GB_T 21053-2023 信息安全技术 公钥基础设施 PKI系统安全技术要求.docx

《GB_T 21053-2023 信息安全技术 公钥基础设施 PKI系统安全技术要求.docx》由会员分享，可在线阅读，更多相关《GB_T 21053-2023 信息安全技术 公钥基础设施 PKI系统安全技术要求.docx（11页珍藏版）》请在优知文库上搜索。

1、ICS35.030CCS1.SoGB中华人民共和家标准GB210532023代G1.VT21053-NM)7信息安全技术公钥基础设施PKI系统安全技术要求InformationsecuritytechniquesPub1.ickeyinfrastructure-Securitytechno1.ogyrequirementforPK1.system202303-17发布2023-10-01实施国家市场监督管理总局好本国家标准化管理委员会发布目次前*II范用12规范性引用文件I3术语和定义I4缩咯语25PK1.系统框架与安全级别25.1 典型板架25.2 安全功能35.3 安全级别划分46安全功能

2、要求46.1 密钥管理通用要求46.2 系统密钥管理46.3 订户密伺管理76.4 模板管理96.5 证书管理106.6 身份鉴别I1.6.7 访问控制126.8 安全审计136.9 原发抗抵帙156.10 备份和恢复156.11 周动和运行检测156.12 组件间通信安全167安全保障要求167.1 开发167.2 指导性文档167.3 生命周期支持177.4 开发者测试187.5 腌弱性评定18参考文械19信息安全技术公钥基础设施PKI系统安全技术要求1Mn本文件将PK1.系统的安全级别划分为基本线和增强级规定了相应安全级别的安全功能要求和安全保障要求.本文件适用于PKI系统的研发，PKI

3、系统产品的测评和采购参照使用.2捉范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.其中，注日期的引用文件，仅该H期对应的版本适用于本文件：不注口期的弓I用文件，其最新版本（包括所有的修改单）适川于本文件.GB1T205182018信息安全技术公的基础设施数字证书格式GBT25056-2018信息安全技术证书认证系统密眄及其相关安全技术规范GB1T25069信息安全技术术语GM,T（X）I4-2OI2数字证书认证系统密码协议规范3*W0GB.T25069界定的以及下列术语和定义适用于本文件。3.1PK1.Ai1.PK1.SJStem公钥基础设施中，基于公钥密码体制，实

4、现数字证书的发布、撤销和管理等功能，并为订户（3.D提供相应股务的信息系统。3.2折分如汉sp1.itknow1.edge符密码密钥拆分成多个密悌组件的如下过程：各单个组件并不共享原始密钥的知识.而能由分开的实体阴后将其输入密码模块或从密码模块输出，经组合来出新创建原始密码密钥,&能请求级件的全部或其某一子集来完成此种组合.来源：GBT250692（）22,3.1203.3系19（用户SySteBuser在PK1.系统中，逆过系统掾作界面进行特定操作，实现对系统特定功能进行控制的用户.困飒脩理乩审计员用蝴）沏。来源：GBjT250692O22652有修改J订户subscriber使用PK1.系

5、统提供的服务获取数字证书的用户.3.5系新用户密钥systemuserkey系统用户使用的密钥。示用于对PKJ系统用户进行身份鉴别的密钥.3.6系或邮件密钥systemcomponentkeyPKI系统中各部件使用的密钥，示例CA签名誉钥.3.7系及密钥systemkeyPKI系统的系统部件密钥和系统用户密钥的统称,3.8订户密招subscriberkey订户使用的密怀示例：PK1.系统发放的用户证书的证书主体密例.4语下列缩略语适用于本文件.CA:证书认证中心(CertifiCa1.ionAuthority)CR1.:证书撤销列表(CeNifka1.eRevocation1.ist)OCSP

6、:在线证书状态协议(OnIineCertificateStatusPiotooo1.)PKI:公钥基础设施(Pub1.icKeyInfrastructure)RA:证书注册中心(RegiStratiOnAuthority)5PK1.系IUE渠与安全皴别S1.胭碗PK1.系统的典型框架如图1所示，主要包括CA、RA、证书资料库、密钥管理和OCSP服务等祖件,各批件的主要功能包括：RA与订户进行交互，接收证书请求，并将证修请求发送给C*当CA完成证书签发后,RA将签发后的订户证书发送给订户：YA根据证书请求签发对应的证书，为已撤销的证书发布CR1.然后将证书和CR1.存储至证书资料库：证H资料阍组

7、件提供证书和CR1.的存储和农询等服务：密制潸理组件提供PK1.系统中各类密包的生成、存谛、分发、导入导出、使川、备份、恢焚、妇档与销毁等管理功能；一OCSP服务组件是可选组件，如果PK1.系统支持OCSP功能，则通过该组件，实现OCSP请求aPKI系统应提供系统用户注册、注销功能，为用户分配或者使用系统特权时，应对该操作进行严格的限制和控制：b）增强级的PK1.系统应具备对系统用户开展定期审核的能力，定期审核系统用户的权限分配是否适当，包括：角色和屈性分配是否合理、单个身份不同时具备多个角色的翻1单个用户不同时拥有多个角色等等，审核可自动执行或告知管理员手动执行：c）PKI系统应提供系统用户

8、访问控制功能：d）增强级的PK1.系统应定义系统关键操作，包括：CA私钥和关趣部件密钥的生成、备份、更新、林人守出、恢笈、销毁等，并确保当且仅当多个具有相应权限的用户同时通过身份鉴别后，才能执行被定义为系统关键悚作的操作：e）PK1.系统应在文档中提供访问捽制的相关文档,并包含如卜,几个方面内容：1）角色及其相应的访问权限：2）标识与鉴别系统用户的过程；3）角色的职能分割。&8H&a1PK1.系统的安全审计功能，包括审计数据产生、审计查阅、选择性审计爸阅等.&2*tttsPK1.系统的审计数据产生安全要求如下。a）审计功能的启动和结束以及表1中列出的事件应产生审计记录：b）增强级的PK1.系统

9、应依据GB,T250562018中8.2.6,对功能模块调用和管理员、操作员的操作产生审计记录：c）对于需产生审计记录的每个事件,审计数据产生功能生成的审计记录应包括：操作员姓名、操作项目、操作起始时间、操作终止时间、证书序列号、操作结果事件,以及表1中该类型事件对应行中需记录的信息一栏中的内容：1应产生审计记录的甲审计.件功能事件需记录的信息安企审计所行对审计变8H如：时间间隔、审计事件的类型）的改变所在除审计记录的操作对审计日志签名审计志记录中应保存散字签名和消息卷剔旧等完整性保护信息本地数禺输入所芍的安全相美致鼠输入系统心输入的数据其他Ii据相关,应脍近用户访问相关数据的权很远程数粼输入

10、所有按系统所接受的安全相关信息据浦出所仃对关键的或安企相关的信息进行输出的请求1应产生记录的ImW1.r件（*功能事忤需记录的信息密钥生成密树生成请求（用作一次性会话变物的对徐密的生成除外）审计日志记录中应保存非对称密的对的公的部分私仍找入解件私钳的欣人OJftiJfftt时为变钮性q而保存的证书主体私钊的读取可信公钥的输入、SH除和存储所有对于可伯公义的改变（如：添加、崛）应包括公钿和与公仍相关的信息弘钊和对称密树的输出私税和对称密切（包括一次性会话都的）的输出法书注册所有的证书注册请求若成功,在日志记求中保存证书的U件.若拒绝,在日志记录中保存收因下书状态变更的审批所存更改证书状态的请求在

11、日志记录中保存请求结果（成功或失败）PK1.兔统邮件的配置所有与安全相关的对于PK1.系统安全功能的配ZI法书模板管理所有的对于证书根板的更改保存对模板更改的内容证书横箍列衣模板管理所有的对广CR1.模板的更改保存对模板更改的内容在炒江招状态协议模板处理所有的时于OcSP怏板的更改保存时模板更改的内容d）应确保生成的申计记录中不出现明文形式的私物、对称密钥以及孜他安全相关的参数:c）在进行审计时,PK1.系统应能将可审计事件与发起该事件的用户身份相关联.&a3mtffi审计杳阅功能应支持为系统用户提供查看所有日志信息的能力.并以适于阅读和解科的方式向审计员提供F1.志信息。&4ftjftttn

12、选择性审计查阅功能应支持使得系统用户在查阅审计日志时可根据属性选择或排除审计事件集中的可审计事件,包括：用户标识、事件类型、主体标识、客体标识等.&5审计事件存储PKI系统的审计事件存储要求如下：a）安全审计功能应在审计东件存储过程中防止对审计记录的非授权修改,并可检测对审计记录的修改；b）当审计日志存储已满时.安全审计功能应能够阻止除由管理员发起以外的所有.市计事件的发生,以防止审计数据丢失.&69日PKI系统的审计H志完整性安全要求如下；a）增强级的PK1.系统应采用密码技术的完整性保护功能，定期对审计日志记录进行完整性保护：b）进行完整性保护时，保护对W应包括从上次运W后加入的所有审计日

13、志条目以及上次运算的结果:c）进行完整性保护运算的时间周期应足可配置的：d）诳行完整性保妒运算的事件应写入审计日志中，审计日志内容应包含完整性保护运算:结!K.6.9PK1.系统的原发抗抵赖安全要求如下：a）增强级的PK1.系费应提供原发抗抵证据生成功能，对证书状态信息和其他安全相关信息*制产生朦利梅IMs配以实现采用需码技术保证的不可否认性，PK1.1.i统应能使信总原发者的身份等属性与证据使用信息的安全相关部分相关联Ib）增强级的PKI系统应能为所有安全相关的信息提供设证佶息朦发证据的能力，按正短的程序来进行*正6.10 WMKftPK1.系统的备份和愦复安全要求如下，a）PKI系统应支持

14、备份和恢发功能，执行备份的领率取决于系统或者如件的重要性，在系统的份数据中应保存足弊的信息使系统或加件能够重建备价时的系统状态，PK1.系统必要时可调川恢史功能.从系统失败或者其他再重错误的情况卜重隹系统：b）增械的PK1.jK线曲皿字签名等机帆防止备砒图受到未授权的修改，备份数据中的关安全能数应以加密形式存储】OPKI系统的备份方案应能在不中断数据昨使用的前提下实XhPK1.jK俄应美供人工和自动备份模式IOPK1.系统应提供实时和定期备份模式IOPKI系统应提供增汽备份功能；g）PKI系件的备份应提供归档检索与供发功能Ih）PKI系统成支挎遢过在线备份和恢复等方式，在系蜕失败或者其他严错误的情打下保证PKI系统JR务的连续性6.11 自朔D这行Jtt澜PKI系统的启动和运行监测安全要求如下。a）PKI系统应具的一定的启动监刈功能.在初始化、启动期间对设符、组件和揖要配置文件等进行监测，当发现异常时能够及时告警.b）PK1.系统应具备一定的运行监测功能，在系统运行期间对安全功能的运行情况进行监测，当出现异常时能够及时告警.6.12 快件加值安全PKI系统的姐件间通信安全要求如下：a）PKI系统应采用密码技术保证PKi系统各组件间通信的保密性和完整性：b）应采用具备商用密码产品认证证匕的密码产品或使用具需密码模块安