7.5 鑒別憑證管理

7.5.1 一般要求

云服務商應：

a）通過以下步驟管理鑒別憑證：

1）驗證鑒別憑證接收對象（個人、組、角色或設備）的身份。

2）確定鑒別憑證的初始內容。

3）確保鑒別憑證能夠有效防止偽造和篡改。

4）針對鑒別憑證的初始分發、丟失處置以及收回，建立和實施管理規程。

5）強制要求用戶更改鑒別憑證的默認內容。

6）明確鑒別憑證的最小和最大生存時間限制以及再用條件。

7）對[賦值：云服務商定義的鑒別憑證]，強制要求在[賦值：云服務商定義的時間段]之后更新鑒別憑證。

8）保護鑒別憑證內容，以防泄露和篡改。

9）采取由設備實現的特定安全保護措施來保護鑒別憑證。

10）當組或角色賬號的成員資格發生變化時，變更該賬號的鑒別憑證。

b）對于基于口令的鑒別：

1）設立相關機制，能夠強制執行最小口令復雜度，該復雜度滿足[賦值：云服務商定義的口令復雜度規則]。

2）設立相關機制，能夠在用戶更新口令時，強制變更[賦值：云服務商定義的數目]個字符，確保新舊口令不同。

3）對存儲和傳輸的口令進行加密。

4）強制執行最小和最大生存時間限制，以滿足[賦值：云服務商定義的最小生存時間和最大生存時間]。

c）對于基于硬件令牌的鑒別，定義令牌安全質量要求，并部署相關機制予以滿足，如基于PKI的令牌。

7.5.2 增強要求

云服務商應：

a）對于基于PKI的鑒別：

1）通過構建到信任根的認證路徑并對其進行驗證，包括檢查證書狀態信息，以確保認證過程的安全。

2）對相應私鑰進行保護。

b）確保未加密的靜態鑒別憑證未被嵌入到應用、訪問腳本中。

c）接收[賦值：云服務商定義的鑒別憑證]時，必須通過本人或可信第三方實施。