数字家庭密码应用架构

进网络安全行业群

密码服务平台是数字家庭密码应用架构的核心，负责数字家庭系统内部各组成部分的证书及密钥的分发及管理，负责提供身份验证、数据加密等安全服务，保护数字家庭App、数字家庭基础平台、住宅用综合信息箱和智能设备间的通信和数据安全。

数字家庭密码应用应符合以下通用要求：

a）数字家庭各组成部分使用的密码算法符合法律、法规的规定和密码相关国家标准、行业标准的有关要求；

b）数字家庭各组成部分使用的密码技术遵循密码相关国家标准和行业标准；

c）数字家庭各组成部分使用的密码产品、密码服务符合法律法规的相关要求。

| 密码应用架构

图1 数字家庭密码应用架构图

a）基础设施层：主要由数据库、负载设备、存储、服务器等底层设备、计算软硬件设施组成；

b）密码安全设施层：以数字证书认证系统和密码服务平台为核心，通过数字证书，为智能终端、移动终端、业务系统等各类实体对象提供身份的可信描述，构建可信数字身份体系；通过密码服务平台为各类业务应用提供密码综合服务，解决业务系统面临的身份鉴别、机密性、完整性等安全问题；

c）安全应用支撑层：服务器密码机和身份认证网关组成安全应用支撑体系。服务器密码机为住宅用综合信息箱到数字家庭基础平台的数据流转提供加解密服务，保障数据的安全可靠性；身份认证网关为住宅用综合信息箱接入数字家庭基础平台提供基于数字证书的强身份认证；

d）应用层：由智能终端、移动终端和业务系统构成。

| 证书和密钥发行

图2 数字家庭证书和密钥分发

a）密码服务平台向数字家庭各组成部分发行密钥，IoT 端住宅用综合信息箱和智能设备的密钥应包含 SEID、控制密钥、EF10 安全信息文件等；密码服务平台向数字家庭基础平台和数字家庭 APP 发行加密密钥对；

b）密码服务平台向数字家庭各组成部分发行国密双证书，即签名证书和加密证书，签名证书用于数字签名，加密证书用于数据加密。数字证书应符合 GM/T 0015 要求；

c）数字家庭 APP 应具有软件安全模块，软件安全模块具有密钥产生能力；

d）住宅用综合信息箱、传感类智能设备，应具有硬件安全模块，硬件安全模块具有密钥产生能力；

e）非传感类智能设备宜具有密钥产生能力的硬件安全模块；

f）后续通讯数据加密应使用对称密钥结合非对称密钥；

g）数字证书应有使用期限并定时更新；

h）密钥应有使用期限并定期进行更新。

| 身份认证

数字家庭的身份认证流程如图3所示，应满足以下要求：

图3 身份认证流程及数据加解密

a）数字家庭 APP 接入数字家庭基础平台时、住宅用综合信息箱接入数字家庭基础平台时、传感类智能设备接入住宅用综合信息箱时、应采用基于数字证书的双向身份认证机制；

b）非传感类智能设备接入住宅用综合信息箱时，宜采用基于数字证书的双向身份认证机制；

c）密码服务平台为数字家庭基础平台提供的身份认证接口应符合 GM/T 0018 和 GM/T 0019 的规定。

| 数据加解密