T/HBCCIA 0001-2024 政务云密码应用技术指南

ICS 35.040
L 80
湖北省商密协会团体标准
T/HBCCIA 0001—2024
政务云密码应用技术指南
Guidance of cryptographic application technology forgovernment cloud
2024 - 09 - 20 发布2024 - 09 - 20 实施
湖北省商用密码协会发布

目次
前言............................................................................ II
引言........................................................................... III
1 范围.............................................................................. 1
2 规范性引用文件.................................................................... 1
3 术语和定义........................................................................ 2
4 缩略语............................................................................ 4
5 政务云密码应用概述................................................................ 5
5.1 政务云业务架构............................................................... 5
5.2 政务云密码应用需求........................................................... 5
6 政务云密码应用架构............................................................... 10
6.1 总体架构.................................................................... 10
6.2 云平台密码应用架构.......................................................... 12
6.3 云租户密码应用架构.......................................................... 17
附录A（资料性附录）政务云典型业务架构设计说明..................................... 25
附录B（资料性附录）政务云密码应用架构设计说明..................................... 27
附录C（资料性附录）云平台密码应用方案范例......................................... 30
附录D（资料性附录）云租户应用系统密码应用方案范例................................. 46
附录E（资料性附录）云租户应用系统密码应用流程范例................................. 71
参考文献......................................................................... 73
T/HBCCIA 0001—2024
II
前言
本文件按照GB/T 1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规
定起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由湖北省商用密码协会提出并归口。
本文件起草单位：武汉云计算科技有限公司、湖北省密码管理局、武汉市密码管理局、武汉大
学、华中科技大学、武汉信安珞珈科技有限公司、数字认证（武汉）有限责任公司、渔翁信息技术
股份有限公司、湖北信安通科技有限责任公司、华为云计算技术有限公司、湖北东方网盾信息安全
技术有限公司、武汉等保测评有限公司、武汉网络安全技术有限公司。
本文件主要起草人：杨志刚、闵国华、钟收成、何德彪、徐鹏、陈辉、龚斌、胡进、夏鲁宁、
彭聪、胡胜山、刘云、钟云婷、郭刚、夏波、魏玉科、王克俊、李荣、李禅、陈延。
T/HBCCIA 0001—2024
III
引言
政务云是政务信息系统的新形态，给政务信息系统的商用密码应用带来了诸多新的问题和挑战。
2023年，国家密码管理局密码应用评估组对武汉云政务系统密码应用予以肯定，要求湖北基于武汉
云政务系统密码应用实践经验，梳理、提炼、总结，编写用于指导政务云密码应用合规、正确、有
效的规范性文件。
本文件是在GB/T 39786《信息安全技术信息系统密码应用基本要求》标准基础上，根据政务
云的通用性密码应用需求，规范建立政务云密码应用的技术指导性文件。本文件旨在指导建立标准
统一的政务云密码保障系统，支撑云平台、云租户应用系统合规、合理使用密码资源，满足商用密
码应用安全性评估的相关要求。本文件从物理和环境安全、网络和通信安全、设备和计算安全、应
用和数据安全等层面描述云平台及云租户的密码应用需求，从政务云业务架构的角度来设计政务云
密码应用架构，包括云平台和云租户两侧业务架构中各组成部分的密码应用。
本文件适用于政务云规划、建设、运行的各个阶段，为政务云云平台和云租户应用系统的规划
设计、建设实施和运行维护过程中合规、正确、有效地应用密码技术，保障政务云信息系统安全提
供指导。

T/HBCCIA 0001—2024
1
政务云密码应用技术指南
1 范围
本文件提出了政务云密码应用的技术指南，包括政务云密码应用需求、应用架构和应用规范。
本文件适用于政务云规划、建设、运行的各个阶段，为政务云云平台和云租户应用系统的规划
设计、建设实施和运行维护过程中合规、正确、有效地应用密码技术，保障政务云信息系统安全提
供指导。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于
本文件，凡是不注日期的引用文件，其最新版本（包括所有的修订单）适用于本文件。
GB/T 15843《信息技术安全技术实体鉴别》
GB/T 15852.1 信息技术安全技术消息鉴别码第1部分：采用分组密码的机制
GB/T 20518 信息安全技术公钥基础设施数字证书格式
GB/T 22239 信息安全技术网络安全等级保护基本要求
GB/T 25056 信息安全技术证书认证系统密码及其相关安全技术规范
GB/T 32905 信息安全技术SM3密码杂凑算法
GB/T 32907 信息安全技术SM4分组密码算法
GB/T 32918 信息安全技术SM2椭圆曲线公钥密码算法
GB/T 35276 信息安全技术SM2密码算法使用规范
GB/T 36322 信息安全技术密码设备应用接口规范
GB/T 36968 信息安全技术IPSec VPN 技术规范
GB/T 37092 信息安全技术密码模块安全要求
GB/T 38540 信息安全技术安全电子签章密码技术规范
GB/T 38556 信息安全技术动态口令密码应用技术规范
GB/T 38629 信息安全技术签名验签服务器技术规范
GB/T 38636 信息安全技术传输层密码协议(TLCP)
GB/T 39786 信息安全技术信息系统密码应用基本要求
GB/T 43206 信息安全技术信息系统密码应用测评要求
GB/T 43207 信息安全技术信息系统密码应用设计指南
GM/T 0024 SSL VPN 技术规范
GM/T 0025 SSL VPN 网关产品规范
GM/T 0026 安全认证网关产品规范
GM/T 0027 智能密码钥匙技术规范
GM/T 0030 服务器密码机技术规范
GM/T 0033 时间戳接口规范
GM/T 0034 基于SM2密码算法的证书认证系统密码及其相关安全技术规范
GM/T 0036 采用非接触卡的门禁系统密码应用指南
GM/T 0110 密钥管理互操作协议规范
T/HBCCIA 0001—2024
2
GM/Z 4001 密码术语
T/HBCCIA 0001-2023 湖北省重要网络和信息系统密码应用技术指南
3 术语和定义
下列术语和定义适用于本文件。
3.1
云基础设施cloud computing infrastructure
指支撑云服务和密码应用的硬、软件设备和系统的统称，通常由通用资源和密码资源组成。
本文件中，特指政务云基础设施。
3.2
云平台cloud computing platform
指云服务商提供的云基础设施及其上的服务软件的集合，可提供云计算资源、支撑软件、信息
安全等综合服务支撑。
本文件中，特指政务云平台。
3.3
基础设施即服务infrastructure as a service
指云服务商提供的计算、存储、网络等资源服务，以及访问云基础设施的服务接口。简称IaaS。
3.4
平台即服务platform as a service
指云服务商提供的运行在云基础设施之上的软件开发和运行平台服务。简称PaaS。
3.5
软件即服务software as a service
指云服务商提供的运行在云基础设施之上的通用软件服务。简称SaaS。
3.6
安全即服务security as a service
指云服务商提供的运行在云基础设施之上的安全应用服务，可视为一种特定类型的SaaS服务。
简称SECaaS。
3.7
云租户cloud tenant
指为使用云计算服务同云服务商建立业务关系的参与方。亦称“云服务客户”。
本文件中，特指各级政府部门和行使政务职能的国有企事业单位。
3.8
云租户应用系统cloud tenant application system
指云租户的终端与云（服务）端互动的应用程序。云租户的终端操作可同步到云端，云租户应
用系统产生的数据可保留在终端或云端。
3.9
密码技术cryptographic technology
T/HBCCIA 0001—2024
3
指采用特定变换的方法对信息等进行加密保护、安全认证的技术，包括密码编码、实现、协议、
安全防护、分析破译，以及密钥产生、分发、传送、使用、销毁等技术。
3.1
密码产品cryptographic products
指采用密码技术进行加密保护、安全认证的产品，即承载密码技术、实现密码功能的实体。典
型的密码产品包括密码机、密码芯片和密码模块。
3.11
密码服务cryptographic service
指基于密码专业技术、技能和设施，为他人提供集成、运营、监理等密码支持和保障的活动，
即基于密码资源，实现密码功能，提供密码保障的行为。云密码服务是云计算技术和密码技术相结
合的一种服务形态，以云资源服务的方式向云租户提供密码服务。
3.12
密码服务平台cryptographic service platform
指通过标准化密码接口为云租户应用系统提供密钥、密码运算、证书管理、身份认证、数据签
验等密码服务的管理平台，具备密码资源统一管理、密码服务按需配置、密钥集中管理、设备统一
管理等管理能力。亦称“密码服务管理平台”或“密码服务支撑平台”。
3.13
密码资源cryptographic resources
指各类密码产品的逻辑统称，可实现数据加解密、数字签名、密钥管理等密码服务功能。
3.14
密码资源池cryptographic resource pool
指一组密码资源的集合，通过虚拟化技术和集中管理机制，实现密码资源的实时监控、合理分
配和负载均衡。密码资源池可通过密码服务平台统一调用，向云租户应用系统提供密码资源服务。
3.15
敏感信息sensitive information
指涉及到个人隐私、商业机密、国家安全等方面的信息，如果被泄露或被非法获取或被篡改，
可能会对个人、组织或国家造成严重的损失或影响。敏感信息的分类主要包括个人敏感信息、商业
敏感信息、国家敏感信息等。本文件不涉及国家敏感信息。
3.16
堡垒机bastion host
指一种在多云环境下的统一安全运维接入服务。基于SaaS服务对云主机、云数据库等运维对象
的运维权限以及运维接入通道进行安全控制，规避运维工作带来的高危端口、弱口令等风险。
3.17
云平台管理用户cloud platform manage users
指对云平台软硬件设备系统及云服务产品进行日常运维和运营的云平台厂商和云服务商的管理
人员，主要包括云平台厂商运维人员、云服务商运维人员和运营人员等。
3.18
云租户管理员cloud tenant administrator
T/HBCCIA 0001—2024
4
指由云租户设置的专职管理应用系统和云资源的相关人员。云租户管理员原则上只能管理自身
单位的应用系统及租赁的云资源。
3.19
智能密码钥匙cryptography token
指一种终端密码设备，具备密码运算、密钥管理功能，主要用于存储用户的私钥或数字证书，
并完成数据加解密、数据完整性校验、数字签名、访问控制等功能。它通常采用USB接口形态,亦被
称作“USBKey”。
3.20
密码资源分组cryptography resources group
指由两个或以上密码资源组成的逻辑分组。
3.21
云共生应用资源池cloud computing-based symbiotic application resource pool
指由第三方服务厂商托管在云平台的计算、存储、安全、密码等专用设备或虚拟化计算集群。
3.22
密码保障系统cryptography protection system
指采用密码技术、产品和服务集成建设的，对网络和信息系统提供加密保护和安全认证功能的
系统。
4 缩略语
SSL: Secure Socket Layer，安全套接层协议层
VPN: Virtual Private Network，虚拟专用网络
API: Application Programming Interface，应用编程接口
SDK: Software Development Kit，软件开发工具包
VPC: Virtual Private Cloud，虚拟私有（专属）云
HMAC: Hash-based Message Authentication Code，哈希消息认证码
IPSec: Internet Protocol Security，互联网安全协议
IAM: Identity and Access Management，身份识别与访问管理
HSM: Hardware Security Module，硬件安全模块
WAF: Web Application Firewall，Web应用防火墙
SSH: Secure Shell，安全外壳协议
PIN: Personal Identification Number，个人身份识别码
HTTPS: Hypertext Transfer Protocol Secure，超文本传输安全协议
KMS: Key Management System，密钥管理系统
NAT: Network Address Translation，网络地址转换
OS: Operating System，操作系统
IMS: Image Management Service，镜像服务
ECS: Elastic Compute Service，弹性计算服务，通常称作“云服务器”或“云主机”
T/HBCCIA 0001—2024
5
SWR: SoftWare Repository for Container，容器镜像服务
CA: Certificate Authority，证书颁发机构
CM: Certificate Management，证书管理
KGC: Key Generation Center，密钥生成中心
5 政务云密码应用概述
5.1 政务云业务架构
政务云通常由物理资源做底层支撑，基于云计算管理平台的云资源管理能力，依托云平台运维
管理系统、运营管理系统，向政务云租户提供各类云服务。
政务云典型业务架构通常包括政务云平台和政务云租户两个部分，由物理资源、云平台应用系
统、政务云服务和云租户应用系统等组成。政务云典型业务架构设计说明详见附录A。
5.2 政务云密码应用需求
5.2.1 总体要求
5.2.1.1 概述
本文件中，政务云密码应用以云平台应用系统和云租户应用系统的密码需求为依据，遵循GB/T
39786第三级密码应用基本要求，采用密码技术从物理和环境安全、网络和通信安全、设备和计算
安全、应用和数据安全等层面，提出云平台和云租户应用系统的密码应用要求。关于“应”、“宜”
、“可”的选取，可依据GB/T 43206确定。
注：1、本文件中提出的政务云（含云平台和云租户）密码应用要求以GB/T 39786第三级密码应用基本要求为
遵循，本文件不涉及其他级别的密码应用要求。
2、云平台和云租户密码应用所需的管理制度、人员管理、建设运行、应急处置等管理要求分别由云平台责任
单位和云租户责任单位制定和落实，本文件不涉及这部分内容。
5.2.1.2 密码算法要求
政务云使用的密码算法应符合法律、法规的规定和密码相关国家标准、行业标准的有关要求，
应遵循的相关标准规范包括但不限于本文件“2 规范性引用文件”。
5.2.1.3 密码产品要求
政务云使用的密码产品应符合法律、法规的规定和密码相关国家标准、行业标准的有关要求，
应遵循的相关标准规范包括但不限于本文件“2 规范性引用文件”。
遵循GB/T 39786第三级密码应用基本要求的政务云平台，其使用的密码产品（包括密码机、密
码模块等）应达到GB/T 37092二级及以上安全要求。
5.2.1.4 密码服务要求
政务云使用的密码服务应符合法律、法规的规定和密码相关国家标准、行业标准的有关要求，
应遵循的相关标准规范包括但不限于本文件“2 规范性引用文件”。
政务云如采用第三方电子认证服务的，应选择由经相关主管部门认定和取得国家密码管理部门
同意使用密码的证明文件，依法取得电子认证服务资质的电子认证服务机构提供。
T/HBCCIA 0001—2024
6
政务云使用的电子签名、电子印章、电子证照等涉及的电子认证服务，应当由依法设立的电子
政务电子认证服务机构提供。
政务云如使用第三方云服务商提供的密码服务时，建设单位和使用单位应选择由已通过商用密
码应用安全性评估的云平台和密码服务平台提供。第三方云服务商提供服务所涉及的云平台和密码
服务平台的安全保护等级，应不低于其承载的保护对象的安全保护等级。
5.2.2 云平台密码应用需求
5.2.2.1 需求概述
本文件中，云平台密码应用应遵循GB/T 39786第三级密码应用基本要求，采用的密码服务应符
合法律法规的相关要求，需依法接受检测认证的，应经商用密码认证机构认证合格，部署的密码产品
应达到GB/T 37092二级及以上安全要求，从物理和环境安全、网络和通信安全、设备和计算安全、
应用和数据安全四个层面采用密码技术保护，为云平台的运行安全和管理安全提供密码保障。
5.2.2.2 物理和环境安全
5.2.2.2.1 安全风险
a) 存在非法人员进入政务云平台所在物理机房等重要区域，对软硬件设备和数据进行直接破
坏的风险；
b) 存在重要区域电子门禁进出记录和视频监控音像记录遭到篡改，导致非法人员进出重要区
域不被正常记录的风险。
5.2.2.2.2 密码应用需求
a) 采用密码技术对进入云数据中心的人员进行身份鉴别，保证云数据中心进入人员身份的真
实性。
b) 采用密码技术保证电子门禁系统进出记录数据的存储完整性。
c) 采用密码技术保证视频监控音像记录数据的存储完整性。
d) 如果政务云部署涉及多个物理机房，所有物理机房均应进行保护。
5.2.2.3 网络和通信安全
5.2.2.3.1 安全风险
a) 云平台网络中互联网与政务网间、客户端与服务端间、VPN 客户端与VPN 网关间、政务云
平台与灾备中心间、多个政务云平台之间等通信信道的传输过程，存在通信实体身份被仿
冒，非法接入云平台的风险。
b) 云平台业务数据在各网络通信信道传输过程中存在被篡改的风险。
c) 云平台重要业务数据在各网络通信信道传输过程中存在被非法获取的风险。
d) 云平台网络边界访问控制信息存在被篡改，导致非法通信实体接入网络的风险。
e) 云平台网络存在非法设备从外部网络接入内部网络，或网络边界被破坏的风险。
注：网络边界访问控制信息包括部署在网络边界的VPN 中的访问控制列表、防火墙的访问控制列表、边界
路由的访问控制列表等信息。
T/HBCCIA 0001—2024
7
5.2.2.3.2 密码应用需求
a) 采用密码技术对通信实体进行身份鉴别，保证通信实体身份的真实性。云平台涉及的通信
实体包括云平台与外部网络连接的通信实体、云平台异地机房之间的通信实体等。
b) 采用密码技术保证通信过程中云平台业务数据的完整性。
c) 采用密码技术保证通信过程中云平台重要业务数据的机密性。
d) 采用密码技术保证云平台网络边界访问控制信息的完整性。
e) 采用密码技术保护云平台与外部网络之间、云平台异地机房之间等跨区域通信链路的传输
机密性和完整性。
注：如采用SSL 协议来满足网络和通信安全层面客户端与服务器端的身份鉴别、通信数据完整性、通信过
程中重要数据的机密性等要求，则认证模式分为两种情况：在客户端验证服务端身份的场景下，采用单向SSL
认证；在客户端和服务端需要互相验证对方身份的场景下，采用双向SSL 认证。
5.2.2.4 设备和计算安全
5.2.2.4.1 安全风险
a) 云平台设备存在被非法人员登录的风险。
b) 云平台设备的远程管理通道存在被非法使用，或传输的管理数据被非法获取或篡改的风险。
c) 云平台设备操作系统的系统权限访问控制信息、系统文件目录的访问控制信息、数据库中
的数据访问控制信息、堡垒机等第三方运维系统中的权限访问控制信息等，存在被非法获
取或篡改的风险。
d) 云平台设备的重要信息资源安全标记存在被篡改的风险。
e) 云平台设备的日志记录存在被篡改，以掩盖设备被非法操作的风险。
f) 云平台设备的重要可执行程序存在被篡改或来源不可信的风险。
5.2.2.4.2 密码应用需求
a) 采用密码技术对登录云平台设备的用户进行身份鉴别，保证用户身份的真实性。如对远程
管理云平台设备的云平台管理用户进行身份鉴别。
b) 远程管理云平台设备时，应采用密码技术建立安全的信息传输通道。
c) 采用密码技术保证云平台设备系统资源访问控制信息的完整性。云平台设备系统资源访问
控制信息包括设备操作系统、系统文件目录、数据库数据、堡垒机等信息。
d) 采用密码技术保证云平台设备的重要信息资源安全标记的完整性。
e) 采用密码技术保证云平台设备日志记录的完整性。如对云平台管理用户的身份鉴别、设备
操作等关键日志记录进行完整性保护。
f) 采用密码技术对云平台设备中重要可执行程序进行完整性保护，并对其来源进行真实性验
证。
注：“5.2.2.4”节的“云平台设备”指云基础设施中的通用设备、网络及安全设备、密码设备、虚拟设备等。
5.2.2.5 应用和数据安全
5.2.2.5.1 安全风险
a) 云平台应用系统（如运营管理系统、运维管理系统等）存在被非法人员登录的风险。
T/HBCCIA 0001—2024
8
b) 云平台应用系统中能够决定系统应用访问控制措施的信息（如权限、标签等）存在被篡改，
导致应用资源被非法获取的风险。
c) 云平台应用系统的重要信息资源安全标记存在被篡改的风险。
d) 云平台应用系统传输或存储的重要数据（如身份鉴别信息、镜像文件和快照文件中的敏感
信息、云资源管理敏感信息等重要业务数据，以及重要审计数据、云平台管理员及租户的
身份证号、手机号等敏感信息），存在被外部攻击者非法获取或篡改的风险；镜像文件、
快照文件存在被篡改的风险。
e) 云平台内部的重要指令（如虚拟机监控器（VMM）在虚拟机迁移过程中的指令）存在被篡
改或来源不可信的风险。
f) 云平台管理用户、云租户管理员对云平台及云资源的关键操作，存在被否认的风险。
g) 云平台应用系统的重要业务日志记录存在被非法篡改，导致非法操作被掩盖的风险。
5.2.2.5.2 密码应用需求
a) 采用密码技术对登录云平台应用系统的用户进行身份鉴别，保证应用系统用户身份的真实
性。如对登录运营管理系统、运维管理系统等云平台应用系统的用户进行身份鉴别。
b) 采用密码技术保证云平台应用系统的访问控制信息的完整性。如对云平台应用系统的权限、
标签等访问控制信息进行完整性保护。
c) 采用密码技术保证云平台应用系统的重要信息资源安全标记的完整性。如对运营管理系统、
运维管理系统等云平台应用系统中涉及的重要信息资源安全标记进行完整性保护。
d) 采用密码技术保证云平台应用系统的重要数据在传输过程中的机密性。
e) 采用密码技术保证云平台应用系统的重要数据在存储过程中的机密性。
f) 采用密码技术保证云平台应用系统的重要数据在传输过程中的完整性。
g) 采用密码技术保证云平台应用系统的重要数据在存储过程中的完整性。
h) 在可能涉及法律责任认定的应用中，采用密码技术提供数据原发证据和数据接收证据，实
现数据原发行为的不可否认性和数据接收行为的不可否认性。如对运营管理系统、运维管
理系统等云平台应用系统中的重要操作行为进行不可否认性保护。
注：云平台重要数据包括身份鉴别信息、镜像文件和快照文件中的敏感信息、虚拟机迁移指令、云资源管理敏
感信息、业务日志记录等重要业务数据，重要审计数据，以及云平台管理用户及云租户管理员的身份证号、手机号
等个人敏感信息。
5.2.3 云租户密码应用需求
5.2.3.1 需求概述
本文件中，云租户密码应用应遵循GB/T 39786第三级密码应用基本要求，使用云上合规的密码服务，
从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个层面实现云租户应用系统
的密码应用保障。
注：本文件中，合规的密码服务指符合法律法规和密码相关国家标准和行业标准要求，且经商用密码检测认证机构认证
合格或取得国家密码管理部门同意使用的证明文件的密码服务。
5.2.3.2 物理和环境安全
云租户应用系统物理和环境安全层面的密码应用在云平台侧实现（见5.2.2.2节）。
T/HBCCIA 0001—2024
9
5.2.3.3 网络和通信安全
5.2.3.3.1 安全风险
a) 云租户网络中客户端与应用系统间、政务服务App 与互联网政务服务门户间、VPN 客户端
与VPN 网关间、各级政务服务平台间、政务服务数据共享平台与政务信息系统间等通信信
道存在非法通信实体接入网络的风险。
b) 云租户业务数据在各网络通信信道传输过程中存在被篡改的风险。
c) 云租户重要业务数据在各网络通信信道传输过程中存在被非法获取的风险。
d) 云租户网络边界访问控制信息存在被篡改，导致非法通信实体接入网络的风险。
e) 云租户网络存在非法设备从外部网络接入内部网络，或网络边界被破坏的风险。
5.2.3.3.2 密码应用需求
a) 采用密码技术对通信实体进行身份鉴别，保证通信实体身份的真实性。云租户涉及的通信
实体包括云租户使用的云服务与网络边界外的通信实体、云租户应用系统访问云平台密码
服务的通信实体等。
b) 采用密码技术保证通信过程中云租户业务数据的完整性。
c) 采用密码技术保证通信过程中云租户重要业务数据的机密性。
d) 采用密码技术保证云租户网络边界访问控制信息的完整性。
5.2.3.4 设备和计算安全
5.2.3.4.1 安全风险
a) 云租户设备存在被非法人员登录的风险。
b) 云租户设备的远程管理通道存在被非法使用，或传输的管理数据被非法获取或篡改的风险。
c) 云租户设备操作系统的系统权限访问控制信息、系统文件目录的访问控制信息、数据库中
的数据访问控制信息、堡垒机等第三方运维系统中的权限访问控制信息等，存在被非法获
取或篡改的风险。
d) 云租户设备的重要信息资源安全标记存在被篡改的风险。
e) 云租户设备的日志记录存在被窜改，以掩盖非法操作的风险。
f) 云租户设备中的重要可执行程序及政务服务App存在被篡改或来源不可信的风险。
5.2.3.4.2 密码应用需求
a) 采用密码技术对登录云租户设备的用户进行身份鉴别，保证用户身份的真实性。如对远程
管理云租户设备的云租户管理员进行身份鉴别。
b) 远程管理云租户设备时，采用密码技术建立安全的信息传输通道。
c) 采用密码技术保证云租户设备系统资源访问控制信息的完整性。云租户设备系统资源访问
控制信息包括设备操作系统、系统文件目录、数据库数据、堡垒机等信息。
d) 采用密码技术保证云租户设备中的重要信息资源安全标记的完整性。
e) 采用密码技术保证云租户设备访问和操作日志记录的完整性。如对云租户管理员的身份鉴
别、设备操作等关键日志记录进行完整性保护。
f) 采用密码技术对云租户设备中的重要可执行程序进行完整性保护，并对其来源进行真实性
T/HBCCIA 0001—2024
10
验证。
注：“5.2.3.4”节的“云租户设备”指云租户租用或托管在云平台的物理设备和虚拟设备。
5.2.3.5 应用和数据安全
5.2.3.5.1 安全风险
a) 云租户应用系统（如互联网政务服务门户、政务服务数据共享平台、业务办理系统等）存
在被非法人员登录的风险。
b) 云租户应用系统中能够决定系统应用访问控制措施的信息（如权限、标签等）存在被篡改，
导致应用资源被登录应用的其他用户获取的风险。
c) 云租户应用系统的重要信息资源安全标记存在被篡改的风险。
d) 云租户应用系统传输或存储的重要数据存在被外部攻击者非法获取或篡改的风险。
e) 云租户应用系统中涉及法律责任认定的行为，如业务办理审批行为等关键行为，数据发送
者或接收者不承认发送或接受到数据，或者否认其所做的操作的风险。
f) 云租户应用系统的重要业务日志存在被篡改，导致非法操作被掩盖的风险。
5.2.3.5.2 密码应用需求
a) 采用密码技术对登录云租户应用系统的用户进行身份鉴别，保证应用系统用户身份的真实
性。
b) 采用密码技术保证云租户应用系统的访问控制信息的完整性。如对云租户应用系统的权限、
标签等访问控制信息进行完整性保护。
c) 采用密码技术保证云租户应用系统的重要信息资源安全标记的完整性。
d) 采用密码技术保证云租户应用系统的重要数据在传输过程中的机密性。
e) 采用密码技术保证云租户应用系统的重要数据在存储过程中的机密性。
f) 采用密码技术保证云租户应用系统的重要数据在传输过程中的完整性。
g) 采用密码技术保证云租户应用系统的重要数据在存储过程中的完整性。
h) 在可能涉及法律责任认定的应用中，采用密码技术提供云租户应用系统中数据原发证据和
数据接收证据，实现数据原发行为的不可否认性和数据接收行为的不可否认性。
6 政务云密码应用架构
6.1 总体架构
6.1.1 架构概述
本文件按照“分区建设、安全隔离”的原则设计密码应用总体架构，网络规划涵盖互联网区、
政务外网/专网区，密码资源采用云平台和云租户分开设计模式，以相对独立的方式分别实现云平
台和云租户的密码应用需求。
云租户密码应用需求有两种实现架构（密码平台服务架构和密码资源服务架构，见6.3节），
根据这两种架构分别设计政务云密码应用总体架构，见图6-1和图6-2。
注：云平台应用系统和云租户应用系统调用密码资源和密码服务的规范流程，以及应用系统和密码服务的交互
机制，可参考T/HBCCIA 0001-2023，本文件不再重复相关内容。
T/HBCCIA 0001—2024
11
6.1.2 基于密码平台服务的政务云密码应用总体架构
6.1.2.1 云数据中心
云数据中心密码应用主要涉及采用密码技术保护的电子门禁系统和视频监控系统，实现政务云
平台物理和环境安全层面的密码保护。
6.1.2.2 云密码资源
云密码资源由云平台密码资源和云应用密码资源两部分组成。
云平台密码资源向云平台（包括云计算管理平台、运营/运营管理系统等）和云服务（IaaS、
PaaS、SaaS、SECaaS）提供密码保护，支撑云平台自身密码需求的实现。云平台如果内置密码模块，
云平台密码资源还可向密码模块提供底层密码运算能力。
在这种架构下，通过部署密码服务平台，将云应用密码资源以虚拟化方式构建密码资源池，向
云租户应用系统提供各类云密码服务。
6.1.2.3 密码服务平台
密码服务平台对密码资源池进行集中管理、调度，经统一密码服务管理模块处理，通过密码服
务接入认证及统一调用接口，以租户隔离方式面向云租户应用系统提供云密码服务。
6.1.2.4 云外密码支撑平台
云外密码支撑平台主要指政务云以外为云平台或云租户应用系统提供密码服务的支撑系统的统
称，如数字证书认证系统、密钥生成中心（KGC）等。
面向互联网区和政务外网/专网区政务云租户提供电子认证服务的机构或单位，应当经国家密
码管理部门认定，依法取得电子政务电子认证服务机构资质。
图6-1 基于密码平台服务的政务云密码应用总体架构图
6.1.3 基于密码资源服务的政务云密码应用总体架构
6.1.3.1 云数据中心
见6.1.2.1节。
T/HBCCIA 0001—2024
12
6.1.3.2 云密码资源和云密码服务
云密码资源的组成和其中云平台密码资源的说明见6.1.2.2节。
在这种架构下，云应用密码资源直接生成各类密码服务，通过密码服务调用接口，以相互独立
的方式供不同云租户应用系统调用。
6.1.3.3 云外密码支撑平台。
见6.1.2.4节。
图6-2 基于密码资源服务的政务云密码应用总体架构图
6.2 云平台密码应用架构
6.2.1 架构设计
6.2.1.1 架构概述
政务云平台密码应用架构主要包括云数据中心、云基础设施、云平台密码模块、运营/运维管
理系统等部分。
政务云平台密码应用主要满足云平台自身的密码需求，由云数据中心中采用密码技术保护的电
子门禁系统和视频监控系统提供身份鉴别、数据存储完整性等物理和环境安全层面的密码保障，由
云平台密码资源或云平台密码模块向运营管理系统、运维管理系统等云平台应用系统，以及IaaS、
PaaS、SaaS、SECaaS等云服务提供网络和通信安全、设备和计算安全、应用和数据安全三个层面的
密码保障。
6.2.1.2 云数据中心
云数据中心密码应用主要实现物理访问实体的身份鉴别，涉及电子门禁记录数据及视频监控记
录数据存储的完整性保护。
6.2.1.3 云基础设施
云平台云基础设施主要包括云平台通用资源和云平台密码资源（见附录A.2.1），其密码应用
包括：
a) 云平台密码资源对运营管理系统、运维管理系统和云服务提供密码保护。
T/HBCCIA 0001—2024
13
b) 若云平台不含密码模块，则运营管理系统、运维管理系统、云服务等云平台应用从云基础
设施中调用云平台密码资源的密码运算、数据加解密等密码功能，实现身份认证、传输加
密、存储加密等密码应用能力。
图6-3 云平台密码应用架构
6.2.1.4 云平台密码模块
若云平台内置密码模块，则其密码应用包括：
a) 支持密钥管理、密码运算、证书签发等功能。
b) 支持商用密码算法密钥创建及生命周期管理。
c) 对接HSM和统一证书管理，提供数据加密、证书管理能力。
d) 对运营管理系统、运维管理系统和云服务提供密码保护。
e) 密码模块从云基础设施中调用云平台密码资源，生成密码运算、密钥管理以及证书签发等
密码功能，向运营管理系统、运维管理系统、云服务等云平台应用提供身份认证、传输加
密、存储加密等密码应用能力。
6.2.1.5 云服务
云服务的密码应用主要涉及IaaS、PaaS、SaaS、SECaaS等云服务的身份鉴别、存储加密、传输
加密、完整性保护等，具体如下：
a) 对访问云服务及云服务控制台的云平台管理用户、云租户管理员进行身份鉴别。
b) 对文件/对象进行存储加密。
c) 对云服务的身份鉴别信息、重要业务信息、重要审计信息、个人敏感信息、重要业务日志、
告警信息、虚拟机信息、容器镜像信息等重要业务数据进行存储加密。
d) 对网络边界云服务，如VPN，负载均衡，WAF，云堡垒机，弹性云服务器等涉及的传输通道
进行传输加密。
e) 对IAM服务访问控制信息、操作日志等重要数据进行完整性保护。
f) 若云平台内置密码模块，则云服务调用云平台密码模块，实现身份认证、传输加密、存储
加密等密码应用能力。
g) 若云平台不含密码模块，则云服务从云基础设施中调用云平台密码资源，实现身份认证、
T/HBCCIA 0001—2024
14
传输加密、存储加密等密码应用能力。
6.2.1.6 运营管理系统
运营管理系统属于面向云平台管理用户的典型云平台应用系统，其密码应用主要涉及接入身份
鉴别、完整性保护、证书管理等，具体如下：
a) 对访问云平台运营管理系统的云平台管理用户进行身份鉴别。
b) 对身份鉴别信息、云服务产品信息、营销信息、状态信息、云租户信息等重要数据进行完
整性保护，防止重要数据被非法获取和恶意篡改。
c) 针对云平台管理用户外部接入管理链路，支持链路加密防护，实现外部链路HTTPS安全传
输。
d) 对云平台管理用户登录服务控制台访问服务、OS等相关账号进行登录口令保护。
e) 若云平台内置密码模块，运营管理系统调用云平台密码模块，实现身份认证、外部链路加
密、口令保护、完整性保护、存储加密、证书管理等密码应用能力。
f) 若云平台不含密码模块，运营管理系统从云基础设施中调用云平台密码资源，实现身份认
证、外部链路加密、口令保护、完整性保护、存储加密、证书管理等密码应用能力。
6.2.1.7 运维管理系统
运维管理系统属于面向云平台管理用户和云租户管理员的典型云平台应用系统，其密码应用主
要涉及接入身份鉴别、完整性保护、证书管理等，具体如下：
a) 对访问云平台运维管理系统的云平台管理用户、云租户管理员进行身份鉴别。
b) 对运维管理系统的访问控制策略、数据库访问控制信息进行完整性保护。
c) 对身份鉴别信息、云资源管理信息、操作日志、告警信息、运维文件（配置文件、云租户
信息等）等重要数据进行完整性保护，防止重要数据被非法获取和恶意篡改。
d) 针对云平台管理用户、云租户管理员外部接入管理链路，支持链路加密防护，实现外部链
路HTTPS安全传输。
e) 对云平台管理用户、云租户管理员等登录服务控制台访问服务、OS等相关账号进行登录口
令保护。
f) 若云平台内置密码模块，运维管理系统调用云平台密码模块，实现身份认证、外部链路加
密、口令保护、完整性保护、存储加密、证书管理等密码应用能力。
g) 若云平台不含密码模块，运维管理系统从云基础设施中调用云平台密码资源，实现身份认
证、外部链路加密、口令保护、完整性保护、存储加密、证书管理等密码应用能力。
6.2.2 应用规范
6.2.2.1 云数据中心
6.2.2.1.1 电子门禁系统
电子门禁系统应对重要物理区域（设备机房）出入人员的身份进行鉴别，保证进入重点物理区域
人员身份的真实性，其密码应用应遵循以下规范：
a) 应部署经商用密码检测认证合格的的电子门禁系统产品。
b) 电子门禁系统应遵循GM/T 0036，且具有商用密码产品认证证书。
c) 电子门禁系统应通过HMAC-SM3、基于SM4的MAC（参考GB/T15852.1）或数字签名等方式实
T/HBCCIA 0001—2024
15
现重要区域门禁出入记录数据存储的完整性保护。
注：根据网络安全相关要求，电子门禁记录数据保留不少于六个月。
6.2.2.1.2 视频监控系统
视频监控系统密码应用应遵循以下规范：
a) 应部署经商用密码检测认证合格的视频监控系统产品。
b) 视频监控系统产品应通过HMAC-SM3、基于SM4的MAC（参考GB/T15852.1）或数字签名的方
式实现重要区域视频监控数据存储的完整性保护。
注：根据网络安全相关要求，视频监控记录数据保留不少于六个月。
6.2.2.2 云平台
6.2.2.2.1 云基础设施
云基础设施为云平台中各云服务、运营管理系统及运维管理系统等提供密码资源以及通用资源，
在应用过程中，其密码应用应遵循以下规范：
a) 针对云基础设施中的云平台密码资源，涉及的密码产品应遵循相关密码标准和技术规范的
要求，并经商用密码检测认证合格。
b) 针对云基础设施中的云平台通用资源，如需使用密码芯片或密码模块，密码芯片应遵循
GM/T 0008，密码模块应遵循GB/T 37092二级及以上安全要求。密码芯片或密码模块应经
商用密码检测认证合格。
6.2.2.2.2 云平台密码模块
云平台若内置密码模块，可为云服务、运营管理系统、运维管理系统等提供密码运算、密钥管
理以及证书签发功能。在使用过程中，应遵循以下应用规范：
a) 密码运算：
1) 云平台密码模块应具备对称、非对称、杂凑等密码算法运算能力，以及身份鉴别、访
问控制和远程安全管理能力，应确保各云服务及各子系统间密码运算模块间的安全隔
离。
2) 云平台密码模块应遵循GB/T 37092、GB/T 35276、GB/T 32905、GB/T 32907、GB/T
32918的相关要求，并通过相应等级的密码模块认证，且经商用密码检测认证合格。
3) 云平台密码模块如支持IPSec协议、SSL协议，应遵循GB/T 36968、GB/T 38636的相关
要求，并经商用密码检测认证合格。
b) 密钥管理：
1) 云平台密码模块应提供密钥操作、密钥分配、KMS密钥托管与密钥生命周期等密钥管
理功能。
2) 云平台密码模块应支持对称、非对称等多种密码算法的密钥及密钥对管理。
3) 云平台密码模块应支持密钥相关策略的管理功能。
4) 云平台密码模块应支持云服务或运营运维场景下的密钥数据权限隔离。
5) 云平台密码模块应支持限制可创建密钥的类型、可创建密钥的数量。
6) 云平台密码模块应建立密钥安全传输通道，安全通道若采用SSL/TLCP协议时，应符合
GB/T 38636的相关要求。
7) 若采用自定义密码协议，使用的密码技术应以国家标准或行业标准发布，并通过国家
T/HBCCIA 0001—2024
16
密码管理部门审查鉴定，或取得国家密码管理部门同意使用的证明文件。
c) 证书签发：
云平台密码模块若提供证书签发功能，应遵循GB/T 25056的相关要求，采用符合GM/T
0034要求的密码产品建设数字证书认证系统。
1) 证书及CRL格式应遵循GB/T 20518的相关要求。
2) 云服务商若通过云平台密码模块的证书签发功能向云租户应用系统提供电子政务电子
认证服务，应当经国家密码管理部门认定，依法取得电子政务电子认证服务机构资质。
3) 证书签发功能可支持为云服务、云平台管理用户、云平台应用系统等提供证书服务，
包含且不限于支撑云服务及云平台应用系统的身份认证、云平台管理用户的USBKey身
份认证、登录云平台设备的用户身份认证、云平台应用系统的SSL证书等。
4) 证书签发可支持安全隔离设计机制，实现云服务、云平台管理用户、云平台应用系统
等之间的安全隔离。
6.2.2.2.3 云服务
IaaS、PaaS、SaaS、SECaaS等云服务在实现身份认证、传输加密、存储加密等密码应用时，应遵循
如下应用规范：
a) 应采用密码技术对登录云服务的用户进行身份鉴别。
b) 云服务的传输加密应遵循GB/T 38636 的相关要求。
c) 应采用密码技术保证云服务的重要数据在传输过程中的机密性。
d) 应采用密码技术保证云服务的重要数据在存储过程中的机密性。
e) 宜采用密码技术保证云服务的重要数据在传输过程中的完整性。
f) 宜采用密码技术保证云服务的重要数据在存储过程中的完整性。
g) 若云服务的重要数据被非法篡改应及时告警。
注：云服务的重要数据包括身份鉴别信息、关键配置信息、重要业务信息、个人敏感信息、日志信息、口令信
息、告警信息、虚拟机信息、容器镜像信息等。
6.2.2.2.4 运营管理系统
运营管理系统在实现身份认证、外部链路加密、口令保护、完整性保护、存储加密、证书管理
等密码应用时，其应用规范如下：
a) 应采用密码技术对登录运营管理系统的云平台管理用户进行身份鉴别。如采用证书
/USBKey、PIN码的双因子认证方式实现用户登录系统的身份鉴别。
b) 应采用密码技术保证运营管理系统的重要数据在存储过程中的机密性。
c) 应采用密码技术保证运营管理系统的重要数据在传输过程中的机密性。
d) 宜采用密码技术保证运营管理系统的重要数据在存储过程中的完整性。
e) 宜采用密码技术保证运营管理系统的重要数据在传输过程中的完整性。
f) 若运营管理系统的重要数据被非法篡改应及时告警。
g) 应采用密码技术实现云平台管理用户从外部接入运营管理链路的安全认证。
h) 应采用密码技术实现云平台管理用户登录运营管理系统账号口令的机密性和完整性保护。
i) 运营管理系统宜具备统一证书管理能力，对云服务使用的SSL证书等提供统一生成、分发、
更新、导入、备份、吊销、到期提醒等功能。
T/HBCCIA 0001—2024
17
注：运营管理系统的重要数据包括身份鉴别信息、云服务产品信息、营销信息、状态信息、云租户信息等。
6.2.2.2.5 运维管理系统
运维管理系统在实现身份认证、外部链路加密、口令保护、完整性保护、存储加密、证书管理
等密码应用时，其应用规范如下：
a) 应采用密码技术对登录运维管理系统的云平台管理用户、云租户管理员进行身份鉴别。如
采用证书/USBKey、PIN码的双因子认证方式实现用户登录系统的身份鉴别。
b) 应采用密码技术保证运维管理系统的重要数据在存储过程中的机密性。
c) 应采用密码技术保证运维管理系统的重要数据在传输过程中的机密性。
d) 宜采用密码技术保证运维管理系统的重要数据在存储过程中的完整性。
e) 宜采用密码技术保证运维管理系统的重要数据在传输过程中的完整性。
f) 若运维管理系统的重要数据被非法篡改应及时告警。
g) 针对云平台管理用户、云租户管理员从外部接入运维管理链路时，应在云平台边界部署支
持商密及满足对应安全等级密码模块的SSL VPN网关，配合端侧商密浏览器，实现外部链
路传输加密。
h) 应采用密码技术实现云平台管理用户登录运维管理系统账号口令的机密性和完整性保护。
i) 运维管理系统应具备统一证书管理能力，对云资源使用的SSL证书等提供统一生成、分发、
更新、导入、备份、吊销、到期提醒等功能。
注：运维管理系统的重要数据包括身份鉴别信息、云资源管理信息、访问控制策略信息、数据库访问控制信息、
操作日志、告警信息、运维文件等。
6.3 云租户密码应用架构
6.3.1 架构设计
6.3.1.1 架构概述
根据政务云整体规划和密码应用成熟度水平，以法律法规和标准规范为指引，云租户密码应用
可通过密码资源和密码平台两种服务架构实现，见图6-4和6-5。
6.3.1.2 密码资源服务架构
6.3.1.2.1 架构概述
根据密码资源的建设情况，密码资源服务架构通常分为以下两种情况：
a) 在政务云平台统一建设的云密码资源，直接面向云租户应用系统提供密码服务。
b) 云租户自行购买的密码产品托管在政务云平台，供云租户自己的业务应用使用，形成密码
资源用户专区。
6.3.1.2.2 云密码服务
这种架构下，通过云密码资源的各类密码服务调用接口，为云租户应用系统提供IPSec/SSL
VPN、数字证书认证、数据加解密、签名验签、电子签章等密码服务。
6.3.1.2.3 云租户应用系统
不同云租户的应用系统程序、数据及调用的密码服务相互独立且互不可见。
T/HBCCIA 0001—2024
18
6.3.1.3 密码平台服务架构
6.3.1.3.1 密码服务平台
密码服务平台通常由密码资源池、云密码服务、统一密码服务管理、密码服务认证及调用接口
等部分组成。
a) 密码资源池
1) 资源注册、分组和调度：密码资源池通过密码资源管理模块对底层的云密码资源进行
资源注册，根据业务需要以云租户业务应用为对象对其使用的密码资源进行分组，不
同分组间密钥及其他敏感安全参数隔离。通过组合调度构成虚拟机集群，并通过统一
的密码资源接口为业务系统提供密码服务。
2) 资源监控：密码服务平台的统一密码服务管理模块对密码资源池中的密码资源进行全
局监控，包括密码资源监控、应用使用情况等。
b) 云密码服务
云密码服务包含通用密码服务、典型密码服务、密钥管理。
1) 通用密码服务：为云租户应用系统提供的基础密码功能服务，包括数字证书服务、加
解密服务、签名验签服务等。
2) 典型密码服务：基于通用密码服务能力，根据云租户应用系统场景需求将基础密码功
能进行业务化封装，满足不同场景化密码需求的密码功能服务，包括电子签章、动态
口令、时间戳、协同签名等密码服务。
3) 密钥管理：为通用密码服务和典型密码服务提供密钥全生命周期安全管理功能支撑，
包括密钥的产生、分发、存储、使用、更新、轮转、归档、备份与恢复、销毁等环节，
通过密码资源池对不同云租户密码应用中的密钥进行隔离。
c) 密码服务接入认证及统一调用接口
1) 通过密码服务接入认证模块，对接入密码服务平台的云租户应用系统进行认证。
2) 通过接入认证的云租户应用系统才能接入密码服务平台。
3) 通过密码服务统一调用接口，根据访问控制策略，对接入密码服务平台的云租户应用
系统的访问数据权限进行严格控制，避免越权访问造成数据泄露。
4) 密码服务平台可根据租户层和应用层的不同需求设计灵活的权限管理机制和安全控制
策略，精准分配相应的接入权限，确保接入权限的严格管理与安全控制，保证同一租
户下的不同应用能够高效、合规地进行数据交互，提升协同工作的效率与安全性。
d) 统一密码服务管理
1) 面向密码服务平台各层服务提供密码管理能力支撑，通过密码管理端工具实现密码资
源和服务的运维和运营，提供可视化密码资源运维监控与统计分析。
2) 面向多云环境下密码资源的共享和调用，密码服务平台可预留与其他云平台进行安全
通信的交互接口。
6.3.1.3.2 云租户应用系统
不同云租户的应用系统程序和数据相互独立且互不可见。这种架构下，每个云租户应用系统调
用密码服务平台提供的密码服务，实现身份鉴别、访问控制、数据安全防护等。
T/HBCCIA 0001—2024
19
图6-4 云租户密码资源服务架构
图6-5 云租户密码平台服务架构
T/HBCCIA 0001—2024
20
6.3.2 应用规范
6.3.2.1 概述
云租户密码应用包含密码服务平台服务架构和密码资源服务两种架构，本文件主要对密码服务
平台架构的服务规范进行描述，密码资源服务架构涉及的相关规范可参考本章节。
6.3.2.2 密码资源池
这种架构下,密码资源池中的密码产品通过服务接口，按需向云租户应用系统提供密码服务。
为了对密码资源进行有效管理，密码资源池中需要对密码产品服务层的密码资源进行创建、销毁、
配置和漂移等管理。
a) 接入的各种密码产品应经商用密码检测认证合格。
b) 接入通用密码服务层和典型密码服务层的密码产品应遵循的技术规范，参照5.2.1.3 节
遵循的规范文件。
6.3.2.3 云密码服务
6.3.2.3.1 概述
云密码服务通常包括密钥服务、通用密码服务和典型密码服务，其通用性服务规范如下：
a) 密钥服务为云租户应用系统提供密钥操作、密钥分配、KMS 密钥托管与密钥生命周期管理
等功能，实现密钥生成/停用/作废、密钥属性定义、密钥按需分配、签名私钥分片、密钥
托管及密钥生命周期管理等功能服务。
b) 通用密码服务通过服务接口为上层(典型密码服务层和应用层)提供与密码资源无关的透明
密码应用支撑。通用密码服务包括数字证书服务、数据加解密服务、签名验签服务等。
c) 典型密码服务根据云租户应用系统的应用场景需求进行业务化密码功能封装，提供多样化
密码功能服务，满足不同的场景化密码需求。典型密码服务包含通道加密、电子签章、动
态口令、时间戳、协同签名等服务，典型密码应用服务通过调用通用密码服务实现。
d) 通用密码服务和典型密码服务应支持云平台多租户部署，以服务租赁的方式为云租户提供
服务。支持按云租户分配服务资源，按云租户应用系统进行服务配额管理，并支持按需弹
性扩展。
e) 通用密码服务和典型密码服务应支持同时向多个云租户提供服务，采用安全隔离设计机制，
有效保证不同租户单位间身份、服务等数据安全隔离。
f) 通用密码服务和典型密码服务应支持OAuth、OIDC、LDAP、Radius 等标准协议下的接入认
证，保障云租户应用系统接入时的身份真实性。
g) 云租户应用系统调用通用密码服务和典型密码服务时宜建立采用密码技术保护的安全通信
信道，保障系统重要数据的传输安全。安全通信信道若采用SSL/TLCP 协议、IPSec 协议
等密码协议，应符合GB/T 38636、GB/T 36968 等密码国家标准、行业标准相关要求。
h) 实现通用密码服务和典型密码服务涉及的密码产品应遵循相关密码标准和技术规范的要求，
并经商用密码检测认证合格。
6.3.2.3.2 密钥服务
密钥服务可提供基于多种商用密码算法的密钥管理服务，其服务规范如下：
T/HBCCIA 0001—2024
21
a) 支持密钥相关管理操作，包括密钥的生成、更新、备份、导入/导出、销毁等。
b) 支持密钥相关策略的管理功能。
c) 支持按租户间密钥数据权限隔离。
d) 支持按租户内应用间密钥数据权限隔离，并为租户内应用间密钥数据设计授权方式。
e) 支持限制可创建密钥的类型、可创建密钥的数量。
f) 密钥传输通信遵循GM/T 0110 的相关要求。
g) 密钥安全传输通道时，若采用SSL/TLCP 协议，应符合GB/T 38636 的相关要求；若采用自
定义密码协议，应经商用密码检测认证合格。
6.3.2.3.3 通用密码服务
通用密码服务通常包括数字证书服务、数据加解密服务、签名验签服务等，其服务规范如下：
a) 数字证书服务
1) 支持数字证书相关管理操作，包括证书的申请、下载、更新、重发、作废、查询、归
档等。
2) 支持数字证书相关策略的管理功能。
3) 证书认证系统和相关的密钥管理系统建设应遵循GB/T 25056的相关要求。
4) 数字证书以及CRL格式应遵循GB/T 20518的相关要求。
5) 政务活动中电子公文、电子印章、电子证照等涉及的电子认证服务，应当由依法设立
的电子政务电子认证服务机构提供。
b) 数据加解密服务
1) 提供数据加解密功能，为云租户应用系统提供重要数据在存储过程、传输过程中的机
密性和完整性保护。
2) 针对云租户应用系统中的身份鉴别密钥、数据加密密钥，应使用经商用密码检测认证
合格的密码产品对密钥的生成、存储、分发、使用、备份与恢复、归档、销毁等环节
进行安全管理。
3) 针对云租户应用系统之间的通信数据加密，以及对云租户应用系统存储数据加密的密
钥，应使用经商用密码检测认证合格的密码产品将密钥妥善保存。密钥还应进行严格
的生命周期管理，定期进行更换。
c) 签名验签服务
1) 为云租户应用系统的操作行为不可否认性提供签名验签功能。
2) 为云租户应用系统访问用户的身份鉴别、操作行为的不可否认性提供证书解析与认证
功能。
3) 为云租户应用系统密钥安全分发提供数字信封制作及验证功能。
4) 数字签名格式和使用要求应遵循GB/T 37092、GB/T 38629的相关要求。
6.3.2.3.4 典型密码服务
典型密码服务通常包括SSL/IPSec VPN服务、安全认证网关服务、电子签章服务、动态口令服
务、时间戳服务、协同签名服务等，其服务规范如下：
a) SSL VPN 服务
1) 为云租户应用系统的业务访问通道提供客户端验证服务端的单向认证功能。
2) 为云租户管理员的远程运维通道提供客户端和服务端双向认证功能。
T/HBCCIA 0001—2024
22
3) 为云租户应用系统的业务访问通道、远程运维通道提供重要数据在传输过程中的机密
性和完整性保护功能。
4) 为云租户应用系统提供网络边界访问控制信息的完整性保护功能。
5) 涉及密码产品应遵循GB/T 38636的相关要求。
b) IPSec VPN 服务
1) 为云租户应用系统的跨机房数据传输通道提供用户身份认证功能。
2) 为云租户应用系统的跨机房数据传输通道提供重要数据在传输过程中的机密性和完整
性保护功能。
3) 为云租户应用系统提供网络边界访问控制信息的完整性保护功能。
4) 涉及密码产品应遵循GB/T 36968的相关要求。
c) 安全认证网关服务
1) 为实现云租户应用系统访问用户在登录系统时的身份鉴别提供身份认证功能。
2) 为云租户应用系统业务访问通道提供重要数据在传输过程中的机密性和完整性保护功
能。
3) 为云租户提供使用一次身份鉴别即可以访问多个应用系统的单点登录功能。
4) 涉及密码产品应遵循GM/T 0026的相关要求。
d) 电子签章服务
1) 为云租户业务应用系统提供电子签章及验证功能，保证电子文档的来源真实性、数据
完整性、签章行为的不可否认性等。
2) 涉及密码产品应遵循GB/T 38540的相关要求。
e) 动态口令服务
1) 为实现云租户PC端及移动端应用系统访问的身份鉴别提供身份认证功能。
2) 涉及密码产品应遵循GB/T 38556的相关要求。
f) 时间戳服务
1) 为云租户应用系统提供时间戳生成及校验功能，保证应用系统中业务操作时间、
2) 电子文件生成时间、电子签名的签署时间等时间的准确性和不可否认性。
3) 涉及密码产品应遵循GM/T 0033的相关要求。
g) 协同签名服务
1) 为实现云租户移动端应用系统访问用户的身份鉴别提供身份认证功能。
2) 为云租户移动端应用系统提供重要数据在传输过程中的机密性、完整性保护功能。
3) 发起方和协作方可采用身份鉴别机制进行单向或双向鉴别。
4) 发起方和协作方可采用安全协议保护通信消息的机密性和完整性。
5) 在密钥对协同生成过程中，应对协作方进行身份鉴别并保护通信消息的完整性。
6) 涉及密码产品应遵循GB/T 38646的相关要求。
T/HBCCIA 0001—2024
23
6.3.2.4 云密码管理
6.3.2.4.1 概述
基于“标准统一、安全隔离、实时监控”的云密码管理机制，通过密码服务平台为云平台管理
用户提供密码资源管理、密码服务监控等管理能力，保障云密码服务的稳定性、可靠性和可维护性。
云密码管理具体要求如下：
a) 提供密码资源的管理能力，包括密码资源的纳管、运维、配置和监控，以及各云租户间密
码资源的安全应用和安全隔离等。
b) 提供密码服务的监控能力，包括日志采集、状态监控及统计分析等。
6.3.2.4.2 密码服务平台要求
密码服务平台是实现云密码管理功能的核心管理平台，其自身的管理要求和安全要求如下：
a) 管理要求
1) 支持分权管理，不同权限的平台管理员按照既定策略进行管理操作。
2) 支持以日志形式对登录认证、系统配置、密钥管理等操作以及认证失败、非法访问等
异常事件进行记录，并采用密码技术保证记录数据的完整性。
3) 支持对日志记录进行统计、查询、分析及生成审计报表。
b) 安全要求
1) 密码服务平台与云平台管理端之间、与云应用之间、与密码资源之间的通信应采用密
码技术建立安全的信息传输通道。通道若采用SSL/TLCP协议应遵循GB/T 38636的相关
要求，若采用IPSec协议应遵循GB/T 36968的相关要求。
2) 自定义密码协议应符合密码国家标准、行业标准的相关要求。
3) 应通过双因子认证方式来实现用户身份鉴别，且应至少有一种方式应采用动态口令机
制、基于对称密码算法或密码杂凑算法的消息鉴别码（MAC）机制或基于公钥密码算
法的数字签名机制等密码技术。身份鉴别机制应符合GB/T 15843的相关要求。
4) 支持采用密码技术实现账户信息、配置信息、日志记录等平台重要数据在传输过程中
的机密性和完整性保护，以及在存储过程中的完整性保护。
6.3.2.4.3 密码资源管理要求
密码资源管理功能要求如下：
a) 密码资源接入
1) 支持不同厂商的密码资源按照GB/T 36322相关要求接入与移除。
2) 密码资源接入时应进行型号、可用性校验，并获取设备厂商、设备类型等相关基础信
息进行维护。
b) 密码资源分组
1) 支持对密码资源分组进行新增、删除等管理。
2) 支持分组内密码资源的加入与移除（静态扩缩容）。
3) 支持不同分组间密钥及其它敏感安全参数的隔离。
4) 支持分组间密钥及其它敏感信息的同步，同步过程中应采用密码技术手段保证数据的
机密性。
c) 密码资源调度
T/HBCCIA 0001—2024
24
1) 支持密码资源动态调度（包括动态分配和扩缩容等），提高密码资源利用率。
2) 支持为接入业务系统划分独立使用的密码资源。
d) 密码资源监控
1) 支持对密码资源进行健康检测，发现资源异常时，能够停止对该资源的调度并采取处
置措施。
2) 支持对密码资源进行全局使用监控，包括密码设备监控、密码应用监控等。
6.3.2.4.4 密码服务监控要求
密码服务监控功能要求如下：
a) 支持对通用密码服务与典型密码服务的日志进行统一采集、分析与管理。
b) 支持对通用密码服务与典型密码服务进行配置管理。
c) 支持对通用密码服务与典型密码服务状态进行监控与告警。
d) 支持扩展密码运行安全监测功能，或支持与云外相对独立的密码运行安全监测系统进行对
接交互，基于密码资源、密码应用和密码服务的相关基础数据，做合规性、安全性分析处
理，保障云平台和云租户应用系统的密码运行安全。
T/HBCCIA 0001—2024
25
附录A
（资料性附录）
政务云典型业务架构设计说明
A.1 架构概述
政务云业务架构主要从政务云平台和政务云租户两个层面来设计。架构由物理资源（云数据中
心、云基础设施、云共生应用