ICS35.030 CCSL80 中华人民共和国密码行业标准 GM/T0142—2024 云服务器密码机检测规范 Cloudhostcryptographicservertestspecification 2024-12-27发布 2025-07-01实施 国家密码管理局发布目 次 前言 Ⅲ ………………………………………………………………………………………………………… 1 范围 1 ……………………………………………………………………………………………………… 2 规范性引用文件 1 ………………………………………………………………………………………… 3 术语和定义 1 ……………………………………………………………………………………………… 4 缩略语 2 …………………………………………………………………………………………………… 5 检测环境要求 2 …………………………………………………………………………………………… 5.1 常规检测环境 2 ……………………………………………………………………………………… 5.2 跨网段检测环境 3 …………………………………………………………………………………… 5.3 云计算检测环境 3 …………………………………………………………………………………… 6 检测内容及检测方法 4 …………………………………………………………………………………… 6.1 概述 4 ………………………………………………………………………………………………… 6.2 设备外观和结构检查 4 ……………………………………………………………………………… 6.3 功能检测 5 …………………………………………………………………………………………… 6.4 安全性检测 13 ………………………………………………………………………………………… 6.5 设备网络适应性检测 14 ……………………………………………………………………………… 6.6 性能检测 14 …………………………………………………………………………………………… 6.7 环境适应性检测 16 …………………………………………………………………………………… 6.8 可靠性检测 16 ………………………………………………………………………………………… 7 送检技术文档要求 16 ……………………………………………………………………………………… 8 判定规则 16 ………………………………………………………………………………………………… 附录A(资料性) 检测项目列表 17 ………………………………………………………………………… ⅠGM/T0142—2024前 言 本文件按照GB/T1.1—2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由密码行业标准化技术委员会提出并归口。 本文件起草单位:商用密码检测认证中心、北京信安世纪科技有限公司、三未信安科技股份有限公 司、兴唐通信科技有限公司、卫士通信息产业股份有限公司、北京江南天安科技有限公司、山东渔翁信息 技术股份有限公司、北京数字认证股份有限公司、格尔软件股份有限公司、鼎铉商用密码测评技术 (深圳)有限公司、智巡密码(上海)检测技术有限公司。 本文件主要起草人:李国友、陈妍、孙艺铭、汪宗斌、胡耀华、顾伟平、李冬、邓开勇、刘芳、雷银花、 李小雨、燕爽、秦体红、张宇、高志权、刘会议、姚长远、何济尘、罗俊、李国、马晓艳、张钊、郭刚、吴震、 赵松、王春涛、吴远成、郝波、李振、邹家须、包斯刚、韩玮。 ⅢGM/T0142—2024云服务器密码机检测规范 1 范围 本文件规定了云服务器密码机的检测环境、检测内容、检测方法、送检技术文档要求和判定规则。 本文件适用于云服务器密码机的检测。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文 件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于 本文件。 GB/T32905 信息安全技术 SM3密码杂凑算法 GB/T32907 信息安全技术 SM4分组密码算法 GB/T32918(所有部分) 信息安全技术 SM2椭圆曲线公钥密码算法 GB/T15852.2 信息技术 安全技术 消息鉴别码 第2部分:采用专用杂凑函数的机制 GM/T0005 随机性检测规范 GM/T0018 密码设备应用接口规范 GM/T0022 IPSecVPN技术规范 GM/T0024 SSLVPN技术规范 GM/T0028 密码模块安全技术要求 GM/T0039 密码模块安全检测要求 GM/T0062 密码产品随机数检测要求 GM/T0088 云服务器密码机管理接口规范 GM/T0104—2021 云服务器密码机技术规范 GM/Z4001 密码术语 3 术语和定义 GM/Z4001界定的以及下列术语和定义适用于本文件。 3.1 云计算 cloudcomputing 通过网络访问可扩展的、灵活的物理或虚拟资源池,并可按需自助获取和管理资源的模式。 3.2 云服务器密码机 cloudhostcryptographicserver;cloud-hostedhardwaresecuritymodule;CHSM 在云计算环境下,采用虚拟化技术,以网络形式,为多个租户的应用系统提供密码服务的服务器密 码机。 3.3 宿主机 host 为虚拟密码机提供运行环境和硬件资源的物理设备,同一台宿主机内的多个虚拟密码机共享该宿 1GM/T0142—2024主机内的密码运算资源和密钥存储资源。 3.4 单根IO虚拟化 singlerootI/Ovirtualization;SRIOV 使单根端口下的单个PCI-E物理设备可针对管理程序或客户机操作系统显示为多个单独的虚拟 PCI-E设备(VF)的一种规范。 3.5 虚拟密码机 virtualsecuritymodule;VSM 云服务器密码机上,采用虚拟化技术创建出来的提供类同实体密码机服务的密码服务实例。 3.6 虚拟密码机数据影像 VSMdataimage 包含虚拟密码机内与用户相关的配置、密钥及敏感信息等。虚拟密码机数据影像的安全性使用加 密和签名机制进行保护。用于虚拟密码机的漂移过程。 3.7 虚拟密码机漂移 VSMdrift 当一台虚拟密码机发生故障时,云平台管理系统自动将此虚拟密码机的数据影像导入至另外一台 空闲正常的虚拟密码机上,并快速切换用户网络。在用户无感知的情况下,恢复虚拟密码机的可用性。 3.8 虚拟密码机镜像 VSMimage 包含虚拟密码机所有软件(包括操作系统)及配置的模板文件。虚拟密码机镜像的安全性使用签名 机制保护。用于虚拟密码机的创建过程。 3.9 Web服务 Webservice 通过标准的规约进行定义,并通过标准进行访问和使用的一种应用编程接口或Web应用编程 接口。 4 缩略语 下列缩略语适用于本文件。 API:应用程序接口(ApplicationProgramInterface) CBC:密文分组链接工作模式(CipherBlockChainingOperationMode) CFB:密码反馈工作模式(CipherFeedbackOperationMode) CHSM:云服务器密码机(Cloud-hostedHardwareSecurityModule) ECB:电码本工作模式(ElectronicCodebookOperationMode) IV:初始化向量/值(InitializationVector/Value) OFB:输出反馈工作模式(OutputFeedbackOperationMode) SRIOV:单根IO虚拟化(SingleRootI/OVirtualization) VSM:虚拟密码机(VirtualSecurityModule) 5 检测环境要求 5.1 常规检测环境 常规检测环境用于检测云服务器密码机的功能,常规检测环境示意图见图1,性能检测环境示意图 见图2。 2GM/T0142—2024