信息安全技术公共基础设施PKI系统安全等级保护技术要求VIP免费

信息安全技术公共基础设施PKI系统安全等级保护技术要求引言公开密钥基础设施（PKI）是集机构、系统（硬件和软件）、人员、程序、策略和协议为一体，利用公钥概念和技术来实施和提供安全服务的、具有普适性的安全基础设施。PKI系统是通过颁发与管理公钥证书的方式为终端用户提供服务的系统，包括CA、RA、资料库等基本逻辑部件和OCSP等可选服务部件以及所依赖的运行环境。《PKI系统安全等级保护技术要求》按五级划分的原则，制定PKI系统安全等级保护技术要求，详细说明了为实现GB/TAAA—200×所提出的PKI系统五个安全保护等级应采取的安全技术要求、为确保这些安全技术所实现的安全功能能够达到其应具有的安全性而采取的保证措施，以及各安全技术要求在不同安全级中具体实现上的差异。第一级为最低级别，第五级为最高级别，随着等级的提高，PKI系统安全等级保护的要求也随之递增。正文中字体为黑体加粗的内容为本级新增部分的要求。信息安全技术公钥基础设施PKI系统安全等级保护技术要求1范围本标准依据GB/TAAA—200×的五个安全保护等级的划分，规定了不同等级PKI系统所需要的安全技术要求。本标准适用于PKI系统的设计和实现，对于PKI系统安全功能的研制、开发、测试和产品采购亦可参照使用。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，提倡使用本标准的各方探讨使用其最新版本的可能性。凡是不注日期的引用文件，其最新版本适用于本标准。GB/T19713-2005信息安全技术公钥基础设施在线证书状态协议GB/T20271-2006信息安全技术信息系统通用安全技术要求GB/T20518-2006信息安全技术公钥基础设施数字证书格式GB/T21054-2007信息安全技术公钥基础设施PKI系统安全等级保护评估准则GB/T21052-2007信息安全技术信息系统物理安全技术要求GB/T20984-2007信息安全技术信息安全风险评估指南3术语和定义下列术语和定义适用于本标准。3.1公开密钥基础设施（PKI）publickeyinfrastructure(PKI)公开密钥基础设施是支持公钥管理体制的基础设施，提供鉴别、加密、完整性和不可否认性服务。3.2PKI系统PKIsystemPKI系统是通过颁发与管理公钥证书的方式为终端用户提供服务的系统，包括CA、RA、资料库等基本逻辑部件和OCSP等可选服务部件以及所依赖的运行环境。3.3安全策略securitypolicy一系列安全规则的准确规定，包括从本标准中派生出的规则和供应商添加的规则。3.4分割知识splitknowledge两个或两个以上实体分别保存密钥的一部分，密钥的每个部分都不应泄露密钥的明文有效信息，而当这些部分在加密模块中合在一起时可以得到密钥的全部信息，这种方法就叫分割知识。3.5分割知识程序splitknowledgeprocedure用来实现分割知识的程序。3.6保护轮廓protectionprofile一系列满足特定用户需求的、为一类评估对象独立实现的安全要求。3.7关键性扩展criticalextension证书或CRL中一定能够被识别的扩展项，若不能识别，该证书或CRL就无法被使用。3.8审计踪迹audittrail记录一系列审计信息和事件的日志。3.9系统用户systemuser对PKI系统进行管理、操作、审计、备份、恢复的工作人员，系统用户一般在PKI系统中被赋予了指定的角色。3.10终端用户terminateuser使用PKI系统所提供服务的远程普通用户。4缩略语以下缩略语适用于本标准：CA认证机构CertificationAuthorityCPS认证惯例陈述CertificationPracticeStatementCRL证书撤销列表CertificateRevocationListOCSP在线证书状态协议OnlineCertificateStatusProtocolPP保护轮廓ProtectionProfileRA注册机构RegistrationAuthorityTOE评估对象TargetOfEvaluationTSFTOE安全功能TOESecurityFunction5安全等级保护技术要求5.1第一级5.1.1概述第一级的PKI系统，由用户自主保护，所保护的资产价值很低，面临的安全威胁很小，适用于安全要求非常低的企业级PKI系统。PKI系统面临的风险，应按照GB/T20984—2007进行评估。结构设计上，PKI系统的CA、RA、证书资料库可不进行明确的分化，所有功能软件模块可全部安装在同一台计算机系统上。第一级PKI系统...