本篇补一个概览之前的概览,介绍一篇关于规范的规范,从技术体系框架的全局视角看其组成及涉及到的具体规范。
一、概述
这个系列的学习摘要,最早是从服务器密码机需要遵循的规范开始解读的,之后又简介了密码设备应用接口规范。
从目标产品开始姑且算是开发者视角的学习顺序,今天转换一下设计者视角,先读一篇“关于规范的规范”,可以视为一个规范索引。
这个规范就是《公钥密码应用技术体系框架规范》。这个规范规定了公钥密码应用技术体系框架,并给出了框架内组成及其逻辑关系,并进一步给出了不同组成部分涉及到的具体规范。
作为密码行业从业人员,在开发密码相关产品或者在信息系统中集成密码应用前,先了解一下技术体系框架,无疑是非常必要的动作。
二、框架组成及逻辑关系
公钥密码应用技术体系框架包括密码设备服务层、通用密码应用支撑层、典型密码应用支撑层和基础设施安全支撑平台四部分。
1、密码设备服务层
密码设备服务层由密码模块组成,包括密码机、密码卡、智能密码终端等设备或软件。通过密码设备服务接口向通用密码应用支撑层提供密钥管理、密码运算及设备管理等服务。
2、通用密码应用支撑层
主要功能包括与密码设备的安全连接;实现基于数字证书的身份认证,从证书中获取信息实现授权管理、访问控制等;与密码设备交互完成密码运算;将数据按照GB/T 35275进行封装,实现应用系统互联互通和信息共享。
3、典型密码应用支撑层
通过调用通用密码应用支撑接口实现电子证据、身份鉴别、访问控制、时间戳和电子签章等服务。
4、基础设施安全支撑平台
包括证书认证系统、属性管理系统、时间戳系统、密码设备管理和密码资源管理器等。
框架和逻辑,看一张图就清晰明了了:
三、规范列表及主要接口
1、规范列表
(1)密码设备:
GM/T 0017 智能密码钥匙密码应用接口数据格式规范
GM/T 0022 IPSecVPN技术规范
GM/T 0024 SSLVPN技术规范
GM/T 0027 智能密码钥匙技术规范
GM/T 0028 密码模块安全技术要求
GM/T 0029 签名验签服务器技术规范
GM/T 0030 服务器密码机技术规范
(2)密码设备服务层到通用密码应用支撑层:
GM/T 0016 智能密码钥匙密码应用接口规范
GM/T 0018 密码设备应用接口规范
(3)通用密码服务:
GM/T 0009 SM2密码算法使用规范
GM/T 0010 SM2密码算法加密签名消息语法规范
(4)通用密码应用支撑到上层
GM/T 0019 通用密码服务接口规范
GM/T 0020 证书应用综合服务接口规范
(5)身份鉴别
GM/T 0026 安全认证网关产品规范
(6)电子签章
GM/T 0031 安全电子签章密码技术规范
(7)访问控制
GM/T 0032 基于角色的授权管理与访问控制技术规范
(8)时间戳系统到时间戳
GM/T 0033 时间戳接口规范
(9)时间戳到应用层
GM/T 0033 时间戳接口规范
(10)证书认证系统
GM/T 0014 数字证书认证系统密码协议规范
GM/T 0015 基于SM2密码算法的数字证书格式规范
GM/T 0034 基于SM2密码算法的证书认证系统密码及其相关安全技术规范
(11)密码设备管理到管理应用
GM/T 0050 密码设备管理 设备管理技术规范
GM/T 0051 密码设备管理 对称密钥管理技术规范
GM/T 0052 密码设备管理 VPN设备监察管理规范
(12)密码设备管理到密码设备服务层
GM/T 0052 密码设备管理 VPN设备监察管理规范
GM/T 0053 密码设备管理 远程监控与合规性检验接口数据规范
(13)时间戳
GB/T 20520 信息安全技术 公钥基础设施 时间戳规范
(14)属性管理系统
GB/T 16264.8 信息枝术 开放系统互连 目录 第8部分:公钥和属性证书框架
2、主要接口命名
密码设备应用接口:SDF_XXXXXX;
通用密码服务接口:SAF_XXXXXX;
密码设备管理接口:SMF_XXXXXX;
证据采集与管理接口:SCF_XXXXXX;
身份鉴别接口:SIF_XXXXXX;
授权管理与访问控制接口:SPF_XXXXXX;
时间戳服务接口:STF_XXXXXX;
智能密码钥匙接口:SKF_XXXXXX;
证书应用综合服务接口:SOF_XXXXXX;
电子签章服务接口:SEF_XXXXXX。