6.3 密碼模塊接口

6.3.1 密碼模塊接口通用要求

6.3.1.1 檢測目的

密碼模塊接口通用要求檢測包括3個測評單元，檢測送檢的密碼模塊是否滿足 GB/T 37092-2018 規定的物理端口和邏輯接口要求，以及密碼模塊接口文檔是否按照GB/T37092-2018規定的要求編寫。

6.3.1.2 測評單元[03.01]

安全要求：

所有進出密碼模塊的邏輯信息流，都應只能通過已定義的物理端口和邏輯接口，這些端口和接口是出入密碼邊界的入口和出口。

送檢材料要求：

a)送檢廠商的文檔中應說明密碼模塊的每個物理端口和邏輯接口，包括：

– 物理端口和引腳分配；

– 物理封蓋，門或開口；

– 邏輯接口(如， API和所有其他的數據/控制/狀態信號) 、信號名稱和功能；

– 用于物理控制輸入的手動控制(如，按鈕或開關)；

– 用于物理狀態輸出的物理狀態指示儀(如，指示燈或顯示器)；

– 邏輯接口到物理端口、手動控制和模塊物理狀態顯示之間的映射；

• 上述端口和接口的物理的，邏輯的和電氣的特性。

b)送檢廠商文檔中應通過GB/T37092-2018中A.2.2和B.2.2要求提供的框圖、設計規格、源代碼以及原理圖，說明密碼模塊的信息流和物理接入點。同時還需提供其他有助于明確說明信息流、物理接入點和物理端口、邏輯接口的關系的文檔。

c)對于密碼模塊的每一個物理或邏輯的輸入，以及物理或邏輯的輸出，送檢廠商的文檔中應明確邏輯接口所對應的物理輸入或輸出。

檢測程序要求：

a)檢測人員應核實送檢廠商的文檔說明了密碼模塊的每個物理端口和邏輯接口。所需的說明應包括：

– 所有的物理輸入和輸出端口，包括它們引腳排列，模塊內的物理位置，經過每個端口的邏輯信號的總覽，以及兩個或多個信號共享同一個物理引腳時的信號流的時序；

– 所有的物理封蓋，門或開口，包括它們在模塊內的物理位置，以及通過每個封蓋/門/開口可訪問和/或修改的部件或功能；

– 所有的邏輯輸入和輸出接口(如， API和所有其他的數據/控制/狀態信號) ， 包括列寫或注釋的所有邏輯數據和控制輸入以及數據和狀態輸入的框圖，以及信號名稱和功能的清單和描述；

– 所有用于物理輸入控制信號的手動控制，如開關或按鈕，包括它們在密碼模塊內的位置，以及可手動輸入的控制信號的描述和清單；

– 所有的物理狀態指示，包括它們在模塊內的物理位置和物理輸出狀態指示信號的清單和描述；

– 邏輯輸入輸出接口到物理輸入輸出端口、手動控制、以及密碼模塊物理狀態指示之間的映射；

– 上述物理端口和接口的物理，邏輯和電氣特性，包括引腳分配總覽，加載到每個端口的邏輯信號，電壓幅值及它們的邏輯含義(如，高或低電平代表邏輯“0”“1”或其他意思)和信號的時序。

b)檢測人員應通過檢查GB/T37092-2018中A.2.2和B.2.2要求提供的框圖、設計規格、源代碼以及原理圖，以核實送檢廠商的文檔說明了密碼模塊的所有信息流和物理接入點信息。文檔還應說明密碼模塊信息流和物理訪問點與密碼模塊邏輯接口和物理端口之間的關系。

c)檢測人員應核實對于每個密碼模塊的物理或邏輯輸入，以及物理或邏輯輸出，送檢廠商的文檔明確邏輯接口所對應的物理輸入或輸出。

d)檢測人員應通過檢查密碼模塊，核實送檢廠商文檔中的說明與密碼模塊的實際設計一致。

6.3.1.3 測評單元[03.02]

安全要求：

密碼模塊邏輯接口應是相互分離的，這些邏輯接口可以共享一個物理端口(例如，輸入數據和輸出數據可以使用同一個端口)，或者邏輯接口也可以分布在一個或多個物理端口上(例如，輸入數據可以通過串口也可以通過并口)。

注：密碼模塊軟件部件的API可以定義為一個或多個邏輯接口。

送檢材料要求：

a)送檢廠商的設計應根據安全要求[03.04]所列的類別將模塊的接口分成邏輯上不同和相互分離的類別，并且如果適用，安全要求[03.12]亦可作為依據。這些信息應符合安全要求[03.01]描述的邏輯接口和物理端口的規格。

b)送檢廠商的文檔中應提供每類邏輯接口到密碼模塊的物理端口的之間的映射。邏輯接口可以在物理上分布在多個物理端口上，或兩個或多個邏輯接口可以共享一個物理端口。如果兩個或多個邏輯接口共享同一物理端口，送檢廠商的文檔中應說明這些不同類別接口的信息流是如何在邏輯上相互分離的。

檢測程序要求：

a)檢測人員應通過分析送檢廠商的文檔和檢查密碼模塊來核實，模塊的接口從邏輯上可分成不同的和相互獨立的類別(如安全要求[03.04]和安全要求[03.12]所述)。所有這些信息應符合安全要求[03.01]規定的邏輯接口和物理端口設計規范和規格。

b)檢測人員應核實送檢廠商的文檔中提供了每個類別的密碼模塊的邏輯接口到物理端口的映射。邏輯接口可以在物理上分布在一個或多個物理端口，或者兩個或更多的邏輯接口可以共享一個物理端口。如果兩個或多個接口共享相同的物理端口，檢測人員應核實送檢廠商的文檔中說明了輸入、輸出、控制和狀態接口上的信息流在邏輯上是如何相互分離的。

6.3.1.4 測評單元[03.03]

安全要求：

密碼模塊接口文檔應按照 GB/T 37092-2018 中A.2.3的要求編寫。

送檢材料要求：

送檢廠商的文檔中密碼模塊接口部分應按照 GB/T 37092-2018 中A.2.3的要求編寫。

檢測程序要求：

檢測人員應核實文檔中密碼模塊接口部分滿足 GB/T 37092—2018 中A.2.3的要求。

6.3.2 接口類型

密碼模塊的接口類型包括：

– 硬件密碼模塊接口定義為用于請求硬件密碼模塊服務的命令全集，請求服務的命令中包括輸入到密碼模塊或者由密碼模塊輸出的參數。

– 軟件或固件密碼模塊接口定義為用于請求軟件或固件密碼模塊服務的命令全集，請求服務的命令中包括輸入到密碼模塊或者由密碼模塊輸出的參數。

– 混合固件或混合軟件密碼模塊接口定義為用于請求混合固件或混合軟件密碼模塊服務的命令全集，請求服務的命令中包括輸入到密碼模塊或者由密碼模塊輸出的參數。

注：本條沒有應檢測的條款。

6.3.3 接口定義

6.3.3.1 檢測目的

密碼模塊接口定義檢測包括12個測評單元，檢測送檢的密碼模塊是否具備 GB/T 37092-2018 規定的5種接口：數據輸入接口、數據輸出接口、控制輸入接口、控制輸出接口和狀態輸出接口，以及對于非軟件密碼模塊是否具備電源接口，并檢測是否滿足針對每種接口規定的安全要求。

6.3.3.2 測評單元[03.04]

**安全要求：**

密碼模塊應具備下列5種接口(“輸入”和“輸出”是相對于密碼模塊而言的)：

– 數據輸入接口；

– 數據輸出接口；

– 控制輸入接口；

– 控制輸出接口；

– 狀態輸出接口。

送檢材料要求：

送檢廠商的文檔中應通過以下5個不同定義的邏輯接口(“輸入”和“輸出”是從模塊的角度表示)將密碼模塊接口分成邏輯上不同且隔離的類別：

– 數據輸入接口(作為AS03.05中規定的數據輸入)；

– 數據輸出接口(作為AS03.06和AS03.07中規定的數據輸出)；

– 控制輸入接口(作為AS03.08中規定的命令輸入)；

– 控制輸出接口(作為AS03.09和AS03.10中規定的命令輸出)；

– 狀態輸出接口(作為AS03.11中規定的狀態信息輸出)。

檢測程序要求：

檢測人員應核實送檢廠商的文檔中說明了送檢材料要求[03.04]列出的5個邏輯接口已在密碼模塊內設計。如果是，則核實密碼模塊內的邏輯接口應按安全要求[03.05]~安全要求[03.11]中的功能實現。

6.3.3.3 測評單元[03.05]

安全要求：

由密碼模塊處理的所有輸入數據(通過“控制輸入”接口輸入的控制數據除外)，包括明文、密文、敏感安全參數和另一個密碼模塊的狀態信息，應通過“數據輸入”接口輸入。

送檢材料要求：

a)密碼模塊應有數據輸入接口。所有輸入到模塊和由模塊處理的數據(除通過控制輸入接口輸入的控制數據)應通過數據輸入接口進入，包括：

– 明文數據；

– 密文或簽名數據；

– 加密密鑰和其他密鑰管理數據(明文或密文)；

– 認證數據(明文或加密的)；

– 來自外部源的狀態信息；

– 其他輸入數據。

b)若適用，送檢廠商的文檔中應說明所有與密碼模塊同時使用的外部輸入設備，此設備用于輸入數據到數據輸入接口，如智能卡、令牌、鍵盤、密鑰加載器和/或生物識別設備。

檢測程序要求：

a)檢測人員應通過檢查，核實密碼模塊包括數據輸入接口，并且其功能如前所述。檢測人員應核實所有輸入到模塊和由密碼模塊處理的(除控制數據通過控制輸入接口進入外)數據經數據輸入接口進入，包括：

– 待加密或簽名的明文數據；

– 用于由模塊解密或驗證的密文及簽名數據；

– 輸入到模塊或由模塊使用的明文或加密密鑰以及其他密鑰管理，包括數據和向量初始化，分片密鑰信息，和/或密鑰核算信息(其他密鑰管理要求包含在GB/T37092-2018的7.9中)；

– 輸入到密碼模塊的明文或加密認證數據， 包括登錄口令， PIN， 和/或生物識別設備；

– 來自外部源的狀態信息(如，其他密碼模塊或設備)；

– 除安全要求[03.08]中涵蓋的控制信息外，任何其他輸入到密碼模塊中用于處理或存儲的信息。

b)檢測人員應核實送檢廠商的文檔中是否說明了任何與密碼模塊一起使用并用于輸入數據到數據輸入接口的外部輸入設備，如智能卡、令牌、鍵盤、密鑰加載器和或生物識別設備。檢測人員應使用外部輸入設備輸入數據到數據輸入接口，并使用該外部輸入設備核實該輸入數據。

6.3.3.4 測評單元[03.06]

安全要求：

除“狀態輸出”接口輸出的狀態數據以及通過“控制輸出”接口輸出的控制數據之外，所有從密碼模塊輸出的輸出數據，包括明文、密文和敏感安全參數等，應通過“數據輸出”接口輸出。

送檢材料要求：

a)密碼模塊應具有數據輸出接口。所有已被處理以及由密碼模塊輸出的數據(除通過狀態輸出接口輸出的狀態字外)，包括：

– 明文數據；

– 密文數據和數字簽名；

– 加密密鑰和其他密鑰管理數據(明文或加密的)；

– 對外部目標的控制信息；

– 經過處理或存儲后從密碼模塊輸出的其他信息。

b)若適用，送檢廠商的文檔中應說明所有和密碼模塊同時使用并用于從數據輸出接口輸出數據的外部輸出設備，如智能卡、令牌、顯示器、和/或其他存儲設備。

檢測程序要求：

a)檢測人員應通過檢查，核實密碼模塊具有如前所述的數據輸出接口和數據輸出接口功能。檢測人員應核實所有被密碼模塊處理的和由模塊輸出的數據(除通過狀態數據輸出接口輸出的狀態數據外)，包括：

– 已由密碼模塊解密的明文數據；

– 已加密的密文數據，和由密碼模塊生成的數字簽名；

– 在內部產生并由模塊輸出的明文或加密密鑰以及其他密鑰管理數據，包括初始化數據和向量，分片密鑰信息，和/或密鑰統計信息(其他的密鑰管理要求在 GB/T 37092-2018 的7.9中)；

– 密碼模塊輸出外部目標的控制信息(如，另一個密碼模塊或設備)；

– 其他由密碼模塊處理或存儲后輸出的信息，安全要求[03.11]中說明的狀態信息例外。

b)檢測人員應核實送檢文檔中是否說明了任何與密碼模塊同時使用并用于從數據輸出接口輸出數據的外部輸出設備，如智能卡、令牌、顯示器和/或其他存儲設備。檢測人員應使用外部輸出設備從外部輸出接口輸出數據，并使用該外部輸出設備核實該輸出數據。

6.3.3.5 測評單元[03.07]

安全要求：

在執行手動輸入、運行前自測試、軟件/固件加載和置零的過程中，或者當密碼模塊處在錯誤狀態時，應禁止通過“數據輸出”接口輸出數據。

送檢材料要求：

a)送檢廠商的文檔中應說明在執行手動輸入、運行前自測試、軟件/固件加載和置零的過程中，或者當密碼模塊處在錯誤狀態時，密碼模塊如何禁止數據輸出。

b)送檢廠商的文檔中應說明密碼模塊的設計如何能確保在執行手動輸入、運行前自測試、軟件/固件加載和置零的過程中，或者當密碼模塊處在錯誤狀態時，數據輸出接口禁止輸出所有數據。

檢測程序要求：

a)檢測人員應核實送檢廠商的文檔說明了數據輸出接口禁止輸出所有數據：

– 在執行手動輸入、運行前自測試、軟件/固件加載和置零的過程中；

– 或者當密碼模塊處在錯誤狀態時。

該檢測程序可以重述如下：

– 檢測人員應從送檢文檔中核實一旦以下的每一個服務啟動：手動輸入、運行前自測試、軟件/固件加載或置零，從數據輸出接口禁止輸出所有數據，直到服務成功完成；

– 檢測人員應從送檢文檔中核實一旦檢測到一個錯誤條件或進入了錯誤狀態，從數據輸出接口禁止輸出所有數據，直到錯誤恢復發生。

b)檢測人員應使密碼模塊進入以下的每個狀態，并驗證此時數據輸出接口禁止輸出所有數據：

– 執行手動輸入敏感安全參數狀態；

– 執行運行前自測試的狀態；

– 執行軟件/固件加載狀態；

– 執行置零狀態；

– 錯誤狀態。

如果檢測人員不能使模塊產生錯誤，送檢廠商應對檢測人員提供該檢測不能進行的合理解釋。在這種情況下，檢測人員應遵循確認機構允許的替代程序以確保從數據輸出接口禁止輸出所有數據。

示例1：檢測適用的源代碼。

c)檢測人員應核實送檢廠商的文檔說明了密碼模塊處于自測試模式時，數據輸出接口禁止輸出所有數據。檢測人員應通過送檢廠商的文檔核實模塊一旦執行自測試，數據輸出接口禁止輸出所有數據，直至自測試結束。用來顯示自測試結果的狀態信息可允許從狀態輸出接口輸出。

d)檢測人員應使模塊執行自測試并核實數據輸出接口禁止所有數據的輸出。如果狀態信息從狀態輸出接口輸出用以顯示自測試結果，檢測人員應核實其不含關鍵安全參數，明文數據或其他濫用可能造成安全威脅的信息。如果檢測人員不能在指定的自檢狀態下嘗試數據輸出，送檢廠商應對檢測人員提供該檢測不能進行的合理解釋。在這種情況下，檢測人員應遵循確認機構允許的替代程序以確保從數據輸出接口禁止輸出所有數據。

示例2：檢測適用的源代碼。

示例3：使用模擬器。

示例4：使用調試器。

e)檢測人員應核實送檢廠商的文檔說明了密碼模塊如何確保在自測試或錯誤模式下數據輸出接口禁止輸出所有數據。檢測人員還應通過檢查，核實密碼模塊的設計，即數據輸出接口無論是在邏輯上還是物理上在上述情況下是禁用的。

6.3.3.6 測評單元[03.08]

安全要求：

所有用于控制密碼模塊運行的輸入命令、信號(例如，時鐘輸人)及控制數據(包括手動控制如開關、按鈕和鍵盤，以及功能調用)應通過“控制輸入”接口輸入。

送檢材料要求：

a)密碼模塊應具有控制輸入接口。用于控制密碼模塊操作的所有命令，信號和控制數據(除經數據輸入接口輸入的數據)應經控制輸入接口進入，包括：

– 命令輸入， 邏輯上通過API輸入(例如， 軟件和密碼模塊的固件) ；

– 信號輸入，邏輯或物理上通過一個或多個的物理端口(例如，密碼模塊的硬件部件)；

– 手動控制輸入(例如，使用開關、按鈕或鍵盤)；

– 其他輸入控制數據。

b)若適用，送檢廠商的文檔中應說明所有與密碼模塊一起使用并用于向控制輸入接口輸入命令，信號和控制數據的外部輸入設備，如智能卡、令牌或鍵盤。

檢測程序要求：

a)檢測人員應通過檢查，核實密碼模塊包括了控制輸入接口，并且控制輸入接口如前所述。檢測人員應檢查用于控制密碼模塊操作的所有命令，信號，和控制數據(除通過數據輸入接口輸入的數據)都應通過控制輸入接口輸入，包括：

– 命令輸入， 邏輯上通過API輸入， 如調用軟件庫或智能卡的函數；

– 信號輸入，邏輯或物理上通過一個或多個物理端口輸入的信號，如通過串行端口或PC卡下發的命令或信號；

– 手動控制輸入(例如，使用開關、按鈕或鍵盤)；

– 其他輸入控制數據。

b)檢測人員應核實送檢廠商的文檔中是否說明了用于向控制輸入接口輸入命令，信號和控制數據的所有外部輸入設備，如智能卡、令牌或鍵盤。檢測人員應使用外部輸入設備輸入命令到控制輸入接口，并使用該外部輸入設備核實該輸入命令。

6.3.3.7 測評單元[03.09]

安全要求：

所有用于控制密碼模塊運行的輸出命令、信號及控制數據(例如，對另一個密碼模塊的控制命令)應通過“控制輸出”接口輸出。
送檢材料要求：

a)密碼模塊應具有控制輸出接口。用于控制密碼模塊操作的輸出命令，信號和控制數據應經控制輸出接口輸出。

b)若適用，送檢廠商的文檔中應說明所有和密碼模塊同時使用并用于從控制輸出接口輸出控制數據的外部設備，如智能卡、令牌、顯示器和/或其他存儲設備。

檢測程序要求：

a)檢測人員應核實用于控制密碼模塊操作的輸出命令，信號和控制數據經控制輸出接口輸出。

b)檢測人員應核實送檢廠商的文檔中是否說明了任何與密碼模塊同時使用并用于從控制輸出接口輸出控制數據的外部設備，如智能卡、令牌、顯示器和/或其他存儲設備。

6.3.3.8 測評單元[03.10]

安全要求：

當密碼模塊處于錯誤狀態時，應禁止通過“控制輸出”接口的控制輸出，除非在安全策略中規定了一些例外情況。

送檢材料要求：

a)送檢廠商的文檔中應說明密碼模塊處于錯誤狀態時，采用什么策略來禁止密碼模塊通過“控制輸出”接口來輸出。

b)送檢廠商文檔應詳細描述當密碼模塊處于自檢狀態時，密碼模塊的設計是如何保證控制輸出接口禁止控制輸出。

檢測程序要求：

a)檢測人員應核實當密碼模塊處于錯誤狀態時，禁止通過“控制輸出”接口輸出。

b)檢測人員應核實當密碼模塊處于自檢狀態時，禁止通過“控制輸出”接口輸出。

6.3.3.9 測評單元[03.11]

安全要求：

所有用于指示密碼模塊狀態的輸出信號、指示器(例如，錯誤指示器)和狀態數據[包括返回碼和物理指示器，比如視覺的(顯示器、指示燈)，聲音的(蜂鳴器、提示音、響鈴)，以及機械的(振動器)]，應通過“狀態輸出”接口輸出。

注：狀態輸出可以是顯式地或隱式地。

送檢材料要求：

a)密碼模塊應具有狀態輸出接口。所有用于顯示或指示模塊狀態的狀態信息，信號，邏輯指示以及物理指示儀應通過狀態輸出接口輸出，包括：

– 狀態信息輸出， 邏輯上通過API輸出；

– 信號輸出，邏輯或物理上通過一個或多個物理端口輸入的信號，如通過串行端口或PC卡下發的命令或信號；

– 手動狀態輸出(例如，使用顯示器、指示器、燈、蜂鳴器、提示音、響鈴)；

– 其他輸出狀態信息。

b)若適用，送檢廠商的文檔中應說明所有的外部輸出設備，該類設備用于通過狀態輸出接口輸出狀態信息，信號，邏輯指示和物理指示，如智能卡、令牌、顯示器和/或其他存儲設備。

檢測程序要求：

a)檢測人員應通過檢查，核實密碼模塊包括了狀態輸出接口，且狀態輸出接口功能如前所述。檢測人員應檢查所有用于指示或顯示模塊狀態的狀態信息，信號，邏輯指示，和物理指示儀應通過狀態輸出接口輸出，包括：

– 狀態信息輸出， 邏輯上通過API輸出， 如調用軟件庫或智能卡的函數；

– 信號輸出，邏輯或物理上通過一個或多個物理端口輸入的信號，如通過串行端口或PC卡下發的狀態信息；

– 手動狀態輸出(如， 使用LED、蜂鳴器或顯示器) ；

– 其他輸出狀態信息。

b)檢測人員應核實送檢廠商的文檔中說明了所有的外部輸出設備(若適用)，該類設備用于通過狀態輸出接口輸出狀態信息，信號，邏輯指示和物理指示，如智能卡、令牌、顯示器和/或其他存儲設備。

6.3.3.10 測評單元[03.12]，測評單元[03.13]

安全要求：

除軟件密碼模塊以外，所有密碼模塊還應具備下列接口：

– 電源接口：輸入密碼模塊的所有外部電能應通過電源接口輸入。

注：當所有電能由密碼模塊內部提供或維持時，則電源接口不是必需的，內部電池的替換被認為是物理維護行為，滿足 GB/T 37092-2018 中7.7指定的要求。

送檢材料要求：

a)如果密碼模塊需要向密碼邊界外的其他元件提供電能，或從密碼邊界外的其他元件獲取電能(例如，電源或外部電池)，送檢文檔中應指定電源接口及相關的物理端口。

b)所有從密碼邊界外的其他元件輸入到密碼模塊或從密碼模塊輸出到密碼邊界外的其他元件的電能應通過指定電源接口。

檢測程序要求：

a)檢測人員應核實送檢廠商的文檔中說明密碼模塊是否需要從密碼邊界外的其他元件獲取電能，或者是否向密碼邊界外的其他元件提供電能(例如，電源、電源線、電源插口/插座，或外部電池)。檢測人員還應核實送檢廠商的文檔中指定的電源接口和相應的物理端口。

b)通過檢查密碼模塊，檢測人員應核實從密碼模塊輸入或輸出到密碼邊界外的其他元件的電能通過指定的電源接口。

6.3.3.11 測評單元[03.14]

安全要求：

密碼模塊應區分數據、控制信息和電源的輸入，以及數據、控制信息、狀態信息和電源的輸出。

送檢材料要求：

a)送檢廠商的文檔中應說明密碼模塊是如何區分數據、控制信息和電源的輸入，以及數據、控制信息、狀態信息和電源的輸出。通過密碼模塊輸入接口輸入數據和控制信息的物理和邏輯路徑，在物理上和邏輯上是如何與通過密碼模塊輸出接口輸出數據、控制信息和狀態信息的物理和邏輯路徑區分開來的。

b)送檢廠商的文檔中應說明用于輸入數據和控制信息的物理邏輯路徑如何在物理上和邏輯上與用于輸出數據、控制信息和狀態信息的物理邏輯路徑區分開來。如果用于輸入數據和控制信息的物理邏輯路徑與用于輸出數據、控制信息和狀態信息的物理邏輯路徑是物理共享的，送檢廠商的文檔中應說明密碼模塊是如何強制實現邏輯分離。

c)送檢廠商文檔應具有一致性，應說明密碼模塊區分數據、控制的輸入和數據、控制、狀態的輸出，應說明通過密碼模塊可用的輸入接口輸入數據和控制信息的物理和邏輯路徑，在物理上和邏輯上與通過密碼模塊可用的輸出接口輸出數據、控制和狀態信息的物理和邏輯路徑是相分離的。

檢測程序要求：

a)檢測人員應核實送檢廠商的文檔中說明了密碼模塊如何區分輸人數據、控制信息以及輸出數據、控制信息和狀態信息。從數據輸入接口輸入的數據和從控制輸入接口輸入的控制信息應在邏輯上或物理上與數據輸出接口的輸出數據、控制輸出接口輸出的控制信息和狀態輸出接口的狀態信息區分開。

b)檢測人員應核實送檢廠商的文檔中說明了輸入數據和控制信息的物理邏輯路徑如何與輸出數據、控制和狀態信息的物理邏輯路徑如何在物理上和邏輯上分開。如果用于輸入數據和控制信息的物理邏輯路徑與用于輸出數據、控制和狀態信息的物理邏輯路徑是物理共享的，檢測人員應核實送檢廠商的文檔說明了密碼模塊是如何強制實現邏輯分離的。

c)檢測人員應核實送檢廠商文檔的一致性，核實密碼模塊區分數據、控制的輸入和數據、控制、狀態的輸出，以及通過可用的輸入接口輸入數據和狀態信息的物理和邏輯路徑，與通過可用的輸出接口輸出數據、控制和狀態信息的物理和邏輯路徑在物理上和邏輯上是相分離的。

6.3.3.12 測評單元[03.15]

安全要求：

密碼模塊規格應明確規定輸入數據以及控制信息的格式，包括對所有可變長度輸入的長度限制。

送檢材料要求：

送檢廠商的文檔中密碼模塊規格部分應明確規定密碼模塊輸入數據以及控制信息的格式，包括對所有可變長度輸入的限制。

檢測程序要求：

檢測人員應核實文檔中密碼模塊規格部分明確規定了密碼模塊輸入數據以及控制信息的格式，包括對所有可變長度輸入的長度限制。

6.3.4 可信信道

6.3.4.1 檢測目的

可信信道檢測包括7個測評單元，檢測安全三級及四級密碼模塊是否已實現可信信道，以及實現方式是否安全。

6.3.4.2 測評單元[03.16]

安全要求：

密碼模塊應實現可信信道，用于在密碼模塊與發送者或接收者終端之間傳輸未受保護的明文密鑰分量、鑒別數據以及其他關鍵安全參數。

送檢材料要求：

送檢廠商的文檔中應說明實現了可信信道，并描述可信信道的實現方式。

檢測程序要求：

檢測人員應核實密碼模塊實現了可信信道，并核實該可信信道可以保證在密碼模塊與發送者或接收者終端之間傳輸未受保護的明文關鍵安全參數、密鑰分量以及鑒別數據的安全性。

6.3.4.3 測評單元[03.17]

安全要求：

可信信道應防止在通信鏈路上的非授權修改、替換和泄露。

送檢材料要求：

送檢廠商的文檔中應說明可信信道可以防止在通信鏈路上的非授權修改、替換和泄露。

檢測程序要求：

a)檢測人員未授權修改可信信道上傳輸的數據，應不被接受。

b)檢測人員替換可信信道上傳輸的數據，應不被接受。

c)檢測人員應無法偵聽獲取到可信信道上傳輸的數據。

6.3.4.4 測評單元[03.18]

安全要求：

可信信道使用的邏輯接口應與其他邏輯接口實現邏輯隔離。

送檢材料要求：

送檢廠商的文檔中應說明可信信道所使用的物理端口，并描述其如何與其他物理端口實現物理隔離。

檢測程序要求：

a)檢測人員應核實文檔中說明了可信信道所使用的物理端口，并描述了如何與其他物理端口實現物理隔離。

b)檢測人員應核實可信信道所采用的物理端口與其他物理接口物理上隔離。

6.3.4.5 測評單元[03.19]

安全要求：

可信信道使用的物理端口應與其他物理端口實現物理隔離。

送檢材料要求：

送檢廠商的文檔中應說明可信信道所使用的邏輯接口，并描述其如何與其他邏輯接口隔離。

檢測程序要求：

a)送檢廠商的文檔中應說明可信信道所使用的邏輯端口，并描述其如何與其他邏輯端口實現邏輯隔離。

b)檢測人員應核實可信信道所采用的邏輯接口與其他邏輯接口邏輯上隔離。

6.3.4.6 測評單元[03.20]

安全要求：

基于身份的鑒別應用于所有使用可信信道的服務。

送檢材料要求：

a)送檢廠商的文檔中應列舉所有使用可信信道的服務。

b)送檢廠商的文檔中應說明所有使用可信信道的服務采用了基于身份的鑒別，并描述實現方式。

檢測程序要求：

a)檢測人員應核實送檢廠商的文檔中列舉了所有使用可信信道的服務。

b)檢測人員應核實所有使用可信信道的服務采用了基于身份的鑒別，并核實實現方式的安全性。

6.3.4.7 測評單元[03.21]

安全要求：

當可信信道在使用時，應提供狀態指示器。

送檢材料要求：

送檢廠商的文檔中應說明使用可信信道的狀態指示器和狀態信息。

檢測程序要求：

a)檢測人員應核實密碼模塊具有可信信道使用狀態指示器。

b)檢測人員應核實可信信道在使用時，狀態指示器正確指示狀態。

6.3.4.8 測評單元[03.22]

安全要求：

基于身份的多因素鑒別應用于所有使用可信信道的服務。

送檢材料要求：

送檢廠商的文檔中應說明所有使用可信信道的服務采用了基于身份的多因素鑒別，并描述實現方式。

檢測程序要求：

檢測人員應核實所有使用可信信道的服務采用了基于身份的多因素鑒別，并核實實現方式的安全性。