GM/T 0026-2023 相关标准英文版PDF
| 标准号码 | 价格美元 | 第2步(购买) | 交付天数 | 标准名称 |
| GM/T 0026-2023 | 320 | GM/T 0026-2023 | 3秒自动 | 安全认证网关产品规范 |
| GM/T 0026-2014 | 150 | GM/T 0026-2014 | 3秒自动 | 安全认证网关产品规范 |
| 基本信息 | |
|---|---|
| 标准编号 | GM/T 0026-2023 (GM/T0026-2023) |
| 中文名称 | 安全认证网关产品规范 |
| 英文名称 | Security authentication gateway product specification |
| 行业 | Chinese Industry Standard (推荐) |
| 中标分类 | L80 |
| 字数估计 | 19,194 |
| 发布日期 | 2023-12-04 |
| 实施日期 | 2024-06-01 |
| 发布机构 | 国家密码管理局 |
GM/T 0026-2023: 安全认证网关产品规范
中华人民共和国密码行业标准
ICS 35.030CCS L 80
安全认证网关产品规范
2023⁃12⁃04 发布
2024⁃06⁃01 实施
国家密码管理局 发 布
代替 GM/T 0026-2014
目次
前言·····Ⅲ
1 范围·····1
2 规范性引用文件···1
3 术语和定义·····1
4 缩略语····1
5 部署模式·····2
6 密码算法和密钥种类····2
6.1 算法要求·····2
6.2 密钥种类·····2
7 安全认证网关产品要求···2
7.1 产品功能要求···2
7.2 产品性能参数要求····5
7.3 产品安全性要求····5
7.4 产品管理要求···6
7.5 产品硬件要求···8
7.6 产品过程保护···8
8 安全认证网关产品检测要求····8
8.1 检测说明·····8
8.2 外观和结构的检查····8
8.3 提交文档的检查 ····9
8.4 产品功能检测···9
8.5 产品性能检测····10
8.6 安全管理检测····11
8.7 硬件检测····12
9 判定规则·····13
前 言
本文件按照 GB/T 1.1-2020《标准化工作导则 第 1 部分:标准化文件的结构和起草规则》的规
定起草。
本文件代替 GM/T 0026-2014《安全认证网关产品规范》,与 GM/T 0026-2014 相比,除结构调
整和编辑性改动外,主要技术变化如下:
a) 增加了 GB/T 25069(见第 3 章)、GB/T 36624(见 6.1)、GM/T 0028(见 7.3.2.2,7.3.2.3 和
7.3.2.4)、GM/T 0062(见 7.4.2.3.3 和 8.4.7)、GM/T 0068(见 7.1.5)、GM/T 0069(见 7.1.5)和
GM/Z 4001(见第 3 章),删除了 GM/T 0014(见 2014 年版的第 2 章),更改了 GB/T 9813 为
GB/T 9813.3(见 7.5.4);
b) 删除了术语“密码算法”(见 2014 年版的 3.1)、“带密钥的杂凑算法” (见 2014 年版的 3.2)、
“非对称密码算法/公钥密码算法”(见 2014 年版的 3.3)、“对称密码算法”(见 2014 年版的
3.4)、“分组密码算法”(见 2014 年版的 3.5)、“密文分组链接工作模式”(见 2014 年版的 3.6)、
“初始化向量/值”(见 2014 年版的 3.7)、“数据源鉴别”(见 2014 年版的 3.8)、“数字证书”(见
2014 年版的 3.9)、 “SSL 协议”(见 2014 年版的 3.10)、“认证头”(见 2014 年版的 3.11)、“封
装安装载荷”(见 2014 年版的 3.12)、“虚拟专用网络”(见 2014 年版的 3.13)、“安全报文”(见
2014 年版的 3.14)、“SM1 算法”(见 2014 年版的 3.15)、“SM2 算法”(见 2014 年版的 3.16)、
“SM3 算法”(见 2014 年版的 3.17)、“SM4 算法”(见 2014 年版的 3.18)和“安全认证网关”(见
2014 年版的 3.19);
c) 增加了缩略语“GCM”“TLCP”(见第 4 章),删除了“IV”(见 2014 年版的第 4 章);
d) 删除了安全认证网关部署模式中“物理”两字(见 2014 年版的第 5 章);
e) 增加了 GCM 模式(见 6.1);
f) 更改了“密钥种类”的描述(见 6.2, 见 2014 年版的 6.2);
g) 更改了随机数生成相关的功能要求(见 7.1.7,2014 年版的 7.1.7);
h) 增加了采用的密码协议(见 7.1.5);
i) 增加了密钥交换的描述(见 7.1.9);
j) 更改了密钥更新部分的描述(见 7.1.11,2014 年版的 7.1.11);
k) 更改了 NAT 穿越的功能描述(见 7.1.12,2014 年版的 7.1.12);
l) 增加了包过滤功能(见 7.1.14);
m) 更改了产品性能参数的描述(见 7.2.1 和 7.2.2,2014 年版的 7.2.1 和 7.2.2);
n) 更改了密钥安全的描述(见 7.3.1,2014 年版的 7.3.1);
o) 增加了敏感参数配置安全(见 7.3.2.2);
p) 增加了应符合 GM/T 0028 对硬件模块物理安全的规定(见 7.3.2.2);
q) 增加了产品的软件或固件应符合 GM/T 0028 对软件/固件安全的规定和对软件升级安全要
求进行了规定(见 7.3.2.3);
r) 更改了 7.4.1 的标题名称(见 2014 年版的 7.4.1,2014 年版的 7.4.1);
s) 更改了合规性验证和远程参数配置,对相关内容进行简化。 [见 7.4.1a)和 b),2014 年版的
7.4.1 a)和 b)];
t) 更改了“加密部件”的描述(见 7.5.2,2014 年版的 7.5.2);
u) 更改了随机数发生器直接引用 GM/T 0062 E 类产品检测(见 7.5.2 和 8.4.7,2014 年版的
7.5.3 和 8.1.7);
v) 增加了检测说明,外观和结构的检查和提交文档的检查(见 8.1,8.2 和 8.3);
w) 增加了产品功能检测中每个功能的检测方法(见 8.4);
x) 更改了产品性能检测的描述(见 8.5,2014 年版的 8.2);
y) 增加了敏感参数配置安全的检测描述(见 8.6.1.3);
z) 增加了管理安全的检测方法的描述(见 8.6.1.7);
aa) 增加了远程管理的检测方法的描述(见 8.6.2.4)。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由密码行业标准化技术委员会提出并归口。
本文件起草单位:格尔软件股份有限公司、无锡江南信息安全工程技术中心、上海数字证书认证中
心有限公司、北京信安世纪科技股份有限公司、中电信量子信息科技集团有限公司、飞天诚信股份有限
公司、北京国脉信安科技有限公司、山东得安信息技术有限公司、山东渔翁信息技术股份有限公司、广
东省电子商务认证有限公司、天融信科技集团股份有限公司、上海智巡密码检测技术有限公司、山东
大学。
本文件主要起草人:郑强、谭武征、徐强、刘承、汪宗斌、罗俊、朱鹏飞、梁宁宁、药乐、胡金山、王鹏、
安高峰、韩玮、孔凡玉、邱媛、韩琳、董明富。
本文件所代替文件的历次版本发布情况为:
--2014 年首次发布版为 GM/T 0026-2014;
--本次为第一次修订。
安全认证网关产品规范
1 范围
本文件规定了安全认证网关的密码算法和密钥种类、产品的要求、产品的检测及合格判定。
本文件用于安全认证网关产品的研制、检测、使用和管理。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文
件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于
本文件。
GB/T 9813.3 计算机通用规范 第 3 部分:服务器
GB/T 15153.1 远动设备及系统 第 2 部分:工作条件 第 1 篇:电源和电磁兼容性
GB/T 15843.3 信息技术 安全技术 实体鉴别 第 3 部分:采用数字签名技术的机制
GB/T 17964 信息安全技术 分组密码算法的工作模式
GB/T 25069 信息安全技术 术语
GB/T 36624-2018 信息技术 安全技术 可鉴别的加密机制
GM/T 0005 随机性检测规范
GM/T 0022 IPSec VPN 技术规范
GM/T 0023 IPSEC VPN 网关产品规范
GM/T 0024 SSL VPN 技术规范
GM/T 0025 SSL VPN 网关产品规范
GM/T 0028 密码模块安全技术要求
GM/T 0050 密码设备管理 设备管理技术规范
GM/T 0062 密码产品随机数检测要求
GM/T 0068 开放的第三方资源授权协议框架
GM/T 0069 开放的身份鉴别框架
GM/Z 4001 密码术语
3 术语和定义
GB/T 25069 和 GM/Z 4001 界定的术语和定义适用于本文件。
4 缩略语
下列缩略语适用于本文件。
AH:认证头(Authentication Header)
CBC:密码分组链接(Cipher Block Chaining)
ESP:封装安全载荷(Encapsulate Security Payload)
GCM:Galois 计数器模式(Galois Counter Mode)
IPSec:IP 安全(Internet Protocol Security)
NAT:网络地址转换(Network Address Translation)
SSL:安全套接层协议(Secure Sockets Layer)
TLCP:传输层密码协议(Transport Layer Cryptography Protocol)
VPN:虚拟专用网络(Virtual Private Network)
5 部署模式
安全认证网关是采用数字证书为应用系统提供用户管理、身份鉴别、单点登录、传输加密、访问控
制和信息审计等服务的产品。安全认证网关是采用了数字证书技术进行鉴别。安全认证网关的部署
模式分为串联和并联两种方式。
a) 串联:指从网络拓扑上,用户应经过网关才能访问到受保护的应用。
b) 并联:指从网络拓扑上,用户可不经过网关能访问到受保护的应用,可由应用或防火墙上进行
某种逻辑判断,来识别出未经网关访问的用户(例如通过来源 IP),以达到逻辑上串联的效果。
安全认证网关至少应支持串联的部署模式。同时,考虑到实际情况的需要,安全认证网关可在支
持串联部署模式之外,可支持并联部署方式,但应为应用提供鉴别用户是否经由网关进行访问的技术
手段。
6 密码算法和密钥种类
6.1 算法要求
安全认证网关使用的非对称密码算法、对称密码算法、密码杂凑算法和随机数生成算法应符合密
码国家标准、行业标准的相关要求,算法及使用方法如下。
a) 非对称密码算法用于认证、数字签名和数字信封。
b) 对称密码算法使用分组密码算法,用于密钥交换数据的加密保护和报文数据的加密保护。算
法的工作模式为 GCM 模式或 CBC 模式。 GCM 应符合 GB/T 36624,CBC 应符合
GB/T 17964。
c) 密码杂凑算法用于对称密钥生成、完整性校验和数字签名。
d) 随机数生成算法用于生成符合 GM/T 0005 的检测要求的随机数。
6.2 密钥种类
对于符合 IPSec 协议的安全认证网关,密钥种类应符合 GM/T 0022;对于符合 TLCP 协议的安全
认证网关,密钥种类应符合 GM/T 0024。
7 安全认证网关产品要求
7.1 产品功能要求
7.1.1 用户管理
安全认证网关应可以对访问的用户进行管理:
a) 网关能对需要访问系统的相关用户进行增删改查;
b) 网关能从其他身份管理系统(例如 CA,RA)同步证书用户的信息;
c) 网关能对用户进行一定程度的角色分组,或者按照组织机构进行管理。
7.1.2 身份鉴别
安全认证网关应提供基于数字证书的方式来进行最终用户的身份鉴别,身份鉴别协议应
符合 GB/T 15843.3。当安全认证网关使用代理模式时:
对于符合 IPSec 协议的安全认证网关,应在 IKE 协商阶段鉴别最终用户的证书及签名,并进行证
书黑名单(CRL)的检查。
对于符合 TLCP 协议的安全认证网关,应在每次 TLCP 握手时,鉴别最终用户的证书及签名,并
进行证书黑名单(CRL)的检查。
当安全认证网关使用调用模式时,网关应在被调用时鉴别最终用户的证书及签名,并检查证书黑
名单(CRL)。
在外部环境支持的条件下(OCSP 验证,或基于 CA 提供的其他接口进行实时证书状态验证),网
关宜支持实时的证书状态验证方式。
7.1.3 应用管理
安全认证网关产品应可对需要保护的应用进行管理,能对应用信息进行增删改查。应用信息应包
含应用地址,应用地址可分为三类:
a) 网段:按照网络地址+掩码进行标识,例如 192.168.1.0/24;
b) TCP/UDP 应用:按照协议(TCP/UDP)及端口号进行标识,例如 tcp://192.168.3.6:25/或
udp://192.168.1.9:53/;
c) WEB 应用:按照协议(HTTP/HTTPS),域名,端口号和 WEB 路径进行标识,例如 http://
www.site.com:8080/myapp 或 https://www.securesite.com/mysecure。
7.1.4 访问控制
基于用户管理和应用管理的信息,网关对用户访问的应用的权限进行定义。
a) 基于单个用户或用户组(角色)定义来控制访问某一应用。
b) 访问权限的配置模式为白名单或黑名单方式。
c) 如果采用了黑白名单混用的方式(例如用户在作为角色 A 能访问应用,但作为角色 B 时禁止
访问应用),则应提供对权限优先级进行排序的方式。
7.1.5 单点登录
用户访问同一台网关保护的多个应用时,应只存在一次身份鉴别过程。鉴别过程宜符合 GM/T 0068
和 GM/T 0069。
7.1.6 信息审计
安全认证网关产品中应具有信息审计功能,能对用户对系统的访问进行详细记录,记录信息宜包
括但不限于:时间、用户 IP、用户证书信息、事件类型、访问资源、上传流量、下载流量、访问结果、错误原
因、成功和失败标识。
7.1.7 随机数生成
安全认证网关应具备独立的随机数生成功能。
7.1.8 工作模式
符合 IPSec 协议的安全认证网关产品的工作模式应符合 GM/T 0022。符合 TLCP 协议的安全认
证网关产品工作模式应符合 GM/T 0024。
7.1.9 密钥交换
安全认证网关产品应具有密钥交换功能,通过协商产生工作密钥及会话密钥。
a) 密钥交换采用 IPSEC 协议应符合 GM/T 0022,采用 TLCP 协议应符合 GM/T 0024。
b) 密钥交换产生的工作密钥及会话密钥在安全认证网关每次启动时均应置零。
7.1.10 安全报文的传输
安全认证网关产品应具有安全报文传输功能,保证数据的安全传输。
7.1.11 密钥更新
安全认证网关产品应具有根据时间周期和报文流量两种条件进行密钥的更新功能,其中根据时间
周期条件进行密钥更新为必备功能,根据报文流量条件进行密钥更新为可选功能。
对于符合 IPSec 协议的安全认证网关,工作密钥的最长更新周期不超过 24h,会话密钥的最大更新
周期不超过 1 h。
对于符合 TLCP 协议的安全认证网关,对于客户端⁃服务端模式,工作密钥的最长更新周期不超过
8 h,对于网关⁃网关模式,工作密钥最长时间更新周期不超过 1 h。
7.1.12 NAT穿越
对于符合 IPSec 协议的安全认证网关产品来说,NAT 穿越是必备检测。具体的测试过程见
GM/T 0023 中 NAT 穿越的功能要求。
7.1.13 抗重放攻击
安全认证网关在安全报文传输阶段应具有对抗重放攻击的功能。
7.1.14 包过滤
IPSec VPN 网关应具有根据数据报文的五元组(源 IP 地址、目的 IP 地址、源传输层端口、目的传
输层端口、传输层协议)决定其处理方式的功能。处理方式应支持丢弃、明文转发、密文转发(使用 IP⁃
Sec 处理后转发)。
7.1.15 客户端主机安全检查
安全认证网关产品应具有客户端主机安全检查功能。客户端在连接服务端时,根据服务端下发的
客户端安全策略检查用户操作系统的安全性。不符合安全策略的用户将无法使用安全认证网关。
客户端安全策略应至少包括下列条件之一:
a) 已安装并启用反病毒软件;
b) 已安装并启用个人防火墙;
c) 已安装最新的操作系统安全补丁;
d) 已为系统设置了登录口令。
7.2 产品性能参数要求
7.2.1 符合 IPSec协议的产品性能参数
符合 IPSec 协议的安全认证网关产品性能参数包括加解密吞吐量、加解密时延、加解密丢包率、每
秒新建隧道数和最大并发隧道数,每个参数的具体要求见 GM/T 0023。
7.2.2 符合 TLCP协议的产品性能参数
符合 TLCP 协议的安全认证网关产品性能参数包括最大并发用户数、最大并发连接数、每秒新建
连接数和加解密吞吐率,每个参数的具体要求见 GM/T 0025。
7.3 产品安全性要求
7.3.1 密钥安全
符合 IPSec 协议的安全认证网关产品密钥管理安全要求见 GM/T 0023,符合 TLCP 协议的安全
认证网关产品密钥安全要求见 GM/T 0025。
7.3.2 配置安全
7.3.2.1 配置数据安全
所有的配置数据应保证其在设备中的完整性、可靠性。应有管理界面对配置数据进行配置和管
理,管理员进入管理界面应通过身份鉴别。
7.3.2.2 敏感参数配置安全
安全认证网关包括密钥在内的敏感安全参数的生成、建立、输入、输出、存储和置零的全生命周期
的管理应符合 GM/T 0028 的要求。
7.3.2.3 硬件安全
硬件安全的要求如下。
a) 安全网关产品硬件应符合 GM/T 0028 对硬件模块物理安全的规定。
b) 安全认证网关产品应提供安全措施,保证密码算法、密钥、关键数据的存储安全。
c) 所有密码运算应在独立的密码部件中进行。
d) 除必需的通信接口和管理接口以外,不提供任何可供调试、跟踪的外部接口。内部的调试、检
测接口应在产品定型后封闭。符合 IPSec 协议的安全认证网关产品的远程维护接口应采用
加密通道和身份鉴别安全措施。
7.3.2.4 软件安全
软件安全的要求如下。
a) 安全认证网关产品的软件或固件应符合 GM/T 0028 对软件/固件安全的规定。
b) 操作系统应进行安全加固,裁减一切不需要的模块,关闭所有不需要的端口和服务。
c) 任何操作指令及其任意组合,不能泄露密钥和敏感信息。
d) 软件升级应具备修复安全漏洞的能力,在升级前应对升级包文件进行完整性校验。
7.3.2.5 客户端安全
安全认证网关的客户端产品应具有完整性的自校验功能,包括厂商对客户端软件的签名,以保护
信息的完整性。
7.3.3 管理安全
7.3.3.1 分权管理
分权管理的要求如下。
a) 应实现系统管理员、安全管理员、系统审计员分权管理。
b) 系统管理员负责对软件环境日常运行的管理和维护,以及对系统的备份和操作系统恢复。
c) 系统审计员负责对系统中的日志进行安全审计。
d) 安全管理员负责业务配置、应用管理、授权管理管理操作。
7.3.3.2 管理员登录安全
管理员通过数字证书技术进行鉴别,登录到安全认证网关进行管理配置,管理员通过被授权的终
端登录到安全认证网关进行相应的配置操作。
7.4 产品管理要求
7.4.1 远程管理
远程管理:安全认证网关产品应提供协议接口接受管理中心通过网络远程对其设备状态、网络配
置、安全策略进行查询、监控和管理。对密码设备的管理宜符合 GM/T 0050 的设备管理技术规范。
a) 合规性验证
安全认证网关产品宜提供远程调用接口对 SM2、SM3、SM4 和密钥随机性进行合规性验证,
验证协议和接口应符合密码国家标准、行业标准的相关要求。
b) 远程参数配置
安全认证网关产品宜提供协议和接口接受管理中心远程对其参数进行配置。
c) 远程监控
1) 参数查询
安全认证网关产品宜提供协议和接口接受管理中心对其安全策略、安全参数、网络参数、
用户参数配置信息和日志进行查询,并可提供分类查询和关键字检索手段。
2) 状态监测
安全认证网关产品宜提供协议和接口接受管理中心远程对其运行状态(CPU、内存和非
易失性存储介质系统资源的占有率)、系统信息(开机时间、运行时间、系统时间和设备名
字及 IP)、网络流量、是否在线、隧道状态(建立时间、加密流量、有效期)进行远程实时查
询,并在设备状态明显异常时可向管理中心报警。
3) 远程控制
安全认证网关产品宜提供协议和接口接受管理中心远程对其进行重启、故障诊断、各项
功能的关闭和启用操作。
4) 时间同步
安全认证网关产品宜提供远程调用接口接受管理中心对其进行远程时间同步。
7.4.2 管理内容
7.4.2.1 日志管理
安全认证网关产品应提供日志记录、查看和导出功能。日志内容包括:
a) 操作行为,包括登录认证、参数配置、系统配置、策略配置、密钥管理操作;
b) 用户访问行为,包括用户、时间、访问资源、结果;
c) 安全事件,密钥交换成功及失败、密钥过期、隧道建立及删除事件;
d) 异常事件,解密失败、完整性校验失败、认证失败、非......
英文网页English: GM/T 0026-2023
相关标准: GB/T 15843.1|GM/T 0028|GM/T 0017|GM/T 0016|GM/T 0026-2023|GM/T 0026|