GMT0030-服务器密码机技术规范
GMT0030-服务器密码机技术规范,用于服务器密码机的开发与使用,国家统一标准规范。GM/T0030—20149.5环境适应性检测………119.6其他检测…………………………………………………………………………………1110合格判定……………………………………………………………………………11GM/T0030-2014前言本标准按照GB/T1.1—2009给出的规则起草请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由密码行业标准化技术委员会提出并归口。本标准起草单位:山东得安信息技术有限公司、成都卫士通信息产业股份公司、无锡江南信息安全工程技术中心、兴唐通信科技有限公司、上海格尔软件股份有限公司海泰方圆科技有限公司。本标准主要起草人:刘平、孔凡玉、李元正、徐强、李玉峰、谭武征、柳增寿GM/T0030-2014服务器密码机技术规范1范围本标准定义了服务器密码机的相关术语,规定了服务器密码机功能要求、硬件要求、软件要求、安全性要求和检测要求等有关内容。本标准适用于服务器密码机的研制、使用,也可用于指导服务器密码机的检测2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件GB/T9813微型计算机通用规范GM/T005随机性检测规范GM/T0018密码设备应用接口规范3术语和定义下列术语和定义适用于本文件服务器密码机 cryptographic server又称主机加密服务器,能独立或并行为多个应用实体提供密码服务和密钥管理的设备3.2对称密码算法 symmetric cryptographic algorithm加密和解密使用相同密钥的密码算法3.3非对称密码算法/公钥密码算法asymmetric cryptographic algorithm/public keycrytographic algorwth加密和解密使用不同密钥的密码算法。其中一个密钥(公钥)可以公开,另一个密钥(私钥)必须保密,且由公钥求解私钥是计算不可行的3.4密码杂凑算法cryptographic hash algorithm又称杂凑算法、密码散列算法或哈希算法。该算法将一个任意长的比特串映射到一个固定长的比特串,且满足下列三个特性:(1)为一个给定的输出找出能映射到该输出的一个输入是计算上困难的(2)为一个给定的输入找出能映射到同一个输出的另一个输入是计算上困难的;(3)要发现不同的输入映射到同一输出是计算上困难的。3.5公钥/私钥 public key/ private key非对称密码算法中可以公开的密钥称为公钥。非对称密码算法中只能由拥有者使用的不公开密钥GM/T0030-2014称为私钥。3.6加密/解密 encipherment/ encryption/ decipherment,/ decryption加密是对数据进行密码变换以产生密文的过程解密是加密过程对应的逆过程3.7数字签名/验证 digital signature/ verification签名者使用私钥对待签名数据的杂凑值做密码运算得到的结果,该结果只能用签名者的公钥进行验证,用于确认待签名数据的完整性、签名者身份的真实性和签名行为的抗抵赖性。验证是验证者使用签名者的公开密钥对数字签名进行验证的过程。3.8管理密钥 manager key用于保护服务器密码机中密钥和敏感信息安全的对称密钥3.9设备密钥 device key用于表明设备身份、对设备进行管理的非对称密钥对3.10用户密钥 user key存储在设备内部的用于应用密码运算的非对称密钥对,包含签名密钥对和加密密钥对3.11密钥加客密钥 key encryption key;KEK用于对密钥进行加密或解密的密钥。3.12会话密钥 session key在一次会话中使用的数据加密密钥。3.13私钥访问控制码 private key access passwor用于验证私钥使用权限的口令字3.14SM2算法SM2 algorithm一种椭圆曲线公钥密码算法,其密钥长度为256比特3.15SM3算法SM3 algorithm种密码杂凑算法,其输出为256比特3.16SM4算法SM4 algorithm一种分组密码算法,分组长度为128比特,密钥长度为128比特4缩略语下列缩略语适用于本文件。API:应用程序接口( Application Program Interface)CBC:(分组密码的)密码分组链接(工作方式)( Cipher Block Chaining)GM/T0030-—2014CFB:(分组密码的)密码反馈(工作方式)( Cipher Feedback)ECB:(分组密码的)电码本(工作方式)( Electronic codebook)OFB:(分组密码的)输出反馈(工作方式)( Output Feedback)5服务器密码机的功能要求5.1初始化服务器密码机的初始化主要包括密钥的生成(恢复)与安装生成管理员,按照安全机制对密钥进行安全存储和备份,使设备处于正常工作状态5.2密码运算服务器密码机应具有对称密码运算、公钥密码运算以及杂凑运算等密码运算功能,并且支持多任务并发访问。5.2.1对称密码算法服务器密码机必须至少支持SM4分组密码算法,包括电子密本(ECB)和密码分组链接(CBC)两种模式5.22公钥密码算法服务器密码机必须至少支持SM2公钥密码算法5.2.3密码杂凑算法服务器密码机必须至少支持SM3密码杂凑算法。5.3密钥管理5.3.1密钥管理功能服务器密码机应具有对所有密钥的产生、安装、存储、使用、销毁以及备份和恢复等功能。5.3.2密钥结构服务器密码机必须至少支持三层密钥结构:管理密钥、用户密钥/设备密钥/密钥加密密钥、会话密钥。如图1所示管理密钥用户密钥/设备密钥/密钥加密密钥等会话密钥图1密钥结构GM/T0030—2014管理密钥:用于保护服务器密码机中其他密钥和敏感信息的安全,包括对其他密钥的管理、备份、恢复等。不同服务器密码机的管理密钥互不相同。管理密钥必须安全存储。用广密钥:包括签名密钥对和加密密钥对,用于实现用户签名、验证、身份鉴别以及会话密钥的保护和协商等,代表用户或应用者的身份设备密钥:是服务器密码机的身份密钥,包括签名密钥对和加密密钥对,用于设备管理,代表服务器密码机的身份。密钥加密密钥:是定期更换的对称密钥,用于在预分配密钥情况下,对会话密钥的保护。服务器密码机可选择支持密钥加密密钥。会话密钥:用于数据加解密53.3密钥产生及安装管理密钥:由设备初始化时使用的管理工具生成或者安装,存储在服务器密码机内部的安全存储区域用户密钥:用户密钥分为签名密钥和加密密钥,答名密钥由服务器密码机生成或安装,必须支持使用物理噪声源芯片生成,必须支持使用强素数;加密密钥由密钥管理系统下发到设备中,加密密钥下发的格式遵循GM/T0018中对加密密钥的保护格式的规定,根据系统需要必须支持一定数量用户密钥对的存储区域;用户密钥对的私有密钥必须支持硬件内部安全存储,宜支持私钥访问控制码的安全访问控制。设备密钥:设备密钥分为签名密钥和加密密钥,签名密钥在设备初始化时使用管理工具生成或者安装,加密密钥由密钥管理系统下发到设备中,设备密钥存储服务器密码机内部的安全存储区域。密钥加密密钥:由密码设备管理工具生成或者安装,必须支持物理噪声源芯片生成;根据系统需要必须支持一定数量密钥加密密钥的存储区域;该密钥必须支持服务器密码机内部安全存储。会话密钥:必须支持使用物理噪声源芯片生成,以确保会话密钥的质量;必须支持一次会话更换次会话密钥;不得以明文方式导出服务器密码机;在会话密钥长期存储时,必须支持用户密钥对或者密钥加密密钥加密存储等安全保护措施。5.34密钥使用对称密钥:根据对称密钥索引号或其他密钥唯一标识,可使用内部对称密钥做运算,同时需满足对服务器密码机的运算操作权限。非对称密钥:根据非对称密钥索引号或其他密钥唯一标识,可使用内部对称密钥做运算,同时需满足对服务器密码机的运算操作权限;服务器密码机可配置是否使用私钥访问控制权限的机制,若使用私钥访问控制权限机制,在涉及签名和解密等使用内部私钥运算的操作时,应先验证该私钥的权限码是否正确。5.3.5密钥安全存储及销毁服务器密码机必须能够至少保存32对非对称密钥和100个对称密钥。服务器密码机中长期保存的密钥必须安全存储,可采用两种方式:一为采用加密存储,用于加密存储的密钥应由安全机制保证其安全,并提供对指定密钥的销毁功能;二可采用微电保护存储,应设计销毁密钥的触发装置。当触发装置被触发时,销毁微电保护所存储的所有密钥。采用微电保护的密钥可以不加密。536备份/恢复对长期保存的密钥,服务器密码机应具备备份/恢复功能。备份操作产生的备份文件必须以密文形GM/T0030—2014式存储到服务器密码机外的存储介质中,加密备份文件的密钥应有安全机制保证其安全。备份出的密钥可以恢复到服务器密码机中,同厂家的同型号的服务器密码机之间应能够互相备份恢复。密钥恢复操作只能在服务器密码机中进行。54随机数生成和检验服务器密码机应具备随机数生成功能。服务器密码机应能对生成的随机数进行随机性检验。随机数检验应符合GM/T0005的要求。5.5访问控制服务器密码机应具备管理界面,设置管理人员并赋予操作权限,通过管理界面进行密钥产生、安装备份和恢复以及日志査询等管理操作管理人员进入管理界面应进行身份鉴别。不同的管理操作应有不同的操作权限5.6设备管理服务器密码机宜具有接受管理中心的管理功能,设备管理功能的实现按照国家密码管理主管部门的要求进行。5.7日志审计服务器密码机应提供日志记录、查看和导出功能。日志内容包括:a)管理员操作行为,包括登录认证、系统配置、密钥管理等操作;b)异常事件,包括认证失败、非法访问等异常事件的记录;c)如与设备管理中心连接,则对相应操作进行记录5.8设备自检服务器密码机应具有上电时自检和接收自检指令时自检的功能设备自检功能应包括密码算法正确性检查、随机数发生器检査、存储密钥和数据的完整性检査等6服务器密码机的硬件要求6.1对外接口服务器密码机应分别提供服务接口和管理接口。支持目前主流服务器对外的RJ-45以太网接口、串口、光纤通道、USB等硬件接口协议,可以通过TCP/IP网络(100M/100M/10G)、USB或者其他接口形式与服务器和管理设备连接。6.2随机数发生器服务器密码机的随机数发生器应釆用国家密码管理主管部门批准的物理噪声源芯片,应提供多路随机源,至少采用两个独立的物理噪声源芯片实现随机数发生器应支持出厂检测、上电检测、使用检测三种检测方式a)出厂检测检测量:采集50×106比特随机数,分成50组,每组106比特;检测项目:依据GM/T0005进行检测;GM/T0030-2014检测通过标准:检测中如果有一项不通过检测标准,则告警检测不合格。允许重复1次随机数采集与检测,如果重复检测仍不合格,则判定为产品的随机数发生器失效。b)上电检测:检测量:采集20×10°比特随机数,分成20组,每组10°比特;检测项目:依据GM/T0005进行检测;检测通过标准:检测中如果有一项不通过检测标准,则告警检测不合格。允许重复1次随机数采集与检测,如果重复检测仍不合格,则判定为产品的随机数发生器失效c)使用检测:1)周期检测:检测量:釆集4×105比特随机数,分成20组,每组20000比特。检测项目:对采集随机数按照GM/T0005中除离散傅立叶检测、线性复杂度检测、通用统计检测外的12项项目检测。检测通过标准:检测中如果有一项不通过检测标准,则告警检测不合格。允许重复1次随机数采集与检测,如果重复检测仍不合格,则判定为产品的随机数发生器失效。·检测周期:可配置,检测间隔最长不超过12h。2)单次检测:检测量:根据实际应用时每次所采随机数大小确定,但长度不应小于128比特,且已通过检测的未用序列可继续用。检测项目:扑克检测。当样本长度小于320比特时,参数m=2检测通过标准:检测中如果不通过检测标准,则告警检测不合格。允许重复1次随机数采集与检测,如果重复检测仍不合格,则判定为产品的随机数发生器失效。6.3环境适应性服务器密码机的工作环境应根据实际需要遵循GB/T9813中关于“气候环境适应性”的规定要求。6.4可靠性服务器密码机的平均无故障工作时间应不低于10000h。7服务器密码机的软件要求7.1基本要求服务器密码机底层软件应采用模块化设计,应通过技术措施防止用户的非法调用。7.2应用编程接口服务器密码机的应用编程接口必须遵循GM/T0018。7.3管理工具服务器密码机应通过管理界面实现对该服务器密码机的管理功能管理工具可以安装服务器密码机上,也可以安装在服务器密码机之外的管理终端上。除管理工具对密码机进行管理,还可通过外部管理中心管理。
- 2020-12-09下载
- 积分:1
IP5209IP5109IP5207IP5108寄存器手册.pdf
英集芯移动电源芯片的IIC寄存器手册,不是数据手册。支持IP5209/IP5109/IP5207/IP5108等芯片,有详细的寄存器地址说明。英集匙利技INJOINIC TECHNOLOGYP5209/P5109/P5207/P51086、12C通讯波形介绍SDANOURMSBAcknowleAcknowledgementSignal From ReceiverSignal From Receiver8Condition(S)RW ACKACK Condition(Py1 2c master写的时候,先传8bit数据,第9个bit读save返回的ack,ack为低代表写入成功,为高代表写入不成功。l2 c master读的时候,最后一个byte传输是 slave返叵数据, master返回nack(高电平),代表读结束:如果 master返回的是ack(低电平),则说明读没有结束, master会继续读所以第九个bit的ack信号要看 master端是读操作还是写操作:因为IP5209/P5109/P5108/P5207只能做save如果往1P5209/P5109/P5108/P5207寄存器写入数据,P5209/P5109/P5108/P5207返回ack为低电平;如果从P5209/P5109/P5108/P5207读取数据,IP5209/|5109/P5108/P5207返回nack高电平),( master必须发NACK,否则会有异常)代表读结束(英集匙利技INJOINIC TECHNOLOGYP5209/P5109/P5207/P51083、寄存器功能描述标示为“ Reserved”的寄存器位有特殊控制作用,不可改变原有的值,否则会出现无法预期的结果。对寄存器的操作必须按照“读-→>修改-->写”来进行,只修改要用到的bit,不能修改其他未用bit的值。1.1 SYS CTLOOffset= Ox01Bit(s)NameDescriptionR/WReset7:5Reserved手电筒检测是否使能RW1. enableO: disableLight enableRW0: disable1 enableBoost enableRW1O: disable1: enableCharger enableRWO disable1: enable0Reserved1.2 SYS CTL1Offset=0x02Bit(sNameDescriptionResetReserved轻载关机使能(0c可设定轻载关机阙|R/W值1:使能| BATLOW轻载关机功能0:关闭 BATLOW轻载关机功能负载插入自动开机R/W1:使能0:关闭英集匙利技INJOINIC TECHNOLOGYP5209/P5109/P5207/P51081.3 SYS CTL2Offset =0x0cBit(s)NameDescriptionR/WReset7:3轻载关机电流阈值设定RW00100n * 12mA当BAT电流小于设定阈值时,持续325米机注意:此电流设定阈值需要大于100mA2:0Reserved1. 4 SYS CTL3Offset=0x03it (s)NameDescriptionR/WReset7:6长按按键时间选择010:1S01:2s10:3S11:4S1:连续两次短按(两次短按在15内)R1关札功能使能O:连续两次短按(两次短按在15内)关机功能关闭4:0Reserved1.5 SYS CTL4Offset =0x04Bit(s)NameDescriptionR/WReset7:6关机时间设定R/W11:64s10:3201:16s00:8sV|N拔出是否开启 BOOST11:开启0:不开启4:0Reserved(i)英集匙利技INJOINIC TECHNOLOGYP5209/P5109/P5207/P51081.6 SYS CTLSOffset = 0x07Bit(s)NameDescriptionR/WResetReservedNNTC功能使能R/W:使能1:关闭ReservedR/W按键开关WLED于电筒方式选择:0:长按251:短按两次按键0按键关机方式选择:R/W0:短按两次按键1:长按251.7 Charger_ CTIOffset=0x22Bit(s)NameDescriptionR/WReset7:5Reserved3:2充电欠压环设定(充电时输出端voUT的R/电压)11:4.83V10:4.73V01:4.63V00:4.53V注:在充电的时候C会检测输出voUT的电压来自动调整充电电流,当VOUT的电压大于改置值时就以最大电流对充电充电,小于设定值时就自动减小充电电流以维持此电压;如果客户要求边充边放状态下可在输出端加采样电阻检测边充边放状态输出端的负载电流大于100mA时可把欠压环设置为最高,优先对外部负载充电1:0Reserved英集匙利技INJOINIC TECHNOLOGYP5209/P5109/P5207/P51081.8 Charger CTL2Offset=0x24Bit(s)NameDescriptionR/WResetReserved6:5BAT电池类型选择R/W0011: RESERVED10:4.35V电池01:43V电池00:4.2V电池4:3RESERVED2:1恒压充电电压加压设置1011:加压4210:加压28mV1:加压1400:不加压注:4.30V/4.35V建议加压14mV;4.2V建议加压28mV;如果客户需要支持44V的电芯,可以在435V电池的基础上选择加压48mV,充饱由MCU检测到电池电压大于44V,电流小于200MA才认为是电芯充饱了Reserved1.9 CHG DIG cTL4Offset = 0x26Bit(s)NameDescriptionR/WResetReserved电池类型内部寄存器设定还是外部setP|设定|RW选择1:外部 VSET PIN设置内部寄存器设置如果是该bit为0,可通过0x24寄存器的bit6:5来设定电池类型5:0Reserved英集匙利技INJOINIC TECHNOLOGYP5209/P5109/P5207/P51081.10 CHG DIG CTL4Offset=0x25Bit(s)NameDescriptionR/WReset7:5Reserved充电电流设置(设置为电氾端电流)R/W10111lbat=b0*0.1+b1*0.2+b2*0.4+b3*08+b4*1.6A注:默认值为1011123A左右1.11 MEP CTLOOffset = 0x51it (s)NameDescriptionR/WReset7:6Reserved5: 4 LIGHT selLGHT功能选择R/W0000: WLED01: GP10210: VREF11: Reserved3: 2 L4_selL4的功能选择R/W00:L401:GP|o110: Reserved11: Reserved1:0L3_seL3的功能选择R/W01: GPIO010: Reserved11: Reserved1.12 MFP CTL1Offset=0x52sit(s)NameDescriptionR/WReset7:4ReservedR/W3: 2 VSET selVSET功能选择W0000:电池电压选择PN)英集应利P5209/P5109/P5207/P510801: GP10410: Reserved11: Reserved1: 0 RSET seRS氏T功能选择R/W0000:电池内阻选择PN01:GP|O310: Reserved11: Reserved1.13 GPIO CTL2Offset =0x53 default oxoBit(sNameDescriptionR/WReset7:5Reserved4:0 GPIO_ INEN GPIO[4: 0]input enableRW00: Disable1: Enable1.14 GP0 CTL2Offset= Ox54 default oxoBits)NameDescriptionR/WReset7:5Reserved4: 0 GPIO_OUTEN GPIO[4: ]output enableRW00: Disable1: Enable在丌启 Output之前,需要先将data配好1.15 GPO CTL3Offset =0x55Bit(s)NameDescriptionR/w Reset7:5Reserved4:0 GPIO DATGPIO[4: 0]DATAR/W0(i)英集匙利技INJOINIC TECHNOLOGYP5209/P5109/P5207/P51082.1 BATVADC DATOOffset =Oxa2Bit(s)NameDescriptionR/WReset7:0 BATVADO7:| BATVADC数据的低8bitRO2.2 BATVADC DAT1Offset Oxa3Bit(s)NameDescriptionR/VReset7:6Reserved5:0 BATVADC[13: BATVADC数据的高6btR8]VBAT=BATVADC*0. 26855mv+2.6VBATVADC VALUE low =l2C Read Byte( 12C SLAVE ADDR, Oxa2);//low 8bitBATVADC VALUE high=12c Read Byte(I2C SLAVE ADDR, Oxa3); //high 6bitf( BATVADC VALUE high&0x20)=0x20)//补码BATVOL[=2600-("BATVADC VALUE low +((BATVADC vaLUe high & 0x1F)*256+1)*0.26855else//原码BATVOL[]=2600+(BATVADC VALUE low+BATVADC_ VALUE high *256)*0.26855; //mv 24i
- 2020-12-11下载
- 积分:1
|
联系客服(QQ:3324461878)
