商用密碼產品認證細則發(fā)布

 二維碼
發(fā)表時間:2020-07-17 10:00來源:密碼百科

繼2020年5月11日市場監(jiān)管總局與國家密碼管理局發(fā)布《商用密碼產品認證規(guī)則》后。近日,國家密碼管理局商用密碼檢測中心公布了《商用密碼產品目錄》第一批22類產品的認證細則。細則明確了大家比較關心的幾個方面,經過整理分析供大家參考。


產品目錄與認證依據

產品種類

產品描述

認證依據

智能密碼鑰匙

實現密碼運算、密鑰管理功能的終端密碼設備,一般使用USB 接口形態(tài)。

GM/T 0027《智能密碼鑰匙技術規(guī)范》
GM/T 0028《密碼模塊安全技術要求》

智能IC 卡

實現密碼運算和密鑰管理功能的含CPU(中央處理器)的集成電路卡,包括應用于金融等行業(yè)領域的智能IC 卡。

GM/T 0041《智能IC 卡密碼檢測規(guī)范》
GM/T 0028《密碼模塊安全技術要求》

POS 密碼應用系統
ATM 密碼應用系統
多功能密碼應用互聯網終端

為金融終端設備提供密碼服務的密碼應用系統。

GM/T 0028《密碼模塊安全技術要求》
JR/T 0025-2018《中國金融集成電路(IC)卡規(guī)范第7 部分:借記貸記應用安全規(guī)范》

PCI-E/PCI 密碼卡

具有密碼運算功能和自身安全保護功能的PCI 硬件板卡設備。

《PCI 密碼卡技術規(guī)范》
GM/T 0018《密碼設備應用接口規(guī)范》
GM/T 0028《密碼模塊安全技術要求》

IPSec VPN 產品/安全網關

基于IPSec 協議,在通信網絡中構建安全通道的設備。

IPSec VPN 產品:
GM/T 0022《IPSec VPN 技術規(guī)范》
GM/T 0028《密碼模塊安全技術要求》
IPSec VPN 安全網關:
GM/T 0023《IPSec VPN 網關產品規(guī)范》
GM/T 0028《密碼模塊安全技術要求》

SSL VPN 產品/安全網關

基于SSL/TLS 協議,在通信網絡中構建安全通道的設備。

SSL VPN 產品:
GM/T 0024《SSL VPN 技術規(guī)范》
GM/T 0028《密碼模塊安全技術要求》
SSL VPN 安全網關:
GM/T 0025《SSL VPN 網關產品規(guī)范》
GM/T 0028《密碼模塊安全技術要求》

安全認證網關

采用數字證書為應用系統提供用戶管理、身份鑒別、單點登錄、傳輸加密、訪問控制和安全審計服務的設備。

GM/T 0026《安全認證網關產品規(guī)范》
GM/T 0028《密碼模塊安全技術要求》

密碼鍵盤

用于保護PIN 輸入安全并對PIN   進行加密的獨立式密碼模塊。包括POS 主機等設備的外接加密密碼鍵盤和無人值守(自助)終端的加密PIN 鍵盤。

GM/T 0049《密碼鍵盤密碼檢測規(guī)范》
GM/T 0028《密碼模塊安全技術要求》

金融數據密碼機

用于確保金融數據安全,并符合金融磁條卡、IC 卡業(yè)務特點的,主要實現PIN 加密、PIN 轉加密、MAC   產生和校驗、數據加解密、簽名驗證以及密鑰管理等密碼服務功能的密碼設備。

GM/T 0045《金融數據密碼機技術規(guī)范》

GM/T 0028《密碼模塊安全技術要求》

服務器密碼機

能獨立或并行為多個應用實體提供密碼運算、密鑰管理等功能的設備。

GM/T 0030《服務器密碼機技術規(guī)范》
GM/T 0028《密碼模塊安全技術要求》

簽名驗簽服務器

用于服務端的,為應用實體提供基于PKI 體系和數字證書的數字簽名、驗證簽名等運算功能的服務器。

GM/T 0029《簽名驗簽服務器技術規(guī)范》
GM/T 0028《密碼模塊安全技術要求》

時間戳服務器

基于公鑰密碼基礎設施應用技術體系框架內的時間戳服務相關設備。

GM/T 0033《時間戳接口規(guī)范》
GM/T 0028《密碼模塊安全技術要求》

安全門禁系統

采用密碼技術,確定用戶身份和用戶權限的門禁控制系統。

GM/T 0036《采用非接觸卡的門禁系統密碼應用技術指南》

動態(tài)令牌
動態(tài)令牌認證系統

動態(tài)令牌:生成并顯示動態(tài)口令的載體。
動態(tài)令牌認證系統:對動態(tài)口令進行認證,對動態(tài)令牌進行管理的系統。

動態(tài)令牌:
GM/T 0021《動態(tài)口令密碼應用技術規(guī)范》
GM/T 0028《密碼模塊安全技術要求》


動態(tài)令牌認證系統:
GM/T 0021《動態(tài)口令密碼應用技術規(guī)范》

安全電子簽章系統

提供電子印章管理、電子簽章/驗章等功能的密碼應用系統。

GM/T 0031《安全電子簽章密碼技術規(guī)范》

電子文件密碼應

用系統在電子文件創(chuàng)建、修改、授權、閱讀、簽批、蓋章、打印、添加水印、流轉、存檔和銷毀等操作中提供密碼運算、密鑰管理等功能的應用系統。

GM/T 0055《電子文件密碼應用技術規(guī)范》

可信計算密碼支撐平臺

采取密碼技術,為可信計算平臺自身的完整性、身份可信性和數據安全性提供密碼支持。其產品形態(tài)主要表現為可信密碼模塊和可信密碼服務模塊。

GM/T 0011《可信計算密碼支撐平臺功能與接口規(guī)范》
GM/T 0012《可信計算可信密碼模塊接口規(guī)范》
GM/T 0058《可信計算TCM 服務模塊接口規(guī)范》
GM/T 0028《密碼模塊安全技術要求》

證書認證系統
證書認證密鑰管理系統

證書認證系統:對數字證書的簽發(fā)、發(fā)布、更新、撤銷等數字證書全生命周期進行管理的系統。
證書認證密鑰管理系統:對生命周期內的加密證書密鑰對進行全過程管理的系統。

GM/T 0034《基于SM2 密碼算法的證書認證系統密碼及其相關安全技術規(guī)范》

對稱密鑰管理產品

為密碼應用系統生產、分發(fā)和管理對稱密鑰的系統及設備。

GM/T 0051《密碼設備管理對稱密鑰管理技術規(guī)范》

安全芯片

含密碼算法、安全功能,可實現密鑰管理機制的集成電路芯片。

GM/T 0008《安全芯片密碼檢測準則》

電子標簽芯片

采用密碼技術,載有與預期應用相關的電子識別信息,用于射頻識別的芯片。

GM/T 0035.2《射頻識別系統密碼應用技術要求第2 部分:電子標簽芯片密碼應用技術要求》

其他密碼模塊

實現密碼運算、密鑰管理等安全功能的軟件、硬件、固件及其組合,包括軟件密碼模塊、硬件密碼模塊等。

GM/T 0028《密碼模塊安全技術要求》

注:

1.上述產品中的密碼算法應為符合GM/T 0001《祖沖之序列密碼算法》、GM/T 0002《SM4 分組密碼算法》、GM/T 0003《SM2 橢圓曲線公鑰密碼算法》、GM/T 0004《SM3 密碼雜湊算法》、GM/T 0009《SM2 密碼算法使用規(guī)范》、GM/T 0010《SM2 密碼算法加密簽名消息語法規(guī)范》、GM/T0044《SM9 標識密碼算法》等國家密碼管理要求的密碼算法。

2.上述產品的隨機數檢測應遵循GM/T 0005《隨機性檢測規(guī)范》、GM/T 0062《密碼產品隨機數檢測要求》。

3.上述標準如未特別注明年代號,原則上應執(zhí)行其最新版本(包括所有的修改單)。


認證實施

認證的基本環(huán)節(jié)包括認證委托、型式試驗、初始工廠檢查、認證評價與決定、獲證后監(jiān)督。


認證委托

認證委托人應按認證機構要求提交認證委托資料,認證機構于收到委托資料后5 個工作日內完成資料形式化審核并給出審核意見。若認證委托人提交的資料齊全且符合規(guī)定形式,認證機構向認證委托人發(fā)送認證受理通過通知。若認證委托人首次提交的認證委托資料不齊全或不符合規(guī)定形式,認證機構通知認證委托人補正資料;若認證委托人提交的補正資料仍不齊全或不符合規(guī)定形式,認證機構通知認證委托人受理不通過并說明理由。

產品類型

材料清單

通用類

(1)認證委托書

(2)具有獨立法人資格的證明材料

(3)商用密碼產品生產和保證能力自我評估表

(4)技術工作總結報告

(5)安全性設計報告

(6)密碼模塊分級檢測申請材料(認證依據中無GM/T   0028的產品除外)

(7)用戶手冊

(8)生產一致性證明文件

(9)產品實物圖

(10)其他需要的文件

芯片類

(1)認證委托書

(2)具有獨立法人資格的證明材料

(3)商用密碼產品生產和保證能力自我評估表

(4)技術工作總結報告

(5)安全性設計報告

(6)安全芯片分級申請材料

(7)用戶手冊

(8)自測說明

(9)生產一致性證明文件

(10)產品實物圖

(11)其他需要的文件

表:認證委托資料清單

原則上應按產品型號的不同劃分認證單元。同一認證單元內有多個版本的產品時,認證委托人應提交不同版本間的差異說明,必要時還應進行補充差異試驗。


認證機構

商用密碼檢測中心

電話:010-83734008

地址:北京市豐臺區(qū)萬豐路300號一號樓四層


型式試驗

認證委托受理后,認證機構根據認證委托資料制定型式試驗方案,方案包括型式試驗的樣品要求和數量、檢測標準項目、檢測機構信息等。委托方配合檢測機構進行型式試驗。目前有三家機構可以開展型式試驗工作,各家能夠檢測的產品也不一樣,大家可以參考最新的認證委托書。


初始工廠檢查

認證機構進行初始工廠檢查的內容為生產能力、質量保障能力、安全保障能力、服務保障能力,以及產品一致性檢查等。初始工廠檢查的場所范圍原則上覆蓋產品的設計研發(fā)環(huán)境和生產加工環(huán)境。企業(yè)可以參考GM/T 0065《商用密碼產品生產和保障能力建設規(guī)范》和GM/T 0066《商用密碼產品生產和保障能力建設實施指南》等標準規(guī)范自查自審,以便快速通過此環(huán)節(jié)。需要注意的是認證機構可對獲證產品生產企業(yè)的擴項產品認證委托減免初始工廠檢查環(huán)節(jié),委托方可向檢測中心咨詢。

                                             

認證評價與決定

做完型式試驗和初始工廠審查后,認證機構對型式試驗、初始工廠檢查結論和相關資料信息進行綜合評價,作出認證決定。對符合認證要求的,頒發(fā)認證證書并允許使用認證標志;對暫不符合認證要求的,可要求認證委托人限期(通常情況下不超過 3 個月)整改,整改后仍不符合的則書面通知認證委托人終止認證。

                                               

獲證后監(jiān)督

獲取證書后,為保證產品持續(xù)符合標準要求,在認證有效期內,認證機構將持續(xù)進行獲證后監(jiān)督,監(jiān)督頻次一般為一年一次,認證機構可能根據實際情況調整監(jiān)督頻次。獲證后監(jiān)督可能采用工廠檢查或文件審查的方式,必要時可在生產現場或市場抽樣,對產品進行檢測。在證書有效期內,認證機構會至少開展一次工廠檢查。認證機構可能采取事先不通知的方式對獲證方實施監(jiān)督


認證時限

認證時限是指自委托被正式受理之日起至頒發(fā)認證證書時止所實際發(fā)生的工作日,整改時間不計算在內。因委托人未及時提交材料、未能及時遞送樣品、不能按計劃接受工廠檢查、未及時繳納費用等原因導致認證時間的延長時,不計算在內。不同類型的產品,不同的安全等級所需要的時間也不一樣,下面的表供各位參考。


認證時限(工作日)

產品類型

級別

認證委托、初始工廠檢查、認證評價與決定

型式

試驗

智能密碼鑰匙、智能IC卡、POS密碼應用系統、ATM密碼應用系統、多功能密碼應用互聯網終端、PCI-E/PCI密碼卡、IPSec VPN產品/安全網關、SSL VPN產品/安全網關、安全認證網關、密碼鍵盤、金融數據密碼機、服務器密碼機、簽名驗簽服務器、時間戳服務器、動態(tài)令牌、可信計算密碼支撐平臺

一級

30

30

二級

30

40

三級

40

80

四級

40

120

安全芯片

一級

30

60

二級

30

90

三級

40

140

電子標簽芯片

Ⅰ類

30

30

Ⅱ類

30

60

其他密碼模塊

一級

30

60

二級

30

90

三級

40

120

四級

40

150

動態(tài)令牌認證系統、安全電子簽章系統、電子文件密碼應用系統、證書認證系統、證書認證密鑰管理系統、對稱密鑰管理產品


30

60

表:各類產品認證時限參考表


認證證書

認證證書有效期為5年,并通過認證機構的獲證后監(jiān)督保持效力。證書到期需延續(xù)使用的,認證委托人應在有效期屆滿前6個月內提出認證委托。認證機構采用獲證后監(jiān)督的方式對符合認證要求的委托換發(fā)新證書。如獲證后的產品或其生產者(制造商)、生產企業(yè)等發(fā)生變化時,認證委托人應向認證機構提出變更委托。認證機構會根據變更的內容,對委托資料進行審核,確定是否可以批準變更。如需樣品檢測和/或工廠檢查,應在檢測和/或檢查合格后方能批準。變更后,證書有效期與原證書一致。

認證委托人需要增加已經獲得的認證證書覆蓋的產品范圍時,應向認證機構提出擴展委托,并提供擴展產品和獲證產品之間的差異說明。認證機構可能采用委托資料審核、補充差異試驗和/或工廠檢查的方式核查原認證結果對擴展產品的有效性。核查通過的,由認證機構換發(fā)新證書,證書有效期與原證書一致。

認證證書可以展示在文件、網站、通過認證的工作場所、銷售場所、廣告和宣傳資料或廣告宣傳等商業(yè)活動中,但不得利用認證證書和相關文字、符號,誤導公眾認為認證證書覆蓋范圍外的產品、服務、管理體系獲得認證。宣傳認證結果時不得損害認證機構的聲譽。


收費標準

認證委托方分別向認證機構和檢測機構支付認證費和檢測費。認證費用包含申請費、審核費、審定與注冊費(含證書費)、監(jiān)督審核費和年金五項收費項目,具體收費標準以認證業(yè)務網站公示為準。檢測收費標準向各檢測機構咨詢


費用

名稱

金額

備注

申請費

500元/認證單元

認證機構在受理商用密碼產品認證申請時向申請單位收取申請費。商用密碼產品認證申請費收費標準為每個認證單元500元。

審核費

2500元/人–日

認證機構按照認證產品的工廠檢查要求,對申請單位進行工廠檢查時向申請認證單位收取審核費。商用密碼產品認證審核費標準為每個檢查員每個工作日2500元。

審定與注冊費

(含證書費)

800元/認證單元

認證機構在對符合認證要求的產品進行評定并頒發(fā)商用密碼產品認證證書時,向申請認證單位收取審定與注冊費。商用密碼產品審定與注冊費(含證書費)收費標準為每個認證單元800元。

監(jiān)督審核費

2500元/人–日

認證機構在對獲得認證證書的企業(yè)進行監(jiān)督審核時收取監(jiān)督審核費。商用密碼產品監(jiān)督審核費收費標準為每個檢查員每個工作日2500元。

年金(含標志使用費)

100元/證書

為保證產品質量、保持證書有效,對同一申請單位獲得的商用密碼產品認證證書收取年金。商用密碼產品認證年金統一按每個認證證書每年100元。


表:認證費