PKI系統(tǒng)安全等級保護(hù)評估準(zhǔn)則

1、GB/T .PAGE 2：.； 國家質(zhì)量監(jiān)視檢驗檢疫總局 發(fā)布-實施-發(fā)布信息平安技術(shù) 公鑰根底設(shè)備PKI系統(tǒng)平安等級維護(hù)評價準(zhǔn)那么Information security techniques - Public key infrastructure -Evaluation criteria for security classification protection of PKI system報批稿GB/T 中華人民共和國國家規(guī)范ICS 35.020L09目 次 TOC o 1-4 h z u HYPERLINK l _Toc154897835 前 言 PAGEREF _Toc1548978

2、35 h III HYPERLINK l _Toc154897836 引 言 PAGEREF _Toc154897836 h IV HYPERLINK l _Toc154897838 1 范圍 PAGEREF _Toc154897838 h 1 HYPERLINK l _Toc154897839 2 規(guī)范性援用文件 PAGEREF _Toc154897839 h 1 HYPERLINK l _Toc154897840 3 術(shù)語和定義 PAGEREF _Toc154897840 h 1 HYPERLINK l _Toc154897855 4 縮略語 PAGEREF _Toc154897855 h

3、 2 HYPERLINK l _Toc154897856 5 評價內(nèi)容 PAGEREF _Toc154897856 h 2 HYPERLINK l _Toc154897857 5.1 第一級 PAGEREF _Toc154897857 h 2 HYPERLINK l _Toc154897858 5.1.1 概述 PAGEREF _Toc154897858 h 2 HYPERLINK l _Toc154897859 5.1.2 物理平安 PAGEREF _Toc154897859 h 2 HYPERLINK l _Toc154897860 5.1.3 角色與責(zé)任 PAGEREF _Toc1548

4、97860 h 2 HYPERLINK l _Toc154897861 5.1.4 訪問控制 PAGEREF _Toc154897861 h 2 HYPERLINK l _Toc154897862 5.1.5 標(biāo)識與鑒別 PAGEREF _Toc154897862 h 2 HYPERLINK l _Toc154897863 5.1.6 數(shù)據(jù)輸入輸出 PAGEREF _Toc154897863 h 3 HYPERLINK l _Toc154897864 5.1.7 密鑰管理 PAGEREF _Toc154897864 h 3 HYPERLINK l _Toc154897865 5.1.8 輪廓管

5、理 PAGEREF _Toc154897865 h 3 HYPERLINK l _Toc154897866 5.1.9 證書管理 PAGEREF _Toc154897866 h 3 HYPERLINK l _Toc154897867 5.2 第二級 PAGEREF _Toc154897867 h 4 HYPERLINK l _Toc154897868 5.2.1 概述 PAGEREF _Toc154897868 h 4 HYPERLINK l _Toc154897869 5.2.2 物理平安 PAGEREF _Toc154897869 h 4 HYPERLINK l _Toc154897870

6、 5.2.3 角色與責(zé)任 PAGEREF _Toc154897870 h 4 HYPERLINK l _Toc154897871 5.2.4 訪問控制 PAGEREF _Toc154897871 h 4 HYPERLINK l _Toc154897872 5.2.5 標(biāo)識與鑒別 PAGEREF _Toc154897872 h 4 HYPERLINK l _Toc154897873 5.2.6 審計 PAGEREF _Toc154897873 h 5 HYPERLINK l _Toc154897874 5.2.7 數(shù)據(jù)輸入輸出 PAGEREF _Toc154897874 h 5 HYPERLIN

7、K l _Toc154897875 5.2.8 備份與恢復(fù) PAGEREF _Toc154897875 h 5 HYPERLINK l _Toc154897876 5.2.9 密鑰管理 PAGEREF _Toc154897876 h 5 HYPERLINK l _Toc154897877 5.2.10 輪廓管理 PAGEREF _Toc154897877 h 6 HYPERLINK l _Toc154897878 5.2.11 證書管理 PAGEREF _Toc154897878 h 6 HYPERLINK l _Toc154897879 5.3 第三級 PAGEREF _Toc1548978

8、79 h 7 HYPERLINK l _Toc154897880 5.3.1 概述 PAGEREF _Toc154897880 h 7 HYPERLINK l _Toc154897881 5.3.2 物理平安 PAGEREF _Toc154897881 h 7 HYPERLINK l _Toc154897882 5.3.3 角色與責(zé)任 PAGEREF _Toc154897882 h 7 HYPERLINK l _Toc154897883 5.3.4 訪問控制 PAGEREF _Toc154897883 h 7 HYPERLINK l _Toc154897884 5.3.5 標(biāo)識與鑒別 PAGE

9、REF _Toc154897884 h 8 HYPERLINK l _Toc154897885 5.3.6 審計 PAGEREF _Toc154897885 h 8 HYPERLINK l _Toc154897886 5.3.7 數(shù)據(jù)輸入輸出 PAGEREF _Toc154897886 h 9 HYPERLINK l _Toc154897887 5.3.8 備份與恢復(fù) PAGEREF _Toc154897887 h 9 HYPERLINK l _Toc154897888 5.3.9 密鑰管理 PAGEREF _Toc154897888 h 9 HYPERLINK l _Toc154897889

10、 5.3.10 輪廓管理 PAGEREF _Toc154897889 h 11 HYPERLINK l _Toc154897890 5.3.11 證書管理 PAGEREF _Toc154897890 h 11 HYPERLINK l _Toc154897891 5.4 第四級 PAGEREF _Toc154897891 h 11 HYPERLINK l _Toc154897892 5.4.1 概述 PAGEREF _Toc154897892 h 11 HYPERLINK l _Toc154897893 5.4.2 物理平安 PAGEREF _Toc154897893 h 11 HYPERLIN

11、K l _Toc154897894 5.4.3 角色與責(zé)任 PAGEREF _Toc154897894 h 12 HYPERLINK l _Toc154897895 5.4.4 訪問控制 PAGEREF _Toc154897895 h 12 HYPERLINK l _Toc154897896 5.4.5 標(biāo)識與鑒別 PAGEREF _Toc154897896 h 12 HYPERLINK l _Toc154897897 5.4.6 審計 PAGEREF _Toc154897897 h 13 HYPERLINK l _Toc154897898 5.4.7 數(shù)據(jù)輸入輸出 PAGEREF _Toc1

12、54897898 h 13 HYPERLINK l _Toc154897899 5.4.8 備份與恢復(fù) PAGEREF _Toc154897899 h 14 HYPERLINK l _Toc154897900 5.4.9 密鑰管理 PAGEREF _Toc154897900 h 14 HYPERLINK l _Toc154897901 5.4.10 輪廓管理 PAGEREF _Toc154897901 h 16 HYPERLINK l _Toc154897902 5.4.11 證書管理 PAGEREF _Toc154897902 h 16 HYPERLINK l _Toc154897903 5

13、.5 第五級 PAGEREF _Toc154897903 h 16 HYPERLINK l _Toc154897904 5.5.1 概述 PAGEREF _Toc154897904 h 16 HYPERLINK l _Toc154897905 5.5.2 物理平安 PAGEREF _Toc154897905 h 16 HYPERLINK l _Toc154897906 5.5.3 角色與責(zé)任 PAGEREF _Toc154897906 h 17 HYPERLINK l _Toc154897907 5.5.4 訪問控制 PAGEREF _Toc154897907 h 17 HYPERLINK l

14、 _Toc154897908 5.5.5 標(biāo)識與鑒別 PAGEREF _Toc154897908 h 17 HYPERLINK l _Toc154897909 5.5.6 審計 PAGEREF _Toc154897909 h 18 HYPERLINK l _Toc154897910 5.5.7 數(shù)據(jù)輸入輸出 PAGEREF _Toc154897910 h 18 HYPERLINK l _Toc154897911 5.5.8 備份與恢復(fù) PAGEREF _Toc154897911 h 19 HYPERLINK l _Toc154897912 5.5.9 密鑰管理 PAGEREF _Toc1548

15、97912 h 19 HYPERLINK l _Toc154897913 5.5.10 輪廓管理 PAGEREF _Toc154897913 h 21 HYPERLINK l _Toc154897914 5.5.11 證書管理 PAGEREF _Toc154897914 h 21 HYPERLINK l _Toc154897915 附錄A規(guī)范性附錄平安要素要求級別劃分 PAGEREF _Toc154897915 h 22 HYPERLINK l _Toc154897918 參考文獻(xiàn) PAGEREF _Toc154897918 h 23前 言本規(guī)范的附錄A為規(guī)范性附錄。本規(guī)范由全國信息平安規(guī)范化

16、技術(shù)委員會提出并歸口。本規(guī)范起草單位：中國科學(xué)院信息平安國家重點實驗室。本規(guī)范主要起草人： 馮登國、張凡、張立武、路曉明、莊涌。引 言公開密鑰根底設(shè)備是集機(jī)構(gòu)、系統(tǒng)硬件和軟件、人員、程序、戰(zhàn)略和協(xié)議為一體，利用公鑰概念和技術(shù)來實施和提供平安效力的、具有普適性的平安根底設(shè)備。PKI系統(tǒng)是經(jīng)過頒發(fā)與管理公鑰證書的方式為終端用戶提供效力的系統(tǒng)，包括CA、RA、資料庫等根本邏輯部件和密鑰托管、OCSP等可選效力部件以及所依賴的運轉(zhuǎn)環(huán)境。按五級劃分的原那么，制定PKI系統(tǒng)平安等級維護(hù)評價準(zhǔn)那么，詳細(xì)闡明了參照GB17859所提出的平安等級維護(hù)對PKI系統(tǒng)的評價要素。第一級為最低級別，第五級為最高級別，隨

17、著等級的提高，PKI系統(tǒng)平安等級維護(hù)的評價要素也隨之遞增。正文中字體為黑體加粗的內(nèi)容為本級新增部分的要求。本規(guī)范用以指點評價者如何對PKI系統(tǒng)的平安維護(hù)等級進(jìn)展評價，主要從對PKI系統(tǒng)的平安維護(hù)等級進(jìn)展劃分的角度來闡明其評價內(nèi)容。評價者可以根據(jù)各級別的詳細(xì)要求，對評價對象進(jìn)展評價，確定評價對象的平安維護(hù)級別。對于實現(xiàn)本規(guī)范中規(guī)定的評價內(nèi)容的平安技術(shù)與采取的平安保證措施，應(yīng)參照GB/T AAA200中的規(guī)定進(jìn)展設(shè)計和開發(fā)。信息平安技術(shù) 公鑰根底設(shè)備PKI系統(tǒng)平安等級維護(hù)評價準(zhǔn)那么范圍本規(guī)范參照GB17859-1999的五個平安維護(hù)等級的劃分，對PKI系統(tǒng)平安維護(hù)進(jìn)展等級劃分，規(guī)定了不同等級PKI

18、系統(tǒng)所需求滿足的評價內(nèi)容。本規(guī)范適用于PKI系統(tǒng)的平安維護(hù)等級的評價，對于PKI系統(tǒng)平安功能的研制、開發(fā)、測試和產(chǎn)品采購亦可參照運用。規(guī)范性援用文件以下文件中的條款經(jīng)過本規(guī)范的援用而成為本規(guī)范的條款。凡是注日期的援用文件，其隨后一切的修正單不包括訂正的內(nèi)容或修訂版均不適用于本規(guī)范，然而，鼓勵根據(jù)本規(guī)范達(dá)成協(xié)議的各方研討能否可運用這些文件的最新版本。凡是不注日期的援用文件，其最新版本適用于本規(guī)范。GB17859-1999計算機(jī)信息系統(tǒng)平安維護(hù)等級劃分準(zhǔn)那么GB/T 19713-2005信息平安技術(shù)公鑰根底設(shè)備在線證書形狀協(xié)議GB/T 20518-2006信息平安技術(shù)公鑰根底設(shè)備數(shù)字證書格式GB/

19、T AAA200信息平安技術(shù)公鑰根底設(shè)備PKI系統(tǒng)平安等級維護(hù)技術(shù)要求GB/T BBB200信息平安技術(shù)信息系統(tǒng)物理平安技術(shù)要求GB/T CCC200信息平安技術(shù)公鑰根底設(shè)備證書認(rèn)證系統(tǒng)密碼及其相關(guān)平安技術(shù)規(guī)范術(shù)語和定義以下術(shù)語和定義適用于本規(guī)范。公開密鑰根底設(shè)備 public key infrastructure公開密鑰根底設(shè)備是支持公鑰管理體制的根底設(shè)備，提供鑒別、加密、完好性和不可否認(rèn)性效力。PKI系統(tǒng) PKI systemPKI系統(tǒng)是經(jīng)過頒發(fā)與管理公鑰證書的方式為終端用戶提供效力的系統(tǒng)，包括CA、RA、資料庫等根本邏輯部件和密鑰托管、OCSP等可選效力部件以及所依賴的運轉(zhuǎn)環(huán)境。平安級別

20、 security level分層的平安等級與表示對象的敏感度或個人的平安答應(yīng)的平安種類的組合。分割知識 split knowledge兩個或兩個以上實體分別保管密鑰的一部分，密鑰的每個部分都不應(yīng)泄露密鑰的明文有效信息，而當(dāng)這些部分在加密模塊中合在一同時可以得到密鑰的全部信息，這種方法就叫分割知識。分割知識程序 split knowledge procedure用來實現(xiàn)分割知識的程序。系統(tǒng)用戶 system user對PKI系統(tǒng)進(jìn)展管理、操作、審計、備份、恢復(fù)的任務(wù)人員，系統(tǒng)用戶普通在PKI系統(tǒng)中被賦予了指定的角色。終端用戶 terminate user運用PKI系統(tǒng)所提供效力的遠(yuǎn)程普通用戶。

21、縮略語以下縮略語在本規(guī)范各部分通用：CA認(rèn)證機(jī)構(gòu)Certification AuthorityCPS認(rèn)證慣例陳說Certification Practice StatementCRL證書撤銷列表Certificate Revocation ListOCSP在線證書形狀協(xié)議Online Certificate Status ProtocolPP維護(hù)輪廓Protection ProfileRA注冊機(jī)構(gòu)Registration AuthoritySF平安功能Security FunctionST平安目的Security TargetTOE評價對象Target of EvaluationTSFTOE平

22、安功能TOE Security Function評價內(nèi)容第一級概述第一級的PKI系統(tǒng)，由用戶自主維護(hù)，所維護(hù)的資產(chǎn)價值很低，面臨的平安要挾很小。構(gòu)造上，PKI系統(tǒng)的CA、RA、證書資料庫可沒有明確的分化。第一級PKI系統(tǒng)的平安要素要求列表見附錄A.1。物理平安應(yīng)按照GB/T BBB200第4章所描畫的要求，對PKI系統(tǒng)硬件及相關(guān)環(huán)境進(jìn)展評價。角色與責(zé)任PKI系統(tǒng)應(yīng)對系統(tǒng)用戶提供管理員和操作員的角色定義。管理員角色：擔(dān)任安裝、配置、維護(hù)系統(tǒng)；建立和管理用戶賬戶；配置輪廓；生成部件密鑰。操作員角色：擔(dān)任簽發(fā)和撤銷證書。系統(tǒng)用戶應(yīng)按照角色的平安功能管理進(jìn)展權(quán)限限制。訪問控制系統(tǒng)用戶訪問控制PKI系統(tǒng)

23、文檔中，應(yīng)有訪問控制的相關(guān)文檔，訪問控制文檔中的訪問控制戰(zhàn)略應(yīng)包含如下幾個方面：角色及其相應(yīng)的訪問權(quán)限；標(biāo)識和鑒別系統(tǒng)用戶的過程；角色的職能分割。網(wǎng)絡(luò)訪問控制用戶可以且只能直接訪問被授權(quán)運用的效力。遠(yuǎn)程用戶只需被認(rèn)證后，PKI系統(tǒng)才允許訪問。銜接到遠(yuǎn)程計算機(jī)系統(tǒng)應(yīng)被認(rèn)證。標(biāo)識與鑒別用戶屬性定義PKI系統(tǒng)應(yīng)維護(hù)每個用戶的平安屬性。用戶鑒別在用戶身份被鑒別之前，PKI系統(tǒng)可執(zhí)行與平安功能無關(guān)的動作。在執(zhí)行其他的平安功能引起的動作之前，用戶應(yīng)勝利鑒別本人。用戶標(biāo)識在用戶標(biāo)識本人身份之前，PKI系統(tǒng)可代表用戶執(zhí)行與平安功能無關(guān)的動作。用戶應(yīng)勝利標(biāo)識本人之后，才干執(zhí)行其他的平安功能引起的操作動作。 用戶

24、主體綁定PKI系統(tǒng)應(yīng)經(jīng)過用戶主體綁定建立和維護(hù)用戶與用戶主體之間的關(guān)聯(lián)，運用戶的身份與該用戶的一切可審計行為相關(guān)聯(lián)。數(shù)據(jù)輸入輸出TSF間用戶數(shù)據(jù)傳送的嚴(yán)密性當(dāng)用戶數(shù)據(jù)經(jīng)過外部信道在PKI系統(tǒng)之間或PKI系統(tǒng)用戶之間傳送時，PKI系統(tǒng)應(yīng)執(zhí)行訪問控制戰(zhàn)略，使得能以某種防止未授權(quán)泄露的方式傳送用戶數(shù)據(jù)。輸出TSF數(shù)據(jù)的嚴(yán)密性在TSF數(shù)據(jù)從TSF到遠(yuǎn)程可信IT產(chǎn)品的傳送過程中，應(yīng)維護(hù)數(shù)據(jù)不被未授權(quán)泄露。密鑰管理密鑰生成密鑰生成過程PKI系統(tǒng)的系統(tǒng)用戶密鑰應(yīng)由相應(yīng)級別的CA或RA等機(jī)構(gòu)生成。在密鑰生成時應(yīng)采取平安控制。CA簽名公私鑰對應(yīng)采用國家密碼管理局認(rèn)可的方法生成。在密鑰生成時應(yīng)采取平安控制，只需管

25、理員才干啟動CA密鑰生成過程。終端用戶密鑰可由用戶生成，也可委托CA、RA等PKI系統(tǒng)的效力機(jī)構(gòu)生成。生成方法應(yīng)符合國家密碼管理局的規(guī)定。密鑰傳送與分發(fā)PKI系統(tǒng)的系統(tǒng)用戶密鑰的傳送與分發(fā)該當(dāng)以加密方式平安進(jìn)展。CA公鑰分發(fā)方法該當(dāng)真實可行。假設(shè)終端用戶本人生成密鑰對，終端用戶應(yīng)將公鑰平安的提交給PKI系統(tǒng)。假設(shè)終端用戶委托CA生成密鑰對，那么不需求簽發(fā)前的公鑰傳送，CA向用戶傳送與分發(fā)私鑰該當(dāng)以加密方式平安進(jìn)展。密鑰存儲PKI系統(tǒng)的系統(tǒng)用戶密鑰與CA簽名私鑰應(yīng)存儲于國家密碼管理局規(guī)定的密碼模塊中或以加密的方式存儲，終端用戶密鑰由用戶自行存儲。輪廓管理證書輪廓管理PKI系統(tǒng)應(yīng)具備證書輪廓，并保

26、證發(fā)行的證書與證書輪廓中的描畫一致。證書撤銷列表輪廓管理假設(shè)PKI系統(tǒng)發(fā)布CRL，TSF應(yīng)具備證書撤銷列表輪廓，并保證發(fā)行的CRL與該輪廓中的規(guī)定相一致。在線證書形狀協(xié)議輪廓管理OCSP輪廓應(yīng)規(guī)定PKI系統(tǒng)能夠產(chǎn)生的字段類型和字段類型可接受的變量值。證書管理證書注冊PKI系統(tǒng)所簽發(fā)的公鑰證書應(yīng)與GB/T 20518-2006相一致。任何證書所包含的字段或擴(kuò)展應(yīng)由PKI系統(tǒng)根據(jù)GB/T 20518-2006生成，或經(jīng)由頒發(fā)機(jī)構(gòu)驗證以保證其與規(guī)范的一致性。應(yīng)僅產(chǎn)生與GB/T 20518-2006中規(guī)定的證書格式一樣的證書；應(yīng)僅生成與現(xiàn)行證書輪廓中定義相符的證書；PKI系統(tǒng)應(yīng)驗證預(yù)期的證書主體擁有與

27、證書中包含的公鑰相對應(yīng)的私鑰，除非公私密鑰對是由PKI系統(tǒng)所產(chǎn)生的；評價者應(yīng)檢查PKI系統(tǒng)產(chǎn)生的證書能否滿足實踐要求。證書撤銷證書撤銷列表審核發(fā)布CRL的PKI系統(tǒng)應(yīng)驗證一切強(qiáng)迫性字段的值符合GB/T 20518-2006。OCSP根本回應(yīng)的審核發(fā)布OCSP呼應(yīng)的PKI系統(tǒng)應(yīng)驗證一切強(qiáng)迫性字段的值符合GB/T 19713-2005。第二級概述第二級的PKI系統(tǒng)，應(yīng)提供審計才干，所維護(hù)的資產(chǎn)價值低，面臨的平安要挾小。構(gòu)造上，PKI系統(tǒng)的CA、RA可不進(jìn)展明確的分化，證書資料庫應(yīng)獨立設(shè)計。第二級PKI系統(tǒng)的平安要素要求列表見附錄A.1。物理平安應(yīng)按照GB/T BBB200第5章所描畫的要求，對PK

28、I系統(tǒng)硬件及相關(guān)環(huán)境進(jìn)展評價。角色與責(zé)任PKI系統(tǒng)應(yīng)對系統(tǒng)用戶提供管理員和操作員的角色定義。管理員角色：擔(dān)任安裝、配置、維護(hù)系統(tǒng)；建立和管理用戶賬戶；配置輪廓和審計參數(shù)；生成部件密鑰；查看和維護(hù)審計日志；執(zhí)行系統(tǒng)的備份和恢復(fù)。操作員角色：擔(dān)任簽發(fā)和撤銷證書。系統(tǒng)用戶應(yīng)按照角色的平安功能管理進(jìn)展權(quán)限限制。系統(tǒng)應(yīng)具備使主體與角色相關(guān)聯(lián)的才干，并保證一個身份不應(yīng)同時具備多個角色的權(quán)限。訪問控制系統(tǒng)用戶訪問控制注冊和注銷可以訪問PKI系統(tǒng)信息和效力的用戶應(yīng)按正規(guī)的程序執(zhí)行。分配或者運用系統(tǒng)特權(quán)時，應(yīng)進(jìn)展嚴(yán)厲的限制和控制。進(jìn)展口令分配時，應(yīng)經(jīng)過正規(guī)的程序控制。選取和運用口令時系統(tǒng)用戶應(yīng)按照已定義的戰(zhàn)略和

29、程序進(jìn)展。PKI系統(tǒng)文檔中，應(yīng)有訪問控制的相關(guān)文檔，訪問控制文檔中的訪問控制戰(zhàn)略應(yīng)包含如下幾個方面：角色及其相應(yīng)的訪問權(quán)限；標(biāo)識和鑒別系統(tǒng)用戶的過程；角色的職能分割。網(wǎng)絡(luò)訪問控制用戶可以且只能直接訪問被授權(quán)運用的效力。用戶終端到PKI系統(tǒng)效力的途徑應(yīng)是受控的。遠(yuǎn)程用戶只需被認(rèn)證后，PKI系統(tǒng)才允許訪問。銜接到遠(yuǎn)程計算機(jī)系統(tǒng)應(yīng)被認(rèn)證。對PKI系統(tǒng)診斷分析端口的訪問應(yīng)進(jìn)展平安控制。 操作系統(tǒng)訪問控制每個用戶只需獨一的ID,以便在PKI系統(tǒng)的操作可以被記錄追蹤。 經(jīng)過指定時間的不活動形狀，正在訪問PKI效力系統(tǒng)的終端超時進(jìn)入維護(hù)形狀以防未授權(quán)用戶訪問。對高風(fēng)險的運用應(yīng)限制銜接次數(shù)以提供額外的維護(hù)。標(biāo)

30、識與鑒別用戶屬性定義PKI系統(tǒng)應(yīng)維護(hù)每個用戶的平安屬性。用戶鑒別在用戶身份被鑒別之前，PKI系統(tǒng)可執(zhí)行與平安功能無關(guān)的動作。在執(zhí)行其他的平安功能引起的動作之前，用戶應(yīng)勝利鑒別本人。用戶標(biāo)識在用戶標(biāo)識本人身份之前，PKI系統(tǒng)可代表用戶執(zhí)行與平安功能無關(guān)的動作。用戶應(yīng)勝利標(biāo)識本人之后，才干執(zhí)行其他的平安功能引起的操作動作。用戶主體綁定PKI系統(tǒng)應(yīng)經(jīng)過用戶主體綁定建立和維護(hù)用戶與用戶主體之間的關(guān)聯(lián)，運用戶的身份與該用戶的一切可審計行為相關(guān)聯(lián)。鑒別失敗處置PKI系統(tǒng)的平安功能應(yīng)能檢測到與鑒別事件相關(guān)的不勝利的鑒別嘗試。審計審計數(shù)據(jù)產(chǎn)生PKI系統(tǒng)平安功能應(yīng)能為系統(tǒng)的可審計事件生成一個審計記錄，并在每一個

31、審計記錄中記錄根本信息。PKI系統(tǒng)平安功能應(yīng)能維護(hù)系統(tǒng)的可審計事件。審計查閱PKI系統(tǒng)平安功能應(yīng)為管理員提供從審計記錄中讀取一定類型的審計信息的才干。選擇性審計審計功能部件應(yīng)可根據(jù)根本屬性選擇或排除審計事件中的可審計事件。審計事件存儲審計功能部件應(yīng)可以防止對審計記錄的非授權(quán)修正，并可檢測對審計記錄的修正；當(dāng)審計蹤跡存儲已滿時，審計功能部件應(yīng)可以阻止除由管理員發(fā)起的以外的一切審計事件的發(fā)生。數(shù)據(jù)輸入輸出TOE內(nèi)部用戶數(shù)據(jù)傳送在PKI系統(tǒng)的物理分隔部件間傳送用戶數(shù)據(jù)時，PKI系統(tǒng)應(yīng)執(zhí)行訪問控制戰(zhàn)略，以防止平安相關(guān)的用戶數(shù)據(jù)被篡改以及性用戶數(shù)據(jù)的泄露。TSF間用戶數(shù)據(jù)傳送的嚴(yán)密性當(dāng)用戶數(shù)據(jù)經(jīng)過外部信

32、道在PKI系統(tǒng)之間或PKI系統(tǒng)用戶之間傳送時，PKI系統(tǒng)應(yīng)執(zhí)行訪問控制戰(zhàn)略，使得能以某種防止未授權(quán)泄露的方式傳送用戶數(shù)據(jù)。輸出TSF數(shù)據(jù)的嚴(yán)密性在TSF數(shù)據(jù)從TSF到遠(yuǎn)程可信IT產(chǎn)品的傳送過程中，應(yīng)維護(hù)數(shù)據(jù)不被未授權(quán)泄露。TOE內(nèi)TSF數(shù)據(jù)的傳送PKI系統(tǒng)應(yīng)維護(hù)平安相關(guān)的TSF數(shù)據(jù)在分別的PKI部件間傳送時不被篡改，維護(hù)性TSF數(shù)據(jù)在分別的PKI部件間傳送時不被泄露。備份與恢復(fù)PKI系統(tǒng)應(yīng)具有備份和恢復(fù)功能，并可在需求時調(diào)用備份功能。在系統(tǒng)備份數(shù)據(jù)中應(yīng)保管足夠的信息使系統(tǒng)可以重建備份時的系統(tǒng)形狀。密鑰管理密鑰生成算法選取算法的強(qiáng)度不應(yīng)基于算法的嚴(yán)密性，應(yīng)基于密鑰的嚴(yán)密性。算法應(yīng)公布于眾并被普遍

33、以為是平安的。對稱算法、非對稱算法、數(shù)據(jù)摘要算法，都應(yīng)采用國家密碼管理局同意的算法。密鑰生成過程PKI系統(tǒng)的部件密鑰和系統(tǒng)用戶密鑰應(yīng)由相應(yīng)級別的CA或RA等機(jī)構(gòu)生成。在密鑰生成時應(yīng)采取平安控制。CA簽名公私鑰對應(yīng)采用國家密碼管理局認(rèn)可的方法生成。在密鑰生成時應(yīng)采取平安控制，只需管理員才干啟動CA密鑰生成過程。終端用戶密鑰可由用戶生成，也可委托CA、RA等PKI系統(tǒng)的效力機(jī)構(gòu)生成。生成方法應(yīng)符合國家密碼管理局的規(guī)定。密鑰傳送與分發(fā)PKI系統(tǒng)的部件密鑰和系統(tǒng)用戶密鑰的傳送與分發(fā)該當(dāng)以加密方式平安進(jìn)展。CA公鑰分發(fā)方法該當(dāng)真實可行，并該當(dāng)保證CA公鑰的完好性。假設(shè)終端用戶本人生成密鑰對，終端用戶應(yīng)將

34、公鑰平安的提交給PKI系統(tǒng)。假設(shè)終端用戶委托CA生成密鑰對，那么不需求簽發(fā)前的公鑰傳送，CA向用戶傳送與分發(fā)私鑰該當(dāng)以加密方式平安進(jìn)展。密鑰存儲PKI系統(tǒng)的部件密鑰系統(tǒng)用戶密鑰與CA簽名私鑰應(yīng)存儲于國家密碼管理局規(guī)定的密碼模塊中或以加密的方式存儲，終端用戶密鑰由用戶自行存儲。密鑰導(dǎo)入導(dǎo)出一切密鑰導(dǎo)入導(dǎo)出PKI系統(tǒng)，應(yīng)采用國家密碼管理局認(rèn)可的加密算法或加密設(shè)備。私鑰不應(yīng)以明文方式導(dǎo)入導(dǎo)出PKI系統(tǒng)。PKI系統(tǒng)應(yīng)把導(dǎo)入導(dǎo)出的密鑰與正確實體相關(guān)聯(lián)，并賦予相應(yīng)的權(quán)限。密鑰銷毀PKI系統(tǒng)應(yīng)提供銷毀明文對稱密鑰和私有密鑰的方法。輪廓管理證書輪廓管理根本證書輪廓管理PKI系統(tǒng)應(yīng)具備證書輪廓，并保證發(fā)行的證書

35、與證書輪廓中的描畫一致。擴(kuò)展的證書輪廓管理管理員應(yīng)為證書擴(kuò)展指定能夠的值。證書撤銷列表輪廓管理根本證書撤銷列表輪廓假設(shè)PKI系統(tǒng)發(fā)布CRL，TSF應(yīng)具備證書撤銷列表輪廓，并保證發(fā)行的CRL與該輪廓中的規(guī)定相一致。擴(kuò)展的證書撤銷列表輪廓假設(shè)PKI系統(tǒng)發(fā)布CRL，管理員應(yīng)指定CRL和CRL擴(kuò)展可接受的值。在線證書形狀協(xié)議輪廓管理OCSP輪廓應(yīng)規(guī)定PKI系統(tǒng)能夠產(chǎn)生的字段類型和字段類型可接受的變量值。證書管理證書注冊PKI系統(tǒng)所簽發(fā)的公鑰證書應(yīng)與GB/T 20518-2006相一致。任何證書所包含的字段或擴(kuò)展應(yīng)由PKI系統(tǒng)根據(jù)GB/T 20518-2006生成，或經(jīng)由頒發(fā)機(jī)構(gòu)驗證以保證其與規(guī)范的一致

36、性。應(yīng)僅產(chǎn)生與GB/T 20518-2006中規(guī)定的證書格式一樣的證書；應(yīng)僅生成與現(xiàn)行證書輪廓中定義相符的證書；PKI系統(tǒng)應(yīng)驗證預(yù)期的證書主體擁有與證書中包含的公鑰相對應(yīng)的私鑰，除非公私密鑰對是由PKI系統(tǒng)所產(chǎn)生的；評價者應(yīng)檢查PKI系統(tǒng)產(chǎn)生的證書能否滿足實踐要求。證書撤銷證書撤銷列表審核發(fā)布CRL的PKI系統(tǒng)應(yīng)驗證一切強(qiáng)迫性字段的值符合GB/T 20518-2006。OCSP根本回應(yīng)的審核發(fā)布OCSP呼應(yīng)的PKI系統(tǒng)應(yīng)驗證一切強(qiáng)迫性字段的值符合GB/T 19713-2005。第三級概述第三級的PKI系統(tǒng)，所維護(hù)的資產(chǎn)價值較高，面臨的平安要挾較大，應(yīng)提供全面的平安維護(hù)。構(gòu)造上，PKI系統(tǒng)的CA

37、、RA、證書資料庫應(yīng)獨立設(shè)計，并采用雙證書簽名證書和加密證書機(jī)制，建立雙中心證書認(rèn)證中心和密鑰管理中心，其相關(guān)平安應(yīng)符合GB/T CCC200的要求。第三級PKI系統(tǒng)的平安要素要求列表見附錄A.1。物理平安中心部件物理平安應(yīng)按照GB/T BBB200第6章所描畫的要求，對PKI系統(tǒng)硬件及相關(guān)環(huán)境進(jìn)展評價。RA物理平安RA可有多種建立方式。RA應(yīng)設(shè)置專門的區(qū)域來接待日常業(yè)務(wù)。RA應(yīng)妥善保管私鑰。RA設(shè)備應(yīng)有平安人員和電子監(jiān)控設(shè)備維護(hù)防盜。一切的活動都應(yīng)被授權(quán)人員或平安人員監(jiān)控。RA對外效力的時間應(yīng)被嚴(yán)厲限制。維修和效力人員在任務(wù)區(qū)域應(yīng)受監(jiān)控。角色與責(zé)任PKI系統(tǒng)應(yīng)對系統(tǒng)用戶提供管理員、操作員和審

38、計員的角色定義。管理員角色：擔(dān)任安裝、配置、維護(hù)系統(tǒng)；建立和管理用戶賬戶；配置輪廓和審計參數(shù)；生成部件密鑰；執(zhí)行系統(tǒng)的備份和恢復(fù)。操作員角色：擔(dān)任簽發(fā)和撤銷證書。審計員角色：擔(dān)任查看和維護(hù)審計日志。系統(tǒng)應(yīng)具備使主體與角色相關(guān)聯(lián)的才干，并保證一個身份不應(yīng)同時具備多個角色的權(quán)限。系統(tǒng)用戶應(yīng)按照角色的平安功能管理進(jìn)展權(quán)限限制。訪問控制系統(tǒng)用戶訪問控制注冊和注銷可以訪問PKI系統(tǒng)信息和效力的用戶應(yīng)按正規(guī)的程序執(zhí)行。分配或者運用系統(tǒng)特權(quán)時，應(yīng)進(jìn)展嚴(yán)厲的限制和控制。進(jìn)展口令分配時，應(yīng)經(jīng)過正規(guī)的程序控制。應(yīng)定期審核系統(tǒng)用戶的訪問權(quán)限。選取和運用口令時系統(tǒng)用戶應(yīng)按照已定義的戰(zhàn)略和程序進(jìn)展。對無人值守的設(shè)備應(yīng)有

39、適當(dāng)?shù)木S護(hù)措施。PKI系統(tǒng)文檔中，應(yīng)有訪問控制的相關(guān)文檔，訪問控制文檔中的訪問控制戰(zhàn)略應(yīng)包含如下幾個方面：角色及其相應(yīng)的訪問權(quán)限；標(biāo)識和鑒別系統(tǒng)用戶的過程；角色的職能分割；進(jìn)展PKI系統(tǒng)的特定操作時需求的最小系統(tǒng)用戶人數(shù)。網(wǎng)絡(luò)訪問控制用戶可以且只能直接訪問被授權(quán)運用的效力。用戶終端到PKI系統(tǒng)效力的途徑應(yīng)是受控的。遠(yuǎn)程用戶只需被認(rèn)證后，PKI系統(tǒng)才允許訪問。銜接到遠(yuǎn)程計算機(jī)系統(tǒng)應(yīng)被認(rèn)證。對PKI系統(tǒng)診斷分析端口的訪問應(yīng)進(jìn)展平安控制。PKI系統(tǒng)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間應(yīng)設(shè)置平安控制。按照PKI系統(tǒng)的訪問控制戰(zhàn)略，應(yīng)限制用戶可用的效力。路由控制應(yīng)保證計算機(jī)銜接和信息流不違背系統(tǒng)的訪問控制戰(zhàn)略。PKI

40、系統(tǒng)一切網(wǎng)絡(luò)效力的平安屬性要求在PKI系統(tǒng)文檔中有相關(guān)闡明。操作系統(tǒng)訪問控制PKI系統(tǒng)的訪問應(yīng)運用平安的登錄過程。每個用戶只需獨一的ID,以便在PKI系統(tǒng)的操作可以被記錄追蹤。系統(tǒng)的口令管理應(yīng)提供工具確保生成高質(zhì)量的口令。對系統(tǒng)工具的運用應(yīng)進(jìn)展嚴(yán)厲的控制。經(jīng)過指定時間的不活動形狀，正在訪問PKI效力系統(tǒng)的終端超時進(jìn)入維護(hù)形狀以防未授權(quán)用戶訪問。對高風(fēng)險的運用應(yīng)限制銜接次數(shù)以提供額外的維護(hù)。運用訪問控制應(yīng)根據(jù)訪問控制戰(zhàn)略，嚴(yán)厲限制對信息和運用系統(tǒng)功能訪問。標(biāo)識與鑒別用戶屬性定義PKI系統(tǒng)應(yīng)維護(hù)每個用戶的平安屬性。用戶鑒別在用戶身份被鑒別之前，PKI系統(tǒng)可執(zhí)行與平安功能無關(guān)的動作。在執(zhí)行其他的平安

41、功能引起的動作之前，用戶應(yīng)勝利鑒別本人。PKI系統(tǒng)應(yīng)提供多鑒別機(jī)制，對不同身份的用戶運用不同的鑒別機(jī)制。當(dāng)進(jìn)展鑒別時，PKI系統(tǒng)的平安功能應(yīng)防止提供應(yīng)用戶的反響泄露用戶的鑒別數(shù)據(jù)。用戶標(biāo)識在用戶標(biāo)識本人身份之前，PKI系統(tǒng)可代表用戶執(zhí)行與平安功能無關(guān)的動作。用戶應(yīng)勝利標(biāo)識本人之后，才干執(zhí)行其他的平安功能引起的操作動作。用戶主體綁定PKI系統(tǒng)應(yīng)經(jīng)過用戶主體綁定建立和維護(hù)用戶與用戶主體之間的關(guān)聯(lián)，運用戶的身份與該用戶的一切可審計行為相關(guān)聯(lián)。鑒別失敗處置PKI系統(tǒng)的平安功能應(yīng)能檢測到與鑒別事件相關(guān)的不勝利的鑒別嘗試。當(dāng)用戶自從上次鑒別勝利以來不勝利的鑒別嘗試的次數(shù)到達(dá)或超越了定義的界限時，PKI系統(tǒng)

42、應(yīng)采取應(yīng)對措施。的規(guī)范當(dāng)用來對用戶身份鑒別的口令、密鑰等信息由用戶產(chǎn)生時，PKI系統(tǒng)應(yīng)對可接受的信息的質(zhì)量做出要求，并檢查。信息質(zhì)量量度由管理員制定。當(dāng)用來對用戶身份鑒別的口令、密鑰等信息由PKI系統(tǒng)產(chǎn)生時，PKI系統(tǒng)應(yīng)可生成符合信息質(zhì)量要求的信息。信息質(zhì)量量度由管理員制定。審計審計數(shù)據(jù)產(chǎn)生PKI系統(tǒng)平安功能應(yīng)能為系統(tǒng)的可審計事件生成一個審計記錄，并在每一個審計記錄中至少記錄根本信息。PKI系統(tǒng)平安功能應(yīng)能維護(hù)系統(tǒng)的可審計事件。審計查閱PKI系統(tǒng)平安功能應(yīng)為審計員提供從審計記錄中讀取一定類型的審計信息的才干。選擇性審計審計功能部件應(yīng)可根據(jù)根本屬性選擇或排除審計事件中的可審計事件。審計事件存儲審

43、計功能部件應(yīng)可以防止對審計記錄的非授權(quán)修正，并可檢測對審計記錄的修正；當(dāng)審計蹤跡存儲已滿時，審計功能部件應(yīng)可以阻止除由審計員發(fā)起的以外的一切審計事件的發(fā)生。審計日志簽名審計功能部件應(yīng)定期對審計日志做完好性維護(hù)。對審計日志簽名的時間周期應(yīng)是可配置的。對審計日志簽名的事件應(yīng)寫入審計日志中，簽名結(jié)果應(yīng)包含在其中。數(shù)據(jù)輸入輸出TOE內(nèi)部用戶數(shù)據(jù)傳送在PKI系統(tǒng)的物理分隔部件間傳送用戶數(shù)據(jù)時，PKI系統(tǒng)應(yīng)執(zhí)行訪問控制戰(zhàn)略，以防止平安相關(guān)的用戶數(shù)據(jù)被篡改以及性用戶數(shù)據(jù)的泄露。TSF間用戶數(shù)據(jù)傳送的嚴(yán)密性當(dāng)用戶數(shù)據(jù)經(jīng)過外部信道在PKI系統(tǒng)之間或PKI系統(tǒng)用戶之間傳送時，PKI系統(tǒng)應(yīng)執(zhí)行訪問控制戰(zhàn)略，使得能以

44、某種防止未授權(quán)泄露的方式傳送用戶數(shù)據(jù)。輸出TSF數(shù)據(jù)的嚴(yán)密性在TSF數(shù)據(jù)從TSF到遠(yuǎn)程可信IT產(chǎn)品的傳送過程中，應(yīng)維護(hù)數(shù)據(jù)不被未授權(quán)泄露。TOE內(nèi)TSF數(shù)據(jù)的傳送PKI系統(tǒng)應(yīng)維護(hù)平安相關(guān)的TSF數(shù)據(jù)在分別的PKI部件間傳送時不被篡改，維護(hù)性TSF數(shù)據(jù)在分別的PKI部件間傳送時不被泄露。原發(fā)抗抵賴PKI系統(tǒng)在任何時候都應(yīng)對證書形狀信息和其他平安相關(guān)信息強(qiáng)迫產(chǎn)生原發(fā)證據(jù)。PKI系統(tǒng)應(yīng)能為一切平安相關(guān)的信息提供驗證信息原發(fā)證據(jù)的才干。備份與恢復(fù)PKI系統(tǒng)應(yīng)具有備份和恢復(fù)功能，并可在需求時調(diào)用備份功能。在系統(tǒng)備份數(shù)據(jù)中應(yīng)保管足夠的信息使系統(tǒng)可以重建備份時的系統(tǒng)形狀。并經(jīng)過完好性維護(hù)措施防止備份數(shù)據(jù)遭到

45、未授權(quán)的修正。關(guān)鍵平安參數(shù)和其他信息應(yīng)以加密方式存儲。密鑰管理密鑰生成算法選取算法的強(qiáng)度不應(yīng)基于算法的嚴(yán)密性，應(yīng)基于密鑰的嚴(yán)密性。算法應(yīng)公布于眾并被普遍以為是平安的。在PKI系統(tǒng)的環(huán)境計算才干下，算法的效率應(yīng)滿足用戶要求。對稱算法、非對稱算法、數(shù)據(jù)摘要算法，都應(yīng)采用國家密碼管理局同意的算法。簽名中的音訊摘要算法不應(yīng)降低簽名算法的平安強(qiáng)度。算法應(yīng)支持PKI系統(tǒng)的互操作。PKI系統(tǒng)選定適宜的密碼模塊后，文檔中應(yīng)闡明所選用的密碼算法和數(shù)據(jù)摘要算法。密鑰生成過程PKI系統(tǒng)部件密鑰和系統(tǒng)用戶密鑰應(yīng)由相應(yīng)級別的CA或RA等機(jī)構(gòu)生成。在密鑰生成時應(yīng)采取平安控制。CA簽名公私鑰對應(yīng)采用國家密碼管理局認(rèn)可的方法

46、生成。在密鑰生成時應(yīng)采取平安控制，只需管理員才干啟動CA密鑰生成過程，而且生成過程中應(yīng)有多個管理員同時在場。終端用戶密鑰可由用戶生成，也可委托CA、RA等PKI系統(tǒng)的效力機(jī)構(gòu)生成。生成方法應(yīng)符合國家密碼管理局的規(guī)定。PKI系統(tǒng)的文檔中應(yīng)明確規(guī)定密鑰生成方法。密鑰傳送與分發(fā)PKI系統(tǒng)的部件密鑰和系統(tǒng)用戶密鑰的傳送與分發(fā)該當(dāng)以加密方式平安進(jìn)展。CA公鑰分發(fā)方法該當(dāng)真實可行，并該當(dāng)保證CA公鑰的完好性。PKI系統(tǒng)的文檔中應(yīng)明確闡明CA公鑰分發(fā)方法。假設(shè)終端用戶本人生成密鑰對，終端用戶應(yīng)將公鑰平安的提交給PKI系統(tǒng)。假設(shè)終端用戶委托CA生成密鑰對，那么不需求簽發(fā)前的公鑰傳送，CA向用戶傳送與分發(fā)私鑰該

47、當(dāng)以加密方式平安進(jìn)展。PKI系統(tǒng)的文檔中應(yīng)明確規(guī)定用戶公鑰傳送方法。密鑰存儲PKI系統(tǒng)部件密鑰和系統(tǒng)用戶密鑰應(yīng)存儲于國家密碼管理局規(guī)定的密碼模塊中或以加密的方式存儲，CA簽名公私鑰對應(yīng)以加密的方式存儲于硬件密碼設(shè)備中。假設(shè)終端用戶密鑰在PKI系統(tǒng)效力部件中存儲，那么應(yīng)以加密的方式存儲。假設(shè)終端用戶密鑰由用戶自行存儲，那么由其選擇存儲方式。PKI系統(tǒng)的文檔中應(yīng)明確規(guī)定密鑰存儲方法。密鑰備份對PKI系統(tǒng)部件密鑰和系統(tǒng)用戶密鑰備份，應(yīng)以加密方式進(jìn)展。對于CA簽名私鑰備份，應(yīng)以加密的方式進(jìn)展，且只需特定權(quán)限的人才干訪問私鑰信息存放部件。用戶簽名私鑰由用戶自行備份。用戶用于性目的的密鑰由PKI系統(tǒng)備份時

48、，應(yīng)以加密方式進(jìn)展。PKI系統(tǒng)的文檔中應(yīng)明確規(guī)定密鑰備份方法。密鑰導(dǎo)入導(dǎo)出一切密鑰導(dǎo)入導(dǎo)出PKI系統(tǒng)，應(yīng)采用國家密碼管理局認(rèn)可的加密算法或加密設(shè)備。私鑰不應(yīng)以明文方式導(dǎo)入導(dǎo)出密碼模塊。PKI系統(tǒng)應(yīng)把導(dǎo)入導(dǎo)出的密鑰與正確實體相關(guān)聯(lián)，并賦予相應(yīng)的權(quán)限。PKI系統(tǒng)的文檔中應(yīng)明確規(guī)定密鑰導(dǎo)入導(dǎo)出方法。密鑰更新PKI系統(tǒng)應(yīng)采取明確的方法更新CA密鑰及證書。在更新過程中應(yīng)采取平安措施保證PKI系統(tǒng)效力的平安性和延續(xù)性。CA新密鑰對的產(chǎn)生、新公鑰的分發(fā)、舊公鑰歸檔以及舊私鑰的銷毀應(yīng)符合本級別中各自的相關(guān)規(guī)定。用戶密鑰由PKI系統(tǒng)自動更新時，PKI系統(tǒng)應(yīng)采取明確的方法更新用戶密鑰及證書，在更新過程中應(yīng)采取平安

49、措施保證用戶密鑰和證書的平安。新密鑰對的產(chǎn)生、新公鑰的分發(fā)、舊公鑰的歸檔、舊的用戶私鑰的銷毀應(yīng)符合5.3.9中的相關(guān)規(guī)定。PKI系統(tǒng)的文檔中應(yīng)明確規(guī)定密鑰更新方法。密鑰托管假設(shè)PKI系統(tǒng)提供密鑰托管，那么用于性目的的用戶私鑰應(yīng)被PKI效力提供方托管，但用戶的簽名私鑰不應(yīng)被托管。PKI系統(tǒng)應(yīng)以加密方式維護(hù)被托管密鑰的完好性和性，并執(zhí)行訪問控制戰(zhàn)略維護(hù)加密密鑰的平安。PKI系統(tǒng)的文檔中應(yīng)明確規(guī)定密鑰托管方法。密鑰恢復(fù)對于備份的密鑰，應(yīng)僅由密鑰一切者恢復(fù)；對于托管或歸檔的密鑰，那么根據(jù)法律、規(guī)章或合同規(guī)定，由執(zhí)法機(jī)關(guān)或管理部門恢復(fù)。PKI系統(tǒng)應(yīng)在恢復(fù)密鑰前驗證懇求者的身份。密鑰恢復(fù)應(yīng)保證密鑰不被未授

50、權(quán)的泄露或修正。其中CA簽名私鑰恢復(fù)需求特定權(quán)限的人在平安可信的環(huán)境中恢復(fù)。PKI系統(tǒng)的文檔中應(yīng)明確規(guī)定密鑰恢復(fù)方法。密鑰歸檔簽名私鑰不應(yīng)被歸檔，用于解密數(shù)據(jù)的私鑰應(yīng)被歸檔。CA、RA、終端用戶或其他系統(tǒng)部件的公鑰都應(yīng)歸檔。PKI系統(tǒng)的文檔中應(yīng)明確規(guī)定密鑰歸檔方法。密鑰銷毀PKI系統(tǒng)密鑰銷毀需求特定權(quán)限的人執(zhí)行密鑰銷毀程序，并應(yīng)符合國家密碼管理局對密鑰銷毀的相關(guān)規(guī)定。終端用戶密鑰的銷毀普通由用戶本人執(zhí)行銷毀程序。PKI系統(tǒng)的文檔中應(yīng)明確規(guī)定密鑰銷毀方法。輪廓管理證書輪廓管理根本證書輪廓管理PKI系統(tǒng)應(yīng)具備證書輪廓，并保證發(fā)行的證書與證書輪廓中的描畫一致。擴(kuò)展的證書輪廓管理管理員應(yīng)為證書擴(kuò)展指定

51、能夠的值。證書撤銷列表輪廓管理根本證書撤銷列表輪廓假設(shè)PKI系統(tǒng)發(fā)布CRL，TSF應(yīng)具備證書撤銷列表輪廓，并保證發(fā)行的CRL與該輪廓中的規(guī)定相一致。擴(kuò)展的證書撤銷列表輪廓假設(shè)PKI系統(tǒng)發(fā)布CRL，管理員應(yīng)指定CRL和CRL擴(kuò)展可接受的值。在線證書形狀協(xié)議輪廓管理OCSP輪廓應(yīng)規(guī)定PKI系統(tǒng)能夠產(chǎn)生的字段類型和字段類型可接受的變量值。證書管理證書注冊PKI系統(tǒng)所簽發(fā)的公鑰證書應(yīng)與GB/T 20518-2006規(guī)范相一致。任何證書所包含的字段或擴(kuò)展應(yīng)由PKI系統(tǒng)根據(jù)GB/T 20518-2006生成，或經(jīng)由頒發(fā)機(jī)構(gòu)驗證以保證其與規(guī)范的一致性。應(yīng)僅產(chǎn)生與GB/T 20518-2006中規(guī)定的證書格式

52、一樣的證書；應(yīng)僅生成與現(xiàn)行證書輪廓中定義相符的證書；PKI系統(tǒng)應(yīng)驗證預(yù)期的證書主體擁有與證書中包含的公鑰相對應(yīng)的私鑰，除非公私密鑰對是由PKI系統(tǒng)所產(chǎn)生的；評價者應(yīng)檢查PKI系統(tǒng)產(chǎn)生的證書能否滿足根本要求。證書撤銷證書撤銷列表審核發(fā)布CRL的PKI系統(tǒng)應(yīng)驗證一切強(qiáng)迫性字段的值符合GB/T 20518-2006。OCSP根本回應(yīng)的審核發(fā)布OCSP呼應(yīng)的PKI系統(tǒng)應(yīng)驗證一切強(qiáng)迫性字段的值符合GB/T 19713-2005。第四級概述第四級的PKI系統(tǒng)，所維護(hù)的資產(chǎn)價值很高，面臨的平安要挾很大。構(gòu)造上，PKI系統(tǒng)的CA、RA、證書資料庫應(yīng)獨立設(shè)計，并采用雙證書簽名證書和加密證書機(jī)制，建立雙中心證書認(rèn)

53、證中心和密鑰管理中心，其相關(guān)平安應(yīng)符合GB/T CCC200的要求。第四級PKI系統(tǒng)的平安要素要求列表見附錄A.1。物理平安中心部件物理平安應(yīng)按照GB/T BBB200第7章所描畫的要求，對PKI系統(tǒng)硬件及相關(guān)環(huán)境進(jìn)展評價。RA物理平安RA可有多種建立方式。RA應(yīng)設(shè)置專門的區(qū)域來接待日常業(yè)務(wù)。RA應(yīng)妥善保管私鑰。RA設(shè)備應(yīng)有平安人員和電子監(jiān)控設(shè)備維護(hù)防盜。一切的活動都應(yīng)被授權(quán)人員或平安人員監(jiān)控。RA對外效力的時間應(yīng)被嚴(yán)厲限制。維修和效力人員在任務(wù)區(qū)域應(yīng)受監(jiān)控。角色與責(zé)任開發(fā)者應(yīng)提供PKI系統(tǒng)管理員、操作員、審計員和平安員的角色定義。管理員角色：擔(dān)任安裝、配置、維護(hù)系統(tǒng)；建立和管理用戶賬戶；配置

54、輪廓和審計參數(shù)；生成部件密鑰。操作員角色：擔(dān)任簽發(fā)和撤銷證書。審計員角色：擔(dān)任查看和維護(hù)審計日志。平安員角色：擔(dān)任執(zhí)行系統(tǒng)的備份和恢復(fù)。系統(tǒng)應(yīng)具備使主體與角色相關(guān)聯(lián)的才干，并保證一個身份不應(yīng)同時具備多個角色的權(quán)限。系統(tǒng)用戶應(yīng)按照角色的平安功能管理進(jìn)展權(quán)限限制。訪問控制系統(tǒng)用戶訪問控制注冊和注銷可以訪問PKI系統(tǒng)信息和效力的用戶應(yīng)按正規(guī)的程序執(zhí)行。分配或者運用系統(tǒng)特權(quán)時，應(yīng)進(jìn)展嚴(yán)厲的限制和控制。進(jìn)展口令分配時，應(yīng)經(jīng)過正規(guī)的程序控制。應(yīng)定期審核系統(tǒng)用戶的訪問權(quán)限。選取和運用口令時系統(tǒng)用戶應(yīng)按照已定義的戰(zhàn)略和程序進(jìn)展對無人值守的設(shè)備應(yīng)有適當(dāng)?shù)木S護(hù)措施。PKI系統(tǒng)文檔中，應(yīng)有訪問控制的相關(guān)文檔，訪問控

55、制文檔中的訪問控制戰(zhàn)略應(yīng)包含如下幾個方面：角色及其相應(yīng)的訪問權(quán)限；標(biāo)識和鑒別系統(tǒng)用戶的過程；角色的職能分割；進(jìn)展PKI系統(tǒng)的特定操作時需求的最小系統(tǒng)用戶人數(shù)。網(wǎng)絡(luò)訪問控制用戶可以且只能直接訪問被授權(quán)運用的效力。用戶終端到PKI系統(tǒng)效力的途徑應(yīng)是受控的。遠(yuǎn)程用戶只需被認(rèn)證后，PKI系統(tǒng)才允許訪問。銜接到遠(yuǎn)程計算機(jī)系統(tǒng)應(yīng)被認(rèn)證。對PKI系統(tǒng)診斷分析端口的訪問應(yīng)進(jìn)展平安控制。PKI系統(tǒng)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間應(yīng)設(shè)置平安控制。按照PKI系統(tǒng)的訪問控制戰(zhàn)略，應(yīng)限制用戶可用的效力。路由控制應(yīng)保證計算機(jī)銜接和信息流不違背系統(tǒng)的訪問控制戰(zhàn)略。PKI系統(tǒng)一切網(wǎng)絡(luò)效力的平安屬性要求在PKI系統(tǒng)文檔中有相關(guān)闡明。操作

56、系統(tǒng)訪問控制PKI系統(tǒng)的訪問應(yīng)運用平安的登錄過程。每個用戶只需獨一的ID,以便在PKI系統(tǒng)的操作可以被記錄追蹤。系統(tǒng)的口令管理應(yīng)提供工具確保生成高質(zhì)量的口令。對系統(tǒng)工具的運用應(yīng)進(jìn)展嚴(yán)厲的控制。經(jīng)過指定時間的不活動形狀，正在訪問PKI效力系統(tǒng)的終端超時進(jìn)入維護(hù)形狀以防未授權(quán)用戶訪問。對高風(fēng)險的運用應(yīng)限制銜接次數(shù)以提供額外的維護(hù)。運用訪問控制應(yīng)根據(jù)訪問控制戰(zhàn)略，嚴(yán)厲限制對信息和運用系統(tǒng)功能訪問。標(biāo)識與鑒別用戶屬性定義PKI系統(tǒng)應(yīng)維護(hù)每個用戶的平安屬性。用戶鑒別當(dāng)進(jìn)展鑒別時，PKI系統(tǒng)的平安功能應(yīng)防止提供應(yīng)用戶的反響泄露用戶的鑒別數(shù)據(jù)。在用戶身份被鑒別之前，PKI系統(tǒng)不允許執(zhí)行代表該用戶的任何行動。

57、PKI系統(tǒng)應(yīng)提供多鑒別機(jī)制，對不同身份的用戶運用不同的鑒別機(jī)制。PKI系統(tǒng)應(yīng)定義鑒別機(jī)制如何提供鑒別以及每一種鑒別機(jī)制將在何時運用。用戶標(biāo)識在用戶被標(biāo)識之前，PKI系統(tǒng)不允許執(zhí)行代表該用戶的任何行動。用戶主體綁定PKI系統(tǒng)應(yīng)經(jīng)過用戶主體綁定建立和維護(hù)用戶與用戶主體之間的關(guān)聯(lián)，運用戶的身份與該用戶的一切可審計行為相關(guān)聯(lián)。鑒別失敗處置PKI系統(tǒng)的平安功能應(yīng)能檢測到與鑒別事件相關(guān)的不勝利的鑒別嘗試。當(dāng)用戶自從上次鑒別勝利以來不勝利的鑒別嘗試的次數(shù)到達(dá)或超越了定義的界限時，PKI系統(tǒng)應(yīng)采取應(yīng)對措施。的規(guī)范當(dāng)用來對用戶身份鑒別的口令、密鑰等信息由用戶產(chǎn)生時，PKI系統(tǒng)應(yīng)對可接受的信息的質(zhì)量做出要求，并檢

58、查。信息質(zhì)量量度由管理員制定。當(dāng)用來對用戶身份鑒別的口令、密鑰等信息由PKI系統(tǒng)產(chǎn)生時，PKI系統(tǒng)應(yīng)可生成符合信息質(zhì)量要求的信息。信息質(zhì)量量度由管理員制定。審計審計數(shù)據(jù)產(chǎn)生PKI系統(tǒng)平安功能應(yīng)能為系統(tǒng)的可審計事件生成一個審計記錄，并在每一個審計記錄中至少記錄根本信息。PKI系統(tǒng)平安功能應(yīng)能維護(hù)系統(tǒng)的可審計事件。審計查閱PKI系統(tǒng)平安功能應(yīng)為審計員提供從審計記錄中讀取一定類型的審計信息的才干。選擇性審計審計功能部件應(yīng)可根據(jù)根本屬性選擇或排除審計事件中的可審計事件。審計事件存儲審計功能部件應(yīng)可以防止對審計記錄的非授權(quán)修正，并可檢測對審計記錄的修正；當(dāng)審計蹤跡存儲已滿時，審計功能部件應(yīng)可以阻止除由審

59、計員發(fā)起的以外的一切審計事件的發(fā)生?？尚诺臅r間戳PKI系統(tǒng)應(yīng)獲得可信的時間戳功能供審計部件運用。審計日志簽名審計功能部件應(yīng)定期從第三方獲得數(shù)字簽名的時間戳。時間戳不應(yīng)由審計功能部件簽名。審計功能部件獲得時間戳的時間周期應(yīng)是可配置的。對審計日志做時間戳的事件應(yīng)寫入日志中，時間戳應(yīng)包含在其中。數(shù)據(jù)輸入輸出TOE內(nèi)部用戶數(shù)據(jù)傳送在PKI系統(tǒng)的物理分隔部件間傳送用戶數(shù)據(jù)時，PKI系統(tǒng)應(yīng)執(zhí)行訪問控制戰(zhàn)略，以防止平安相關(guān)的用戶數(shù)據(jù)被篡改以及性用戶數(shù)據(jù)的泄露。在PKI系統(tǒng)的物理分隔部件間傳送用戶數(shù)據(jù)時，PKI系統(tǒng)應(yīng)執(zhí)行訪問控制戰(zhàn)略，以檢測能否有用戶數(shù)據(jù)的完好性錯誤出現(xiàn)。檢測到完好性錯誤時，PKI系統(tǒng)應(yīng)采取行

60、動進(jìn)展處置。TSF間用戶數(shù)據(jù)傳送的嚴(yán)密性當(dāng)用戶數(shù)據(jù)經(jīng)過外部信道在PKI系統(tǒng)之間或PKI系統(tǒng)用戶之間傳送時，PKI系統(tǒng)應(yīng)執(zhí)行訪問控制戰(zhàn)略，使得能以某種防止未授權(quán)泄露的方式傳送用戶數(shù)據(jù)。TSF間用戶數(shù)據(jù)傳送的完好性當(dāng)用戶數(shù)據(jù)經(jīng)過外部信道在PKI系統(tǒng)之間或PKI系統(tǒng)用戶之間傳送時，PKI系統(tǒng)應(yīng)執(zhí)行訪問控制戰(zhàn)略，使得能以某種方式傳送和接納用戶數(shù)據(jù)時，維護(hù)數(shù)據(jù)防止完好性錯誤。輸出TSF數(shù)據(jù)的嚴(yán)密性在TSF數(shù)據(jù)從TSF到遠(yuǎn)程可信IT產(chǎn)品的傳送過程中，應(yīng)維護(hù)數(shù)據(jù)不被未授權(quán)泄露。輸出TSF數(shù)據(jù)的完好性PKI系統(tǒng)應(yīng)提供檢測與遠(yuǎn)程可信IT產(chǎn)品間傳送的一切TSF數(shù)據(jù)能否被修正的才干。檢測到完好性錯誤時，PKI系統(tǒng)應(yīng)