《SZSD01 0003—2024电子政务外网量子加密技术要求与实施指南.docx》由会员分享,可在线阅读,更多相关《SZSD01 0003—2024电子政务外网量子加密技术要求与实施指南.docx(10页珍藏版)》请在优知文库上搜索。
1、前111范用12规范性引用文件13术语和定义14缩略语25基本原则25.125- 2遵循国家密码管理原则25.3 等缎保护合规性原则5.4 层级化管理原则5.5 准入测试原则5.6 番案原则6应用架构6.1 翊架构图6.2 2电子密钥生成层6.3 最子密钥传输层6.4 量子密蝌管理层46.5 量子密钠应用层47部署方式41.1 1械472分支机构与中心部署67.3 终端系统部署67.4 量子安全服务部詈67.5 业务系统部署68技术与管理要求781功能要求782性能要求783接11要求78.4管理要求89实施与应用99.1期乱场景992密钥充注场景99.3终端安全应用场景1094业务系统密码应
2、用场景10参考文献11-J1.X.刖百本文件按照GB/T1.120204标准化工作导则第I部分:标准化文件的结构和起草规则#的规定起草,本文件由济南大数据局提出、归口,井加税实施。本文件起草单位:济南市大数据局、安徽向大地子科技股份有限公司、中电信量子信息科技集团有限公司、中国电信股份有限公司济南分公司、山东建筑大学.本文件主要起卓人:王越,李宁,高明阳,苗春华,刘姑姑,施红旗,王新莲,洪泰辉,赵林,杨林电子政务外网量子加密技术要求与实施指南1晁围本文件规定了电子政务外网系统量子加密的基本原则、应用架构、部署流程、技术要求和应用指南.本文件适用于曜子密码技术在行级、市级电子政务外网业务场景的应
3、用。特别是累子密钊在认证、机密性保障、防装改的防护等。2规葩性引用文件卜列文件中的内容通过文中的Me范性引用而构成本文件必不Ur少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件:不让日期的引用文件,其最新成本(包括所有的修改单)适用于本文件.GBZT39786-2021信恩安全技术信恩系统密码应用基本要求GH/T0014-2012数字证书认证系统曲码协议规范GM/T0016-2012智能密码钥匙密码应用接口规范GMZT00182012密码设招应用接口规范GM/T0022-2014IPSecVPN技术规范GWT0024-2011SS1.VPN技术规范GM/T0028-2011密码
4、模块安全技术要求GM/T0051-2016带码设符管理对称密钥管理技术规范GM/T0103-2021MI机数发生器总体框架GH/T0108-2021脏态BB84麻了密包分配产品技术规范SZSDOl0011-2020电子政务外网认证修子通信应用规范IS0/IEC7816识别W成电路卡3术语和定义下列术语和定义适用于本文件。3.1量子安全模块quantmcryptographicmodule适用于终端的量子密钥存储与安全.算法模块,包括信子S卡、TF卡、U盾、软件密码模块和PClE密码卡。3.2密钥管理系统keymanagementsystem密:伺生成、存储、分发、销毁、归档等生命用期的管理系统
5、.3.3密钥池keyPool具有密钥存储和分发能力的安全模块.密钥充注机keyfi11ingmachine对密码模块中的密物进行加注的设备.3.5量子随机数发生器quantumrandom11un*ergenerator基于埴子力学原理所保证的也随机数生成设备。3.6量子密钥分配终端quantumkeydistributionproduct具有吊子密钥分发功能的设备。3.7密钥史新周期keyupdatecycle密悌更新的时间间依3.8加密延时encryptiondelay密码设需利用密钥和加密驾法对数据加率或解密过程所耗费的时间,3.9会话密钥sessionkoy会话密钥包括数据加密密钥和校
6、验济钊其中数据加密密的用于数据的加密和解密,校验密钥用于数据的完整性计簿和校验,3.10认证密钥authenticationkey用于身份鉴别的密钥对,包括签名密钥对利加密密的对,其中签名密钥对由安全设备自身密码模块产生,加密密钥时应通过CA认证中心向KK申请。用于握手过程中客户端身份卷别。31密钥加密密钥keyencryptionkey通信设备双方预置或首通过算法生成的密钥,用于对会话密钥进行加密保妒.4缩略语QKD:fit子密W分发(QuantUmKeyDistribution)VPN:虚拟专用网(VirtualPrivateNetwork)(CertificateAuthority)(K
7、eyManagc三cntCenter)(SecureKeyFunction)(SecureDoviceFunction)C:电子认证服务KHC:密钥管理中心SKI;安全钥匙函数SDF:安全设备函数5基本原则1.1 概述电子政务外网M子加密技术要求与实施,主要是依托现有电子政务外网网络和政务办公应用技术设施.建设并部署实施1子通讯密彷基础设施,实现基于电子政务外网政务应用环境的数据量:子密钥加密传输,进一步提升党政机关网上、掌上政务办公安全保障水平.52遵地国家定翦管理原剜1.2 2量子密钥生成层齐if密钥生成层通过奴干物理特性生成献尸密例.包括本地班子Kl机数发生器生成畲伺和异地QKD设需生成
8、量子密钥。1.3 量子密期传输层讨产密物传输层独立于城子理钥分把网络,通过独立网络分配、共纤传输、隔窗管埋和融合管埋等方式迸行密钥的分发,1.4 量子密钥管理层量广密但管理层实现密物的存储、更新、分发、归档、备份、销毁和恢复等,同时进行密钥设备管理和业务管理。1.5 量子密钥应用层量于密钥应用层实现电子认证、传谕安全保障、数据安全防护等.7郃署方式7.1 侬山东省政分外网接入分三层级:包括省级、市级、县(市、区)级电子政务外网城域网.接入方式:包括专戏、VPN两种方式,专找、YPNo接入设需包括:a)以专线方式接入电子政务外网的接入部门,应通过网络设符或者安全设符等方式接入电子政务外网;b)不
9、具备专线接入条件的接入部门,应通过VPN网关或VPN终端等方式接入电子政务外网县级及以下接入部门宜接接入市级电子政务外网,VPN可使用IPSee和SS1.协议.8技术与管理要求81功能要求81.1身份鉴别功能采用密码技术对通信实体进行身份鉴别.保证通信实体身份的真实性.对从外部连接到内部网络的设备进行接入认证,确保接入的设身份直实性,包括终战设备身份界别和登录用户角色称别,8.1.2数据机密性采用密码技术保证通信过程中的敬感信息或通信报文的机密性.保证服务施与终端业务数据存储的机密性,防止数据被非法窃取导致的信息滑甯.8.13数据完整性采用密码技术保证通信过程中数据的完整性,网络边界访问控制信
10、息的完整性,业务存储数据、日志审计信息的完整性等.8.14不可抵赖性在可能涉及法律责任认定的应用中,宜采用密码技术提供数据原发证据和数据接收证据,实现数据原发行为的不可否认性和数据接收行为的不可否认性:如采用密码技术保证十件过程、操作裂顶、通信内容的不可抵赖性.&2性能要求8.2.1 加密带宽终地加密带宽2NbPS,8.2.2 加密延时加密延时45O*s.8.2.3 并发连接数中心战必子VPN并发连接数与100Q个。8.2.4 2.4密切更新周期:密例更新周期:60-3600秒或一次一密.83接口要求8.2.5 3.1硬件接口要求量子安全模块主要包括成子SIM卡、信于TF卡、破了U后和信FPC
11、IE密码卡,应分别满足以下接Il要求:a)量子SIM卡接口满足IS0/IEC7816接口规范:b)fit子TF卡接口符合MiCr。SD接I规范:C)fit子U)满足USB接口规阻:d)词:子PCIE声玛卡满足PCIE接口堤范.量子安全服务主要包括量子密钥充注机、量子服务济密码机、出子密蝌管理设备,应满足a)应具有RJ45电接11或光网络接口:b)应具有USB接口。量fVPN应满足:a)应具有RJ45电接口或光网络接口:b)应具有USB接口,屈子济钊分配终端应满足:a)应具有RJ45电接口或光网络接口;b)应具有USB接口:c)应具有FCTCfit子光接口.8.3.2软件接口要求软件接口主要包括
12、终端球子安全模块接U和信子服务器函码机接口,应分别湎足以下要求:a)量子安全模块接口应满足国密SKF接I规范,GwTOoI6-2012智能率码钥匙密码应用接口规范,其中PCIE密码卡应涵足国密SDF接口规莅,GM/T0018-2012密码设应用接口规莅:b)JN子服务器密码机接11应满足国密SDF接Il规范,CM0018-2012密码设得应用接I现范.8.3.1 协议要求协议要求主要包括以下方面:a)量了VPN应满足GY/T0024-2014SS1.,P技术规范或GM/T0022-2011IPSecYPN技术规范:b)麻子密的分足终珀应满足CMOIOS-2021诱痂态BBHi量子密的分配产品技
13、术规范:c)依子随机数发生器应湎足GM/T0103l机数发生器总体框架;d)玳子服务器密码机应满足GM/T0028-2014密码模块安全技术要求:e)家予安全模块应满足GHZT0028-2011密码模块安全技术要求:f)质子C盾应满足(M/T0016-2012智能密码钥匙密码应用接11规范:g)负子密仍管理设的应满足GM/T0051梆码设备管埋对称定饰管埋技术规范.8.4管理要求8.4.1 密钥的管理密钥管理应遵循以下要求:a)母子率钊分根密钥、认证率钊和签名密钥、率切加密密钥和公话密钥:b)签名密钥对布密眄安全产品自身产生,其公悌应能被导出,由外部认证机构签发签名证书:c)加密密钥对由外部密
14、钥管理机构产生并由外部认证机构签发加密证书.加密密钥对的私钥保护方法见GM/TOObl数字证书认证系统密码协议规范:d)签名证书、加密证书和加密密切对的私钥应能被导入密码安全产品中:e)在密码安全产品中,密例的私钥应有安全保护措施:f)密值应按设定的安全策珞进行更新:8)密钥可以安全形式进行拓份并在衢要时能够恢复:h)会话密钥产生后应保存在易失性存储器中,达到其更新条件后应立即变换,在连接断开、设备断电时应销/8.4.2 管理员的管理管理员的管理应遵箭以下要求:a)密码安全产品应设置系统管理员、安全员和审计员,进行三员管理:b)管埋员进行系统配置、密仍生成、导入、备份和恢复等操作,管理员应持彳
15、I1表征用户身份信息(如证书、公私密蝌对)的便件装置,与登录口令相结合登录系统,进行管理操作前应通过身份鉴别:c)登录口令长度应不小于8个字符,应包含大小写字母和特殊字符;d)使用惜误1.l令或非法身份登录的次数限制应小于或等于8.8.4.3 设福奥源的管理设饴资源的管理应遵循以卜要求:a)密码安全产品的初始化,除由厂商进行的操作外,系统配置、率切的生成和管理、管理员的产生等均应由用户完成;b)应对密码运算部件等美犍部件进行正确性检查,应对存储的密钥等被迷伯息进行完整性检查:在检查不通过时应报警并停止工作.9实施与应用9.1应用场景fit子加密技术的应用场景包括密蝌充注场景、终端安全应用场兔、业务系统密码应用场景.92密钥充注场景密钥充注场景应在可控环境使用崎子密钥充注机对址子安全模块进行甫钊
免费区 