【正文】 信息。確保用戶與正確的安全屬性相關(guān)聯(lián)。 應(yīng)用程序訪問控制應(yīng)根據(jù)訪問控制策略，嚴(yán)格限制對信息和應(yīng)用系統(tǒng)功能訪問。對系統(tǒng)工具的使用應(yīng)進(jìn)行嚴(yán)格的控制。 操作系統(tǒng)訪問控制PKI系統(tǒng)的訪問應(yīng)使用安全的登錄過程，自動(dòng)登錄等應(yīng)被嚴(yán)格限制。對遠(yuǎn)程計(jì)算機(jī)系統(tǒng)與PKI系統(tǒng)的連接應(yīng)被認(rèn)證，認(rèn)證方法包括計(jì)算機(jī)地址、訪問時(shí)間、擁有的密鑰等。d) 進(jìn)行PKI系統(tǒng)的特定操作時(shí)需要的最小系統(tǒng)用戶人數(shù)最少應(yīng)滿足以下要求：CA私鑰和關(guān)鍵部件密鑰的生成、備份、更新、導(dǎo)入導(dǎo)出、密鑰恢復(fù)、密鑰銷毀等操作要求有多個(gè)系統(tǒng)用戶同時(shí)在場，并符合表7的要求。 PKI系統(tǒng)文檔中，應(yīng)有訪問控制的相關(guān)文檔，訪問控制文檔中的訪問控制策略應(yīng)包含如下幾個(gè)方面：a) 角色及其相應(yīng)的訪問權(quán)限應(yīng)定期審核系統(tǒng)用戶的訪問權(quán)限，檢查不應(yīng)有的權(quán)限分配。角色的安全功能管理應(yīng)按表6中的配置對授權(quán)的角色修改安全功能的能力進(jìn)行限制。 角色與責(zé)任開發(fā)者應(yīng)提供PKI系統(tǒng)管理員、操作員和審計(jì)員的角色定義。證書認(rèn)證中心和密鑰管理中心的基本功能要求、建設(shè)要求和運(yùn)行管理要求等相關(guān)安全技術(shù)要求應(yīng)符合國家相關(guān)標(biāo)準(zhǔn)的規(guī)定。c) 開發(fā)者脆弱性分析。c) 應(yīng)提供測試文檔，詳細(xì)描述測試計(jì)劃、測試過程、測試結(jié)果。c) 如果系統(tǒng)含有加強(qiáng)安全性的硬件，那么管理員、其他用戶或自動(dòng)的診斷測試，應(yīng)能在各自的操作環(huán)境中運(yùn)行它并詳細(xì)說明操作過程。d) 應(yīng)提供關(guān)于所有審計(jì)工具的文檔，包括為檢查和保持審計(jì)文件所推薦的過程、針對每種審計(jì)事件的詳細(xì)審計(jì)記錄文件、為周期性備份和刪除審計(jì)記錄所推薦的過程等；有關(guān)安全的指令和文檔應(yīng)劃分等級分別提供給終端用戶和系統(tǒng)用戶。e) 系統(tǒng)控制數(shù)據(jù)，如口令和密鑰，不應(yīng)在未受保護(hù)的程序或文檔中以明文形式儲存，并以書面形式向客戶提供關(guān)于軟件所有權(quán)法律保護(hù)的指南。 開發(fā)應(yīng)按GB/T ，從以下方面進(jìn)行PKI系統(tǒng)的開發(fā)：a) 按非形式化安全策略模型、完全定義的外部接口、描述性高層設(shè)計(jì)、TSF子集實(shí)現(xiàn)、TSF內(nèi)部結(jié)構(gòu)層次化、描述性低層設(shè)計(jì)和非形式化對應(yīng)性說明的要求，進(jìn)行PKI系統(tǒng)的開發(fā)；在包裝及安全分送和安裝過程中，這種控制應(yīng)采取軟件控制系統(tǒng)的方式，確認(rèn)安全性會(huì)由最終用戶考慮，所有安全機(jī)制都應(yīng)以功能狀態(tài)交付；——安全啟動(dòng)和操作的過程；通過技術(shù)、物理和保安規(guī)章三方面的結(jié)合，可充分保護(hù)生成系統(tǒng)所用到的源碼免遭未授權(quán)的修改和毀壞。c) 在系統(tǒng)的整個(gè)生存期，即在它的開發(fā)、測試和維護(hù)期間，應(yīng)有一個(gè)軟件配置管理系統(tǒng)處于保持對改變源碼和文件的控制狀態(tài)。e) producedAt字段應(yīng)指出OCSP響應(yīng)者發(fā)出響應(yīng)的時(shí)間；至少應(yīng)審核以下字段：a) version字段應(yīng)為0；d) signature和signatureAlgorithm字段應(yīng)為許可的數(shù)字簽名算法的OID； 證書撤銷 證書撤銷列表審核發(fā)布CRL的PKI系統(tǒng)應(yīng)驗(yàn)證所有強(qiáng)制性字段的值符合GB/T 205182006。5) validity字段應(yīng)說明不早于當(dāng)時(shí)時(shí)間的notBefore值和不早于notBefore時(shí)間的notAfter 值；1) version字段應(yīng)為0，1，2；進(jìn)行證書生成時(shí)，a) 應(yīng)僅產(chǎn)生與GB/T 205182006中規(guī)定的證書格式相同的證書；證書字段或擴(kuò)展的值可有以下4種方式獲得批準(zhǔn)：a) 數(shù)據(jù)被操作員手工批準(zhǔn)； 證書管理 證書注冊PKI系統(tǒng)所簽發(fā)的公鑰證書應(yīng)與GB/T 205182006相一致。OCSP輪廓應(yīng)規(guī)定PKI系統(tǒng)可能產(chǎn)生的OCSP響應(yīng)的類型和這些類型可接受的值。b) issuerAltName；b) CRL的發(fā)布者；c) certificatePolicies。c) 證書發(fā)布者的標(biāo)識符；h) 證書發(fā)布所使用的策略。d) 證書有效時(shí)間的限定； 輪廓管理 證書輪廓管理證書輪廓定義證書中的字段和擴(kuò)展可能的值，這些字段和擴(kuò)展應(yīng)與GB/T 205182006標(biāo)準(zhǔn)相一致。私鑰不應(yīng)以明文形式導(dǎo)入導(dǎo)出PKI系統(tǒng)，PKI系統(tǒng)用戶密鑰、系統(tǒng)部件密鑰、終端用戶密鑰可使用軟件加密，CA簽名私鑰應(yīng)使用軟件方法或硬件密碼設(shè)備進(jìn)行加密。 密鑰導(dǎo)入導(dǎo)出密鑰被導(dǎo)出到PKI系統(tǒng)之外可能基于以下的原因：密鑰備份、復(fù)制，以及將PKI系統(tǒng)部件產(chǎn)生的密鑰傳送到用戶手中。CA公鑰分發(fā)方法應(yīng)適當(dāng)、切實(shí)可行，如提供根證書和CA證書下載、或與終端用戶證書一起下載等，應(yīng)符合國家密碼行政管理部門對密鑰分發(fā)的相關(guān)規(guī)定。 密鑰傳送與分發(fā) PKI系統(tǒng)密鑰傳送與分發(fā)PKI系統(tǒng)部件密鑰的傳送與分發(fā)應(yīng)以加密形式直接發(fā)送到PKI系統(tǒng)部件中，加密算法等應(yīng)符合國家密碼行政管理部門的規(guī)定。在密鑰生成時(shí)應(yīng)檢查用戶角色，并設(shè)置為只有管理員才能啟動(dòng)CA密鑰生成過程。 密鑰管理 密鑰生成 PKI系統(tǒng)密鑰生成PKI系統(tǒng)部件密鑰和系統(tǒng)用戶密鑰生成應(yīng)由相應(yīng)級別的CA或RA等機(jī)構(gòu)進(jìn)行，可用軟件方法產(chǎn)生，生成算法和密鑰長度等應(yīng)符合國家密碼行政管理部門的規(guī)定。PKI系統(tǒng)應(yīng)保護(hù)機(jī)密性TSF數(shù)據(jù)在分離的PKI部件間傳送時(shí)不被泄露。 輸出TSF數(shù)據(jù)的保密性在TSF數(shù)據(jù)從TSF到遠(yuǎn)程可信IT產(chǎn)品的傳送過程中，應(yīng)保護(hù)機(jī)密數(shù)據(jù)不被未授權(quán)泄露。 數(shù)據(jù)輸入輸出 TOE內(nèi)部用戶數(shù)據(jù)傳送在PKI系統(tǒng)的物理分隔部件間傳遞用戶數(shù)據(jù)時(shí)，PKI系統(tǒng)應(yīng)執(zhí)行訪問控制策略，以防止對安全相關(guān)的用戶數(shù)據(jù)的篡改。 選擇性審計(jì)審計(jì)功能部件應(yīng)可根據(jù)下列屬性選擇或排除審計(jì)事件集中的可審計(jì)事件：審計(jì)功能部件應(yīng)能將可審計(jì)事件與發(fā)起該事件的用戶身份相關(guān)聯(lián)。對于每一個(gè)事件，其審計(jì)記錄應(yīng)包括：事件的日期和時(shí)間、用戶、事件類型、事件是否成功，以及表5中附加信息欄中要求的內(nèi)容。鑒別不成功嘗試的次數(shù)不必連續(xù)，但應(yīng)與鑒別事件相關(guān)。 鑒別失敗處理當(dāng)用戶自從上次鑒別成功以來不成功的鑒別嘗試的次數(shù)達(dá)到或超過了定義的界限時(shí)，PKI系統(tǒng)的安全功能應(yīng)能檢測到。PKI系統(tǒng)應(yīng)定義所支持的用戶鑒別機(jī)制的類型。 用戶鑒別PKI系統(tǒng)的安全功能應(yīng)預(yù)先設(shè)定PKI系統(tǒng)代表用戶執(zhí)行的、與安全功能無關(guān)的動(dòng)作，在用戶身份被鑒別之前，允許PKI系統(tǒng)執(zhí)行這些預(yù)設(shè)動(dòng)作，包括：a) 響應(yīng)查詢公開信息（如：在線證書狀態(tài)查詢等）；確保用戶與正確的安全屬性相關(guān)聯(lián)。對遠(yuǎn)程計(jì)算機(jī)系統(tǒng)與PKI系統(tǒng)的連接應(yīng)被認(rèn)證，認(rèn)證方法包括計(jì)算機(jī)地址、訪問時(shí)間、擁有的密鑰等。c) 角色的職能分割。系統(tǒng)用戶賬號和終端用戶賬號應(yīng)嚴(yán)格分類管理。 訪問控制 系統(tǒng)用戶訪問控制注冊和注銷能夠訪問PKI系統(tǒng)信息和服務(wù)的用戶應(yīng)按正規(guī)的程序執(zhí)行。系統(tǒng)應(yīng)具備使主體與角色相關(guān)聯(lián)的能力，并保證一個(gè)身份不應(yīng)同時(shí)具備多個(gè)角色的權(quán)限。本級的PKI系統(tǒng)要求提供審計(jì)和系統(tǒng)備份功能，管理員的職責(zé)也相應(yīng)的多分配審計(jì)和系統(tǒng)備份權(quán)限。 物理安全進(jìn)行PKI系統(tǒng)硬件設(shè)備、相關(guān)環(huán)境和系統(tǒng)安全的設(shè)計(jì)時(shí)，應(yīng)按照GB/T 21052—2007第5章所描述的要求。PKI系統(tǒng)面臨的風(fēng)險(xiǎn)，應(yīng)按照GB/T 20984—2007進(jìn)行評估。b) 所有系統(tǒng)的安全特性，應(yīng)被全面測試。如果是聯(lián)機(jī)文檔應(yīng)控制對其的訪問。c) 文檔中不應(yīng)提供任何一旦泄露將會(huì)危及系統(tǒng)安全的信息。d) 所有交付的軟件和文檔，應(yīng)進(jìn)行關(guān)于安全缺陷的定期的和書面的檢查，并將檢查結(jié)果告知客戶；e) 指導(dǎo)性文檔應(yīng)同交付的系統(tǒng)軟件一起包裝，并應(yīng)有一套規(guī)程確保當(dāng)前送給用戶的系統(tǒng)軟件是嚴(yán)格按最新的系統(tǒng)版本來制作的。b) 對系統(tǒng)的未授權(quán)修改的風(fēng)險(xiǎn)，應(yīng)在交付時(shí)控制到最低限度。文檔中所描述的內(nèi)容應(yīng)包括：e) producedAt字段應(yīng)指出OCSP響應(yīng)者發(fā)出響應(yīng)的時(shí)間；a) version字段應(yīng)為0；e) thisUpdate應(yīng)包含本次CRL的發(fā)布時(shí)間；至少以下字段應(yīng)被審核：a) 若包含version字段，應(yīng)為1；6) 若issuer字段為空證書應(yīng)包括一個(gè)issuerAltName 的關(guān)鍵性擴(kuò)展；2) 若包含issuerUniqueID或subjectUniqueID字段則version字段應(yīng)為1或2；b) 應(yīng)僅生成與現(xiàn)行證書輪廓中定義相符的證書；b) 自動(dòng)過程檢查和批準(zhǔn)數(shù)據(jù)；任何證書所包含的字段或擴(kuò)展應(yīng)被PKI系統(tǒng)根據(jù)GB/T 205182006生成或經(jīng)由頒發(fā)機(jī)構(gòu)驗(yàn)證以保證其與標(biāo)準(zhǔn)的一致性。a) 若PKI系統(tǒng)發(fā)布OCSP響應(yīng)，PKI系統(tǒng)應(yīng)具備OCSP輪廓并保證OCSP響應(yīng)與輪廓一致；b) issuerAltName。b) CRL的發(fā)布者；b) 公私密鑰對主體的算法標(biāo)識符；g) 與證書相對應(yīng)的私鑰可執(zhí)行的操作；c) 證書發(fā)布者的標(biāo)識符； 終端用戶密鑰由用戶自行存儲。CA向用戶傳送與分發(fā)私鑰應(yīng)以加密形式進(jìn)行，加密算法等應(yīng)符合國家密碼行政管理部門的規(guī)定。 終端用戶密鑰傳送與分發(fā)如果終端用戶自己生成密鑰對，把公鑰傳送給CA是證書注冊過程的一部分。終端用戶密鑰可用軟件方法產(chǎn)生，生成算法和密鑰長度等應(yīng)符合國家密碼行政管理部門的規(guī)定。 CA簽名公私鑰對應(yīng)采用國家密碼行政管理部門認(rèn)可的方法生成，可用軟件方法或硬件密碼設(shè)備產(chǎn)生。 輸出TSF數(shù)據(jù)的保密性在TSF數(shù)據(jù)從TSF到遠(yuǎn)程可信IT產(chǎn)品的傳送過程中，應(yīng)保護(hù)機(jī)密數(shù)據(jù)不被未授權(quán)泄露。管理員應(yīng)對鑒別數(shù)據(jù)進(jìn)行管理。安全屬性包括但不限于身份、組、角色、許可、安全和完整性等級。 標(biāo)識與鑒別標(biāo)識與鑒別包括建立每一個(gè)用戶所聲稱的身份，和驗(yàn)證每一個(gè)用戶確實(shí)是他所聲稱的用戶。 網(wǎng)絡(luò)訪問控制進(jìn)行遠(yuǎn)程訪問時(shí)，PKI系統(tǒng)應(yīng)提供訪問控制。 訪問控制 系統(tǒng)用戶訪問控制PKI系統(tǒng)文檔中，應(yīng)有訪問控制的相關(guān)文檔，訪問控制文檔中的訪問控制策略應(yīng)包含如下幾個(gè)方面：a) 角色及其相應(yīng)的訪問權(quán)限 物理安全進(jìn)行PKI系統(tǒng)硬件設(shè)備、相關(guān)環(huán)境和系統(tǒng)安全的設(shè)計(jì)時(shí)，應(yīng)按照GB/T 21052—2007第4章所描述的要求。TSF TOE安全功能TOE Security Function5 安全等級保護(hù)技術(shù)要求 第一級 概述第一級的PKI系統(tǒng)，由用戶自主保護(hù)，所保護(hù)的資產(chǎn)價(jià)值很低，面臨的安全威脅很小，適用于安全要求非常低的企業(yè)級PKI系統(tǒng)。OCSP 在線證書狀態(tài)協(xié)議Online Certificate Status Protocol4 縮略語以下縮略語適用于本標(biāo)準(zhǔn)：GB/T 205182006 信息安全技術(shù) 公鑰基礎(chǔ)設(shè)施 數(shù)字證書格式凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。1 范圍本標(biāo)準(zhǔn)依據(jù)GB/T AAA—200的五個(gè)安全保護(hù)等級的劃分，規(guī)定了不同等級PKI系統(tǒng)所需要的安全技術(shù)要求。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，提倡使用本標(biāo)準(zhǔn)的各方探討使用其最新版本的可能性。GB/T 202712006 信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求GB/T209842007 信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評估指南3 術(shù)語和定義下列術(shù)語和定義適用于本標(biāo)準(zhǔn)。PKI系統(tǒng)是通過頒發(fā)與管理公鑰證書的方式為終端用戶提供服務(wù)的系統(tǒng)，包括CA、RA、資料庫等基本邏輯部件和OCSP等可選服務(wù)部件以及所依賴的運(yùn)行環(huán)境。分割知識 split knowledge兩個(gè)或兩個(gè)以上實(shí)體分別保存密鑰的一部分，密鑰的每個(gè)部分都不應(yīng)泄露密鑰的明文有效信息，而當(dāng)這些部分在加密模塊中合在一起時(shí)可以得到密鑰的全部信息，這種方法就叫分割知識。保護(hù)輪廓 protection profile一系列滿足特定用戶需求的、為一類評估對象獨(dú)立實(shí)現(xiàn)的安全要求。審計(jì)蹤跡 audit trail記錄一系列審計(jì)信息和事件的日志。終端用戶 terminate user使用PKI系統(tǒng)所提供服務(wù)的遠(yuǎn)程普通用戶。CRL 證書撤銷列表Certificate Revocation ListTOE 評估對象Target Of Evaluation第一級PKI系統(tǒng)的安全要素要求列表見附錄A。管理員角色負(fù)責(zé)：安裝、配置、維護(hù)系統(tǒng)；建立和管理用戶賬戶；配置輪廓；生成部件密鑰。角色的安全功能管理應(yīng)按表1中的配置對授權(quán)的角色修改安全功能的能力進(jìn)行限制。c) 角色的職能分割。PKI系統(tǒng)應(yīng)定義網(wǎng)絡(luò)訪問控制策略。b) 接收用戶發(fā)來的數(shù)據(jù)，但直到系統(tǒng)用戶批準(zhǔn)之后才處理。 用戶標(biāo)識PKI系統(tǒng)的安全功能應(yīng)預(yù)先設(shè)定PKI系統(tǒng)代表用戶執(zhí)行的、與安全功能無關(guān)的動(dòng)作，在標(biāo)識用戶身份之前，允許PKI系統(tǒng)執(zhí)行這些預(yù)設(shè)動(dòng)作，包括：a) 響應(yīng)查詢公開信息（如：在線證書狀態(tài)查詢等）。 數(shù)據(jù)輸入輸出 TSF間用戶數(shù)據(jù)傳送的保密性當(dāng)用戶數(shù)據(jù)通過外部信道在PKI系統(tǒng)之間或PKI系統(tǒng)用戶之間傳遞時(shí)，PKI系統(tǒng)應(yīng)執(zhí)行訪問控制策略，使得能以某種防止未授權(quán)泄露的方式傳送用戶數(shù)據(jù)。在進(jìn)行密鑰生成時(shí)，PKI系統(tǒng)應(yīng)限制非授權(quán)人員的參與。CA公鑰分發(fā)方法應(yīng)適當(dāng)、切實(shí)可行，如提供根證書和CA證書下載、或與終端用戶證書一起下載等，應(yīng)符合國家密碼行政管理部門對密鑰分發(fā)的相關(guān)規(guī)定。如果終端用戶委托CA生成密鑰對，則不需要簽發(fā)前的終端用戶公鑰傳送。CA簽名私鑰應(yīng)存儲于國家密碼行政管理部門規(guī)定的密碼模塊中或由硬件密碼設(shè)備加密后存儲。b) 主體的公私密鑰對可使用的加密算法；f) 證書的主體是否是CA；PKI系統(tǒng)管理員應(yīng)為以下字段和擴(kuò)展指定可能的值：a) 密鑰所有者的標(biāo)識符；CRL輪廓可能要定義的值包括：a) CRL可能或者必須包括的擴(kuò)展和每一擴(kuò)展的可能的值；PKI系統(tǒng)管理員應(yīng)規(guī)定以下字段和擴(kuò)展的可能的取值:a) issuer； 證書管理 證書注冊PKI系統(tǒng)所簽發(fā)的公鑰證書應(yīng)與GB/T 205182006相一致。a) 數(shù)據(jù)被操作員手工批準(zhǔn)；進(jìn)行證書生成時(shí)，a) 應(yīng)僅產(chǎn)生與GB/T 205182006中規(guī)定的證書格式相同的證書；1) version