GM/T 0059-2018 服务器密码机检测规范

ICS35040

L80.

备案号62994—2018

:

中华人民共和国密码行业标准

GM/T0059—2018

服务器密码机检测规范

Cryptographicservertestspecifications

2018-05-02发布2018-05-02实施

国家密码管理局发布

GM/T0059—2018

目次

前言

…………………………Ⅲ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

缩略语

4……………………2

检测环境要求

5……………2

常规检测环境

5.1………………………2

跨网段检测环境

5.2……………………3

检测内容

6…………………3

概述

6.1…………………3

设备外观及结构检查

6.2………………4

设备管理功能检查

6.3…………………4

设备状态检测

6.4………………………5

设备自检检测

6.5………………………5

设备配置管理检测

6.6…………………5

设备密钥管理检测

6.7…………………5

设备密码算法正确性与一致性检测

6.8………………6

设备随机数质量检测

6.9………………7

设备应用接口检测

6.10…………………8

设备远程管理接口检测

6.11……………8

设备访问控制检测

6.12…………………8

设备日志记录检测

6.13…………………9

设备性能检测

6.14………………………9

设备网络适应性检测

6.15……………10

设备安全性检测

6.16…………………10

设备环境适应性检测

6.17……………10

设备可靠性检测

6.18…………………10

送检文档技术要求

7………………………10

附录资料性附录检测项目列表

A()……………………11

Ⅰ

GM/T0059—2018

前言

本标准按照给出的规则起草

GB/T1.1—2009。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任

。。

本标准由密码行业标准化技术委员会提出并归口

。

本标准起草单位卫士通信息产业股份有限公司国家密码管理局商用密码检测中心无锡江南信

:、、

息安全工程技术中心兴唐通信科技股份有限公司山东得安信息技术有限公司

、、。

本标准主要起草人刘平罗俊胡显荃李元正张世雄邓开勇罗鹏刘常李国友肖秋林徐强

:、、、、、、、、、、、

徐明翼王妮娜王海霞孔凡玉郑海森

、、、、。

本标准凡涉及密码算法相关内容按国家有关法规实施

,。

Ⅲ

GM/T0059—2018

服务器密码机检测规范

1范围

本标准规定了服务器密码机类密码设备的检测要求和检测方法

。

本标准适用于服务器密码机类密码设备的检测以及该类密码设备的研制也可用于指导基于该类

,,

密码设备的应用开发

。

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

。,()。

信息安全技术密码杂凑算法

GB/T32905SM3

信息安全技术分组密码算法

GB/T32907SM4

信息安全技术二元序列随机性检测方法

GB/T32915

信息安全技术椭圆曲线公钥密码算法

GB/T32918SM2

随机数检测规范

GM/T0005

密码设备应用接口规范

GM/T0018

服务器密码机技术规范

GM/T0030—2014

密码模块安全检测要求

GM/T0039

3术语和定义

下列术语和定义适用于本文件

。

31

.

服务器密码机cryptographicserver

又称主机加密服务器能独立或并行为多个应用实体提供密码服务和密钥管理的设备

,。

32

.

非对称密码算法/公钥密码算法asymmetriccryptographicalgorithm/publickeycryptographical-

gorithm

加解密使用不同密钥的密码算法

。

33

.

对称密码算法symmetriccryptographicalgorithm

加密和解密使用相同密钥的密码算法

。

34

.

分组密码算法blockcipheralgorithm

将输入数据划分成固定长度的分组进行加解密的一类对称密码算法

。

35

.

加密encipherment/encryption

对数据进行密码变换以产生密文的过程

。

1

GM/T0059—2018

36

.

解密decipherment/decryption

加密过程对应的逆过程

。

37

.

设备密钥devicekeypair

存储在设备内部的用于设备管理的非对称密钥对包含签名密钥对和加密密钥对

,。

38

.

公钥基础设施publickeyinfrastructure

用公钥密码技术建立的普遍适用的基础设施为用户提供证书管理和密钥管理等安全服务

,。

39

.

私钥访问控制码privatekeyaccesspassword

用于验证私钥使用权限的口令字

。

310

.

SM1算法SM1algorithm

一种分组密码算法

。

311

.

SM2算法SM2algorithm

由定义的一种算法

GB/T32918。

312

.

SM3算法SM3algorithm

由定义的一种算法

GB/T32905。

313

.

SM4算法SM4algorithm

由定义的一种算法

GB/T32907。

4缩略语

下列缩略语适用于本文件

。

应用程序接口

API(ApplicationProgramInterface)

分组密码的密码分组链接工作方式

CBC()()(CipherBlockChaining)

分组密码的密码反馈工作方式

CFB()()(CipherFeedback)

服务器密码机

CS(CryptographicServer)

分组密码的电子密本工作方式

ECB()()(ElectronicCodebook)

分组密码的输出反馈工作方式

OFB()()(OutputFeedback)

5检测环境要求

51常规检测环境

.

服务器密码机常规检测环境用于检测服务器密码机的功能性能检测环境拓扑可参考图

、,1。

2

GM/T0059—2018

图1服务器密码机常规检测环境拓扑图

52跨网段检测环境

.

服务器密码机跨网段检测环境用于检测服务器密码机的跨网段服务能力检测环境拓扑可参考

,

图

2。

图2服务器密码机跨网段检测环境拓扑图

6检测内容

61概述

.

本标准相关检测内容包括但不限于第章内容服务器密码机检测的主要内

GM/T0030—20149,

容包括项检测项目列表参见附录检测项目包括

20,A,:

设备外观及结构检查

a);

设备管理功能检查

b);

3

GM/T0059—2018

设备状态检测

c);

设备自检检测

d);

设备配置管理检测

e);

设备密钥管理检测

f);

设备密码运算检测

g)SM1;

设备密码运算检测

h)SM2;

设备密码运算检测

i)SM3;

设备密码运算检测

j)SM4;

设备随机数质量检测

k);

设备应用接口检测

l);

设备管理接口检测

m);

设备访问控制检测

n);

设备日志记录检测

o);

设备性能检测

p);

设备网络适应性检测

q);

设备安全性检测

r);

设备环境适应性检测

s);

设备可靠性检测

t)。

62设备外观及结构检查

.

服务器密码机应具备以下主要部件或接口

:

应支持状态指示灯目测状态灯能区分出正常工作状态和故障状态

a),;

应支持电源指示灯目测能区分设备是否上电

b),;

应支持至少个网络接口

c)2RJ45。

服务器密码机宜具备以下主要部件或接口

:

宜支持个串口或形态作为控制口

a)1(RJ45DB9);

宜支持冗余电源

b)。

服务器密码机可具备以下主要部件或接口

:

可支持手动密钥销毁开关

a);

可支持串口

b)DB9;

可支持接口

c)USB;

可支持人机交互部件例如键盘显示器等

d),:、。

63设备管理功能检查

.

服务器密码机应支持管理功能和密码服务功能不同功能采用分开的物理接口访问例如管理功

,,:

能使用网络接口访问则密码服务功能应采用网络接口访问服务器密码机采用远程管理方式时

1,2。,

管理机与密码机之间应建立安全通道

。

管理界面应支持下面几个主要管理功能

:

应支持密钥管理功能密钥管理功能应包括密钥产生密钥存储密钥备份密钥恢复和密钥销

a),、、、

毁等子功能

;

应支持设备唯一标识符查询

b);

应支持设备状态管理功能设备状态管理应包括设备状态查询功能宜包括硬件部件状态软

c),,、

件状态和版本状态等状态管理功能

。

管理界面宜包含下面几个主要管理功能

:

4

GM/T0059—2018

宜支持网络地址配置功能网络地址配置功能宜包含地址子网掩码以及网关地址等网络

a),IP、

参数配置功能

;

宜支持日志管理日志管理功能宜包含日志记录日志查询和日志导出等功能

b),、。

64设备状态检测

.

服务器密码机应具备初始状态和就绪状态两种状态且只能由初始状态向就绪状态转换

,。

服务器密码机首次加电启动应自动进入初始状态此时密码机不能提供密码服务由用户执行密

,,。

码机的初始化配置初始化配置应包含用户管理密钥管理系统配置待各项配置完成后应重新启动密

,、、,

码机

。

经过初始化配置的密码机加电启动可自动进入就绪状态密码机方可提供密码服务

,,。

就绪状态的密码机只能通过触发毁钥机制并断电重启后才能再次进入初始状态不能通过管理界

,,

面控制口人机交互部件或其他方式将密码机的状态从就绪状态转换到初始状态

、、