信息安全技术 智能联网设备口令保护指南 GBT 38626-2020.pdf

GB/T38626-2020目次前言】范围2规范性引用文件13术语和定义14缩略语25概述6账号安全26,10账号生成用89n8999389书9行99男8男9n8262账号使用26.3账号管理n0g8000000n80n0000g000806.4日志7口令安全7.1口令生成7.2口令使用37.3口令管理74日志8用户安全附录A(资料性附录)非设备本地鉴别方式5分考义款”6GB/T38626-20203.7账号account在特定上下文中，可以唯一标识主体身份的一段信息。注：也称为用户名，3.8添加变量salt作为单向函数或加密函数的二次输入而加入的随机变量，可用于计算口令鉴别数据。GB/T25069一2010，定义2.2.2.1864缩略语下列缩略语适用于本文件。API:应用程序编程接口(Application Programming Interface)ID:身份标识号(IDentity)IP:互联网协议(Internet Protocol)5概述由于智能联网设备接入网络模式的不同，口令鉴别的实现方式可分为两种：一设备鉴别，口令鉴别过程在智能联网设备中进行。一非设备本地鉴别，口令鉴别的过程不在智能联网设备中进行，包括但不限于用户终端通过云平台进行用户口令鉴别。详细情况参见附录A,非设备本地鉴别在本质上是平台代替智能联网设备执行了口令鉴别。因此，本标准中对于账号和口令的安全技术要求在两种情况下都适用。口令作为鉴别凭证与作为用户身份标识的账号相关联，账号安全是口令鉴别保护中非常重要的一个环节。本标准从账号安全和口令安全两个方面来提出保护的规则和要求，并且提出用户安全的使用和管理账号口令的指导。本标准凡涉及采用密码技术解决保密性、完整性、真实性、不可否认性需求的应遵循密码相关国家标准和行业标准。6账号安全6.1账号生成关注的事项包括：)设备中账号具有唯一性：)在新建或修改账号时，提供命名规则检查功能，包括但不限于特殊字符限制。6.2账号使用关注的事项包括：)所有账号都需要向设备管理员公开，设备或者平台厂商不能隐载后门账号：b)禁用或删除设备中集成的第三方或开源软件中不使用的账号。