7.7　物理安全

7.7.1　物理安全實體

密碼模塊應[07.01]采用物理安全機制以限制對密碼模塊內容的非授權物理訪問，并阻止對已安裝密碼模塊的非授權使用或修改(包括整個密碼模塊的替換)。密碼邊界內的所有硬件、軟件、固件、數據分量以及敏感安全參數應[07.02]受到保護。

若密碼模塊完全由軟件實現，使得物理安全僅由計算平臺提供，那么該密碼模塊將不受本標準物理安全要求的限制。

本條中的要求應[07.03]適用于硬件和固件密碼模塊，以及混合密碼模塊中的硬件和固件部件。

本條的要求應[07.04]適用于已定義的密碼模塊物理邊界。

物理安全要求是針對下列三類密碼模塊物理實體做出規定的：

——單芯片密碼模塊是指由單個集成電路(IC)芯片構成的密碼模塊，該芯片可以作為獨立密碼模塊使用，或者可以嵌入到一個可能沒有物理保護的外殼或產品內。單芯片密碼模塊的例子有單IC芯片和單IC芯片智能卡。

——多芯片嵌入式密碼模塊是指由兩個或多個互相連接的IC芯片構成的密碼模塊，這些芯片嵌入到一個可能沒有物理保護的外殼或產品內。多芯片嵌入式密碼模塊的例子有適配器和擴展板。

——多芯片獨立式密碼模塊是指由多個互相連接的IC芯片構成的密碼模塊，該密碼模塊的整個外殼受到物理保護。多芯片獨立密碼模塊的例子有加密路由器、安全無線電話和USB令牌。

依據密碼模塊的物理安全機制，企圖進行非授權物理訪問、使用或修改的行為應[07.05]在以下時間點以很高的概率被檢測到：

——在上述企圖行為之后，通過其留下的可見標志(例如，拆卸證據)，和/或

——在上述企圖行為過程中。

并且密碼模塊應[07.06]立即采取恰當的措施保護敏感安全參數。

表3總結了物理安全的要求，分別針對4個安全等級列出了通用的要求以及針對三類特定實體的要求。對于特定實體，每一安全等級在同一等級的通用要求以及前一等級的特定實體的要求之上，進一步增強了安全要求。

表1　物理安全要求總結

總體而言，安全一級提出了最基本的安全要求。安全二級增加了拆卸存跡機制的要求，以及確保無法對密碼模塊關鍵區域的內部操作收集信息的要求。安全三級增加了使用堅固或硬質的保形或非保形外殼的要求，要求外殼的封蓋和門具有拆卸檢測和響應機制，并且要求抵抗通過開口或入口的直接探測。安全三級還要求具備環境失效保護(EFP)或環境失效測試(EFT)。安全四級進一步增加了使用堅固或硬質的保形或非保形外殼的要求，要求整個外殼具有拆卸檢測和響應機制。安全四級還要求具備環境失效保護，以及防止故障注入攻擊。

當密碼模塊被設計成允許物理訪問(例如，被密碼模塊廠商或其他授權個體訪問)時，需要為維護訪問接口規定安全要求。拆卸檢測和拆卸響應并不能代替顯式的拆卸證據。

密碼模塊文檔應[07.07]按照A.2.7中規定的要求編寫。

7.7.2　通用物理安全要求

下列要求應[07.08]適用于所有密碼模塊物理實體：

——密碼模塊文檔應[07.09]闡述密碼模塊的物理實體以及所實現的物理安全機制達到的安全等級。

——每當為物理安全進行置零操作時，應[07.10]在極短的時間內執行置零，以防止敏感數據在檢測到拆卸行為與密碼模塊置零之間泄露出去。

——如果密碼模塊包含的維護角色需要對密碼模塊內容進行物理訪問，或者密碼模塊被設計成允許物理訪問(例如，被密碼模塊廠商或其他授權個體訪問)，那么：

? 應[07.11]定義維護訪問接口。

? 維護訪問接口應[07.12]包括所有通向密碼模塊內容的物理訪問路徑，包括任何封蓋或門。

? 維護訪問接口內包含的任何封蓋或門應[07.13]使用適當的物理安全機制來進行安全保護。

a) 安全一級

下列要求應[07.14]適用于安全一級的所有密碼模塊：

——密碼模塊應[07.15]由產品級部件組成，這些產品級部件采用了標準鈍化技術，例如，對整個密碼模塊電路使用保形涂料或封閉底漆，以防止環境損害或其他物理損害。

——當維護密碼模塊時，應[07.16]由操作員按照規定的程序執行置零，或由密碼模塊自動執行。

b) 安全二級

除了安全一級的通用要求，安全二級的所有密碼模塊還應[07.17]滿足下列要求：

——在嘗試物理訪問密碼模塊時，密碼模塊應[07.18]提供顯式的拆卸證據(例如，在封蓋、外殼或封條上)；

——拆卸存跡的材料、涂層或外殼應[07.19]在可見光譜內(即波長范圍為400nm~750nm)是不透明或者半透明的，從而防止對密碼模塊關鍵區域的內部操作進行信息收集。

——如果密碼模塊包含通風孔或縫，那么孔或縫應[07.20]具有特殊的構造，從而防止通過直接觀察密碼模塊內部的構造或部件進行信息收集。上述直接觀察利用了密碼模塊內部結構或部件發出的可見光。

c) 安全三級

除了對安全一級和二級的通用要求，安全三級的所有密碼模塊還應[07.21]滿足下列要求：

——如果密碼模塊含有任何門或封蓋，或者定義了維護訪問接口，那么密碼模塊應[07.22]包含拆卸響應與置零電路。在打開門、封蓋或維護訪問接口時，拆卸響應與置零電路應[07.23]立即置零所有未受保護的敏感安全參數。當密碼模塊內包含未受保護的敏感安全參數時，拆卸響應與置零電路應[07.24]保持運行狀態。

——如果密碼模塊含有通風孔或縫，那么孔或縫應[07.25]具有特殊的構造，從而防止未被檢測到的對密碼模塊內部的物理探測(例如，防止使用單鉸鏈探頭探測)。

——當密碼模塊溫度超出運行、存放和分發的預期溫度范圍時，堅固或硬質的保形或非保形的外殼、涂層或灌封材料應[07.26]維持強度和硬度特征。

——如果使用了拆卸封條，那么應[07.27]使用被唯一編號或者能夠獨立識別的封條(例如，唯一編號的存跡膠帶或可唯一識別的手寫封條)。

——密碼模塊應[07.28]具有EFP特性或經過EFT。

d) 安全四級

除了安全一級、二級和三級的通用要求，安全四級的所有密碼模塊還應[07.29]滿足下列要求：

——密碼模塊應[07.30]使用抗移除的硬質不透明涂層或具有拆卸響應和置零能力的拆卸檢測封套保護起來。

——密碼模塊應[07.31]具有EFP特性。

——密碼模塊應[07.32]提供保護措施，以防止故障注入攻擊。故障注入攻擊的緩解技術以及采用的緩解指標應[07.33]在文檔中按照附錄B規定的要求進行記錄。

7.7.3　物理安全實體的物理安全要求

7.7.3.1　單芯片密碼模塊

除了7.7.2中規定的通用安全要求，還針對單芯片密碼模塊規定了下列要求：

a) 安全一級：

對安全一級的單芯片密碼模塊沒有其他額外要求。

b) 安全二級：

除了安全一級的要求，安全二級的單芯片密碼模塊還應[07.34]滿足下列要求：

——應[07.35]使用拆卸存跡涂層(例如，拆卸存跡的鈍化材料或覆蓋在鈍化層上的拆卸存跡材料)把密碼模塊覆蓋起來，或者將密碼模塊裝在一個拆卸存跡的外殼中，以阻止直接觀察、探測或操控密碼模塊，并在企圖拆卸或移動密碼模塊后留下證據。

c) 安全三級：

除了安全一級和二級的要求，安全三級的單芯片密碼模塊還應[07.36]滿足下列要求：

——應[07.37]使用拆卸存跡的硬質不透明涂層(例如，涂在鈍化層上的硬質不透明環氧樹脂)把密碼模塊覆蓋起來。或

——應[07.38]實現密碼模塊的外殼，以致企圖或穿透外殼的行為應[07.39]極有可能對密碼模塊造成嚴重損害，即密碼模塊將不能工作。

d) 安全四級：

除了安全一級、二級和三級要求，安全四級的單芯片密碼模塊還應[07.40]滿足下列要求：

——應[07.41]使用抗移除的硬質不透明涂層將密碼模塊覆蓋起來，該涂層具有硬度與黏力特性，以致企圖剝落或撬開涂層的行為將極有可能對密碼模塊造成嚴重損害，即密碼模塊將不能工作。

——抗移除的涂層應[07.42]具有溶解特性，以致企圖溶解涂層的行為將極有可能溶解或嚴重損害密碼模塊，即密碼模塊將不能工作。

7.7.3.2　多芯片嵌入式密碼模塊

除了7.7.2中規定的通用安全要求，還針對多芯片嵌入式密碼模塊規定了下列要求：

a) 安全一級：

如果密碼模塊被裝在一個外殼或封蓋中，那么應[07.43]使用產品級的外殼或封蓋。

b) 安全二級：

除了安全一級的要求，安全二級的多芯片嵌入式密碼模塊還應[07.44]滿足下列要求：

——應[07.45]使用拆卸存跡的涂層或灌封材料(例如，耐腐蝕涂層或防滲透涂料)把密碼模塊部件覆蓋起來，以阻止直接觀察，并提供企圖拆卸或移動密碼模塊部件的證據。或

——密碼模塊應[07.46]被整個地包在金屬或硬質塑料的產品級外殼中，該外殼可以有門或封蓋。如果外殼包含任何門或封蓋，則門或封蓋應[07.47]使用帶有物理或邏輯鑰匙的防撬鎖，或者應[07.48]被拆卸存跡的封條保護起來(例如，存跡膠帶或全息封條)。

c) 安全三級：

除了安全一級和二級的要求，下列要求應[07.49]適用于安全三級的多芯片嵌入式密碼模塊：

——應[07.50]使用硬質涂料或灌封材料(例如，硬質環氧樹脂材料)把密碼模塊內的多芯片實體電路覆蓋起來，或

——密碼模塊應[07.51]被封裝在堅固的外殼內。以致企圖移除或穿透外殼的行為將極有可能對密碼模塊造成嚴重損害，即密碼模塊將不能工作。

d) 安全四級：

除了安全一級、二級和三級的要求，下列要求應[07.52]適用于安全四級的多芯片嵌入式密碼模塊：

——密碼模塊部件應[07.53]封裝在堅固或硬質的保形或非保形的外殼中。外殼應[07.54]用拆卸檢測封套(例如，帶有蛇形導線的柔性聚酯薄膜印制電路，或繞線式的包裝，或無彈性易碎電路，或堅固的外殼)封裝起來，該封套應[07.55]能夠檢測到企圖訪問敏感安全參數的拆卸行為，包括切、鉆、磨、碾、燒、熔、溶解灌封材料或外殼等。

——密碼模塊應[07.56]包含拆卸響應和置零電路。拆卸響應和置零電路應[07.57]能夠持續地監控拆卸檢測封套，并且一旦檢測到拆卸行為就應[07.58]立即置零所有未受保護的敏感安全參數。當密碼模塊內包含未受保護的敏感安全參數時，拆卸響應電路應[07.59]保持運行狀態。

7.7.3.3　多芯片獨立式密碼模塊

除了7.7.2中規定的通用安全要求，針對多芯片獨立式密碼模塊還規定了下列要求：

a) 安全一級：

密碼模塊應[07.60]整個被封裝在金屬或硬質塑料的產品級外殼內，外殼可以有門或封蓋。

b) 安全二級：

除了安全一級的要求，安全二級的多芯片獨立式密碼模塊還應[07.61]滿足下列要求：

——如果密碼模塊的外殼含有任何門或封蓋，那么門或封蓋應[07.62]安裝帶有物理或邏輯鑰匙的防撬機械鎖，或者應[07.63]使用拆卸存跡的封條(例如，存跡膠帶或全息封條)進行保護。

c) 安全三級：

除了安全一級和二級的要求，安全三級的多芯片獨立密碼模塊還應[07.64]滿足下列要求：

——密碼模塊應[07.65]被封裝在堅固的外殼內，以致企圖移除或穿透外殼的行為將極有可能對密碼模塊造成嚴重損害，即密碼模塊將不能工作。

d) 安全四級：

除了安全一級、二級和三級的要求，安全四級的多芯片獨立式密碼模塊還應[07.66]滿足下列要求：

——密碼模塊的外殼應[07.67]封裝在使用下列一種或多種拆卸檢測機制的拆卸檢測封套內，拆卸檢測機制包括：封蓋開關(如微型開關、磁霍爾效應開關、永磁驅動器等)、動作探測器(如超聲波、紅外線、微波探測器)或者7.7.3.2中規定的安全四級描述的其他拆卸檢測機制。拆卸檢測機制應[07.68]能夠對企圖訪問敏感安全參數的攻擊做出響應，諸如切、鉆、銑、磨、燒、熔、溶解等。

——密碼模塊應[07.69]包含拆卸響應和置零電路。拆卸響應和置零電路應[07.70]能夠持續地監控拆卸檢測封套，并且一旦檢測到拆卸行為就應[07.71]立即置零所有未受保護的敏感安全參數。當密碼模塊內包含未受保護的敏感安全參數時，拆卸響應和置零電路應[07.72]保持運行狀態。

7.7.4　環境失效保護（測試）

7.7.4.1　環境失效保護（測試）通用要求

電子設備和電路都被設計成在特定的環境條件范圍內運行。故意或意外超出密碼模塊正常運行電壓和溫度范圍，會導致電子設備或電路運行不穩定，也可能會導致電子設備或電路失效，從而危及密碼模塊的安全。密碼模塊具有環境失效保護(EFP)特性或者經過環境失效測試(EFT)，都能夠合理地保證密碼模塊的安全性不被極端的環境條件所破壞。

對于安全一級、二級，密碼模塊不要求具有EFP特性或經過EFT。安全三級的密碼模塊應[07.73]具有EFP特性或經過EFT。安全四級的密碼模塊應[07.74]具有EFP特性。

7.7.4.2　環境失效保護特性

EFP特性應[07.75]保護密碼模塊，防止由于故意或意外超出密碼模塊正常運行范圍，對密碼模塊的安全性造成破壞。

密碼模塊應[07.76]對超出闡明的正常運行的溫度和電壓范圍進行監控并做出正確響應。

如果溫度或電壓超出密碼模塊的正常運行范圍，則保護電路應[07.77]：

——關閉密碼模塊，防止繼續運行，或

——立即置零所有未受保護的敏感安全參數。

7.7.4.3　環境失效測試程序

EFT應[07.78]對密碼模塊進行分析、仿真和測試，從而提供合理的保障，確保密碼模塊的安全性不會因密碼模塊溫度和電壓超出正常運行范圍(故意的或意外的)而遭到破壞。

EFT應[07.79]表明：如果密碼模塊的運行溫度或電壓超出正常運行范圍并引起故障，密碼模塊的安全性應[07.80]不會遭到破壞。

溫度范圍應[07.81]按照下列方式測試：從正常運行溫度范圍內下降到最低溫度，此時要么密碼模塊關閉防止繼續運行，要么立即置零所有未受保護的敏感安全參數；并且應從正常運行溫度范圍內上升到最高溫度，此時要么密碼模塊關閉防止繼續運行，要么立即置零所有未受保護的敏感安全參數。溫度的測試范圍應[07.82]為-100℃~+200℃；而且，一旦密碼模塊被關閉以防止繼續運行，或所有未受保護的敏感安全參數被立即置零，或密碼模塊進入故障模式，則測試應[07.83]立即中斷。應[07.84]在敏感部件和關鍵設備處，而不僅在物理邊界上，對溫度進行內部實時監測。

電壓范圍應[07.85]按照下列方式測試：逐漸從正常運行電壓范圍內下降到最低電壓，此時要么密碼模塊關閉防止繼續運行，要么立即置零所有未受保護的敏感安全參數：并且應[07.86]逐漸從正常運行電壓范圍內上升到最高電壓，此時要么密碼模塊關閉防止繼續運行，要么立即置零所有未受保護的敏感安全參數。