7.3　密碼模塊接口

7.3.1　密碼模塊接口通用要求

所有進出密碼模塊的邏輯信息流，都應[03.01]只能通過已定義的物理端口和邏輯接口，這些端口和接口是出入密碼邊界的入口和出口。密碼模塊邏輯接口應[03.02]是相互分離的，這些邏輯接口可以共享一個物理端口，例如，輸入數據和輸出數據可以使用同一個端口，或者邏輯接口也可以分布在一個或多個物理端口上，例如，輸入數據可以通過串口也可以通過并口。密碼模塊軟件部件的應用程序接口(API)可以定義為一個或多個邏輯接口。

密碼模塊文檔應[03.03]按照A.2.3的要求編寫。

7.3.2　接口類型

——硬件密碼模塊接口定義為用于請求硬件密碼模塊服務的命令全集，請求服務的命令中包括輸入到密碼模塊或者由密碼模塊輸出的參數。

——軟件或固件密碼模塊接口定義為用于請求軟件或固件密碼模塊服務的命令全集，請求服務的命令中包括輸入到密碼模塊或者由密碼模塊輸出的參數。

——混合固件或混合軟件密碼模塊接口定義為用于請求混合固件或混合軟件密碼模塊服務的命令全集，請求服務的命令中包括輸入到密碼模塊或者由密碼模塊輸出的參數。

7.3.3　接口定義

密碼模塊應[03.04]具備下列五種接口(“輸入”和“輸出”是相對于密碼模塊而言的)：

——數據輸入接口：由密碼模塊處理的所有輸入數據(通過“控制輸入”接口輸入的控制數據除外)，包括明文、密文、敏感安全參數和另一個密碼模塊的狀態信息，應[03.05]通過“數據輸入”接口輸入。當密碼模塊執行7.10中自測試時，密碼模塊可以通過數據輸入接口接收數據。

——數據輸出接口：除“狀態輸出”接口輸出的狀態數據以及通過“控制輸出”接口輸出的控制數據之外，所有從密碼模塊輸出的輸出數據，包括明文、密文和敏感安全參數等，應[03.06]通過“數據輸出”接口輸出。在執行手動輸入、運行前自測試、軟件/固件加載和置零的過程中，或者當密碼模塊處在錯誤狀態時，應[03.07]禁止通過“數據輸出”接口輸出數據。

——控制輸入接口：所有用于控制密碼模塊運行的輸入命令、信號(例如，時鐘輸入)及控制數據(包括手動控制如開關、按鈕和鍵盤，以及功能調用)應[03.08]通過“控制輸入”接口輸入。

——控制輸出接口：所有用于控制密碼模塊運行的輸出命令、信號及控制數據(例如，對另一個密碼模塊的控制命令)應[03.09]通過“控制輸出”接口輸出。當密碼模塊處于錯誤狀態時，應[03.10]禁止通過“控制輸出”接口的控制輸出，除非在安全策略中規定了一些例外情況。

——狀態輸出接口：所有用于指示密碼模塊狀態的輸出信號、指示器(例如，錯誤指示器)和狀態數據[包括返回碼和物理指示器，比如視覺的(顯示器，指示燈)，聲音的(蜂鳴器提示音，響鈴)，以及機械的(振動器)]，應[03.11]通過“狀態輸出”接口輸出。狀態輸出可以是顯式的或隱式的。

除軟件密碼模塊以外，所有密碼模塊還應[03.12]具備下列接口：

——電源接口：輸入密碼模塊的所有外部電能應[03.13]通過電源端口輸入。電源端口不是必需的，當所有能量由密碼模塊的密碼邊界內部提供或維持時(例如，通過內部電池)，電源接口可以不存在。

密碼模塊應[03.14]區分數據、控制信息和電源輸入，以及數據、控制信息和狀態信息輸出。密碼模塊規格應[03.15]明確規定輸入數據以及控制信息的格式，包括對所有可變長度輸入的長度限制。

7.3.4　可信信道

可信信道是在密碼模塊和發送者或接收者之間建立的鏈路，用于安全傳輸未受保護的明文密鑰分量、鑒別數據以及其他關鍵安全參數。明文密鑰指的是未經加密的密鑰，或由非核準的方法混淆的密鑰。可信信道在密碼模塊定義的輸入或輸出端口以及預期的發送者或接收者終端的通信鏈路上，可以防止竊聽以及來自惡意的操作員/實體、進程或其他設備的物理或邏輯篡改。

a) 安全一級和二級：

對于安全一級和二級，沒有可信信道要求。

b) 安全三級：

對于安全三級：

——密碼模塊應[03.16]實現可信信道，用于在密碼模塊與發送者或接收者終端之間傳輸未受保護的明文密鑰分量、鑒別數據以及其他關鍵安全參數；

——可信信道應[03.17]防止在通信鏈路上的非授權修改、替換和泄露；

——可信信道使用的物理端口應[03.18]與其他物理端口實現物理隔離；或可信信道使用的邏輯接口應[03.19]與其他邏輯接口實現邏輯隔離；

——基于身份的鑒別應[03.20]用于所有使用可信信道的服務；

——當可信信道在使用時，應[03.21]提供狀態指示器。

c) 安全四級：

對于安全四級，除了安全三級的要求以外，基于身份的多因素鑒別應[03.22]用于所有使用可信信道的服務。