GM/T 0137-2024 密码卡技术要求.pdf

中华人民共和国密码行业标准

GM/T0137-2024

密码卡技术要求

Technical requirements for cryptographic board

国家密码管理局 发布

目次

7.1接口7.2硬件组成 7.3密码算法模块7.4随机数发生器

8软件要求..

8.1软件构成8.2固件8.3驱动程序8.4应用编程接口（API)8.5管理工具

9.1通用安全9.2访问控制安全9.4虚拟化安全 9.3固件安全

前言

本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草.

请注意本文件的某些内容可能涉及专利.本文件的发布机构不承担识别专利的责任.

本文件由密码行业标准化技术委员会提出并归口.

本文件起草单位：三未信安科技股份有限公司、中国科学技术大学、商用密码检测认证中心、山东大学、中电科网络安全科技股份有限公司、兴唐通信科技有限公司、渔翁信息技术股份有限公司、天津国芯科技有限公司、山东三未信安信息科技有限公司、北京格尔国信科技有限公司、豪符密码检测技术（成都）有限责任公司、山东多次方半导体有限公司.

本文件主要起草人：高志权、霍卫华、徐强、李玉峰、林璟、陈耕、李国友、李冬、邓开勇、雷银花、齐晶晶、桑洪波、张玉国、赵长松、杨国强、孔凡玉、郭刚、张斌、陈万钢、陈万瑶、曹丹、朱立通、张佳潇、张驰.

密码卡技术要求

1范围

本文件规定了密码卡的功能要求、硬件要求、软件要求、安全性要求等有关内容. 本文件适用于密码卡的研制开发，也可用于指导密码卡的使用和检测.

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.其中，注日期的引用文件，仅该日期对应的版本适用于本文件：不注日期的引用文件，其最新版本（包括的修改单）适用于本文件.

GB/T15852.2网络安全技术消息鉴别码第2部分：采用专门设计的杂凑函数的机制GB/T36624信息技术安全技术可鉴别的加密机制 GB/T17964信息安全技术分组密码算法的工作模式GB/T37092-2018信息安全技术密码模块安全要求GM/T0018-2023密码设备应用接口规范GM/T0062-2018密码产品随机数检测要求 GM/Z4001密码术语

3术语和定义

GM/Z4001界定的以及下列术语和定义适用于本文件.

3.1密码卡cryptographic board

具有密码运算功能、密钥管理和自身安全保护功能的硬件板卡设备.

3.2 设备密钥对device key pair用于表明设备身份、对设备进行管理的非对称密钥对，包含签名密钥对和加密密钥对.

密钥加密密钥key encryptingkey；KEK

用于对密钥进行加密或解密的密钥.

3.4私钥访问控制码private key access password用于获取私钥使用权限的口令字.

3.5 数据加密密钥dataencipherment/encryptionkey用于数据加解密的密钥.

3.6会话密钥session key

在一次会话中使用的数据加密密钥.

GM/T 0137-2024

用户密钥对user key pair

存储在设备内部的用于应用密码运算的非对称密钥对，包含签名密钥对和加密密钥对.

3.8

虚拟机virtualmachine

由共享真实数据处理系统的各种资源来实现其内部功能的一种虚拟数据处理系统，其中信息独属于某位特定用户来使用.

4缩略语

下列缩略语适用于本文件.

API：应用程序编程接口（Application Programming Interface)CBC：密文分组链接工作模式（Cipher Block Chaining Operation Mode)CPC1:紧资型外设部件互连（Compaet Peripheral Component Interconnect） CFB：密文工作模式（Cipher Feedback Operation Mode)CTR：计数器工作模式（Counter Operation Mode)DMA：直接存储器访间（Direet Memory Access)ECB;电码本工作模式(Electronie Codebook Operation Mode)GCM:Galois 计数器模式(Galois Counter Mode) HMAC：带密钥的杂凑算法（Keyed-Hash Message Authentication Code)IC：集成电路（Integrated Circuit)1/O：输人/输出（Input/Output)KVM：-个开源的系统虚拟化模块（Kernel-based Virtual Machine) IPSee:IP 安全(Internet Protocol Security)OFB：输出工作模式（Output Feedback Operation Mode)PCI：外设部件互连（Peripheral Component Interconnection)PCI-E：高性能外设部件互连（Peripheral Component Interconneetion Express)SATA:串行 ATA(Serial Advanced Technology Attachment) SoC：系统级芯片（System on Chip）SSL:安全套接字层（Secure Sockets Layer）USB：通用串行总线（Universal Serial Bus)VPN：虚拟专用网络（Virtual Private Network)

5概述

密码卡是一种硬件密码模块具有以下特征：

a）具备但不限于下列一个或多个硬件接口：PCI、PCI-E、Mini PCI-E、SATA、USB.CPCI.M.2等；b）由多芯片组成、嵌人式运行；c）具有密码运算功能、密钥管理功能、物理随机数产生功能和设备自身安全保护措施.

密码卡可作为关键密码部件内嵌于需要密码运算和密钥管理等安全功能的计算机上，例如：服务器密码机、SSLVPN网关、IPSecVPN网关、云服务器密码机、时间截服务器、安全认证网关等，也可直接 作为密码资源使用或直接为应用程序提供密码功能.