7.4　角色、服務和鑒別

7.4.1　角色、服務和鑒別通用要求

密碼模塊應[04.01]支持操作員的授權角色以及與每個角色相對應的服務。一個操作員可以擔任多種角色。如果密碼模塊支持多個操作員同時操作，那么密碼模塊內部應[04.02]確保各個操作員擔任的角色相隔離及相應的服務相隔離。當服務執行不會修改、泄露或替換關鍵安全參數和公開安全參數時，例如顯示狀態、自測試或者其他不影響密碼模塊安全的服務，操作員無需擔任一個授權角色。

密碼模塊可能需要鑒別機制，以鑒別操作員對密碼模塊的訪問，以及驗證操作員是否被授權擔任請求的角色和執行該角色下的服務。

密碼模塊文檔應[04.03]按照A.2.4中規定的要求編寫。

7.4.2　角色

密碼模塊應[04.04]至少支持密碼主管角色。密碼主管角色應[04.05]負責執行密碼初始化或管理功能，以及常用的安全服務，例如，密碼模塊初始化、關鍵安全參數和公開安全參數的管理以及審計功能。

密碼模塊可以支持用戶角色。如果密碼模塊支持用戶角色，那么用戶角色應[04.06]負責執行一般的安全服務，包括密碼操作和其他核準的安全功能。

密碼模塊可以支持維護員角色。維護員角色是指在物理維護服務(例如，打開密碼模塊封蓋)和/或邏輯維護服務(例如，運行某種診斷如內置的自測試)時擔任的角色。當進入或退出維護員角色時，所有不受保護的敏感安全參數應[04.07]被置零。

除了上述角色以外，密碼模塊還可支持其他角色。

7.4.3　服務

7.4.3.1　服務通用要求

服務應[04.08]指的是密碼模塊所能執行的所有服務、操作或功能。服務輸入應[04.09]包括密碼模塊在啟動或獲取特定服務、操作或功能時，所使用的所有數據或控制輸入。服務輸出應[04.10]包括由服務輸入啟動或獲取的服務、操作或功能，所產生的所有數據和狀態輸出。每個服務輸入應[04.11]產生一個服務輸出。

密碼模塊應[04.12]為操作員提供下列服務：

a) 顯示密碼模塊版本號。密碼模塊應[04.13]輸出名稱或密碼模塊標識符以及版本信息，這些信息可以與密碼模塊的確認記錄相關聯。

b) 顯示狀態。密碼模塊應[04.14]輸出當前的狀態。其中可以包括響應服務請求的狀態指示器的輸出。

c) 執行自測試：密碼模塊應[04.15]執行初始化和規定于7.10.2中的運行前自測試。

d) 執行核準的安全功能。密碼模塊應[04.16]至少執行一個在7.2.4中規定的核準的工作模式中使用的核準的安全功能。

e) 執行置零。密碼應[04.17]按照7.9.7中的規定執行參數置零。

除了上述規定的服務以外，密碼模塊還可以提供其他的服務、操作或功能，包括核準的和非核準的。一些特定的服務可能不止一個角色使用它，例如，用戶角色和密碼主管角色都可使用密鑰輸入服務。

7.4.3.2　旁路能力

旁路能力是指某種服務所具備的部分或全部繞過密碼功能的能力。如果密碼模塊輸出的數據是受到密碼技術保護的(例如，經過加密)，但是通過更改密碼模塊的配置或者由于操作員的干預，密碼模塊能夠將數據直接輸出(例如，不再經過加密)，此時，應[04.18]定義該密碼模塊具有旁路能力。

如果密碼模塊實現了旁路能力，那么：

——在開啟密碼模塊的旁路功能之前，操作員應[04.19]擔任相應的授權角色。

——應[04.20]使用兩個獨立的內部操作來激活旁路能力，以防止單個錯誤造成不經意地輸出明文數據。這兩個獨立的內部操作應[04.21]能夠改變用于控制旁路能力的軟件和/或硬件配置(例如，設置兩個不同的軟件或硬件標志位，其中一個可以由用戶發起)。

——對于安全四級密碼模塊，上述兩個獨立的內部操作應[04.22]由兩個不同的操作員完成。

——密碼模塊應[04.23]顯示其狀態以指示旁路能力是否：

? 未被激活，表明密碼模塊此時只提供使用密碼功能的服務(例如，明文數據經過加密之后輸出密碼模塊)；

? 被激活，表明密碼模塊此時只提供沒有使用密碼功能的服務(例如，明文數據未經過加密就輸出密碼模塊)；

? 同時存在激活和去活，表明密碼模塊此時提供的某些服務使用了密碼功能，而某些服務沒有使用密碼功能(例如，對于擁有多個通信信道的密碼模塊，明文數據是否被加密取決于每個信道的配置)

7.4.3.3　自啟動密碼服務能力

自啟動密碼服務能力是指無需外界操作員請求，密碼模塊就能夠執行密碼操作和其他核準的安全功能或敏感安全參數管理技術。自啟動密碼服務能力應[04.24]由密碼主管配置，而且該配置可以在密碼模塊經過重置、重啟或開關電源之后保留下來。

如果密碼模塊實現了自啟動密碼服務能力，那么：

——應[04.25]需要兩個獨立的內部操作來激活該能力，以防止單個錯誤造成不經意的輸出。 這兩個獨立的內部操作應[04.26]能夠改變用于控制該能力的軟件和/或硬件配置(例如，設置兩個不同的軟件或硬件標志位，其中一個可以由用戶發起)。

——對于安全四級密碼模塊，上述兩個獨立的內部操作應[04.27]由兩個不同的操作員完成。

——密碼模塊應[04.28]顯示其狀態以指示自啟動密碼服務能力是否被激活。

7.4.3.4　軟件/固件加載

如果密碼模塊具有加載外部軟件或固件的能力，那么應[04.29]滿足下列要求：

——加載的軟件或固件應[04.30]在加載之前經過確認機構的確認，以維持確認效力。

——應[04.31]禁止通過數據輸出接口輸出數據，直到軟件/固件加載完成以及加載測試成功通過。

——在運行加載的代碼之前應[04.32]執行7.10.3.4中規定的軟件/固件加載條件自測試。

——密碼模塊應[04.33]拒絕運行任何已經加載的或已被修改的核準安全功能，直到成功執行7.10.2中規定的運行前自測試。

——應[04.34]修改密碼模塊的版本信息，以表示增加和/或更新了最新加載的7.4.3中的軟件或固件。

如果新軟件或固件的加載是鏡像的完全替換，它應[04.35]構成一個全新的密碼模塊，需要由確認機構重新確認，以維持確認效力。新加載的軟件或固件鏡像應[04.36]在密碼模塊上電重置之后才能運行。所有敏感安全參數應[04.37]在運行新鏡像之前被置零。

7.4.4　鑒別

密碼模塊可能需要鑒別機制以鑒別訪問密碼模塊的操作員，并驗證該操作員能否擔任其請求的角色，以及能否執行相應的服務。下列幾類機制用于密碼模塊的訪問控制：

基于角色的鑒別：如果密碼模塊支持基于角色的鑒別機制，那么密碼模塊應[04.38]要求操作員隱式地或顯式地選擇一個或多個角色，并且應[04.39]鑒別其能否擔任所選定的角色(或角色的集合)。不要求密碼模塊鑒別操作員的個人身份。選擇角色和鑒別能否擔任所選定的角色可以結合起來進行。如果密碼模塊允許操作員變換角色，且如果請求的新角色之前未被鑒別，那么密碼模塊應[04.40]鑒別該操作員能否擔任該新角色。

基于身份的鑒別：如果密碼模塊支持基于身份的鑒別機制，密碼模塊應[04.41]要求單獨且唯一標識操作員，應[04.42]要求操作員隱式地或顯式地選擇一個或多個角色，并且應[04.43]鑒別操作員的身份，以及操作員是否被授權擔任所選定的角色(或角色的集合)。鑒別操作員的身份、選擇角色，以及鑒別能否授權擔任所選定的角色可以結合起來進行。如果密碼模塊允許操作員變換角色，且如果請求的新角色之前未被授權，那么密碼模塊應[04.44]驗證經標識的操作員是否被授權擔任該新角色。

密碼模塊可以允許通過鑒別的操作員執行其授權角色所允許的所有服務，或者也可以針對每個服務或一組服務分別進行鑒別。當密碼模塊被重置、重啟、關閉且隨后又被打開時，密碼模塊應[04.45]要求重新鑒別操作員。

密碼模塊可能需要多種類型的鑒別數據以實現模塊支持的鑒別機制，包括(但不限于)知道或擁有口令、PIN、密鑰等;擁有物理鑰匙、令牌等；或具備個人特征(例如，生物特征)。應[04.46]保護密碼模塊內的鑒別數據以防止非授權的泄露、修改和替換。核準的安全功能可被用于鑒別機制。

鑒別機制的初始化允許特殊處理。如果第一次訪問密碼模塊時，密碼模塊不包含鑒別操作員所需的鑒別數據，那么應[04.47]使用其他被授權的方法(例如，過程控制，使用出廠設置或默認的鑒別數據)對密碼模塊進行訪問控制和初始化鑒別。如果使用了默認的鑒別數據來控制對密碼模塊的訪問，那么默認的鑒別數據應[04.48]在第一次鑒別后被更換。該默認的鑒別數據不需要滿足7.9.7中置零要求。

鑒別機制可以是一組具有不同鑒別屬性的機制，這些機制結合起來可以滿足本條款的要求。如果密碼模塊使用安全功能鑒別操作員，那么那些安全功能應[04.49]是核準的安全功能。此外，密碼模塊還應滿足下列要求：

——密碼模塊應[04.50]實現附錄E中規定的一種核準的鑒別機制。

——在密碼模塊的安全策略文檔(見附錄B)中應[04.51]描述鑒別機制的強度。

——對于每次核準鑒別機制的嘗試使用，密碼模塊應[04.52]滿足鑒別強度要求。對于在一分鐘之內對核準鑒別機制的多次嘗試使用，密碼模塊應[04.53]滿足鑒別強度要求。

——核準的鑒別機制應[04.54]依賴于密碼模塊的具體實現，而不依賴于在文檔中的過程控制或安全規則(例如，口令長度限制)。

——對于安全二級的軟件密碼模塊，操作系統可以實現鑒別機制。如果操作系統實現了鑒別機制，那么鑒別機制應[04.55]滿足本條款的要求。

——在鑒別過程中，應[04.56]隱藏鑒別數據給操作員的反饋信息(例如，在輸入口令時沒有可視的字符顯示)。無意義的字符可以代替實際的鑒別數據顯示。

——在嘗試鑒別的過程中，提供給操作員的反饋信息應[04.57]防止削弱鑒別機制強度。

a) 安全一級：

對于安全一級，不要求密碼模塊采用鑒別機制以控制對密碼模塊的訪問。如果密碼模塊不支持鑒別機制，密碼模塊應[04.58]要求操作員隱式或顯式地選擇一個或多個角色。

b) 安全二級：

對于安全二級，密碼模塊應[04.59]至少采用基于角色的鑒別以控制對密碼模塊的訪問。

c) 安全三級：

對于安全三級，密碼模塊應[04.60]采用基于身份的鑒別機制以控制對密碼模塊的訪問。

d) 安全四級：

對于安全四級，密碼模塊應[04.61]采用基于身份的多因素鑒別機制以控制對密碼模塊的訪問。