《《精编》安全生产协议与标准管理》由会员分享,可在线阅读,更多相关《《精编》安全生产协议与标准管理(31页珍藏版)》请在金锄头文库上搜索。
1、安全协议与标准 linfb 2009 12 安全标准与规范 RFCISOFIPSX9PKCSP1363NESSIE 安全标准inRFC 安全相关的协议与标准文件 当属RFC中的最全面 RFC中关于安全的文档涉及多个方面 ByIETF IETFSecurityAreaWorkingGroups btnsBetter Than NothingSecuritydkimDomainKeysIdentifiedMailemuEAPMethodUpdatehokeyHandoverKeyingipsecmeIPSecurityMaintenanceandExtensionsismsIntegratedSe
2、curityModelforSNMPkeyprovProvisioningofSymmetricKeyskittenKitten GSS APINextGeneration krb wgKerberosltansLong TermArchiveandNotaryServicesmsecMulticastSecurityneaNetworkEndpointAssessmentpkixPublic KeyInfrastructure X 509 saslSimpleAuthenticationandSecurityLayersmimeS MIMEMailSecuritysyslogSecurity
3、IssuesinNetworkEventLoggingtlsTransportLayerSecurity 0 安全综述 阐述了安全的概念 术语 需求 给出了一般化的考虑 建议和机制 如1675 2196 2323 2504 3631 4949等 1 密码算法和协议 接口规范 比如RC2 2268 MD5 1321 PKCS RSA 3447 TLS 4346 IKE 4306 GSS API SASL等 2 认证授权和访问控制规范 如RADIUS 2865 Diameter 3588 Kerberos 等 3 应用规范 PGP 4880 S MIME HTTPoverTLS 2818 IPSe
4、c VPN 等 4 其他规范 RFC Internet标准 中译本 ISO ISO 关于OSI的安全需求 35 100 01 服务和机制 iso7498 密码算法 35 040 安全管理 17799 等 ISO7498 2SecurityArchitectureISO10181SecurityframeworksforopensystemsISO11586Genericupperlayerssecurityhttp www iso org FIPS FIPS 包括DES 46 AES 197 DSS 186 HMAC 198 等 http csrc nist gov publications
5、PubsFIPS html FIPS 140 FIPS140是密码模块安全性需求最为重要的标准之一 也是业界衡量密码实现的准则 如果机构的信息或数据需要通过密码的方式进行保护 比如金融或者政府机构 那么FIPS140 2标准则被适用 经过该标准符合性评估认证的产品模块将满足这些机构的密码系统技术要求 目前世界范围很多机构的IT产品采购和招标要求中均提出了产品满足FIPS140 2的需求 TheFIPS140areseriesofpublicationsnumbered140whichareaU S governmentcomputersecuritystandardsthatspecifyre
6、quirementsforcryptographymodules AsofDecember2006 update thecurrentversionofthestandardisFIPS140 2 issuedon25May2001 http www itl nist gov fipspubshttp csrc nist gov groups STM cmvp index html FIPS140标准历史和发展情况 CMVP TheCryptographicModuleValidationProgram CMVP isajointAmericanandCanadiansecurityaccre
7、ditationprogramforcryptographicmodules TheprogramisavailabletoanyvendorswhoseektohavetheirproductscertifiedforusebytheU S Governmentandregulatedindustries suchasfinancialandhealth careinstitutions thatcollect store transfer shareanddisseminate sensitive butnotclassfied information Allofthetestsunder
8、theCMVParehandledbythird partylaboratoriesthatareaccreditedasCryptographicModuleTestingLaboratoriesbytheNationalVoluntaryLaboratoryAccreditationProgram NVLAP ProductcertificationsundertheCMVPareperformedinaccordancewiththerequirementsofFIPS140 2 TheCMVPwasestablishedbytheU S NationalInstituteofStand
9、ardsandTechnology NIST andtheCommunicationsSecurityEstablishment CSE oftheGovernmentofCanadainJuly1995 Validatedmoduleslist ValidatedFIPS140 1andFIPS140 2CryptographicModuleshttp csrc nist gov groups STM cmvp validation htmlhttp csrc nist gov groups STM cmvp documents 140 1 140val all htm OpenSSLFIP
10、S140 2modulehttp www openssl org docs fips 与通用评估准则 CC 的关系 CommonCriteria CC 是业界安全功能和安全保障评估的通用准则 并实现了国际互认 而在美国NIAP体系下的CC产品评估 如果产品包括密码模块或者密码算法 该产品的CC认证证书上将标明该产品是否通过FIPS140认证 事实上 CC和FIPS140标准相辅相成 存在强烈的相关性 但关注点各有侧重 在FIPS140验证中 如果操作环境是可以更改的 那么CC的操作系统需求适用于安全级别2或者更高 CC和FIPS140 2标准分别关注产品测评的不同层面 FIPS140 2测评针
11、对定义的密码模块 并提供4个级别的一系列符合性测评包 FIPS140 2描述了密码模块的需求 包括物理安全 密钥管理 自评测 角色和服务等 该标准最初开发于1994年 早于CC标准 而CC是针对于具体的保护轮廓 PP 或者安全目标 ST 的评估 典型的模式是某个PP可能涉及广泛的产品范围 总之 CC评估不能替代FIPS140的密码验证 FIPS140 2中定义的四个安全级别也不能够直接与CC预定义的任何EAL级别或者CC功能需求相对应 CC认证不能取代FIPS140的认证 X9 ASC ANSIX9 制定了一些关系金融领域安全的标准和规范 如随机数产生 X9 17 公钥算法服务于金融业 X9
12、63 等 http www x9 org standards PKCS PKCS系列标准 RSA公司的标准 P1363 IEEEP1363 制定关于椭圆曲线密码算法等规范 http grouper ieee org groups 1363 NESSIE NESSIE 欧洲的密码新标准计划 TheNESSIEproject NewEuropeanSchemesforSignatures IntegrityandEncryption 2000 2003 evaluatescryptoalgorithms NESSIEhasselectedthefollowing12algorithmsfromth
13、e42submissions inaddition 5wellestablishedstandardalgorithmshavebeenaddedtotheNESSIEportfolio indicatedwitha https www cosic esat kuleuven be nessie Blockciphers MISTY1 MitsubishiElectricCorp Japan Camellia NipponTelegraphandTelephoneCorp JapanandMitsubishiElectricCorp Japan SHACAL 2 Gemplus France
14、AES AdvancedEncryptionStandard USAFIPS197 Rijndael Public keyencryption ACEEncrypt IBMZurichResearchLaboratory Switzerland PSEC KEM NipponTelegraphandTelephoneCorp Japan RSA KEM draftofISO IEC18033 2 MACalgorithmsandhashfunctions Two Track MAC K U Leuven BelgiumanddebisAG Germany UMAC IntelCorp USA
15、Univ ofNevadaatReno USA IBMResearchLaboratory USA Technion IsraelandUniv ofCaliforniaatDavis USA CBC MAC ISO IEC9797 1 HMAC ISO IEC9797 1 Whirlpool ScopusTecnologiaS A BrazilandK U Leuven Belgium SHA 256 SHA 384 andSHA 512 USAFIPS180 2 Digitalsignaturealgorithms ECDSA CerticomCorp USAandCerticomCorp
16、 Canada RSA PSS RSALaboratories USA SFLASH Schlumberger France Identificationschemes GPS EcoleNormaleSup rieure Paris FranceT l comandLaPoste France SECG SECG 目前主要发布了一些关于ECC的规范 TheStandardsforEfficientCryptographyGroup SECG anindustryconsortium wasfoundedin1998todevelopcommercialstandardsthatfacilitatetheadoptionofefficientcryptographyandinteroperabilityacrossawiderangeofcomputingplatforms SECGmembersincludeleadingtechnologycompaniesandkeyindustryplayersintheinformationsecurityindustry http www
