7.4　FIA類：標識和鑒別

7.4　FIA類：標識和鑒別

7.4.1　鑒別失敗處理(FIA_AFL_EXT.1)

FIA_AFL_EXT.1.1 移動終端的安全功能應檢測何時發生[賦值：正整數]次相對于該用戶最后成功鑒別的未成功鑒別嘗試。
FIA_AFL_EXT.1.2 當超過所定義的未成功鑒別嘗試的次數，移動終端的安全功能應擦除所有受保護的數據。

7.4.2　藍牙用戶鑒別(FIA_BLT_EXT.1)

FIA_BLT_EXT.1.1 移動終端的安全功能應在與其他藍牙設備配對前要求進行用戶鑒別。

7.4.3　端口訪問實體鑒別(FIA_PAE_EXT.1)

FIA_PAE_EXT.1 對于“請求”角色中的端口訪問實體，移動終端的安全功能應符合IEEE標準802.1X。

7.4.4　口令管理(FIA_PMG_EXT.1)

FIA_PMG_EXT.1.1 TSF應支持以下口令鑒別因子：

1. 口令應能夠由[選擇: 大寫和小寫字母，[賦值：至少52個字母集合]]，數字和特殊字符 [選擇： “!”, “@”, “#”, “$”, “%”, “^”, “&”, “*”, “(“, “)”, 賦值：其他字符]的任意組合來構成；
2. 口令的長度應支持[賦值：大于等于14的整數]個字符。

   7.4.5　鑒別節流(FIA_TRT_EXT.1)

   FIA_TRT_EXT.1.1 移動終端的安全功能應通過[選擇：防止通過外部接口鑒別，在不正確鑒別嘗試之間強加一個時延]來自動限制用戶鑒別嘗試。用戶鑒別嘗試連續失敗次數不超過10次，兩次嘗試間隔應不小于500毫秒。

7.4.6　受保護的鑒別反饋(FIA_UAU.7)

FIA_UAU.7.1 對于鑒別正在進行的用戶，移動終端的安全功能應向終端的提供隱式顯示。

7.4.7　加密運算鑒別(FIA_UAU_EXT.1)

FIA_UAU_EXT.1.1 在啟動時，移動終端的安全功能應在解密受保護數據和加密DEKs、KEKs和[選擇：長期可信信道的密鑰材料，所有基于軟件的密鑰存儲，無其他密鑰]之前，要求用戶給出口令鑒別因子。

7.4.8　鑒別的時機(FIA_UAU_EXT.2)

FIA_UAU_EXT.2.1 在用戶被鑒別之前，移動終端的安全功能應允許執行代表用戶的[選擇：[賦值：動作列表]，無其他動作]。

7.4.9　重鑒別(FIA_UAU_EXT.3)

FIA_UAU_EXT.3.1 當用戶更改口令鑒別因子時，移動終端的安全功能應要求用戶輸入正確的口令鑒別因子，并按照TSF和用戶發起的鎖定過度到解鎖狀態，和[選擇：[賦值：其他條件]，無其他條件]。

7.4.10　證書的驗證(FIA_X509_EXT.1)

FIA_X509_EXT.1.1 TSF應按照下面的規則驗證證書：
? 國家標準或國際標準規定的證書驗證和證書路徑驗證。
? 證書路徑必須以信任錨數據庫中的證書終止。
? 對于所有CA證書，TSF應通過確保basicConstraints擴展的存在和將CA標志設置為TRUE來驗證一個證書的路徑。
? 移動終端的安全功能應使用[選擇：規定的在線證書狀態協議，規定的證書撤銷列表]來驗證證書的吊銷狀態。
? 移動終端的安全功能應按照以下規則來驗證extendedKeyUsage域：
o 用于可信更新和執行代碼完整性驗證的證書應在extendedKeyUsage域具有代碼簽名用途。
o 在 extendedKeyUsage 域，提交給TLS的服務器證書應具有服務器驗證用途。

7.4.11　X509證書鑒別(FIA_X509_EXT.2)

FIA_X509_EXT.2.1 移動終端的安全功能應使用規定的證書來支持EAP-TLS 交換鑒別，以及[選擇： IPsec, TLS, HTTPS, DTLS]]，和[選擇：系統軟件更新代碼簽名，移動應用代碼簽名，完整性驗證代碼簽名，[賦值：其他用途]，沒有其他用途]。

7.4.12　證書請求驗證(FIA_X509_EXT.2)

FIA_X509_EXT.3.1 移動終端的安全功能應向應用程序提供證書驗證服務。