产品验厂认证 当前您的位置:智汇源顾问>>产品验厂认证
商用密码管理认证标准

 

 

商用密码产品认证目录
 

序号 产品种类 产品描述 认证依据
1 智能密码钥匙 实现密码运算、密钥管理功能的终端密码设备,一般使用 USB 接口形态。 GM/T 0027《智能密码钥匙技术规范》 GM/T 0028《密码模块安全技术要求》


智能 IC 卡 实现密码运算和密钥管理功能的含 CPU(中央处理器)的集成电路卡,包括应用于金融等行业领域的智能 IC 卡。 GM/T 0041《智能 IC 卡密码检测规范》
GM/T 0028《密码模块安全技术要求》

3 POS 密码应用系统
ATM 密码应用系统多功能密码应用互联网终端 
为金融终端设备提供密码服务的密码应用系统。 GM/T 0028《密码模块安全技术要求》
JR/T 0025-2018《中国金融集成电路(IC)卡规范第 7 部分:借记贷记应用安全规范》


PCI-E/PCI 密码卡 具有密码运算功能和自身安全保护功能的PCI 硬件板卡设备。 《PCI 密码卡技术规范》
GM/T 0018《密码设备应用接口规范》 GM/T 0028《密码模块安全技术要求》



IPSec  VPN 产品/
安全网关 

基于 IPSec 协议,在通信网络中构建安全通道的设备。 IPSec VPN 产品:
GM/T 0022《IPSec VPN 技术规范》 GM/T 0028《密码模块安全技术要求》
   IPSec VPN 安全网关:
GM/T 0023《IPSec VPN 网关产品规范》
GM/T 0028《密码模块安全技术要求》
 

 


序号 产品种类 产品描述 认证依据

 

SSL VPN 产品/ 安全网关 

基于 SSL/TLS 协议,在通信网络中构建安全通道的设备。 SSL VPN 产品:
GM/T 0024《SSL VPN 技术规范》
GM/T 0028《密码模块安全技术要求》
   SSL VPN 安全网关:
GM/T 0025《SSL VPN 网关产品规范》
GM/T 0028《密码模块安全技术要求》


安全认证网关 采用数字证书为应用系统提供用户管理、身份鉴别、单点登录、传输加密、访问控制和安全审计服
务的设备。 GM/T 0026《安全认证网关产品规范》 GM/T 0028《密码模块安全技术要求》


密码键盘 用于保护PIN 输入安全并对PIN 进行加密的独立式密码模块。包括 POS 主机等设备的外接加密密码键盘和无人值守(自助)终端的加密 PIN 键盘。 GM/T 0049《密码键盘密码检测规范》 GM/T 0028《密码模块安全技术要求》


金融数据密码机 用于确保金融数据安全,并符合金融磁条卡、IC 卡
业务特点的,主要实现 PIN 加密、PIN 转加密、
MAC 产生和校验、数据加解密、签名验证以及密钥管理等密码服务功能的密码设备。 
GM/T 0045《金融数据密码机技术规范》 GM/T 0028《密码模块安全技术要求》
10 服务器密码机 能独立或并行为多个应用实体提供密码运算、密钥管理等功能的设备。 GM/T 0030《服务器密码机技术规范》 GM/T 0028《密码模块安全技术要求》

11 
签名验签服务器 用于服务端的,为应用实体提供基于 PKI 体系和数字证书的数字签名、验证签名等运算功能的服务器。 GM/T 0029《签名验签服务器技术规范》 GM/T 0028《密码模块安全技术要求》
12 时间戳服务器 基于公钥密码基础设施应用技术体系框架内的时间戳服务相关设备。 GM/T 0033《时间戳接口规范》
GM/T 0028《密码模块安全技术要求》
 

 


序号 产品种类 产品描述 认证依据
13 安全门禁系统 采用密码技术,确定用户身份和用户权限的门禁控制系统。 GM/T 0036《采用非接触卡的门禁系统密码应用技术指南》


14 
动态令牌
动态令牌认证系统 
动态令牌:生成并显示动态口令的载体。
动态令牌认证系统:对动态口令进行认证,对动态令牌进行管理的系统。 动态令牌:
GM/T 0021《动态口令密码应用技术规范》 GM/T 0028《密码模块安全技术要求》
   动态令牌认证系统:
GM/T 0021《动态口令密码应用技术规范》
15 安全电子签章系统 提供电子印章管理、电子签章/验章等功能的密码应用系统。 GM/T 0031《安全电子签章密码技术规范》

16 电子文件密码应用系统 在电子文件创建、修改、授权、阅读、签批、盖章、
打印、添加水印、流转、存档和销毁等操作中提供密码运算、密钥管理等功能的应用系统。 
GM/T 0055《电子文件密码应用技术规范》


17 
可信计算密码支撑平台 
采取密码技术,为可信计算平台自身的完整性、身份可信性和数据安全性提供密码支持。其产品形态主要表现为可信密码模块和可信密码服务模块。 GM/T 0011《可信计算 密码支撑平台功能与接口规范》
GM/T 0012《可信计算 可信密码模块接口规范》
GM/T 0058《可信计算 TCM 服务模块接口规范》
GM/T 0028《密码模块安全技术要求》

18 证书认证系统
证书认证密钥管理系统 证书认证系统:对数字证书的签发、发布、更新、
撤销等数字证书全生命周期进行管理的系统。
证书认证密钥管理系统:对生命周期内的加密证书密钥对进行全过程管理的系统。 
GM/T 0034《基于 SM2 密码算法的证书认证系统密码及其相关安全技术规范》
19 对称密钥管理产品 为密码应用系统生产、分发和管理对称密钥的系统及设备。 GM/T 0051《密码设备管理 对称密钥管理技术规范》
 

 


序号 产品种类 产品描述 认证依据
20 安全芯片 含密码算法、安全功能,可实现密钥管理机制的集成电路芯片。 GM/T 0008《安全芯片密码检测准则》
21 电子标签芯片 采用密码技术,载有与预期应用相关的电子识别信息,用于射频识别的芯片。 GM/T 0035.2《射频识别系统密码应用技术要求第 2 部分:电子标签芯片密码应用技术要求》

22 
其他密码模块 实现密码运算、密钥管理等安全功能的软件、硬件、
固件及其组合,包括软件密码模块、硬件密码模块等。 
GM/T 0028《密码模块安全技术要求》
注:1.上述产品中的密码算法应为符合 GM/T 0001《祖冲之序列密码算法》、GM/T 0002《SM4 分组密码算法》、GM/T 0003《SM2 椭圆曲线公钥密码
算法》、GM/T 0004《SM3 密码杂凑算法》、GM/T 0009《SM2 密码算法使用规范》、GM/T 0010《SM2 密码算法加密签名消息语法规范》、GM/T
0044《SM9 标识密码算法》等国家密码管理要求的密码算法。
2.上述产品的随机数检测应遵循 GM/T 0005《随机性检测规范》、GM/T 0062《密码产品随机数检测要求》。
3.上述标准如未特别注明年代号,原则上应执行其最新版本(包括所有的修改单)。
 

 

商用密码产品认证规则
 

目录
1 适用范围 1
2 认证模式 1
3 认证单元划分 1
4 认证实施程序 1
4.1 认证委托 1
4.2 型式试验 1
4.3 初始工厂检查 2
4.4 认证评价与决定 2
4.5 获证后监督 2
4.6 认证时限 3
5 认证证书 3
5.1 认证证书的保持 3
5.2 认证证书覆盖产品的变更 3
5.3 认证证书覆盖产品的扩展 3
5.4 认证证书的暂停、注销和撤销 4
5.5 认证证书的使用 4
6 认证标志 4
7 认证实施细则 4
8 认证责任 5
附件 商用密码产品认证标志管理要求 6
 
1 适用范围
本规则依据《中华人民共和国密码法》《中华人民共和国认证认可条例》制定,规定了市场监管总局和国家密码管理局发布的《商用密码产品认证目录》中的产品,实施商用密码产品认证的基本原则和要求。

2 认证模式
商用密码产品认证模式为:
型式试验+初始工厂检查+获证后监督
认证机构可对获证产品生产企业的扩项产品认证委托,减免初始工厂检查环节。

3 认证单元划分
原则上应按产品型号的不同划分认证单元。同一认证单元内有多个版本的产品时,认证委托人应提交不同版本间的差异说明,必要时还应进行补充差异试验。

4 认证实施程序
4.1 认证委托
认证机构应明确认证委托资料要求,包括产品技术文档,生产能力、质量保障能力、安全保障能力说明等。
认证委托人应按认证机构要求提交认证委托资料,认证机构在对认证委托资料审核后及时反馈是否受理的信息。
4.2 型式试验
 
认证机构应根据认证委托资料制定型式试验方案,包括型式试验的样品要求和数量、检测标准项目、检测机构信息等,并通知认证委托人。
认证委托人应按型式试验方案提供样品至检测机构,并保证样品与实际生产产品一致;必要时,认证机构也可采用生产现场抽样的方式获得样品。认证委托人可在认证结束后取回型式试验样品。
检测机构应对型式试验全过程作出完整记录,并妥善管理、保存、保密相关资料,确保在认证有效期内检测结果可追溯。型式试验结束后,及时向认证机构和认证委托人出具型式试验报告。
4.3 初始工厂检查
认证机构应根据产品认证通用要求,结合 GM/T 0065《商用密码产品生产和保障能力建设规范》、GM/T 0066《商用密码产品生产和保障能力建设实施指南》等标准对认证委托产品的生产企业实施初始工厂检查,检查内容包括其生产能力、质量保障能力、安全保障能力和产品一致性控制能力等。
4.4 认证评价与决定
认证机构对型式试验、初始工厂检查结论和相关资料信息进行综合评价,作出认证决定。对符合认证要求的,颁发认证证书并允许使用认证标志;对暂不符合认证要求的,可要求认证委托人限期整改,整改后仍不符合的则书面通知认证委托人终止认证。
4.5 获证后监督
认证机构应对认证有效期内的获证产品和生产企业进行持续监督。获证后监督可不预先通知生产企业,一般采用工厂检查的方式实施,必要时可在生产现场或市场抽样检测。
 
认证机构对获证后监督结论和相关资料信息进行综合评价,评价通过的,可继续保持认证证书、使用认证标志;不通过的,认证机构应当根据相应情形做出暂停或者撤销认证证书的处理。
4.6 认证时限
认证机构应对认证各环节的时限做出明确规定,并确保相关工作按时限要求完成。认证委托人须对认证活动予以积极配合。

5 认证证书
5.1 认证证书的保持
认证证书有效期为 5 年,并通过认证机构的获证后监督保持效
力。证书到期需延续使用的,认证委托人应在有效期届满前 6 个月内提出认证委托。认证机构应采用获证后监督的方式对符合认证要求的委托换发新证书。
5.2 认证证书覆盖产品的变更
获证后的产品或其生产者、生产企业等发生变化时,认证委托人应向认证机构提出变更委托。
认证机构根据变更的内容,对委托资料进行审核,确定是否可以批准变更。如需样品检测和/或工厂检查,应在检测和/或检查合格后方能批准。
5.3 认证证书覆盖产品的扩展
认证委托人需要增加已经获得的认证证书覆盖的产品范围时,应向认证机构提出扩展委托,并提供扩展产品和获证产品之间的差异说明。
认证机构可采用委托资料审核、补充差异试验和/或工厂检查的
 
方式核查原认证结果对扩展产品的有效性。核查通过的,由认证机构换发新证书。
5.4 认证证书的暂停、注销和撤销
认证证书的暂停、注销和撤销依据有关规定执行。认证机构应采用适当方式对外公布被暂停、注销和撤销的产品认证证书。
5.5 认证证书的使用
认证证书可以展示在文件、网站、通过认证的工作场所、销售场所、广告和宣传资料或广告宣传等商业活动中,但不得利用认证证书和相关文字、符号,误导公众认为认证证书覆盖范围外的产品、服务、管理体系获得认证。宣传认证结果时不应损害认证机构的声誉。

6 认证标志
商用密码产品认证实行统一的认证标志管理。

标志的样式和使用应符合《商用密码产品认证标志管理要求》(详见附件)。

7 认证实施细则
认证机构应依据本规则的原则和要求,细化认证实施程序,制定科学、合理、可操作的认证实施细则,并对外公布实施。
 


8 认证责任
认证机构应对其做出的认证结论负责。检测机构应对检测结果和检测报告负责。
认证机构及其所委派的工厂检查员应对工厂检查结论负责。
认证委托人应对其所提交的委托资料及样品的真实性、合法性负责。
 
附件
商用密码产品认证标志管理要求


一、标志样式
(一)商用密码产品认证标志的样式由基本图案和认证机构名称缩写(图中ABCDE)组成,见下图。

 

 

 

 

 

 

(二)认证标志的颜色为白色底版,基本图案为黑色(CMYK 0/60/0/100,Pantone Process Black),认证机构名称缩写颜色与基本图案相同。
(三)认证标志的尺寸应等比例放大或缩小,放大或缩小后的标志应清晰可辨,标志必须完整,不得将其变形使用。
二、标志使用要求
(一)标志的制作
认证标志的制作、发放由颁发证书的认证机构承担。
(二)标志的使用
 
1.认证标志应加施在铭牌或产品外体的明显位置上;获证产品本体上不能加施认证标志的,其认证标志必须加施在最小的产品外包装上及随附文件中。
2.软件产品应在其软件包装/载体上加施认证标志,如该软件产品不使用包装/载体,则应在软件使用的许可协议中的显著位置明示该产品已获认证。
3.获证产品的外包装上可以加施认证标志。
4.获证企业应建立认证标志使用管理制度,对认证标志的使用情况如实记录和存档。
5.应符合认证标志有关法规和规定的相关要求。
(三)监督管理与罚则
按认证标志有关法规和规定执行。

 

商用密码产品认证委托材料清单


一、商用密码产品认证委托书
二、商用密码产品认证委托材料(技术相关)
1、《技术工作总结报告》
2、《安全性设计报告》
3、《密码模块分级检测申请材料》(01智能密码钥匙、02智能IC、03POS密码应用系统/ATM 密码应用系统/多功能密码应用互联网终端、04PCI-E/PCI密码卡、05IPSec VPN产品/安全网关、06SSL VPN产品/安全网关、07安全认证网关、08密码键盘、09金融数据密码机、10服务器密码机、11签名验签服务器、12时间戳服务器、14动态令牌、17可信计算密码支撑平台、22其他密码模块,上述产品类型需要提交)
4、《用户手册》
三、商用密码产品认证委托材料(其他)
1、具有独立法人资格的证明材料(具体说出是营业执照复印件等)
2、《商用密码产品生产和保证能力自我评估表》
3、《生产一致性证明文件》
4、《产品实物图》


注:其中标红处文件有内容、格式等要求,请参考模板内容进行填写。

商用密码产品认证委托材料编制说明
1. 本材料由认证委托方编写并提交,包括认证委托书、商用密码产品认证委托材料(技术相关)、商用密码产品认证委托材料(其他)共3个部分。
2.编写要求:
(1)语言规范、文字简练、重点突出、描述清晰、内容全面、附件齐全;
(2)涉及到的外文缩写要注明全称;
(3)材料内容不得涉及国家秘密;
(4)材料中有关描述应与产品最新状态保持一致;
3.提交要求:
(1)纸质材料:商用密码产品认证委托材料(技术相关)、商用密码产品认证委托材料(其他)简易胶装,单独成册,每册材料中的分项使用彩色纸张隔开;商用密码产品认证委托书单面打印,无需胶装;以上材料封面均需加盖公章,签章处需加盖公章,并且需加盖骑缝章。
电子材料:商用密码产品认证委托材料(技术相关)、商用密码产品认证委托材料(其他)提供word/pdf版本即可;商用密码产品认证委托书需提交盖章后的扫描件。
以上纸质材料和电子材料请同时递送至国家密码管理局商用密码检测中心认证部(递送方式不接受闪送等同城快速递送),电子版材料请存储在光盘中,请勿提供其他载体(比如:U盘)。
(2)正式提交时,请删除本文档编制说明性内容(楷体);
(3)涉及落款日期应以材料最后提交时间为准。

商用密码产品认证委托材料格式规范

一、适用范围
本格式规范适用于委托方向国家密码管理局商用密码检测中心委托商用密码产品认证时所提交材料(具体材料中有格式规范说明的以具体材料的格式说明为准)。
二、纸张规格
标准A4 型: 297mm210mm(长宽)。
三、材料版式
1. 页边距
上白边(天头)宽: 25.4mm;
下白边(地脚)宽: 25.4mm;
左白边(订口)宽: 31.7mm;
右白边(翻口)宽: 31.7mm;
页眉距边界: 15.0mm;
页脚距边界: 17.5mm。
2. 图文区尺寸
标准A4 型: 246.2mm146.6mm(长宽)。
四、段落字体
1. 字体
统一采用宋体。
2. 字号
(1)标题
一级标题采用二号加粗;
二级标题采用三号加粗;
三级标题采用小三加粗;
四级标题采用四号加粗。
(2)正文
正文采用四号。
3. 缩进和间距缩进和间距缩进和间距
行距统一采用24磅固定值;
标题段前、段后间距统一采用12磅固定值;
正文段落首行缩进2个字符。
五、编排格式
一般包括封面、目录、正文、封底。
六、印刷要求
页码套正;印品着墨实、均匀;字面不花、不白、无断划。
七、装订
左侧装订(封面胶装),不掉页,无缺损。两页页码之间误差不超过4mm。
八、盖章
材料封面盖公司公章,材料侧面盖骑缝章。

★重庆军标认证★重庆API认证★重庆质量认证★重庆CMA认证★重庆CNAS认证★重庆AS9100认证★重庆CRCC认证★重庆保密认证★重庆CCRC认证★重庆CS认证★重庆ISO27001认证★★ 重庆装备承制资格认证★

★四川军标认证★四川API认证★四川质量认证★四川CMMI认证★四川CNAS认证★四川CMA认证★四川CRCC认证★四川特种设备许可证★四川ITSS认证★四川CCCF认证★四川ISO27001认证★★四川装备承制资格认证★

公司地址:成都市高新区天府三街峰汇中心1号楼10楼1008号