犐犆犛３５．０４０ 犔８０ 中华人民共和国国家标准 犌犅／犜３８６２６—２０２０ 信息安全技术 智能联网设备口令保护指南 犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔— 犌狌犻犱犲狋狅狆犪狊狊狑狅狉犱狆狉狅狋犲犮狋犻狅狀犳狅狉犻狀狋犲犾犾犻犵犲狀狋犮狅狀狀犲犮狋犲犱犱犲狏犻犮犲 ２０２００４２８发布２０２０１１０１实施 国家市场监督管理总局 国家标准化管理委员会发布 目次 前言………………………………………………………………………………………………………… Ⅰ １　范围……………………………………………………………………………………………………… １ ２　规范性引用文件………………………………………………………………………………………… １ ３　术语和定义……………………………………………………………………………………………… １ ４　缩略语…………………………………………………………………………………………………… ２ ５　概述……………………………………………………………………………………………………… ２ ６　账号安全………………………………………………………………………………………………… ２ 　６．１　账号生成…………………………………………………………………………………………… ２ 　６．２　账号使用…………………………………………………………………………………………… ２ 　６．３　账号管理…………………………………………………………………………………………… ３ 　６．４　日志………………………………………………………………………………………………… ３ ７　口令安全………………………………………………………………………………………………… ３ 　７．１　口令生成…………………………………………………………………………………………… ３ 　７．２　口令使用…………………………………………………………………………………………… ３ 　７．３　口令管理…………………………………………………………………………………………… ３ 　７．４　日志………………………………………………………………………………………………… ４ ８　用户安全………………………………………………………………………………………………… ４ 附录Ａ （资料性附录）　非设备本地鉴别方式…………………………………………………………… ５ 参考文献……………………………………………………………………………………………………… ６ 犌犅／犜３８６２６—２０２０ 前　　言 　　本标准按照ＧＢ／Ｔ１．１—２００９给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由全国信息安全标准化技术委员会（ＳＡＣ／ＴＣ２６０）提出并归口。 本标准起草单位：杭州海康威视数字技术股份有限公司、中国电子技术标准化研究院、北京信息安 全测评中心、中国信息安全测评中心、公安部第一研究所、公安部第三研究所、中国科学院信息工程研究 所、浙江大学、国家工业信息安全发展研究中心、国网浙江省电力有限公司、大华技术股份有限公司、阿 里巴巴网络技术有限公司、华为技术有限公司、深圳联想懂的通信有限公司、海尔集团、美的智慧家居科 技有限公司、北京洋浦伟业科技发展有限公司、杭州安恒信息技术有限公司、北京未来安全信息技术有 限公司、北京天融信网络安全技术有限公司、江苏省电力公司电力科学研究院。 本标准主要起草人：王滨、刘贤刚、许东阳、赵章界、陈学明、范科峰、成金爱、邸丽清、韩煜、刘继顺、 闫兆腾、徐文渊、王冲华、姚一杨、万里、王星、张军昌、刘大鹏、黄敏、倪晓林、茹昭、张军、刘明君、陈兆全、 王英键、李娜、姚楠。 Ⅰ 犌犅／犜３８６２６—２０２０ 信息安全技术 智能联网设备口令保护指南 １　范围 本标准给出了智能联网设备的账号和口令在生成、管理和使用等方面的安全技术指南。 本标准适用于指导智能联网设备生产制造商安全设计和实现口令保护功能，也适用于智能联网设 备的口令安全使用的监督、检查。 ２　规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 ＧＢ／Ｔ２５０６９—２０１０　信息安全技术　术语 ３　术语和定义 ＧＢ／Ｔ２５０６９—２０１０界定的以及下列术语和定义适用于本文件。为了便于使用，以下重复列出了 ＧＢ／Ｔ２５０６９—２０１０中的某些术语和定义。 ３．１ 智能联网设备　犻狀狋犲犾犾犻犵犲狀狋犮狅狀狀犲犮狋犲犱犱犲狏犻犮犲 具有接入网络进行通信、数据感知、数据存储、数据处理和人机交互能力的设备。 　　注：主要是指物联网中的端设备，包括网络摄像头、智能家电、网络机顶盒、智能投影仪、家用路由器等，不包括计算 机、手机等通用计算设备。 ３．２ 口令　狆犪狊狊狑狅狉犱 用于身份鉴别的秘密的字、短语、数或字符序列。 　　注：改写ＧＢ／Ｔ２５０６９—２０１０，定义２．２．２．７６。 ３．３ 口令鉴别　狆犪狊狊狑狅狉犱犪狌狋犺犲狀狋犻犮犪狋犻狅狀 使用口令来验证用户所声称身份的过程。 ３．４ 弱口令　狑犲犪犽狆犪狊狊狑狅狉犱 容易被别人猜测或被破解工具暴力破解的口令。 ３．５ 初始口令　犻狀犻狋犻犪犾狆犪狊狊狑狅狉犱 设备出厂时厂商预置于设备中，用于在初始设置或恢复默认设置状态下访问设备的口令。 ３．６ 随机性　狉犪狀犱狅犿狀犲狊狊 具有某一概率的事件集合中各个事件所表现出来的不可预测性。 １ 犌犅／犜３８６２６—２０２０ ３．７ 账号　犪犮犮狅狌狀狋 在特定上下文中，可以唯一标识主体身份的一段信息。 　　注：也称为用户名。 ３．８ 添加变量　狊犪犾狋 作为单向函数或加密函数的二次输入而加入的随机变量，可用于计算口令鉴别数据。 ［ＧＢ／Ｔ２５０６９—２０１０，定义２．２．２．１８