首页 > 通信行业标准(YD) > YD/T 2665-2013 通信存储介质(SSD)加密安全测试方法
YD/T 2665-2013

基本信息

标准号: YD/T 2665-2013

中文名称:通信存储介质(SSD)加密安全测试方法

标准类别:通信行业标准(YD)

标准状态:现行

出版语种:简体中文

下载格式:.zip .pdf

下载大小:1939773

相关标签: 通信 存储介质 SSD 加密 安全 测试方法

标准分类号

关联标准

出版信息

相关单位信息

标准简介

YD/T 2665-2013.The test method for security of communications solid state disk(SSD) encryption.
1范围
YD/T 2665规定了通信存储介质(SSD)加密安全测试方法,包括设备缺省设置、启动流程、身份认证、加/解密算法、密钥管理等相关测试内容。本标准中出现的所有未指明的受测设备、加密硬盘等均特指用
于通信领域的SSD类存储设备。
YD/T 2665适用于通用的通信存储介质(SSD)产品的加密安全特性的测试。不支持用户数据加密功能的SSD不适用本标准。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
YD/T 2390-2011通信存储介质(SSD)加密安全技术要求
NIST SP 800-22rev1a加密应用的随机数和伪随机数统计测试套件(A Statistical Test Suite for Random and Pseudorandom Number Generators for Cryptographic Applications)
3术语、 定义和缩略语
3.1术语和定义
下列术语和定义适用于本文件。
3.1.1
对称密码算法Symmetric Cryptographic Algorithm
加密密钥与解密密钥相同,或容易由其中任意- -个密钥推导出另一一个密钥的密码算法。
3.1.2
杂凑算法Hash Function
能够将一个任意长的比特串映射到- -个固定长的比特串的一类函数,又称为散列算法、哈希算法或数据摘要算法。
3.1.3
用户密钥User Key
设备日常使用过程中,用户用于身份认证的密钥。

标准图片预览






标准内容

ICS35.220
中华人民共和国通信行业标准
YD/T2665-2013
通信存储介质(SSD)加密安全测试方法The test method for security of communications solid statedisk(ssD)encryption
2013-10-17发布
2014-01-01实施
中华人民共和国工业和信息化部发布前言
1范围
2规范性引用文件
3术语、定义和缩略语
3.1术语和定义
3.2缩略语
4测试概述
4.1功能接口:
4.2测试环境
5测试方法·
缺省设置
模式选择与初始化·
5.3工作流程
5.4身份认证
加解密算法
密钥管理
YD/T2665-2013
YD/2665-2013
本标准是通信存储安全系列标准之一,该系列标准的名称及预计结构如下:—《IP存储网络安全技术要求》《IP存储网络安全测试方法》
《通信虚拟磁带库(VTL)安全技术要求》《通信虚拟磁带库(VTL)安全测试方法》《通信存储介质(SSD)加密安全技术要求》《通信存储介质(SSD)加密安全测试方法》随着灾备相关技术和业务的发展,还将制定后续相关标准。本标准按照GB/T1.1-2009给出的规则起草。本标准由中国通信标准化协会提出并归口。本标准起草单位:工业和信息化部电信研究院。本标准主要起草人:杨剑锋、鲁冬雪。1范围
通信存储介质(SSD)加密安全测试方法YD/T2665-2013
本标准规定了通信存储介质(SSD)加密安全测试方法,包括设备缺省设置、启动流程、身份认证、加/解密算法、密钥管理等相关测试内容。本标准中出现的所有未指明的受测设备、加密硬盘等均特指用于通信领域的SSD类存储设备。
本标准适用于通用的通信存储介质(SSD)产品的加密安全特性的测试。不支持用户数据加密功能的SSD不适用本标准。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。YD/T2390-2011
通信存储介质(SSD)加密安全技术要求NISTSP800-22revla加密应用的随机数和伪随机数统计测试套件(AStatisticalTestSuiteforRandomandPseudorandomNumberGeneratorsforCryptographicApplications)3术语、定义和缩略语
3.1术语和定义
下列术语和定义适用于本文件。3.1.1www.bzxz.net
对称密码算法SymmetricCryptographicAlgorithm加密密钥与解密密钥相同,或容易由其中任意一个密钥推导出另一个密钥的密码算法。3.1.2
杂凌算法HashFunction
能够将一个任意长的比特串映射到一个固定长的比特串的一类函数,又称为散列算法、哈希算法或数据摘要算法。
用户密钥UserKey
设备日常使用过程中,用户用于身份认证的密钥。3.1.4
主密钥PrimaryKey
设备重置用户密钥时,用于用户身份认证的密钥。3.1.5
会话密钥SessionKey
用于用户存储数据加解密的密钥。rKacadiaiKAca-
YD/T2665-2013
加盐SaltEncryption
即加盐加密,是一种提高密文加密强度的方法。在特定的加密算法中,按特定规则生成的盐(随机字符申)参与待加密内容的加密运算过程,最终获得加盐密文。3.1.7
保留区ReservedArea
用于存储SSD加解密系统所需用户密钥、主密钥、会话密钥等数据的安全区域。3.1.8
数据区DataArea
用于存储SSD引导和分区信息(包括引导记录、分区记录、文件分配表、文件目录等)、用户存储数据信息的区域。
3.2缩略语
下列缩略语适用于本文件。
eSATA:
4测试概述
4.1功能接口
Device Under Test
extermal SATA
miniSATA
ParallelAdvancedTechnologyAttachmentPeripheral ComponentInterconnectexpressSerialAdvancedTechnologyAttachmentSolidStateDisk
TestInterface
UserData Interface
Universal Serial BUS
受测设备
外部SATA
迷你SATA
并行高级技术附件(接口)
外部组件互联快速(接口)
申行高级技术附件(接口)
固态硬盘
测试平台接口
用户数据接口
通用审行总线
支持本标准所述相关用户数据加密安全功能测试和验证要求的DUT,应符合YD/T2390-2011的要求,并能提供下列两类功能接口。(1)用户数据接口(UI):指在正常使用条件下,DUT用于连接用户设备(如个人计算机、工作站、服务器等),对用户数据进行读写的接口。常见用户数据接口的物理接口类型可包括SATA、mSATA.PCIe、PATA、eSATA、USB等。
(2)测试平台接口(TI):指在本标准规定的测试条件下,DUT用于连接测试平台实现有关测试项目所涉及对DUT状态信息、保留区数据、用户数据进行读写的接口。测试平台接口可以是基于UI接口并通过开关切换(如切换为诊断模式、测试模式等)的逻辑接口,也可以是独立设计的专用物理接口。本标准对DUT的TI接口形式以及配套的数据读写工具(或软件)等暂不作要求。对于不能提供TI接口的SSD安全加密存储产品,本标准鼓励研究和采用其他对保留区和数据区数据进行读写的方式(如通过破拆的方式直接读写DUT内部芯片所存储数据信息),以便依据本标准有关测试项目的要求对DUT的加密安全特性进行测试验证。2
4.2测试环境
本标准相关测试项目涉及测试环境如图1所示。ut
用户设备
测试平台
图1测试环境配置示意
YD/T2665-2013
DUT为受测通信存储介质(SSD)设备,可通过UI接口、TI接口分别与用户设备和测试平台连接,其中:
(1)用户设备为具有与DUTUI接口类型相应的总线数据接口(或扩展接口)的通用型主机,且具有DUT所需的可稳定运行的操作系统环境、支持DUT驱动和管理程序的安装及使用、可保证DUT能被正常引导和加载、能正常读写DUT引导和分区信息、能正常读写数据区存储数据信息。(2)测试平台主要用于DUT用户数据加密功能验证和测试,其安装有必要的DUT数据信息读写工具(或DUT配套的区块数据诊断、测试软件等),能支持DUT所支持的数据读写指令、数据传输协议等。5测试方法
5.1缺省设置
测试编号:1
测试项目:SSD加密硬盘保留区的设置测试目的:验证SSD加密硬盘保留区数据信息的完整性参考要求:YD/T2390-2011第5.1节测试步骤:
1)连接设备测试接口和用户接口,DUT上电:2)通过TI检查DUT保留区数量及数据信息完整性,验证出厂状态下保留区内模式设置模块、身份认证模块、加解密算法模块、密钥管理模块中预写入的相关程序和参数信息预期结果:
1、DUT出厂状态下,至少设置有4个保留区,各保留区数据信息均完整、有效;2、DUT加密系统所需的用户密钥、主密钥、会话密钥等信息均存放于保留区判定原则:测试结果应与预期结果相符,否则不通过3
iiKacaiaiKAca
YD/T2665-2013
测试编号:2
测试项目:缺省会话密钥保护
测试目的:验证SSD加密硬盘缺省明文会话密钥的安全性参考要求:YD/T2390-2011第5.1节测试步骤:
1)连接设备测试接口和用户接口,DUT上电:2)通过TI检查DUT保留区缺省的会话密钥保存状态:3)在DUT工作状态下,通过UI尝试读取和修改保留区会话密钥信息预期结果:
1、DUT保留区中的缺省会话密钥为明文形式:2、DUT工作状态下,无法读取保留区的会话密钥判定原则:测试结果应与预期结果相符,否则不通过4
测试编号:3
测试项目:保留区数据迁移
测试目的:验证SSD加密硬盘保留区数据备份和安全迁移功能参考要求:YD/T2390-2011第5.1节测试步骤:
1)连接设备测试接口和用户接口,DUT上电:2)通过TI检查DUT保留区数量和各备份的数据信息:YD/T2665-2013
3)DUT工作状态下通过UI进行保留区数据修改更新(如修改密钥),并通过TI验证各保留区数据信息的一致性:
4)模拟DUT中个别保留区存储单元故障,验证检查DUT保留区数量和各备份的数据信息预期结果:
1、DUT各保留区中数据能保持同步更新:2、DUT保留区发生故障时,数据可实现安全迁移,并始终保证至少有4份可用的保留区判定原则:测试结果应与预期结果相符,否则不通过5
ikacadiaikAca
YD/T2665-2013
5.2模式选择与初始化
测试编号:4
测试项目:硬盘模式选择
测试目的:验证SSD加密硬盘支持不认证和认证两种使用模式参考要求:YD/T2390-2011第5.2、5.3节测试步骤:
1)连接设备测试接口和用户接口,DUT上电启动;2)验证DUT出厂的缺省模式状态;3)通过模式设置模块选择进入认证模式:4)验证DUT工作模式状态,并通过UI进行数据读写操作:5)尝试在DUT下电后重新启动(或尝试通过DUT用户软件)选择进入不认证工作模式;6)重复步骤4)
预期结果:
1、DUT出厂时应缺省设置为不认证模式:2、DUT可在上电启动过程中(或通过DUT用户软件)进行模式选择,支持不认证和认证两种使用模式判定原则:测试结果应与预期结果相符,否则不通过6
测试编号:5
测试项目:认证模式硬盘初始化测试目的:验证SSD加密硬盘由不认证模式转为认证模式的初始化流程参考要求,YD/T2390-2011第5.2、5.3节测试步骤:
1)连接设备测试接口和用户接口,DUT上电启动:2)通过TI检查DUT保留区信息;3)在不认证模式下选择进入认证模式,保留原有存储数据,进行DUT初始化;4)设置新的用户密钥和新的主密钥,完成DUT初始化:5)通过TI检查DUT保留区相关会话密钥、用户密钥、主密钥信息;6)通过UI进行数据读写操作,检查DUT存储用户数据状态:YD/T2665-2013
7)在不认证模式下(同步骤2)条件)选择进入认证模式,不保留原有存储数据,进行DUT初始化:8)重复步骤4)到步骤6)
预期结果:
1、DUT支持模式间的正常转换,模式转换时允许用户选择保留原有数据或放弃全部数据:2、DUT初始化应生成新的会话密钥,并安全擦除保留区原有会话密钥:3、如选择保留原有存储数据,则应使用原有会话密钥解密全盘数据,再使用新的会话密钥重新加密,并保证模式转换前后存储的用户数据无损:4、用户成功设置用户密钥和主密钥后,DUT完成初始化,用户数据读写功能正常;5、DUT保留区存放有使用用户密钥加密的会话密钥、使用主密钥加密的会话密钥、进行128位加盐的用户密钥杂凑值、进行128位加盐的主密钥杂凌值、128位密钥加盐判定原则:测试结果应与预期结果相符,否则不通过rKacaiaiKAca
YD/T2665-2013
测试编号:6
测试项目:认证模式下硬盘数据加密测试目的:验证SSD加密硬盘认证模式下全盘数据加密的有效性参考要求:YD/T2390-2011第5.2节测试步骤:
1)连接设备测试接口和用户接口,DUT上电启动:2)确认DUT处于认证模式,工作状态正常;3)通过TI检查DUT保留区数据信息和存储的用户数据信息;4)在未经身份认证的情况下,通过UI尝试进行数据读写操作预期结果:
1、DUT完成认证模式初始化后,对保留区数据和用户存储数据均进行有效地加密保护;2、通过TI接口、UI接口(未经身份认证的情况下)或其他方式(如破拆DUT等)均无法有效获取(直接读取或由密文快速破译解密)会话密钥、用户密钥、主密钥、用户存储数据(包括DUT用户分区信息、文件分配信息、目录信息、存储数据信息等)判定原则:测试结果应与预期结果相符,否则不通过8
测试编号:7
测试项目:不认证模式硬盘初始化测试目的:验证SSD加密硬盘由认证模式转为不认证模式的初始化流程参考要求:YD/T2390-2011第5.2、5.3节测试步骤:
1)连接设备测试接口和用户接口,DUT上电启动:2)通过TI检查DUT保留区原有相关会话密钥、用户密钥、主密钥信息:3)在认证模式下选择进入不认证模式,保留原有存储数据,进行DUT初始化:4)使用有效的用户密钥和主密钥进行身份认证,完成DUT初始化;5)通过TI检查DUT保留区相关会话密钥信息:6)通过UI进行数据读写操作,检查DUT存储用户数据状态:YD/T2665-2013
7)在认证模式下(同步骤2)条件)选择进入不认证模式,不保留原有存储数据,进行DUT初始化:8)重复步骤4)到步骤6)
预期结果:
1、DUT支持模式间的正常转换,模式转换时允许用户选择保留原有数据或放弃全部数据:2、仅在用户身份认证成功后,可进行DUT初始化:3、DUT应生成新的会话密钥,并安全擦除保留区原有会话密钥、用户密钥和主密钥等信息;4、如选择保留原有存储数据,则应使用原有会话密钥解密全盘数据,再使用新的会话密钥重新加密,并保证模式转换前后存储的用户数据无损。5、DUT初始化完成后,用户数据读写功能正常,保留区仅存放有明文的会话密钥判定原则:测试结果应与预期结果相符,否则不通过9
iKacaiaiKAca
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。