安全数据库产品密码检测准则

安全数据库产品密码检测准则CipherTestCriteriaforCipherTestCriteriaforCipherTestCriteriaforCipherTestCriteriaforSecureSecureSecureSecureDatabaseDatabaseDatabaseDatabaseSystemSystemSystemSystemssss国家密码管理局商用密码检测中心2002002002009999年年年年4444月月月月安全数据库产品密码检测准则1目次1范围......................................................................................................................................................22规范性引用文件...................................................................................................................................23术语、定义和缩略语............................................................................................................................24检测内容..............................................................................................................................................34.1密码算法的正确性和一致性检测.......................................................................................................34.2密码功能应用有效性检测..................................................................................................................34.3密钥管理检测....................................................................................................................................54.4密码性能检测....................................................................................................................................64.5随机数质量检测................................................................................................................................64.6素性检测...........................................................................................................................................65文档要求..............................................................................................................................................65.1系统框架结构.....................................................................................................................................65.2密码子系统框架结构.........................................................................................................................65.3密码子系统函数接口.........................................................................................................................75.4密码子系统函数接口示例代码..........................................................................................................75.5源代码...........................................................................................................................................85.6不存在隐式通道的声明.....................................................................................................................85.7密码自测试或自评估报告..................................................................................................................8附录A静态库、动态库及类似封装形式说明表示例...............................................................................9安全数据库产品密码检测准则2安全数据库产品密码检测准则1范围范围范围范围本准则规定了安全数据库产品的密码检测内容，适用于政府采购法规定范围内的安全数据库产品的密码检测。2规范性引用文件规范性引用文件规范性引用文件规范性引用文件下列文件中的条款通过本准则的引用而成为本准则的条款。凡是标注日期的引用文件，其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本准则，然而，鼓励根据本准则达成协议的各方研究是否可使用这些文件的最新版本。凡是不标注日期的引用文件，其最新版本适用于本准则。GB/T20273-2006信息安全技术数据库管理系统安全技术要求《随机性检测规范》国家密码管理局3术语术语术语术语、、、、定义定义定义定义和缩略语和缩略语和缩略语和缩略语3.1术语和定义术语和定义术语和定义术语和定义3.1.1安全数据库产品安全数据库产品安全数据库产品安全数据库产品SecureDatabaseSystem本准则所指的安全数据库产品是指从系统设计、实现、使用和管理等各个阶段都遵循一套完整的系统安全策略，并实现了GB17859-1999《计算机信息系统安全保护等级划分准则》所确定的安全等级三级（含）以上的数据库。包括独立的安全数据库产品软件产品和集成或内置了安全数据库的产品。3.1.2对称密码对称密码对称密码对称密码算法算法算法算法SymmetricCryptographicAlgorithm加密密钥与解密密钥相同，或容易由其中任意一个密钥推导出另一个密钥，称该密码算法为对称密码算法。3.1.3非非非非对称密码对称密码对称密码对称密码算法算法算法算法AsymmetricCryptographicAlgorithm加解密使用不同密钥的密码算法。其中一个密钥（公钥）可以公开，另一个密钥（私钥）必须保密，且由公钥求解私钥是计算不可行的。3.1.4杂凑算法杂凑算法杂凑算法杂凑算法HashFunction杂凑算法又称为散列算法、哈希算法或数据摘要算法，将一个任意长的比特串映射到一个固定长的比特串的一类函数。3.1.5密钥管理密钥管理密钥管理密钥管理KeyManagement在既定安全策略指导下密钥的生成、分发、存储、使用、更新、导入与导出、备份、恢复、归档和销毁。3.1.6测试对象测试对象测试对象测试对象TargetofTesting本准则测试对象专指安全数据库产品。安全数据库产品密码检测准则33.1.7隐式通道隐式通道隐式通道隐式通道CovertChannel可用来按照违反安全策略的方式传送数据的传输通道。3.1.8调试版本调试版本调试版本调试版本DebugProduct以调试模式编译的、带有调试信息的最终版本。3.2缩略语缩略语缩略语缩略语SSODBSecuritySubsystemofDatabaseSystem数据库系统安全子系统SSFSSODBSecurityFunctionSSODB安全功能4检测检测检测检测内容内容内容内容4.1密码算法密码算法密码算法密码算法的的的的正确性和一致性检测正确性和一致性检测正确性和一致性检测正确性和一致性检测安全数据库产品使用的密码算法应由密码硬件模块提供，密码硬件模块应从《商用密码通用产品名单》中选用。密码算法的正确性和一致性应满足：（1）对称密码算法的正确性和一致性安全数据库产品使用的对称密码算法，其运算结果应与标准数据和算法的标准运算结果相符。（2）非对称密码算法的正确性和一致性安全数据库产品使用的非对称密码算法，其运算结果应与标准数据和算法的标准运算结果相符。（3）杂凑算法的正确性和一致性安全数据库产品使用的杂凑算法，其运算结果应与标准数据和算法的标准运算结果相符。4.2密码功能密码功能密码功能密码功能应用应用应用应用有效性有效性有效性有效性检测检测检测检测安全数据库产品中密码功能应用有效性应满足：4.2.1身份鉴别身份鉴别身份鉴别身份鉴别（1）基于强化管理的身份鉴别用户登录系统采用强化管理的口令进行身份鉴别时，可使用密码，其密码功能应正确有效；系统重新连接采用强化管理的口令进行身份鉴别时，可使用密码，其密码功能应正确有效。（2）基于令牌的动态口令身份鉴别用户登录系统采用基于令牌的动态口令进行身份鉴别时，可使用密码，其密码功能应正确有效；系统重新连接采用基于令牌的动态口令进行身份鉴别时，可使用密码，其密码功能应正确有效。（3）基于生物特征的身份鉴别用户登录系统使用生物特征进行身份鉴别时，可使用密码，其密码功能应正确有效；系统重新连接使用生物特征进行身份鉴别时，可使用密码，其密码功能应正确有效。（4）基于数字证书的身份鉴别用户登录系统使用数字证书进行身份鉴别时，其密码功能应正确有效；系统重新连接使用数字证书进行身份鉴别时，其密码功能应正确有效。（5）身份鉴别信息的存储安全数据库产品对身份鉴别信息进行存储时，应使用密码进行安全保护，其密码功能应正确有效。（6）身份鉴别信息的传输安全数据库产品对身份鉴别信息进行传输时，应使用密码进行安全保护，其密码功能应正确有效。安全数据库产品密码检测准则44.2.2自主访问控制自主访问控制自主访问控制自主访问控制安全数据库产品自主访问控制使用密码功能进行身份鉴别时，其使用的密码功能应正确有效。4.2.3强制