GM-T0026-2023安全认证网关产品规范.docx

《GM-T0026-2023安全认证网关产品规范.docx》由会员分享，可在线阅读，更多相关《GM-T0026-2023安全认证网关产品规范.docx（15页珍藏版）》请在优知文库上搜索。

1、目次前言I1.1.I范用12规范性引用文件I3术语和定义14缩略语15部署模式26密码算法和密钥种类26.1 算法要求26.2 密饰种类27安全认证网关产品要求27.1 产品功能要求27.2 产品性能参数要求57.3 产品安全性要求57.4 产品管理要求67.5 产品硬件要求87.6 产品过程保护88安全认证网关产品检测要求88.1 检测说明88.2 外观和结构的检杳88.3 提交文档的检查98.4 产品功能检测98.5 产品性健检测108.6 安全管理检测Ii8.7 硬件检测129判定规则13本文件按照GB,，T1.1-2020标准化工作导则第1部分：标准化文件的结构和起草规则的四定起草.本

2、文件代替GM,T00262014安全认证网关产品规范，与GM，T262014相比，除结构调赛和编辑性改动外，主要技术变化如下：a）增加了GRrr25069（见第3章）、GB36624（见6.1）、GM/T0028（见7.3.2.2,7.3.2.3和7.3.2.4）,GM/T0062（7.4.2,3.3和8.4.7）、GNMr0068（见7J.5）、GMyT0069（-7.1.5）和GMZ4001（见第3章），班除JGMT0014（见2014年版的第2章），更改GB，T9813为GBT9813.3（见7.5.4）;b）删除了术语“密码律法”（见2014年版的3.1）、“带密物的杂凑算法”（见20

3、14年版的3.2）、“非对称密码算法/公物密码算法”（见20M年版的3.3）、“对称密码算法”（见2014年版的3.4）、“分组密码算法”（也014年版的3.5）、“密文分组链接工作模式”（见20M年版的3.6）、“初始化向量/值”（见2014年版的3.7）、“数据源鉴别“（见2014年版的3.8）、“数字证H”（见2014年版的3.9）、S1.协议”（见2014年版的3.10）、“认证头”（见2014年版的3.、“封装安装收荷”（见2014年版的3.12）、“虚拟专用网络”（见RM年版的3.13）、“安全报文（见2014年版的3.14）、，SM1.算法”（见2014年版的3.15）、“SM2

4、算法”（见2014年版的3.16）、“SM3法”（见2014年版的3.17）、-SM4算法”（见2014年版的3.18）和“安全认证网关”（见2014年版的3.19）:增加了缩略语PCMFTCM（见笫俾），篇除了“IV”（见2014年版的第4章）;删除了安全认证网关部署模式中“物理”两字（见2014年版的第5章）；增力口/GCM模式（见6.D;更改了“密钥种类”的描述（见6.2,见20M年版的6.2）;更改了随机数生成相关的功能要求（见7.1.7,2014年版的7.1.7）;增加了采用的密码协议（见7.1.5）：增加r密钥交换的描述（见719）;j）更改了密钥更新部分的描述（见7.111,20

5、14年版的7.1.ID;k）更改了NAT穿越的功链描述（见71.12,20M年版的7.1.12）;D增加了包过渡功能（见7.1.14）;rn）更改了产品性能参数的描述（见7.2.1和7.2.2,2014年版的7.2.1和7.2.2）;n）更改了密切安全的描述（见7.3.1,2014年版的7.3.1）;o）增加了敏礴参数配置安全（见7.3.2.2）;p）峭加了应符合GM，T）28对硬件模块物理安全的规定（见7.3.2.2）:q）增加了产品的软件或固件应符合GM0028对软件/固件安全的规定和对软件升级安全要求进行了规定（见73.2.3）;r）更改了7.4.1的标题名称（见名M年版的7.4.1,2

6、014年版的7.4.D;s）更改f合规性验证和远程参数配置，对相关内容进行简化。（见7.虫匕）和0,2014年版的7.4.1a）和b）;D更改了“加密部件”的描述（见7.5.2,2014年版的7.5,2）：U）更改了随机数发生器H接引用GMT0062E类产品检测（见7.5.2和8.4.7,2014年版的7.5.3和8.1.7）：v）增加了检测说明，外观和结构的检表和提交文档的检杳（见8.1,8.2和8.3）;w）增加了产品功能也测中短个功能的检测方法（见8.4）:X）更改/产拈性能检测的描述（见8.5,2014年版的8.2）;y）增加了敏寒忿数配盟安全的检测描述（见8.6.1.3）;Z）增加了

7、怆理安全的检测方法的描述（见8.6.1.7）;aa）Jfift1./远程管理的好测方法的描述（见8.6.2.4）.请注意本文件的某些内容可能涉及专利.本文件的发布机构不承担识别专利的贵任.本文件由密码行业标准化技术委员会提出并日口。本文件起草单位：格尔软件股份有限公司、无锡江南信息安全工程技术中心、上海数字证书认证中心有限公司、北京信安世纪科技股份行限公司、中电信嫉子信息科技集团彳j限公司、飞天诚信股份有限公司、北京国脓信安科技有限公司、山东得安信息技术有限公司、山东渝翁信息技术股份有限公司、广东帘电子商务认证有限公司、天融信科技集团股份行限公司、上海智巡密网检测技术有限公司、山东大学。本文件

8、主要起草人：郑强、渊武征、馀强、刘承、汪宗斌、罗俊、朱鹏飞、粱宁宁、药乐、一金山、王安高修、1札孔凡玉、印媛、帏琳，葩明富.本文件所代替文件的历次版本发布情况为：20It年苫次发布版为GM,T00262014:本次为第一次修订.IV安全认证网关产品规范19本文件规定了安全认证网关的密码算法和密钠种类、产品的要求、产品的检冽及合格判定.本文件用于安全认证网关产品的研制、检测、使用和管理，2蝮范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.其中,注日期的引用文件，仅该H期对应的皈本适用于木文件；不注H期的引用文件，其最新版本(包括所有的修改单)适用于本文件.GB.T98

9、13.3计算机通用规范第3部分：服务器GBfT15153.1运动设备及系统第2部分；工作条件第1篇；电源和电磁兼容性GB,.T15843.3信息技术安全技术实体鉴别第3部分：采用数字签名技术的机制GB.，T17964信息安全技术分组密码竟法的工作模式GB/T25069信息安全技术术语GB/T36621-2018信息技术安全技术可称别的加密机制GMOoO5随机性检测燃葩GM/T0022IPSecYPN技术规范GMTT0023IPSECVPN网关产品规范GMTT0024SS1.VPN技术规莅GM/T(X)25SS1.VPNN关产品规范GMZF()028密码模块安全技术要求GMI0050密码设备管理

10、设备管理技术规范GMTT0062密码产品随机数检测要求GMTT0068开放的第三方资源授权彬议框架GM0069开放的身份鉴别框架GM/Z4(X)1密码术语GBrr25069和GMZJOO1界定的术语和定义适用于本文件。4下列缗珞语适用于本文件。AU:认证头(AU1.henIiCMonHeader)CBC:密码分组链接(CiPhCrB1.ockChaining)ESP:封装安全载荷(EnCapSU1.atCSecurityPay1.oad)GCMiGaIois计数器模式(GaIoiSCounterMode)IPSccr1.P安全(IntCrnC1.Protoco1.Security)NAT:Iq

11、络地址转换(NetWOrkAik1.ressTrans1.ation)SS1.:安全套接层协议(SCCUrVSWketS1.ayer)T1.CP:传输层密码协议CrmnSPort1.ayerCryptographyProtoco1.)VPN:虚拟早用网络(Virtua1.Priva1.cNetwork)5 4M式安全认证网关是采用数字证书为应用系统提供用户管理、身份盥别、单点登录、传怆加密、访问控制和免息审计等服务的产品.安全认证网关是采用了数字证书技术进行,&别.安全认证网关的制界模式分为小联和并联两种方式。a)中联：指从网拈拓扑上,用户应经过网关才能访问到受保护的应用.b)并联：指从网络拓

12、扑上，用户可不经过网关能访问到受保护的应用,可由应用或防火墙上进行某种逆税判断，来别出未经网关访问的用户(例如通过来源IP),以达到避税上耕联的效果.安全认证网关至少的支持串联的部雪模式同时.若虑到实际情况的阍要,安全认证网关可在支持申联部署模式之外,可支持并联陆界方式，但应为应用提供貌别用户是否经由网关进行访问的技术手段.6 宙理克法和密集6.1安全认证网关使用的非对称密码算法、对称密码算法、密码杂凑算法和K1.机数生成算法应符合密码国家标准、行业标准的相关要求,算法及使用方法如F.a)非对称密码算法用于认证、数字签名和数字信时.b)对称密码。法使用分抓密码。法，用于密钥交换数据的加密保护和

13、报文数据的加密保护,W法的工作模式为GCM模式或CBC模式.GCM院符合GBT36624.CBC应符合GBT17964.c)击码杂流好法用于对称密钥生成、完整性校监和数字签名.d)K1.机数生成算法用于生成符合GMjT(X)O5的检测要求的电机数.6.2 击胡肿奥对于符合IPSCC协议的安全认证网关,帝的种类应符合GN1.T0022:对于符合T1.CP协议的安全认证网关，密钥种类应符合GM,T0024,7安全认证网关产品妥求7.1产金功健要求7.1.1用户暂安全认证网美应可以对访M的用户进行管理：a)网关能对需要访何系统的相关用户进行增制改行：b)网关能从我他身份管理系统(例如CA.RA)同步

14、证书用户的悟息：O网关能对用户进行一定程度的角色分祖,或者按照姐织机构进行管理.7.1.2 JHMUI安全认证网关应提供基于数字证书的方式来进行最终用户的身份鉴别，身份鉴别协议应符AGB.T15843.3.当安全认证网关使用代理模式时：对符合IPS;协议的安全认证网关，应在IKE协商阶段鉴别最终用户的证书及签名，并进行证书黑名单(CR1.)的检过.对于符合T1.CP协议的安全认证网关.应在每次T1.CP握手时，鉴别J券用户的证书及签名,并进行证书;M名单(CR1.)的检杳.当安全认4网关使用调用模式时，网关应在被调用时卷别髭终用户的证书及筐名，并检杳证书摞名单(CR1.)。在外部环境支计的条件

15、下(OCSP脍证,或基于CA提供的其他接I进行实时证书状态验证),网关在支持实时的证书状态验证方式。7.1.3 ffiJBV9安全认证网关产品应可对需要保护的应用进行管理，能对应用信息进行加州改查，应用信息应包含应用地址,应用地址可分为三类Ia)网段r按照网络地址十掩眄进行标识，例如192.168.1.0/24;b)TCPUDP陶用：按照协议(TCRiUDP)及端口号进行标识，例如tcp:1.92.168.3.6:25/或Udp:/192.168.1.9:53/:OWEB应用：按照协议(HITpJHTTPS),域名.端1号和WEB路径进行标识,例如hup:vwwAite.con8080myapp或hHps:/www.securesiie.con/mysecure.7.1.4 1.4ARfiM袍.,用户管理和应用管理的信息，网关对用户访问的应用的权限迸行定义，a)基于单个用户或用户组(角色)定义来控制访问某一应用.b)访问权限的配置模式为白名单或黑名单方式.