《信息安全技术_公共基础设施_PKI系统安全等级保护技术要求》由会员分享,可在线阅读,更多相关《信息安全技术_公共基础设施_PKI系统安全等级保护技术要求(147页珍藏版)》请在金锄头文库上搜索。
1、信息安全技术 公共基础设施 PKI系统安全等级保护技术要求引 言公开密钥基础设设施(PKII)是集机构构、系统(硬硬件和软件)、人人员、程序、策策略和协议为为一体,利用用公钥概念和和技术来实施施和提供安全全服务的、具具有普适性的的安全基础设设施。PKII系统是通过过颁发与管理理公钥证书的方式为终终端用户提供供服务的系统统,包括CAA、RA、资资料库等基本本逻辑部件和和OCSP等等可选服务部部件以及所依依赖的运行环环境。PPKI系统安安全等级保护护技术要求按按五级划分的的原则,制定定PKI系统统安全等级保保护技术要求求,详细说明明了为实现GGB/T AAAA2000所提出出的PKI系系统五个安全
2、全保护等级应应采取的安全全技术要求、为为确保这些安安全技术所实实现的安全功功能能够达到到其应具有的的安全性而采采取的保证措措施,以及各各安全技术要要求在不同安安全级中具体体实现上的差差异。第一级级为最低级别别,第五级为为最高级别,随随着等级的提提高,PKII系统安全等等级保护的要要求也随之递递增。正文中中字体为黑体体加粗的内容容为本级新增增部分的要求求。信息安全技术 公钥基础设设施PKII系统安全等等级保护技术术要求1 范围本标准依据GBB/T AAAA2000的五个安安全保护等级级的划分,规规定了不同等等级PKI系系统所需要的的安全技术要要求。本标标准适用于PPKI系统的的设计和实现现,对于
3、PKKI系统安全全功能的研制制、开发、测测试和产品采采购亦可参照照使用。2 规范性引用用文件下列文件中的条条款通过本标标准的引用而而成为本标准准的条款。凡凡是注日期的的引用文件,其其随后所有的的修改单(不不包括勘误的的内容)或修修订版均不适适用于本标准准,然而,提提倡使用本标标准的各方探探讨使用其最最新版本的可能性。凡凡是不注日期期的引用文件件,其最新版版本适用于本本标准。GGB/T 119713-2005 信息安全技技术 公钥基基础设施 在在线证书状态态协议GBB/T 200271-22006 信信息安全技术术 信息系统统通用安全技技术要求GGB/T 220518-2006 信息安全技技术
4、公钥基基础设施 数数字证书格式式GB/TT 210554-20007 信息安安全技术 公公钥基础设施施 PKI系系统安全等级级保护评估准准则GB/T 210052-20007 信息息安全技术 信息系统物物理安全技术术要求GBB/T209984-20007 信息息安全技术 信息安全风风险评估指南南3 术语和定义义下列术语和定义义适用于本标标准。3.1公开密钥基础础设施(PKKI) puublic key iinfrasstructture (PKI)公开密钥基础设设施是支持公公钥管理体制制的基础设施施,提供鉴别别、加密、完完整性和不可可否认性服务务。3.2PKI系统 PPKI syystemPK
5、I系统统是通过颁发发与管理公钥钥证书的方式式为终端用户户提供服务的的系统,包括括CA、RAA、资料库等等基本逻辑部部件和OCSSP等可选服服务部件以及及所依赖的运运行环境。3.3安全策略 ssecuriity poolicy一系列安全规则则的准确规定定,包括从本本标准中派生生出的规则和和供应商添加加的规则。3.4分割知识 ssplit knowlledge两个或两个以上上实体分别保保存密钥的一一部分,密钥钥的每个部分分都不应泄露露密钥的明文文有效信息,而而当这些部分分在加密模块块中合在一起起时可以得到到密钥的全部部信息,这种种方法就叫分分割知识。3.5分割知识程序序 spliit knoowl
6、edgge proocedurre用来实现分割知知识的程序。3.6保护轮廓 pprotecction profiile一系列满足特定定用户需求的的、为一类评评估对象独立立实现的安全全要求。3.7关键性扩展 critiical eextenssion证书或CRL中中一定能够被被识别的扩展展项,若不能能识别,该证证书或CRLL就无法被使使用。3.8审计踪迹 aaudit traill记录一系列审计计信息和事件件的日志。3.9系统用户 ssystemm userr对PKI系统进进行管理、操操作、审计、备备份、恢复的的工作人员,系系统用户一般般在PKI系系统中被赋予予了指定的角角色。3.10终端用户
7、tterminnate uuser使用PKI系统统所提供服务务的远程普通通用户。4 缩略语以下缩略语适用用于本标准:CA 认认证机构 CCertifficatiion AuuthoriityCPPS 认证惯惯例陈述Ceertifiicatioon Praacticee StattementtCRL 证书撤销列列表Certtificaate Reevocattion LListOOCSP 在在线证书状态态协议Onlline CCertifficatee Stattus PrrotocoolPP 保护轮廓PProtecction ProfiileRAA 注册机构构Regisstratiion Au
8、uthoriityTOOE 评估对对象Targget Off EvalluatioonTSFF TOE安安全功能TOOE Seccurityy Funcction5 安全等级保保护技术要求求5.1 第一级级5.1.1 概概述第一级的PKII系统,由用用户自主保护护,所保护的的资产价值很很低,面临的的安全威胁很很小,适用于于安全要求非非常低的企业业级PKI系系统。PKII系统面临的的风险,应按按照GB/TT 20988420007进行评估估。结构设计计上,PKII系统的CAA、RA、证证书资料库可可不进行明确确的分化,所所有功能软件件模块可全部部安装在同一一台计算机系系统上。第一一级PKI系系统
9、的安全要要素要求列表表见附录A。5.1.2 物物理安全进行PKI系统统硬件设备、相相关环境和系系统安全的设设计时,应按按照GB/TT 21055220007第4章所所描述的要求求。5.1.3 角角色与责任开发者应提供PPKI系统管管理员和操作作员的角色定定义。管理理员角色负责责:安装、配配置、维护系系统;建立和和管理用户账账户;配置轮轮廓;生成部部件密钥。操作员角色色负责:签发发和撤销证书书。角色的的安全功能管管理应按表11中的配置对对授权的角色色修改安全功功能的能力进进行限制。5.1.4 访访问控制5.1.4.11 系统用户户访问控制PKI系统文档档中,应有访访问控制的相相关文档,访访问控制
10、文档档中的访问控控制策略应包包含如下几个个方面:a) 角色及其其相应的访问问权限角色色及其相应的的访问权限的的分配见表22。b) 标识与鉴鉴别系统用户户的过程应符合5.1.5的要求。c) 角色的职职能分割应符合5.1.3的要求。5.1.4.22 网络访问问控制进行远程访问时时,PKI系系统应提供访访问控制。远远程用户只有有被认证通过过后,PKII系统才允许许访问,并只只对授权用户户提供被授权权使用的服务务。远程计算算机系统与PPKI系统的的连接应被认认证,认证方方法包括计算算机地址、访问时间间、拥有的密密钥等。PKKI系统应定定义网络访问问控制策略。5.1.5 标标识与鉴别标识与鉴别包括括建立
11、每一个个用户所声称称的身份,和和验证每一个个用户确实是是他所声称的的用户。确保保用户与正确确的安全属性性相关联。5.1.5.11 用户属性性定义PKI系统应维维护每个用户户的安全属性性。安全属属性包括但不不限于身份、组组、角色、许许可、安全和和完整性等级级。5.1.5.22 用户鉴别别PKI系统的安安全功能应预预先设定PKKI系统代表表用户执行的的、与安全功功能无关的动动作,在用户户身份被鉴别别之前,允许许PKI系统统执行这些预预设动作,包包括:a) 响应查询询公开信息(如如:在线证书书状态查询等等);b) 接收用户户发来的数据据,但直到系系统用户批准准之后才处理理。管理员应对鉴别别数据进行管
12、管理。PKKI系统应定定义所支持的的用户鉴别机机制的类型。5.1.5.33 用户标识识PKI系统的安安全功能应预预先设定PKKI系统代表表用户执行的的、与安全功功能无关的动动作,在标识识用户身份之之前,允许PPKI系统执执行这些预设设动作,包括括:a) 响应查询询公开信息(如如:在线证书书状态查询等等);b) 接收用户户发来的数据据,但直到系系统用户批准准之后才处理理。5.1.5.44 用户主体体绑定在PKI系统安安全功能控制制范围之内,对对一个已标识识与鉴别的用用户,为了完完成某个任务务,需要激活活另一个主体体,这时,应应通过用户主主体绑定将该该用户与该主主体相关联,从从而将用户的的身份与该
13、用用户的所有可可审计行为相关联,使使用户对自己己的行为负责责。5.1.6 数数据输入输出出5.1.6.11 TSF间间用户数据传传送的保密性性当用户数据通过过外部信道在在PKI系统统之间或PKKI系统用户户之间传递时时,PKI系系统应执行访访问控制策略略,使得能以以某种防止未未授权泄露的的方式传送用用户数据。5.1.6.22 输出TSSF数据的保保密性在TSF数据从从TSF到远远程可信ITT产品的传送送过程中,应应保护机密数数据不被未授授权泄露。 这些机密数数据可以是TTSF的关键键数据,如口口令、密钥、审审计数据或TTSF的可执执行代码。5.1.7 密密钥管理5.1.7.11 密钥生成成5.
14、1.7.11.1 PKKI系统密钥钥生成系统用户密钥生生成应由相应应级别的CAA或RA等机机构进行,可可用软件方法法产生,生成成算法和密钥钥长度等应符符合国家密码码行政管理部部门的规定。在在进行密钥生生成时,PKKI系统应限限制非授权人人员的参与。 CA签名公私钥对应采用用国家密码行行政管理部门门认可的方法法生成,可用用软件方法或或硬件密码设设备产生。在在密钥生成时时应检查用户户角色,并设设置为只有管管理员才能启启动CA密钥钥生成过程。5.1.7.11.2 终端端用户密钥生生成终端用户的密钥钥可由用户自自己生成,也也可委托CAA、RA等PPKI系统的的服务机构生生成。终端端用户密钥可可用软件方
15、法法产生,生成成算法和密钥钥长度等应符符合国家密码码行政管理部部门的规定。5.1.7.22 密钥传送送与分发5.1.7.22.1 PKKI系统密钥钥传送与分发发系统用户密钥的的传送与分发发应以加密形形式直接发送送到系统用户户证书载体中中,加密算法法等应符合国国家密码行政政管理部门的的规定。CCA公钥分发发方法应适当当、切实可行行,如提供根根证书和CAA证书下载、或或与终端用户户证书一起下下载等,应符符合国家密码码行政管理部部门对密钥分分发的相关规规定。5.1.7.22.2 终端端用户密钥传传送与分发如果终端用户自自己生成密钥钥对,把公钥钥传送给CAA是证书注册册过程的一部部分。终端用用户应将公钥钥安全的提交交给CA,如如使用证书载载体等方法进进行面对面传传送。如果果终端用户委委托CA生成成密钥对,则则不需要签发发前的终端用用户公钥传送送。CA向用用户传送与分分发私钥应以以加密形式进进行,加密算算法等应符合合国家密码行行政管理部门门的规定。5.1.7.33 密钥存储储系统用户密钥可可用软件加密密的形式
