主要内容
范围:依据相关标准的五个安全保护等级的划分,规定了不同等级 PKI 系统所需要的安全技术要求,适用于 PKI 系统的设计和实现,对 PKI 系统安全功能的研制、开发、测试和产品采购也可参照使用。
规范性引用文件:包括 GB/T 19713-2005、GB/T 20271-2006、GB/T 20518-2006、GB/T 21052-2007、GB/T 20984-2007 等。
术语和定义:对公开密钥基础设施(PKI)、PKI 系统、安全策略、分割知识、分割知识程序、保护轮廓、关键性扩展、审计踪迹、系统用户、终端用户等术语进行了定义。
缩略语:介绍了 CA、CPS、CRL、OCSP、PP、RA、TOE、TSF 等缩略语。
安全等级保护技术要求
第二级至第五级:在第一级基础上,随着等级升高,在物理安全、角色与责任、访问控制、标识与鉴别、审计、数据输入输出、备份与恢复、密钥管理、轮廓管理、证书管理、配置管理、分发和操作、开发、指导性文档、生命周期支持、测试、脆弱性评定等方面的要求逐步提高和细化。
术语定义
1 公开密钥基础设施(PKI) public key infrastructure (PKI)
公开密钥基础设施是支持公钥管理体制的基础设施,提供鉴别、加密、完整性和不可否认性服务。
2 PKI 系统 PKI system
PKI 系统是通过颁发与管理公钥证书的方式为终端用户提供服务的系统,包括 CA、RA、资料库等基本逻辑部件和 OCSP 等可选服务部件以及所依赖的运行环境。
3 安全策略 security policy
一系列安全规则的准确规定,包括从本标准中派生出的规则和供应商添加的规则。
4 分割知识 split knowledge
两个或两个以上实体分别保存密钥的一部分,密钥的每个部分都不应泄露密钥的明文有效信息,而当这些部分在加密模块中合在一起时可以得到密钥的全部信息,这种方法就叫分割知识。
5 分割知识程序 split knowledge procedure
用来实现分割知识的程序。
6 保护轮廓 protection profile
一系列满足特定用户需求的、为一类评估对象独立实现的安全要求。
7 关键性扩展 critical extension
证书或 CRL 中一定能够被识别的扩展项,若不能识别,该证书或 CRL 就无法被使用。
8 审计踪迹 audit trail
记录一系列审计信息和事件的日志。
9 系统用户 system user
对 PKI 系统进行管理、操作、审计、备份、恢复的工作人员,系统用户一般在 PKI 系统中被赋予了指定的角色。
10 终端用户 terminate user
使用 PKI 系统所提供服务的远程普通用户。
暂无评论内容