1 范圍

      GB/T 36629的本部分規(guī)定了公民網(wǎng)絡(luò)電子身份標(biāo)識(shí)載體基本安全要求、芯片操作系統(tǒng)和應(yīng)用安全要求、載體密鑰應(yīng)用管理安全技術(shù)要求和載體密碼應(yīng)用服務(wù)安全技術(shù)要求。

      本部分適用于公民網(wǎng)絡(luò)電子身份標(biāo)識(shí)載體的設(shè)計(jì)、開發(fā)、測(cè)試、生產(chǎn)和應(yīng)用。

2 規(guī)范性引用文件

      下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 16649.3-2006 識(shí)別卡 帶觸點(diǎn)的集成電路卡 第3部分：電信號(hào)和傳輸協(xié)議

      GB/T 16649.4-2010 識(shí)別卡 集成電路卡 第4部分：用于交換的結(jié)構(gòu)、安全和命令

      GB/T 16649.6-2001 識(shí)別卡 帶觸點(diǎn)的集成電路卡 第6部分：行業(yè)間數(shù)據(jù)元

      GB/T 20518 信息安全技術(shù) 公鑰基礎(chǔ)設(shè)施 數(shù)字證書格式

      GB/T 22186 信息安全技術(shù) 具有中央處理器的IC卡芯片安全技術(shù)要求

      GB/T 25069 信息安全技術(shù) 術(shù)語(yǔ)

      GB/T 32915-2016 信息安全技術(shù) 二元序列隨機(jī)性檢測(cè)方法

      GB/T 32918.2-2016 信息安全技術(shù) SM2橢圓曲線公鑰密碼算法 第2部分：數(shù)字簽名算法

      GB/T 32918.4-2016 信息安全技術(shù) SM2橢圓曲線公鑰密碼算法 第4部分：公鑰加密算法

      GB/T 20518-2018 信息安全技術(shù) 公民網(wǎng)絡(luò)電子身份標(biāo)識(shí)格式規(guī)范

      GM/T 0008-2012 安全芯片密碼檢測(cè)準(zhǔn)則

      ISO/IEC 14443.4：2016 識(shí)別卡 非接觸式集成電路卡 鄰近卡 第4部分：傳輸協(xié)議（Identifi-cation cards-Contactless integrated circuit cards-Proximity cards-P rt 4:Transmission protocol) rds-Part 4

3 術(shù)語(yǔ)和定義

      GB/T 25069和GB/T 20518-2018界定的以及下列術(shù)語(yǔ)和定義適用于本文件。

3.1

      載體 carrier

      用于承載公民網(wǎng)絡(luò)電子身份標(biāo)識(shí)的介質(zhì)。

      注：包括智能密碼鑰匙、智能芯片卡等形態(tài)。

3.2

      載體數(shù)字證書 carrier certificate

      頒發(fā)給載體的數(shù)字證書。

3.3

      應(yīng)用維護(hù)密鑰 application maintenance key

      用于載體進(jìn)行數(shù)據(jù)傳輸保護(hù)的密鑰。

3.4

      主控密鑰 master key

      用于向載體內(nèi)加密裝載其他類型密鑰以及進(jìn)行外部認(rèn)證的密鑰。

3.5

      簽名PIN碼重置密鑰 reload key of cyber electronic identity signature PIN

      用于重置或者解鎖公民網(wǎng)絡(luò)電子身份標(biāo)識(shí)簽名PIN碼的密鑰。

3.6

      應(yīng)用管理密鑰 application management key

      用于管理載體應(yīng)用的密鑰。

      注：主要包括主控密鑰、應(yīng)用維護(hù)密鑰和簽名PIN碼重置密鑰。

3.7

      公民網(wǎng)絡(luò)電子身份標(biāo)識(shí)頒發(fā)系統(tǒng) citizen cyber electronic identity issuing system

      用于頒發(fā)公民網(wǎng)絡(luò)電子身份標(biāo)識(shí)的信息系統(tǒng)。

3.8

      公民網(wǎng)絡(luò)電子身份標(biāo)識(shí)證書 citizen cyber electronic identity certificate

      由公民網(wǎng)絡(luò)電子身份標(biāo)識(shí)頒發(fā)系統(tǒng)按照GB/T 20518-2018的要求頒發(fā)的數(shù)字證書。

3.9

      密鑰容器文件 key container file

      用于記載載體內(nèi)所有非對(duì)稱密鑰、證書的存儲(chǔ)信息和算法信息的文件。

3.10

      會(huì)話密鑰 session key

      用于安全通信會(huì)話而隨機(jī)產(chǎn)生的對(duì)稱密鑰。

4 縮略語(yǔ)

      下列縮略語(yǔ)適用于本文件。

      DF：專用文件（Dedicated File）

      EF：基本文件（Elementary File）

      PIN：個(gè)人識(shí)別碼（Personal Identification Number）

5 載體基本安全要求

5.1 概述

      公民網(wǎng)絡(luò)電子身份標(biāo)識(shí)的載體應(yīng)由芯片、芯片操作系統(tǒng)、安全域和各類應(yīng)用等部分組成。基本結(jié)構(gòu)見圖1。

      芯片包括處理器、加密協(xié)處理器、隨機(jī)數(shù)發(fā)生器和存儲(chǔ)器。

      芯片操作系統(tǒng)提供獨(dú)立于讀寫機(jī)具的安全機(jī)制，為載體芯片的應(yīng)用管理提供統(tǒng)一的文件系統(tǒng)和安全服務(wù)接口。

      安全域負(fù)責(zé)對(duì)載體外實(shí)體（例如發(fā)卡方、應(yīng)用提供方、授權(quán)管理者）的應(yīng)用管理需求提供密碼支持，分為公民網(wǎng)絡(luò)電子身份標(biāo)識(shí)主安全域和其他安全域。一個(gè)安全域內(nèi)允許多個(gè)主安全域并存。

      應(yīng)用包括公民網(wǎng)絡(luò)電子身份標(biāo)識(shí)應(yīng)用和其他應(yīng)用，由獨(dú)立的安全域管理，即不同應(yīng)用的存儲(chǔ)區(qū)域和運(yùn)行環(huán)境是獨(dú)立的。

圖1 公民網(wǎng)絡(luò)電子身份標(biāo)識(shí)載體的基本結(jié)構(gòu)

5.2 芯片

5.2.1 處理器

      應(yīng)符合GB/T 22186的要求。

5.2.2 加密協(xié)處理器

      公鑰密碼算法應(yīng)符合GB/T 32918.4-2016的要求。

5.2.3 隨機(jī)數(shù)發(fā)生器

      應(yīng)符合GB/T 32915-2016的要求，提供真隨機(jī)數(shù)發(fā)生器，實(shí)現(xiàn)硬件生成隨機(jī)數(shù)算法并具有自檢測(cè)功能。

5.2.4 存儲(chǔ)器

      應(yīng)提供三種硬件存儲(chǔ)器，包括非易失性只讀存儲(chǔ)器、隨機(jī)讀寫存儲(chǔ)器和可擦除可編程非易失存儲(chǔ)器。

5.3 芯片操作系統(tǒng)

      應(yīng)符合GB/T 16649.3-2006、GB/T 16649.4-2010、GB/T 16649.6-2001、ISO/IEC 14443.4： 2016和GM/T 0008-2012的要求。

5.4 安全域

      安全域應(yīng)包括但不限于公民網(wǎng)絡(luò)電子身份標(biāo)識(shí)主安全域和其他安全域。

以上為標(biāo)準(zhǔn)部分內(nèi)容，如需看標(biāo)準(zhǔn)全文，請(qǐng)到相關(guān)授權(quán)網(wǎng)站購(gòu)買標(biāo)準(zhǔn)正版。