簽名驗簽服務器技術規范

1 范圍

                      

    本標准定義了簽名驗簽服務器的相關術語，規定了簽名驗簽服務器的功能要求、安全要求、接口要求、檢測要求和消息協議語法規范等有關內容。

    本標准適用於簽名驗簽服務器的研制設計、應用開發和使用，也可用於指導簽名驗簽服務器的檢測。

2 規范性引用文件

 

    下列文件對於本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用於本文件，凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用於本文件。

    GB/T 9813－2000 微型計算機通用規范

    GB/T 19713-2005 信息技術 安全技術 公鑰基礎設施 在線證書狀態協議

    GM/T 0006 密碼應用標識規范

    GM/T 0009 SM2密碼算法使用規范

    GM/T 0010 SM2密碼算法加密簽名消息語法規范

    GM/T 0014 數字證書認證系統密碼協議規范

    GM/T 0015 基於SM2密碼算法的數字證書格式規范

    GM/T 0018 密碼設備應用接口規范

    GM/T 0020 證書應用綜合服務接口規范

    GM/T AAAAA PCI密碼卡技術規范

    GM/T BBBBB 服務器密碼機技術規范

    PKCS #1 RSA密碼算法使用規范

PKCS #7 RSA密碼算法消息語法規范

3 術語和定義

 

    下列術語和定義適用於本規范。

 

    3.1 簽名驗簽服務器 Sign & Verify Server

    用於服務端的適用於公鑰密碼基礎設施的服務器，其主要提供基於PKI體系和數字證書的數字簽名、驗證簽名等運算功能，用於信息系統中，可以保證關鍵業務信息的真實性、完整性和不可否認性。

 

    3.2   應用實體 Application Entity

    簽名驗簽服務器的服務對象，可以是個人、機構或系統，其私鑰存儲在簽名驗簽服務器的密碼設備中，能夠使用簽名驗簽服務器進行簽名及驗簽運算。

 

    3.3   用戶 User

    與應用實體進行通信或認證的個人、機構或系統，其數字證書可導入到簽名驗簽服務器中。

 

4 符號和縮略語

 

    下列符號和縮略語適用於本規范：

    API 應用程序接口簡稱應用接口(Application Program Interface)

    PKI 公鑰密碼基礎設施

    CA 證書認證機構

    CRL 證書撤銷列表

    LDAP 輕量級目錄訪問協議

    OCSP 在線證書狀態查詢協議

    PKCS 公鑰密碼標准(Public-Key Cryptography Standard)

 

5 簽名驗簽服務器的功能要求

 

    5.1 初始化功能

 

    簽名驗簽服務器的初始化主要包括系統配置、生成管理員等，使設備處於正常工作狀態。

 

    5.2 與CA基礎設施的連接功能

 

    簽名驗簽服務器應支持與CA基礎設施的連接功能，包括CRL連接配置、OCSP連接配置等。

 

    5.2.1 CRL連接配置

 

    簽名驗簽服務器應支持CRL連接配置功能，通過配置管理界面，提供從CRL發布點獲取CRL、導入CRL等功能。

 

    5.2.2 OCSP連接配置

 

    簽名驗簽服務器可支持OCSP連接配置功能，通過配置管理界面，進行OCSP服務的連接配置管理。OCSP連接配置應遵循GB/T 19713-2005《信息技術 安全技術 公鑰基礎設施 在線證書狀態協議》。

 

    5.3 應用管理功能

 

    簽名驗簽服務器的應用管理功能主要包括應用實體的注冊、配置密鑰、設置私鑰授權碼等，並按照安全機制對應用實體的信息進行安全存儲。應用實體注冊的內容應包括設置應用實體名稱、配置密鑰索引號、導入證書、設置IP地址（可選）等。

 

    5.4 證書管理和驗證功能

 

    簽名驗簽服務器應具有對應用實體證書、用戶證書、根證書或證書鏈的導入、存儲、驗證、使用以及備份和恢復等功能。簽名驗簽服務器管理的證書包括應用實體證書和用戶證書。

 

    5.4.1 應用實體的密鑰產生、證書申請

 

    在簽名驗簽服務器注冊的應用實體，應由簽名驗簽服務器產生應用實體的簽名密鑰對和證書請求，並支持通過管理界面導入應用實體的簽名證書、加密證書和加密密鑰對。加密密鑰對的導入參見GM/T 0014 《數字證書認證系統密碼協議規范》。

 

    5.4.2 用戶證書導入和存儲

 

    簽名驗簽服務器應支持用戶證書、根證書或證書鏈的導入，導入時應對證書的有效性進行驗證。

 

    5.4.3 應用實體的證書更新

 

    應用實體的證書更新時必須保存原來的證書，以防止以前的簽名不能驗證。

 

    5.4.4 證書驗證

 

    簽名驗簽服務器應支持對證書的有效性的驗證。

 

    5.4.5 備份/恢復

 

    簽名驗簽服務器應支持備份/恢復功能，包括密鑰的備份恢復和證書等數據的備份/恢復。

    密鑰的備份恢復應通過簽名驗簽服務器使用的密碼設備的管理界面實現。

    數據的備份/恢復包括證書、配置參數等數據的備份/恢復。備份操作產生的備份文件可存儲到簽名驗簽服務器外的存儲介質中，應采取措施保證備份文件的完整性；備份文件可以恢復到簽名驗簽服務器中，同廠家的不同型號的簽名驗簽服務器之間應能夠互相備份恢復。

 

    5.5 數字簽名功能

 

    簽名驗簽服務器必須至少支持SM2算法的數字簽名功能，提供對數據、消息、文件等多種格式的運算方式。

    簽名驗簽服務器可以支持RSA算法的數字簽名功能，其中RSA算法模長至少為2048比特以上。

    當簽名驗簽服務器的公鑰算法為RSA算法時，數據的結構遵循PKCS#1標准或PKCS#7標准。

    當簽名驗簽服務器的公鑰算法為SM2算法時，數據的結構遵循GM/T 0009 《SM2密碼算法使用規范》或GM/T 0010 《SM2密碼算法加密簽名消息語法規范》。

 

    5.6 訪問控制功能

    簽名驗簽服務器的管理界面應具備完善的身份認證機制，通過智能密碼鑰匙、智能IC卡與口令相結合的方式實現管理員身份的認證。管理員登錄成功后，通過管理界面進行初始化、應用管理、證書管理、系統配置以及日志查詢等管理操作。

 

    5.7 日志管理功能

 

    簽名驗簽服務器應提供日志記錄、查看、審計和導出功能，具備相應的配置管理和查看界面。 日志內容分為系統管理日志、異常事件、系統服務日志等，包括登錄認證、系統配置、密鑰管理等操作，以及認證失敗、非法訪問等異常事件的記錄。

 

    5.8 系統自檢功能

 

    簽名驗簽服務器應具備自檢功能，包括自身自檢和密碼設備自檢。簽名驗簽服務器使用的密碼設備應具備狀態和功能自檢功能，能夠進行密碼算法正確性檢查、隨機數發生器檢查、存儲密鑰和數據的完整性檢查等。簽名驗簽服務器的自身自檢包括密碼功能檢測、存儲信息的完整性檢查等。

 

6 簽名驗簽服務器的安全要求

 

    6.1 密碼設備

 

    簽名驗簽服務器必須使用國家密碼管理局審批的密碼設備。調用密碼設備的接口API應遵循GM/T 0018 《密碼設備應用接口規范》。

 

    6.2 系統要求

 

    簽名驗簽服務器所使用的操作系統，除滿足服務器服務管理之外，其余功能應全部關閉或裁減。

 

    6.3 使用要求

 

    簽名驗簽服務器只接受合法的操作指令，簽名驗簽服務器軟件應采用模塊化設計，應通過身份認證等技術措施防止用戶的非法調用。

 

    6.4 管理要求

 

    6.4.1 管理工具

 

    簽名驗簽服務器通過管理工具實現對該簽名驗簽服務器的管理功能。

    管理工具可以安裝簽名驗簽服務器上，也可以安裝在簽名驗簽服務器之外的管理終端上。

 

    6.4.2 管理員管理

 

    簽名驗簽服務器應設置管理員和審計員，管理員和審計員應采用智能密碼鑰匙、智能IC卡等硬件裝置與登錄口令相結合的方式登錄系統，並使用證書進行身份驗證。管理員通過身份認證后，才能進行初始化、系統配置、應用管理、證書管理等操作。審計員通過身份認證后，才能進行日志審計等操作。

 

    6.4.3 設備管理

 

    6.4.3.1設備初始化

 

    簽名驗簽服務器的初始化，除必須由廠商進行的操作外，系統配置、密鑰的生成（恢復）與安裝、生成管理員和審計員等均應由用戶方設備管理人員完成。

 

    6.4.3.2設備自檢

 

    簽名驗簽服務器的自檢包括密碼設備的自檢和自身的自檢，對密碼運算功能、隨機數發生器和存儲的敏感信息進行檢查。在檢查不通過時應報警並停止工作。

 

    6.5 設備物理安全防護

 

    簽名驗簽服務器在工藝設計、硬件配置等方面要采取相應的保護措施，保證設備基本的物理安全防護功能。

 

    6.6 網絡部署要求