《T_WAPIA 048-2023 信息系统无线局域网密码应用基本要求.docx》由会员分享,可在线阅读,更多相关《T_WAPIA 048-2023 信息系统无线局域网密码应用基本要求.docx(12页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、ICS35.030CCSL80团体标准T/WAPIA0482023信息系统无线局域网密码应用基本要求Baselineforwirelesslocalareanetworkcryptographyapplicationininformationsystem2023-06-06发布2023-06-06实施中关村无线网络安全产业联盟发布IT/WAPIA0482023目次版权声明.I前言.V引言.VII1范围.12规范性引用文件.13术语和定义.14缩略语.25概述.25.1信息系统无线局域网.25.2无线局域网网络通信要素.25.3密码应用基本要求等级.36通用要求.37基本要求.47.1第一级密码
2、应用基本要求.47.2第二级密码应用基本要求.47.3第三级密码应用基本要求.47.4第四级密码应用基本要求.4附录A(资料性)无线局域网密钥生存周期管理.6A.1设备密钥.6A.2其他密钥.6附录B(资料性)无线局域网鉴别机制.7参考文献.8IIIT/WAPIA0482023前言本文件按照GB/T1.12020标准化工作导则第1部分:标准化文件的结构和起草规则的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中关村无线网络安全产业联盟与工业和信息化部宽带无线IP标准工作组联合提出。本文件由无线网络安全标准化委员会归口。本文件起草单位:中关村无线网络
3、安全产业联盟、北京数字认证股份有限公司、西安西电捷通无线网络通信股份有限公司、无线网络安全技术国家工程研究中心、中国电力科学研究院有限公司、广西电网电力调度控制中心、华为技术有限公司、陕西省网络与信息安全测评中心、北京紫光展锐科技有限公司、西安芯语慧联信息科技有限公司、广西通量能源技术有限公司、北京兴汉网际股份有限公司、工业和信息化部宽带无线IP标准工作组。本文件主要起草人:潘琪、王立华、张璐璐、侯鹏亮、简练、黄振海、张国强、张变玲、刘婷、郑亚杰、童伟刚、范小伟、李琴、颜湘、杜志强、林凡、肖龙、米东、郑骊、周涛、周园、刘剑昕、张志海、林和昀、阳佑敏、马卓元、曹永峰、胡霄亮、季晨荷、周晓萌、李丛
4、蓉、韦利娜、贺燚。VT/WAPIA0482023引言GB/T397862021信息安全技术信息系统密码应用基本要求适用于指导、规范信息系统密码应用的规划、建设、运行及测评,并提出了各领域与行业可结合该领域与行业的密码应用需求来指导、规范信息系统密码应用的原则。本文件在上述原则基础上,充分研究分析密码应用规范性要素,结合信息系统建设机构、运营机构对无线局域网(WLAN)的密码应用需求,以及WLAN产品开发商、生产商、技术研究机构等的密码应用能力,从技术要求和管理要求的多个层面,规定了信息系统中WLAN密码应用的基本要求。本文件可为应用了WLAN网络的信息系统的建设机构、运营机构进行WLAN网络的
5、建设运营,为WLAN产品开发商依法进行WLAN产品的设计研发提供准确、完整的指导,确保相关产品密码应用环节的合规性、一致性和互通性,为信息系统提供安全保障。VIIT/WAPIA0482023信息系统无线局域网密码应用基本要求1范围本文件规定了信息系统中WLAN网络的密码应用通用要求,并针对WLAN网络的通信主体、通信信道及提供通信保护功能的设备提出了第一级到第四级的密码应用基本要求。本文件适用于应用了WLAN网络的信息系统的规划、建设、运行及测评。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引
6、用文件,其最新版本(包括所有的修改单)适用于本文件。GB15629.11(所有部分)信息技术系统间远程通信和信息交换局域网和城域网特定要求第11部分:无线局域网媒体访问控制和物理层规范GB/T37092信息安全技术密码模块安全要求GB/T397862021信息安全技术信息系统密码应用基本要求T/WAPIA046无线局域网安全技术规范3术语和定义GB/T397862021界定的以及下列术语和定义适用于本文件。3.1密码模块cryptographymodule实现密码运算功能,相对独立的软件、硬件、固件或这三者组合。来源:GB/T250692022,3.3793.2设备密钥devicekeypai
7、r存储在设备内部的用于设备管理的非对称密钥对,包含签名密钥对和加密密钥对。来源:GB/T363222018,3.43.3WAPI标准体系WAPIstandardsystem规范、引用和采用WAPI的国家标准、行业标准、团体标准及国际标准等的集合。3.4无线局域网鉴别基础结构WLANauthenticationinfrastructure用于无线局域网接入控制的身份鉴别和密钥管理安全方案。来源:T/WAPIA0462021,3.213.5无线局域网鉴别与保密基础结构WLANauthenticationandprivacyinfrastructure由无线局域网鉴别基础结构(WAI)和无线局域网保
8、密基础结构(WPI)组成,为无线局域网接入点、终端提供对等身份鉴别和数据机密性服务。来源:T/WAPIA0462021,3.223.6无线局域网保密基础结构WLANprivacyinfrastructure用于无线局域网中数据传输保护的安全方案,包括数据加密、数据鉴别和重放保护等功能。来源:T/WAPIA0462021,3.271T/WAPIA04820234缩略语下列缩略语适用于本文件。AC接入点控制器(APcontroller)AP无线接入点(accesspoint)AS鉴别服务器(authenticationserver)CIS证书签发服务器(certificateissueserver
9、)PDU协议数据单元(protocoldataunit)STA站(点)(station)WAI无线局域网鉴别基础结构(WLANauthenticationinfrastructure)WAPI无线局域网鉴别与保密基础结构(WLANauthenticationandprivacyinfrastructure)WLAN无线局域网(wirelesslocalareanetwork)WPI无线局域网保密基础结构(WLANprivacyinfrastructure)5概述5.1信息系统无线局域网GB/T397862021中将信息系统密码应用要求划分为若干安全层面,每个安全层面对应的信息系统要素和组成见图
10、1。图1信息系统要素和组成图本文件是针对信息系统网络和通信安全层面中的WLAN网络提出的密码应用技术要求,对于可能涉及WLAN网络的其它安全层面要求,应符合GB/T397862021中的相应要求。针对建设运行层面中的无线局域网密钥生存周期管理见附录A。5.2无线局域网网络通信要素信息系统无线局域网网络通信要素包括三个方面:网络通信主体、网络通信信道,和其它提供安全保护功能的设备和服务。WLAN网络通信要素示意见图2。2T/WAPIA0482023图2WLAN网络通信要素示意a)网络通信主体1)独立的无线局域网设备,如STA、AP;2)集成或内置了无线局域网模块的设备,如智能移动通信终端、平板式
11、计算机、智能家电等。注:本文件中以STA、AP表示网络通信主体。b)网络通信信道在WLAN通信主体之间实现安全传输PDU的媒体。c)其它提供安全保护功能的设备和服务包括无线局域网特有的网络设备,如AS、CIS、AC,以及提供无线局域网密码服务的密码产品,例如密码模块等。此类设备和服务不具备独立完成无线局域网功能的能力,但能够协同网络通信主体完成无线局域网功能,并协同提供安全保护能力。5.3密码应用基本要求等级GB15629.11(所有部分)和T/WAPIA046中规定了无线局域网的安全机制,包括WAI鉴别和密钥管理、WPI数据保密等,这些安全机制使用相应的密码技术,从机密性、完整性、真实性、不
12、可否认性四个密码安全功能维度来保护具体的应用对象。依据不同的安全机制和密码技术,信息系统无线局域网密码应用划分为自低向高的四个等级,用一、二、三、四表示,该等级与GB/T397862021中的等级对应关系如下:a)若信息系统符合GB/T397862021中规定的第一级密码应用基本要求,则其WLAN部分应符合本文件中规定的第一级密码应用基本要求;b)若信息系统符合GB/T397862021中规定的第二级密码应用基本要求,则其WLAN部分应符合本文件中规定的第二级密码应用基本要求;c)若信息系统符合GB/T397862021中规定的第三级密码应用基本要求,则其WLAN部分应符合本文件中规定的第三级
13、密码应用基本要求;d)若信息系统符合GB/T397862021中规定的第四级密码应用基本要求,则其WLAN部分应符合本文件中规定的第四级密码应用基本要求。6通用要求第一级到第四级的信息系统无线局域网密码应用应符合GB/T397862021中第5章和以下通用要求:a)WLAN网络通信主体,以及使用的安全机制和密码技术应符合WAPI标准体系的要求;3T/WAPIA0482023b)WLAN中使用的提供安全保护功能的设备,应符合WAPI标准体系的要求和相关国家标准、行业标准、团体标准的要求;c)WLAN中使用的密码服务,应符合法律法规的相关要求,需依法接受检测认证的,应经商用密码认证机构认证合格。7
14、基本要求7.1第一级密码应用基本要求信息系统无线局域网第一级密码应用应符合以下要求:a)应采用密码技术对STA和AP进行身份鉴别。该密码技术应采用国家密码管理部门批准的密码算法,应采用GB15629.11(所有部分)或T/WAPIA046中规定的无线局域网鉴别机制;b)应采用密码技术保证STA与AP间通信过程中数据的完整性和机密性。该密码技术应采用国家密码管理部门批准的密码算法,应采用GB15629.11(所有部分)或T/WAPIA046中规定的WPI数据保密机制。注:无线局域网鉴别机制见附录B。7.2第二级密码应用基本要求信息系统无线局域网第二级密码应用应符合以下要求:a)应采用密码技术对S
15、TA和AP进行身份鉴别。该密码技术应采用国家密码管理部门批准的密码算法,应采用GB15629.11(所有部分)或T/WAPIA046中规定的无线局域网鉴别机制;b)应采用密码技术保证STA与AP间通信过程中数据的完整性和机密性。该密码技术应采用国家密码管理部门批准的密码算法,应采用GB15629.11(所有部分)或T/WAPIA046中规定的WPI数据保密机制;c)以上如采用密码产品,该密码产品应达到GB/T37092一级及以上安全要求。7.3第三级密码应用基本要求信息系统无线局域网第三级密码应用应符合以下要求:a)应采用密码技术对STA和AP进行身份鉴别。该密码技术应采用国家密码管理部门批准
16、的密码算法,应采用GB15629.11(所有部分)或T/WAPIA046中规定的基于证书的无线局域网鉴别机制,并且采用AS提供的鉴别服务;b)应采用密码技术保证STA与AP间通信过程中数据的完整性和机密性。该密码技术应采用国家密码管理部门批准的密码算法,应采用GB15629.11(所有部分)或T/WAPIA046中规定的WPI数据保密机制;c)宜采用密码技术保证AP与AC间通信过程中的数据的完整性;d)宜采用密码技术对STA、AP通信实体证书的分发过程进行保护,保证证书的安全传输和安全管理;e)以上如采用密码产品,该密码产品应达到GB/T37092二级及以上安全要求。7.4第四级密码应用基本要
17、求信息系统无线局域网第四级密码应用应符合以下要求:a)应采用密码技术对STA和AP进行身份鉴别。该密码技术应采用国家密码管理部门批准的密码算法,应采用T/WAPIA046中规定的增强证书鉴别机制,并且采用AS提供的鉴别服务;b)应采用密码技术保证STA与AP间通信过程中数据的完整性和机密性。该密码技术应采用国家密码管理部门批准的密码算法,应采用T/WAPIA046中规定的WPI数据保密机制;c)宜采用密码技术保证AP与AC间通信过程中的数据的完整性;4T/WAPIA0482023d)宜采用T/WAPIA038中规定的协议和密码技术对STA、AP通信实体证书的分发过程进行保护,保证证书的安全传输
18、和安全管理;e)宜采用密码技术(例如GM/T00142012的5.35.6中规定的相关协议)保证AS与CIS间通信过程中的数据的完整性和机密性;f)宜采用T/WAPIA046中规定的带有身份保护功能的身份鉴别协议,保证STA、AP通信实体身份隐私信息不被泄露;g)以上如采用密码产品,该密码产品应达到GB/T37092三级及以上安全要求。5T/WAPIA0482023附录A(资料性)无线局域网密钥生存周期管理A.1设备密钥本文件中设备密钥指WLAN设备在GB15629.11(所有部分)或T/WAPIA046规定的基于证书的鉴别机制场景下,进行WAPI安全鉴别所使用的密钥。需要进行密钥管理的WLA
19、N设备包括网络通信主体设备(如STA、AP),以及其它提供安全保护功能的部分设备(如AS、CIS)。信息系统中WLAN密码应用的密钥体系由业务系统根据密码应用需求在密码应用方案中明确,并在密码应用实施中落实,并对WLAN设备密钥的全生命周期进行管理,保证私钥不被非授权的访问、使用、泄露、修改和替换,保证公钥不被非授权的修改和替换。WLAN设备密钥管理包括密钥的产生、存储、分发、导入与导出、使用、备份与恢复、归档、销毁等环节。a)密钥产生WLAN设备密钥在符合GB/T37092规定的密码模块内部产生是十分必要的。b)密钥存储WLAN设备私钥不以明文方式存储在密码模块外;WLAN设备公钥可以以数字
20、证书的形式在密码模块外存储。c)密钥分发WLAN设备私钥不进行分发;WLAN设备公钥可以以数字证书的形式分发。d)密钥导入与导出WLAN设备私钥不进行导入与导出;WLAN设备公钥可以以数字证书的形式导入与导出。e)密钥使用WLAN设备密钥明确用途后按用途正确使用;在使用WLAN设备公钥前对其进行验证。f)密钥备份与恢复WLAN设备密钥如果有密码备份和恢复需求,有必要制定明确的密钥备份恢复策略,利用密码模块的密钥备份恢复机制对密钥进行备份或恢复;密钥的备份与恢复有必要生成审计信息,审计信息包括备份或恢复的主体、备份或恢复的时间等。g)密钥归档WLAN设备密钥如果有归档需求,有必要采取有效的安全措
21、施,保证归档密钥的安全性和正确性;归档密钥只能用于解密该密钥加密的历史信息或验证该密钥签名的历史信息。密钥的归档有必要生成审计信息,审计信息包括归档的密钥、归档的时间等。h)密钥销毁对于CIS等密钥颁发设备,具有在紧急情况下销毁密钥的措施是十分必要的。A.2其他密钥信息系统WLAN其他密钥(非设备密钥)的密钥生存周期管理见GB/T397862021中附录B。6T/WAPIA0482023附录B(资料性)无线局域网鉴别机制GB15629.11(所有部分)和T/WAPIA046中规定了四种WLAN鉴别机制,包括:a)WAI预共享密钥鉴别和密钥管理;b)WAI增强预共享密钥鉴别和密钥管理;c)WAI证书鉴别和密钥管理;d)WAI增强证书鉴别和密钥管理。其中a)和b)为基于预共享密钥的鉴别机制,c)和d)为基于证书的鉴别机制。7T/WAPIA0482023参考文献1GB/T250692022信息安全技术术语2GB/T363222018信息安全技术密码设备应用接口规范3GM/T00142012数字证书认证系统密码协议规范4T/WAPIA0382019信息安全技术终端实体证书管理_8