GB/T 38644-2020 标准规范下载简介
GB/T 38644-2020 信息安全技术 可信计算 可信连接测试方法简介:
GB/T 38644-2020《信息安全技术 可信计算 可信连接测试方法》是中国国家标准,由国家标准化管理委员会发布。该标准属于信息安全技术的范畴,专注于可信计算领域,具体关注的是可信连接的测试方法。
可信计算是一个新兴的概念,它主要是指在计算机系统中,通过硬件和软件的结合,实现对计算过程的保护,确保数据的完整性和操作的不可否认性。可信连接是可信计算的重要组成部分,它涉及到系统之间的安全通信,确保数据在传输过程中不被篡改,且通信双方的身份和行为可以被验证。
GB/T 38644-2020标准定义了可信连接测试的方法,包括但不限于对连接的加密、鉴权、完整性保护、防篡改能力、安全协议实现等方面进行评估。这些测试方法旨在确保系统的安全性,防止未经授权的访问和信息泄露,提升整体的信息安全保障水平。
具体来说,该标准可能会涵盖以下内容: 1. 测试目标和范围定义 2. 测试环境和设备要求 3. 测试方法和步骤 4. 测试数据和场景设计 5. 测试结果分析和评价 6. 测试报告编写和提交
遵循此标准,企业和组织可以确保其信息系统中的可信连接功能符合国家和行业的要求,提高网络通信的安全性。
GB/T 38644-2020 信息安全技术 可信计算 可信连接测试方法部分内容预览:
信息安全技术可信计算 可信连接测试方法
本标准依据GB/T29828一2013,规定了可信网络连接协议以及所涉及的密码算法的测试要求及 方法,包括如下内容: a)可信网络连接协议涉及的协议交互机制符合性测试要求及方法; b)可信网络连接协议涉及的密码算法实现的正确性测试要求及方法。 本标准适用于符合GB/T29828一2013的可信连接设备的测试,用于检测其密码算法及基于可信 连接架构TCA的可信网络连接协议的实现是否符合要求 X
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T15843.3信息技术安全技术实体鉴别第3部分:采用数字签名技术的机制 GB/T20518信息安全技术公钥基础设施数字证书格式 GB/T28455一2012信息安全技术引入可信第三方的实体鉴别及接人架构规范 GB/T29828一2013信息安全技术,可信计算规范可信连接架构 GB/T32905信息安全技术SM3密码杂凑算法 GB/T 329071 信息安全技术,SM4分组密码算法 GB/T 32915 信息安全技术二元序列随机性检测方法 GB/T32918(所有部分)信息安全技术SM2椭圆曲线公钥密码算法 GB/T 35276 信息安全技术SM2密码算法使用规范 GM/T0042—2015 三元对等密码安全协议测试规范 GM/T 0062—2018 密码产品随机数检测要求
GB/T29828一2013界定的以及下列术语和定义适用于本文件。为了便于使用,以下重复列出了 GB/T29828一2013中的一些术语和定义。 3.1 被测设备testedequipment 实现了可信网络连接协议的测试对象。 3.2 测试平台testplatform 对可信网络连接协议进行测试,具有可信网络连接协议以及所涉及的密码算法的测试能力,收集和分 析处理测试数据,按照测试规范的要 对判断结果进行呈现并记录的平台
基础钎探技术交底下列缩略语适用于本文件
GB/T38644—2020
5.1协议交互机制符合性和互操作性要求
5.1.2TAEP协议封装要求
5.1.3TAEPoL封装协议要求
GB/T28455一2012第6章定义了请求者PAE和鉴别访问控制器PAE之间负载TAEP分组白 技术。该封装为链路上的TAEP封装TAEPoL,使用0x891b的以太类型字段
5.1.4底层、传输层协议封装要求
1.5可信连接架构要求
GB/T29828一2013第5章规定的TCA中涉及的实体主要有AR、AC、PM。TCA包括网络认 制层、可信平台评估层、完整性度量层。AR请求访问受保护网络,AC控制AR对受保护网络的 PM对AR和AC进行集中管理。AR和AC基于PM来实现AR和AC之间的双向用户身份!
和平台鉴别,其中平台鉴别包括平台身份鉴别和平台完整性评估,PM在用户身份鉴别和平台鉴别过程 中充当可信第三方TTP。 可信网络连接协议符合性和互操作性要求主要针对AR、AC、PM三种功能实体,规定了各功能实 本应满足的技术要求以及测试方法
5.2密码算法实现的正确性要求
可信网络连接协议中所使用的密码算法应符合GB/T29828一2013及国家密码管理主管部门相关 要求,密码算法的实现应满足: 可信网络连接协议中使用的对称密码算法,其运算结果应与国家密码相关标准中所规定的对 应算法运算要求一致,包括加密、解密等。 b)可信网络连接协议中使用的非对称密码算法,其运算结果应与国家密码相关标准中所规定的 对应算法运算要求一致,包括加密、解密、密钥交换、签名和验签等。 可信网络连接协议中使用的杂凑算法,其运算结果应与国家密码相关标准中所规定的对应算 法运算要求一致。 d 可信网络连接协议中使用的密码算法性能应满足产品应用的特定场景需求和国家密码管理相 关规定。
可信网络连接协议涉及ARAC、PM三种协议实体。可信网络连接协议测试拓扑中除测试平 还有三种测试角色:被测设备、基准设备、辅助设备。开展测试时,由被测设备和辅助设备提供测 居。协议实体与测试角色的对应关系见表1。
表1协议实体与测试角色的对应关系
6.2.2AR测试拓扑
针对AR的测试拓扑见图1,被测设备为AR,基准设备为AC,辅助设备为PM。 辅助设备PM和基准设备AC连接,基准设备AC与被测设备AR连接;由辅助设备PM和被测 AR将执行可信网络连接协议过程中收发的数据提供给测试平台
GB/T 38644—2020
6.2.3AC测试拓邦
针对AC的测试拓扑见图2,被测设备为AC,基准设备为AR,辅助设备为PM。 辅助设备PM和被测设备AC连接,基准设备AR与被测设备AC连接;由辅助设备PM和被测设 备AC将执行可信网络连接协议过程中收发的数据提供给测试平台
6.2.4PM测试拓扑
针对PM的测试拓扑见图3,被测设备为PM,基准设备应同时提供AC和AR,无辅助设备。 被测设备PM和基准设备AC连接,基准设备AR与基准设备AC连接;由被测设备PM将执行可 言网络连接协议过程中收发的数据提供给测试平台
本标准依据GM/T0042—2015和GB/T29828—2013,对可信网络连接协议规范其测试要求
本标准中的功能实体在实际网络中可以是多个实体设备DB43∕T 1879-2020 城镇住宅室内装饰装修设计规范,也可以集成在一个实体设备中。 结合GB/T29828一2013,本标准中合法平台是指设备的平台证书合法且设备的平台完整性符合 平台完整性策略要求;可修补非法平台指设备的平台证书合法,但设备平台完整性不符合平台完整性策 咯且能修补;不可修补非法平台指设备的平台证书非法或者设备的平台完整性不符合平台完整性策略
7协议交互机制符合性和互操作性测试方法
7.1端口访问控制测试
7.1.1AR端口访问控制测试
当被测设备为AR时,测试拓扑见图1,应按如下步骤对基准设备AC、辅助设备PM开展测试: a)搭建测试网络,将被测设备AR、基准设备AC和辅助设备PM按照6.2.2测试拓扑连接,配置 被测设备AR和基准设备AC的受控端口为自动模式,配置平台鉴别功能开启;配置AC对 AR的平台完整性评估策略,配置AR对AC的平台完整性评估策略。 b)为被测设备AR安装合法身份证书,配置被测设备AR平台为合法平台;为基准设备AC安装 合法身份证书,配置基准设备AC平台为合法平台;被测设备AR、基准设备AC和辅助设备 PM执行可信网络连接协议。 检查被测设备AR的受控端口在鉴别完成前和鉴别完成后的状态是否符合TCA要求,即鉴别 完成后被测设备AR的受控端口(应用服务受控端口)为授权,被测设备AR可以通过基准设 备AC访问网络应用服务。 d)为被测设备AR安装合法身份证书,配置被测设备AR平台为合法平台;为基准设备AC安装 合法身份证书,配置基准设备AC平台为可修补非法平台;被测设备AR、基准设备AC和辅助 设备PM执行可信网络连接协议。 e) 检查被测设备AR的受控端口在鉴别完成前和鉴别完成后的状态是否符合TCA要求,即鉴别 完成后被测设备AR的受控端口(隔离服务受控端口)为授权,被测设备AR可以通过基准设 备AC访问隔离修补服务。 f 为被测设备AR安装合法身份证书,配置被测设备AR平台为合法平台;为基准设备AC安装 合法身份证书,配置基准设备AC平台为不可修补非法平台;被测设备AR、基准设备AC和辅 助设备PM执行可信网络连接协议 名 检查被测设备AR的受控端口在鉴别完成前和鉴别完成后的状态是否符合TCA要求,即鉴别 完成后被测设备AR的受控端口为非授权,被测设备AR无法通过基准设备AC访问任何网 络服务。 h)为被测设备AR安装合法身份证书,配置被测设备AR平台为合法平台;为基准设备AC安装 非法身份证书,配置基准设备AC平台为合法平台;被测设备AR、基准设备AC和辅助设备 PM执行可信网络连接协议
GB/T 38644—2020
检查被测设备AR的受控端口在鉴别完成前和鉴别完成后的状态是否符合TCA要求,即鉴别 完成后被测设备AR的受控端口为非授权,被测设备AR无法通过基准设备AC访问任何网 络服务。 1 为被测设备AR安装合法身份证书,配置被测设备AR平台为合法平台;为基准设备AC安装 非法身份证书,配置基准设备AC平台为非法平台;被测设备AR、基准设备AC和辅助设备 PM执行可信网络连接协议。 k)检查被测设备AR的受控端口在鉴别完成前和鉴别完成后的状态是否符合TCA要求GB/T 50621-2010标准下载,即鉴别 完成后被测设备AR的受控端口为非授权,被测设备AR无法通过基准设备AC访问任何网 络服务。
7.1.2AC端口访问控制测试