安全協(xié)議與標準13-安全標準來源.ppt

安全協(xié)議與標準 linfb 2009 12 安全標準與規(guī)范 RFCISOFIPSX9PKCSP1363NESSIE 安全標準inRFC 安全相關(guān)的協(xié)議與標準文件 當屬RFC中的最全面 RFC中關(guān)于安全的文檔涉及多個方面 ByIETF IETFSecurityAreaWorkingGroups btnsBetter Than NothingSecuritydkimDomainKeysIdentifiedMailemuEAPMethodUpdatehokeyHandoverKeyingipsecmeIPSecurityMaintenanceandExtensionsismsIntegratedSecurityModelforSNMPkeyprovProvisioningofSymmetricKeyskittenKitten GSS APINextGeneration krb wgKerberosltansLong TermArchiveandNotaryServicesmsecMulticastSecurityneaNetworkEndpointAssessmentpkixPublic KeyInfrastructure X 509 saslSimpleAuthenticationandSecurityLayersmimeS MIMEMailSecuritysyslogSecurityIssuesinNetworkEventLoggingtlsTransportLayerSecurity 0 安全綜述 闡述了安全的概念 術(shù)語 需求 給出了一般化的考慮 建議和機制 如1675 2196 2323 2504 3631 4949等 1 密碼算法和協(xié)議 接口規(guī)范 比如RC2 2268 MD5 1321 PKCS RSA 3447 TLS 4346 IKE 4306 GSS API SASL等 2 認證授權(quán)和訪問控制規(guī)范 如RADIUS 2865 Diameter 3588 Kerberos 等 3 應(yīng)用規(guī)范 PGP 4880 S MIME HTTPoverTLS 2818 IPSec VPN 等 4 其他規(guī)范 RFC Internet標準 中譯本 ISO ISO 關(guān)于OSI的安全需求 35 100 01 服務(wù)和機制 iso7498 密碼算法 35 040 安全管理 17799 等 ISO7498 2SecurityArchitectureISO10181SecurityframeworksforopensystemsISO11586Genericupperlayerssecurityhttp www iso org FIPS FIPS 包括DES 46 AES 197 DSS 186 HMAC 198 等 http csrc nist gov publications PubsFIPS html FIPS 140 FIPS140是密碼模塊安全性需求最為重要的標準之一 也是業(yè)界衡量密碼實現(xiàn)的準則 如果機構(gòu)的信息或數(shù)據(jù)需要通過密碼的方式進行保護 比如金融或者政府機構(gòu) 那么FIPS140 2標準則被適用 經(jīng)過該標準符合性評估認證的產(chǎn)品模塊將滿足這些機構(gòu)的密碼系統(tǒng)技術(shù)要求 目前世界范圍很多機構(gòu)的IT產(chǎn)品采購和招標要求中均提出了產(chǎn)品滿足FIPS140 2的需求 TheFIPS140areseriesofpublicationsnumbered140whichareaU S governmentcomputersecuritystandardsthatspecifyrequirementsforcryptographymodules AsofDecember2006 update thecurrentversionofthestandardisFIPS140 2 issuedon25May2001 http www itl nist gov fipspubshttp csrc nist gov groups STM cmvp index html FIPS140標準歷史和發(fā)展情況 CMVP TheCryptographicModuleValidationProgram CMVP isajointAmericanandCanadiansecurityaccreditationprogramforcryptographicmodules TheprogramisavailabletoanyvendorswhoseektohavetheirproductscertifiedforusebytheU S Governmentandregulatedindustries suchasfinancialandhealth careinstitutions thatcollect store transfer shareanddisseminate sensitive butnotclassfied information AllofthetestsundertheCMVParehandledbythird partylaboratoriesthatareaccreditedasCryptographicModuleTestingLaboratoriesbytheNationalVoluntaryLaboratoryAccreditationProgram NVLAP ProductcertificationsundertheCMVPareperformedinaccordancewiththerequirementsofFIPS140 2 TheCMVPwasestablishedbytheU S NationalInstituteofStandardsandTechnology NIST andtheCommunicationsSecurityEstablishment CSE oftheGovernmentofCanadainJuly1995 Validatedmoduleslist ValidatedFIPS140 1andFIPS140 2CryptographicModuleshttp csrc nist gov groups STM cmvp validation htmlhttp csrc nist gov groups STM cmvp documents 140 1 140val all htm OpenSSLFIPS140 2modulehttp www openssl org docs fips 與通用評估準則 CC 的關(guān)系 CommonCriteria CC 是業(yè)界安全功能和安全保障評估的通用準則 并實現(xiàn)了國際互認 而在美國NIAP體系下的CC產(chǎn)品評估 如果產(chǎn)品包括密碼模塊或者密碼算法 該產(chǎn)品的CC認證證書上將標明該產(chǎn)品是否通過FIPS140認證 事實上 CC和FIPS140標準相輔相成 存在強烈的相關(guān)性 但關(guān)注點各有側(cè)重 在FIPS140驗證中 如果操作環(huán)境是可以更改的 那么CC的操作系統(tǒng)需求適用于安全級別2或者更高 CC和FIPS140 2標準分別關(guān)注產(chǎn)品測評的不同層面 FIPS140 2測評針對定義的密碼模塊 并提供4個級別的一系列符合性測評包 FIPS140 2描述了密碼模塊的需求 包括物理安全 密鑰管理 自評測 角色和服務(wù)等 該標準最初開發(fā)于1994年 早于CC標準 而CC是針對于具體的保護輪廓 PP 或者安全目標 ST 的評估 典型的模式是某個PP可能涉及廣泛的產(chǎn)品范圍 總之 CC評估不能替代FIPS140的密碼驗證 FIPS140 2中定義的四個安全級別也不能夠直接與CC預(yù)定義的任何EAL級別或者CC功能需求相對應(yīng) CC認證不能取代FIPS140的認證 X9 ASC ANSIX9 制定了一些關(guān)系金融領(lǐng)域安全的標準和規(guī)范 如隨機數(shù)產(chǎn)生 X9 17 公鑰算法服務(wù)于金融業(yè) X9 63 等 http www x9 org standards PKCS PKCS系列標準 RSA公司的標準 P1363 IEEEP1363 制定關(guān)于橢圓曲線密碼算法等規(guī)范 http grouper ieee org groups 1363 NESSIE NESSIE 歐洲的密碼新標準計劃 TheNESSIEproject NewEuropeanSchemesforSignatures IntegrityandEncryption 2000 2003 evaluatescryptoalgorithms NESSIEhasselectedthefollowing12algorithmsfromthe42submissions inaddition 5wellestablishedstandardalgorithmshavebeenaddedtotheNESSIEportfolio indicatedwitha https www cosic esat kuleuven be nessie Blockciphers MISTY1 MitsubishiElectricCorp Japan Camellia NipponTelegraphandTelephoneCorp JapanandMitsubishiElectricCorp Japan SHACAL 2 Gemplus France AES AdvancedEncryptionStandard USAFIPS197 Rijndael Public keyencryption ACEEncrypt IBMZurichResearchLaboratory Switzerland PSEC KEM NipponTelegraphandTelephoneCorp Japan RSA KEM draftofISO IEC18033 2 MACalgorithmsandhashfunctions Two Track MAC K U Leuven BelgiumanddebisAG Germany UMAC IntelCorp USA Univ ofNevadaatReno USA IBMResearchLaboratory USA Technion IsraelandUniv ofCaliforniaatDavis USA CBC MAC ISO IEC9797 1 HMAC ISO IEC9797 1 Whirlpool ScopusTecnologiaS A BrazilandK U Leuven Belgium SHA 256 SHA 384 andSHA 512 USAFIPS180 2 Digitalsignaturealgorithms ECDSA CerticomCorp USAandCerticomCorp Canada RSA PSS RSALaboratories USA SFLASH Schlumberger France Identificationschemes GPS EcoleNormaleSup rieure Paris FranceT l comandLaPoste France SECG SECG 目前主要發(fā)布了一些關(guān)于ECC的規(guī)范 TheStandardsforEfficientCryptographyGroup SECG anindustryconsortium wasfoundedin1998t