搜索
防火墙产品密码检测准则CipherTestCriteriaforFirewalls国家密码管理局商用密码检测中心2009年年年年4月月月月防火墙产品密码检测准则I目次1适用范围...........................................................................................................................................................12规范性引用文件...............................................................................................................................................13术语和定义、缩略语.......................................................................................................................................13.1术语和定义....................................................................................................................................................13.2缩略语............................................................................................................................................................14基础密码检测...................................................................................................................................................24.1密码算法的正确性和一致性检测.................................................................................................................24.2密钥管理检测................................................................................................................................................24.3随机数质量检测............................................................................................................................................24.4素性检测........................................................................................................................................................25IPSecVPN模块密码检测.................................................................................................................................36SSLVPN模块密码检测....................................................................................................................................37文档要求...........................................................................................................................................................37.1系统框架结构.................................................................................................................................................37.2密码子系统框架结构.....................................................................................................................................37.3与密码实现和使用相关的硬件.....................................................................................................................37.4源代码............................................................................................................................................................37.5不存在隐式通道的声明................................................................................................................................37.6密码自测试或自评估报告.............................................................................................................................3防火墙产品密码检测准则1防火墙产品密码检测准则1适用范围适用范围适用范围适用范围本准则规定了防火墙产品的密码检测内容,适用于政府采购法规定范围内的防火墙产品密码检测。2规范性引用文件规范性引用文件规范性引用文件规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。GB/T20281-2006信息安全技术防火墙技术要求和测试评价方法《随机性检测规范》国家密码管理局《IPSecVPN技术规范》国家密码管理局《SSLVPN技术规范》国家密码管理局3术语术语术语术语和定义和定义和定义和定义、、、、缩略语缩略语缩略语缩略语3.1术语和术语和术语和术语和定义定义定义定义3.1.1对称密码对称密码对称密码对称密码算法算法算法算法SymmetricCryptographicAlgorithm加密密钥与解密密钥相同,或容易由其中任意一个密钥推导出另一个密钥,称该密码算法为对称密码算法。3.1.2非对称密码非对称密码非对称密码非对称密码算法算法算法算法AsymmetricCryptographicAlgorithm加解密使用不同密钥的密码算法。其中一个密钥(公钥)可以公开,另一个密钥(私钥)必须保密,且由公钥求解私钥是计算不可行的。3.1.3杂凑算法杂凑算法杂凑算法杂凑算法HashFunction杂凑算法又称为散列算法、哈希算法或数据摘要算法,是能够将一个任意长的比特串映射到一个固定长的比特串的一类函数。3.1.4密钥管理密钥管理密钥管理密钥管理KeyManagement在既定安全策略指导下密钥的生成、分发、存储、使用、更新、导入与导出、备份、恢复、归档和销毁。3.2缩略语缩略语缩略语缩略语IPSecInternetProtocolSecurityInternet协议安全SSLSecureSocketsLayer安全套接层VPNVirtualPrivateNetwork虚拟专用网防火墙产品密码检测准则24基础密码检测基础密码检测基础密码检测基础密码检测4.1密码算法密码算法密码算法密码算法的的的的正确性和一致性检测正确性和一致性检测正确性和一致性检测正确性和一致性检测防火墙产品使用的密码算法的正确性和一致性应满足:(1)对称密码算法的正确性和一致性防火墙产品中使用的对称密码算法,其运算结果应与标准数据和算法的标准运算结果相符。(2)非对称密码算法的正确性和一致性防火墙产品中使用的非对称密码算法,其运算结果应与标准数据和算法的标准运算结果相符。(3)杂凑算法的正确性和一致性防火墙产品中使用的杂凑算法,其运算结果应与标准数据和算法的标准运算结果相符。4.2密钥管理检测密钥管理检测密钥管理检测密钥管理检测防火墙产品中的密钥管理应实现权限控制机制,密钥管理操作应由获得授权的主体实施,且应满足:(1)密钥生成防火墙产品能正确生成所用的各类密钥。生成的密钥应与密码算法强度相匹配,并具有密钥种类、用途、长度、拥有者信息、使用期限等密钥属性的审计信息。(2)密钥分发密钥应按权限和密钥属性分发,防止分发过程中密钥泄漏或被篡改,并具备相应的应急处理和响应措施。密钥分发应有分发审计信息。(3)密钥存储密钥应安全存储。对密钥存储的非授权操作应具备应急处理和响应措施。(4)密钥使用密钥应按权限和密钥属性使用,并具备使用过程中的安全防护措施。密钥的使用应具有使用主体、使用时间和使用目的等审计信息。(5)密钥更新密钥应按照密钥属性进行更新,并在出现安全隐患时能及时更新。密钥更新应有更新审计信息。(6)密钥导入密钥应按权限和密钥属性进行导入,确保导入过程中密钥的安全,并应有导入审计信息。(7)密钥导出密钥应按权限和密钥属性进行导出,确保导出过程中密钥的安全,并应有导出审计信息。(8)密钥备份密钥应按权限和密钥属性进行备份,并保证备份密钥的安全存储。(9)密钥恢复密钥应按权限和密钥属性进行恢复,并应有恢复审计信息。(10)密钥归档密钥归档应防止密钥被非授权获取。归档的密钥只能用于确认该密钥以前提供的密码服务。(11)密钥销毁防火墙产品应具备密钥销毁功能,销毁的密钥不能被部分或全部恢复。密钥销毁应有销毁审计信息。4.3随机数质量随机数质量随机数质量随机数质量检测检测检测检测防火墙产品生成和使用的随机数应符合《随机性检测规范》的要求。4.4素性检测素性检测素性检测素性检测防火墙产品非对称密码算法所使用的素数应满足素性要求。防火墙产品密码检测准则35IPSecVPN模块密码检测模块密码检测模块密码检测模块密码检测检测的项目为《IPSecVPN技术规范》第7章“IPSecVPN产品检测”规定的内容。6SSLVPN模块密码检测模块密码检测模块密码检测模块密码检测检测的项目为《SSLVPN