收藏
下载资源

管理信息化信息技术信息安全技术公共基础设施PKI系统安全等级保护技术要求

上传人:蜀歌 文档编号:154752630 上传时间:2020-12-07 格式:PDF 页数:66 大小:895.82KB
返回 下载 相关 举报
管理信息化信息技术信息安全技术公共基础设施PKI系统安全等级保护技术要求_第1页
第1页 / 共66页
管理信息化信息技术信息安全技术公共基础设施PKI系统安全等级保护技术要求_第2页
第2页 / 共66页
管理信息化信息技术信息安全技术公共基础设施PKI系统安全等级保护技术要求_第3页
第3页 / 共66页
管理信息化信息技术信息安全技术公共基础设施PKI系统安全等级保护技术要求_第4页
第4页 / 共66页
管理信息化信息技术信息安全技术公共基础设施PKI系统安全等级保护技术要求_第5页
第5页 / 共66页
点击查看更多>>
资源描述

《管理信息化信息技术信息安全技术公共基础设施PKI系统安全等级保护技术要求》由会员分享,可在线阅读,更多相关《管理信息化信息技术信息安全技术公共基础设施PKI系统安全等级保护技术要求(66页珍藏版)》请在金锄头文库上搜索。

1、管理信息化信息技术信息安全技 术公共基础设施 PKI 系统安全等 级保护技术要求 管理信息化信息技术信息安全技 术公共基础设施 PKI 系统安全等 级保护技术要求 管理信息化信息技术信 息安全技术公共基础设施 PKI 系统安全等级保护技 术要求 管理信息化信息技术信 息安全技术公共基础设施 PKI 系统安全等级保护技 术要求 3 术语和定义 下列术语和定义适用于本标准。 3.1 公开密钥基础设施(PKI)publickeyinfrastructure(PKI) 公开密钥基础设施是支持公钥管理体制的基础设施,提供鉴别、加密、完整性和不可否认服务。 3.2 PKI 系统 PKIsystem PKI

2、 系统是通过颁发与管理公钥证书的方式为终端用户提供服务的系统,包括 CA、RA、资料库等基本逻辑部 件和 OCSP 等可选服务部件以及所依赖的运行环境。 3.3 安全策略 securitypolicy 一系列安全规则的准确规定,包括从本标准中派生出的规则和供应商添加的规则。 3.4 分割知识 splitknowledge 两个或两个以上实体分别保存密钥的一部分, 密钥的每个部分都不应泄露密钥的明文有效信息, 而当这些部 分在加密模块中合在一起时可以得到密钥的全部信息,这种方法就叫分割知识。 3.5 分割知识程序 splitknowledgeprocedure 用来实现分割知识的程序。 3.6

3、保护轮廓 protectionprofile 一系列满足特定用户需求的、为一类评估对象独立实现的安全要求。 3.7 关键性扩展 criticalextension 证书或 CRL 中一定能够被识别的扩展项,若不能识别,该证书或 CRL 就无法被使用。 3.8 审计踪迹 audittrail 记录一系列审计信息和事件的日志。 3.9 系统用户 systemuser 对 PKI 系统进行管理、操作、审计、备份、恢复的工作人员,系统用户一般在 PKI 系统中被赋予了指定的角 色。 3.10 终端用户 terminateuser 使用 PKI 系统所提供服务的远程普通用户。 4 缩略语 以下缩略语适用

4、于本标准: CA 认证机构 CertificationAuthority CPS 认证惯例陈述 CertificationPracticeStatement CRL 证书撤销列表 CertificateRevocationList OCSP 在线证书状态协议 OnlineCertificateStatusProtocol PP 保护轮廓 ProtectionProfile RA 注册机构 RegistrationAuthority TOE 评估对象 TargetOfEvaluation TSFTOE 安全功能 TOESecurityFunction 5 安全等级保护技术要求 5.1 第一级 5

5、.1.1 概述 第一级的 PKI 系统,由用户自主保护,所保护的资产价值很低,面临的安全威胁很小,适用于安全要求非常 低的企业级 PKI 系统。PKI 系统面临的风险,应按照 GB/T209842007 进行评估。结构设计上,PKI 系统的 CA、 RA、 证书资料库可不进行明确的分化, 所有功能软件模块可全部安装在同一台计算机系统上。 第一级 PKI 系统的安全要素要求列表见附录 A。 5.1.2 物理安全 进行 PKI 系统硬件设备、相关环境和系统安全的设计时,应按照 GB/T210522007 第 4 章所描述的要求。 5.1.3 角色与责任 开发者应提供 PKI 系统管理员和操作员的角

6、色定义。 管理员角色负责:安装、配置、维护系统;建立和管理用户账户;配置轮廓;生成部件密钥。 操作员角色负责:签发和撤销证书。 角色的安全功能管理应按表 1 中的配置对授权的角色修改安全功能的能力进行限制。 5.1.4 访问控制 5.1.4.1 系统用户访问控制 PKI 系统文档中,应有访问控制的相关文档,访问控制文档中的访问控制策略应包含如下几个方面: a)角色及其相应的访问权限 角色及其相应的访问权限的分配见表 2。 b)标识与鉴别系统用户的过程 应符合 5.1.5 的要求。 c)角色的职能分割 应符合 5.1.3 的要求。 5.1.4.2 网络访问控制 进行远程访问时,PKI 系统应提供

7、访问控制。远程用户只有被认证通过后,PKI 系统才允许访问,并只对授 权用户提供被授权使用的服务。远程计算机系统与 PKI 系统的连接应被认证,认证方法包括计算机 地址、访问时间、拥有的密钥等。PKI 系统应定义网络访问控制策略。 5.1.5 标识与鉴别 标识与鉴别包括建立每一个用户所声称的身份, 和验证每一个用户确实是他所声称的用户。 确保用户与正确 的安全属性相关联。 5.1.5.1 用户属性定义 PKI 系统应维护每个用户的安全属性。 安全属性包括但不限于身份、组、角色、许可、安全和完整性等级。 5.1.5.2 用户鉴别 PKI 系统的安全功能应预先设定 PKI 系统代表用户执行的、 与

8、安全功能无关的动作, 在用户身份被鉴别之前, 允许 PKI 系统执行这些预设动作,包括: a)响应查询公开信息(如:在线证书状态查询等); b)接收用户发来的数据,但直到系统用户批准之后才处理。 管理员应对鉴别数据进行管理。 PKI 系统应定义所支持的用户鉴别机制的类型。 5.1.5.3 用户标识 PKI 系统的安全功能应预先设定 PKI 系统代表用户执行的、与安全功能无关的动作,在标识用户身份之前, 允许 PKI 系统执行这些预设动作,包括: a)响应查询公开信息(如:在线证书状态查询等); b)接收用户发来的数据,但直到系统用户批准之后才处理。 5.1.5.4 用户主体绑定 在 PKI 系

9、统安全功能控制范围之内, 对一个已标识与鉴别的用户, 为了完成某个任务, 需要激活另一个主体, 这时,应通过用户主体绑定将该用户与该主体相关联,从而将用户的身份与该用户的所有可审 计行为相关联,使用户对自己的行为负责。 5.1.6 数据输入输出 5.1.6.1TSF 间用户数据传送的保密性 当用户数据通过外部信道在 PKI 系统之间或 PKI 系统用户之间传递时,PKI 系统应执行访问控制策略,使得 能以某种防止未授权泄露的方式传送用户数据。 5.1.6.2 输出 TSF 数据的保密性 在 TSF 数据从 TSF 到远程可信 IT 产品的传送过程中,应保护机密数据不被未授权泄露。这些机密数据可

10、以 是 TSF 的关键数据,如口令、密钥、审计数据或 TSF 的可执行代码。 5.1.7 密钥管理 5.1.7.1 密钥生成 5.1.7.1.1PKI 系统密钥生成 系统用户密钥生成应由相应级别的 CA 或 RA 等机构进行, 可用软件方法产生, 生成算法和密钥长度等应符合 国家密码行政管理部门的规定。在进行密钥生成时,PKI 系统应限制非授权人员的参与。CA 签名 公私钥对应采用国家密码行政管理部门认可的方法生成, 可用软件方法或硬件密码设备产生。 在密钥生成时 应检查用户角色,并设置为只有管理员才能启动 CA 密钥生成过程。 5.1.7.1.2 终端用户密钥生成 终端用户的密钥可由用户自己

11、生成,也可委托 CA、RA 等 PKI 系统的服务机构生成。 终端用户密钥可用软件方法产生,生成算法和密钥长度等应符合国家密码行政管理部门的规定。 5.1.7.2 密钥传送与分发 5.1.7.2.1PKI 系统密钥传送与分发 系统用户密钥的传送与分发应以加密形式直接发送到系统用户证书载体中, 加密算法等应符合国家密码行政 管理部门的规定。 CA 公钥分发方法应适当、切实可行,如提供根证书和 CA 证书下载、或与终端用户证书一起下载等,应符合 国家密码行政管理部门对密钥分发的相关规定。 5.1.7.2.2 终端用户密钥传送与分发 如果终端用户自己生成密钥对,把公钥传送给 CA 是证书注册过程的一

12、部分。终端用户应将公钥安全的提交 给 CA,如使用证书载体等方法进行面对面传送。 如果终端用户委托 CA 生成密钥对,则不需要签发前的终端用户公钥传送。CA 向用户传送与分发私钥应以加 密形式进行,加密算法等应符合国家密码行政管理部门的规定。 5.1.7.3 密钥存储 系统用户密钥可用软件加密的形式存储,加密算法应符合国家密码行政管理部门的规定。 CA 签名私钥应存储于国家密码行政管理部门规定的密码模块中或由硬件密码设备加密后存储。终端用户密 钥由用户自行存储。 5.1.8 轮廓管理 5.1.8.1 证书轮廓管理 证书轮廓定义证书中的字段和扩展可能的值,这些字段和扩展应与 GB/T20518-

13、2006 标准相一致。证书轮廓 包括的信息有: a)与密钥绑定的用户的标识符; b)主体的公私密钥对可使用的加密算法; c)证书发布者的标识符; d)证书有效时间的限定; e)证书包括的附加信息; f)证书的主体是否是 CA; g)与证书相对应的私钥可执行的操作; h)证书发布所使用的策略。 PKI 系统应具备证书轮廓,并保证发布的证书与证书轮廓中的描述一致。PKI 系统管理员应为以下字段和扩 展指定可能的值: a)密钥所有者的标识符; b)公私密钥对主体的算法标识符; c)证书发布者的标识符; d)证书的有效期; 5.1.8.2 证书撤销列表轮廓管理 证书撤消列表轮廓用于定义 CRL 中字段

14、和扩展中可接受的值,这些字段和扩展应与 GB/T20518-2006 标准相 一致。CRL 轮廓可能要定义的值包括: a)CRL 可能或者必须包括的扩展和每一扩展的可能的值; b)CRL 的发布者; c)CRL 的下次更新日期。 若 PKI 系统发布 CRL,则应具备证书撤销列表轮廓,并保证发布的 CRL 与该轮廓中的规定相一致。PKI 系统 管理员应规定以下字段和扩展的可能的取值: a)issuer; b)issuerAltName。 5.1.8.3 在线证书状态协议轮廓管理 在线证书状态协议轮廓用于定义一系列在 OCSP 响应中可接受的值。OCSP 轮廓应规定 PKI 系统可能产生的 OC

15、SP 响应的类型和这些类型可接受的值。 a)若 PKI 系统发布 OCSP 响应,PKI 系统应具备 OCSP 轮廓并保证 OCSP 响应与轮廓一致; b)若 PKI 系统发布 OCSP 响应,PKI 系统应要求管理员为 responseType 字段指定可接受的值; c)若 PKI 系统允许使用基本响应类型(basicresponsetype)的 OCSP 响应,则 PKI 系统管理员应 为 ResponderID 指定可接受的值。 5.1.9 证书管理 5.1.9.1 证书注册 PKI 系统所签发的公钥证书应与 GB/T20518-2006 相一致。任何证书所包含的字段或扩展应被 PKI

16、系统根据 GB/T20518-2006 生成或经由颁发机构验证以保证其与标准的一致性。输入证书字段和扩展中的 数据应被批准。证书字段或扩展的值可有以下 4 种方式获得批准: a)数据被操作员手工批准; b)自动过程检查和批准数据; c)字段或扩展的值由 PKI 系统自动的生成; d)字段或扩展的值从证书轮廓中获得。 进行证书生成时, a)应仅产生与 GB/T20518-2006 中规定的证书格式相同的证书; b)应仅生成与现行证书轮廓中定义相符的证书; c)PKI 系统应验证预期的证书主体拥有与证书中包含的公钥相对应的私钥, 除非公私密钥对是由 PKI 系统所 产生的; d)PKI 系统应保证: 1)version 字段应为 0,1,2; 2)若包含 issuerUniqueID 或 subjectUniqueID 字段则 version 字段应为 1 或 2; 3)若证书包含 extensions 那么 version 字段应为 2; 4)serialNumber 字段对 CA 应是唯一的; 5)validity 字段应说明不早于当时时间的 notBefore 值和不

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 商业/管理/HR > 经营企划

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号