信息安全技術(shù)公共基礎(chǔ)設(shè)施PKI系統(tǒng)安全等級(jí)保護(hù)技術(shù)要求

1、信息安全技術(shù) 公共基礎(chǔ)設(shè)施 PKI系統(tǒng)安全等級(jí)保護(hù)技術(shù)要求引 言公開(kāi)密鑰基礎(chǔ)設(shè)設(shè)施（PKII）是集機(jī)構(gòu)構(gòu)、系統(tǒng)（硬硬件和軟件）、人人員、程序、策策略和協(xié)議為為一體，利用用公鑰概念和和技術(shù)來(lái)實(shí)施施和提供安全全服務(wù)的、具具有普適性的的安全基礎(chǔ)設(shè)設(shè)施。PKII系統(tǒng)是通過(guò)過(guò)頒發(fā)與管理理公鑰證書(shū)的方式為終終端用戶提供供服務(wù)的系統(tǒng)統(tǒng)，包括CAA、RA、資資料庫(kù)等基本本邏輯部件和和OCSP等等可選服務(wù)部部件以及所依依賴的運(yùn)行環(huán)環(huán)境。PPKI系統(tǒng)安安全等級(jí)保護(hù)護(hù)技術(shù)要求按按五級(jí)劃分的的原則，制定定PKI系統(tǒng)統(tǒng)安全等級(jí)保保護(hù)技術(shù)要求求，詳細(xì)說(shuō)明明了為實(shí)現(xiàn)GGB/T AAAA2000所提出出的PKI系系統(tǒng)五個(gè)安全

2、全保護(hù)等級(jí)應(yīng)應(yīng)采取的安全全技術(shù)要求、為為確保這些安安全技術(shù)所實(shí)實(shí)現(xiàn)的安全功功能能夠達(dá)到到其應(yīng)具有的的安全性而采采取的保證措措施，以及各各安全技術(shù)要要求在不同安安全級(jí)中具體體實(shí)現(xiàn)上的差差異。第一級(jí)級(jí)為最低級(jí)別別，第五級(jí)為為最高級(jí)別，隨隨著等級(jí)的提提高，PKII系統(tǒng)安全等等級(jí)保護(hù)的要要求也隨之遞遞增。正文中中字體為黑體體加粗的內(nèi)容容為本級(jí)新增增部分的要求求。信息安全技術(shù) 公鑰基礎(chǔ)設(shè)設(shè)施PKII系統(tǒng)安全等等級(jí)保護(hù)技術(shù)術(shù)要求1 范圍本標(biāo)準(zhǔn)依據(jù)GBB/T AAAA2000的五個(gè)安安全保護(hù)等級(jí)級(jí)的劃分，規(guī)規(guī)定了不同等等級(jí)PKI系系統(tǒng)所需要的的安全技術(shù)要要求。本標(biāo)標(biāo)準(zhǔn)適用于PPKI系統(tǒng)的的設(shè)計(jì)和實(shí)現(xiàn)現(xiàn)，對(duì)于

3、PKKI系統(tǒng)安全全功能的研制制、開(kāi)發(fā)、測(cè)測(cè)試和產(chǎn)品采采購(gòu)亦可參照照使用。2 規(guī)范性引用用文件下列文件中的條條款通過(guò)本標(biāo)標(biāo)準(zhǔn)的引用而而成為本標(biāo)準(zhǔn)準(zhǔn)的條款。凡凡是注日期的的引用文件，其其隨后所有的的修改單（不不包括勘誤的的內(nèi)容）或修修訂版均不適適用于本標(biāo)準(zhǔn)準(zhǔn)，然而，提提倡使用本標(biāo)標(biāo)準(zhǔn)的各方探探討使用其最最新版本的可能性。凡凡是不注日期期的引用文件件，其最新版版本適用于本本標(biāo)準(zhǔn)。GGB/T 119713-2005 信息安全技技術(shù) 公鑰基基礎(chǔ)設(shè)施 在在線證書(shū)狀態(tài)態(tài)協(xié)議GBB/T 200271-22006 信信息安全技術(shù)術(shù) 信息系統(tǒng)統(tǒng)通用安全技技術(shù)要求GGB/T 220518-2006 信息安全技技術(shù)

4、公鑰基基礎(chǔ)設(shè)施 數(shù)數(shù)字證書(shū)格式式GB/TT 210554-20007 信息安安全技術(shù) 公公鑰基礎(chǔ)設(shè)施施 PKI系系統(tǒng)安全等級(jí)級(jí)保護(hù)評(píng)估準(zhǔn)準(zhǔn)則GB/T 210052-20007 信息息安全技術(shù) 信息系統(tǒng)物物理安全技術(shù)術(shù)要求GBB/T209984-20007 信息息安全技術(shù) 信息安全風(fēng)風(fēng)險(xiǎn)評(píng)估指南南3 術(shù)語(yǔ)和定義義下列術(shù)語(yǔ)和定義義適用于本標(biāo)標(biāo)準(zhǔn)。3.1公開(kāi)密鑰基礎(chǔ)礎(chǔ)設(shè)施（PKKI） puublic key iinfrasstructture (PKI)公開(kāi)密鑰基礎(chǔ)設(shè)設(shè)施是支持公公鑰管理體制制的基礎(chǔ)設(shè)施施，提供鑒別別、加密、完完整性和不可可否認(rèn)性服務(wù)務(wù)。3.2PKI系統(tǒng) PPKI syystemPK

5、I系統(tǒng)統(tǒng)是通過(guò)頒發(fā)發(fā)與管理公鑰鑰證書(shū)的方式式為終端用戶戶提供服務(wù)的的系統(tǒng)，包括括CA、RAA、資料庫(kù)等等基本邏輯部部件和OCSSP等可選服服務(wù)部件以及及所依賴的運(yùn)運(yùn)行環(huán)境。3.3安全策略 ssecuriity poolicy一系列安全規(guī)則則的準(zhǔn)確規(guī)定定，包括從本本標(biāo)準(zhǔn)中派生生出的規(guī)則和和供應(yīng)商添加加的規(guī)則。3.4分割知識(shí) ssplit knowlledge兩個(gè)或兩個(gè)以上上實(shí)體分別保保存密鑰的一一部分，密鑰鑰的每個(gè)部分分都不應(yīng)泄露露密鑰的明文文有效信息，而而當(dāng)這些部分分在加密模塊塊中合在一起起時(shí)可以得到到密鑰的全部部信息，這種種方法就叫分分割知識(shí)。3.5分割知識(shí)程序序 spliit knoowl

6、edgge proocedurre用來(lái)實(shí)現(xiàn)分割知知識(shí)的程序。3.6保護(hù)輪廓 pprotecction profiile一系列滿足特定定用戶需求的的、為一類(lèi)評(píng)評(píng)估對(duì)象獨(dú)立立實(shí)現(xiàn)的安全全要求。3.7關(guān)鍵性擴(kuò)展 critiical eextenssion證書(shū)或CRL中中一定能夠被被識(shí)別的擴(kuò)展展項(xiàng)，若不能能識(shí)別，該證證書(shū)或CRLL就無(wú)法被使使用。3.8審計(jì)蹤跡 aaudit traill記錄一系列審計(jì)計(jì)信息和事件件的日志。3.9系統(tǒng)用戶 ssystemm userr對(duì)PKI系統(tǒng)進(jìn)進(jìn)行管理、操操作、審計(jì)、備備份、恢復(fù)的的工作人員，系系統(tǒng)用戶一般般在PKI系系統(tǒng)中被賦予予了指定的角角色。3.10終端用戶

7、tterminnate uuser使用PKI系統(tǒng)統(tǒng)所提供服務(wù)務(wù)的遠(yuǎn)程普通通用戶。4 縮略語(yǔ)以下縮略語(yǔ)適用用于本標(biāo)準(zhǔn)：CA 認(rèn)認(rèn)證機(jī)構(gòu) CCertifficatiion AuuthoriityCPPS 認(rèn)證慣慣例陳述Ceertifiicatioon Praacticee StattementtCRL 證書(shū)撤銷(xiāo)列列表Certtificaate Reevocattion LListOOCSP 在在線證書(shū)狀態(tài)態(tài)協(xié)議Onlline CCertifficatee Stattus PrrotocoolPP 保護(hù)輪廓PProtecction ProfiileRAA 注冊(cè)機(jī)構(gòu)構(gòu)Regisstratiion Au

8、uthoriityTOOE 評(píng)估對(duì)對(duì)象Targget Off EvalluatioonTSFF TOE安安全功能TOOE Seccurityy Funcction5 安全等級(jí)保保護(hù)技術(shù)要求求5.1 第一級(jí)級(jí)5.1.1 概概述第一級(jí)的PKII系統(tǒng)，由用用戶自主保護(hù)護(hù)，所保護(hù)的的資產(chǎn)價(jià)值很很低，面臨的的安全威脅很很小，適用于于安全要求非非常低的企業(yè)業(yè)級(jí)PKI系系統(tǒng)。PKII系統(tǒng)面臨的的風(fēng)險(xiǎn)，應(yīng)按按照GB/TT 20988420007進(jìn)行評(píng)估估。結(jié)構(gòu)設(shè)計(jì)計(jì)上，PKII系統(tǒng)的CAA、RA、證證書(shū)資料庫(kù)可可不進(jìn)行明確確的分化，所所有功能軟件件模塊可全部部安裝在同一一臺(tái)計(jì)算機(jī)系系統(tǒng)上。第一一級(jí)PKI系系統(tǒng)

9、的安全要要素要求列表表見(jiàn)附錄A。5.1.2 物物理安全進(jìn)行PKI系統(tǒng)統(tǒng)硬件設(shè)備、相相關(guān)環(huán)境和系系統(tǒng)安全的設(shè)設(shè)計(jì)時(shí)，應(yīng)按按照GB/TT 21055220007第4章所所描述的要求求。5.1.3 角角色與責(zé)任開(kāi)發(fā)者應(yīng)提供PPKI系統(tǒng)管管理員和操作作員的角色定定義。管理理員角色負(fù)責(zé)責(zé)：安裝、配配置、維護(hù)系系統(tǒng)；建立和和管理用戶賬賬戶；配置輪輪廓；生成部部件密鑰。操作員角色色負(fù)責(zé)：簽發(fā)發(fā)和撤銷(xiāo)證書(shū)書(shū)。角色的的安全功能管管理應(yīng)按表11中的配置對(duì)對(duì)授權(quán)的角色色修改安全功功能的能力進(jìn)進(jìn)行限制。5.1.4 訪訪問(wèn)控制5.1.4.11 系統(tǒng)用戶戶訪問(wèn)控制PKI系統(tǒng)文檔檔中，應(yīng)有訪訪問(wèn)控制的相相關(guān)文檔，訪訪問(wèn)控制

10、文檔檔中的訪問(wèn)控控制策略應(yīng)包包含如下幾個(gè)個(gè)方面：a) 角色及其其相應(yīng)的訪問(wèn)問(wèn)權(quán)限角色色及其相應(yīng)的的訪問(wèn)權(quán)限的的分配見(jiàn)表22。b) 標(biāo)識(shí)與鑒鑒別系統(tǒng)用戶戶的過(guò)程應(yīng)符合5.1.5的要求。c) 角色的職職能分割應(yīng)符合5.1.3的要求。5.1.4.22 網(wǎng)絡(luò)訪問(wèn)問(wèn)控制進(jìn)行遠(yuǎn)程訪問(wèn)時(shí)時(shí)，PKI系系統(tǒng)應(yīng)提供訪訪問(wèn)控制。遠(yuǎn)遠(yuǎn)程用戶只有有被認(rèn)證通過(guò)過(guò)后，PKII系統(tǒng)才允許許訪問(wèn)，并只只對(duì)授權(quán)用戶戶提供被授權(quán)權(quán)使用的服務(wù)務(wù)。遠(yuǎn)程計(jì)算算機(jī)系統(tǒng)與PPKI系統(tǒng)的的連接應(yīng)被認(rèn)認(rèn)證，認(rèn)證方方法包括計(jì)算算機(jī)地址、訪問(wèn)時(shí)間間、擁有的密密鑰等。PKKI系統(tǒng)應(yīng)定定義網(wǎng)絡(luò)訪問(wèn)問(wèn)控制策略。5.1.5 標(biāo)標(biāo)識(shí)與鑒別標(biāo)識(shí)與鑒別包括括建立

11、每一個(gè)個(gè)用戶所聲稱稱的身份，和和驗(yàn)證每一個(gè)個(gè)用戶確實(shí)是是他所聲稱的的用戶。確保保用戶與正確確的安全屬性性相關(guān)聯(lián)。5.1.5.11 用戶屬性性定義PKI系統(tǒng)應(yīng)維維護(hù)每個(gè)用戶戶的安全屬性性。安全屬屬性包括但不不限于身份、組組、角色、許許可、安全和和完整性等級(jí)級(jí)。5.1.5.22 用戶鑒別別PKI系統(tǒng)的安安全功能應(yīng)預(yù)預(yù)先設(shè)定PKKI系統(tǒng)代表表用戶執(zhí)行的的、與安全功功能無(wú)關(guān)的動(dòng)動(dòng)作，在用戶戶身份被鑒別別之前，允許許PKI系統(tǒng)統(tǒng)執(zhí)行這些預(yù)預(yù)設(shè)動(dòng)作，包包括：a) 響應(yīng)查詢?cè)児_(kāi)信息（如如：在線證書(shū)書(shū)狀態(tài)查詢等等）;b) 接收用戶戶發(fā)來(lái)的數(shù)據(jù)據(jù)，但直到系系統(tǒng)用戶批準(zhǔn)準(zhǔn)之后才處理理。管理員應(yīng)對(duì)鑒別別數(shù)據(jù)進(jìn)行管

12、管理。PKKI系統(tǒng)應(yīng)定定義所支持的的用戶鑒別機(jī)機(jī)制的類(lèi)型。5.1.5.33 用戶標(biāo)識(shí)識(shí)PKI系統(tǒng)的安安全功能應(yīng)預(yù)預(yù)先設(shè)定PKKI系統(tǒng)代表表用戶執(zhí)行的的、與安全功功能無(wú)關(guān)的動(dòng)動(dòng)作，在標(biāo)識(shí)識(shí)用戶身份之之前，允許PPKI系統(tǒng)執(zhí)執(zhí)行這些預(yù)設(shè)設(shè)動(dòng)作，包括括：a) 響應(yīng)查詢?cè)児_(kāi)信息（如如：在線證書(shū)書(shū)狀態(tài)查詢等等）;b) 接收用戶戶發(fā)來(lái)的數(shù)據(jù)據(jù)，但直到系系統(tǒng)用戶批準(zhǔn)準(zhǔn)之后才處理理。5.1.5.44 用戶主體體綁定在PKI系統(tǒng)安安全功能控制制范圍之內(nèi)，對(duì)對(duì)一個(gè)已標(biāo)識(shí)識(shí)與鑒別的用用戶，為了完完成某個(gè)任務(wù)務(wù)，需要激活活另一個(gè)主體體，這時(shí)，應(yīng)應(yīng)通過(guò)用戶主主體綁定將該該用戶與該主主體相關(guān)聯(lián)，從從而將用戶的的身份與該

13、用用戶的所有可可審計(jì)行為相關(guān)聯(lián)，使使用戶對(duì)自己己的行為負(fù)責(zé)責(zé)。5.1.6 數(shù)數(shù)據(jù)輸入輸出出5.1.6.11 TSF間間用戶數(shù)據(jù)傳傳送的保密性性當(dāng)用戶數(shù)據(jù)通過(guò)過(guò)外部信道在在PKI系統(tǒng)統(tǒng)之間或PKKI系統(tǒng)用戶戶之間傳遞時(shí)時(shí)，PKI系系統(tǒng)應(yīng)執(zhí)行訪訪問(wèn)控制策略略，使得能以以某種防止未未授權(quán)泄露的的方式傳送用用戶數(shù)據(jù)。5.1.6.22 輸出TSSF數(shù)據(jù)的保保密性在TSF數(shù)據(jù)從從TSF到遠(yuǎn)遠(yuǎn)程可信ITT產(chǎn)品的傳送送過(guò)程中，應(yīng)應(yīng)保護(hù)機(jī)密數(shù)數(shù)據(jù)不被未授授權(quán)泄露。 這些機(jī)密數(shù)數(shù)據(jù)可以是TTSF的關(guān)鍵鍵數(shù)據(jù)，如口口令、密鑰、審審計(jì)數(shù)據(jù)或TTSF的可執(zhí)執(zhí)行代碼。5.1.7 密密鑰管理5.1.7.11 密鑰生成成5.

14、1.7.11.1 PKKI系統(tǒng)密鑰鑰生成系統(tǒng)用戶密鑰生生成應(yīng)由相應(yīng)應(yīng)級(jí)別的CAA或RA等機(jī)機(jī)構(gòu)進(jìn)行，可可用軟件方法法產(chǎn)生，生成成算法和密鑰鑰長(zhǎng)度等應(yīng)符符合國(guó)家密碼碼行政管理部部門(mén)的規(guī)定。在在進(jìn)行密鑰生生成時(shí)，PKKI系統(tǒng)應(yīng)限限制非授權(quán)人人員的參與。 CA簽名公私鑰對(duì)應(yīng)采用用國(guó)家密碼行行政管理部門(mén)門(mén)認(rèn)可的方法法生成，可用用軟件方法或或硬件密碼設(shè)設(shè)備產(chǎn)生。在在密鑰生成時(shí)時(shí)應(yīng)檢查用戶戶角色，并設(shè)設(shè)置為只有管管理員才能啟啟動(dòng)CA密鑰鑰生成過(guò)程。5.1.7.11.2 終端端用戶密鑰生生成終端用戶的密鑰鑰可由用戶自自己生成，也也可委托CAA、RA等PPKI系統(tǒng)的的服務(wù)機(jī)構(gòu)生生成。終端端用戶密鑰可可用軟件方

15、法法產(chǎn)生，生成成算法和密鑰鑰長(zhǎng)度等應(yīng)符符合國(guó)家密碼碼行政管理部部門(mén)的規(guī)定。5.1.7.22 密鑰傳送送與分發(fā)5.1.7.22.1 PKKI系統(tǒng)密鑰鑰傳送與分發(fā)發(fā)系統(tǒng)用戶密鑰的的傳送與分發(fā)發(fā)應(yīng)以加密形形式直接發(fā)送送到系統(tǒng)用戶戶證書(shū)載體中中，加密算法法等應(yīng)符合國(guó)國(guó)家密碼行政政管理部門(mén)的的規(guī)定。CCA公鑰分發(fā)發(fā)方法應(yīng)適當(dāng)當(dāng)、切實(shí)可行行，如提供根根證書(shū)和CAA證書(shū)下載、或或與終端用戶戶證書(shū)一起下下載等，應(yīng)符符合國(guó)家密碼碼行政管理部部門(mén)對(duì)密鑰分分發(fā)的相關(guān)規(guī)規(guī)定。5.1.7.22.2 終端端用戶密鑰傳傳送與分發(fā)如果終端用戶自自己生成密鑰鑰對(duì)，把公鑰鑰傳送給CAA是證書(shū)注冊(cè)冊(cè)過(guò)程的一部部分。終端用用戶應(yīng)將公

16、鑰鑰安全的提交交給CA，如如使用證書(shū)載載體等方法進(jìn)進(jìn)行面對(duì)面?zhèn)鱾魉?。如果果終端用戶委委托CA生成成密鑰對(duì)，則則不需要簽發(fā)發(fā)前的終端用用戶公鑰傳送送。CA向用用戶傳送與分分發(fā)私鑰應(yīng)以以加密形式進(jìn)進(jìn)行，加密算算法等應(yīng)符合合國(guó)家密碼行行政管理部門(mén)門(mén)的規(guī)定。5.1.7.33 密鑰存儲(chǔ)儲(chǔ)系統(tǒng)用戶密鑰可可用軟件加密密的形式存儲(chǔ)儲(chǔ)，加密算法法應(yīng)符合國(guó)家家密碼行政管管理部門(mén)的規(guī)規(guī)定。CAA簽名私鑰應(yīng)應(yīng)存儲(chǔ)于國(guó)家家密碼行政管管理部門(mén)規(guī)定定的密碼模塊塊中或由硬件件密碼設(shè)備加加密后存儲(chǔ)。 終端用戶密密鑰由用戶自自行存儲(chǔ)。5.1.8 輪輪廓管理5.1.8.11 證書(shū)輪廓廓管理證書(shū)輪廓定義證證書(shū)中的字段段和擴(kuò)展可能能的

17、值，這些些字段和擴(kuò)展展應(yīng)與GB/T 205518-20006標(biāo)準(zhǔn)相相一致。證書(shū)書(shū)輪廓包括的的信息有：a) 與密鑰綁綁定的用戶的的標(biāo)識(shí)符；b) 主體體的公私密鑰鑰對(duì)可使用的的加密算法；c) 證證書(shū)發(fā)布者的的標(biāo)識(shí)符；d) 證書(shū)書(shū)有效時(shí)間的的限定；ee) 證書(shū)包包括的附加信信息；f) 證書(shū)的主主體是否是CCA；g) 與證書(shū)相相對(duì)應(yīng)的私鑰鑰可執(zhí)行的操操作；h) 證書(shū)發(fā)布布所使用的策策略。PKI系統(tǒng)應(yīng)具具備證書(shū)輪廓廓，并保證發(fā)發(fā)布的證書(shū)與與證書(shū)輪廓中中的描述一致致。PKI系系統(tǒng)管理員應(yīng)應(yīng)為以下字段段和擴(kuò)展指定定可能的值：a) 密鑰所有有者的標(biāo)識(shí)符符；b) 公私密鑰對(duì)對(duì)主體的算法法標(biāo)識(shí)符；c) 證書(shū)書(shū)發(fā)布

18、者的標(biāo)標(biāo)識(shí)符；dd) 證書(shū)的的有效期；5.1.8.22 證書(shū)撤銷(xiāo)銷(xiāo)列表輪廓管管理證書(shū)撤消列表輪輪廓用于定義義CRL中字字段和擴(kuò)展中中可接受的值值，這些字段段和擴(kuò)展應(yīng)與與GB/T 205188-20066標(biāo)準(zhǔn)相一致致。CRL輪輪廓可能要定定義的值包括括：a) CRL可可能或者必須須包括的擴(kuò)展展和每一擴(kuò)展展的可能的值值；b) CRL的發(fā)發(fā)布者；cc) CRLL的下次更新新日期。若PKI系統(tǒng)發(fā)發(fā)布CRL，則則應(yīng)具備證書(shū)書(shū)撤銷(xiāo)列表輪輪廓，并保證證發(fā)布的CRRL與該輪廓廓中的規(guī)定相相一致。PKKI系統(tǒng)管理理員應(yīng)規(guī)定以以下字段和擴(kuò)擴(kuò)展的可能的的取值:a) issuuer；bb) isssuerAlltNa

19、mee。5.1.8.33 在線證書(shū)書(shū)狀態(tài)協(xié)議輪輪廓管理在線證書(shū)狀態(tài)協(xié)協(xié)議輪廓用于于定義一系列列在OCSPP響應(yīng)中可接接受的值。OOCSP輪廓廓應(yīng)規(guī)定PKKI系統(tǒng)可能能產(chǎn)生的OCCSP響應(yīng)的的類(lèi)型和這些些類(lèi)型可接受受的值。aa) 若PKKI系統(tǒng)發(fā)布布OCSP響響應(yīng)，PKII系統(tǒng)應(yīng)具備備OCSP輪輪廓并保證OOCSP響應(yīng)應(yīng)與輪廓一致致；b) 若PKI系系統(tǒng)發(fā)布OCCSP響應(yīng)，PPKI系統(tǒng)應(yīng)應(yīng)要求管理員員為respponseTType字段段指定可接受受的值；cc) 若PKKI系統(tǒng)允許許使用基本響響應(yīng)類(lèi)型(bbasic respoonse ttype)的的OCSP響響應(yīng)，則PKKI系統(tǒng)管理理員應(yīng)為Re

20、espondderID指指定可接受的的值。5.1.9 證證書(shū)管理5.1.9.11 證書(shū)注冊(cè)冊(cè)PKI系統(tǒng)所簽簽發(fā)的公鑰證證書(shū)應(yīng)與GBB/T 200518-22006相一一致。任何證證書(shū)所包含的的字段或擴(kuò)展展應(yīng)被PKII系統(tǒng)根據(jù)GGB/T 220518-2006生生成或經(jīng)由頒頒發(fā)機(jī)構(gòu)驗(yàn)證證以保證其與與標(biāo)準(zhǔn)的一致致性。 輸入入證書(shū)字段和和擴(kuò)展中的數(shù)據(jù)應(yīng)被批準(zhǔn)。證證書(shū)字段或擴(kuò)擴(kuò)展的值可有有以下4種方方式獲得批準(zhǔn)準(zhǔn)：a) 數(shù)據(jù)被操作作員手工批準(zhǔn)準(zhǔn)；b) 自動(dòng)過(guò)程檢檢查和批準(zhǔn)數(shù)數(shù)據(jù)；c) 字段或擴(kuò)擴(kuò)展的值由PPKI系統(tǒng)自自動(dòng)的生成；d) 字字段或擴(kuò)展的的值從證書(shū)輪輪廓中獲得。進(jìn)行證書(shū)生成時(shí)時(shí)，a) 應(yīng)僅產(chǎn)

21、生生與GB/TT 205118-20006中規(guī)定的的證書(shū)格式相相同的證書(shū)；b) 應(yīng)應(yīng)僅生成與現(xiàn)現(xiàn)行證書(shū)輪廓廓中定義相符符的證書(shū)；c) PKKI系統(tǒng)應(yīng)驗(yàn)驗(yàn)證預(yù)期的證證書(shū)主體擁有有與證書(shū)中包包含的公鑰相相對(duì)應(yīng)的私鑰鑰，除非公私私密鑰對(duì)是由由PKI系統(tǒng)統(tǒng)所產(chǎn)生的；d) PPKI系統(tǒng)應(yīng)應(yīng)保證：11) verrsion字字段應(yīng)為0，11，2；22) 若包含含issueerUniqqueID或或subjeectUniiqueIDD字段則veersionn字段應(yīng)為11或2；33) 若證書(shū)書(shū)包含exttensioons那么vversioon字段應(yīng)為為2；4) seriialNummber字段段對(duì)CA應(yīng)是是唯一

22、的；5) vaaliditty字段應(yīng)說(shuō)說(shuō)明不早于當(dāng)當(dāng)時(shí)時(shí)間的nnotBeffore值和和不早于nootBefoore時(shí)間的的notAffter 值值；6) 若issuuer字段為為空證書(shū)應(yīng)包包括一個(gè)isssuerAAltNamme 的關(guān)鍵鍵性擴(kuò)展；7) 若ssubjecct字段為空空，證書(shū)應(yīng)包包括一個(gè)suubjecttAltNaame的關(guān)鍵鍵性擴(kuò)展；8) suubjecttPubliicKeyIInfo字段段中的siggnaturre字段和aalgoriithm字段段應(yīng)包含國(guó)家家密碼行政管管理門(mén)許可的的或推薦的算算法的OIDD。5.1.9.22 證書(shū)撤銷(xiāo)銷(xiāo)5.1.9.22.1 證書(shū)書(shū)撤銷(xiāo)列表審

23、審核發(fā)布CRL的PPKI系統(tǒng)應(yīng)應(yīng)驗(yàn)證所有強(qiáng)強(qiáng)制性字段的的值符合GBB/T 200518-22006。至至少以下字段段應(yīng)被審核：a) 若包含vversioon字段，應(yīng)應(yīng)為1；bb) 若CRRL包含關(guān)鍵鍵性的擴(kuò)展，vversioon字段應(yīng)出出現(xiàn)且為1；c) 若若issueer字段為空空，CRL應(yīng)應(yīng)包含一個(gè)iissuerrAltNaame的關(guān)鍵鍵性擴(kuò)展；d) siignatuure和siignatuureAlggorithhm字段應(yīng)為為許可的數(shù)字字簽名算法的的OID；e) thhisUpddate應(yīng)包包含本次CRRL的發(fā)布時(shí)時(shí)間；f) nexttUpdatte 字段的的時(shí)間不應(yīng)早早于thissUpd

24、atte字段的時(shí)時(shí)間。5.1.9.22.2 OCCSP基本響響應(yīng)的審核發(fā)布OCSP響響應(yīng)的PKII系統(tǒng)應(yīng)驗(yàn)證證所有強(qiáng)制性性字段的值符符合GB/TT 197113-20005。至少應(yīng)應(yīng)審核以下字字段：a) verssion字段段應(yīng)為0；b) 若iissuerr字段為空，響響應(yīng)中應(yīng)包含含一個(gè)isssuerAlltNamee的關(guān)鍵性擴(kuò)擴(kuò)展；c) signnatureeAlgorrithm字字段應(yīng)為許可可的數(shù)字簽名名算法的OIID；d) thissUpdatte字段應(yīng)指指出證書(shū)狀態(tài)態(tài)正確的時(shí)間間；e) produucedAtt字段應(yīng)指出出OCSP響響應(yīng)者發(fā)出響響應(yīng)的時(shí)間；f) nnextUppdate

25、 字段的時(shí)間間不應(yīng)早于tthisUppdate字字段的時(shí)間。5.1.10 配置管理應(yīng)按GB/T 202711-20066中6.1.5.1的要要求，在配置置管理能力方方面實(shí)現(xiàn)對(duì)版版本號(hào)等方面面的要求。5.1.11 分發(fā)和操作作應(yīng)按GB/T 202711-20066中6.1.5.2的要要求，從以下下方面實(shí)現(xiàn)PPKI系統(tǒng)的的分發(fā)和操作作：a) 以文檔形形式提供對(duì)PPKI系統(tǒng)安安全地進(jìn)行分分發(fā)的過(guò)程，并并對(duì)安裝、生生成和啟動(dòng)的的過(guò)程進(jìn)行說(shuō)說(shuō)明，最終生生成安全的配配置。文檔中中所描述的內(nèi)內(nèi)容應(yīng)包括：提供供分發(fā)的過(guò)程程；安安全啟動(dòng)和操操作的過(guò)程。b) 對(duì)系系統(tǒng)的未授權(quán)權(quán)修改的風(fēng)險(xiǎn)險(xiǎn)，應(yīng)在交付付時(shí)控制到最最

26、低限度。在在包裝及安全全分送和安裝裝過(guò)程中，這這種控制應(yīng)采采取軟件控制制系統(tǒng)的方式式，確認(rèn)安全全性會(huì)由最終終用戶考慮，所所有安全機(jī)制制都應(yīng)以功能能狀態(tài)交付；c) 所所有軟件應(yīng)提提供安全安裝裝默認(rèn)值，在在客戶不做選選擇時(shí)，默認(rèn)認(rèn)值應(yīng)使安全全機(jī)制有效地地發(fā)揮作用；d) 隨隨同系統(tǒng)交付付的全部默認(rèn)認(rèn)用戶標(biāo)識(shí)碼碼，應(yīng)在交付付時(shí)處于非激激活狀態(tài)，并并在使用前由由管理員激活活；e) 指導(dǎo)性文檔檔應(yīng)同交付的的系統(tǒng)軟件一一起包裝，并并應(yīng)有一套規(guī)規(guī)程確保當(dāng)前前送給用戶的的系統(tǒng)軟件是是嚴(yán)格按最新新的系統(tǒng)版本本來(lái)制作的。5.1.12 開(kāi)發(fā)應(yīng)按GB/T 202711-20066中6.1.5.3的要要求，從以下下方面進(jìn)

27、行PPKI系統(tǒng)的的開(kāi)發(fā)：a) 按非形式式化功能說(shuō)明明、描述性高高層設(shè)計(jì)、TTSF子集實(shí)實(shí)現(xiàn)、TSFF內(nèi)部結(jié)構(gòu)模模塊化、描述述性低層設(shè)計(jì)計(jì)和非形式化化對(duì)應(yīng)性說(shuō)明明的要求，進(jìn)進(jìn)行PKI系系統(tǒng)的開(kāi)發(fā)；b) 系系統(tǒng)的設(shè)計(jì)和和開(kāi)發(fā)應(yīng)保護(hù)護(hù)數(shù)據(jù)的完整整性，例如，檢檢查數(shù)據(jù)更新新的規(guī)則，返返回狀態(tài)的檢檢查，中間結(jié)結(jié)果的檢查，合合理值輸入檢檢查等；cc) 在內(nèi)部部代碼檢查時(shí)時(shí)，應(yīng)解決潛潛在的安全缺缺陷，關(guān)閉或或取消所有的的后門(mén)；dd) 所有交交付的軟件和和文檔，應(yīng)進(jìn)進(jìn)行關(guān)于安全全缺陷的定期期的和書(shū)面的的檢查，并將將檢查結(jié)果告告知客戶；e) 系統(tǒng)統(tǒng)控制數(shù)據(jù)，如如口令和密鑰鑰，不應(yīng)在未未受保護(hù)的程程序或文檔中中以

28、明文形式式儲(chǔ)存，并以以書(shū)面形式向向客戶提供關(guān)關(guān)于軟件所有有權(quán)法律保護(hù)護(hù)的指南。5.1.13 指導(dǎo)性文檔檔應(yīng)按GB/T 202711-20066中6.1.5.4的要要求，從以下下方面編制PPKI系統(tǒng)的的指導(dǎo)性文檔檔：a) 終端用戶戶文檔應(yīng)提供供關(guān)于不同用用戶的可見(jiàn)的的安全機(jī)制以以及如何利用用它們的信息息，描述沒(méi)有有明示用戶的的保護(hù)結(jié)構(gòu)，并并解釋它們的的用途和提供供有關(guān)它們使使用的指南；b) 系系統(tǒng)用戶文檔檔應(yīng)提供有關(guān)關(guān)如何設(shè)置、維維護(hù)和分析系系統(tǒng)安全的詳詳細(xì)指導(dǎo)，包包括當(dāng)運(yùn)行一一個(gè)安全設(shè)備備時(shí)，需要控控制的有關(guān)功功能和特權(quán)的的警告，以及及與安全有關(guān)關(guān)的管理員功功能的詳細(xì)描描述，包括增增加和刪除一

29、一個(gè)用戶、改變用戶戶的安全特征征等；c) 文檔中不不應(yīng)提供任何何一旦泄露將將會(huì)危及系統(tǒng)統(tǒng)安全的信息息。有關(guān)安全全的指令和文文檔應(yīng)劃分等等級(jí)分別提供供給終端用戶戶和系統(tǒng)用戶戶。這些文檔檔應(yīng)為獨(dú)立的的文檔，或作作為獨(dú)立的章章節(jié)插入到終終端用戶指南南和系統(tǒng)用戶指南中。文檔檔也可為硬拷拷貝、電子文文檔或聯(lián)機(jī)文文檔。如果是是聯(lián)機(jī)文檔應(yīng)應(yīng)控制對(duì)其的的訪問(wèn)。5.1.14 生命周期支支持應(yīng)按GB/T 202711-20066中6.1.5.5的要要求，從以下下方面實(shí)現(xiàn)PPKI系統(tǒng)的的生命周期支支持：a) 按開(kāi)發(fā)者者定義生命周周期模型進(jìn)行行開(kāi)發(fā)；bb) 操作文文檔應(yīng)詳細(xì)闡闡述安全啟動(dòng)動(dòng)和操作的過(guò)過(guò)程，詳細(xì)說(shuō)說(shuō)明安

30、全功能能在啟動(dòng)、正正常操作維護(hù)護(hù)時(shí)是否能被被撤消或修改改，說(shuō)明在故故障或系統(tǒng)出出錯(cuò)時(shí)如何恢恢復(fù)系統(tǒng)至安安全狀態(tài)。5.1.15 測(cè)試應(yīng)按GB/T 202711-20066中6.1.5.6的要要求，從以下下方面對(duì)PKKI系統(tǒng)進(jìn)行行測(cè)試：a) 應(yīng)通過(guò)一一般功能測(cè)試試和相符性獨(dú)獨(dú)立測(cè)試，確確認(rèn)PKI系系統(tǒng)的功能與與所要求的功功能相一致；b) 所所有系統(tǒng)的安安全特性，應(yīng)應(yīng)被全面測(cè)試試。所有發(fā)現(xiàn)現(xiàn)的漏洞應(yīng)被被改正、消除除或使其無(wú)效效，并在消除除漏洞后重新新測(cè)試，以證證實(shí)它們已被被消除，且沒(méi)沒(méi)有引出新的的漏洞；cc) 應(yīng)提供供測(cè)試文檔，詳詳細(xì)描述測(cè)試試計(jì)劃、測(cè)試試過(guò)程、測(cè)試試結(jié)果。5.2 第二級(jí)級(jí)5.2.1

31、 概概述第二級(jí)的PKII系統(tǒng)，應(yīng)提提供審計(jì)能力力，所保護(hù)的的資產(chǎn)價(jià)值低低，面臨的安安全威脅小，適適用于安全要要求較高的企企業(yè)級(jí)PKII系統(tǒng)。PKKI系統(tǒng)面臨臨的風(fēng)險(xiǎn)，應(yīng)應(yīng)按照GB/T 20998420007進(jìn)行評(píng)評(píng)估。結(jié)構(gòu)設(shè)設(shè)計(jì)上，PKKI系統(tǒng)的CA、RA可可不進(jìn)行明確確的分化，但但證書(shū)資料庫(kù)庫(kù)應(yīng)獨(dú)立設(shè)計(jì)計(jì)。RA可全全部由CA托托管，軟件功功能模塊可安安裝在同一臺(tái)臺(tái)計(jì)算機(jī)系統(tǒng)統(tǒng)上，而數(shù)據(jù)據(jù)庫(kù)系統(tǒng)應(yīng)有有獨(dú)立的計(jì)算算環(huán)境。第二二級(jí)PKI系系統(tǒng)的安全要要素要求列表表見(jiàn)附錄A。5.2.2 物物理安全進(jìn)行PKI系統(tǒng)統(tǒng)硬件設(shè)備、相相關(guān)環(huán)境和系系統(tǒng)安全的設(shè)設(shè)計(jì)時(shí)，應(yīng)按按照GB/TT 21055220007第

32、5章所所描述的要求求。5.2.3 角角色與責(zé)任開(kāi)發(fā)者應(yīng)提供PPKI系統(tǒng)管管理員和操作作員的角色定定義。管理理員：安裝、配配置、維護(hù)系系統(tǒng)；建立和和管理用戶賬賬戶；配置輪輪廓和審計(jì)參參數(shù)；生成部部件密鑰；查查看和維護(hù)審審計(jì)日志；執(zhí)執(zhí)行系統(tǒng)的備備份和恢復(fù)。本本級(jí)的PKII系統(tǒng)要求提提供審計(jì)和系系統(tǒng)備份功能能，管理員的的職責(zé)也相應(yīng)應(yīng)的多分配審審計(jì)和系統(tǒng)備備份權(quán)限。操作員：簽簽發(fā)和撤銷(xiāo)證證書(shū)。系統(tǒng)統(tǒng)應(yīng)具備使主主體與角色相相關(guān)聯(lián)的能力力，并保證一一個(gè)身份不應(yīng)應(yīng)同時(shí)具備多多個(gè)角色的權(quán)權(quán)限。一個(gè)人人不應(yīng)同時(shí)擁?yè)碛卸鄠€(gè)角色色，開(kāi)發(fā)者應(yīng)應(yīng)在系統(tǒng)設(shè)計(jì)計(jì)時(shí)對(duì)角色的的管理進(jìn)行相相關(guān)限制。角色的安全全功能管理應(yīng)應(yīng)按表3

33、中的的配置對(duì)授權(quán)權(quán)的角色修改改安全功能的的能力進(jìn)行限限制。5.2.4 訪訪問(wèn)控制5.2.4.11 系統(tǒng)用戶戶訪問(wèn)控制注冊(cè)和注銷(xiāo)能夠夠訪問(wèn)PKII系統(tǒng)信息和和服務(wù)的用戶戶應(yīng)按正規(guī)的的程序執(zhí)行。分分配或者使用用系統(tǒng)特權(quán)時(shí)時(shí)，應(yīng)進(jìn)行嚴(yán)嚴(yán)格的限制和和控制。進(jìn)行行口令分配時(shí)時(shí)，應(yīng)通過(guò)正正規(guī)的程序控控制。選取和和使用口令時(shí)時(shí)系統(tǒng)用戶應(yīng)應(yīng)按已定義的策略和程程序進(jìn)行。系系統(tǒng)用戶賬號(hào)號(hào)和終端用戶戶賬號(hào)應(yīng)嚴(yán)格格分類(lèi)管理。PKI系統(tǒng)統(tǒng)文檔中，應(yīng)應(yīng)有訪問(wèn)控制制的相關(guān)文檔檔，訪問(wèn)控制制文檔中的訪訪問(wèn)控制策略略應(yīng)包含如下下幾個(gè)方面：a) 角色及其其相應(yīng)的訪問(wèn)問(wèn)權(quán)限角色及其相應(yīng)的的訪問(wèn)權(quán)限的的分配見(jiàn)表44。b) 標(biāo)志和鑒鑒

34、別系統(tǒng)用戶戶過(guò)程應(yīng)符合5.2.5的要求。c) 角色的職職能分割應(yīng)符合5.2.3的要求。5.2.4.22 網(wǎng)絡(luò)訪問(wèn)問(wèn)控制進(jìn)行遠(yuǎn)程訪問(wèn)時(shí)時(shí)，PKI系系統(tǒng)應(yīng)提供訪訪問(wèn)控制。遠(yuǎn)遠(yuǎn)程用戶只有有被認(rèn)證通過(guò)過(guò)后，PKII系統(tǒng)才允許許訪問(wèn)，并只只對(duì)授權(quán)用戶戶提供被授權(quán)權(quán)使用的服務(wù)務(wù)。系統(tǒng)開(kāi)發(fā)發(fā)者應(yīng)提供對(duì)對(duì)遠(yuǎn)程用戶終終端到PKII系統(tǒng)服務(wù)的的路徑進(jìn)行控控制的方法，并采取取防火墻、入入侵檢測(cè)等安安全保護(hù)措施施。對(duì)遠(yuǎn)程計(jì)計(jì)算機(jī)系統(tǒng)與與PKI系統(tǒng)統(tǒng)的連接應(yīng)被被認(rèn)證，認(rèn)證證方法包括計(jì)計(jì)算機(jī)地址、訪訪問(wèn)時(shí)間、擁?yè)碛械拿荑€等等。PKI系系統(tǒng)應(yīng)定義網(wǎng)網(wǎng)絡(luò)訪問(wèn)控制制策略。PKKI系統(tǒng)的診診斷分析端口是重重要的受控訪訪問(wèn)端口，開(kāi)

35、開(kāi)發(fā)者應(yīng)對(duì)其其訪問(wèn)進(jìn)行嚴(yán)嚴(yán)格的安全控控制，能夠檢檢測(cè)并記錄對(duì)對(duì)這些端口的的訪問(wèn)請(qǐng)求。5.2.4.33 操作系統(tǒng)統(tǒng)訪問(wèn)控制每個(gè)用戶只有唯唯一的ID，以以便在PKII系統(tǒng)的操作作能夠被記錄錄追蹤。當(dāng)當(dāng)系統(tǒng)用戶正正在訪問(wèn)PKKI服務(wù)系統(tǒng)統(tǒng)，中途長(zhǎng)期期離開(kāi)用戶終終端時(shí)，PKKI系統(tǒng)應(yīng)能能檢測(cè)出這些些終端經(jīng)過(guò)了了指定時(shí)間的的不活動(dòng)狀態(tài)態(tài)，并自動(dòng)進(jìn)進(jìn)入保護(hù)狀態(tài)態(tài)，采取鎖屏屏、斷開(kāi)連接接等措施，防防止未授權(quán)用用戶訪問(wèn)。對(duì)對(duì)高風(fēng)險(xiǎn)的應(yīng)用應(yīng)限限制連接次數(shù)數(shù)以提供額外外的保護(hù)，對(duì)對(duì)短時(shí)間內(nèi)超超過(guò)限制次數(shù)數(shù)以上的連接接應(yīng)進(jìn)行可配配置的操作并并記錄。5.2.5 標(biāo)標(biāo)識(shí)與鑒別標(biāo)識(shí)與鑒別包括括建立每一個(gè)個(gè)用戶所聲稱稱的身

36、份，和和驗(yàn)證每一個(gè)個(gè)用戶確實(shí)是是他所聲稱的的用戶。確保保用戶與正確確的安全屬性性相關(guān)聯(lián)。5.2.5.11 用戶屬性性定義PKI系統(tǒng)應(yīng)維維護(hù)每個(gè)用戶戶的安全屬性性。安全屬屬性包括但不不限于身份、組組、角色、許許可、安全和和完整性等級(jí)級(jí)。5.2.5.22 用戶鑒別別PKI系統(tǒng)的安安全功能應(yīng)預(yù)預(yù)先設(shè)定PKKI系統(tǒng)代表表用戶執(zhí)行的的、與安全功功能無(wú)關(guān)的動(dòng)動(dòng)作，在用戶戶身份被鑒別別之前，允許許PKI系統(tǒng)統(tǒng)執(zhí)行這些預(yù)預(yù)設(shè)動(dòng)作，包包括：a) 響應(yīng)查詢?cè)児_(kāi)信息（如如：在線證書(shū)書(shū)狀態(tài)查詢等等）；b) 接收用戶戶發(fā)來(lái)的數(shù)據(jù)據(jù)，但直到系系統(tǒng)用戶批準(zhǔn)準(zhǔn)之后才處理理。管理員應(yīng)對(duì)鑒別別數(shù)據(jù)進(jìn)行管管理。PKKI系統(tǒng)應(yīng)定定

37、義所支持的的用戶鑒別機(jī)機(jī)制的類(lèi)型。5.2.5.33 用戶標(biāo)識(shí)識(shí)PKI系統(tǒng)的安安全功能應(yīng)預(yù)預(yù)先設(shè)定PKKI系統(tǒng)代表表用戶執(zhí)行的的、與安全功功能無(wú)關(guān)的動(dòng)動(dòng)作，在用戶戶被標(biāo)識(shí)之前前，允許PKKI系統(tǒng)執(zhí)行行這些預(yù)設(shè)動(dòng)動(dòng)作，包括：a) 響應(yīng)查詢?cè)児_(kāi)信息（如如：在線證書(shū)書(shū)狀態(tài)查詢等等）；b) 接收用戶戶發(fā)來(lái)的數(shù)據(jù)據(jù)，但直到系系統(tǒng)用戶批準(zhǔn)準(zhǔn)之后才處理理。5.2.5.44 用戶主體體綁定在PKI系統(tǒng)安安全功能控制制范圍之內(nèi)，對(duì)對(duì)一個(gè)已標(biāo)識(shí)識(shí)與鑒別的用用戶，為了完完成某個(gè)任務(wù)務(wù)，需要激活活另一個(gè)主體體，這時(shí)，應(yīng)應(yīng)通過(guò)用戶主主體綁定將該該用戶與該主主體相關(guān)聯(lián)，從從而將用戶的的身份與該用用戶的所有可可審計(jì)行為相關(guān)

38、聯(lián)，使使用戶對(duì)自己己的行為負(fù)責(zé)責(zé)。5.2.5.55 鑒別失敗敗處理當(dāng)用戶自從上次次鑒別成功以以來(lái)不成功的的鑒別嘗試的的次數(shù)達(dá)到或或超過(guò)了定義義的界限時(shí)，PPKI系統(tǒng)的的安全功能應(yīng)應(yīng)能檢測(cè)到。這這個(gè)界限是管管理員可配置置的。管理員員可配置的參參數(shù)包括但不不限于，失敗敗的鑒別次數(shù)數(shù)和時(shí)間門(mén)限值。鑒別不成功功嘗試的次數(shù)數(shù)不必連續(xù)，但但應(yīng)與鑒別事事件相關(guān)。5.2.6 審審計(jì)5.2.6.11 審計(jì)數(shù)據(jù)據(jù)產(chǎn)生審計(jì)功能部件應(yīng)應(yīng)對(duì)下列事件件產(chǎn)生審計(jì)記記錄：a) 審計(jì)功能能的啟動(dòng)和結(jié)結(jié)束；b) 表5中的的事件。對(duì)于每一個(gè)事件件，其審計(jì)記記錄應(yīng)包括：事件的日期期和時(shí)間、用用戶、事件類(lèi)類(lèi)型、事件是是否成功，以以及表

39、5中附附加信息欄中中要求的內(nèi)容容。日志記記錄中不應(yīng)出出現(xiàn)明文形式式的私鑰、對(duì)對(duì)稱密鑰和其其它安全相關(guān)關(guān)的參數(shù)。審計(jì)功能部部件應(yīng)能將可可審計(jì)事件與與發(fā)起該事件件的用戶身份份相關(guān)聯(lián)。5.2.6.22 審計(jì)查閱閱審計(jì)功能部件應(yīng)應(yīng)為管理員提提供查看日志志所有信息的的能力。審審計(jì)功能部件件應(yīng)以適于閱閱讀和解釋的的方式向閱讀讀者提供日志志信息。5.2.6.33 選擇性審審計(jì)審計(jì)功能部件應(yīng)應(yīng)可根據(jù)下列列屬性選擇或或排除審計(jì)事事件集中的可可審計(jì)事件：用戶標(biāo)識(shí)識(shí)、事件類(lèi)型型、主體標(biāo)識(shí)識(shí)、客體標(biāo)識(shí)識(shí)等。5.2.6.44 審計(jì)事件件存儲(chǔ)審計(jì)功能部件應(yīng)應(yīng)具有以下能能力：a) 受保護(hù)的的審計(jì)蹤跡存存儲(chǔ)，能防止止對(duì)審計(jì)記

40、錄錄的非授權(quán)修修改，并可檢檢測(cè)對(duì)審計(jì)記記錄的修改；b) 防防止審計(jì)數(shù)據(jù)據(jù)丟失，要求求當(dāng)審計(jì)蹤跡跡存儲(chǔ)已滿時(shí)時(shí)，審計(jì)功能能部件應(yīng)能夠夠阻止除由管管理員發(fā)起的的以外的所有有審計(jì)事件的的發(fā)生。5.2.7 數(shù)數(shù)據(jù)輸入輸出出5.2.7.11 TOE內(nèi)內(nèi)部用戶數(shù)據(jù)據(jù)傳送在PKI系統(tǒng)的的物理分隔部部件間傳遞用用戶數(shù)據(jù)時(shí)，PPKI系統(tǒng)應(yīng)應(yīng)執(zhí)行訪問(wèn)控控制策略，以以防止對(duì)安全全相關(guān)的用戶戶數(shù)據(jù)的篡改改。在PKKI系統(tǒng)的物物理分隔部件件間傳遞用戶戶數(shù)據(jù)時(shí)，PPKI系統(tǒng)應(yīng)應(yīng)執(zhí)行訪問(wèn)控控制策略，以以防止機(jī)密性性用戶數(shù)據(jù)的的泄露。5.2.7.22 TSF間間用戶數(shù)據(jù)傳傳送的保密性性當(dāng)用戶數(shù)據(jù)通過(guò)過(guò)外部信道在在PKI系統(tǒng)統(tǒng)

41、之間或PKKI系統(tǒng)用戶戶之間傳遞時(shí)時(shí)，PKI系系統(tǒng)應(yīng)執(zhí)行訪訪問(wèn)控制策略略，使得能以以某種防止未未授權(quán)泄露的的方式傳送用用戶數(shù)據(jù)。5.2.7.33 輸出TSSF數(shù)據(jù)的保保密性在TSF數(shù)據(jù)從從TSF到遠(yuǎn)遠(yuǎn)程可信ITT產(chǎn)品的傳送送過(guò)程中，應(yīng)應(yīng)保護(hù)機(jī)密數(shù)數(shù)據(jù)不被未授授權(quán)泄露。這些機(jī)密數(shù)數(shù)據(jù)可以是TTSF的關(guān)鍵鍵數(shù)據(jù)，如口口令、密鑰、審審計(jì)數(shù)據(jù)或TTSF的可執(zhí)執(zhí)行代碼。5.2.7.44 TOE內(nèi)內(nèi)TSF數(shù)據(jù)據(jù)的傳送PKI系統(tǒng)應(yīng)保保護(hù)安全相關(guān)關(guān)的TSF數(shù)數(shù)據(jù)在分離的的PKI部件件間傳送時(shí)不不被篡改；PKI系統(tǒng)統(tǒng)應(yīng)保護(hù)機(jī)密密性TSF數(shù)數(shù)據(jù)在分離的的PKI部件件間傳送時(shí)不不被泄露。5.2.8 備備份與恢復(fù)PK

42、I系統(tǒng)應(yīng)具具有備份和恢恢復(fù)功能，并并可在需要時(shí)時(shí)調(diào)用備份功功能，使在系系統(tǒng)失敗或者者其它嚴(yán)重錯(cuò)錯(cuò)誤的情況下下能夠重建系系統(tǒng)。執(zhí)行備備份的頻率取取決于系統(tǒng)或或者應(yīng)用的重重要性。在系系統(tǒng)備份數(shù)據(jù)據(jù)中應(yīng)保存足足夠的信息使系統(tǒng)能夠重重建備份時(shí)的的系統(tǒng)狀態(tài)。5.2.9 密密鑰管理5.2.9.11 密鑰生成成5.2.9.11.1 PKKI系統(tǒng)密鑰鑰生成PKI系統(tǒng)部件件密鑰和系統(tǒng)統(tǒng)用戶密鑰生生成應(yīng)由相應(yīng)應(yīng)級(jí)別的CAA或RA等機(jī)機(jī)構(gòu)進(jìn)行，可可用軟件方法法產(chǎn)生，生成成算法和密鑰鑰長(zhǎng)度等應(yīng)符符合國(guó)家密碼碼行政管理部部門(mén)的規(guī)定。在在進(jìn)行密鑰生生成時(shí)，PKKI系統(tǒng)應(yīng)限限制非授權(quán)人人員的參與。CCA簽名公私私鑰對(duì)應(yīng)采用

43、用國(guó)家密碼行行政管理部門(mén)門(mén)認(rèn)可的方法法生成，可用用軟件方法或或硬件密碼設(shè)設(shè)備產(chǎn)生。在在密鑰生成時(shí)時(shí)應(yīng)檢查用戶戶角色，并設(shè)設(shè)置為只有管管理員才能啟啟動(dòng)CA密鑰鑰生成過(guò)程。5.2.9.11.2 終端端用戶密鑰生生成終端用戶的密鑰鑰可由用戶自自己生成，也也可委托CAA、RA等PPKI系統(tǒng)的的服務(wù)機(jī)構(gòu)生生成。終端端用戶密鑰可可用軟件方法法產(chǎn)生，生成成算法和密鑰鑰長(zhǎng)度等應(yīng)符符合國(guó)家密碼碼行政管理部部門(mén)的規(guī)定。5.2.9.22 密鑰傳送送與分發(fā)5.2.9.22.1 PKKI系統(tǒng)密鑰鑰傳送與分發(fā)發(fā)PKI系統(tǒng)部件件密鑰的傳送送與分發(fā)應(yīng)以以加密形式直直接發(fā)送到PPKI系統(tǒng)部部件中，加密密算法等應(yīng)符符合國(guó)家密碼碼

44、行政管理部部門(mén)的規(guī)定。系統(tǒng)用戶密密鑰的傳送與與分發(fā)應(yīng)以加加密形式直接接發(fā)送到系統(tǒng)統(tǒng)用戶證書(shū)載載體中，加密密算法等應(yīng)符符合國(guó)家密碼碼行政管理部部門(mén)的規(guī)定。CA公鑰分分發(fā)方法應(yīng)適適當(dāng)、切實(shí)可可行，如提供供根證書(shū)和CCA證書(shū)下載載、或與終端端用戶證書(shū)一一起下載等，應(yīng)應(yīng)符合國(guó)家密密碼行政管理理部門(mén)對(duì)密鑰鑰分發(fā)的相關(guān)關(guān)規(guī)定。CAA公鑰分發(fā)還還應(yīng)保證CAA公鑰的完整整性，可通過(guò)過(guò)嵌入應(yīng)用軟件、SSSL、手工工等方法分發(fā)發(fā)。5.2.9.22.2 終端端用戶密鑰傳傳送與分發(fā)如果終端用戶自自己生成密鑰鑰對(duì)，把公鑰鑰傳送給CAA是證書(shū)注冊(cè)冊(cè)過(guò)程的一部部分。終端用用戶應(yīng)將公鑰鑰安全的提交交給CA，如如使用證書(shū)載載體

45、等方法進(jìn)進(jìn)行面對(duì)面?zhèn)鱾魉汀Ｈ绻K端用戶委委托CA生成成密鑰對(duì)，則則不需要簽發(fā)發(fā)前的終端用用戶公鑰傳送送。CA向用用戶傳送與分分發(fā)私鑰應(yīng)以以加密形式進(jìn)進(jìn)行，加密算算法等應(yīng)符合合國(guó)家密碼行行政管理部門(mén)門(mén)的規(guī)定。5.2.9.33 密鑰存儲(chǔ)儲(chǔ)系統(tǒng)部件密鑰和和系統(tǒng)用戶密密鑰可用軟件件加密的形式式存儲(chǔ)，加密密算法應(yīng)符合合國(guó)家密碼行行政管理部門(mén)門(mén)的規(guī)定。CA簽名私私鑰應(yīng)存儲(chǔ)于于國(guó)家密碼行行政管理部門(mén)門(mén)規(guī)定的密碼碼模塊中或由由硬件密碼設(shè)設(shè)備加密后存存儲(chǔ)。終端端用戶密鑰由由用戶自行存存儲(chǔ)。5.2.9.44 密鑰導(dǎo)入入導(dǎo)出密鑰被導(dǎo)出到PPKI系統(tǒng)之之外可能基于于以下的原因因：密鑰備份份、復(fù)制，以以及將PKII系

46、統(tǒng)部件產(chǎn)產(chǎn)生的密鑰傳傳送到用戶手手中。密鑰鑰導(dǎo)入或?qū)С龀鯬KI系統(tǒng)統(tǒng)時(shí)，應(yīng)采用用國(guó)家密碼行行政管理部門(mén)門(mén)認(rèn)可的加密密算法或加密密設(shè)備。私私鑰不應(yīng)以明明文形式導(dǎo)入入導(dǎo)出PKII系統(tǒng)，PKKI系統(tǒng)用戶戶密鑰、系統(tǒng)統(tǒng)部件密鑰、終終端用戶密鑰鑰可使用軟件件加密，CAA簽名私鑰應(yīng)應(yīng)使用軟件方方法或硬件密密碼設(shè)備進(jìn)行行加密。PPKI系統(tǒng)應(yīng)應(yīng)提供合適的的方法把導(dǎo)入入或?qū)С鯬KKI系統(tǒng)的對(duì)對(duì)稱密鑰、私私有密鑰或公公有密鑰與正正確實(shí)體相關(guān)關(guān)聯(lián)，并賦予予相應(yīng)的權(quán)限限，其中實(shí)體體可能是一個(gè)個(gè)人、一個(gè)組組或一個(gè)過(guò)程程。5.2.9.55 密鑰銷(xiāo)毀毀PKI系統(tǒng)應(yīng)提提供銷(xiāo)毀對(duì)稱稱密鑰和私有有密鑰的適當(dāng)當(dāng)方法，PKKI系統(tǒng)文

47、檔檔中應(yīng)規(guī)定這這些密鑰銷(xiāo)毀毀方法，保證證銷(xiāo)毀過(guò)程應(yīng)應(yīng)是不可逆的的，密鑰銷(xiāo)毀毀方法應(yīng)符合合國(guó)家密碼行行政管理部門(mén)門(mén)規(guī)定。5.2.10 輪廓管理5.2.10.1 證書(shū)輪輪廓管理證書(shū)輪廓定義證證書(shū)中的字段段和擴(kuò)展可能能的值，這些些字段和擴(kuò)展展應(yīng)與GB/T 205518-20006標(biāo)準(zhǔn)相相一致。證書(shū)書(shū)輪廓包括的的信息有：a) 與密鑰綁綁定的用戶的的標(biāo)識(shí)符；b) 主體體的公私密鑰鑰對(duì)可使用的的加密算法；c) 證證書(shū)發(fā)布者的的標(biāo)識(shí)符；d) 證書(shū)書(shū)有效時(shí)間的的限定；ee) 證書(shū)包包括的附加信信息；f) 證書(shū)的主主體；g) 與證書(shū)相相對(duì)應(yīng)的私鑰鑰可執(zhí)行的操操作；h) 證書(shū)發(fā)布布所使用的策策略。PKI系統(tǒng)應(yīng)具具

48、備證書(shū)輪廓廓，并保證發(fā)發(fā)布的證書(shū)與與證書(shū)輪廓中中的描述一致致。PKI系系統(tǒng)管理員應(yīng)應(yīng)為以下字段段和擴(kuò)展指定定可能的值：a) 密鑰所有有者的標(biāo)識(shí)符符；b) 公私密鑰對(duì)對(duì)主體的算法法標(biāo)識(shí)符；c) 證書(shū)書(shū)發(fā)布者的標(biāo)標(biāo)識(shí)符；dd) 證書(shū)的的有效期。PKI系統(tǒng)管理理員還應(yīng)為以以下的字段和和擴(kuò)展指定可可能的取值：a) keyUUsage；b) bbasicCConstrraintss；c) certiificattePoliicies。管理員還應(yīng)為證證書(shū)擴(kuò)展指定定可能的值。5.2.10.2 證書(shū)撤撤銷(xiāo)列表輪廓廓管理證書(shū)撤消列表輪輪廓用于定義義CRL中字字段和擴(kuò)展中中可接受的值值，這些字段段和擴(kuò)展應(yīng)與與GB

49、/T 205188-20066標(biāo)準(zhǔn)相一致致。CRL輪輪廓可能要定定義的值包括括：a) CRL可可能或者必須須包括的擴(kuò)展展和每一擴(kuò)展展的可能的值值；b) CRL的發(fā)發(fā)布者；cc) CRLL的下次更新新日期。若PKI系統(tǒng)發(fā)發(fā)布CRL，則則應(yīng)具備證書(shū)書(shū)撤銷(xiāo)列表輪輪廓，并保證證發(fā)布的CRRL與該輪廓廓中的規(guī)定相相一致。PKKI系統(tǒng)管理理員應(yīng)規(guī)定以以下字段和擴(kuò)擴(kuò)展的可能的的取值:a) issuuer；bb) isssuerAlltNamee；c) NextUUpdatee。若PKI系統(tǒng)發(fā)發(fā)布CRL，管管理員還應(yīng)指指定CRL和和CRL擴(kuò)展展可接受的值值。5.2.10.3 在線證證書(shū)狀態(tài)協(xié)議議輪廓管理在線證

50、書(shū)狀態(tài)協(xié)協(xié)議輪廓用于于定義一系列列在OCSPP響應(yīng)中可接接受的值。OOCSP輪廓廓應(yīng)規(guī)定PKKI系統(tǒng)可能能產(chǎn)生的OCCSP響應(yīng)的的類(lèi)型和這些些類(lèi)型可接受受的值。a) 若PKII系統(tǒng)發(fā)布OOCSP響應(yīng)應(yīng)，PKI系系統(tǒng)應(yīng)具備OOCSP輪廓廓并保證OCCSP響應(yīng)與與輪廓一致；b) 若若PKI系統(tǒng)統(tǒng)發(fā)布OCSSP響應(yīng)，PPKI系統(tǒng)應(yīng)應(yīng)要求管理員員為respponseTType字段段指定可接受受的值；cc) 若PKKI系統(tǒng)允許許使用基本響響應(yīng)類(lèi)型(bbasic respoonse ttype)的的OCSP響響應(yīng)，則PKKI系統(tǒng)管理理員應(yīng)為ReespondderID指指定可接受的的值。5.2.11 證書(shū)管

51、理5.2.11.1 證書(shū)注注冊(cè)PKI系統(tǒng)所簽簽發(fā)的公鑰證證書(shū)應(yīng)與GBB/T 200518-22006相一一致。任何證證書(shū)所包含的的字段或擴(kuò)展展應(yīng)被PKII系統(tǒng)根據(jù)GGB/T 220518-2006生生成或經(jīng)由頒頒發(fā)機(jī)構(gòu)驗(yàn)證證以保證其與與標(biāo)準(zhǔn)的一致致性。輸入入證書(shū)字段和和擴(kuò)展中的數(shù)數(shù)據(jù)應(yīng)被批準(zhǔn)準(zhǔn)。證書(shū)字段段或擴(kuò)展的值值可有以下44種方式獲得得批準(zhǔn)：a) 數(shù)據(jù)被操操作員手工批批準(zhǔn)；b) 自動(dòng)過(guò)程程檢查和批準(zhǔn)準(zhǔn)數(shù)據(jù)；cc) 字段或或擴(kuò)展的值由由PKI系統(tǒng)統(tǒng)自動(dòng)的生成成；d) 字段或擴(kuò)展展的值從證書(shū)書(shū)輪廓中獲得得。進(jìn)行證書(shū)生成時(shí)時(shí)，a) 應(yīng)僅產(chǎn)生生與GB/TT 205118-20006中規(guī)定的的證書(shū)格

52、式相相同的證書(shū)；b) 應(yīng)應(yīng)僅生成與現(xiàn)現(xiàn)行證書(shū)輪廓廓中定義相符符的證書(shū)；c) PKKI系統(tǒng)應(yīng)驗(yàn)驗(yàn)證預(yù)期的證證書(shū)主體擁有有與證書(shū)中包包含的公鑰相相對(duì)應(yīng)的私鑰鑰，除非公私私密鑰對(duì)是由由PKI系統(tǒng)統(tǒng)所產(chǎn)生的；d) PPKI系統(tǒng)應(yīng)應(yīng)保證：11) verrsion字字段應(yīng)為0，11，2；22) 若包含含issueerUniqqueID或或subjeectUniiqueIDD字段則veersionn字段應(yīng)為11或2；33) 若證書(shū)書(shū)包含exttensioons那么vversioon字段應(yīng)為為2；4) seriialNummber字段段對(duì)CA應(yīng)是是唯一的；5) vaaliditty字段應(yīng)說(shuō)說(shuō)明不早于當(dāng)當(dāng)時(shí)時(shí)間

53、的nnotBeffore值和和不早于nootBefoore時(shí)間的的notAffter 值值；6) 若issuuer字段為為空證書(shū)應(yīng)包包括一個(gè)isssuerAAltNamme 的關(guān)鍵鍵性擴(kuò)展；7) 若ssubjecct字段為空空，證書(shū)應(yīng)包包括一個(gè)suubjecttAltNaame的關(guān)鍵鍵性擴(kuò)展；8) suubjecttPubliicKeyIInfo字段段中的siggnaturre字段和aalgoriithm字段段應(yīng)包含國(guó)家家密碼行政管管理部門(mén)許可可的或推薦的的算法的OIID。5.2.11.2 證書(shū)撤撤銷(xiāo)5.2.11.2.1 證證書(shū)撤銷(xiāo)列表表審核發(fā)布CRL的PPKI系統(tǒng)應(yīng)應(yīng)驗(yàn)證所有強(qiáng)強(qiáng)制性字段的的

54、值符合GBB/T 200518-22006。至至少以下字段段應(yīng)被審核：a) 若包含vversioon字段，應(yīng)應(yīng)為1；bb) 若CRRL包含關(guān)鍵鍵性的擴(kuò)展，vversioon字段應(yīng)出出現(xiàn)且為1；c) 若若issueer字段為空空，CRL應(yīng)應(yīng)包含一個(gè)iissuerrAltNaame的關(guān)鍵鍵性擴(kuò)展；d) siignatuure和siignatuureAlggorithhm字段應(yīng)為為許可的數(shù)字字簽名算法的的OID；e) thhisUpddate應(yīng)包包含本次CRRL的發(fā)布時(shí)時(shí)間；f) nexttUpdatte 字段的的時(shí)間不應(yīng)早早于thissUpdatte字段的時(shí)時(shí)間。5.2.11.2.2 OOCSP基

55、本本響應(yīng)的審核核發(fā)布OCSP響響應(yīng)的PKII系統(tǒng)應(yīng)驗(yàn)證證所有強(qiáng)制性性字段的值符符合GB/TT 197113-20005。至少應(yīng)應(yīng)審核以下字字段：a) verssion字段段應(yīng)為0；b) 若iissuerr字段為空，響響應(yīng)中應(yīng)包含含一個(gè)isssuerAlltNamee的關(guān)鍵性擴(kuò)擴(kuò)展；c) signnatureeAlgorrithm字字段應(yīng)為許可可的數(shù)字簽名名算法的OIID；d) thissUpdatte字段應(yīng)指指出證書(shū)狀態(tài)態(tài)正確的時(shí)間間；e) produucedAtt字段應(yīng)指出出OCSP響響應(yīng)者發(fā)出響響應(yīng)的時(shí)間；f) nnextUppdate 字段的時(shí)間間不應(yīng)早于tthisUppdate字字段的

56、時(shí)間。5.2.12 配置管理應(yīng)按GB/T 202711-20066中6.2.5.1的要要求，從以下下方面實(shí)現(xiàn)PPKI系統(tǒng)的的配置管理：a) 在配置管管理能力方面面應(yīng)實(shí)現(xiàn)對(duì)版版本號(hào)等方面面的要求；b) 在PPKI系統(tǒng)的的配置管理范范圍方面，應(yīng)應(yīng)將PKI系系統(tǒng)的實(shí)現(xiàn)表表示、設(shè)計(jì)文文檔、測(cè)試文文檔、用戶文文檔、管理員員文檔以及配配置管理文檔檔等置于配置置管理之下；c) 在在系統(tǒng)的整個(gè)個(gè)生存期，即即在它的開(kāi)發(fā)發(fā)、測(cè)試和維維護(hù)期間，應(yīng)應(yīng)有一個(gè)軟件件配置管理系系統(tǒng)處于保持持對(duì)改變?cè)创a碼和文件的控控制狀態(tài)。只只有被授權(quán)的的代碼和代碼碼修改才允許許被加進(jìn)已交交付的源碼的的基本部分。所所有改變應(yīng)被記載和和檢查，

57、以確確保未危及系系統(tǒng)的安全。在在軟件配置管管理系統(tǒng)中，應(yīng)應(yīng)包含從源碼碼產(chǎn)生出系統(tǒng)統(tǒng)新版本、鑒鑒定新生成的的系統(tǒng)版本和和保護(hù)源碼免免遭未授權(quán)修修改的工具和和規(guī)程。通過(guò)過(guò)技術(shù)、物理理和保安規(guī)章章三方面的結(jié)合，可可充分保護(hù)生生成系統(tǒng)所用用到的源碼免免遭未授權(quán)的的修改和毀壞壞。5.2.13 分發(fā)和操作作應(yīng)按GB/T 202711-20066中6.2.5.2的要要求，從以下下方面實(shí)現(xiàn)PPKI系統(tǒng)的的分發(fā)和操作作：a) 以文檔形形式提供對(duì)PPKI系統(tǒng)安安全地進(jìn)行分分發(fā)的過(guò)程，并并對(duì)安裝、生生成和啟動(dòng)的的過(guò)程進(jìn)行說(shuō)說(shuō)明，最終生生成安全的配配置。文檔中中所描述的內(nèi)內(nèi)容應(yīng)包括：提供供分發(fā)的過(guò)程程；安安全啟動(dòng)和操

58、操作的過(guò)程；建立立日志的過(guò)程程。b) 對(duì)系統(tǒng)的未未授權(quán)修改的的風(fēng)險(xiǎn)，應(yīng)在在交付時(shí)控制制到最低限度度。在包裝及及安全分送和和安裝過(guò)程中中，這種控制制應(yīng)采取軟件件控制系統(tǒng)的的方式，確認(rèn)認(rèn)安全性會(huì)由由最終用戶考考慮，所有安安全機(jī)制都應(yīng)應(yīng)以功能狀態(tài)態(tài)交付；cc) 所有軟軟件應(yīng)提供安安全安裝默認(rèn)認(rèn)值，在客戶戶不做選擇時(shí)時(shí)，默認(rèn)值應(yīng)應(yīng)使安全機(jī)制制有效地發(fā)揮揮作用；dd) 隨同系系統(tǒng)交付的全全部默認(rèn)用戶戶標(biāo)識(shí)碼，應(yīng)應(yīng)在交付時(shí)處處于非激活狀狀態(tài)，并在使使用前由管理理員激活；e) 指導(dǎo)導(dǎo)性文檔應(yīng)同同交付的系統(tǒng)統(tǒng)軟件一起包包裝，并應(yīng)有有一套規(guī)程確確保當(dāng)前送給給用戶的系統(tǒng)統(tǒng)軟件是嚴(yán)格格按最新的系系統(tǒng)版本來(lái)制制作的。

59、5.2.14 開(kāi)發(fā)應(yīng)按GB/T 202711-20066中6.2.5.3的要要求，從以下下方面進(jìn)行PPKI系統(tǒng)的的開(kāi)發(fā)：a) 按非形式式化安全策略略模型、完全全定義的外部部接口、描述述性高層設(shè)計(jì)計(jì)、TSF子子集實(shí)現(xiàn)、TTSF內(nèi)部結(jié)結(jié)構(gòu)層次化、描描述性低層設(shè)設(shè)計(jì)和非形式式化對(duì)應(yīng)性說(shuō)說(shuō)明的要求，進(jìn)進(jìn)行PKI系系統(tǒng)的開(kāi)發(fā)；b) 系系統(tǒng)的設(shè)計(jì)和和開(kāi)發(fā)應(yīng)保護(hù)護(hù)數(shù)據(jù)的完整整性，例如，檢檢查數(shù)據(jù)更新新的規(guī)則，返返回狀態(tài)的檢檢查，中間結(jié)結(jié)果的檢查，合合理值輸入檢檢查等；cc) 在內(nèi)部部代碼檢查時(shí)時(shí)，應(yīng)解決潛潛在的安全缺缺陷，關(guān)閉或或取消所有的的后門(mén)；dd) 所有交交付的軟件和和文檔，應(yīng)進(jìn)進(jìn)行關(guān)于安全全缺陷的定

60、期期的和書(shū)面的的檢查，并將將檢查結(jié)果告告知客戶；e) 系統(tǒng)統(tǒng)控制數(shù)據(jù)，如如口令和密鑰鑰，不應(yīng)在未未受保護(hù)的程程序或文檔中中以明文形式式儲(chǔ)存，并以以書(shū)面形式向向客戶提供關(guān)關(guān)于軟件所有有權(quán)法律保護(hù)護(hù)的指南。5.2.15 指導(dǎo)性文檔檔應(yīng)按GB/T 202711-20066中6.2.5.4的要要求，從以下下方面編制PPKI系統(tǒng)的的指導(dǎo)性文檔檔：a) 終端用戶戶文檔應(yīng)提供供關(guān)于不同用用戶的可見(jiàn)的的安全機(jī)制以以及如何利用用它們的信息息，描述沒(méi)有有明示用戶的的保護(hù)結(jié)構(gòu)，并并解釋它們的的用途和提供供有關(guān)它們使使用的指南；b) 系系統(tǒng)用戶文檔檔應(yīng)提供有關(guān)關(guān)如何設(shè)置、維維護(hù)和分析系系統(tǒng)安全的詳詳細(xì)指導(dǎo)，包包括當(dāng)運(yùn)