路径: 主页 > MISC > 第78页 > GA/T 1545-2010 | 中文名称 | 信息安全技术 智能密码钥匙安全技术要求 | | 英文名称 | (Information security technology Security requirements for smart cryptographic keys) | | 行业 | 公安行业标准 (推荐) | | 发布日期 | 3/4/2019 | | 实施日期 | 3/4/2019 | | 发布机构 | 公安部 | GA/T 1545-2010
(Information security technology Security requirements for smart cryptographic keys)
ICS 35.240
A 90
GA
中 华 人 民 共 和 国 公 共 安 全 行 业 标 准
信息安全技术 智能密码钥匙安全技术要求
Information security technology Security technical requirements for smart tokens
中华人民共和国公安部 发 布
目次
前言...II
1 范围...1
2 规范性引用文件...1
3 术语和定义...1
4 缩略语...1
5 智能密码钥匙描述...1
6 安全等级...2
7 安全功能要求...2
7.1 安全管理...2
7.2 抗攻击...2
7.3 密码支持...2
7.4 身份鉴别...3
7.5 用户数据保护...3
7.6 安全审计...4
7.7 自保护能力...4
8 安全保障要求...4
8.1 开发...4
8.2 指导性文档...5
8.3 生命周期支持...6
8.4 测试...7
8.5 脆弱性评定...7
9 不同安全等级的要求...7
II
前言
本标准按照GB/T 1.1-2009给出的规则起草。
本标准由公安部网络安全保卫局提出。
本标准由公安部信息系统安全标准化技术委员会归口。
本标准起草单位:公安部计算机信息系统安全产品质量监督检验中心、公安部第三研究所。
本标准主要起草人:付文彬、杨元原、周嵩岑、顾玮、顾健、陆臻。
信息安全技术 智能密码钥匙安全技术要求
1 范围
本标准规定了智能密码钥匙的安全功能要求、安全保障要求及等级划分要求。
本标准适用于智能密码钥匙的设计、开发及测试。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 18336.3-2015 信息技术 安全技术 信息技术安全评估准则 第3部分:安全保障组件
GB/T 25069-2010 信息安全技术 术语
3 术语和定义
GB/T 25069-2010和GB/T 18336.3-2015界定的以及下列术语和定义适用于本文件。
3.1
普通用户 user
使用智能密码钥匙的最终用户。
3.2
管理员 administrator
对智能密码钥匙实施个人化、初始化、解锁等管理操作的人员。
3.3
中间件 middle ware
向其他应用程序提供软件接口,根据应用程序调用接口及传入的参数,向智能密码钥匙下发指令或
指令序列,接收智能密码钥匙回送的数据,并根据回送数据向应用程序报告接口执行结果的软件。
4 缩略语
下列缩略语适用于本文件。
PIN:个人识别码(Personal Identification Number)
5 智能密码钥匙描述
智能密码钥匙是一种硬件设备,它内置安全芯片,有一定的存储空间,可以存储数字证书等用户数
据,有用户的身份鉴别机制(身份鉴别信息通常是PIN,也可为指纹等),具备密码运算功能。
本安全技术要求针对智能密码钥匙自身的软件和硬件,还包括与系统应用交互的中间件。智能密码
钥匙的硬件不局限于USB接口,也可采用SD接口、音频(耳机)接口、蓝牙接口或其他形式接口。
6 安全等级
智能密码钥匙的安全等级按照其安全功能要求的强度划分为基本级和增强级。
7 安全功能要求
7.1 安全管理
7.1.1 安全功能管理
应仅限于授权用户对以下安全功能进行管理:
a) 生命周期的管理;
b) 密钥管理;
c) PIN 码管理。
7.1.2 安全属性管理
应仅允许授权用户单向更新智能密码钥匙生命周期状态,修改PIN码状态等安全属性。
7.1.3 静态属性初始化
应为安全属性提供一个受限的默认值,并仅允许授权用户修改这些默认值。
7.1.4 安全角色
应具备普通用户和管理员等安全角色。
7.2 抗攻击
7.2.1 旁路攻击抵抗
应能够抵抗攻击者通过指令耗时、功率消耗和电磁辐射等方式发起的旁路攻击。
7.2.2 扰动攻击抵抗
应能够抵抗攻击者通过激光、时钟毛刺和电压毛刺等方式发起的扰动攻击。
7.2.3 物理攻击抵抗
应防范通过物理攻击的手段(物理攻击手段包括但不限于开盖、搭线等)获取设备内的敏感信息的
行为,当检测到物理攻击时,应选择如下措施:
a) 敏感数据清零;
b) 外壳采用强度较高的材料,强力打开将导致内部电路损坏。
7.3 密码支持
7.3.1 密钥生成
产品的密钥生成应符合国家密码管理的有关规定。
7.3.2 密钥销毁
对于不再使用的密钥,产品应提供密钥销毁功能。
7.3.3 密码算法
产品执行的加密、解密、签名、验签等密码算法应符合国家密码管理的有关规定。
7.4 身份鉴别
7.4.1 身份鉴别信息
身份鉴别信息应采用以下形式中的一种或几种:
a) PIN;
b) 指纹等身份特征信息;
c) 密钥。
7.4.2 鉴别时机
在用户访问产品受保护的资源前应进行身份鉴别,鉴别前应允许用户执行下述动作:
a) 建立逻辑通道;
b) 选择文件;
c) 建立安全通道。
7.4.3 鉴别失败处理
提供以下鉴别失败处理措施:
a) 智能密码钥匙应提示用户剩余的可尝试次数;
b) 当失败的用户身份鉴别尝试次数达到规定的数值时,产品应能够终止会话。
7.4.4 用户确认
进行关键数据签名时,智能密码钥匙应能显示关键信息并提示用户进行确认,等待用户确认后,才
能进行签名运算。
7.4.5 会话超时终止
提供以下会话超时终止措施:
a) 在一段时间无任何操作应终止会话;
b) 应通过相应机制告知用户。
7.5 用户数据保护
7.5.1 访问控制策略
应确保安全功能涉及的所有操作都被访问控制策略所涵盖,主体应能够按照预定义的访问控制策略
访问客体。
7.5.2 基于安全属性的访问控制
应基于主体和客体的安全属性,提供明确的访问保障能力和拒绝访问能力。
7.5.3 剩余信息保护
安全功能在释放或者重新分配访问控制范围之内的客体敏感资源,如PIN码、密钥时,应确保该资
源中任何以前的信息不再可用。
7.6 安全审计
7.6.1 潜在侵害监测
应至少使用下列规则来监控审计事件,以指示潜在的安全侵害:
a) 鉴别数据完整性的破坏;
b) 缓冲区溢出;
c) 资源不可用;
d) 违反安全策略的行为;
e) 异常环境条件(频率、电压、温度)。
7.6.2 安全告警和响应
应根据监测到的潜在安全侵害,选择下列行为:
a) 阻止侵害行为并告警;
b) 重新初始化并重置相关数据;
c) 终止产品服务。
7.7 自保护能力
7.7.1 失效保护
产品应在下列失效情况发生时,能够自动恢复到一个安全状态:
a) 潜在侵害事件;
b) 完整性检测故障。
7.7.2 功能恢复
应确保失效情况发生后,产品安全功能或者成功完成,或者针对指明的失效情况恢复到一个前后一
致且安全的状态。
7.7.3 防重放
产品应能检测到以下重放攻击,并且当检测到重放时,应执行拒绝操作并复位安全状态等安全操作:
a) PIN验证数据、PIN修改数据的重放;
b) 智能密码钥匙屏显签名数据的重放。
7.7.4 传输安全
应保护身份鉴别信息、密钥等数据在传输时不被泄露和修改。
8 安全保障要求
8.1 开发
8.1.1 安全架构
开发者应提供产品安全功能的安全架构描述,安全架构描述应满足以下要求:
a) 与产品设计文档中对安全功能实施抽象描述的级别一致;
b) 描述与安全功能要求一致的产品安全功能的安全域;
c) 描述产品安全功能初始化过程为何是安全的;
d) 证实产品安全功能能够防止被破坏;
e) 证实产品安全功能能够防止安全特性被旁路。
8.1.2 功能规范
开发者应提供完备的功能规范说明,功能规范说明应满足以下要求:
a) 完全描述产品的安全功能;
b) 描述所有安全功能接口的目的与使用方法;
c) 标识和描述每个安全功能接口相关的所有参数;
d) 描述安全功能接口相关的安全功能实施行为;
e) 描述由安全功能实施行为处理而引起的直接错误消息;
f) 证实安全功能要求到安全功能接口的追溯;
g) 描述安全功能实施过程中,与安全功能接口相关的所有行为;
h) 描述可能由安全功能接口的调用而引起的所有直接错误消息。
8.1.3 实现表示
开发者应提供全部安全功能的实现表示,实现表示应满足以下要求:
a) 提供产品设计描述与实现表示实例之间的映射,并证明其一致性;
b) 按详细级别定义产品安全功能,详细程度达到无须进一步设计就能生成安全功能的程度;
c) 以开发人员使用的形式提供。
8.1.4 产品设计
开发者应提供产品设计文档,产品设计文档应满足以下要求:
a) 根据子系统描述产品结构;
b) 标识和描述产品安全功能的所有子系统;
c) 描述安全功能所有子系统间的相互作用;
d) 提供的映射关系能够证实设计中描述的所有行为能够映射到调用它的安全功能接口;
e) 根据模块描述安全功能;
f) 提供安全功能子系统到模块间的映射关系;
g) 描述所有安全功能实现模块,包括其目的及与其他模块间的相互作用;
h) 描述所有实现模块的安全功能要求相关接口、其他接口的返回值、与其他模块间的相互作用及
调用的接口;
i) 描述所有安全功能的支撑或相关模块,包括其目的及与其他模块间的相互作用。
8.2 指导性文档
8.2.1 操作用户指南
开发者应提供明确和合理的操作用户指南,操作用户指南与为评估而提供的其他所有文档保持一
致,对每一种用户角色的描述应满足以下要求:
a) 描述在安全处理环境中被控制的用户可访问的功能和特权,包含适当的警示信息;
b) 描述如何以安全的方式使用产品提供的可用接口;
c) 描述可用功能和接口,尤其是受用户控制的所有安全参数,适当时指明安全值;
d) 明确说明与需要执行的用户可访问功能有关的每一种安全相关事件,包括改变安全功能所控制
实体的安全特性;
e) 标识产品运行的所有可能状态(包括操作导致的失败或者操作性错误),以及它们与维持安全
运行之间的因果关系和联系;
f) 充分实现安全目的所执行的安全策略。
8.2.2 准备程序
开发者应提供产品及其准备程序,准备程序描述应满足以下要求:
a) 描述与开发者交付程序相一致的安全接收所交付产品必需的所有步骤;
b) 描述安全安装产品及其运行环境必需的所有步骤。
8.3 生命周期支持
8.3.1 配置管理能力
开发者的配置管理能力应满足以下要求:
a) 为产品的不同版本提供唯一的标识;
b) 使用配置管理系统对组成产品的所有配置项进行维护,并唯一标识配置项;
c) 提供配置管理文档,配置管理文档描述用于唯一标识配置项的方法;
d) 配置管理系统提供一种自动方式来支持产品的生成,通过该方式确保只能对产品的实现表示进
行已授权的改变;
e) 配置管理文档包括一个配置管理计划,配置管理计划描述如何使用配置管理系统开发产品。实
施的配置管理与配置管理计划相一致;
f) 配置管理计划描述用来接受修改过的或新建的作为产品组成部分的配置项的程序。
8.3.2 配置管理范围
开发者应提供产品配置项列表,并说明配置项的开发者。配置项列表应包含以下内容:
a) 产品、安全保障要求的评估证据和产品的组成部分;
b) 实现表示、安全缺陷报告及其解决状态。
8.3.3 交付程序
开发者应使用一定的交付程序交付产品,并将交付过程文档化。在给用户方交付产品的各版本时,
交付文档应描述为维护安全所必需的所有程序。
8.3.4 开发安全
开发者应提供开发安全文档。开发安全文档应描述在产品的开发环境中,为保护产品设计和实现的
保密性和完整性所必需的所有物理的、程序的、人员的和其他方面的安全措施。
8.3.5 生命周期定义
开发者应建立一个生命周期模型对产品的开发和维护进行的必要控制,并提供生命周期定义文档描
述用于开发和维护产品的模型。
8.3.6 工具和技术
开发者应明确定义用于开发产品的工具,并提供开发工具文档无歧义地定义实现中每个语句的含义
和所有依赖于实现的选项的含义。
8.4 测试
8.4.1 测试覆盖
开发者应提供测试覆盖文档,测试覆盖描述应满足以下要求:
a) 表明测试文档中所标识的测试与功能规范中所描述的产品的安全功能间的对应性;
b) 表明上述对应性是完备的,并证实功能规范中的所有安全功能接口都进行了测试。
8.4.2 测试深度
开发者应提供测试深度的分析。测试深度分析描述应满足以下要求:
a) 证实测试文档中的测试与产品设计中的安全功能子系统和实现模块之间的一致性;
b) 证实产品设计中的所有安全功能子系统、实现模块都已经进行过测试。
8.4.3 功能测试
开发者应测试产品安全功能,将结果文档化并提供测试文档。测试文档应包括以下内容:
a) 测试计划,标识要执行的测试,并描述执行每个测试的方案,这些方案包括对于其他测试结果
的任何顺序依赖性;
b) 预期的测试结果,表明测试成功后的预期输出;
c) 实际测试结果和预期的一致性。
8.4.4 独立测试
开发者应提供一组与其自测安全功能时使用的同等资源,以用于安全功能的抽样测试。
8.5 脆弱性评定
基于已标识的潜在脆弱性,产品能够抵抗具有增强型基本攻击潜力的攻击者的攻击。
9 不同安全等级的要求
不同安全等级的智能密码钥匙的安全功能要求如表 1所示。
表1 不同安全等级的智能密码钥匙的安全功能要求
......
|