1999-12-1

　　前 言

　　本規范是根據公安部公共信息網絡安全監察局的要求，按照《計算機信息系統安全專用產品分類原則》對安全產品部件的功能劃分，提出了安全產品部件的安全技術規范，作為對其安全功能進行檢測的依據。本規范的第一部分提出了四類安全產品部件的安全技術規范，這四類安全產品部件分別是身份鑒別類產品，完整性鑒別類產品，不可否認性鑒別類產品和密鑰管理類產品。《計算機信息系統安全專用產品分類原則》中規定的其它安全產品部件的安全技術規范，將在本規范的后繼部分中描述。

　　為保證計算機信息系統安全產品部件的安全，該標準作為強制性行業標準發布實施。

　　本標準由公安部公共信息網絡安全監察局提出；

　　本標準由公安部信息標準化委員會歸口；

　　本標準起草單位：信息安全國家重點實驗室、公安部公共信息網絡安全監察局綜合技術處

　　本標準主要起草人：左英男、戴英俠、趙戰生、高新宇、王學海

　　1 范圍

　　本標準規定了計算機信息系統安全專用產品中的四類安全產品部件：身份鑒別類產品，完整性鑒別類產品，不可否認性鑒別類產品和密鑰管理類產品的安全技術規范。 本標準適用于上述四類安全產品部件的安全功能檢測。

　　2 引用標準

　　GA163-1997 本標準引用了《計算機信息系統安全專用產品分類原則》。

　　3 定義

　　本標準采用下列定義：

　　3.1 鑒別 authentication

　　3.1.1 驗證用戶、設備、進程和其它實體的身份。

　　3.1.2 驗證信息的完整性。

　　3.1.3 驗證發送方信息發送和接受方信息接收的不可否認性。

　　3.2 用戶標識 user identification(user ID)

　　信息系統用以標識用戶的一個獨特符號或字符串。

　　3.3 鑒別信息 authentication information

　　3.3.1 在身份鑒別過程中用于建立身份有效性的信息。

　　3.3.2 在完整性鑒別過程中用于數據源以及部分或全部數據完整性鑒別的信息。

　　3.3.3 在不可否認性鑒別過程中用于信息發布方和接受方的不可否認性鑒別的信息。

　　3.4 完整性 integrity

　　指數據沒有被非授權的更改和破壞。

　　3.5 審計跟蹤 audit trail

　　是提供文件證明的一組記錄，用以幫助從原始事物追蹤到有關的記錄或報告，或從記錄或報告追蹤到原始事物。

　　3.6 鑒別過程 authentication procedure

　　3.6.1 把實際用戶與用戶標記（ID）相聯系的過程。

　　3.6.2 驗證信息完整性的過程。

　　3.6.3 驗證信息發送方和接收方的不可否認性的過程。

　　3.7 鑒別密鑰 authentication key

　　在鑒別中使用的密鑰。

　　3.8 鑒別算法 authentication algorithm

　　使用鑒別密鑰對信息元進行處理的一種算法。

　　3.9 密鑰管理設施 key management facility

　　是指裝有加密元素的一種被保護的密封體（加房間或密碼裝置）。

　　3.10 密碼周期 cryptograph period

　　是指加密密鑰被授權使用或加密密鑰在系統中保持有效的某一特定時期。

　　3.11 密鑰部分 key component

　　加密密鑰是由一個或多個類似參數的密鑰組合而成的。這些元素表示了加密密鑰的特性（例如，格式，隨機性）。一個加密密鑰的多于兩個這種元素中的一個則為密鑰部件。

　　4 安全技術規范

　　本節包括身份鑒別類產品、完整性鑒別類產品、不可否認性鑒別類產品和密鑰管理類產品。

　　4.1 身份鑒別類產品

　　4.1.1 鑒別失敗處理 身份鑒別類產品必須提供對身份鑒別失敗的處理功能： 當失敗的用戶身份鑒別嘗試次數達到規定的數值時，必須能夠終止用戶與系統之間的會話過程; 必須對身份鑒別失敗事件進行審計跟蹤; 需保證審計跟蹤信息不能被未授權的更改或破壞。

　　4.1.2 鑒別信息 身份鑒別信息主要包括：口令、證書。 每個授權用戶必須具有唯一的用戶標識（ID）和唯一的身份鑒別信息。 如果進行用戶和系統之間的相互身份鑒別，則系統也必須具有唯一的身份鑒別信息; 用戶和系統的身份鑒別信息必須是不可偽造的; 身份鑒別信息如口令必須是保密存儲和傳輸的，必須使用經過可信方簽名的方法來構作證書。

　　4.1.3 鑒別過程 在用戶請求訪問系統資源時至少進行一次身份鑒別，必要時可反復鑒別； 盡可能提供用戶和系統之間的相互身份鑒別： 必須構造一個符合規范的身份鑒別過程的用戶接口，以防止用戶的偶然泄密； 對用戶的身份鑒別結果應進行審計跟蹤； 需保證審計跟蹤信息不能被未授權的更改或破壞。

　　4.2 完整性鑒別類產品

　　完整性鑒別類產品安全技術規范包括鑒別功能、鑒別信息和算法以及鑒別密鑰三方面內容。

　　4.2.1 鑒別功能 必須說明產品能夠檢測何種類型的完整性錯誤，可從修改、替換、刪除、插入和其 它完整性錯誤中選擇； 必須確定鑒別失敗時用戶、設備、進程或其他實體采取的動作； 盡可能提供信息完整性錯誤的恢復功能。

　　4.2.2 鑒別信息和算法 鑒別信息必須是不可偽造的； 鑒別信息是作為一個附加的數據域包含在原始信息中； 鑒別算法中必須使用經過國家密碼管理部門批準使用的算法。

　　4.2.3 鑒別密鑰 鑒別密鑰必須用隨機或偽隨機的方法產生； 對鑒別密鑰必須加以保護（可采用物理或電子的方法），以防止泄露給未授權方。

　　4.3 不可否認性鑒別類產品

　　 不可否認性鑒別類產品安全技術規范包括鑒別信息和鑒別過程兩方面內容。

　　4.3.1 鑒別信息 信息發送者的不可否認性鑒別信息必須是不可偽造的； 信息接受者的不可否認性鑒別信息必須是不可偽造的；

　　4.3.2 鑒別過程 發送者需向接受者提供數據源的鑒別信息，以防止發送者否認發送該數據； 接收者需向發送者提供數據已交付給接收者的鑒別信息，以防止接收者否認發送該數據； 對雙方的不可否認性鑒別信息需進行審計跟蹤； 需保證審計跟蹤信息不能被未授權的更改或破壞。

　　4.4 密鑰管理類產品

　　密鑰管理類安全產品部件的安全技術規范包括密鑰的分發或注入、密鑰更新、密鑰歸檔、密鑰恢復和密鑰審計幾個方面。

　　4.4.1 密鑰的分發或注入

　　4.4.1.1 需說明所使用的密鑰分發或注入方法

　　4.4.1.2 對稱算法的密鑰分發： 明文密鑰和密鑰部件的分發不能泄露其任何部分； 加密過的密鑰在分發過程中需能防止密鑰被替換和修改。

　　4.4.1.3 非對稱算法的密鑰分發和存儲：

　　證書簽名應在證書中心（CA）公開密鑰的幫助下進行校驗；

　　證書中心的非對稱密鑰集需在管理的控制下在密鑰管理設施中生成；

　　在明文公開密鑰不以證書的形式存儲的地方，需防止對其非授權的存取；

　　如果懷疑證書中心的秘密密鑰泄露，需能夠立即生成新的密鑰集，并將新的公開密鑰分發給用戶。

　　4.4.2 密鑰更新 需說明所使用的密鑰更新方法； 密鑰正常更新是按系統所要求的強度規定、密鑰合理的生命周期和更新頻度進行更新的。密鑰正常更新時，需使用有安全保護的在線更新； 密鑰非正常更新時，需離線更新； 在安全審計時發現密鑰有泄漏或被竊取的可能性時，需及時進行密鑰更新，并將舊的密鑰登入黑名單； 密鑰正常更新時，應將舊的密鑰回收。

　　4.4.3 密鑰歸檔 需說明所使用的密鑰歸檔方法； 當一個密鑰在它的密碼周期終止或受損后繼續儲存（歸檔）時，要求對每個這樣的密鑰作唯一標識，或轉換為不同的形式或格式，以明確它是存檔的且已作廢，不存二義性； 歸檔的密鑰在所有被其加密的數據和密鑰的生命周期結束以前需被安全存儲； 密鑰的歸檔必須保證正在操作使用的其他密鑰暴露的風險不增加。

　　4.4.4 密鑰恢復 需說明是否提供了密鑰恢復功能以及所使用的密鑰恢復方法。

　　4.4.5 密鑰審計 需說明所使用的密鑰審計方法。