GM/T 0086-2020 基于SM9标识密码算法的密钥管理系统技术规范

ICS35.040

CCSL80

中华人民共和国密码行业标准

/—

GMT00862020

基于SM9标识密码算法的密钥管理系统

技术规范

Secificationofkemanaementsstem

pygy

basedonSM9identitcrtorahalorithm

yypgpyg

2020-12-28发布2021-07-01实施

国家密码管理局发布

/—

GMT00862020

目次

前言…………………………Ⅲ

引言…………………………Ⅳ

1范围………………………1

2规范性引用文件…………………………1

3术语和定义………………1

4缩略语……………………3

5基本特征描述……………3

6标识密钥管理系统架构…………………3

7标识密钥管理系统组成与功能…………4

7.1私钥生成系统………………………4

7.2注册服务系统………………………5

7.3公开参数服务系统…………………6

7.4终端实体……………7

7.5本地代理……………7

8密钥管理基本要求………………………7

8.1密钥申请登录认证…………………7

8.2密钥生成……………7

8.3密钥传输……………8

8.4密钥存储……………8

8.5密钥更新……………8

8.6密钥注销……………8

8.7密钥备份……………8

8.8密钥恢复……………8

8.9系统主密钥管理……………………9

9标识密钥管理系统密码使用……………9

9.1密码算法使用………………………9

9.2密码设备……………9

10密钥管理安全操作流程………………10

10.1系统初始化流程…………………10

10.2密钥载体初始化…………………10

10.3用户密钥生成流程………………10

10.4标识状态发布流程………………11

10.5更新用户标识密钥状态流程……………………12

10.6恢复用户标识密钥状态流程……………………12

10.7用户信息状态查询与响应流程…………………12

10.8主密钥更新流程…………………13

Ⅰ

/—

GMT00862020

11标识密钥管理系统建设与安全防护…………………13

11.1系统建设…………………………13

11.2安全防护设置……………………13

12安全管理要求…………………………15

12.1安全管理机制……………………15

12.2人员管理…………………………15

12.3管理制度…………………………16

12.4审计管理…………………………16

12.5管理平台…………………………16

13标识密钥管理系统层次结构…………16

13.1标识密钥管理系统类型…………16

13.2区分KMS的标识………………17

13.3注册下级KMS…………………17

13.4下级KMS主密钥生成流程……………………17

13.5下级KMS主密钥发布…………18

13.6验证KMS主密钥………………18

()………

附录规范性密码算法的与算法标识

AOID19

()…………

附录资料性标识密钥管理系统网络结构

B20

()……………

附录资料性用户第一次申请密钥流程

C21

参考文献……………………23

Ⅱ

/—

GMT00862020

前言

/—《:》

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GBT1.120201

起草。

。。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

本文件由密码行业标准化技术委员会提出并归口。

:、、

本文件起草单位上海信息安全工程技术研究中心北京国脉信安科技有限公司航天信息股份有

、、。

限公司深圳奥联信息安全技术有限公司三未信安科技发展有限公司

:、、、、、、、、、、

本文件主要起草人袁文恭袁峰王晓春郭宝安蔡先勇张岳公封维端张立圆王学进蒋楠

、。

药乐陈祎

Ⅲ

/—

GMT00862020

引言

,

本文件依据我国SM9标识密码算法的应用需求而制定给出了基于SM9标识密码的标识密钥管

()、,

理系统简称标识密钥管理系统完整的架构包含组成说明功能要求和技术规范还给出了用户标识密

()、、、、、、。

钥本文件中特指私钥的申请生成签发下载更新作废验证以及公开参数查询等实现流程

Ⅳ

/—

GMT00862020

基于SM9标识密码算法的密钥管理系统

技术规范

1范围

。

本文件规定了基于SM9标识密码算法的密钥管理系统架构及其建设要求该架构可作为基于标

,、。

识密码应用的普适性基础标准为其提供密钥生成管理以及公开参数查询等服务

、,

本文件适用于指导基于SM9标识密码的标识密钥管理系统设计建设和管理也可以用于相关系

统的检测。

2规范性引用文件

。,

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

,;,()

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

本文件。

/—计算机场地通用规范

GBT28872011

/—计算机场地安全要求

GBT93612011

—数据中心设计规范

GB501742017

/信息安全技术信息安全应急响应计划规范

GBT24363

/信息安全技术密码杂凑算法

GBT32905SM3

/信息安全技术分组密码算法

GBT32907SM4

/信息安全技术信息安全风险管理指南

GBZ24364

/()

GMT0044所有部分SM9标识密码算法

/基于技术的身份鉴别规范

GMT0057IBC

/密码术语

GMZ4001

3术语和定义

/()/。

GMT0044所有部分和GMZ4001界定的以及下列术语和定义适用于本文件

3.1

鉴别authentication

确认一个实体所声称的身份或属性。

3.2

鉴别凭证;

authenticationcredentialsAC

,。

对用户进行身份鉴别时被鉴别方提供的有效可信证据

3.3

双线性对bilinearairin

pg

,:,(,),

线性空间上的一种函数其定义为设是数域上的一个线性空间是上一个二元函数

VFfαβV

,,(,)。,,,,,,,,(,)

对确定中唯一的数与之对应若对满足

∀α∈VFα∀ααα∈Vkk∈Fα

ff121212f

ββββββ

(,)(,)(,);(,)(,)(,),(,

αk+k=kα+kα和kα+kα=kα+kα则称α

f11221f12f2f11221f12f2f

βββββββ

1