1 范圍

      GB/T 36629的本部分規定了公民網絡電子身份標識載體基本安全要求、芯片操作系統和應用安全要求、載體密鑰應用管理安全技術要求和載體密碼應用服務安全技術要求。

      本部分適用于公民網絡電子身份標識載體的設計、開發、測試、生產和應用。

2 規范性引用文件

      下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 16649.3-2006 識別卡 帶觸點的集成電路卡 第3部分：電信號和傳輸協議

      GB/T 16649.4-2010 識別卡 集成電路卡 第4部分：用于交換的結構、安全和命令

      GB/T 16649.6-2001 識別卡 帶觸點的集成電路卡 第6部分：行業間數據元

      GB/T 20518 信息安全技術 公鑰基礎設施 數字證書格式

      GB/T 22186 信息安全技術 具有中央處理器的IC卡芯片安全技術要求

      GB/T 25069 信息安全技術 術語

      GB/T 32915-2016 信息安全技術 二元序列隨機性檢測方法

      GB/T 32918.2-2016 信息安全技術 SM2橢圓曲線公鑰密碼算法 第2部分：數字簽名算法

      GB/T 32918.4-2016 信息安全技術 SM2橢圓曲線公鑰密碼算法 第4部分：公鑰加密算法

      GB/T 20518-2018 信息安全技術 公民網絡電子身份標識格式規范

      GM/T 0008-2012 安全芯片密碼檢測準則

      ISO/IEC 14443.4：2016 識別卡 非接觸式集成電路卡 鄰近卡 第4部分：傳輸協議（Identifi-cation cards-Contactless integrated circuit cards-Proximity cards-P rt 4:Transmission protocol) rds-Part 4

3 術語和定義

      GB/T 25069和GB/T 20518-2018界定的以及下列術語和定義適用于本文件。

3.1

      載體 carrier

      用于承載公民網絡電子身份標識的介質。

      注：包括智能密碼鑰匙、智能芯片卡等形態。

3.2

      載體數字證書 carrier certificate

      頒發給載體的數字證書。

3.3

      應用維護密鑰 application maintenance key

      用于載體進行數據傳輸保護的密鑰。

3.4

      主控密鑰 master key

      用于向載體內加密裝載其他類型密鑰以及進行外部認證的密鑰。

3.5

      簽名PIN碼重置密鑰 reload key of cyber electronic identity signature PIN

      用于重置或者解鎖公民網絡電子身份標識簽名PIN碼的密鑰。

3.6

      應用管理密鑰 application management key

      用于管理載體應用的密鑰。

      注：主要包括主控密鑰、應用維護密鑰和簽名PIN碼重置密鑰。

3.7

      公民網絡電子身份標識頒發系統 citizen cyber electronic identity issuing system

      用于頒發公民網絡電子身份標識的信息系統。

3.8

      公民網絡電子身份標識證書 citizen cyber electronic identity certificate

      由公民網絡電子身份標識頒發系統按照GB/T 20518-2018的要求頒發的數字證書。

3.9

      密鑰容器文件 key container file

      用于記載載體內所有非對稱密鑰、證書的存儲信息和算法信息的文件。

3.10

      會話密鑰 session key

      用于安全通信會話而隨機產生的對稱密鑰。

4 縮略語

      下列縮略語適用于本文件。

      DF：專用文件（Dedicated File）

      EF：基本文件（Elementary File）

      PIN：個人識別碼（Personal Identification Number）

5 載體基本安全要求

5.1 概述

      公民網絡電子身份標識的載體應由芯片、芯片操作系統、安全域和各類應用等部分組成。基本結構見圖1。

      芯片包括處理器、加密協處理器、隨機數發生器和存儲器。

      芯片操作系統提供獨立于讀寫機具的安全機制，為載體芯片的應用管理提供統一的文件系統和安全服務接口。

      安全域負責對載體外實體（例如發卡方、應用提供方、授權管理者）的應用管理需求提供密碼支持，分為公民網絡電子身份標識主安全域和其他安全域。一個安全域內允許多個主安全域并存。

      應用包括公民網絡電子身份標識應用和其他應用，由獨立的安全域管理，即不同應用的存儲區域和運行環境是獨立的。

圖1 公民網絡電子身份標識載體的基本結構

5.2 芯片

5.2.1 處理器

      應符合GB/T 22186的要求。

5.2.2 加密協處理器

      公鑰密碼算法應符合GB/T 32918.4-2016的要求。

5.2.3 隨機數發生器

      應符合GB/T 32915-2016的要求，提供真隨機數發生器，實現硬件生成隨機數算法并具有自檢測功能。

5.2.4 存儲器

      應提供三種硬件存儲器，包括非易失性只讀存儲器、隨機讀寫存儲器和可擦除可編程非易失存儲器。

5.3 芯片操作系統

      應符合GB/T 16649.3-2006、GB/T 16649.4-2010、GB/T 16649.6-2001、ISO/IEC 14443.4： 2016和GM/T 0008-2012的要求。

5.4 安全域

      安全域應包括但不限于公民網絡電子身份標識主安全域和其他安全域。

以上為標準部分內容，如需看標準全文，請到相關授權網站購買標準正版。