GB∕T 36629.1-2018
基本信息
标准号: GB∕T 36629.1-2018
中文名称:信息安全技术 公民网络电子身份标识安全技术要求 第1部分:读写机具安全技术要求
标准类别:国家标准(GB)
标准状态:现行
出版语种:简体中文
下载格式:.rar .pdf
下载大小:11890KB
相关标签: 信息安全 技术 公民 网络 电子 身份 标识 安全 读写 机具
标准分类号
关联标准
出版信息
相关单位信息
标准简介
GB∕T 36629.1-2018 信息安全技术 公民网络电子身份标识安全技术要求 第1部分:读写机具安全技术要求
GB∕T36629.1-2018
标准压缩包解压密码:www.bzxz.net
标准图片预览
标准内容
ICS35.040
中华人民共和国国家标准
GB/T36629.1—2018
信息安全技术
公民网络电子身份标识安全技术要求第1部分:读写机具安全技术要求InformationsecuritytechnologySecurity technique requirements for citizen cyber electronic identity-Part1:Securitytechniquerequirementsforreader2018-10-10发布
国家市场监督管理总局
中国国家标准化管理委员会
2019-05-01实施
GB/T36629.1—2018
规范性引用文件
术语和定义
缩略语
读写机具基本安全要求
基本组件
微控制单元
安全模块
安全模块接口
6读写机具数据初始化要求
读写机具标识数据
读写机具标识的编码
读写机具数字证书格式
读写机具证书颁发系统证书格式7读写机具密码应用管理安全要求7.1
密码算法
密钥管理
证书管理
7.4读写机具开机口令管理
8读写机具密码应用服务安全要求8.1数据加解密服务
8.2签名PIN码服务
8.3数字签名服务
参考文献
GB/T36629.1—2018
GB/T36629《信息安全技术公民网络电子身份标识安全技术要求》分为以下部分:第1部分:读写机具安全技术要求;—第2部分:载体安全技术要求;第3部分:验证服务消息及其处理规则。本部分为GB/T36629的第1部分。本部分按照GB/T1.1—2009给出的规则起草请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本部分由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本部分起草单位:公安部第三研究所、中国科学院软件研究所、国防科学技术大学、中国科学院信息工程研究所、国家信息中心、北京数字认证股份有限公司、上海格尔软件股份有限公司、普华诚信信息技术有限公司、金联汇通信息技术有限公司。本部分主要起草人:胡传平、邹期、陈兵、杨明慧、贾焰、张立武、刘丽敏、李新友、国强、张晏、傅大鹏、张妍、梁佐泉、谢超、田文晋、郑强、刘海龙、倪力舜、背怡心、夏丽娟、周斌、张严。1
1范围
信息安全技术
公民网络电子身份标识安全技术要求第1部分:读写机具安全技术要求CB/T36629.1—2018
GB/T36629的本部分规定了公民网络电子身份标识读写机具的基本安全要求,数据初始化安全要求、密码应用管理安全要求和密码应用服务安全要求本部分适用于公民网络电子身份标识读写机具的设计、开发、测试、生产和应用。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件:凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T16649.3-—2006
带触点的集成电路卡第3部分:电信号和传输协议识别卡
信息安全技术公钥基础设施数字证书格式GB/T20518--2018
GB/T32905—2016
GB/T32907—2016
GB/T32915—2016
SM3密码杂漆算法
信息安全技术
信息安全技术SM4分组密码算法
信息安全技术
二元序列随机性检测方法
信息安全技术SM2椭圆曲线公钥密码算法第2部分:数字签名算法GB/T32918.22016
GB/T32918.4—2016信息安全技术SM2椭圆曲线公钥密码算法第4部分:公钥加密算法GB/T36632—2018
信息安全技术公民网络电子身份标识格式规范ISO/IEC14443.4:2016识别卡非接触式集成电路卡邻近卡第4部分:传输协议(Identifi-cation cardsContactlessintegrated circuitcards-ProximitycardsPart4:Transmission protocol)3术语和定义
GB/T36632一2018界定的以及下列术语和定义适用于本文件。3.1
读写机具reader
能够读写承载于智能卡、智能密码钥匙等载体中公民网络电子身份标识相关信息的机具。3.2
secureelementof reader
读写机具安全模块
读写机具内部的核心硬件电路安全组件。3.3
读写机具数字证书certificateof reader用于标识读写机具身份的数字证书。3.4
cryptographicapplicationmanagement密码应用管理
用于对读写机具安全模块上的密钥进行生成存储、导人、导出、更新的操作,并对读写机具数学证GB/T36629.1—2018
书进行导人、更新、删除操作。3.5
签名PIN码signaturePIN
确认公民网络电子身份标识载体签名操作的个人识别码3.6
cryptographicapplication service密码应用服务
通过读写机具对应用提供数据加解密、签名PIN码的校验和修改、数字签名等服务。3.7
数据初始化datainitialization将读写机具初始化数据加密处理后写人读写机具的过程3.8
读写机具数字证书颁发系统issuingsystemofreaderscertificate用于颁发读写机具数字证书的信息系统。3.9
读写机具初始化数据initializationdataofreader用于实现读写机具初始化的数据信息注:包括读写机具的对称和非对称密钥数据、读写机具证书和读写机具证书颁发系统的证书4缩略语
下列缩略语适用于本文件。
LCD:液晶显示器(LiquidCrystalDisplay)MCU:微控制单元(MicrocontrollerUnit)PIN:个人识别码(PersonalIdentificationNumber)SE:安全模块(SecureElement)5读写机具基本安全要求
基本组件
读写机具应包括MCU、SE、SE接口等组件,见图1所示MCU是一个通用处理器,应支持通信、设备读写逻辑等指令。SE负责对关键数据进行安全存储和运算,确保进行的操作具有不可抵赖性。SE接口用于MCU和SE之间的数据交互。2
公民间
悠电子
身物标
职蒙休
GB/T1E649.3-—2006送
50/1EC14443.4:2016
通销持
读码机具
图1公民网络电子身份标识的读写机具组件示意图2微控制单元
MCU的安全技术要求如下:
GB/T36629.1—2018
款入放
APC、
移动终编)
a)与公民网络电子身份标识载体的通信,应符合GB/T16649.3—2006或ISO/IEC14443.4:2016的要求;
应支持从接人点接人的外部数据交互、数据合规性和数据完整性的验证。b)
安全模块
SE的安全技术要求如下:
应具有密钥生成、数字签名和加解密运算功能,保证操作在SE内进行:b)
应具备访问控制保护的独立存储空间,存放读写机具对称密钥和证书私钥,私钥不可导出并耳不能明文输出对称密钥:
参与密钥运算的随机数应由SE生成,其随机性指标应符合GB/T32915—2016的相关要求c
4安全模块接口
SE接口应支持密码应用管理和密码应用服务的功能。读写机具数据初始化要求
读写机具标识数据
读写机具标识数据应包括:
读写机具生产厂商标识码、读写机具生产日期、读写机具标识码;b)
在读写机具出厂前预置,出厂后禁正更改。读写机具标识的编码
读写机具标识的编码安全技术要求如下:读写机具生产厂商标识码应由生产厂商的统一社会信用代码或组织机构代码表示;a
读写机具生产日期应由8位数字代码组成,编码格式为:YYYYMMDD,如生产日期为2013年07月02日,即为20130702;
读写机具标识码编码格式应为:通信接口类型十读写机具类型十十读写机具生产厂商标识3
GB/T36629.1—2018
码十读写机具生产日期十当日序列号。其中,通信接口类型、读写机具类型分别见表1和表2;表示空格:读写机具生产厂商标识码应由统一社会信用代码表示;当日序列号的值为000001-999999之间的顺序编码。表1
通信接口类型
通信接口类型
蓝牙通信接口
USB通信接口
其他类型接口
读写机具类型
读写机具类型
读写机具数字证书格式
通用接触式读写器
具有LCD和键盘的接触读写器
通用双界面读写器
具有LCD和键盘的双界面读写器
通用非接触读写器
具有LCD和键盘的非接触读写器
其他类型读写器
读写机具数字证书格式应符合GB/T20518一2018中5.2的要求其主体项表示读写机具的实体信息,格式应为:
主体项=读写机具标识码十组织十国家;其中,读写机具标识码编码格式见6.2。组织是读写机具证书颁发系统所属机构的英文或拼音简称,全部大写。国家是中国的英文简称CN。6.4读写机具证书颁发系统证书格式读写机具证书颁发系统证书格式应符合GB/T20518一2018中5.2的要求。其主体项表示读写机具证书颁发系统的实体信息,格式应为:主体项一名称十组织十国家;
其中,名称是发行机构的英文或拼音简称,全部大写。组织是读写机具证书颁发系统的英文或拼音简称,全部大写。国家是中国的英文简称CN。1
读写机具密码应用管理安全要求7.1
密码算法
密码算法的安全技术要求如下:a)
公钥密码算法应符合GB/T32918.4—2016的要求;b)密码杂算法应符合GB/T32905—2016的要求;分组密码算法应符合GB/T32907—2016的要求。c
密钥管理
密钥管理的安全技术要求如下:应支持SM2算法的密钥对生成、存储、导入以及公钥的导出等功能:b)应支持SM4算法的密钥的生成、存储、加密导人、加密导出等功能。3证书管理
读写机具数字证书管理
读写机具数字证书管理的安全技术要求如下:应在读写机具的SE内产生读写机具的公私钥a
读写机具产生的公钥应提交读写机具数字证书颁发系统以制作证书b)
读写机具私钥应保存读写机具的SE中,不可导出。读写机具数字证书颁发系统证书管理7.3.2
读写机具数字证书颁发系统证书管理的安全技术要求如下:GB/T36629.1—2018
应在数据初始化过程中将读写机具数字证书颁发系统的证书写人读写机具的SE中:b)应能够验证读写机具数字证书的有效性。7.4读写机具开机口令管理
读写机具开机口令管理的安全技术要求如下:a)应支持读写机具开机口令的校验功能;应支持读写机具开机口令的修改功能;b
应支持读写机具开机口令的复位功能。c
8读写机具密码应用服务安全要求8.1
数据加解密服务
应支持GB/T32918.4—2016和GB/T32907—2016的要求。2签名PIN码服务
应支持签名PIN码的校验和修改功能。3数字签名服务
应支持GB/T32918.2—2016的要求。5
GB/T36629.1—2018
GB/T16649.4—2010
GB/T16649.6—2001
GB/T32918.1—2016
GB/T32918.3—2016
GB/T32918.5—2017
参考文献
识别卡
带触点的集成电路卡第4部分:用于交换的结构、安全和识别卡免费标准bzxz.net
带触点的集成电路卡
第6部分:行业间数据元
信息安全技术
SM2圆曲线公钥密码算法第1部分:总则信息安全技术
信息安全技术
SM2椭圆曲线公钥密码算法第3部分:密钥交换SM2椭圆曲线公钥密码算法
第5部分:参数定义
On-The-Go Supplement to the USB2.0 Specification
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国国家标准
GB/T36629.1—2018
信息安全技术
公民网络电子身份标识安全技术要求第1部分:读写机具安全技术要求InformationsecuritytechnologySecurity technique requirements for citizen cyber electronic identity-Part1:Securitytechniquerequirementsforreader2018-10-10发布
国家市场监督管理总局
中国国家标准化管理委员会
2019-05-01实施
GB/T36629.1—2018
规范性引用文件
术语和定义
缩略语
读写机具基本安全要求
基本组件
微控制单元
安全模块
安全模块接口
6读写机具数据初始化要求
读写机具标识数据
读写机具标识的编码
读写机具数字证书格式
读写机具证书颁发系统证书格式7读写机具密码应用管理安全要求7.1
密码算法
密钥管理
证书管理
7.4读写机具开机口令管理
8读写机具密码应用服务安全要求8.1数据加解密服务
8.2签名PIN码服务
8.3数字签名服务
参考文献
GB/T36629.1—2018
GB/T36629《信息安全技术公民网络电子身份标识安全技术要求》分为以下部分:第1部分:读写机具安全技术要求;—第2部分:载体安全技术要求;第3部分:验证服务消息及其处理规则。本部分为GB/T36629的第1部分。本部分按照GB/T1.1—2009给出的规则起草请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本部分由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本部分起草单位:公安部第三研究所、中国科学院软件研究所、国防科学技术大学、中国科学院信息工程研究所、国家信息中心、北京数字认证股份有限公司、上海格尔软件股份有限公司、普华诚信信息技术有限公司、金联汇通信息技术有限公司。本部分主要起草人:胡传平、邹期、陈兵、杨明慧、贾焰、张立武、刘丽敏、李新友、国强、张晏、傅大鹏、张妍、梁佐泉、谢超、田文晋、郑强、刘海龙、倪力舜、背怡心、夏丽娟、周斌、张严。1
1范围
信息安全技术
公民网络电子身份标识安全技术要求第1部分:读写机具安全技术要求CB/T36629.1—2018
GB/T36629的本部分规定了公民网络电子身份标识读写机具的基本安全要求,数据初始化安全要求、密码应用管理安全要求和密码应用服务安全要求本部分适用于公民网络电子身份标识读写机具的设计、开发、测试、生产和应用。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件:凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T16649.3-—2006
带触点的集成电路卡第3部分:电信号和传输协议识别卡
信息安全技术公钥基础设施数字证书格式GB/T20518--2018
GB/T32905—2016
GB/T32907—2016
GB/T32915—2016
SM3密码杂漆算法
信息安全技术
信息安全技术SM4分组密码算法
信息安全技术
二元序列随机性检测方法
信息安全技术SM2椭圆曲线公钥密码算法第2部分:数字签名算法GB/T32918.22016
GB/T32918.4—2016信息安全技术SM2椭圆曲线公钥密码算法第4部分:公钥加密算法GB/T36632—2018
信息安全技术公民网络电子身份标识格式规范ISO/IEC14443.4:2016识别卡非接触式集成电路卡邻近卡第4部分:传输协议(Identifi-cation cardsContactlessintegrated circuitcards-ProximitycardsPart4:Transmission protocol)3术语和定义
GB/T36632一2018界定的以及下列术语和定义适用于本文件。3.1
读写机具reader
能够读写承载于智能卡、智能密码钥匙等载体中公民网络电子身份标识相关信息的机具。3.2
secureelementof reader
读写机具安全模块
读写机具内部的核心硬件电路安全组件。3.3
读写机具数字证书certificateof reader用于标识读写机具身份的数字证书。3.4
cryptographicapplicationmanagement密码应用管理
用于对读写机具安全模块上的密钥进行生成存储、导人、导出、更新的操作,并对读写机具数学证GB/T36629.1—2018
书进行导人、更新、删除操作。3.5
签名PIN码signaturePIN
确认公民网络电子身份标识载体签名操作的个人识别码3.6
cryptographicapplication service密码应用服务
通过读写机具对应用提供数据加解密、签名PIN码的校验和修改、数字签名等服务。3.7
数据初始化datainitialization将读写机具初始化数据加密处理后写人读写机具的过程3.8
读写机具数字证书颁发系统issuingsystemofreaderscertificate用于颁发读写机具数字证书的信息系统。3.9
读写机具初始化数据initializationdataofreader用于实现读写机具初始化的数据信息注:包括读写机具的对称和非对称密钥数据、读写机具证书和读写机具证书颁发系统的证书4缩略语
下列缩略语适用于本文件。
LCD:液晶显示器(LiquidCrystalDisplay)MCU:微控制单元(MicrocontrollerUnit)PIN:个人识别码(PersonalIdentificationNumber)SE:安全模块(SecureElement)5读写机具基本安全要求
基本组件
读写机具应包括MCU、SE、SE接口等组件,见图1所示MCU是一个通用处理器,应支持通信、设备读写逻辑等指令。SE负责对关键数据进行安全存储和运算,确保进行的操作具有不可抵赖性。SE接口用于MCU和SE之间的数据交互。2
公民间
悠电子
身物标
职蒙休
GB/T1E649.3-—2006送
50/1EC14443.4:2016
通销持
读码机具
图1公民网络电子身份标识的读写机具组件示意图2微控制单元
MCU的安全技术要求如下:
GB/T36629.1—2018
款入放
APC、
移动终编)
a)与公民网络电子身份标识载体的通信,应符合GB/T16649.3—2006或ISO/IEC14443.4:2016的要求;
应支持从接人点接人的外部数据交互、数据合规性和数据完整性的验证。b)
安全模块
SE的安全技术要求如下:
应具有密钥生成、数字签名和加解密运算功能,保证操作在SE内进行:b)
应具备访问控制保护的独立存储空间,存放读写机具对称密钥和证书私钥,私钥不可导出并耳不能明文输出对称密钥:
参与密钥运算的随机数应由SE生成,其随机性指标应符合GB/T32915—2016的相关要求c
4安全模块接口
SE接口应支持密码应用管理和密码应用服务的功能。读写机具数据初始化要求
读写机具标识数据
读写机具标识数据应包括:
读写机具生产厂商标识码、读写机具生产日期、读写机具标识码;b)
在读写机具出厂前预置,出厂后禁正更改。读写机具标识的编码
读写机具标识的编码安全技术要求如下:读写机具生产厂商标识码应由生产厂商的统一社会信用代码或组织机构代码表示;a
读写机具生产日期应由8位数字代码组成,编码格式为:YYYYMMDD,如生产日期为2013年07月02日,即为20130702;
读写机具标识码编码格式应为:通信接口类型十读写机具类型十十读写机具生产厂商标识3
GB/T36629.1—2018
码十读写机具生产日期十当日序列号。其中,通信接口类型、读写机具类型分别见表1和表2;表示空格:读写机具生产厂商标识码应由统一社会信用代码表示;当日序列号的值为000001-999999之间的顺序编码。表1
通信接口类型
通信接口类型
蓝牙通信接口
USB通信接口
其他类型接口
读写机具类型
读写机具类型
读写机具数字证书格式
通用接触式读写器
具有LCD和键盘的接触读写器
通用双界面读写器
具有LCD和键盘的双界面读写器
通用非接触读写器
具有LCD和键盘的非接触读写器
其他类型读写器
读写机具数字证书格式应符合GB/T20518一2018中5.2的要求其主体项表示读写机具的实体信息,格式应为:
主体项=读写机具标识码十组织十国家;其中,读写机具标识码编码格式见6.2。组织是读写机具证书颁发系统所属机构的英文或拼音简称,全部大写。国家是中国的英文简称CN。6.4读写机具证书颁发系统证书格式读写机具证书颁发系统证书格式应符合GB/T20518一2018中5.2的要求。其主体项表示读写机具证书颁发系统的实体信息,格式应为:主体项一名称十组织十国家;
其中,名称是发行机构的英文或拼音简称,全部大写。组织是读写机具证书颁发系统的英文或拼音简称,全部大写。国家是中国的英文简称CN。1
读写机具密码应用管理安全要求7.1
密码算法
密码算法的安全技术要求如下:a)
公钥密码算法应符合GB/T32918.4—2016的要求;b)密码杂算法应符合GB/T32905—2016的要求;分组密码算法应符合GB/T32907—2016的要求。c
密钥管理
密钥管理的安全技术要求如下:应支持SM2算法的密钥对生成、存储、导入以及公钥的导出等功能:b)应支持SM4算法的密钥的生成、存储、加密导人、加密导出等功能。3证书管理
读写机具数字证书管理
读写机具数字证书管理的安全技术要求如下:应在读写机具的SE内产生读写机具的公私钥a
读写机具产生的公钥应提交读写机具数字证书颁发系统以制作证书b)
读写机具私钥应保存读写机具的SE中,不可导出。读写机具数字证书颁发系统证书管理7.3.2
读写机具数字证书颁发系统证书管理的安全技术要求如下:GB/T36629.1—2018
应在数据初始化过程中将读写机具数字证书颁发系统的证书写人读写机具的SE中:b)应能够验证读写机具数字证书的有效性。7.4读写机具开机口令管理
读写机具开机口令管理的安全技术要求如下:a)应支持读写机具开机口令的校验功能;应支持读写机具开机口令的修改功能;b
应支持读写机具开机口令的复位功能。c
8读写机具密码应用服务安全要求8.1
数据加解密服务
应支持GB/T32918.4—2016和GB/T32907—2016的要求。2签名PIN码服务
应支持签名PIN码的校验和修改功能。3数字签名服务
应支持GB/T32918.2—2016的要求。5
GB/T36629.1—2018
GB/T16649.4—2010
GB/T16649.6—2001
GB/T32918.1—2016
GB/T32918.3—2016
GB/T32918.5—2017
参考文献
识别卡
带触点的集成电路卡第4部分:用于交换的结构、安全和识别卡免费标准bzxz.net
带触点的集成电路卡
第6部分:行业间数据元
信息安全技术
SM2圆曲线公钥密码算法第1部分:总则信息安全技术
信息安全技术
SM2椭圆曲线公钥密码算法第3部分:密钥交换SM2椭圆曲线公钥密码算法
第5部分:参数定义
On-The-Go Supplement to the USB2.0 Specification
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。