1 范圍
GB/T 36629的本部分規(guī)定了公民網(wǎng)絡(luò)電子身份標(biāo)識讀寫機具的基本安全要求�����、數(shù)據(jù)初始化安全要求�����、密碼應(yīng)用管理安全要求和密碼應(yīng)用服務(wù)安全要求。
本部分適用于公民網(wǎng)絡(luò)電子身份標(biāo)識讀寫機具的設(shè)計���、開發(fā)、測試����、生產(chǎn)和應(yīng)用�����。
2 規(guī)范性引用文件
下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件�����,僅注日期的版本適用于本文件��。凡是不注日期的引用文件�,其最新版本(包括所有的修改單)適用于本文件�����。
GB/T 16649.3-2006 識別卡 帶觸點的集成電路卡 第3部分:電信號和傳輸協(xié)議
GB/T 20518-2018 信息安全技術(shù) 公鑰基礎(chǔ)設(shè)施 數(shù)字證書格式
GB/T 32905-2016 信息安全技術(shù) SM3密碼雜湊算法
GB/T 32907-2016 信息安全技術(shù) SM4分組密碼算法
GB/T 32915-2016 信息安全技術(shù) 二元序列隨機性檢測方法
GB/T 32918.2-2016 信息安全技術(shù) SM2橢圓曲線公鑰密碼算法 第2部分:數(shù)字簽名算法
GB/T 32918.4-2016 信息安全技術(shù) SM2橢圓曲線公鑰密碼算法 第4部分:公鑰加密算法
GB/T 36632-2018 信息安全技術(shù) 公民網(wǎng)絡(luò)電子身份標(biāo)識格式規(guī)范
ISO/IEC 14443.4:2016 識別卡 非接觸式集成電路卡 鄰近卡 第4部分:傳輸協(xié)議(Identifi-cation cards-Contactless integrated circuit cards-Proximity cards-Part 4:Transmission protocol)
3 術(shù)語和定義
GB/T 36632-2018界定的以及下列術(shù)語和定義適用于本文件�����。
3.1
讀寫機具 reader
能夠讀寫承載于智能卡、智能密碼鑰匙等載體中公民網(wǎng)絡(luò)電子身份標(biāo)識相關(guān)信息的機具�����。
3.2
讀寫機具安全模塊 secure element of reader
讀寫機具內(nèi)部的核心硬件電路安全組件�����。
3.3
讀寫機具數(shù)字證書 certificate of reader
用于標(biāo)識讀寫機具身份的數(shù)字證書。
3.4
密碼應(yīng)用管理 cryptographic application management
用于對讀寫機具安全模塊上的密鑰進行生成��、存儲、導(dǎo)入����、導(dǎo)出���、更新的操作��,并對讀寫機具數(shù)字證
書進行導(dǎo)入�����、更新��、刪除操作���。
3.5
簽名PIN碼 signature PIN
確認(rèn)公民網(wǎng)絡(luò)電子身份標(biāo)識載體簽名操作的個人識別碼。
3.6
密碼應(yīng)用服務(wù) cryptographic application service
通過讀寫機具對應(yīng)用提供數(shù)據(jù)加解密�����、簽名PIN碼的校驗和修改、數(shù)字簽名等服務(wù)����。
3.7
數(shù)據(jù)初始化 data initialization
將讀寫機具初始化數(shù)據(jù)加密處理后寫入讀寫機具的過程�����。
3.8
讀寫機具數(shù)字證書頒發(fā)系統(tǒng) issuing system of readers certificate
用于頒發(fā)讀寫機具數(shù)字證書的信息系統(tǒng)��。
3.9
讀寫機具初始化數(shù)據(jù) initialization data of reader
用于實現(xiàn)讀寫機具初始化的數(shù)據(jù)信息����。
注:包括讀寫機具的對稱和非對稱密鑰數(shù)據(jù)、讀寫機具證書和讀寫機具證書頒發(fā)系統(tǒng)的證書���。
4 縮略語
下列縮略語適用于本文件�����。
LCD:液晶顯示器(Liquid Crystal Display)
MCU:微控制單元(Microcontroller Unit)
PIN:個人識別碼(Personal Identification Number)
SE:安全模塊(Secure Element)
5 讀寫機具基本安全要求
5.1 基本組件
讀寫機具應(yīng)包括MCU�����、SE����、SE接口等組件�,見圖1所示。
MCU是一個通用處理器�����,應(yīng)支持通信、設(shè)備讀寫邏輯等指令���。
SE負(fù)責(zé)對關(guān)鍵數(shù)據(jù)進行安全存儲和運算�,確保進行的操作具有不可抵賴性�。
SE接口用于MCU和SE之間的數(shù)據(jù)交互。
圖1 公民網(wǎng)絡(luò)電子身份標(biāo)識的讀寫機具組件示意圖
5.2 微控制單元
MCU的安全技術(shù)要求如下:
a)與公民網(wǎng)絡(luò)電子身份標(biāo)識載體的通信,應(yīng)符合GB/T 16649.3-2006或 ISO/IEC 14443.4:2016的要求�����;
b)應(yīng)支持從接入點接入的外部數(shù)據(jù)交互����、數(shù)據(jù)合規(guī)性和數(shù)據(jù)完整性的驗證�。
5.3 安全模塊
SE的安全技術(shù)要求如下:
a)應(yīng)具有密鑰生成��、數(shù)字簽名和加解密運算功能�����,保證操作在SE內(nèi)進行;
b)應(yīng)具備訪問控制保護的獨立存儲空間�����,存放讀寫機具對稱密鑰和證書私鑰����,私鑰不可導(dǎo)出并且不能明文輸出對稱密鑰����;
c)參與密鑰運算的隨機數(shù)應(yīng)由SE生成���,其隨機性指標(biāo)應(yīng)符合GB/T 32915-2016的相關(guān)要求���。
5.4 安全模塊接口
SE接口應(yīng)支持密碼應(yīng)用管理和密碼應(yīng)用服務(wù)的功能����。
6 讀寫機具數(shù)據(jù)初始化要求
6.1 讀寫機具標(biāo)識數(shù)據(jù)
讀寫機具標(biāo)識數(shù)據(jù)應(yīng)包括:
a)讀寫機具生產(chǎn)廠商標(biāo)識碼���、讀寫機具生產(chǎn)日期����、讀寫機具標(biāo)識碼���;
b)在讀寫機具出廠前預(yù)置����,出廠后禁止更改��。
6.2 讀寫機具標(biāo)識的編碼
讀寫機具標(biāo)識的編碼安全技術(shù)要求如下:
a)讀寫機具生產(chǎn)廠商標(biāo)識碼應(yīng)由生產(chǎn)廠商的統(tǒng)一社會信用代碼或組織機構(gòu)代碼表示;
b)讀寫機具生產(chǎn)日期應(yīng)由8位數(shù)字代碼組成�����,編碼格式為:YYYYMMDD��,如生產(chǎn)日期為2013年07月02日,即為20130702���;
c)讀寫機具標(biāo)識碼編碼格式應(yīng)為:通信接口類型+讀寫機具類型+-”+讀寫機具生產(chǎn)廠商標(biāo)識碼+讀寫機具生產(chǎn)日期+當(dāng)日序列號。其中,通信接口類型�����、讀寫機具類型分別見表1和表2���;_'表示空格;讀寫機具生產(chǎn)廠商標(biāo)識碼應(yīng)由統(tǒng)一社會信用代碼表示����;當(dāng)日序列號的值為000001-999999之間的順序編碼���。
以上為標(biāo)準(zhǔn)部分內(nèi)容��,如需看標(biāo)準(zhǔn)全文,請到相關(guān)授權(quán)網(wǎng)站購買標(biāo)準(zhǔn)正版�����。
