ICS35.030 CCSL80 中华人民共和国密码行业标准 GM/T0137—2024 密码卡技术要求 Technicalrequirementsforcryptographicboard 2024-12-27发布 2025-07-01实施 国家密码管理局发布目 次 前言 Ⅲ ………………………………………………………………………………………………………… 1 范围 1 ……………………………………………………………………………………………………… 2 规范性引用文件 1 ………………………………………………………………………………………… 3 术语和定义 1 ……………………………………………………………………………………………… 4 缩略语 2 …………………………………………………………………………………………………… 5 概述 2 ……………………………………………………………………………………………………… 6 功能要求 3 ………………………………………………………………………………………………… 6.1 功能分类 3 …………………………………………………………………………………………… 6.2 初始化 3 ……………………………………………………………………………………………… 6.3 密码运算 3 …………………………………………………………………………………………… 6.4 密钥管理 3 …………………………………………………………………………………………… 6.5 访问控制 5 …………………………………………………………………………………………… 6.6 设备自检 5 …………………………………………………………………………………………… 6.7 设备信息存储 5 ……………………………………………………………………………………… 6.8 虚拟化 5 ……………………………………………………………………………………………… 7 硬件要求 6 ………………………………………………………………………………………………… 7.1 接口 6 ………………………………………………………………………………………………… 7.2 硬件组成 6 …………………………………………………………………………………………… 7.3 密码算法模块 6 ……………………………………………………………………………………… 7.4 随机数发生器 6 ……………………………………………………………………………………… 8 软件要求 6 ………………………………………………………………………………………………… 8.1 软件构成 6 …………………………………………………………………………………………… 8.2 固件 6 ………………………………………………………………………………………………… 8.3 驱动程序 6 …………………………………………………………………………………………… 8.4 应用编程接口(API) 7 ……………………………………………………………………………… 8.5 管理工具 7 …………………………………………………………………………………………… 9 安全性要求 7 ……………………………………………………………………………………………… 9.1 通用安全 7 …………………………………………………………………………………………… 9.2 访问控制安全 7 ……………………………………………………………………………………… 9.3 固件安全 7 …………………………………………………………………………………………… 9.4 虚拟化安全 7 ………………………………………………………………………………………… 参考文献 8 ……………………………………………………………………………………………………… ⅠGM/T0137—2024前 言 本文件按照GB/T1.1—2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由密码行业标准化技术委员会提出并归口。 本文件起草单位:三未信安科技股份有限公司、中国科学技术大学、商用密码检测认证中心、山东大 学、中电科网络安全科技股份有限公司、兴唐通信科技有限公司、渔翁信息技术股份有限公司、天津国芯 科技有限公司、山东三未信安信息科技有限公司、北京格尔国信科技有限公司、豪符密码检测技术 (成都)有限责任公司、山东多次方半导体有限公司。 本文件主要起草人:高志权、霍卫华、徐强、李玉峰、林璟锵、陈妍、李国友、李冬、邓开勇、雷银花、 齐晶晶、桑洪波、张玉国、赵长松、杨国强、孔凡玉、郭刚、张斌、陈万钢、陈万瑶、曹丹、朱立通、张佳潇、 张驰。 ⅢGM/T0137—2024密码卡技术要求 1 范围 本文件规定了密码卡的功能要求、硬件要求、软件要求、安全性要求等有关内容。 本文件适用于密码卡的研制开发,也可用于指导密码卡的使用和检测。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文 件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于 本文件。 GB/T15852.2 网络安全技术 消息鉴别码 第2部分:采用专门设计的杂凑函数的机制 GB/T17964 信息安全技术 分组密码算法的工作模式 GB/T36624 信息技术 安全技术 可鉴别的加密机制 GB/T37092—2018 信息安全技术 密码模块安全要求 GM/T0018—2023 密码设备应用接口规范 GM/T0062—2018 密码产品随机数检测要求 GM/Z4001 密码术语 3 术语和定义 GM/Z4001界定的以及下列术语和定义适用于本文件。 3.1 密码卡 cryptographicboard 具有密码运算功能、密钥管理和自身安全保护功能的硬件板卡设备。 3.2 设备密钥对 devicekeypair 用于表明设备身份、对设备进行管理的非对称密钥对,包含签名密钥对和加密密钥对。 3.3 密钥加密密钥 keyencryptingkey;KEK 用于对密钥进行加密或解密的密钥。 3.4 私钥访问控制码 privatekeyaccesspassword 用于获取私钥使用权限的口令字。 3.5 数据加密密钥 dataencipherment/encryptionkey 用于数据加解密的密钥。 3.6 会话密钥 sessionkey 在一次会话中使用的数据加密密钥。 1GM/T0137—20243.7 用户密钥对 userkeypair 存储在设备内部的用于应用密码运算的非对称密钥对,包含签名密钥对和加密密钥对。 3.8 虚拟机 virtualmachine 由共享真实数据处理系统的各种资源来实现其内部功能的一种虚拟数据处理系统,其中信息独属 于某位特定用户来使用。 4 缩略语 下列缩略语适用于本文件。 API:应用程序编程接口(ApplicationProgrammingInterface) CBC:密文分组链接工作模式(CipherBlockChainingOperationMode) CFB:密文反馈工作模式(CipherFeedbackOperationMode) CPCI:紧凑型外设部件互连(CompactPeripheralComponentInterconnect) CTR:计数器工作模式(CounterOperationMode) DMA:直接存储器访问(DirectMemoryAccess) ECB:电码本工作模式(ElectronicCodebookOperationMode) GCM:Galois计数器模式(GaloisCounterMode) HMAC:带密钥的杂凑算法(Keyed-HashMessageAuthenticationCode) IC:集成电路(IntegratedCircuit) I/O:输入/输出(Input/Output) IPSec:IP安全(InternetProtocolSecurity) KVM:一个开源的系统虚拟化模块(Kernel-basedVirtualMachine) MiniPCI-E:微型高性能外设部件互连(MiniPeripheralComponentInterconnectionExpress) OFB:输出反馈工作模式(OutputFeedbackOperationMode) PCI:外设部件互连(PeripheralComponentInterconnection) PCI-E:高性能外设部件互连(PeripheralComponentInterconnectionExpress) SATA:串行ATA(SerialAdvancedTechnologyAttachment) SoC:系统级芯片(SystemonChip) SSL:安全套接字层(SecureSocketsLayer) USB:通用串行总线(UniversalSerialBus) VPN:虚拟专用网络(VirtualPrivateNetwork) 5 概述 密码卡是一种硬件密码模块,具有以下特征: a) 具备但不限于下列一个或多个硬件接口:PCI、PCI-E、MiniPCI-E、SATA、USB、CPCI、M.2等; b) 由多芯片组成、嵌入式运行; c) 具有密码运算