信息安全技术 公民网络电子身份标识安全技术要求 第1部分:读写机具安全技术要求GBT36629.1—2018(20190501)
国家市场监督管理总局、中国国家标准化管理委员会于2018年10月10日公布,自2019年5月1日起施行。
目 次
1 范 围
2 规范性引用文件
3 术语和定义
4 缩略语
5 读写机具基本安全要求
5.1 基本组件
5.2 微控制单元
5.3 安全模块
5.4 安全模块接口
6 读写机具数据初始化要求
6.1 读写机具标识数据
6.2 读写机具标识的编码
6.3 读写机具数字证书格式
6.4 读写机具证书颁发系统证书格式
7 读写机具密码应用管理安全要求
7.1 密码算法
7.2 密钥管理
7.3 证书管理
7.4 读写机具开机口令管理
8 读写机具密码应用服务安全要求
8.1 数据加解密服务
8.2 签名PIN码服务
8.3 数字签名服务
参考文献
1范 围
GB/T 36629的本部分规定了公民网络电子身份标识读写机具的基本安全要求、数据初始化安全要求、密码应用管理安全要求和密码应用服务安全要求。
本部分适用于公民网络电子身份标识读写机具的设计、开发、测试、生产和应用。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 16649.3—2006 识别卡带触点的集成电路卡 第3部分:电信号和传输协议
GB/T 20518—2018 信息安全技术公钥基础设施 数字证书格式
GB/T 32905—2016 信息安全技术SM3密码杂凑算法
GB/T 32907—2016 信息安全技术SM4分组密码算法
GB/T 32915—2016 信息安全技术二元序列随机性检测方法
GB/T 32918.2—2016 信息安全技术SM2椭圆曲线公钥密码算法 第2部分:数字签名算法
GB/T 32918.4—2016 信息安全技术SM2椭圆曲线公钥密码算法 第4部分:公钥加密算法
GB/T 36632—2018 信息安全技术公民网络电子身份标识格式规范
ISO/IEC 14443.4:2016 识别卡非接触式集成电路卡 邻近卡 第4分:传输协议(Identification cards-Contactlessintegrated circuit cards-Proximity cards-Part4:Transmissionprotocol)
3术语和定义
GB/T 36632—2018界定的以及下列术语和定义适用于本文件。
3.1 读写机具 reader
能够读写承载于智能卡、智能密码钥匙等载体中公民网络电子身份标识相关信息的机具。
3.2 读写机具安全模块 secureelement of reader
读写机具内部的核心硬件电路安全组件。
3.3 读写机具数字证书 certificateof reader
用于标识读写机具身份的数字证书。
3.4 密码应用管理 cryptographicapplication management
用于对读写机具安全模块上的密钥进行生成、存储、导入、导出、更新的操作并对读写机具数字书进行导人、更新、删除操作。
3.5 签名PIN码signature PIN
确认公民网络电子身份标识载体签名操作的个人识别码。
3.6 密码应用服务 cryptopraphicapplication service
通过读写机具对应用提供数据加解密、签名PIN码的校验和修改、数字签名等服务。
3.7 数据初始化 datainitialization
将读写机具初始化数据加密处理后写人读写机具的过程。
3.8 读写机具数字证书颁发系统 issuingsystem of readers certificate
用于颁发读写机具数字证书的信息系统。
3.9 读写机具初始化数据 initializationdata of reader
用于实现读写机具初始化的数据信息。
注:包括读写机具的对称和非对称密钥数据、读写机具证书和读写机具证书颁发系统的证书。
4缩略语
下列缩略语适用于本文件。
LCD:液晶显示器(LiquidCrystal Display)
MCU:微控制单元(MicrocontrollerUnit)
PIN:个人识别码(PersonalIdentification Number)
SE:安全模块(SecureElement)
5读写机具基本安全要求
5.1 基本组件
读写机具应包括MCU、SE、SE接口等组件,见图1所示。
MCU是一个通用处理器,应支持通信、设备读写逻辑等指令。
SE负责对关键数据进行安全存储和运算,确保进行的操作具有不可抵赖性。
SE接口用于MCU和SE之间的数据交互。
5.2 微控制单元
MCU的安全技术要求如下:
a)与公民网络电子身份标识载体的通信,应符合GB/T 16649.3—2006或ISO/IEC.14443.4:2016的要求;
b)应支持从接入点接入的外部数据交互、数据合规性和数据完整性的验证。
5.3 安全模块
SE的安全技术要求如下:
a)应具有密钥生成、数字签名和加解密运算功能,保证操作在SE内进行;
b)应具备访问控制保护的独立存储空间,存放读写机具对称密钥和证书私钥,私钥不可导出并且不能明文输出对称密钥;
c)参与密钥运算的随机数应由SE生成,其随机性指标应符合GB/T 32915—2016的相关要求。
5.4 安全模块接口
SE接口应支持密码应用管理和密码应用服务的功能。
6读写机具数据初始化要求
6.1 读写机具标识数据
读写机具标识数据应包括:
a)读写机具生产厂商标识码、读写机具生产日期、读写机具标识码;
b)在读写机具出厂前预置,出厂后禁止更改。
6.2 读写机具标识的编码
读写机具标识的编码安全技术要求如下:
a)读写机具生产厂商标识码应由生产厂商的统一社会信用代码或组织机构代码表示;
b)读写机具生产日期应由8位数字代码组成,编码格式为:YYYYMMDD,如生产日期为2013年07月02日,即为20130702。
c)读写机具标识码编码格式应为:通信接口类型+读写机具类型+‘_’+读写机具生产厂商标识码+读写机具生产日期+当日序列号。其中,通信接口类型、读写机具类型分别见表1和表2;‘_’表示空格;读写机具生产厂商标识码应由统一社会信用代码表示;当日序列号的值为000001-999999之间的顺序编码。
6.3 读写机具数字证书格式
读写机具数字证书格式应符合GB/T20518—2018中5.2的要求。其主体项表示读写机具的实体信息,格式应为:
主体项=读写机具标识码+组织+国家;
其中,读写机具标识码编码格式见6.2。组织是读写机具证书颁发系统所属机构的英文或拼音简称,全部大写。国家是中国的英文简称CN。
6.4 读写机具证书颁发系统证书格式
读写机具证书颁发系统证书格式应符合GB/T 20518—2018中5.2的要求。其主体项表示读写机具证书颁发系统的实体信息,格式应为:
主体项=名称+组织+国家;
其中,名称是发行机构的英文或拼音简称,全部大写。组织是读写机具证书颁发系统的英文或拼音简称,全部大写。国家是中国的英文简称CN。
7 读写机具密码应用管理安全要求
7.1 密码算法
密码算法的安全技术要求如下:
a)公钥密码算法应符合GB/T32918.4—2016的要求;
b)密码杂凑算法应符合GB/T32905—2016的要求;
c)分组密码算法应符合GB/T32907—2016的要求。
7.2 密钥管理
密钥管理的安全技术要求如下:
a)应支持SM2算法的密钥对生成、存储、导入以及公钥的导出等功能;
b)应支持SM4算法的密钥的生成、存储、加密导入、加密导出等功能。
7.3 证书管理
7.3.1读写机具数字证书管理
读写机具数字证书管理的安全技术要求如下:
a)应在读写机具的SE内产生读写机具的公私钥;
b)读写机具产生的公钥应提交读写机具数字证书颁发系统以制作证书;
c)读写机具私钥应保存读写机具的SE中,不可导出。
7.3.2读写机具数字证书颁发系统证书管理
读写机具数字证书颁发系统证书管理的安全技术要求如下:
a)应在数据初始化过程中将读写机具数字证书颁发系统的证书写入读写机具的SE中;
b)应能够验证读写机具数字证书的有效性。
7.4 读写机具开机口令管理
读写机具开机口令管理的安全技术要求如下:
a)应支持读写机具开机口令的校验功能;
b)应支持读写机具开机口令的修改功能;
C)应支持读写机具开机口令的复位功能。
8读写机具密码应用服务安全要求
8.1 数据加解密服务
应支持GB/T32918.4—2016和GB/T 32907—2016的要求。
8.2 签名PIN码服务
应支持签名PIN码的校验和修改功能。
8.3 数字签名服务
应支持GB/T32918.2—2016的要求。
· 参考文献
[1] GB/T 16649.4—2010 识别卡带触点的集成电路卡 第4部分:用于交换的结构、安全和命令
[2] GB/T 16649.6—2001 识别卡带触点的集成电路卡 第6部分:行业间数据元
[3] GB/T 32918.1—2016 信息安全技术 SM2椭圆曲线公钥密码算法 第1部分:总则
[4] GB/T 32918.3—2016 信息安全技术 SM2椭圆曲线公钥密码算法 第3部分:密钥交换协议
[5] GB/T 32918.5—2017信息安全技术 SM2椭圆曲线公钥密码算法 第5部分:参数定义
[6] On-The-GoSupplement to the USB2.0 Specification
戴卫祥 律师
戴卫祥,男,辽宁东亚律师事务所合伙人,三级律师,工学、法学学士学位。现任辽宁省律师协会政府法律顾问专业委员会委员、辽宁省省级人民监督员,大连市律师协会房地产与建设工程法律专业委员会副主任,大连市司法局法律顾问。
2001年从事法律工作,具有多年工作经验、律师执业经验及4年工程建设现场管理经验,先后担任恒大集团大连公司、辽宁公司监察室主任。执业以来,代理过建设工程鉴定、刑事鉴定、机动车交通事故鉴定、医疗损害及医疗产品质量鉴定、消防工程鉴定、环境损害鉴定等各类司法鉴定案件,积累了丰富的司法鉴定办案经验,并成功代理过多起通过司法鉴定确定无罪的刑事、司法鉴定行政确认等案件,在司法鉴定专业有深入、系统的研究和实践。
执业期间,秉承“忠实、勤勉、认真、专业”的执业理念,为多家企业及个人办理几百起成功案件,以认真细致地专业服务,赢得了当事人的一致认可和信赖。
戴卫祥律师联系方式
电话:13940919059
微信号码:dailvshi8
大连市中山区鲁迅路58号天通金融大厦1616
睿法在线,精英律师团队打造,倡导并推行律师执业标准化、规范化,并提供专业法律服务。
睿法在线
更多内容,敬请关注