安全協(xié)議與標(biāo)準(zhǔn)13-安全標(biāo)準(zhǔn)來源.ppt

安全協(xié)議與標(biāo)準(zhǔn) linfb 2009 12 安全標(biāo)準(zhǔn)與規(guī)范 RFCISOFIPSX9PKCSP1363NESSIE 安全標(biāo)準(zhǔn)inRFC 安全相關(guān)的協(xié)議與標(biāo)準(zhǔn)文件 當(dāng)屬RFC中的最全面 RFC中關(guān)于安全的文檔涉及多個方面 ByIETF IETFSecurityAreaWorkingGroups btnsBetter Than NothingSecuritydkimDomainKeysIdentifiedMailemuEAPMethodUpdatehokeyHandoverKeyingipsecmeIPSecurityMaintenanceandExtensionsismsIntegratedSecurityModelforSNMPkeyprovProvisioningofSymmetricKeyskittenKitten GSS APINextGeneration krb wgKerberosltansLong TermArchiveandNotaryServicesmsecMulticastSecurityneaNetworkEndpointAssessmentpkixPublic KeyInfrastructure X 509 saslSimpleAuthenticationandSecurityLayersmimeS MIMEMailSecuritysyslogSecurityIssuesinNetworkEventLoggingtlsTransportLayerSecurity 0 安全綜述 闡述了安全的概念 術(shù)語 需求 給出了一般化的考慮 建議和機(jī)制 如1675 2196 2323 2504 3631 4949等 1 密碼算法和協(xié)議 接口規(guī)范 比如RC2 2268 MD5 1321 PKCS RSA 3447 TLS 4346 IKE 4306 GSS API SASL等 2 認(rèn)證授權(quán)和訪問控制規(guī)范 如RADIUS 2865 Diameter 3588 Kerberos 等 3 應(yīng)用規(guī)范 PGP 4880 S MIME HTTPoverTLS 2818 IPSec VPN 等 4 其他規(guī)范 RFC Internet標(biāo)準(zhǔn) 中譯本 ISO ISO 關(guān)于OSI的安全需求 35 100 01 服務(wù)和機(jī)制 iso7498 密碼算法 35 040 安全管理 17799 等 ISO7498 2SecurityArchitectureISO10181SecurityframeworksforopensystemsISO11586Genericupperlayerssecurityhttp www iso org FIPS FIPS 包括DES 46 AES 197 DSS 186 HMAC 198 等 http csrc nist gov publications PubsFIPS html FIPS 140 FIPS140是密碼模塊安全性需求最為重要的標(biāo)準(zhǔn)之一 也是業(yè)界衡量密碼實(shí)現(xiàn)的準(zhǔn)則 如果機(jī)構(gòu)的信息或數(shù)據(jù)需要通過密碼的方式進(jìn)行保護(hù) 比如金融或者政府機(jī)構(gòu) 那么FIPS140 2標(biāo)準(zhǔn)則被適用 經(jīng)過該標(biāo)準(zhǔn)符合性評估認(rèn)證的產(chǎn)品模塊將滿足這些機(jī)構(gòu)的密碼系統(tǒng)技術(shù)要求 目前世界范圍很多機(jī)構(gòu)的IT產(chǎn)品采購和招標(biāo)要求中均提出了產(chǎn)品滿足FIPS140 2的需求 TheFIPS140areseriesofpublicationsnumbered140whichareaU S governmentcomputersecuritystandardsthatspecifyrequirementsforcryptographymodules AsofDecember2006 update thecurrentversionofthestandardisFIPS140 2 issuedon25May2001 http www itl nist gov fipspubshttp csrc nist gov groups STM cmvp index html FIPS140標(biāo)準(zhǔn)歷史和發(fā)展情況 CMVP TheCryptographicModuleValidationProgram CMVP isajointAmericanandCanadiansecurityaccreditationprogramforcryptographicmodules TheprogramisavailabletoanyvendorswhoseektohavetheirproductscertifiedforusebytheU S Governmentandregulatedindustries suchasfinancialandhealth careinstitutions thatcollect store transfer shareanddisseminate sensitive butnotclassfied information AllofthetestsundertheCMVParehandledbythird partylaboratoriesthatareaccreditedasCryptographicModuleTestingLaboratoriesbytheNationalVoluntaryLaboratoryAccreditationProgram NVLAP ProductcertificationsundertheCMVPareperformedinaccordancewiththerequirementsofFIPS140 2 TheCMVPwasestablishedbytheU S NationalInstituteofStandardsandTechnology NIST andtheCommunicationsSecurityEstablishment CSE oftheGovernmentofCanadainJuly1995 Validatedmoduleslist ValidatedFIPS140 1andFIPS140 2CryptographicModuleshttp csrc nist gov groups STM cmvp validation htmlhttp csrc nist gov groups STM cmvp documents 140 1 140val all htm OpenSSLFIPS140 2modulehttp www openssl org docs fips 與通用評估準(zhǔn)則 CC 的關(guān)系 CommonCriteria CC 是業(yè)界安全功能和安全保障評估的通用準(zhǔn)則 并實(shí)現(xiàn)了國際互認(rèn) 而在美國NIAP體系下的CC產(chǎn)品評估 如果產(chǎn)品包括密碼模塊或者密碼算法 該產(chǎn)品的CC認(rèn)證證書上將標(biāo)明該產(chǎn)品是否通過FIPS140認(rèn)證 事實(shí)上 CC和FIPS140標(biāo)準(zhǔn)相輔相成 存在強(qiáng)烈的相關(guān)性 但關(guān)注點(diǎn)各有側(cè)重 在FIPS140驗(yàn)證中 如果操作環(huán)境是可以更改的 那么CC的操作系統(tǒng)需求適用于安全級別2或者更高 CC和FIPS140 2標(biāo)準(zhǔn)分別關(guān)注產(chǎn)品測評的不同層面 FIPS140 2測評針對定義的密碼模塊 并提供4個級別的一系列符合性測評包 FIPS140 2描述了密碼模塊的需求 包括物理安全 密鑰管理 自評測 角色和服務(wù)等 該標(biāo)準(zhǔn)最初開發(fā)于1994年 早于CC標(biāo)準(zhǔn) 而CC是針對于具體的保護(hù)輪廓 PP 或者安全目標(biāo) ST 的評估 典型的模式是某個PP可能涉及廣泛的產(chǎn)品范圍 總之 CC評估不能替代FIPS140的密碼驗(yàn)證 FIPS140 2中定義的四個安全級別也不能夠直接與CC預(yù)定義的任何EAL級別或者CC功能需求相對應(yīng) CC認(rèn)證不能取代FIPS140的認(rèn)證 X9 ASC ANSIX9 制定了一些關(guān)系金融領(lǐng)域安全的標(biāo)準(zhǔn)和規(guī)范 如隨機(jī)數(shù)產(chǎn)生 X9 17 公鑰算法服務(wù)于金融業(yè) X9 63 等 http www x9 org standards PKCS PKCS系列標(biāo)準(zhǔn) RSA公司的標(biāo)準(zhǔn) P1363 IEEEP1363 制定關(guān)于橢圓曲線密碼算法等規(guī)范 http grouper ieee org groups 1363 NESSIE NESSIE 歐洲的密碼新標(biāo)準(zhǔn)計劃 TheNESSIEproject NewEuropeanSchemesforSignatures IntegrityandEncryption 2000 2003 evaluatescryptoalgorithms NESSIEhasselectedthefollowing12algorithmsfromthe42submissions inaddition 5wellestablishedstandardalgorithmshavebeenaddedtotheNESSIEportfolio indicatedwitha https www cosic esat kuleuven be nessie Blockciphers MISTY1 MitsubishiElectricCorp Japan Camellia NipponTelegraphandTelephoneCorp JapanandMitsubishiElectricCorp Japan SHACAL 2 Gemplus France AES AdvancedEncryptionStandard USAFIPS197 Rijndael Public keyencryption ACEEncrypt IBMZurichResearchLaboratory Switzerland PSEC KEM NipponTelegraphandTelephoneCorp Japan RSA KEM draftofISO IEC18033 2 MACalgorithmsandhashfunctions Two Track MAC K U Leuven BelgiumanddebisAG Germany UMAC IntelCorp USA Univ ofNevadaatReno USA IBMResearchLaboratory USA Technion IsraelandUniv ofCaliforniaatDavis USA CBC MAC ISO IEC9797 1 HMAC ISO IEC9797 1 Whirlpool ScopusTecnologiaS A BrazilandK U Leuven Belgium SHA 256 SHA 384 andSHA 512 USAFIPS180 2 Digitalsignaturealgorithms ECDSA CerticomCorp USAandCerticomCorp Canada RSA PSS RSALaboratories USA SFLASH Schlumberger France Identificationschemes GPS EcoleNormaleSup rieure Paris FranceT l comandLaPoste France SECG SECG 目前主要發(fā)布了一些關(guān)于ECC的規(guī)范 TheStandardsforEfficientCryptographyGroup SECG anindustryconsortium wasfoundedin1998t