GB/T 38626-2020 标准规范下载简介
GB/T 38626-2020 信息安全技术 智能联网设备口令保护指南ICS.35.040 L.80
GB/T 38626—2020
3D3S 基本操作手册Guide to password protection for intelligent connected device
国家市场监督管理总局 发布 国家标准化管理委员会
范围 规范性引用文件 术语和定义 缩略语 概述 账号安全 6.1 账号生成 6.2 账号使用 6.3 账号管理 6.4 日志 口令安全 7.1 口令生成 7.2 口令使用 7.3 口令管理 7.4 日志 用户安全 付录A(资料性附录) 非设备本地鉴别方式 参考文献.
本标准按照GB/11.1一2009给出的规则起草 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。 本标准起草单位:杭州海康威视数字技术股份有限公司、中国电子技术标准化研究院、北京信息安 全测评中心、中国信息安全测评中心、公安部第一研究所、公安部第三研究所、中国科学院信息工程研究 所、浙江大学、国家工业信息安全发展研究中心、国网浙江省电力有限公司、大华技术股份有限公司、阿 里巴巴网络技术有限公司、华为技术有限公司、深圳联想懂的通信有限公司、海尔集团、美的智慧家居科 技有限公司、北京洋浦伟业科技发展有限公司、杭州安恒信息技术有限公司、北京未来安全信息技术有 银公司、北京天融信网络安全技术有限公司、江苏省电力公司电力科学研究院, 本标准主要起草人:王滨、刘贤刚、许东阳、赵章界、陈学明、范科峰、成金爱、邸丽清、韩煜、刘继顺、 同兆腾、徐文渊、王冲华、姚一杨、万里、王星、张军昌、刘大鹏、黄敏、倪晓林、茹昭、张军、刘明君、陈兆全、 王英键李娜、姚植。
GB/T38626—2020
信息安全技术 智能联网设备口令保护指南
本标准给出了智能联网设备的账号和口令在生成、管理和使用等方面的安全技术指南。 本标准适用于指导智能联网设备生产制造商安全设计和实现口令保护功能,也适用于智能联网设 备的口令安全使用的监督、检查。
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件仅注日期的版 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T25069—2010信息安全技术术语
3.7 账号account 在特定上下文中,可以唯一标识主体身份的一段信息。 注:也称为用户名。 3.8 添加变量salt 作为单向函数或加密函数的二次输人而加人的随机变量,可用于计算口令鉴别数据, GB/T25069—2010,定义2.2.2.186
账号account 在特定上下文中,可以唯一标识主体身份的一段信息。 注:也称为用户名。 3.8 添加变量salt 作为单向函数或加密函数的二次输人而加人的随机变量SL/T 790-2020 水工隧洞安全鉴定规程(清晰无水印,附条文说明),可用于计算口令鉴别数据。 GB/T25069—2010,定义2.2.2.186
由于智能联网设备接人网络模式的不同,口令鉴别的实现方式可分为两种 设备鉴别,口令鉴别过程在智能联网设备中进行。 非设备本地鉴别,口令鉴别的过程不在智能联网设备中进行,包括但不限于用户终端通过云平 台进行用户口令鉴别。详细情况参见附录A。 非设备本地鉴别在本质上是平台代替智能联网设备执行了口令鉴别。因此,本标准中对于账号和 口令的安全技术要求在两种情况下都适用 口令作为鉴别凭证与作为用户身份标识的账号相关联,账号安全是口令鉴别保护中非常重要的 个环节。本标准从账号安全和口令安全两个方面来提出保护的规则和要求,并且提出用户安全的使用 和管理账号口令的指导。 本标准凡涉及采用密码技术解决保密性、完整性、真实性、不可否认性需求的应遵循密码相关国家 标准和行业标准。
GB/T38626—2020
所有用户对账号的所有操作均需要记录 容包括用户、地地、操准时值、操准 作结果等信息
I g 提供在忘记账号或者口令的情况下,通过物理按键或者其他的安全方式将设备恢复到出厂状 态的功能; h) 口令复杂度策略可配置T/CSCS030-2022 钢结构菱镁水泥防火装饰一体化板.pdf,支持管理员根据应用场景配置强化的口令复杂度策略; 具备显示口令安全强度的能力
所有用户对口令的所有操作均记录日志,日志内容包括用户ID、IP地址、操作时间、操作内 结果等信息