(高清版)GB∕T 38626-2020 信息安全技術(shù) 智能聯(lián)網(wǎng)設(shè)備口令保護指南

智能聯(lián)網(wǎng)設(shè)備口令保護指南Informationsecuritytech2020-04-28發(fā)布2020-11-01實施國家標準化管理委員會國家市場監(jiān)督管理總局發(fā)布國家標準化管理委員會 2規(guī)范性引用文件 3術(shù)語和定義 4縮略語 5概述 6賬號安全 6.1賬號生成 6.2賬號使用 6.3賬號管理 7口令安全 8用戶安全 附錄A（資料性附錄）非設(shè)備本地鑒別方式 參考文獻 Ⅰ本標準按照GB/T1.1—2009給出的規(guī)則起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔(dān)識別這些專利的責(zé)任。本標準由全國信息安全標準化技術(shù)委員會(SAC/TC260)提出并歸口。本標準起草單位：杭州?？低晹?shù)字技術(shù)股份有限公司、中國電子技術(shù)標準化研究院、北京信息安全測評中心、中國信息安全測評中心、公安部第一研究所、公安部第三研究所、中國科學(xué)院信息工程研究所、浙江大學(xué)、國家工業(yè)信息安全發(fā)展研究中心、國網(wǎng)浙江省電力有限公司、大華技術(shù)股份有限公司、阿里巴巴網(wǎng)絡(luò)技術(shù)有限公司、華為技術(shù)有限公司、深圳聯(lián)想懂的通信有限公司、海爾集團、美的智慧家居科技有限公司、北京洋浦偉業(yè)科技發(fā)展有限公司、杭州安恒信息技術(shù)有限公司、北京未來安全信息技術(shù)有限公司、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司、江蘇省電力公司電力科學(xué)研究院。本標準主要起草人：王濱、劉賢剛、許東陽、趙章界、陳學(xué)明、范科峰、成金愛、邸麗清、韓煜、劉繼順、王英鍵、李娜、姚楠。1信息安全技術(shù)智能聯(lián)網(wǎng)設(shè)備口令保護指南本標準給出了智能聯(lián)網(wǎng)設(shè)備的賬號和口令在生成、管理和使用等方面的安全技術(shù)指南。本標準適用于指導(dǎo)智能聯(lián)網(wǎng)設(shè)備生產(chǎn)制造商安全設(shè)計和實現(xiàn)口令保護功能，也適用于智能聯(lián)網(wǎng)設(shè)備的口令安全使用的監(jiān)督、檢查。2規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T25069—2010信息安全技術(shù)術(shù)語3術(shù)語和定義GB/T25069—2010界定的以及下列術(shù)語和定義適用于本文件。為了便于使用，以下重復(fù)列出了GB/T25069—2010中的某些術(shù)語和定義。3.1具有接入網(wǎng)絡(luò)進行通信、數(shù)據(jù)感知、數(shù)據(jù)存儲、數(shù)據(jù)處理和人機交互能力的設(shè)備。注：主要是指物聯(lián)網(wǎng)中的端設(shè)備，包括網(wǎng)絡(luò)攝像頭、智能家電、網(wǎng)絡(luò)機頂盒、智能投影儀、家用路由器等，不包括計算機、手機等通用計算設(shè)備。3.2用于身份鑒別的秘密的字、短語、數(shù)或字符序列。注：改寫GB/T25069—2010,定義2.2.2.76。3.3使用口令來驗證用戶所聲稱身份的過程。3.4容易被別人猜測或被破解工具暴力破解的口令。3.5設(shè)備出廠時廠商預(yù)置于設(shè)備中，用于在初始設(shè)置或恢復(fù)默認設(shè)置狀態(tài)下訪問設(shè)備的口令。3.6具有某一概率的事件集合中各個事件所表現(xiàn)出來的不可預(yù)測性。23.7在特定上下文中，可以唯一標識主體身份的一段信息。注：也稱為用戶名。3.8作為單向函數(shù)或加密函數(shù)的二次輸入而加入的隨機變量，可用于計算口令鑒別數(shù)據(jù)。[GB/T25069—2010,定義2.2.2.186]4縮略語下列縮略語適用于本文件。IP：互聯(lián)網(wǎng)協(xié)議(InternetProtocol)5概述由于智能聯(lián)網(wǎng)設(shè)備接入網(wǎng)絡(luò)模式的不同，口令鑒別的實現(xiàn)方式可分為兩種：—設(shè)備鑒別，口令鑒別過程在智能聯(lián)網(wǎng)設(shè)備中進行?！窃O(shè)備本地鑒別，口令鑒別的過程不在智能聯(lián)網(wǎng)設(shè)備中進行，包括但不限于用戶終端通過云平臺進行用戶口令鑒別。詳細情況參見附錄A。非設(shè)備本地鑒別在本質(zhì)上是平臺代替智能聯(lián)網(wǎng)設(shè)備執(zhí)行了口令鑒別。因此，本標準中對于賬號和口令的安全技術(shù)要求在兩種情況下都適用?？诹钭鳛殍b別憑證與作為用戶身份標識的賬號相關(guān)聯(lián)，賬號安全是口令鑒別保護中非常重要的一個環(huán)節(jié)。本標準從賬號安全和口令安全兩個方面來提出保護的規(guī)則和要求，并且提出用戶安全的使用和管理賬號口令的指導(dǎo)。本標準凡涉及采用密碼技術(shù)解決保密性、完整性、真實性、不可否認性需求的應(yīng)遵循密碼相關(guān)國家標準和行業(yè)標準。6賬號安全關(guān)注的事項包括：；6.2賬號使用關(guān)注的事項包括：36.3賬號管理關(guān)注的事項包括：功能；所有用戶對賬號的所有操作均需要記錄日志，日志內(nèi)容包括用戶ID、IP地址、操作時間、操作內(nèi)容、操作結(jié)果等信息。7口令安全7.17.27.3口令生成關(guān)注的事項包括：1)口令長度不少于8個字符；2)口令允許的最大長度不少于64個字符；3)口令至少包含數(shù)字、小寫字母、大寫字母以及特殊字符中的兩類字符。令來激活設(shè)備，未激活的設(shè)備拒絕除激活以外的其他操作。注：“激活”是指設(shè)備第一次使用時由用戶設(shè)置符合口令復(fù)雜度要求的口令。醒用戶修改口令，直到修改初始口令為止。口令使用關(guān)注的事項包括：c者操作IP一段時間?？诹罟芾黻P(guān)注的事項包括：c4API態(tài)的功能；所有用戶對口令的所有操作均記錄日志，日志內(nèi)容包括用戶ID、IP地址、操作時間、操作內(nèi)容、操作結(jié)果等信息。8用戶安全關(guān)注的事項包括：1）不符合復(fù)雜度策略的口令；2）字典中的單詞；4）上下文相關(guān)的字眼，包括但不限于服務(wù)名稱、用戶名或其派生物。5通過云平臺進行口令鑒別是一種典型的非本地鑒別方式。云平臺的典型部署模式如圖A.1所示。圖A.1云平臺部署圖[1]GB/T22239—2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求[2]GB/T32399—2015信息技術(shù)云計算參考架構(gòu)[3]GB/T32400—2015信息技術(shù)云計算概覽與詞匯[4]GB/T33474—2016