GB-T 21053-2007 信息安全技术 公钥基础设施 PKI系统安全等级保护技术要求.pdf
《GB-T 21053-2007 信息安全技术 公钥基础设施 PKI系统安全等级保护技术要求.pdf》由会员分享,可在线阅读,更多相关《GB-T 21053-2007 信息安全技术 公钥基础设施 PKI系统安全等级保护技术要求.pdf(72页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、书书书犐 犆 犛 犔 中 华 人 民 共 和 国 国 家 标 准犌 犅犜 信息安全技术公钥基础设施犘 犓 犐系统安全等级保护技术要求犐 狀 犳 狅 狉 犿 犪 狋 犻 狅 狀狊 犲 犮 狌 狉 犻 狋 狔 狋 犲 犮 犺 狀 犻 狇 狌 犲 狊犘 狌 犫 犾 犻 犮犽 犲 狔 犻 狀 犳 狉 犪 狊 狋 狉 狌 犮 狋 狌 狉 犲犜 犲 犮 犺 狀 狅 犾 狅 犵 狔狉 犲 狇 狌 犻 狉 犲 犿 犲 狀 狋 犳 狅 狉 狊 犲 犮 狌 狉 犻 狋 狔犮 犾 犪 狊 狊 犻 犳 犻 犮 犪 狋 犻 狅 狀狆 狉 狅 狋 犲 犮 狋 犻 狅 狀狅 犳犘 犓 犐 狊 狔 狊 狋 犲 犿 发布 实施
2、中华人民共和国国家质量监督检验检疫总局中 国 国 家 标 准 化 管 理 委 员 会发 布书书书目次前言?引言?范围?规范性引用文件?术语和定义?缩略语?安全等级保护技术要求?第一级?概述?物理安全?角色与责任?访问控制?标识与鉴别?数据输入输出?密钥管理?轮廓管理?证书管理?配置管理?分发和操作?开发?指导性文档?生命周期支持?测试?第二级?概述?物理安全?角色与责任?访问控制?标识与鉴别?审计?数据输入输出?备份与恢复?密钥管理?轮廓管理?证书管理?配置管理?分发和操作?开发?犌 犅犜 指导性文档?生命周期支持?测试?脆弱性评定?第三级?概述?物理安全?角色与责任?访问控制?标识与鉴别?审
3、计?数据输入输出?备份与恢复?密钥管理?轮廓管理?证书管理?配置管理?分发和操作?开发?指导性文档?生命周期支持?测试?脆弱性评定?第四级?概述?物理安全?角色与责任?访问控制?标识与鉴别?审计?数据输入输出?备份与恢复?密钥管理?轮廓管理?证书管理?配置管理?分发和操作?开发?指导性文档?生命周期支持?测试?脆弱性评定?第五级?犌 犅犜 概述?物理安全?角色与责任?访问控制?标识与鉴别?审计?数据输入输出?备份与恢复?密钥管理?轮廓管理?证书管理?配置管理?分发和操作?开发?指导性文档?生命周期支持?测试?脆弱性评定?附录(规范性附录)安全要素要求级别划分?参考文献?犌 犅犜 前言本标准的附
4、录为规范性附录。本标准由全国信息安全标准化技术委员会提出并归口。本标准起草单位:中国科学院软件研究所、中国电子技术标准化研究所。本标准主要起草人:张凡、冯登国、张立武、路晓明、庄涌、王延鸣。犌 犅犜 引言公开密钥基础设施()是集机构、系统(硬件和软件)、人员、程序、策略和协议为一体,利用公钥概念和技术来实施和提供安全服务的、具有普适性的安全基础设施。系统是通过颁发与管理公钥证书的方式为终端用户提供服务的系统,包括、资料库等基本逻辑部件和 等可选服务部件以及所依赖的运行环境。系统安全等级保护技术要求 按五级划分的原则,制定 系统安全等级保护技术要求,详细说明了为实现 所提出的 系统五个安全保护等
5、级应采取的安全技术要求,为确保这些安全技术所实现的安全功能能够达到其应具有的安全性而采取的保证措施,以及各安全技术要求在不同安全级中具体实现上的差异。第一级为最低级别,第五级为最高级别,随着等级的提高,系统安全等级保护的要求也随之递增。正文中字体为黑体加粗的内容为本级新增部分的要求。犌 犅犜 信息安全技术公钥基础设施犘 犓 犐系统安全等级保护技术要求范围本标准依据 的五个安全保护等级的划分,规定了不同等级 系统所需要的安全技术要求。本标准适用于 系统的设计和实现,对于 系统安全功能的研制、开发、测试和产品采购亦可参照使用。规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注
6、日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。信息安全技术公钥基础设施在线证书状态协议 信息安全技术信息系统通用安全技术要求 信息安全技术公钥基础设施数字证书格式 信息安全技术公钥基础设施 系统安全等级保护评估准则 信息安全技术信息系统物理安全技术要求 信息安全技术信息安全风险评估规范术语和定义下列术语和定义适用于本标准。公开密钥基础设施狆 狌 犫 犾 犻 犮犽 犲 狔 犻 狀 犳 狉 犪 狊 狋 狉 狌 犮 狋 狌 狉 犲;犘 犓 犐支持公钥管
7、理体制的基础设施,提供鉴别、加密、完整性和不可否认性服务。犘 犓 犐系统犘 犓 犐 狊 狔 狊 狋 犲 犿通过颁发与管理公钥证书的方式为终端用户提供服务的系统,包括、资料库等基本逻辑部件和 等可选服务部件以及所依赖的运行环境。安全策略 狊 犲 犮 狌 狉 犻 狋 狔狆 狅 犾 犻 犮 狔一系列安全规则的准确规定,包括从本标准中派生出的规则和供应商添加的规则。分割知识 狊 狆 犾 犻 狋犽 狀 狅 狑 犾 犲 犱 犵 犲两个或两个以上实体分别保存密钥的一部分,密钥的每个部分都不应泄露密钥的明文有效信息,而当这些部分在加密模块中合在一起时可以得到密钥的全部信息,这种方法就叫分割知识。分割知识程序
8、狊 狆 犾 犻 狋犽 狀 狅 狑 犾 犲 犱 犵 犲狆 狉 狅 犮 犲 犱 狌 狉 犲用来实现分割知识的程序。犌 犅犜 保护轮廓狆 狉 狅 狋 犲 犮 狋 犻 狅 狀狆 狉 狅 犳 犻 犾 犲一系列满足特定用户需求的、为一类评估对象独立实现的安全要求。关键性扩展 犮 狉 犻 狋 犻 犮 犪 犾 犲 狓 狋 犲 狀 狊 犻 狅 狀证书或 中一定能够被识别的扩展项,若不能识别,该证书或 就无法被使用。审计踪迹犪 狌 犱 犻 狋 狋 狉 犪 犻 犾记录一系列审计信息和事件的日志。系统用户 狊 狔 狊 狋 犲 犿狌 狊 犲 狉对 系统进行管理、操作、审计、备份、恢复的工作人员,系统用户一般在 系统中被
9、赋予了指定的角色。终端用户 狋 犲 狉 犿 犻 狀 犪 狋 犲狌 狊 犲 狉使用 系统所提供服务的远程普通用户。缩略语以下缩略语适用于本标准:认证机构 认证惯例陈述 证书撤销列表 在线证书状态协议 保护轮廓 注册机构 评估对象 安全功能 安全等级保护技术要求 第一级 概述第一级的犘 犓 犐系统,由用户自主保护,所保护的资产价值很低,面临的安全威胁很小,适用于安全要求非常低的企业级犘 犓 犐系统。犘 犓 犐系统面临的风险,应按照犌 犅犜 进行评估。结构设计上,犘 犓 犐系统的犆 犃、犚 犃、证书资料库可不进行明确的分化,所有功能软件模块可全部安装在同一台计算机系统上。第一级犘 犓 犐系统的安全要
10、素要求列表见附录犃。物理安全进行犘 犓 犐系统硬件设备、相关环境和系统安全的设计时,应按照犌 犅犜 第章所描述的要求。角色与责任开发者应提供犘 犓 犐系统管理员和操作员的角色定义。管理员角色负责:安装、配置、维护系统;建立和管理用户账户;配置轮廓;生成部件密钥。操作员角色负责:签发和撤销证书。角色的安全功能管理应按表中的配置对授权的角色修改安全功能的能力进行限制。犌 犅犜 表授权的角色对于安全功能的管理功能授权角色证书注册验证证书字段或扩展字段内容正确性的权限应授权给操作员;若使用自动过程验证证书字段和扩展字段,那么,配置自动过程的权限应授权给操作员。数据输入和输出私钥输出应由管理员执行。证书
11、状态变更的许可只有操作员可以配置用于撤销证书的自动过程和相关信息;只有操作员可以配置用于证书挂起的自动过程和相关信息。犘 犓 犐系统配置对于犘 犓 犐系统功能的任何配置权应仅授予管理员。(除了在本标准中其他地方所定义的分配给其他角色的犜 犛 犉功能,这一要求应用于所有的配置变量。)证书轮廓管理更改证书轮廓的权限应仅授予管理员。撤销轮廓管理更改撤销轮廓的权限应仅授予管理员。证书撤销列表轮廓管理更改证书撤销列表轮廓的权限应仅授予管理员。在线证书状态查询轮廓管理更改在线证书状态查询轮廓的权限应仅授予管理员。访问控制 系统用户访问控制犘 犓 犐系统文档中,应有访问控制的相关文档,访问控制文档中的访问控
12、制策略应包含如下几个方面:)角色及其相应的访问权限角色及其相应的访问权限的分配见表。表角色及其相应的访问权限功能事件证书 请 求 数 据 的 远 程 和 本 地输入证书请求数据的输入操作应仅由操作员和申请证书的主体所完成。证书撤销请求数据的远程和本地输入证书撤销请求数据的输入操作应仅由操作员和申请撤销证书的主体所完成。数据输出仅系统用户可以请求导出关键和安全相关数据。密钥生成仅管理员可以请求生成部件密钥(在多次连接或消息中用于保护数据)。私钥载入仅管理员可以请求向加密模块载入部件私钥。私钥存储仅操作员可以提出对证书私钥解密的请求;犘 犓 犐系统安全功能不应提供解密证书私钥以用来进行数字签名的能
13、力。可信公钥的输入、删除和存储仅管理员有权更改(增加、修改、删除)信任公钥。对称密钥存储仅管理员有权产生将犘 犓 犐系统对称密钥载入加密模块请求。私钥和对称密钥销毁仅管理员有权将犘 犓 犐系统的私钥和对称密钥销毁。私钥和对称密钥的输出仅管理员有权输出部件私钥;仅操作员有权输出证书私钥。证书状态更改许可仅操作员和证书主体有权申请使证书进入挂起状态;仅操作员有权解除证书的挂起状态;仅操作员有权批准证书进入挂起状态;仅操作员和证书主体有权申请撤销证书;仅操作员有权批准撤销证书和所有被撤销信息。犌 犅犜 )标识与鉴别系统用户的过程应符合 的要求。)角色的职能分割应符合 的要求。网络访问控制进行远程访问
14、时,犘 犓 犐系统应提供访问控制。远程用户只有被认证通过后,犘 犓 犐系统才允许访问,并只对授权用户提供被授权使用的服务。远程计算机系统与犘 犓 犐系统的连接应被认证,认证方法包括计算机地址、访问时间、拥有的密钥等。犘 犓 犐系统应定义网络访问控制策略。标识与鉴别标识与鉴别包括建立每一个用户所声称的身份,和验证每一个用户确实是他所声称的用户。确保用户与正确的安全属性相关联。用户属性定义犘 犓 犐系统应维护每个用户的安全属性。安全属性包括但不限于身份、组、角色、许可、安全和完整性等级。用户鉴别犘 犓 犐系统的安全功能应预先设定犘 犓 犐系统代表用户执行的、与安全功能无关的动作,在用户身份被鉴别之
15、前,允许犘 犓 犐系统执行这些预设动作,包括:)响应查询公开信息(如:在线证书状态查询等);)接收用户发来的数据,但直到系统用户批准之后才处理。管理员应对鉴别数据进行管理。犘 犓 犐系统应定义所支持的用户鉴别机制的类型。用户标识犘 犓 犐系统的安全功能应预先设定犘 犓 犐系统代表用户执行的、与安全功能无关的动作,在标识用户身份之前,允许犘 犓 犐系统执行这些预设动作,包括:)响应查询公开信息(如:在线证书状态查询等);)接收用户发来的数据,但直到系统用户批准之后才处理。用户主体绑定在犘 犓 犐系统安全功能控制范围之内,对一个已标识与鉴别的用户,为了完成某个任务,需要激活另一个主体,这时,应通过
16、用户主体绑定将该用户与该主体相关联,从而将用户的身份与该用户的所有可审计行为相关联,使用户对自己的行为负责。数据输入输出 犜 犛 犉间用户数据传送的保密性当用户数据通过外部信道在犘 犓 犐系统之间或犘 犓 犐系统用户之间传递时,犘 犓 犐系统应执行访问控制策略,使得能以某种防止未授权泄露的方式传送用户数据。输出犜 犛 犉数据的保密性在犜 犛 犉数据从犜 犛 犉到远程可信犐 犜产品的传送过程中,应保护机密数据不被未授权泄露。这些机密数据可以是犜 犛 犉的关键数据,如口令、密钥、审计数据或犜 犛 犉的可执行代码。密钥管理 密钥生成 犘 犓 犐系统密钥生成系统用户密钥生成应由相应级别的犆 犃或犚 犃
17、等机构进行,可用软件方法产生,生成算法和密钥长度等应符合国家密码行政管理部门的规定。在进行密钥生成时,犘 犓 犐系统应限制非授权人员的参与。犆 犃签名公私钥对应采用国家密码行政管理部门认可的方法生成,可用软件方法或硬件密码设备犌 犅犜 产生。在密钥生成时应检查用户角色,并设置为只有管理员才能启动犆 犃密钥生成过程。终端用户密钥生成终端用户的密钥可由用户自己生成,也可委托犆 犃、犚 犃等犘 犓 犐系统的服务机构生成。终端用户密钥可用软件方法产生,生成算法和密钥长度等应符合国家密码行政管理部门的规定。密钥传送与分发 犘 犓 犐系统密钥传送与分发系统用户密钥的传送与分发应以加密形式直接发送到系统用户
18、证书载体中,加密算法等应符合国家密码行政管理部门的规定。犆 犃公钥分发方法应适当、切实可行,如提供根证书和犆 犃证书下载、或与终端用户证书一起下载等,应符合国家密码行政管理部门对密钥分发的相关规定。终端用户密钥传送与分发如果终端用户自己生成密钥对,把公钥传送给犆 犃是证书注册过程的一部分。终端用户应将公钥安全地提交给犆 犃,如使用证书载体等方法进行面对面传送。如果终端用户委托犆 犃生成密钥对,则不需要签发前的终端用户公钥传送。犆 犃向用户传送与分发私钥应以加密形式进行,加密算法等应符合国家密码行政管理部门的规定。密钥存储系统用户密钥可用软件加密的形式存储,加密算法应符合国家密码行政管理部门的规
19、定。犆 犃签名私钥应存储于国家密码行政管理部门规定的密码模块中或由硬件密码设备加密后存储。终端用户密钥由用户自行存储。轮廓管理 证书轮廓管理证书轮廓定义证书中的字段和扩展可能的值,这些字段和扩展应与犌 犅犜 相一致。证书轮廓包括的信息有:)与密钥绑定的用户的标识符;)主体的公私密钥对可使用的加密算法;)证书发布者的标识符;)证书有效时间的限定;)证书包括的附加信息;)证书的主体是否是犆 犃;)与证书相对应的私钥可执行的操作;)证书发布所使用的策略。犘 犓 犐系统应具备证书轮廓,并保证发布的证书与证书轮廓中的描述一致。犘 犓 犐系统管理员应为以下字段和扩展指定可能的值:)密钥所有者的标识符;)公
20、私密钥对主体的算法标识符;)证书发布者的标识符;)证书的有效期。证书撤销列表轮廓管理证书撤销列表轮廓用于定义犆 犚 犔中字段和扩展中可接受的值,这些字段和扩展应与犌 犅犜 相一致。犆 犚 犔轮廓可能要定义的值包括:)犆 犚 犔可能或者必须包括的扩展和每一扩展的可能的值;)犆 犚 犔的发布者;)犆 犚 犔的下次更新日期。犌 犅犜 若犘 犓 犐系统发布犆 犚 犔,则应具备证书撤销列表轮廓,并保证发布的犆 犚 犔与该轮廓中的规定相一致。犘 犓 犐系统管理员应规定以下字段和扩展的可能的取值:)犻 狊 狊 狌 犲 狉;)犻 狊 狊 狌 犲 狉 犃 犾 狋 犖 犪 犿 犲。在线证书状态协议轮廓管理在线证书
21、状态协议轮廓用于定义一系列在犗 犆 犛 犘响应中可接受的值。犗 犆 犛 犘轮廓应规定犘 犓 犐系统可能产生的犗 犆 犛 犘响应的类型和这些类型可接受的值。)若犘 犓 犐系统发布犗 犆 犛 犘响应,犘 犓 犐系统应具备犗 犆 犛 犘轮廓并保证犗 犆 犛 犘响应与轮廓一致;)若犘 犓 犐系统发布犗 犆 犛 犘响应,犘 犓 犐系统应要求管理员为狉 犲 狊 狆 狅 狀 狊 犲 犜 狔 狆 犲字段指定可接受的值;)若犘 犓 犐系统允许使用基本响应类型(犫 犪 狊 犻 犮狉 犲 狊 狆 狅 狀 狊 犲 狋 狔 狆 犲)的犗 犆 犛 犘响应,则犘 犓 犐系统管理员应为犚 犲 狊 狆 狅 狀 犱 犲 狉 犐
22、犇指定可接受的值。证书管理 证书注册犘 犓 犐系统所签发的公钥证书应与犌 犅犜 相一致。任何证书所包含的字段或扩展应被犘 犓 犐系统根据犌 犅犜 生成或经由颁发机构验证以保证其与标准的一致性。输入证书字段和扩展中的数据应被批准。证书字段或扩展的值可有以下种方式获得批准:)数据被操作员手工批准;)自动过程检查和批准数据;)字段或扩展的值由犘 犓 犐系统自动生成;)字段或扩展的值从证书轮廓中获得。进行证书生成时:)应仅产生与犌 犅犜 中规定的证书格式相同的证书;)应仅生成与现行证书轮廓中定义相符的证书;)犘 犓 犐系统应验证预期的证书主体拥有与证书中包含的公钥相对应的私钥,除非公私密钥对是由犘 犓
23、 犐系统所产生的;)犘 犓 犐系统应保证:)狏 犲 狉 狊 犻 狅 狀字段应为,;)若包含犻 狊 狊 狌 犲 狉 犝 狀 犻 狇 狌 犲 犐 犇或狊 狌 犫 犼 犲 犮 狋 犝 狀 犻 狇 狌 犲 犐 犇字段,则狏 犲 狉 狊 犻 狅 狀字段应为或;)若证书包含犲 狓 狋 犲 狀 狊 犻 狅 狀 狊,那么狏 犲 狉 狊 犻 狅 狀字段应为;)狊 犲 狉 犻 犪 犾 犖 狌 犿 犫 犲 狉字段对犆 犃应是唯一的;)狏 犪 犾 犻 犱 犻 狋 狔字 段 应 说 明 不 早 于 当 时 时 间 的狀 狅 狋 犅 犲 犳 狅 狉 犲值 和 不 早 于狀 狅 狋 犅 犲 犳 狅 狉 犲时 间 的狀 狅
24、狋 犃 犳 狋 犲 狉值;)若犻 狊 狊 狌 犲 狉字段为空,证书应包括一个犻 狊 狊 狌 犲 狉 犃 犾 狋 犖 犪 犿 犲的关键性扩展;)若狊 狌 犫 犼 犲 犮 狋字段为空,证书应包括一个狊 狌 犫 犼 犲 犮 狋 犃 犾 狋 犖 犪 犿 犲的关键性扩展;)狊 狌 犫 犼 犲 犮 狋 犘 狌 犫 犾 犻 犮 犓 犲 狔 犐 狀 犳 狅字段中的狊 犻 犵 狀 犪 狋 狌 狉 犲字段和犪 犾 犵 狅 狉 犻 狋 犺 犿字段应包含国家密码行政管理部门许可的或推荐的算法的犗 犐 犇。证书撤销 证书撤销列表审核发布犆 犚 犔的犘 犓 犐系统应验证所有强制性字段的值符合犌 犅犜 。至少以下字段应被审
25、核:)若包含狏 犲 狉 狊 犻 狅 狀字段,应为;)若犆 犚 犔包含关键性的扩展,狏 犲 狉 狊 犻 狅 狀字段应出现且为;)若犻 狊 狊 狌 犲 狉字段为空,犆 犚 犔应包含一个犻 狊 狊 狌 犲 狉 犃 犾 狋 犖 犪 犿 犲的关键性扩展;)狊 犻 犵 狀 犪 狋 狌 狉 犲和狊 犻 犵 狀 犪 狋 狌 狉 犲 犃 犾 犵 狅 狉 犻 狋 犺 犿字段应为许可的数字签名算法的犗 犐 犇;犌 犅犜 )狋 犺 犻 狊 犝 狆 犱 犪 狋 犲应包含本次犆 犚 犔的发布时间;)狀 犲 狓 狋 犝 狆 犱 犪 狋 犲字段的时间不应早于狋 犺 犻 狊 犝 狆 犱 犪 狋 犲字段的时间。犗 犆 犛 犘基本
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- GB-T 21053-2007 信息安全技术 公钥基础设施 PKI系统安全等级保护技术要求 GB 21053 2007 信息 安全技术 基础设施 PKI 系统安全 等级 保护 技术 要求
链接地址:https://www.taowenge.com/p-92854032.html
限制150内