对
19、数据进行加解密和完整性校验.9.4业务系统密码应用场景鬓子密钥管理设需为用户业务系统提供统一的密钥管理与率码运算能力,业务系统通过接口调用完成密钥申请、密码运算等功能.94.1业务系统注册量子密钥管理设符为业务系统提供FH户、单位、应用授权等管理功能,业务系统在申清接入量子密钊管理设备时,由盘子密钥管理设符管理员登记业务系统的用户、单位、应用相关信息,并分配授权凭证。942空码服务使用业务系统在调用密码眼务接口时,需要携带授权凭证.密码服务接口包括会话密切中谙、数据加斛密、摘要生成校验、公钥加密/私胡裤密、签名验签等.会话密的申请由业芬系统传入会话II).量了密钥管理设备根掘ID创建密包开无置
20、权限.业务终端在权限认证通过后可申请根据会话ID申清南钥,业务系统调用密码运算接口只需要传入会话ID和业务数据,密切时于业务系统可用不可见。参考文献1 GB/T39786信息安全技术信息系统密码应用M本要求2 GM/T0008-2012安全芯片密码检测准则智能密码惘咫密码应用接口现范密码设备应用接口规苞证书应用综合服务接口规莅IpSeeYPN技术规范SS1.VPN技术规范密码模块安全技术要求GM/T00112012数字证书认证系班密码协议规范4 GM/T(X)16-20125JGM/T0018-20126 GM/T0020-20127 GM/T0022-20148 GM/T00242014GM
21、/T0028-201410 GHZT0030-20M眼务器密码机技术规范11 GWT0050-2016密码设爵管理设需管理技术规范12 GHZT00512016密码设备管理对称密钥管理技术规愆13 GH/T010H-2021诱采态BB84位子密初分泡产品技术规范11GM/T0103随机数发生器总体框架15 SZSDOl0OH-2O2O电子政务外网认证增子通信应用规范16 ISO/IEC7816识别卡集成电路R17中华人民共和国网络安全法18中华人民共和国数据安全法19中华人民共和国密码法20中华人民共和国个人信息保护法21中华人民共和国网络安全法22关谊伯息基础设族安全保护条例23商用密码管理条例24商用密码产品使用管理规定25商用密码应用安全性评估管理办法26政务信息系统密码应用与安全性评估工作指南27DB37/T4630.2-2023电子政务外网第2部分:网络接入要求
