標準解讀 | GM/T 0059 《服務器密碼機檢測規(guī)范》解讀
服務器密碼機又稱主機加密服務器,是能獨立或并行為多個應用實體提供密碼服務和密鑰管理的設(shè)備。服務器密碼機既可以獨立為應用系統(tǒng)提供高性能的數(shù)據(jù)加/解密服務,也可以作為身份認證系統(tǒng)、密鑰管理系統(tǒng)等系統(tǒng)的主要密碼設(shè)備和核心構(gòu)建。它能為多種應用場景提供密碼服務,涵蓋非對稱/對稱數(shù)據(jù)加解密運算、完整性校驗、真隨機數(shù)生成、密鑰生成和管理等多種任務,在金融行業(yè)、電子政務領(lǐng)域、企業(yè)數(shù)據(jù)安全防護方面都發(fā)揮著不可或缺的作用。服務器密碼機的產(chǎn)品標準和技術(shù)要求分別依據(jù)GM/T 0030《服務器密碼機技術(shù)規(guī)范》與GM/T 0028 《密碼模塊安全技術(shù)要求》兩部標準進行產(chǎn)品研制、開發(fā)、測試和使用。
一、檢測環(huán)境
服務器密碼機常規(guī)檢測環(huán)境用于檢測服務器密碼機的功能、性能,檢測環(huán)境拓撲可參考圖1:
服務器密碼機跨網(wǎng)段檢測環(huán)境用于檢測服務器密碼機的跨網(wǎng)段服務能力,檢測環(huán)境拓撲可參考圖2:
二、設(shè)備外觀、結(jié)構(gòu)及管理功能檢查
服務器密碼機應具備以下主要部件或接口:應支持狀態(tài)指示燈,目測狀態(tài)燈能區(qū)分出正常工作狀態(tài)和故障狀態(tài)、應支持電源指示燈,目測能區(qū)分設(shè)備是否上電、應支持至少 2 個 RJ45 網(wǎng)絡(luò)接口。服務器密碼機宜具備以下主要部件或接口:宜支持1個串口(RJ45 或 DB9 形態(tài))作為控制口、宜支持冗余電源。服務器密碼機可具備以下主要部件或接口:可支持手動密鑰銷毀開關(guān)、可支持 DB9 串口、可支持 USB 接口、可支持人機交互部件,例如:鍵盤、顯示器等。服務器密碼機應支持管理功能和密碼服務功能,不同功能采用分開的物理接口訪問。服務器密碼機采用遠程管理方式時,管理機與密碼機之間應建立安全通道。
三、設(shè)備狀態(tài)檢測、自檢檢測及設(shè)備配置管理檢測
服務器密碼機應具備初始狀態(tài)和就緒狀態(tài)兩種狀態(tài),且只能由初始狀態(tài)向就緒狀態(tài)轉(zhuǎn)換。服務器密碼機應支持自檢功能,自檢應包括上電/復位自檢、周期自檢和接受指令后的自檢,自檢內(nèi)容包括物理噪聲源有效性自檢、密碼運算單元有效性自檢、隨機數(shù)自檢、密碼算法正確性自檢、靜態(tài)存儲數(shù)據(jù)的完整性校驗等。服務器密碼機應包含但不限于密碼機權(quán)限配置、密碼機網(wǎng)絡(luò)配置以及密碼機訪問控制配置等管理功能。
四、設(shè)備密鑰管理及隨機數(shù)質(zhì)量檢測
服務器密碼機應具備完善的密鑰管理功能,應至少支持三層密鑰結(jié)構(gòu)。密鑰管理包括密鑰產(chǎn)生、安裝、存儲、使用、更換、銷毀以及備份和恢復等功能,密碼機應保證密鑰在生存周期的各個環(huán)節(jié)的安全性。服務器密碼機應支持SM1、SM2、SM3、SM4密碼,可調(diào)用不同算法對數(shù)據(jù)進行加解密。服務器密碼機應具備隨機數(shù)生成功能,應至少具備2個獨立的物理噪聲源,隨指數(shù)質(zhì)量檢測應遵循GB/T 32915。
五、設(shè)備接口檢測
服務器密碼機的應用編程接口應遵循GM/T 0018,若支持設(shè)備遠程管理功能,則設(shè)備遠程管理接口應遵循GM/T 0030。
六、設(shè)備訪問控制、日志記錄、設(shè)備性能檢測
器密碼機應能夠為內(nèi)部存儲的主體資源提供訪問控制功能;服務器密碼機應提供日志記錄、查看和導出功能;服務器密碼機的各項密碼運算應滿足一定的性能指標。
七、設(shè)備網(wǎng)絡(luò)和環(huán)境適應性、安全性及可靠性檢測
服務器密碼機對使用主體的服務模式應該具備良好的適應性和擴展性,環(huán)境適應性檢測、可靠性檢測應達到《GM/T 0030服務器密碼機技術(shù)規(guī)范》中相關(guān)的要求。服務器密碼機安全性檢測遵照《GM/T 0039密碼模塊安全檢測要求》中相關(guān)的要求。
服務器密碼機檢測范圍及內(nèi)容
中汽研科技有限公司(簡稱“中汽研科技”)軟件與信息安全測試研究部密碼測試平臺技術(shù)專家鮑越表示,在車聯(lián)網(wǎng)數(shù)據(jù)平臺中,服務器密碼機作為密碼基礎(chǔ)設(shè)施的核心組件,提供統(tǒng)一的密鑰管理、證書服務和密碼運算能力。為車聯(lián)網(wǎng)大數(shù)據(jù)平臺中的結(jié)構(gòu)化/非結(jié)構(gòu)化數(shù)據(jù)提供存儲加密、脫敏處理及安全共享服務。通過密碼服務平臺整合服務器密碼機資源,支持動態(tài)密鑰分發(fā)、輕量化加密協(xié)議及后量子密碼預研,滿足車聯(lián)網(wǎng)低時延、高并發(fā)的需求。
中汽研科技下屬中汽軟測獲得商用密碼檢測機構(gòu)(商用密碼產(chǎn)品檢測方面)資質(zhì),可開展多項商用密碼產(chǎn)品安全檢測業(yè)務,目前正在積極布局服務器密碼機檢測能力。下一步,中汽研科技將進一步深耕商用密碼技術(shù)創(chuàng)新,持續(xù)聚焦于技術(shù)突破與應用拓展,積極探索汽車行業(yè)商用密碼應用的新模式、新技術(shù)、新方法,不斷拓寬密碼技術(shù)在汽車領(lǐng)域的深度和廣度,與行業(yè)各方攜手共進,為我國汽車產(chǎn)業(yè)的高質(zhì)量發(fā)展筑牢安全防線。
專家介紹: 鮑越,中汽研科技 密碼技術(shù)專家
主要研究方向為汽車密碼檢測認證技術(shù),牽頭及參與制定《汽車密碼應用技術(shù)要求》等標準3項,制定國內(nèi)首個汽車整車可信安全認證規(guī)程、汽車車載可信安全模塊認證規(guī)程,參與國家和省部級級課題8項,試點示范4項,入選工業(yè)和信息化領(lǐng)域商用密碼應用典型建設(shè)方案2項。
市場聯(lián)系:聯(lián)系人丨王磊 聯(lián)系電話丨13652029236
業(yè)務聯(lián)系:聯(lián)系人丨鮑越 聯(lián)系電話丨13315478282