静态动态数据认证 联机脱机认证 国密算法 国密标准 加密机密钥体系
- 2017-05-25 21:36:00
- admin
- 原创 3092
一、静态动态数据认证
1、静态数据认证SDA,使用密钥对静态数据做签名,主要目的是防止篡改;
2、动态数据认证DDA,使用密钥对动态数据做签名,主要目的是防止重放;
二、联机脱机认证
1、联机认证,终端设备一定要联网才能做卡片认证;
2、脱机认证,终端设备可以不联网做卡片认证,可以离线使用卡片;
三、国家部门性质
1、人民银行,国务院组成部门
2、市场监督管理总局,国务院直属机构
3、银保监会,国务院直属事业单位
4、国密局,部委管理局
四、国密算法
1、SM4对应国际算法DES对称加密算法;
2、SM2对应国际算法RSA非对称加密算法;
3、SM3对应国际算法MD5等消息摘要算法;
4、openssl和bcprov都支持国密算法;
5、加密算法ID:SM2,1.2.156.10197.1.301
6、签名算法ID:SM2-with-SM3,1.2.156.10197.1.501
7、国密安全套接字MAC算法是SM3-HMAC;
国密算法细节:
1、国密签名结果默认是R+S,分别是32字节,结果一共是64字节;
2、可以使用DER对签名结果进行编码,这样签名结果大于64字节;
五、国密标准
1、国密局认证查询:http://service.scctc.org.cn
2、国密局标准规范:http://www.gmbz.org.cn/main/bzlb.html
3、信安标委规范:https://www.tc260.org.cn
4、GM/T 0028-2014,密码模块安全技术要求;
5、GB/T 37092-2018,密码模块安全要求;
6、GB/T 39786-2021,信息系统密码应用基本要求;
7、GM/T 0024-2014,SSL VPN 技术规范,基于RFC 4346 TLSv1.1修改而来;
8、GB/T 38636-2020,信息安全技术传输层密码协议(TLCP),TLCP和0024差别不大;
9、蚂蚁SSL标准,TLSv1.3+国密单证书正式被国际标准承认,并且以RFC 8998标准发布;
六、加密机密钥体系
HSM:硬件加密机
PIN:密码
MAC:消息认证码
转加密:银行密码传输一般使用非对称密钥加密,存储使用对称密钥加密,存在加密转换过程。
第一层:LMK
Local Master Key,本地主密钥,相当于银联密钥体系中的MK。
第二层:ZMK、TMK
ZMK,Zone Master Key,区域主密钥,相当于银联密钥体系中的MMK。
TMK,Terminal Master Key,终端主密钥,相当于银联密钥体系中的MMK。
第三层:ZAK、ZEK、ZPK、TAK、TPK
ZAK,Zone Authentication Key,区域认证密钥。
ZEK,Zone Encrypt Key,区域加密密钥。
ZPK,Zone PIN Key,区域PIN密钥。
TAK,Terminal Administrative Key,终端认证密钥。
TPK,Terminal PIN encryption Key,终端PIN密钥。
ZAK、TAK相当于银联密钥体系中的MAK,ZPK、TPK相当于银联密钥体系中的PIK。