PKI系統(tǒng)安全等級(jí)保護(hù)評(píng)估準(zhǔn)則

1、GB/T .PAGE 2：.； 國(guó)家質(zhì)量監(jiān)視檢驗(yàn)檢疫總局 發(fā)布-實(shí)施-發(fā)布信息平安技術(shù) 公鑰根底設(shè)備PKI系統(tǒng)平安等級(jí)維護(hù)評(píng)價(jià)準(zhǔn)那么Information security techniques - Public key infrastructure -Evaluation criteria for security classification protection of PKI system報(bào)批稿GB/T 中華人民共和國(guó)國(guó)家規(guī)范ICS 35.020L09目 次 TOC o 1-4 h z u HYPERLINK l _Toc154897835 前 言 PAGEREF _Toc1548978

2、35 h III HYPERLINK l _Toc154897836 引 言 PAGEREF _Toc154897836 h IV HYPERLINK l _Toc154897838 1 范圍 PAGEREF _Toc154897838 h 1 HYPERLINK l _Toc154897839 2 規(guī)范性援用文件 PAGEREF _Toc154897839 h 1 HYPERLINK l _Toc154897840 3 術(shù)語(yǔ)和定義 PAGEREF _Toc154897840 h 1 HYPERLINK l _Toc154897855 4 縮略語(yǔ) PAGEREF _Toc154897855 h

3、 2 HYPERLINK l _Toc154897856 5 評(píng)價(jià)內(nèi)容 PAGEREF _Toc154897856 h 2 HYPERLINK l _Toc154897857 5.1 第一級(jí) PAGEREF _Toc154897857 h 2 HYPERLINK l _Toc154897858 5.1.1 概述 PAGEREF _Toc154897858 h 2 HYPERLINK l _Toc154897859 5.1.2 物理平安 PAGEREF _Toc154897859 h 2 HYPERLINK l _Toc154897860 5.1.3 角色與責(zé)任 PAGEREF _Toc1548

4、97860 h 2 HYPERLINK l _Toc154897861 5.1.4 訪問(wèn)控制 PAGEREF _Toc154897861 h 2 HYPERLINK l _Toc154897862 5.1.5 標(biāo)識(shí)與鑒別 PAGEREF _Toc154897862 h 2 HYPERLINK l _Toc154897863 5.1.6 數(shù)據(jù)輸入輸出 PAGEREF _Toc154897863 h 3 HYPERLINK l _Toc154897864 5.1.7 密鑰管理 PAGEREF _Toc154897864 h 3 HYPERLINK l _Toc154897865 5.1.8 輪廓管

5、理 PAGEREF _Toc154897865 h 3 HYPERLINK l _Toc154897866 5.1.9 證書(shū)管理 PAGEREF _Toc154897866 h 3 HYPERLINK l _Toc154897867 5.2 第二級(jí) PAGEREF _Toc154897867 h 4 HYPERLINK l _Toc154897868 5.2.1 概述 PAGEREF _Toc154897868 h 4 HYPERLINK l _Toc154897869 5.2.2 物理平安 PAGEREF _Toc154897869 h 4 HYPERLINK l _Toc154897870

6、 5.2.3 角色與責(zé)任 PAGEREF _Toc154897870 h 4 HYPERLINK l _Toc154897871 5.2.4 訪問(wèn)控制 PAGEREF _Toc154897871 h 4 HYPERLINK l _Toc154897872 5.2.5 標(biāo)識(shí)與鑒別 PAGEREF _Toc154897872 h 4 HYPERLINK l _Toc154897873 5.2.6 審計(jì) PAGEREF _Toc154897873 h 5 HYPERLINK l _Toc154897874 5.2.7 數(shù)據(jù)輸入輸出 PAGEREF _Toc154897874 h 5 HYPERLIN

7、K l _Toc154897875 5.2.8 備份與恢復(fù) PAGEREF _Toc154897875 h 5 HYPERLINK l _Toc154897876 5.2.9 密鑰管理 PAGEREF _Toc154897876 h 5 HYPERLINK l _Toc154897877 5.2.10 輪廓管理 PAGEREF _Toc154897877 h 6 HYPERLINK l _Toc154897878 5.2.11 證書(shū)管理 PAGEREF _Toc154897878 h 6 HYPERLINK l _Toc154897879 5.3 第三級(jí) PAGEREF _Toc1548978

8、79 h 7 HYPERLINK l _Toc154897880 5.3.1 概述 PAGEREF _Toc154897880 h 7 HYPERLINK l _Toc154897881 5.3.2 物理平安 PAGEREF _Toc154897881 h 7 HYPERLINK l _Toc154897882 5.3.3 角色與責(zé)任 PAGEREF _Toc154897882 h 7 HYPERLINK l _Toc154897883 5.3.4 訪問(wèn)控制 PAGEREF _Toc154897883 h 7 HYPERLINK l _Toc154897884 5.3.5 標(biāo)識(shí)與鑒別 PAGE

9、REF _Toc154897884 h 8 HYPERLINK l _Toc154897885 5.3.6 審計(jì) PAGEREF _Toc154897885 h 8 HYPERLINK l _Toc154897886 5.3.7 數(shù)據(jù)輸入輸出 PAGEREF _Toc154897886 h 9 HYPERLINK l _Toc154897887 5.3.8 備份與恢復(fù) PAGEREF _Toc154897887 h 9 HYPERLINK l _Toc154897888 5.3.9 密鑰管理 PAGEREF _Toc154897888 h 9 HYPERLINK l _Toc154897889

10、 5.3.10 輪廓管理 PAGEREF _Toc154897889 h 11 HYPERLINK l _Toc154897890 5.3.11 證書(shū)管理 PAGEREF _Toc154897890 h 11 HYPERLINK l _Toc154897891 5.4 第四級(jí) PAGEREF _Toc154897891 h 11 HYPERLINK l _Toc154897892 5.4.1 概述 PAGEREF _Toc154897892 h 11 HYPERLINK l _Toc154897893 5.4.2 物理平安 PAGEREF _Toc154897893 h 11 HYPERLIN

11、K l _Toc154897894 5.4.3 角色與責(zé)任 PAGEREF _Toc154897894 h 12 HYPERLINK l _Toc154897895 5.4.4 訪問(wèn)控制 PAGEREF _Toc154897895 h 12 HYPERLINK l _Toc154897896 5.4.5 標(biāo)識(shí)與鑒別 PAGEREF _Toc154897896 h 12 HYPERLINK l _Toc154897897 5.4.6 審計(jì) PAGEREF _Toc154897897 h 13 HYPERLINK l _Toc154897898 5.4.7 數(shù)據(jù)輸入輸出 PAGEREF _Toc1

12、54897898 h 13 HYPERLINK l _Toc154897899 5.4.8 備份與恢復(fù) PAGEREF _Toc154897899 h 14 HYPERLINK l _Toc154897900 5.4.9 密鑰管理 PAGEREF _Toc154897900 h 14 HYPERLINK l _Toc154897901 5.4.10 輪廓管理 PAGEREF _Toc154897901 h 16 HYPERLINK l _Toc154897902 5.4.11 證書(shū)管理 PAGEREF _Toc154897902 h 16 HYPERLINK l _Toc154897903 5

13、.5 第五級(jí) PAGEREF _Toc154897903 h 16 HYPERLINK l _Toc154897904 5.5.1 概述 PAGEREF _Toc154897904 h 16 HYPERLINK l _Toc154897905 5.5.2 物理平安 PAGEREF _Toc154897905 h 16 HYPERLINK l _Toc154897906 5.5.3 角色與責(zé)任 PAGEREF _Toc154897906 h 17 HYPERLINK l _Toc154897907 5.5.4 訪問(wèn)控制 PAGEREF _Toc154897907 h 17 HYPERLINK l

14、 _Toc154897908 5.5.5 標(biāo)識(shí)與鑒別 PAGEREF _Toc154897908 h 17 HYPERLINK l _Toc154897909 5.5.6 審計(jì) PAGEREF _Toc154897909 h 18 HYPERLINK l _Toc154897910 5.5.7 數(shù)據(jù)輸入輸出 PAGEREF _Toc154897910 h 18 HYPERLINK l _Toc154897911 5.5.8 備份與恢復(fù) PAGEREF _Toc154897911 h 19 HYPERLINK l _Toc154897912 5.5.9 密鑰管理 PAGEREF _Toc1548

15、97912 h 19 HYPERLINK l _Toc154897913 5.5.10 輪廓管理 PAGEREF _Toc154897913 h 21 HYPERLINK l _Toc154897914 5.5.11 證書(shū)管理 PAGEREF _Toc154897914 h 21 HYPERLINK l _Toc154897915 附錄A規(guī)范性附錄平安要素要求級(jí)別劃分 PAGEREF _Toc154897915 h 22 HYPERLINK l _Toc154897918 參考文獻(xiàn) PAGEREF _Toc154897918 h 23前 言本規(guī)范的附錄A為規(guī)范性附錄。本規(guī)范由全國(guó)信息平安規(guī)范化

16、技術(shù)委員會(huì)提出并歸口。本規(guī)范起草單位：中國(guó)科學(xué)院信息平安國(guó)家重點(diǎn)實(shí)驗(yàn)室。本規(guī)范主要起草人： 馮登國(guó)、張凡、張立武、路曉明、莊涌。引 言公開(kāi)密鑰根底設(shè)備是集機(jī)構(gòu)、系統(tǒng)硬件和軟件、人員、程序、戰(zhàn)略和協(xié)議為一體，利用公鑰概念和技術(shù)來(lái)實(shí)施和提供平安效力的、具有普適性的平安根底設(shè)備。PKI系統(tǒng)是經(jīng)過(guò)頒發(fā)與管理公鑰證書(shū)的方式為終端用戶(hù)提供效力的系統(tǒng)，包括CA、RA、資料庫(kù)等根本邏輯部件和密鑰托管、OCSP等可選效力部件以及所依賴(lài)的運(yùn)轉(zhuǎn)環(huán)境。按五級(jí)劃分的原那么，制定PKI系統(tǒng)平安等級(jí)維護(hù)評(píng)價(jià)準(zhǔn)那么，詳細(xì)闡明了參照GB17859所提出的平安等級(jí)維護(hù)對(duì)PKI系統(tǒng)的評(píng)價(jià)要素。第一級(jí)為最低級(jí)別，第五級(jí)為最高級(jí)別，隨

17、著等級(jí)的提高，PKI系統(tǒng)平安等級(jí)維護(hù)的評(píng)價(jià)要素也隨之遞增。正文中字體為黑體加粗的內(nèi)容為本級(jí)新增部分的要求。本規(guī)范用以指點(diǎn)評(píng)價(jià)者如何對(duì)PKI系統(tǒng)的平安維護(hù)等級(jí)進(jìn)展評(píng)價(jià)，主要從對(duì)PKI系統(tǒng)的平安維護(hù)等級(jí)進(jìn)展劃分的角度來(lái)闡明其評(píng)價(jià)內(nèi)容。評(píng)價(jià)者可以根據(jù)各級(jí)別的詳細(xì)要求，對(duì)評(píng)價(jià)對(duì)象進(jìn)展評(píng)價(jià)，確定評(píng)價(jià)對(duì)象的平安維護(hù)級(jí)別。對(duì)于實(shí)現(xiàn)本規(guī)范中規(guī)定的評(píng)價(jià)內(nèi)容的平安技術(shù)與采取的平安保證措施，應(yīng)參照GB/T AAA200中的規(guī)定進(jìn)展設(shè)計(jì)和開(kāi)發(fā)。信息平安技術(shù) 公鑰根底設(shè)備PKI系統(tǒng)平安等級(jí)維護(hù)評(píng)價(jià)準(zhǔn)那么范圍本規(guī)范參照GB17859-1999的五個(gè)平安維護(hù)等級(jí)的劃分，對(duì)PKI系統(tǒng)平安維護(hù)進(jìn)展等級(jí)劃分，規(guī)定了不同等級(jí)PKI

18、系統(tǒng)所需求滿(mǎn)足的評(píng)價(jià)內(nèi)容。本規(guī)范適用于PKI系統(tǒng)的平安維護(hù)等級(jí)的評(píng)價(jià)，對(duì)于PKI系統(tǒng)平安功能的研制、開(kāi)發(fā)、測(cè)試和產(chǎn)品采購(gòu)亦可參照運(yùn)用。規(guī)范性援用文件以下文件中的條款經(jīng)過(guò)本規(guī)范的援用而成為本規(guī)范的條款。凡是注日期的援用文件，其隨后一切的修正單不包括訂正的內(nèi)容或修訂版均不適用于本規(guī)范，然而，鼓勵(lì)根據(jù)本規(guī)范達(dá)成協(xié)議的各方研討能否可運(yùn)用這些文件的最新版本。凡是不注日期的援用文件，其最新版本適用于本規(guī)范。GB17859-1999計(jì)算機(jī)信息系統(tǒng)平安維護(hù)等級(jí)劃分準(zhǔn)那么GB/T 19713-2005信息平安技術(shù)公鑰根底設(shè)備在線證書(shū)形狀協(xié)議GB/T 20518-2006信息平安技術(shù)公鑰根底設(shè)備數(shù)字證書(shū)格式GB/

19、T AAA200信息平安技術(shù)公鑰根底設(shè)備PKI系統(tǒng)平安等級(jí)維護(hù)技術(shù)要求GB/T BBB200信息平安技術(shù)信息系統(tǒng)物理平安技術(shù)要求GB/T CCC200信息平安技術(shù)公鑰根底設(shè)備證書(shū)認(rèn)證系統(tǒng)密碼及其相關(guān)平安技術(shù)規(guī)范術(shù)語(yǔ)和定義以下術(shù)語(yǔ)和定義適用于本規(guī)范。公開(kāi)密鑰根底設(shè)備 public key infrastructure公開(kāi)密鑰根底設(shè)備是支持公鑰管理體制的根底設(shè)備，提供鑒別、加密、完好性和不可否認(rèn)性效力。PKI系統(tǒng) PKI systemPKI系統(tǒng)是經(jīng)過(guò)頒發(fā)與管理公鑰證書(shū)的方式為終端用戶(hù)提供效力的系統(tǒng)，包括CA、RA、資料庫(kù)等根本邏輯部件和密鑰托管、OCSP等可選效力部件以及所依賴(lài)的運(yùn)轉(zhuǎn)環(huán)境。平安級(jí)別

20、 security level分層的平安等級(jí)與表示對(duì)象的敏感度或個(gè)人的平安答應(yīng)的平安種類(lèi)的組合。分割知識(shí) split knowledge兩個(gè)或兩個(gè)以上實(shí)體分別保管密鑰的一部分，密鑰的每個(gè)部分都不應(yīng)泄露密鑰的明文有效信息，而當(dāng)這些部分在加密模塊中合在一同時(shí)可以得到密鑰的全部信息，這種方法就叫分割知識(shí)。分割知識(shí)程序 split knowledge procedure用來(lái)實(shí)現(xiàn)分割知識(shí)的程序。系統(tǒng)用戶(hù) system user對(duì)PKI系統(tǒng)進(jìn)展管理、操作、審計(jì)、備份、恢復(fù)的任務(wù)人員，系統(tǒng)用戶(hù)普通在PKI系統(tǒng)中被賦予了指定的角色。終端用戶(hù) terminate user運(yùn)用PKI系統(tǒng)所提供效力的遠(yuǎn)程普通用戶(hù)。

21、縮略語(yǔ)以下縮略語(yǔ)在本規(guī)范各部分通用：CA認(rèn)證機(jī)構(gòu)Certification AuthorityCPS認(rèn)證慣例陳說(shuō)Certification Practice StatementCRL證書(shū)撤銷(xiāo)列表Certificate Revocation ListOCSP在線證書(shū)形狀協(xié)議Online Certificate Status ProtocolPP維護(hù)輪廓Protection ProfileRA注冊(cè)機(jī)構(gòu)Registration AuthoritySF平安功能Security FunctionST平安目的Security TargetTOE評(píng)價(jià)對(duì)象Target of EvaluationTSFTOE平

22、安功能TOE Security Function評(píng)價(jià)內(nèi)容第一級(jí)概述第一級(jí)的PKI系統(tǒng)，由用戶(hù)自主維護(hù)，所維護(hù)的資產(chǎn)價(jià)值很低，面臨的平安要挾很小。構(gòu)造上，PKI系統(tǒng)的CA、RA、證書(shū)資料庫(kù)可沒(méi)有明確的分化。第一級(jí)PKI系統(tǒng)的平安要素要求列表見(jiàn)附錄A.1。物理平安應(yīng)按照GB/T BBB200第4章所描畫(huà)的要求，對(duì)PKI系統(tǒng)硬件及相關(guān)環(huán)境進(jìn)展評(píng)價(jià)。角色與責(zé)任PKI系統(tǒng)應(yīng)對(duì)系統(tǒng)用戶(hù)提供管理員和操作員的角色定義。管理員角色：擔(dān)任安裝、配置、維護(hù)系統(tǒng)；建立和管理用戶(hù)賬戶(hù)；配置輪廓；生成部件密鑰。操作員角色：擔(dān)任簽發(fā)和撤銷(xiāo)證書(shū)。系統(tǒng)用戶(hù)應(yīng)按照角色的平安功能管理進(jìn)展權(quán)限限制。訪問(wèn)控制系統(tǒng)用戶(hù)訪問(wèn)控制PKI系統(tǒng)

23、文檔中，應(yīng)有訪問(wèn)控制的相關(guān)文檔，訪問(wèn)控制文檔中的訪問(wèn)控制戰(zhàn)略應(yīng)包含如下幾個(gè)方面：角色及其相應(yīng)的訪問(wèn)權(quán)限；標(biāo)識(shí)和鑒別系統(tǒng)用戶(hù)的過(guò)程；角色的職能分割。網(wǎng)絡(luò)訪問(wèn)控制用戶(hù)可以且只能直接訪問(wèn)被授權(quán)運(yùn)用的效力。遠(yuǎn)程用戶(hù)只需被認(rèn)證后，PKI系統(tǒng)才允許訪問(wèn)。銜接到遠(yuǎn)程計(jì)算機(jī)系統(tǒng)應(yīng)被認(rèn)證。標(biāo)識(shí)與鑒別用戶(hù)屬性定義PKI系統(tǒng)應(yīng)維護(hù)每個(gè)用戶(hù)的平安屬性。用戶(hù)鑒別在用戶(hù)身份被鑒別之前，PKI系統(tǒng)可執(zhí)行與平安功能無(wú)關(guān)的動(dòng)作。在執(zhí)行其他的平安功能引起的動(dòng)作之前，用戶(hù)應(yīng)勝利鑒別本人。用戶(hù)標(biāo)識(shí)在用戶(hù)標(biāo)識(shí)本人身份之前，PKI系統(tǒng)可代表用戶(hù)執(zhí)行與平安功能無(wú)關(guān)的動(dòng)作。用戶(hù)應(yīng)勝利標(biāo)識(shí)本人之后，才干執(zhí)行其他的平安功能引起的操作動(dòng)作。 用戶(hù)

24、主體綁定PKI系統(tǒng)應(yīng)經(jīng)過(guò)用戶(hù)主體綁定建立和維護(hù)用戶(hù)與用戶(hù)主體之間的關(guān)聯(lián)，運(yùn)用戶(hù)的身份與該用戶(hù)的一切可審計(jì)行為相關(guān)聯(lián)。數(shù)據(jù)輸入輸出TSF間用戶(hù)數(shù)據(jù)傳送的嚴(yán)密性當(dāng)用戶(hù)數(shù)據(jù)經(jīng)過(guò)外部信道在PKI系統(tǒng)之間或PKI系統(tǒng)用戶(hù)之間傳送時(shí)，PKI系統(tǒng)應(yīng)執(zhí)行訪問(wèn)控制戰(zhàn)略，使得能以某種防止未授權(quán)泄露的方式傳送用戶(hù)數(shù)據(jù)。輸出TSF數(shù)據(jù)的嚴(yán)密性在TSF數(shù)據(jù)從TSF到遠(yuǎn)程可信IT產(chǎn)品的傳送過(guò)程中，應(yīng)維護(hù)數(shù)據(jù)不被未授權(quán)泄露。密鑰管理密鑰生成密鑰生成過(guò)程PKI系統(tǒng)的系統(tǒng)用戶(hù)密鑰應(yīng)由相應(yīng)級(jí)別的CA或RA等機(jī)構(gòu)生成。在密鑰生成時(shí)應(yīng)采取平安控制。CA簽名公私鑰對(duì)應(yīng)采用國(guó)家密碼管理局認(rèn)可的方法生成。在密鑰生成時(shí)應(yīng)采取平安控制，只需管

25、理員才干啟動(dòng)CA密鑰生成過(guò)程。終端用戶(hù)密鑰可由用戶(hù)生成，也可委托CA、RA等PKI系統(tǒng)的效力機(jī)構(gòu)生成。生成方法應(yīng)符合國(guó)家密碼管理局的規(guī)定。密鑰傳送與分發(fā)PKI系統(tǒng)的系統(tǒng)用戶(hù)密鑰的傳送與分發(fā)該當(dāng)以加密方式平安進(jìn)展。CA公鑰分發(fā)方法該當(dāng)真實(shí)可行。假設(shè)終端用戶(hù)本人生成密鑰對(duì)，終端用戶(hù)應(yīng)將公鑰平安的提交給PKI系統(tǒng)。假設(shè)終端用戶(hù)委托CA生成密鑰對(duì)，那么不需求簽發(fā)前的公鑰傳送，CA向用戶(hù)傳送與分發(fā)私鑰該當(dāng)以加密方式平安進(jìn)展。密鑰存儲(chǔ)PKI系統(tǒng)的系統(tǒng)用戶(hù)密鑰與CA簽名私鑰應(yīng)存儲(chǔ)于國(guó)家密碼管理局規(guī)定的密碼模塊中或以加密的方式存儲(chǔ)，終端用戶(hù)密鑰由用戶(hù)自行存儲(chǔ)。輪廓管理證書(shū)輪廓管理PKI系統(tǒng)應(yīng)具備證書(shū)輪廓，并保

26、證發(fā)行的證書(shū)與證書(shū)輪廓中的描畫(huà)一致。證書(shū)撤銷(xiāo)列表輪廓管理假設(shè)PKI系統(tǒng)發(fā)布CRL，TSF應(yīng)具備證書(shū)撤銷(xiāo)列表輪廓，并保證發(fā)行的CRL與該輪廓中的規(guī)定相一致。在線證書(shū)形狀協(xié)議輪廓管理OCSP輪廓應(yīng)規(guī)定PKI系統(tǒng)能夠產(chǎn)生的字段類(lèi)型和字段類(lèi)型可接受的變量值。證書(shū)管理證書(shū)注冊(cè)PKI系統(tǒng)所簽發(fā)的公鑰證書(shū)應(yīng)與GB/T 20518-2006相一致。任何證書(shū)所包含的字段或擴(kuò)展應(yīng)由PKI系統(tǒng)根據(jù)GB/T 20518-2006生成，或經(jīng)由頒發(fā)機(jī)構(gòu)驗(yàn)證以保證其與規(guī)范的一致性。應(yīng)僅產(chǎn)生與GB/T 20518-2006中規(guī)定的證書(shū)格式一樣的證書(shū)；應(yīng)僅生成與現(xiàn)行證書(shū)輪廓中定義相符的證書(shū)；PKI系統(tǒng)應(yīng)驗(yàn)證預(yù)期的證書(shū)主體擁有與

27、證書(shū)中包含的公鑰相對(duì)應(yīng)的私鑰，除非公私密鑰對(duì)是由PKI系統(tǒng)所產(chǎn)生的；評(píng)價(jià)者應(yīng)檢查PKI系統(tǒng)產(chǎn)生的證書(shū)能否滿(mǎn)足實(shí)踐要求。證書(shū)撤銷(xiāo)證書(shū)撤銷(xiāo)列表審核發(fā)布CRL的PKI系統(tǒng)應(yīng)驗(yàn)證一切強(qiáng)迫性字段的值符合GB/T 20518-2006。OCSP根本回應(yīng)的審核發(fā)布OCSP呼應(yīng)的PKI系統(tǒng)應(yīng)驗(yàn)證一切強(qiáng)迫性字段的值符合GB/T 19713-2005。第二級(jí)概述第二級(jí)的PKI系統(tǒng)，應(yīng)提供審計(jì)才干，所維護(hù)的資產(chǎn)價(jià)值低，面臨的平安要挾小。構(gòu)造上，PKI系統(tǒng)的CA、RA可不進(jìn)展明確的分化，證書(shū)資料庫(kù)應(yīng)獨(dú)立設(shè)計(jì)。第二級(jí)PKI系統(tǒng)的平安要素要求列表見(jiàn)附錄A.1。物理平安應(yīng)按照GB/T BBB200第5章所描畫(huà)的要求，對(duì)PK

28、I系統(tǒng)硬件及相關(guān)環(huán)境進(jìn)展評(píng)價(jià)。角色與責(zé)任PKI系統(tǒng)應(yīng)對(duì)系統(tǒng)用戶(hù)提供管理員和操作員的角色定義。管理員角色：擔(dān)任安裝、配置、維護(hù)系統(tǒng)；建立和管理用戶(hù)賬戶(hù)；配置輪廓和審計(jì)參數(shù)；生成部件密鑰；查看和維護(hù)審計(jì)日志；執(zhí)行系統(tǒng)的備份和恢復(fù)。操作員角色：擔(dān)任簽發(fā)和撤銷(xiāo)證書(shū)。系統(tǒng)用戶(hù)應(yīng)按照角色的平安功能管理進(jìn)展權(quán)限限制。系統(tǒng)應(yīng)具備使主體與角色相關(guān)聯(lián)的才干，并保證一個(gè)身份不應(yīng)同時(shí)具備多個(gè)角色的權(quán)限。訪問(wèn)控制系統(tǒng)用戶(hù)訪問(wèn)控制注冊(cè)和注銷(xiāo)可以訪問(wèn)PKI系統(tǒng)信息和效力的用戶(hù)應(yīng)按正規(guī)的程序執(zhí)行。分配或者運(yùn)用系統(tǒng)特權(quán)時(shí)，應(yīng)進(jìn)展嚴(yán)厲的限制和控制。進(jìn)展口令分配時(shí)，應(yīng)經(jīng)過(guò)正規(guī)的程序控制。選取和運(yùn)用口令時(shí)系統(tǒng)用戶(hù)應(yīng)按照已定義的戰(zhàn)略和

29、程序進(jìn)展。PKI系統(tǒng)文檔中，應(yīng)有訪問(wèn)控制的相關(guān)文檔，訪問(wèn)控制文檔中的訪問(wèn)控制戰(zhàn)略應(yīng)包含如下幾個(gè)方面：角色及其相應(yīng)的訪問(wèn)權(quán)限；標(biāo)識(shí)和鑒別系統(tǒng)用戶(hù)的過(guò)程；角色的職能分割。網(wǎng)絡(luò)訪問(wèn)控制用戶(hù)可以且只能直接訪問(wèn)被授權(quán)運(yùn)用的效力。用戶(hù)終端到PKI系統(tǒng)效力的途徑應(yīng)是受控的。遠(yuǎn)程用戶(hù)只需被認(rèn)證后，PKI系統(tǒng)才允許訪問(wèn)。銜接到遠(yuǎn)程計(jì)算機(jī)系統(tǒng)應(yīng)被認(rèn)證。對(duì)PKI系統(tǒng)診斷分析端口的訪問(wèn)應(yīng)進(jìn)展平安控制。 操作系統(tǒng)訪問(wèn)控制每個(gè)用戶(hù)只需獨(dú)一的ID,以便在PKI系統(tǒng)的操作可以被記錄追蹤。 經(jīng)過(guò)指定時(shí)間的不活動(dòng)形狀，正在訪問(wèn)PKI效力系統(tǒng)的終端超時(shí)進(jìn)入維護(hù)形狀以防未授權(quán)用戶(hù)訪問(wèn)。對(duì)高風(fēng)險(xiǎn)的運(yùn)用應(yīng)限制銜接次數(shù)以提供額外的維護(hù)。標(biāo)

30、識(shí)與鑒別用戶(hù)屬性定義PKI系統(tǒng)應(yīng)維護(hù)每個(gè)用戶(hù)的平安屬性。用戶(hù)鑒別在用戶(hù)身份被鑒別之前，PKI系統(tǒng)可執(zhí)行與平安功能無(wú)關(guān)的動(dòng)作。在執(zhí)行其他的平安功能引起的動(dòng)作之前，用戶(hù)應(yīng)勝利鑒別本人。用戶(hù)標(biāo)識(shí)在用戶(hù)標(biāo)識(shí)本人身份之前，PKI系統(tǒng)可代表用戶(hù)執(zhí)行與平安功能無(wú)關(guān)的動(dòng)作。用戶(hù)應(yīng)勝利標(biāo)識(shí)本人之后，才干執(zhí)行其他的平安功能引起的操作動(dòng)作。用戶(hù)主體綁定PKI系統(tǒng)應(yīng)經(jīng)過(guò)用戶(hù)主體綁定建立和維護(hù)用戶(hù)與用戶(hù)主體之間的關(guān)聯(lián)，運(yùn)用戶(hù)的身份與該用戶(hù)的一切可審計(jì)行為相關(guān)聯(lián)。鑒別失敗處置PKI系統(tǒng)的平安功能應(yīng)能檢測(cè)到與鑒別事件相關(guān)的不勝利的鑒別嘗試。審計(jì)審計(jì)數(shù)據(jù)產(chǎn)生PKI系統(tǒng)平安功能應(yīng)能為系統(tǒng)的可審計(jì)事件生成一個(gè)審計(jì)記錄，并在每一個(gè)

31、審計(jì)記錄中記錄根本信息。PKI系統(tǒng)平安功能應(yīng)能維護(hù)系統(tǒng)的可審計(jì)事件。審計(jì)查閱PKI系統(tǒng)平安功能應(yīng)為管理員提供從審計(jì)記錄中讀取一定類(lèi)型的審計(jì)信息的才干。選擇性審計(jì)審計(jì)功能部件應(yīng)可根據(jù)根本屬性選擇或排除審計(jì)事件中的可審計(jì)事件。審計(jì)事件存儲(chǔ)審計(jì)功能部件應(yīng)可以防止對(duì)審計(jì)記錄的非授權(quán)修正，并可檢測(cè)對(duì)審計(jì)記錄的修正；當(dāng)審計(jì)蹤跡存儲(chǔ)已滿(mǎn)時(shí)，審計(jì)功能部件應(yīng)可以阻止除由管理員發(fā)起的以外的一切審計(jì)事件的發(fā)生。數(shù)據(jù)輸入輸出TOE內(nèi)部用戶(hù)數(shù)據(jù)傳送在PKI系統(tǒng)的物理分隔部件間傳送用戶(hù)數(shù)據(jù)時(shí)，PKI系統(tǒng)應(yīng)執(zhí)行訪問(wèn)控制戰(zhàn)略，以防止平安相關(guān)的用戶(hù)數(shù)據(jù)被篡改以及性用戶(hù)數(shù)據(jù)的泄露。TSF間用戶(hù)數(shù)據(jù)傳送的嚴(yán)密性當(dāng)用戶(hù)數(shù)據(jù)經(jīng)過(guò)外部信

32、道在PKI系統(tǒng)之間或PKI系統(tǒng)用戶(hù)之間傳送時(shí)，PKI系統(tǒng)應(yīng)執(zhí)行訪問(wèn)控制戰(zhàn)略，使得能以某種防止未授權(quán)泄露的方式傳送用戶(hù)數(shù)據(jù)。輸出TSF數(shù)據(jù)的嚴(yán)密性在TSF數(shù)據(jù)從TSF到遠(yuǎn)程可信IT產(chǎn)品的傳送過(guò)程中，應(yīng)維護(hù)數(shù)據(jù)不被未授權(quán)泄露。TOE內(nèi)TSF數(shù)據(jù)的傳送PKI系統(tǒng)應(yīng)維護(hù)平安相關(guān)的TSF數(shù)據(jù)在分別的PKI部件間傳送時(shí)不被篡改，維護(hù)性TSF數(shù)據(jù)在分別的PKI部件間傳送時(shí)不被泄露。備份與恢復(fù)PKI系統(tǒng)應(yīng)具有備份和恢復(fù)功能，并可在需求時(shí)調(diào)用備份功能。在系統(tǒng)備份數(shù)據(jù)中應(yīng)保管足夠的信息使系統(tǒng)可以重建備份時(shí)的系統(tǒng)形狀。密鑰管理密鑰生成算法選取算法的強(qiáng)度不應(yīng)基于算法的嚴(yán)密性，應(yīng)基于密鑰的嚴(yán)密性。算法應(yīng)公布于眾并被普遍

33、以為是平安的。對(duì)稱(chēng)算法、非對(duì)稱(chēng)算法、數(shù)據(jù)摘要算法，都應(yīng)采用國(guó)家密碼管理局同意的算法。密鑰生成過(guò)程PKI系統(tǒng)的部件密鑰和系統(tǒng)用戶(hù)密鑰應(yīng)由相應(yīng)級(jí)別的CA或RA等機(jī)構(gòu)生成。在密鑰生成時(shí)應(yīng)采取平安控制。CA簽名公私鑰對(duì)應(yīng)采用國(guó)家密碼管理局認(rèn)可的方法生成。在密鑰生成時(shí)應(yīng)采取平安控制，只需管理員才干啟動(dòng)CA密鑰生成過(guò)程。終端用戶(hù)密鑰可由用戶(hù)生成，也可委托CA、RA等PKI系統(tǒng)的效力機(jī)構(gòu)生成。生成方法應(yīng)符合國(guó)家密碼管理局的規(guī)定。密鑰傳送與分發(fā)PKI系統(tǒng)的部件密鑰和系統(tǒng)用戶(hù)密鑰的傳送與分發(fā)該當(dāng)以加密方式平安進(jìn)展。CA公鑰分發(fā)方法該當(dāng)真實(shí)可行，并該當(dāng)保證CA公鑰的完好性。假設(shè)終端用戶(hù)本人生成密鑰對(duì)，終端用戶(hù)應(yīng)將

34、公鑰平安的提交給PKI系統(tǒng)。假設(shè)終端用戶(hù)委托CA生成密鑰對(duì)，那么不需求簽發(fā)前的公鑰傳送，CA向用戶(hù)傳送與分發(fā)私鑰該當(dāng)以加密方式平安進(jìn)展。密鑰存儲(chǔ)PKI系統(tǒng)的部件密鑰系統(tǒng)用戶(hù)密鑰與CA簽名私鑰應(yīng)存儲(chǔ)于國(guó)家密碼管理局規(guī)定的密碼模塊中或以加密的方式存儲(chǔ)，終端用戶(hù)密鑰由用戶(hù)自行存儲(chǔ)。密鑰導(dǎo)入導(dǎo)出一切密鑰導(dǎo)入導(dǎo)出PKI系統(tǒng)，應(yīng)采用國(guó)家密碼管理局認(rèn)可的加密算法或加密設(shè)備。私鑰不應(yīng)以明文方式導(dǎo)入導(dǎo)出PKI系統(tǒng)。PKI系統(tǒng)應(yīng)把導(dǎo)入導(dǎo)出的密鑰與正確實(shí)體相關(guān)聯(lián)，并賦予相應(yīng)的權(quán)限。密鑰銷(xiāo)毀PKI系統(tǒng)應(yīng)提供銷(xiāo)毀明文對(duì)稱(chēng)密鑰和私有密鑰的方法。輪廓管理證書(shū)輪廓管理根本證書(shū)輪廓管理PKI系統(tǒng)應(yīng)具備證書(shū)輪廓，并保證發(fā)行的證書(shū)

35、與證書(shū)輪廓中的描畫(huà)一致。擴(kuò)展的證書(shū)輪廓管理管理員應(yīng)為證書(shū)擴(kuò)展指定能夠的值。證書(shū)撤銷(xiāo)列表輪廓管理根本證書(shū)撤銷(xiāo)列表輪廓假設(shè)PKI系統(tǒng)發(fā)布CRL，TSF應(yīng)具備證書(shū)撤銷(xiāo)列表輪廓，并保證發(fā)行的CRL與該輪廓中的規(guī)定相一致。擴(kuò)展的證書(shū)撤銷(xiāo)列表輪廓假設(shè)PKI系統(tǒng)發(fā)布CRL，管理員應(yīng)指定CRL和CRL擴(kuò)展可接受的值。在線證書(shū)形狀協(xié)議輪廓管理OCSP輪廓應(yīng)規(guī)定PKI系統(tǒng)能夠產(chǎn)生的字段類(lèi)型和字段類(lèi)型可接受的變量值。證書(shū)管理證書(shū)注冊(cè)PKI系統(tǒng)所簽發(fā)的公鑰證書(shū)應(yīng)與GB/T 20518-2006相一致。任何證書(shū)所包含的字段或擴(kuò)展應(yīng)由PKI系統(tǒng)根據(jù)GB/T 20518-2006生成，或經(jīng)由頒發(fā)機(jī)構(gòu)驗(yàn)證以保證其與規(guī)范的一致

36、性。應(yīng)僅產(chǎn)生與GB/T 20518-2006中規(guī)定的證書(shū)格式一樣的證書(shū)；應(yīng)僅生成與現(xiàn)行證書(shū)輪廓中定義相符的證書(shū)；PKI系統(tǒng)應(yīng)驗(yàn)證預(yù)期的證書(shū)主體擁有與證書(shū)中包含的公鑰相對(duì)應(yīng)的私鑰，除非公私密鑰對(duì)是由PKI系統(tǒng)所產(chǎn)生的；評(píng)價(jià)者應(yīng)檢查PKI系統(tǒng)產(chǎn)生的證書(shū)能否滿(mǎn)足實(shí)踐要求。證書(shū)撤銷(xiāo)證書(shū)撤銷(xiāo)列表審核發(fā)布CRL的PKI系統(tǒng)應(yīng)驗(yàn)證一切強(qiáng)迫性字段的值符合GB/T 20518-2006。OCSP根本回應(yīng)的審核發(fā)布OCSP呼應(yīng)的PKI系統(tǒng)應(yīng)驗(yàn)證一切強(qiáng)迫性字段的值符合GB/T 19713-2005。第三級(jí)概述第三級(jí)的PKI系統(tǒng)，所維護(hù)的資產(chǎn)價(jià)值較高，面臨的平安要挾較大，應(yīng)提供全面的平安維護(hù)。構(gòu)造上，PKI系統(tǒng)的CA

37、、RA、證書(shū)資料庫(kù)應(yīng)獨(dú)立設(shè)計(jì)，并采用雙證書(shū)簽名證書(shū)和加密證書(shū)機(jī)制，建立雙中心證書(shū)認(rèn)證中心和密鑰管理中心，其相關(guān)平安應(yīng)符合GB/T CCC200的要求。第三級(jí)PKI系統(tǒng)的平安要素要求列表見(jiàn)附錄A.1。物理平安中心部件物理平安應(yīng)按照GB/T BBB200第6章所描畫(huà)的要求，對(duì)PKI系統(tǒng)硬件及相關(guān)環(huán)境進(jìn)展評(píng)價(jià)。RA物理平安RA可有多種建立方式。RA應(yīng)設(shè)置專(zhuān)門(mén)的區(qū)域來(lái)接待日常業(yè)務(wù)。RA應(yīng)妥善保管私鑰。RA設(shè)備應(yīng)有平安人員和電子監(jiān)控設(shè)備維護(hù)防盜。一切的活動(dòng)都應(yīng)被授權(quán)人員或平安人員監(jiān)控。RA對(duì)外效力的時(shí)間應(yīng)被嚴(yán)厲限制。維修和效力人員在任務(wù)區(qū)域應(yīng)受監(jiān)控。角色與責(zé)任PKI系統(tǒng)應(yīng)對(duì)系統(tǒng)用戶(hù)提供管理員、操作員和審

38、計(jì)員的角色定義。管理員角色：擔(dān)任安裝、配置、維護(hù)系統(tǒng)；建立和管理用戶(hù)賬戶(hù)；配置輪廓和審計(jì)參數(shù)；生成部件密鑰；執(zhí)行系統(tǒng)的備份和恢復(fù)。操作員角色：擔(dān)任簽發(fā)和撤銷(xiāo)證書(shū)。審計(jì)員角色：擔(dān)任查看和維護(hù)審計(jì)日志。系統(tǒng)應(yīng)具備使主體與角色相關(guān)聯(lián)的才干，并保證一個(gè)身份不應(yīng)同時(shí)具備多個(gè)角色的權(quán)限。系統(tǒng)用戶(hù)應(yīng)按照角色的平安功能管理進(jìn)展權(quán)限限制。訪問(wèn)控制系統(tǒng)用戶(hù)訪問(wèn)控制注冊(cè)和注銷(xiāo)可以訪問(wèn)PKI系統(tǒng)信息和效力的用戶(hù)應(yīng)按正規(guī)的程序執(zhí)行。分配或者運(yùn)用系統(tǒng)特權(quán)時(shí)，應(yīng)進(jìn)展嚴(yán)厲的限制和控制。進(jìn)展口令分配時(shí)，應(yīng)經(jīng)過(guò)正規(guī)的程序控制。應(yīng)定期審核系統(tǒng)用戶(hù)的訪問(wèn)權(quán)限。選取和運(yùn)用口令時(shí)系統(tǒng)用戶(hù)應(yīng)按照已定義的戰(zhàn)略和程序進(jìn)展。對(duì)無(wú)人值守的設(shè)備應(yīng)有

39、適當(dāng)?shù)木S護(hù)措施。PKI系統(tǒng)文檔中，應(yīng)有訪問(wèn)控制的相關(guān)文檔，訪問(wèn)控制文檔中的訪問(wèn)控制戰(zhàn)略應(yīng)包含如下幾個(gè)方面：角色及其相應(yīng)的訪問(wèn)權(quán)限；標(biāo)識(shí)和鑒別系統(tǒng)用戶(hù)的過(guò)程；角色的職能分割；進(jìn)展PKI系統(tǒng)的特定操作時(shí)需求的最小系統(tǒng)用戶(hù)人數(shù)。網(wǎng)絡(luò)訪問(wèn)控制用戶(hù)可以且只能直接訪問(wèn)被授權(quán)運(yùn)用的效力。用戶(hù)終端到PKI系統(tǒng)效力的途徑應(yīng)是受控的。遠(yuǎn)程用戶(hù)只需被認(rèn)證后，PKI系統(tǒng)才允許訪問(wèn)。銜接到遠(yuǎn)程計(jì)算機(jī)系統(tǒng)應(yīng)被認(rèn)證。對(duì)PKI系統(tǒng)診斷分析端口的訪問(wèn)應(yīng)進(jìn)展平安控制。PKI系統(tǒng)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間應(yīng)設(shè)置平安控制。按照PKI系統(tǒng)的訪問(wèn)控制戰(zhàn)略，應(yīng)限制用戶(hù)可用的效力。路由控制應(yīng)保證計(jì)算機(jī)銜接和信息流不違背系統(tǒng)的訪問(wèn)控制戰(zhàn)略。PKI

40、系統(tǒng)一切網(wǎng)絡(luò)效力的平安屬性要求在PKI系統(tǒng)文檔中有相關(guān)闡明。操作系統(tǒng)訪問(wèn)控制PKI系統(tǒng)的訪問(wèn)應(yīng)運(yùn)用平安的登錄過(guò)程。每個(gè)用戶(hù)只需獨(dú)一的ID,以便在PKI系統(tǒng)的操作可以被記錄追蹤。系統(tǒng)的口令管理應(yīng)提供工具確保生成高質(zhì)量的口令。對(duì)系統(tǒng)工具的運(yùn)用應(yīng)進(jìn)展嚴(yán)厲的控制。經(jīng)過(guò)指定時(shí)間的不活動(dòng)形狀，正在訪問(wèn)PKI效力系統(tǒng)的終端超時(shí)進(jìn)入維護(hù)形狀以防未授權(quán)用戶(hù)訪問(wèn)。對(duì)高風(fēng)險(xiǎn)的運(yùn)用應(yīng)限制銜接次數(shù)以提供額外的維護(hù)。運(yùn)用訪問(wèn)控制應(yīng)根據(jù)訪問(wèn)控制戰(zhàn)略，嚴(yán)厲限制對(duì)信息和運(yùn)用系統(tǒng)功能訪問(wèn)。標(biāo)識(shí)與鑒別用戶(hù)屬性定義PKI系統(tǒng)應(yīng)維護(hù)每個(gè)用戶(hù)的平安屬性。用戶(hù)鑒別在用戶(hù)身份被鑒別之前，PKI系統(tǒng)可執(zhí)行與平安功能無(wú)關(guān)的動(dòng)作。在執(zhí)行其他的平安

41、功能引起的動(dòng)作之前，用戶(hù)應(yīng)勝利鑒別本人。PKI系統(tǒng)應(yīng)提供多鑒別機(jī)制，對(duì)不同身份的用戶(hù)運(yùn)用不同的鑒別機(jī)制。當(dāng)進(jìn)展鑒別時(shí)，PKI系統(tǒng)的平安功能應(yīng)防止提供應(yīng)用戶(hù)的反響泄露用戶(hù)的鑒別數(shù)據(jù)。用戶(hù)標(biāo)識(shí)在用戶(hù)標(biāo)識(shí)本人身份之前，PKI系統(tǒng)可代表用戶(hù)執(zhí)行與平安功能無(wú)關(guān)的動(dòng)作。用戶(hù)應(yīng)勝利標(biāo)識(shí)本人之后，才干執(zhí)行其他的平安功能引起的操作動(dòng)作。用戶(hù)主體綁定PKI系統(tǒng)應(yīng)經(jīng)過(guò)用戶(hù)主體綁定建立和維護(hù)用戶(hù)與用戶(hù)主體之間的關(guān)聯(lián)，運(yùn)用戶(hù)的身份與該用戶(hù)的一切可審計(jì)行為相關(guān)聯(lián)。鑒別失敗處置PKI系統(tǒng)的平安功能應(yīng)能檢測(cè)到與鑒別事件相關(guān)的不勝利的鑒別嘗試。當(dāng)用戶(hù)自從上次鑒別勝利以來(lái)不勝利的鑒別嘗試的次數(shù)到達(dá)或超越了定義的界限時(shí)，PKI系統(tǒng)

42、應(yīng)采取應(yīng)對(duì)措施。的規(guī)范當(dāng)用來(lái)對(duì)用戶(hù)身份鑒別的口令、密鑰等信息由用戶(hù)產(chǎn)生時(shí)，PKI系統(tǒng)應(yīng)對(duì)可接受的信息的質(zhì)量做出要求，并檢查。信息質(zhì)量量度由管理員制定。當(dāng)用來(lái)對(duì)用戶(hù)身份鑒別的口令、密鑰等信息由PKI系統(tǒng)產(chǎn)生時(shí)，PKI系統(tǒng)應(yīng)可生成符合信息質(zhì)量要求的信息。信息質(zhì)量量度由管理員制定。審計(jì)審計(jì)數(shù)據(jù)產(chǎn)生PKI系統(tǒng)平安功能應(yīng)能為系統(tǒng)的可審計(jì)事件生成一個(gè)審計(jì)記錄，并在每一個(gè)審計(jì)記錄中至少記錄根本信息。PKI系統(tǒng)平安功能應(yīng)能維護(hù)系統(tǒng)的可審計(jì)事件。審計(jì)查閱PKI系統(tǒng)平安功能應(yīng)為審計(jì)員提供從審計(jì)記錄中讀取一定類(lèi)型的審計(jì)信息的才干。選擇性審計(jì)審計(jì)功能部件應(yīng)可根據(jù)根本屬性選擇或排除審計(jì)事件中的可審計(jì)事件。審計(jì)事件存儲(chǔ)審

43、計(jì)功能部件應(yīng)可以防止對(duì)審計(jì)記錄的非授權(quán)修正，并可檢測(cè)對(duì)審計(jì)記錄的修正；當(dāng)審計(jì)蹤跡存儲(chǔ)已滿(mǎn)時(shí)，審計(jì)功能部件應(yīng)可以阻止除由審計(jì)員發(fā)起的以外的一切審計(jì)事件的發(fā)生。審計(jì)日志簽名審計(jì)功能部件應(yīng)定期對(duì)審計(jì)日志做完好性維護(hù)。對(duì)審計(jì)日志簽名的時(shí)間周期應(yīng)是可配置的。對(duì)審計(jì)日志簽名的事件應(yīng)寫(xiě)入審計(jì)日志中，簽名結(jié)果應(yīng)包含在其中。數(shù)據(jù)輸入輸出TOE內(nèi)部用戶(hù)數(shù)據(jù)傳送在PKI系統(tǒng)的物理分隔部件間傳送用戶(hù)數(shù)據(jù)時(shí)，PKI系統(tǒng)應(yīng)執(zhí)行訪問(wèn)控制戰(zhàn)略，以防止平安相關(guān)的用戶(hù)數(shù)據(jù)被篡改以及性用戶(hù)數(shù)據(jù)的泄露。TSF間用戶(hù)數(shù)據(jù)傳送的嚴(yán)密性當(dāng)用戶(hù)數(shù)據(jù)經(jīng)過(guò)外部信道在PKI系統(tǒng)之間或PKI系統(tǒng)用戶(hù)之間傳送時(shí)，PKI系統(tǒng)應(yīng)執(zhí)行訪問(wèn)控制戰(zhàn)略，使得能以

44、某種防止未授權(quán)泄露的方式傳送用戶(hù)數(shù)據(jù)。輸出TSF數(shù)據(jù)的嚴(yán)密性在TSF數(shù)據(jù)從TSF到遠(yuǎn)程可信IT產(chǎn)品的傳送過(guò)程中，應(yīng)維護(hù)數(shù)據(jù)不被未授權(quán)泄露。TOE內(nèi)TSF數(shù)據(jù)的傳送PKI系統(tǒng)應(yīng)維護(hù)平安相關(guān)的TSF數(shù)據(jù)在分別的PKI部件間傳送時(shí)不被篡改，維護(hù)性TSF數(shù)據(jù)在分別的PKI部件間傳送時(shí)不被泄露。原發(fā)抗抵賴(lài)PKI系統(tǒng)在任何時(shí)候都應(yīng)對(duì)證書(shū)形狀信息和其他平安相關(guān)信息強(qiáng)迫產(chǎn)生原發(fā)證據(jù)。PKI系統(tǒng)應(yīng)能為一切平安相關(guān)的信息提供驗(yàn)證信息原發(fā)證據(jù)的才干。備份與恢復(fù)PKI系統(tǒng)應(yīng)具有備份和恢復(fù)功能，并可在需求時(shí)調(diào)用備份功能。在系統(tǒng)備份數(shù)據(jù)中應(yīng)保管足夠的信息使系統(tǒng)可以重建備份時(shí)的系統(tǒng)形狀。并經(jīng)過(guò)完好性維護(hù)措施防止備份數(shù)據(jù)遭到

45、未授權(quán)的修正。關(guān)鍵平安參數(shù)和其他信息應(yīng)以加密方式存儲(chǔ)。密鑰管理密鑰生成算法選取算法的強(qiáng)度不應(yīng)基于算法的嚴(yán)密性，應(yīng)基于密鑰的嚴(yán)密性。算法應(yīng)公布于眾并被普遍以為是平安的。在PKI系統(tǒng)的環(huán)境計(jì)算才干下，算法的效率應(yīng)滿(mǎn)足用戶(hù)要求。對(duì)稱(chēng)算法、非對(duì)稱(chēng)算法、數(shù)據(jù)摘要算法，都應(yīng)采用國(guó)家密碼管理局同意的算法。簽名中的音訊摘要算法不應(yīng)降低簽名算法的平安強(qiáng)度。算法應(yīng)支持PKI系統(tǒng)的互操作。PKI系統(tǒng)選定適宜的密碼模塊后，文檔中應(yīng)闡明所選用的密碼算法和數(shù)據(jù)摘要算法。密鑰生成過(guò)程PKI系統(tǒng)部件密鑰和系統(tǒng)用戶(hù)密鑰應(yīng)由相應(yīng)級(jí)別的CA或RA等機(jī)構(gòu)生成。在密鑰生成時(shí)應(yīng)采取平安控制。CA簽名公私鑰對(duì)應(yīng)采用國(guó)家密碼管理局認(rèn)可的方法

46、生成。在密鑰生成時(shí)應(yīng)采取平安控制，只需管理員才干啟動(dòng)CA密鑰生成過(guò)程，而且生成過(guò)程中應(yīng)有多個(gè)管理員同時(shí)在場(chǎng)。終端用戶(hù)密鑰可由用戶(hù)生成，也可委托CA、RA等PKI系統(tǒng)的效力機(jī)構(gòu)生成。生成方法應(yīng)符合國(guó)家密碼管理局的規(guī)定。PKI系統(tǒng)的文檔中應(yīng)明確規(guī)定密鑰生成方法。密鑰傳送與分發(fā)PKI系統(tǒng)的部件密鑰和系統(tǒng)用戶(hù)密鑰的傳送與分發(fā)該當(dāng)以加密方式平安進(jìn)展。CA公鑰分發(fā)方法該當(dāng)真實(shí)可行，并該當(dāng)保證CA公鑰的完好性。PKI系統(tǒng)的文檔中應(yīng)明確闡明CA公鑰分發(fā)方法。假設(shè)終端用戶(hù)本人生成密鑰對(duì)，終端用戶(hù)應(yīng)將公鑰平安的提交給PKI系統(tǒng)。假設(shè)終端用戶(hù)委托CA生成密鑰對(duì)，那么不需求簽發(fā)前的公鑰傳送，CA向用戶(hù)傳送與分發(fā)私鑰該

47、當(dāng)以加密方式平安進(jìn)展。PKI系統(tǒng)的文檔中應(yīng)明確規(guī)定用戶(hù)公鑰傳送方法。密鑰存儲(chǔ)PKI系統(tǒng)部件密鑰和系統(tǒng)用戶(hù)密鑰應(yīng)存儲(chǔ)于國(guó)家密碼管理局規(guī)定的密碼模塊中或以加密的方式存儲(chǔ)，CA簽名公私鑰對(duì)應(yīng)以加密的方式存儲(chǔ)于硬件密碼設(shè)備中。假設(shè)終端用戶(hù)密鑰在PKI系統(tǒng)效力部件中存儲(chǔ)，那么應(yīng)以加密的方式存儲(chǔ)。假設(shè)終端用戶(hù)密鑰由用戶(hù)自行存儲(chǔ)，那么由其選擇存儲(chǔ)方式。PKI系統(tǒng)的文檔中應(yīng)明確規(guī)定密鑰存儲(chǔ)方法。密鑰備份對(duì)PKI系統(tǒng)部件密鑰和系統(tǒng)用戶(hù)密鑰備份，應(yīng)以加密方式進(jìn)展。對(duì)于CA簽名私鑰備份，應(yīng)以加密的方式進(jìn)展，且只需特定權(quán)限的人才干訪問(wèn)私鑰信息存放部件。用戶(hù)簽名私鑰由用戶(hù)自行備份。用戶(hù)用于性目的的密鑰由PKI系統(tǒng)備份時(shí)

48、，應(yīng)以加密方式進(jìn)展。PKI系統(tǒng)的文檔中應(yīng)明確規(guī)定密鑰備份方法。密鑰導(dǎo)入導(dǎo)出一切密鑰導(dǎo)入導(dǎo)出PKI系統(tǒng)，應(yīng)采用國(guó)家密碼管理局認(rèn)可的加密算法或加密設(shè)備。私鑰不應(yīng)以明文方式導(dǎo)入導(dǎo)出密碼模塊。PKI系統(tǒng)應(yīng)把導(dǎo)入導(dǎo)出的密鑰與正確實(shí)體相關(guān)聯(lián)，并賦予相應(yīng)的權(quán)限。PKI系統(tǒng)的文檔中應(yīng)明確規(guī)定密鑰導(dǎo)入導(dǎo)出方法。密鑰更新PKI系統(tǒng)應(yīng)采取明確的方法更新CA密鑰及證書(shū)。在更新過(guò)程中應(yīng)采取平安措施保證PKI系統(tǒng)效力的平安性和延續(xù)性。CA新密鑰對(duì)的產(chǎn)生、新公鑰的分發(fā)、舊公鑰歸檔以及舊私鑰的銷(xiāo)毀應(yīng)符合本級(jí)別中各自的相關(guān)規(guī)定。用戶(hù)密鑰由PKI系統(tǒng)自動(dòng)更新時(shí)，PKI系統(tǒng)應(yīng)采取明確的方法更新用戶(hù)密鑰及證書(shū)，在更新過(guò)程中應(yīng)采取平安

49、措施保證用戶(hù)密鑰和證書(shū)的平安。新密鑰對(duì)的產(chǎn)生、新公鑰的分發(fā)、舊公鑰的歸檔、舊的用戶(hù)私鑰的銷(xiāo)毀應(yīng)符合5.3.9中的相關(guān)規(guī)定。PKI系統(tǒng)的文檔中應(yīng)明確規(guī)定密鑰更新方法。密鑰托管假設(shè)PKI系統(tǒng)提供密鑰托管，那么用于性目的的用戶(hù)私鑰應(yīng)被PKI效力提供方托管，但用戶(hù)的簽名私鑰不應(yīng)被托管。PKI系統(tǒng)應(yīng)以加密方式維護(hù)被托管密鑰的完好性和性，并執(zhí)行訪問(wèn)控制戰(zhàn)略維護(hù)加密密鑰的平安。PKI系統(tǒng)的文檔中應(yīng)明確規(guī)定密鑰托管方法。密鑰恢復(fù)對(duì)于備份的密鑰，應(yīng)僅由密鑰一切者恢復(fù)；對(duì)于托管或歸檔的密鑰，那么根據(jù)法律、規(guī)章或合同規(guī)定，由執(zhí)法機(jī)關(guān)或管理部門(mén)恢復(fù)。PKI系統(tǒng)應(yīng)在恢復(fù)密鑰前驗(yàn)證懇求者的身份。密鑰恢復(fù)應(yīng)保證密鑰不被未授

50、權(quán)的泄露或修正。其中CA簽名私鑰恢復(fù)需求特定權(quán)限的人在平安可信的環(huán)境中恢復(fù)。PKI系統(tǒng)的文檔中應(yīng)明確規(guī)定密鑰恢復(fù)方法。密鑰歸檔簽名私鑰不應(yīng)被歸檔，用于解密數(shù)據(jù)的私鑰應(yīng)被歸檔。CA、RA、終端用戶(hù)或其他系統(tǒng)部件的公鑰都應(yīng)歸檔。PKI系統(tǒng)的文檔中應(yīng)明確規(guī)定密鑰歸檔方法。密鑰銷(xiāo)毀PKI系統(tǒng)密鑰銷(xiāo)毀需求特定權(quán)限的人執(zhí)行密鑰銷(xiāo)毀程序，并應(yīng)符合國(guó)家密碼管理局對(duì)密鑰銷(xiāo)毀的相關(guān)規(guī)定。終端用戶(hù)密鑰的銷(xiāo)毀普通由用戶(hù)本人執(zhí)行銷(xiāo)毀程序。PKI系統(tǒng)的文檔中應(yīng)明確規(guī)定密鑰銷(xiāo)毀方法。輪廓管理證書(shū)輪廓管理根本證書(shū)輪廓管理PKI系統(tǒng)應(yīng)具備證書(shū)輪廓，并保證發(fā)行的證書(shū)與證書(shū)輪廓中的描畫(huà)一致。擴(kuò)展的證書(shū)輪廓管理管理員應(yīng)為證書(shū)擴(kuò)展指定

51、能夠的值。證書(shū)撤銷(xiāo)列表輪廓管理根本證書(shū)撤銷(xiāo)列表輪廓假設(shè)PKI系統(tǒng)發(fā)布CRL，TSF應(yīng)具備證書(shū)撤銷(xiāo)列表輪廓，并保證發(fā)行的CRL與該輪廓中的規(guī)定相一致。擴(kuò)展的證書(shū)撤銷(xiāo)列表輪廓假設(shè)PKI系統(tǒng)發(fā)布CRL，管理員應(yīng)指定CRL和CRL擴(kuò)展可接受的值。在線證書(shū)形狀協(xié)議輪廓管理OCSP輪廓應(yīng)規(guī)定PKI系統(tǒng)能夠產(chǎn)生的字段類(lèi)型和字段類(lèi)型可接受的變量值。證書(shū)管理證書(shū)注冊(cè)PKI系統(tǒng)所簽發(fā)的公鑰證書(shū)應(yīng)與GB/T 20518-2006規(guī)范相一致。任何證書(shū)所包含的字段或擴(kuò)展應(yīng)由PKI系統(tǒng)根據(jù)GB/T 20518-2006生成，或經(jīng)由頒發(fā)機(jī)構(gòu)驗(yàn)證以保證其與規(guī)范的一致性。應(yīng)僅產(chǎn)生與GB/T 20518-2006中規(guī)定的證書(shū)格式

52、一樣的證書(shū)；應(yīng)僅生成與現(xiàn)行證書(shū)輪廓中定義相符的證書(shū)；PKI系統(tǒng)應(yīng)驗(yàn)證預(yù)期的證書(shū)主體擁有與證書(shū)中包含的公鑰相對(duì)應(yīng)的私鑰，除非公私密鑰對(duì)是由PKI系統(tǒng)所產(chǎn)生的；評(píng)價(jià)者應(yīng)檢查PKI系統(tǒng)產(chǎn)生的證書(shū)能否滿(mǎn)足根本要求。證書(shū)撤銷(xiāo)證書(shū)撤銷(xiāo)列表審核發(fā)布CRL的PKI系統(tǒng)應(yīng)驗(yàn)證一切強(qiáng)迫性字段的值符合GB/T 20518-2006。OCSP根本回應(yīng)的審核發(fā)布OCSP呼應(yīng)的PKI系統(tǒng)應(yīng)驗(yàn)證一切強(qiáng)迫性字段的值符合GB/T 19713-2005。第四級(jí)概述第四級(jí)的PKI系統(tǒng)，所維護(hù)的資產(chǎn)價(jià)值很高，面臨的平安要挾很大。構(gòu)造上，PKI系統(tǒng)的CA、RA、證書(shū)資料庫(kù)應(yīng)獨(dú)立設(shè)計(jì)，并采用雙證書(shū)簽名證書(shū)和加密證書(shū)機(jī)制，建立雙中心證書(shū)認(rèn)

53、證中心和密鑰管理中心，其相關(guān)平安應(yīng)符合GB/T CCC200的要求。第四級(jí)PKI系統(tǒng)的平安要素要求列表見(jiàn)附錄A.1。物理平安中心部件物理平安應(yīng)按照GB/T BBB200第7章所描畫(huà)的要求，對(duì)PKI系統(tǒng)硬件及相關(guān)環(huán)境進(jìn)展評(píng)價(jià)。RA物理平安RA可有多種建立方式。RA應(yīng)設(shè)置專(zhuān)門(mén)的區(qū)域來(lái)接待日常業(yè)務(wù)。RA應(yīng)妥善保管私鑰。RA設(shè)備應(yīng)有平安人員和電子監(jiān)控設(shè)備維護(hù)防盜。一切的活動(dòng)都應(yīng)被授權(quán)人員或平安人員監(jiān)控。RA對(duì)外效力的時(shí)間應(yīng)被嚴(yán)厲限制。維修和效力人員在任務(wù)區(qū)域應(yīng)受監(jiān)控。角色與責(zé)任開(kāi)發(fā)者應(yīng)提供PKI系統(tǒng)管理員、操作員、審計(jì)員和平安員的角色定義。管理員角色：擔(dān)任安裝、配置、維護(hù)系統(tǒng)；建立和管理用戶(hù)賬戶(hù)；配置

54、輪廓和審計(jì)參數(shù)；生成部件密鑰。操作員角色：擔(dān)任簽發(fā)和撤銷(xiāo)證書(shū)。審計(jì)員角色：擔(dān)任查看和維護(hù)審計(jì)日志。平安員角色：擔(dān)任執(zhí)行系統(tǒng)的備份和恢復(fù)。系統(tǒng)應(yīng)具備使主體與角色相關(guān)聯(lián)的才干，并保證一個(gè)身份不應(yīng)同時(shí)具備多個(gè)角色的權(quán)限。系統(tǒng)用戶(hù)應(yīng)按照角色的平安功能管理進(jìn)展權(quán)限限制。訪問(wèn)控制系統(tǒng)用戶(hù)訪問(wèn)控制注冊(cè)和注銷(xiāo)可以訪問(wèn)PKI系統(tǒng)信息和效力的用戶(hù)應(yīng)按正規(guī)的程序執(zhí)行。分配或者運(yùn)用系統(tǒng)特權(quán)時(shí)，應(yīng)進(jìn)展嚴(yán)厲的限制和控制。進(jìn)展口令分配時(shí)，應(yīng)經(jīng)過(guò)正規(guī)的程序控制。應(yīng)定期審核系統(tǒng)用戶(hù)的訪問(wèn)權(quán)限。選取和運(yùn)用口令時(shí)系統(tǒng)用戶(hù)應(yīng)按照已定義的戰(zhàn)略和程序進(jìn)展對(duì)無(wú)人值守的設(shè)備應(yīng)有適當(dāng)?shù)木S護(hù)措施。PKI系統(tǒng)文檔中，應(yīng)有訪問(wèn)控制的相關(guān)文檔，訪問(wèn)控

55、制文檔中的訪問(wèn)控制戰(zhàn)略應(yīng)包含如下幾個(gè)方面：角色及其相應(yīng)的訪問(wèn)權(quán)限；標(biāo)識(shí)和鑒別系統(tǒng)用戶(hù)的過(guò)程；角色的職能分割；進(jìn)展PKI系統(tǒng)的特定操作時(shí)需求的最小系統(tǒng)用戶(hù)人數(shù)。網(wǎng)絡(luò)訪問(wèn)控制用戶(hù)可以且只能直接訪問(wèn)被授權(quán)運(yùn)用的效力。用戶(hù)終端到PKI系統(tǒng)效力的途徑應(yīng)是受控的。遠(yuǎn)程用戶(hù)只需被認(rèn)證后，PKI系統(tǒng)才允許訪問(wèn)。銜接到遠(yuǎn)程計(jì)算機(jī)系統(tǒng)應(yīng)被認(rèn)證。對(duì)PKI系統(tǒng)診斷分析端口的訪問(wèn)應(yīng)進(jìn)展平安控制。PKI系統(tǒng)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間應(yīng)設(shè)置平安控制。按照PKI系統(tǒng)的訪問(wèn)控制戰(zhàn)略，應(yīng)限制用戶(hù)可用的效力。路由控制應(yīng)保證計(jì)算機(jī)銜接和信息流不違背系統(tǒng)的訪問(wèn)控制戰(zhàn)略。PKI系統(tǒng)一切網(wǎng)絡(luò)效力的平安屬性要求在PKI系統(tǒng)文檔中有相關(guān)闡明。操作

56、系統(tǒng)訪問(wèn)控制PKI系統(tǒng)的訪問(wèn)應(yīng)運(yùn)用平安的登錄過(guò)程。每個(gè)用戶(hù)只需獨(dú)一的ID,以便在PKI系統(tǒng)的操作可以被記錄追蹤。系統(tǒng)的口令管理應(yīng)提供工具確保生成高質(zhì)量的口令。對(duì)系統(tǒng)工具的運(yùn)用應(yīng)進(jìn)展嚴(yán)厲的控制。經(jīng)過(guò)指定時(shí)間的不活動(dòng)形狀，正在訪問(wèn)PKI效力系統(tǒng)的終端超時(shí)進(jìn)入維護(hù)形狀以防未授權(quán)用戶(hù)訪問(wèn)。對(duì)高風(fēng)險(xiǎn)的運(yùn)用應(yīng)限制銜接次數(shù)以提供額外的維護(hù)。運(yùn)用訪問(wèn)控制應(yīng)根據(jù)訪問(wèn)控制戰(zhàn)略，嚴(yán)厲限制對(duì)信息和運(yùn)用系統(tǒng)功能訪問(wèn)。標(biāo)識(shí)與鑒別用戶(hù)屬性定義PKI系統(tǒng)應(yīng)維護(hù)每個(gè)用戶(hù)的平安屬性。用戶(hù)鑒別當(dāng)進(jìn)展鑒別時(shí)，PKI系統(tǒng)的平安功能應(yīng)防止提供應(yīng)用戶(hù)的反響泄露用戶(hù)的鑒別數(shù)據(jù)。在用戶(hù)身份被鑒別之前，PKI系統(tǒng)不允許執(zhí)行代表該用戶(hù)的任何行動(dòng)。

57、PKI系統(tǒng)應(yīng)提供多鑒別機(jī)制，對(duì)不同身份的用戶(hù)運(yùn)用不同的鑒別機(jī)制。PKI系統(tǒng)應(yīng)定義鑒別機(jī)制如何提供鑒別以及每一種鑒別機(jī)制將在何時(shí)運(yùn)用。用戶(hù)標(biāo)識(shí)在用戶(hù)被標(biāo)識(shí)之前，PKI系統(tǒng)不允許執(zhí)行代表該用戶(hù)的任何行動(dòng)。用戶(hù)主體綁定PKI系統(tǒng)應(yīng)經(jīng)過(guò)用戶(hù)主體綁定建立和維護(hù)用戶(hù)與用戶(hù)主體之間的關(guān)聯(lián)，運(yùn)用戶(hù)的身份與該用戶(hù)的一切可審計(jì)行為相關(guān)聯(lián)。鑒別失敗處置PKI系統(tǒng)的平安功能應(yīng)能檢測(cè)到與鑒別事件相關(guān)的不勝利的鑒別嘗試。當(dāng)用戶(hù)自從上次鑒別勝利以來(lái)不勝利的鑒別嘗試的次數(shù)到達(dá)或超越了定義的界限時(shí)，PKI系統(tǒng)應(yīng)采取應(yīng)對(duì)措施。的規(guī)范當(dāng)用來(lái)對(duì)用戶(hù)身份鑒別的口令、密鑰等信息由用戶(hù)產(chǎn)生時(shí)，PKI系統(tǒng)應(yīng)對(duì)可接受的信息的質(zhì)量做出要求，并檢

58、查。信息質(zhì)量量度由管理員制定。當(dāng)用來(lái)對(duì)用戶(hù)身份鑒別的口令、密鑰等信息由PKI系統(tǒng)產(chǎn)生時(shí)，PKI系統(tǒng)應(yīng)可生成符合信息質(zhì)量要求的信息。信息質(zhì)量量度由管理員制定。審計(jì)審計(jì)數(shù)據(jù)產(chǎn)生PKI系統(tǒng)平安功能應(yīng)能為系統(tǒng)的可審計(jì)事件生成一個(gè)審計(jì)記錄，并在每一個(gè)審計(jì)記錄中至少記錄根本信息。PKI系統(tǒng)平安功能應(yīng)能維護(hù)系統(tǒng)的可審計(jì)事件。審計(jì)查閱PKI系統(tǒng)平安功能應(yīng)為審計(jì)員提供從審計(jì)記錄中讀取一定類(lèi)型的審計(jì)信息的才干。選擇性審計(jì)審計(jì)功能部件應(yīng)可根據(jù)根本屬性選擇或排除審計(jì)事件中的可審計(jì)事件。審計(jì)事件存儲(chǔ)審計(jì)功能部件應(yīng)可以防止對(duì)審計(jì)記錄的非授權(quán)修正，并可檢測(cè)對(duì)審計(jì)記錄的修正；當(dāng)審計(jì)蹤跡存儲(chǔ)已滿(mǎn)時(shí)，審計(jì)功能部件應(yīng)可以阻止除由審

59、計(jì)員發(fā)起的以外的一切審計(jì)事件的發(fā)生?？尚诺臅r(shí)間戳PKI系統(tǒng)應(yīng)獲得可信的時(shí)間戳功能供審計(jì)部件運(yùn)用。審計(jì)日志簽名審計(jì)功能部件應(yīng)定期從第三方獲得數(shù)字簽名的時(shí)間戳。時(shí)間戳不應(yīng)由審計(jì)功能部件簽名。審計(jì)功能部件獲得時(shí)間戳的時(shí)間周期應(yīng)是可配置的。對(duì)審計(jì)日志做時(shí)間戳的事件應(yīng)寫(xiě)入日志中，時(shí)間戳應(yīng)包含在其中。數(shù)據(jù)輸入輸出TOE內(nèi)部用戶(hù)數(shù)據(jù)傳送在PKI系統(tǒng)的物理分隔部件間傳送用戶(hù)數(shù)據(jù)時(shí)，PKI系統(tǒng)應(yīng)執(zhí)行訪問(wèn)控制戰(zhàn)略，以防止平安相關(guān)的用戶(hù)數(shù)據(jù)被篡改以及性用戶(hù)數(shù)據(jù)的泄露。在PKI系統(tǒng)的物理分隔部件間傳送用戶(hù)數(shù)據(jù)時(shí)，PKI系統(tǒng)應(yīng)執(zhí)行訪問(wèn)控制戰(zhàn)略，以檢測(cè)能否有用戶(hù)數(shù)據(jù)的完好性錯(cuò)誤出現(xiàn)。檢測(cè)到完好性錯(cuò)誤時(shí)，PKI系統(tǒng)應(yīng)采取行

60、動(dòng)進(jìn)展處置。TSF間用戶(hù)數(shù)據(jù)傳送的嚴(yán)密性當(dāng)用戶(hù)數(shù)據(jù)經(jīng)過(guò)外部信道在PKI系統(tǒng)之間或PKI系統(tǒng)用戶(hù)之間傳送時(shí)，PKI系統(tǒng)應(yīng)執(zhí)行訪問(wèn)控制戰(zhàn)略，使得能以某種防止未授權(quán)泄露的方式傳送用戶(hù)數(shù)據(jù)。TSF間用戶(hù)數(shù)據(jù)傳送的完好性當(dāng)用戶(hù)數(shù)據(jù)經(jīng)過(guò)外部信道在PKI系統(tǒng)之間或PKI系統(tǒng)用戶(hù)之間傳送時(shí)，PKI系統(tǒng)應(yīng)執(zhí)行訪問(wèn)控制戰(zhàn)略，使得能以某種方式傳送和接納用戶(hù)數(shù)據(jù)時(shí)，維護(hù)數(shù)據(jù)防止完好性錯(cuò)誤。輸出TSF數(shù)據(jù)的嚴(yán)密性在TSF數(shù)據(jù)從TSF到遠(yuǎn)程可信IT產(chǎn)品的傳送過(guò)程中，應(yīng)維護(hù)數(shù)據(jù)不被未授權(quán)泄露。輸出TSF數(shù)據(jù)的完好性PKI系統(tǒng)應(yīng)提供檢測(cè)與遠(yuǎn)程可信IT產(chǎn)品間傳送的一切TSF數(shù)據(jù)能否被修正的才干。檢測(cè)到完好性錯(cuò)誤時(shí)，PKI系統(tǒng)應(yīng)