[PDF] GM/T 0029-2014 - 自动发货. 英文版
| 标准号码 | 美元 | 购买PDF | 工期 | 标准名称(英文版) |
| GM/T 0029-2014 | 180 | GM/T 0029-2014 | 9秒内发货PDF | 签名验签服务器技术规范 |
| 基本信息 | |
|---|---|
| 标准编号 | GM/T 0029-2014 (GM/T0029-2014) |
| 中文名称 | 签名验签服务器技术规范 |
| 英文名称 | Sign and verify server technical specification |
| 行业 | Chinese Industry Standard (推荐) |
| 中标分类 | L80 |
| 国际标准分类 | 35.040 |
| 字数估计 | 34,371 |
| 发布日期 | 2/13/2014 |
| 实施日期 | 2/13/2014 |
| 引用标准 | GB/T 9813; GB/T 19713-2005; GM/T 0006-2012; GM/T 0009; GM/T 0010; GM/T 0014; GM/T 0015; GM/T 0018; GM/T 0020; GM/T 0030; PKCS #1; PKCS #7 |
| 标准依据 | 行业标准备案公告2014年第4号(总第172号) |
| 发布机构 | 国家密码管理局 |
| 范围 | 本标准规定了签名验签服务器的功能要求、安全要求、接口要求、检测要求和消息协议语法规范等有关内容。本标准适用于签名验签服务器的研制设计、应用开发、管理和使用,也可用于指导签名验签服务器的检测。 |
GM/T 0029-2014: 签名验签服务器技术规范
GM/T 0029-2014 英文名称: Sign and verify server technical specification
中华人民共和国密码行业标准
GM/T 0029—2014
签名验签服务器技术规范
国家密码管理局 发布
1范围
本标准规定了签名验签服务器的功能要求、安全要求、接口要求、检测要求和消息协议语法规范等有关内容。
本标准适用于签名验签服务器的研制设计、应用开发、管理和使用,也可用于指导签名验签服务器的检测。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
3术语和定义
下列术语和定义适用于本文件。
4缩略语
下列缩略语适用于本文件。
API 应用程序接口(Application Program Interface)
CA 证书认证机构(Certification Authority)
CRL 证书撤销列表(Certificate Revocation List)
LDAP 轻量级目录访问协议(Lightweight Directory Access Protocol)
OCSP 在线证书状态查询协议(Online Certificate Status Protocol)
PKCS 公钥密码标准(Public-Key Cryptography Standard)
PKI 公钥密码基础设施(Public Key Infrastructure)
5签名验签服务器的功能要求
5.1初始化功能
签名验签服务器的初始化主要包括系统配置、生成管理员等,使设备处于正常工作状态。
5.2与CA基础设施的连接功能
签名验签服务器应支持与CA基础设施的连接功能,包括CRL连接配置、OCSP连接配置等。
5.2.1 CRL连接配置
签名验签服务器应支持CRL连接配置功能,通过配置管理界面,提供从CRL发布点获取CRL、导ACRL等功能。
5.2.2 OCSP连接配置
签名验签服务器可支持OCSP连接配置功能,通过配置管理界面,进行OCSP服务的连接配置管理。
OCSP连接配置应遵循GB/T 19713—2005.
5.3应用管理功能
签名验签服务器的应用管理功能主要包括应用实体的注册、配置密钥、设置私钥授权码等,并按照 安全机制对应用实体的信息进行安全存储。应用实体注册的内容应包括设置应用实体名称、配置密钥 索引号、导入证书、设置IP地址(可选)等。
5.4证书管理和验证功能
签名验签服务器管理的证书包括应用实体证书和用户证书。签名验签服务器应具有对应用实体证 书、用户证书、根证书或证书链的导入、存储、验证、使用以及备份和恢复等功能。
5.4.1应用实体的密钥产生、证书申请
在签名验签服务器注册的应用实体,应由签名验签服务器产生应用实体的签名密钥对和证书请求, 并支持通过管理界面导入应用实体的签名证书、加密证书和加密密钥对。加密密钥对的导入参 见GM/T 0014。
5.4.2用户证书导入和存储
签名验签服务器应支持用户证书、根证书或证书链的导入,导人时应对证书的有效性进行验证。
5.4.3应用实体的证书更新
应用实体的证书更新时必须保存原来的证书,以防止以前的签名不能验证。
5.4.4证书验证
签名验签服务器应支持对证书的有效性的验证,包括验证证书有效期、验证证书签名有效性、验证 是否在CRL中。
5.4.5备份/恢复
签名验签服务器应支持备份/恢复功能,包括密钥的备份恢复和证书等数据的备份/恢复。
密钥的备份恢复应通过签名验签服务器的管理界面实现。
数据的备份/恢复包括证书、配置参数等数据的备份/恢复。备份操作产生的备份文件可存储到签 名验签服务器外的存储介质中,应采取措施保证备份文件的•完整性;备份文件可以恢复到签名验签服务 器中,同厂家的不同型号的签名验签服务器之间应能够互相备份恢复。
5.5数字签名功能
签名验签服务器必须至少支持SM2算法的数字签名功能,提供对数据、消息、文件等多种格式的运 算方式。
签名验签服务器可以支持RSA算法的数字签名功能,其中RSA算法模长至少为2048比特以上。
当签名验签服务器的公钥算法为SM2算法时,数据的结构遵循GM/T 0009或GM/T 0010。
当签名验签服务器的公钥算法为RSA算法时,数据的结构遵循PKCS# 1标准或PKCS# 7标准。
5.6访问控制功能
签名验签服务器的管理界面应具备完善的身份鉴别机制,通过智能密码钥匙、智能IC卡与口令相 结合的方式实现管理员身份的鉴别,其中“口令”需要进行时效限制,超过时限,需强制修改密码。管理 员登录成功后,通过管理界面进行应用管理、证书管理、系统配置以及日志查询等管理操作。
5.7日志管理功能
签名验签服务器应提供日志记录、査看、审计和导出功能,具备相应的配置管理和査看界面。日志 内容分为系统管理日志、异常事件、系统服务日志等,包括登录认证、系统配置、密钥管理等操作,认证失 败、非法访问等异常事件的记录,以及与设备管理中心连接,对相应操作进行记录,对应用接口的调用进 行日志记录。
5.8系统自检功能
签名验签服务器应具备自检功能,包括自身自检和密码设备自检。签名验签服务器使用的密码设 备应具备状态和功能自检功能,能够进行密码算法正确性检查、随机数发生器检查、存储密钥和数据的 完整性检查等.签名验签服务器的自身自检包括密码功能检测、存储信息的完整性检查等。
5.9 NTP时间源同步功能
签名验签服务器能够配置时间源服务器,自动同步时间。
6签名验签服务器的安全要求
6.1密码设备
签名验签服务器必须使用国家密码管理主管部门审批的密码设备。调用密码设备的接口API应遵循 GM/T 0018。
6.2系统要求
签名验签服务器所使用的操作系统应进行安全加固,裁减一切不需要的模块,关闭所有不需要的端口和服务。
6.3使用要求
签名验签服务器只接受合法的操作指令,签名验签服务器软件应釆用模块化设计,应通过身份鉴别等技术措施防止用户的非法调用。
6.4管理要求
6.4.1 管理工具
签名验签服务器通过管理工具实现对该签名验签服务器的管理功能。
管理工具可以安装签名验签服务器上,也可以安装在签名验签服务器之外的管理终端上。
6.4.2管理员管理
签名验签服务器应设置管理员和审计员,管理员和审计员的职责按照国家密码管理机构的要求进行管理。管理员和审计员应采用智能密码钥匙、智能IC卡等硬件装置与登录口令相结合的方式登录系 统,并使用证书进行身份验证。各类管理员通过身份鉴别后执行相关管理操作。
6.4.3设备管理
6.4.3.1设备初始化
签名验签服务器的初始化,除必须由厂商进行的操作外,系统配置、密钥的生成(恢复)与安装、生成 管理员和审计员等均应由用户方设备管理人员完成。
6.4.3.2设备自检
签名验签服务器的自检包括密码设备的自检和自身的自检,对密码运算功能、随机数发生器和存储 的敏感信息进行检查。在检查不通过时应报警并停止工作。
6.5设备物理安全防护
签......
英文网页English: GM/T 0029-2014
相关标准: GB/T 15843.1|GM/T 0020|GM/T 0021|GM/T 0019|GM/T 0029-2014|GM/T 0029|