静态动态数据认证 联机脱机认证 国密算法 国密标准 加密机密钥体系

一、静态动态数据认证

1、静态数据认证SDA，使用密钥对静态数据做签名，主要目的是防止篡改；

2、动态数据认证DDA，使用密钥对动态数据做签名，主要目的是防止重放；

二、联机脱机认证

1、联机认证，终端设备一定要联网才能做卡片认证；

2、脱机认证，终端设备可以不联网做卡片认证，可以离线使用卡片；

三、国家部门性质

1、人民银行，国务院组成部门

2、市场监督管理总局，国务院直属机构

3、银保监会，国务院直属事业单位

4、国密局，部委管理局

四、国密算法

1、SM4对应国际算法DES对称加密算法；

2、SM2对应国际算法RSA非对称加密算法；

3、SM3对应国际算法MD5等消息摘要算法；

4、openssl和bcprov都支持国密算法；

5、加密算法ID：SM2，1.2.156.10197.1.301

6、签名算法ID：SM2-with-SM3，1.2.156.10197.1.501

7、国密安全套接字MAC算法是SM3-HMAC；

国密算法细节：

1、国密签名结果默认是R+S，分别是32字节，结果一共是64字节；

2、可以使用DER对签名结果进行编码，这样签名结果大于64字节；

五、国密标准

1、国密局认证查询：http://service.scctc.org.cn

2、国密局标准规范：http://www.gmbz.org.cn/main/bzlb.html

3、信安标委规范：https://www.tc260.org.cn

4、GM/T 0028-2014，密码模块安全技术要求；

5、GB/T 37092-2018，密码模块安全要求；

6、GB/T 39786-2021，信息系统密码应用基本要求；

7、GM/T 0024-2014，SSL VPN 技术规范，基于RFC 4346 TLSv1.1修改而来；

8、GB/T 38636-2020，信息安全技术传输层密码协议（TLCP），TLCP和0024差别不大；

9、蚂蚁SSL标准，TLSv1.3+国密单证书正式被国际标准承认，并且以RFC 8998标准发布；

六、加密机密钥体系

HSM：硬件加密机
PIN：密码
MAC：消息认证码

转加密：银行密码传输一般使用非对称密钥加密，存储使用对称密钥加密，存在加密转换过程。

第一层：LMK
Local Master Key，本地主密钥，相当于银联密钥体系中的MK。

第二层：ZMK、TMK
ZMK，Zone Master Key，区域主密钥，相当于银联密钥体系中的MMK。
TMK，Terminal Master Key，终端主密钥，相当于银联密钥体系中的MMK。

第三层：ZAK、ZEK、ZPK、TAK、TPK
ZAK，Zone Authentication Key，区域认证密钥。

ZEK，Zone Encrypt Key，区域加密密钥。
ZPK，Zone PIN Key，区域PIN密钥。
TAK，Terminal Administrative Key，终端认证密钥。
TPK，Terminal PIN encryption Key，终端PIN密钥。
ZAK、TAK相当于银联密钥体系中的MAK，ZPK、TPK相当于银联密钥体系中的PIK。