工业互联网标识解析 商用密码应用技术要求

■制定 □修订

□IDT □MOD □NEQ

□FTP

35.100.01

中国信息通信研究院

北京神州绿盟科技有限公司,奇安信科技集团股份有限公司,北京科技大学

目的：工业互联网标识解析体系是实现工业全要素、各环节信息互通的关键枢纽，为全球制造业发展和工业互联网普及提供了关键资源和基础设施，提供了跨地域、跨行业、跨企业的全球信息互联互通能力，堪称工业互联网的“神经系统”。因而工业互联网标识解析体系的建设，对支持工业互联网实现全局协同发展，提升我国制造业创新发展水平具有重要意义。 意义：密码技术作为信息安全的基础性技术，是信息保护和网络信任体系建设的基础，是工业互联网标识解析系统安全应用过程中不可或缺的技术，商用密码技术可以直接或间接地支撑涉及到身份的真实性、行为的抗抵赖、内容的机密性和完整性的安全要求项，根据实际的安全需求，科学合理地采用密码技术及其产品，是解决安全问题最为有效、经济和便捷的手段。商用密码技术通过如下密码服务来为安全要求项的实现提供支持： (1) 机密性服务：通过加密和解密数据，防止数据的未授权泄露。数据包括存储数据、传输数据和流量信息。 (2) 完整性服务：通过检测、通知、记录和恢复数据修改，防止数据的未授权修改。数据修改包括改值/替换、插入、除/丢失、重复/复制、变序/错位等。 (3) 真实性服务：通过标识和鉴别活动主体的身份，防止身份的冒用和伪造。 (4) 抗抵赖服务：通过提供行为证据，防止活动主体否认其行为。证据内容包括行为主体、行为方式、行为内容和行为时间等。

1.范围 本标准针对工业互联网标识解析安全保护的基本技术要求分别从物理安全、网络安全、基础设施安全、应用安全和数据安全及备份恢复五个层面提出，对每一层面应直接或间接采用密码技术来支撑的安全控制点和安全要求项提出技术要求。 2.主要技术内容  基本框架 工业互联网标识解析商用密码保护框架是以密码技术为基础建立的安全服务体系。它利用密码技术提供的真实性、机密性、完整性和抗抵赖等密码服务，形成相应的安全服务机制，以保护信息系统的边界、局域计算环境以及支撑它的网络通信环境，实现对信息系统的安全保护。密码保护框架由以下四个部分构成：  密码基础设施；  通信安全：由密码技术支撑的保障通信安全的安全服务；  局域计算环境安全：由密码技术支撑的保障局域计算环境安全的安全服务；  边界安全：由密码技术支撑的保障信息系统边界安全的安全服务。  技术体系 实现密码保护框架的密码保护技术体系分为多个层次，逐层提供支撑服务，最终为工业互联网标识解析系统提供基于密码技术的安全保护服务。商用密码保护技术体系的构建基于安全可靠、层次分明、标准开放的原则，包括密码基础设施、密码设备、密码服务以及密码支撑的安全服务等四个组成部分。  密码基础设施，包括PKI和KMI。  密码设备，包括密码卡、智能密码钥匙、服务器密码机、终端密码机、网络密码机、可信计算平台、其他密码设备等。  密码服务，基于密码设备和密码基础设施对外提供的基础密码服务，包括机密性、完整性、抗抵赖和真实性等。  密码技术支撑的安全服务，包括身份鉴别服务、传输安全服务、存储安全服务、可信时间服务、可信电子印迹服务、访问控制服务、安全审计服务和责任认定服务等。  商用密码技术的实施要求 鉴于商用密码技术应用是实现工业互联网标识解析保护体系的重要基础，同时密码保护的正确实施非常关键，要求科学合理的密码系统设计和严谨规范的密码系统集成，因此，使用商用密码技术来对工业互联网标识解析进行密码保护应按照国家商用密码管理相关政策和标准进行严格管理，从密码保护系统的资质、能力认定、方案设计、产品选型、集成实施、安全测评、日常维护与检查等方面分别对商业密码的实施提出了相关要求。  商用密码应用技术相关安全要求项  物理安全，在电子门禁系统方面需要用到密码技术。密码技术的应用需求点归纳如下： a) 重要区域进入人员身份的真实性 b) 电子门禁系统记录的完整性  网络安全，在安全访问路径、访问控制和身份鉴别方面需要用到密码技术。密码技术的应用需求点归纳如下： a) 安全访问路径中通信主体身份的真实性 b) 安全访问路径中数据的机密性 c) 安全访问路径中数据的完整性 d) 网络边界和系统资源访问控制信息的完整性 e) 审计记录的完整性 f) 网络设备用户身份的真实性 g) 传输过程中鉴别信息的机密性  主机安全，在身份鉴别、访问控制、审计记录和程序安全方面需要用到密码技术。密码技术的应用需求点归纳如下： a) 操作系统和数据库系统用户身份的真实性 b) 传输过程中鉴别信息的机密性 c) 系统资源访问控制信息的完整性 d) 重要信息资源敏感标记的完整性 e) 审计记录的完整性 f) 重要程序的完整性  应用安全，在身份鉴别、访问控制、审计记录和通信安全方面需要用到密码技术。密码技术的应用需求点归纳如下： a) 应用系统用户身份的真实性 b) 文件、数据库表等客体访问控制信息的完整性 c) 重要信息资源敏感标记的完整性 d) 审计记录的完整性 e) 通信过程中数据的完整性 f) 通信双方身份的真实性 g) 通信过程中整个报文或会话过程的机密性 h) 数据原发行为的抗抵赖 i) 数据接收行为的抗抵赖  数据安全及备份恢复，在数据传输安全和数据存储安全方面需要用到密码技术。密码技术的应用需求点归纳如下： a) 传输过程中系统管理数据、鉴别信息和重要业务数据的完整性 b) 传输过程中系统管理数据、鉴别信息和重要业务数据的机密性 c) 存储过程中系统管理数据、鉴别信息和重要业务数据的完整性 d) 存储过程中系统管理数据、鉴别信息和重要业务数据的机密性  密钥管理要求，包括对密钥的生成、存储、分发、注入与导出、使用、备份、更新、归档、恢复和销毁等环节进行管理和策略制定的全过程。  密码配用策略要求，包括密码算法配用策略、密码协议配用策略、密码设备配用策略  密码实现机制  密码安全防护要求

1.国内外对该技术研究情况简要说明：国内外对工业互联网标识解析商用密码应用技术要求目前有一定研究积累，但业内尚无可借鉴的工业互联网标识解析系统商用密码应用技术要求标准作为指导。 2.项目与国际标准或国外先进标准采用程度的考虑：在该领域没有已完成的国际标准可对应。 3.与国内相关标准间的关系：国内目前没有工业互联网标识解析商用密码应用技术相关的标准及研究项目。 4.指出是否发现有知识产权的问题：尚未发现相关知识产权问题。