1999-12-1
前 言
本规范是根据公安部公共信息网络安全监察局的要求,按照《计算机信息系统安全专用产品分类原则》对安全产品部件的功能划分,提出了安全产品部件的安全技术规范,作为对其安全功能进行检测的依据。本规范的第一部分提出了四类安全产品部件的安全技术规范,这四类安全产品部件分别是身份鉴别类产品,完整性鉴别类产品,不可否认性鉴别类产品和密钥管理类产品。《计算机信息系统安全专用产品分类原则》中规定的其它安全产品部件的安全技术规范,将在本规范的后继部分中描述。
为保证计算机信息系统安全产品部件的安全,该标准作为强制性行业标准发布实施。
本标准由公安部公共信息网络安全监察局提出;
本标准由公安部信息标准化委员会归口;
本标准起草单位:信息安全国家重点实验室、公安部公共信息网络安全监察局综合技术处
本标准主要起草人:左英男、戴英侠、赵战生、高新宇、王学海
1 范围
本标准规定了计算机信息系统安全专用产品中的四类安全产品部件:身份鉴别类产品,完整性鉴别类产品,不可否认性鉴别类产品和密钥管理类产品的安全技术规范。 本标准适用于上述四类安全产品部件的安全功能检测。
2 引用标准
GA163-1997 本标准引用了《计算机信息系统安全专用产品分类原则》。
3 定义
本标准采用下列定义:
3.1 鉴别 authentication
3.1.1 验证用户、设备、进程和其它实体的身份。
3.1.2 验证信息的完整性。
3.1.3 验证发送方信息发送和接受方信息接收的不可否认性。
3.2 用户标识 user identification(user ID)
信息系统用以标识用户的一个独特符号或字符串。
3.3 鉴别信息 authentication information
3.3.1 在身份鉴别过程中用于建立身份有效性的信息。
3.3.2 在完整性鉴别过程中用于数据源以及部分或全部数据完整性鉴别的信息。
3.3.3 在不可否认性鉴别过程中用于信息发布方和接受方的不可否认性鉴别的信息。
3.4 完整性 integrity
指数据没有被非授权的更改和破坏。
3.5 审计跟踪 audit trail
是提供文件证明的一组记录,用以帮助从原始事物追踪到有关的记录或报告,或从记录或报告追踪到原始事物。
3.6 鉴别过程 authentication procedure
3.6.1 把实际用户与用户标记(ID)相联系的过程。
3.6.2 验证信息完整性的过程。
3.6.3 验证信息发送方和接收方的不可否认性的过程。
3.7 鉴别密钥 authentication key
在鉴别中使用的密钥。
3.8 鉴别算法 authentication algorithm
使用鉴别密钥对信息元进行处理的一种算法。
3.9 密钥管理设施 key management facility
是指装有加密元素的一种被保护的密封体(加房间或密码装置)。
3.10 密码周期 cryptograph period
是指加密密钥被授权使用或加密密钥在系统中保持有效的某一特定时期。
3.11 密钥部分 key component
加密密钥是由一个或多个类似参数的密钥组合而成的。这些元素表示了加密密钥的特性(例如,格式,随机性)。一个加密密钥的多于两个这种元素中的一个则为密钥部件。
4 安全技术规范
本节包括身份鉴别类产品、完整性鉴别类产品、不可否认性鉴别类产品和密钥管理类产品。
4.1 身份鉴别类产品
4.1.1 鉴别失败处理 身份鉴别类产品必须提供对身份鉴别失败的处理功能: 当失败的用户身份鉴别尝试次数达到规定的数值时,必须能够终止用户与系统之间的会话过程; 必须对身份鉴别失败事件进行审计跟踪; 需保证审计跟踪信息不能被未授权的更改或破坏。
4.1.2 鉴别信息 身份鉴别信息主要包括:口令、证书。 每个授权用户必须具有唯一的用户标识(ID)和唯一的身份鉴别信息。 如果进行用户和系统之间的相互身份鉴别,则系统也必须具有唯一的身份鉴别信息; 用户和系统的身份鉴别信息必须是不可伪造的; 身份鉴别信息如口令必须是保密存储和传输的,必须使用经过可信方签名的方法来构作证书。
4.1.3 鉴别过程 在用户请求访问系统资源时至少进行一次身份鉴别,必要时可反复鉴别; 尽可能提供用户和系统之间的相互身份鉴别: 必须构造一个符合规范的身份鉴别过程的用户接口,以防止用户的偶然泄密; 对用户的身份鉴别结果应进行审计跟踪; 需保证审计跟踪信息不能被未授权的更改或破坏。
4.2 完整性鉴别类产品
完整性鉴别类产品安全技术规范包括鉴别功能、鉴别信息和算法以及鉴别密钥三方面内容。
4.2.1 鉴别功能 必须说明产品能够检测何种类型的完整性错误,可从修改、替换、删除、插入和其 它完整性错误中选择; 必须确定鉴别失败时用户、设备、进程或其他实体采取的动作; 尽可能提供信息完整性错误的恢复功能。
4.2.2 鉴别信息和算法 鉴别信息必须是不可伪造的; 鉴别信息是作为一个附加的数据域包含在原始信息中; 鉴别算法中必须使用经过国家密码管理部门批准使用的算法。
4.2.3 鉴别密钥 鉴别密钥必须用随机或伪随机的方法产生; 对鉴别密钥必须加以保护(可采用物理或电子的方法),以防止泄露给未授权方。
4.3 不可否认性鉴别类产品
不可否认性鉴别类产品安全技术规范包括鉴别信息和鉴别过程两方面内容。
4.3.1 鉴别信息 信息发送者的不可否认性鉴别信息必须是不可伪造的; 信息接受者的不可否认性鉴别信息必须是不可伪造的;
4.3.2 鉴别过程 发送者需向接受者提供数据源的鉴别信息,以防止发送者否认发送该数据; 接收者需向发送者提供数据已交付给接收者的鉴别信息,以防止接收者否认发送该数据; 对双方的不可否认性鉴别信息需进行审计跟踪; 需保证审计跟踪信息不能被未授权的更改或破坏。
4.4 密钥管理类产品
密钥管理类安全产品部件的安全技术规范包括密钥的分发或注入、密钥更新、密钥归档、密钥恢复和密钥审计几个方面。
4.4.1 密钥的分发或注入
4.4.1.1 需说明所使用的密钥分发或注入方法
4.4.1.2 对称算法的密钥分发: 明文密钥和密钥部件的分发不能泄露其任何部分; 加密过的密钥在分发过程中需能防止密钥被替换和修改。
4.4.1.3 非对称算法的密钥分发和存储:
证书签名应在证书中心(CA)公开密钥的帮助下进行校验;
证书中心的非对称密钥集需在管理的控制下在密钥管理设施中生成;
在明文公开密钥不以证书的形式存储的地方,需防止对其非授权的存取;
如果怀疑证书中心的秘密密钥泄露,需能够立即生成新的密钥集,并将新的公开密钥分发给用户。
4.4.2 密钥更新 需说明所使用的密钥更新方法; 密钥正常更新是按系统所要求的强度规定、密钥合理的生命周期和更新频度进行更新的。密钥正常更新时,需使用有安全保护的在线更新; 密钥非正常更新时,需离线更新; 在安全审计时发现密钥有泄漏或被窃取的可能性时,需及时进行密钥更新,并将旧的密钥登入黑名单; 密钥正常更新时,应将旧的密钥回收。
4.4.3 密钥归档 需说明所使用的密钥归档方法; 当一个密钥在它的密码周期终止或受损后继续储存(归档)时,要求对每个这样的密钥作唯一标识,或转换为不同的形式或格式,以明确它是存档的且已作废,不存二义性; 归档的密钥在所有被其加密的数据和密钥的生命周期结束以前需被安全存储; 密钥的归档必须保证正在操作使用的其他密钥暴露的风险不增加。
4.4.4 密钥恢复 需说明是否提供了密钥恢复功能以及所使用的密钥恢复方法。
4.4.5 密钥审计 需说明所使用的密钥审计方法。