GB/T 38625-2020 信息安全技術 密碼模塊安全檢測要求6.4 角色、服務和鑒別
6.4.1 角色、服務和鑒別通用要求
6.4.1.1 檢測目的
角色、服務和鑒別通用要求檢測包括3個測評單元,檢測送檢的密碼模塊是否支持操作員角色和角色相對應的服務,以及不同操作員之間角色和服務是否相隔離,并檢測角色、服務和鑒別文檔是否按照 GB/T 37092—2018 規定的要求編寫。
6.4.1.2測評單元[04.01]
安全要求:
密碼模塊應支持操作員的授權角色以及與每個角色相對應的服務。
送檢材料要求:
本條不單獨提供材料。
檢測程序要求:
本條不單獨進行檢測。
6.4.1.3 測評單元[04.02]
安全要求:
如果密碼模塊支持多個操作員同時操作,那么密碼模塊內部應確保各個操作員擔任的角色相隔離及相應的服務相隔離。
送檢材料要求:
a)送檢廠商的文檔中應說明是否支持多個操作員同時操作。
b)如果密碼模塊支持多個操作員同時操作,送檢廠商應描述怎樣實現每一個操作員擔任角色相隔離及相應服務相隔離的方法。
c)送檢廠商的文檔還應描述對多個操作員的限制。
示例1:不允許一個操作員既是維護員角色又是用戶角色。
示例2:支持多個操作員(在一個用戶角色中多達16個操作員)同時操作,但是密碼模塊中一次只能運行一個RSA密鑰生成服務。
示例3:當密碼主管角色中的多個操作員同時登錄時,但每個密碼主管不能更改密碼主管角色中其他操作員的鑒別數據。
檢測程序要求:
a)檢測人員應核實送檢廠商的文檔中如實描述密碼模塊實現的多個操作員角色與服務強制相隔離的方法。
b)檢測人員應擔任兩個獨立操作員的身份:操作員1和操作員2。操作員應賦予不同的角色。檢測人員應核實,每個角色只執行分配于其角色的服務。對于每一個操作員,檢測人員應測試其可否執行其他操作員擔任角色的服務,以此來核實不同操作員角色與服務的分離。
c)如果送檢廠商的文檔給出關于多個操作員行為的限制條件,檢測人員應嘗試以獨立操作員身份并行地擔任受限角色,嘗試違反限制條件,以此核實模塊通過阻止第二操作員擔任角色,強制執行這些約束。
6.4.1.4 測評單元[04.03]
安全要求:
密碼模塊角色、服務和鑒別文檔應按照GB/T37092-2018中A.2.4規定的要求編寫。
送檢材料要求:
送檢廠商的文檔中角色、服務和鑒別部分應按照 GB/T 37092-2018 中A.2.4規定的要求編寫。
檢測程序要求:
檢測人員應核實文檔中角色、服務和鑒別部分按照 GB/T 37092-2018 中A.2.4規定的要求編寫。
6.4.2 角色
6.4.2.1 檢測目的
角色檢測包括4個測評單元,檢測送檢的密碼模塊是否已支持密碼主管角色及該角色的功能,并檢測密碼模塊是否支持用戶和/或維護員角色。
6.4.2.2 測評單元[04.04]
安全要求:
密碼模塊應至少支持密碼主管角色。
送檢材料要求:
本條不單獨提供材料。
檢測程序要求:
本條不單獨進行檢測。作為測評單元[04.05]的一部分進行檢測。
6.4.2.3 測評單元[04.05]
安全要求:
密碼主管角色應負責執行密碼初始化或管理功能,以及常用的安全服務,例如,密碼模塊初始化、關鍵安全參數和公開安全參數的管理以及審計功能。
送檢材料要求:
送檢廠商的文檔中說明密碼模塊應至少包括一個密碼主管角色。密碼主管角色應按名稱和許可的服務指定。
檢測程序要求:
檢測人員應從送檢廠商的文檔中核實至少定義了一個密碼主管角色。檢測人員應核實密碼主管角色是按安全要求[04.05]中規定的名稱和許可的服務指定。
6.4.2.4 測評單元[04.06]
安全要求:
如果密碼模塊支持用戶角色,那么用戶角色應負責執行一般的安全服務,包括密碼操作和其他核準的安全功能。
送檢材料要求:
如果密碼模塊支持用戶角色,送檢廠商的文檔中應明確聲明支持用戶角色,并完全按名稱和許可的服務指定角色。
檢測程序要求:
檢測人員應從送檢廠商的文檔中確定密碼模塊是否支持用戶角色。如果密碼模塊支持用戶角色,則檢測人員應從送檢廠商的文檔中核實至少定義了一個用戶角色。檢測人員應核實用戶角色是按安全要求[04.06]中規定的名稱和許可的服務指定。
6.4.2.5 測評單元[04.07]
安全要求:
當進入或退出維護員角色時,所有不受保護的敏感安全參數應被置零。
送檢材料要求:
a)如果密碼模塊具有維護訪問接口,送檢廠商的文檔中應:
– 明確聲明支持維護員角色;
– 安全按名稱、目的和許可的服務指定的角色。
b)送檢廠商的文檔中應說明當維護員角色登錄或退出時,模塊的敏感安全參數是怎樣動態清零的。
檢測程序要求:
a)如果送檢廠商的文檔中說明密碼模塊實現了維護員角色,檢測人員應核實送檢廠商的文檔中說明了當進入或退出維護員角色時,清零所有未經加密的敏感安全參數的方法。
b)在非維護員角色狀態下,檢測人員應為所有未經加密的敏感安全參數加載非零值。進入維護員角色后,檢測人員應核實清零已被執行。
c)在維護員角色狀態下,檢測人員應為所有未經加密的敏感安全參數加載非零值,從維護員角色退出后,檢測人員應核實清零已被執行。
6.4.3 服務
6.4.3.1 服務通用要求
6.4.3.1.1 檢測目的
服務通用要求檢測包括10個測評單元,檢測送檢的密碼模塊是否提供了應有的密碼服務。
6.4.3.1.2 測評單元[04.08]
安全要求:
服務應指的是密碼模塊所能執行的所有服務、操作或功能。
送檢材料要求:
本條不單獨提供材料。
檢測程序要求:
本條不單獨進行檢測。
6.4.3.1.3 測評單元[04.09]
安全要求:
服務輸入應包括密碼模塊在啟動或獲取特定服務、操作或功能時,所使用的所有數據或控制輸入。
送檢材料要求:
本條不單獨提供材料。
檢測程序要求:
本條不單獨進行檢測。
6.4.3.1.4 測評單元[04.10]
安全要求:
服務輸出應包括由服務輸入啟動或獲取的服務、操作或功能,所產生的所有數據和狀態輸出。
送檢材料要求:
本條不單獨提供材料。
檢測程序要求:
本條不單獨進行檢測。
6.4.3.1.5 測評單元[04.11]
安全要求:
每個服務輸入應產生一個服務輸出。
送檢材料要求:
本條不單獨提供材料。
檢測程序要求:
本條不單獨進行檢測。
6.4.3.1.6 測評單元[04.12]
安全要求:
– 顯示密碼模塊版本號;
– 顯示狀態;
– 執行自測試;
– 執行核準的安全功能;
– 執行置零。
送檢材料要求:
本條不單獨提供材料。
檢測程序要求:
本條在測評單元[04.13]~測評單元[04.17]中進行檢測。
6.4.3.1.7 測評單元[04.13]
安全要求:
密碼模塊應輸出名稱或密碼模塊標識符以及版本信息,這些信息可以與密碼模塊的確認記錄相關聯。
送檢材料要求:
a)送檢廠商的文檔中應說明密碼模塊具有輸出名稱或模塊標識符以及版本信息的服務,并描述具體操作步驟和方法。
b)送檢廠商的文檔中應說明密碼模塊輸出的名稱或模塊標識符以及版本信息的定義規則,并說明這些信息是否與模塊的確認記錄相關聯。
檢測程序要求:
b)檢測人員應核實密碼模塊輸出的名稱或模塊標識符以及版本信息的定義規則與文檔中定義的規則符合。
c)如果密碼模塊輸出的名稱或模塊標識符以及版本信息與模塊的確認記錄相關聯,檢測人員應核實。
6.4.3.1.8 測評單元[04.14]
安全要求:
密碼模塊應輸出當前的狀態。
送檢材料要求:
送檢廠商的文檔中應說明密碼模塊具有輸出當前狀態的服務。
檢測程序要求:
a)檢測人員應核實送檢廠商的文檔中說明了密碼模塊具有輸出當前狀態的服務。
b)檢測人員應核實密碼模塊具有輸出當前狀態的服務。
6.4.3.1.9 測評單元[04.15]
安全要求:
密碼模塊應執行初始化和規定于 GB/T 37092-2018 中7.10.2的運行前自測試。
送檢材料要求:
送檢廠商的文檔中應說明密碼模塊具有初始化和運行前自測試服務。
檢測程序要求:
a)檢測人員應核實送檢廠商的文檔中說明了密碼模塊具有初始化和運行前自測試服務。
b)檢測人員應核實密碼模塊的初始化和運行前自測試服務。
6.4.3.1.10 測評單元[04.16]
安全要求:
密碼模塊應至少執行一個在 GB/T 37092-2018 中7.2.4規定的核準的工作模式中使用的核準的安全功能。
送檢材料要求:
送檢廠商的文檔中應說明密碼模塊核準的工作模式中使用的核準的安全功能。
檢測程序要求:
檢測人員應核實送檢廠商的文檔中說明的密碼模塊核準的工作模式中使用的核準的安全功能。
6.4.3.1.11 測評單元[04.17]
安全要求:
密碼應按照 GB/T 37092-2018 中7.9.7的規定執行參數置零。
送檢材料要求:
送檢廠商的文檔中應說明密碼模塊支持密碼參數置零的服務。
檢測程序要求:
檢測人員應核實送檢廠商的文檔中說明了密碼模塊支持密碼參數置零的服務。
6.4.3.2 旁路能力
6.4.3.2.1 檢測目的
旁路能力檢測包括6個測評單元,檢測送檢的密碼模塊的旁路能力的實現是否安全。
6.4.3.2.2 測評單元[04.18]
安全要求:
如果密碼模塊輸出的數據是受到密碼技術保護的(例如,經過加密),但是通過更改密碼模塊的配置或者由于操作員的干預,密碼模塊能夠將數據直接輸出(例如,不再經過加密),此時,應定義該密碼模塊具有旁路能力。
送檢材料要求:
本條不單獨提供材料。
檢測程序要求:
本條不單獨進行檢測。
6.4.3.2.3 測評單元[04.19]
安全要求:
如果密碼模塊實現了旁路能力,那么在開啟密碼模塊的旁路功能之前,操作員應擔任相應的授權角色。
送檢材料要求:
a)如果模塊實現旁路能力,送檢廠商的文檔中應描述這個旁路服務。
b)送檢廠商的文檔中應說明在開啟密碼模塊的旁路功能之前,操作員應擔任相應的授權角色。
檢測程序要求:
a)如果模塊實現旁路能力,檢測人員應核實送檢廠商的文檔中描述了這個旁路服務。
b)檢測人員應核實送檢廠商的文檔中說明了在開啟密碼模塊的旁路功能之前,操作員應擔任相應的授權角色。
c)檢測人員應核實操作員被授權相應角色后才可以開啟密碼模塊的旁路功能。
6.4.3.2.4 測評單元[04.20]
安全要求:
如果密碼模塊實現了旁路能力,那么應使用兩個獨立的內部操作來激活旁路能力,以防止單個錯誤造成不經意地輸出明文數據。
送檢材料要求:
本條不單獨提供材料。
檢測程序要求:
本條作為測評單元[04.21]的一部分進行檢測。
6.4.3.2.5 測評單元[04.21]
安全要求:
(接安全要求[04.20])這兩個獨立的內部操作應能夠改變用于控制旁路能力的軟件和/或硬件配置(例如,設置兩個不同的軟件或硬件標志位,其中一個可以由用戶發起)。
送檢材料要求:
a)送檢廠商的文檔應說明使用兩個獨立的內部操作來激活旁路能力。
b)送檢廠商的文檔中應說明兩個獨立的內部操作能夠改變用于控制旁路能力的軟件和/或硬件配置,并描述這兩個獨立的內部操作。
檢測程序要求:
a)檢測人員應核實送檢廠商的文檔說明了需要使用兩個獨立的內部操作來激活旁路能力。
b)檢測人員應核實密碼模塊需要兩個獨立的內部操作才能激活旁路功能。
c)檢測人員應核實送檢廠商的文檔說明了兩個獨立的內部操作能夠改變用于控制旁路能力的軟件和/或硬件配置。
d)檢測人員應核實兩個獨立的內部操作能夠改變用于控制旁路能力的軟件和/或硬件配置。
6.4.3.2.6 測評單元[04.22]
安全要求:
(接安全要求[04.20])對于安全四級密碼模塊,上述兩個獨立的內部操作應由兩個不同的操作員完成。
送檢材料要求:
送檢廠商的文檔中應描述如何由兩個不同的操作員共同完成兩個獨立的內部操作才能激活旁路能力。
檢測程序要求:
a)檢測人員應核實激活旁路能力的內部操作和步驟。
b)檢測人員應擔任兩個獨立操作員的身份:操作員1和操作員2。操作員1和操作員2分別完成兩個獨立的內部操作,來核實可以激活旁路能力。然后由操作員1完成兩個獨立的內部操作,來核實不能激活旁路能力。
6.4.3.2.7 測評單元[04.23]
安全要求:
如果密碼模塊實現了旁路能力,那么密碼模塊應顯示其狀態以指示旁路能力是否:
– 未被激活,表明密碼模塊此時只提供使用密碼功能的服務(例如,明文數據經過加密之后輸出密碼模塊);
– 被激活,表明密碼模塊此時只提供沒有使用密碼功能的服務(例如,明文數據未經過加密就輸出密碼模塊);
– 同時存在激活和去活,表明密碼模塊此時提供的某些服務使用了密碼功能,而某些服務沒有使用密碼功能(例如,對于擁有多個通信信道的密碼模塊,明文數據是否被加密取決于每個信道的配置)。
送檢材料要求:
送檢廠商的文檔中應描述如何指示旁路能力是否被激活的狀態。
檢測程序要求:
檢測人員應核實密碼模塊具備狀態指示,可以明確表示旁路功能是否被激活的狀態。
6.4.3.3 自啟動密碼服務能力
6.4.3.3.1 檢測目的
自啟動密碼服務能力檢測包括5個測評單元,檢測送檢的密碼模塊的自啟動密碼服務能力的實現是否安全。
6.4.3.3.2 測評單元[04.24]
安全要求:
自啟動密碼服務能力應由密碼主管配置,而且該配置可以在密碼模塊經過重置、重啟或開關電源之后保留下來。
送檢材料要求:
如果密碼模塊支持自啟動密碼服務能力,送檢廠商的文檔中應說明該功能只能由密碼主管配置,而且該配置在模塊重置、重啟或開關電源之后可以保留下來。
檢測程序要求:
a)檢測人員應核實密碼模塊自啟動能力由密碼主管配置。
b)檢測人員應核實密碼模塊自啟動配置成功后,在模塊重置、重啟或開關電源后該配置可以保留下來。
6.4.3.3.3 測評單元[04.25]
安全要求:
如果密碼模塊實現了自啟動密碼服務能力,那么應需要兩個獨立的內部操作來激活該能力,以防止單個錯誤造成不經意的輸出。
送檢材料要求:
本條不單獨提供材料。
檢測程序要求:
本條作為測評單元[04.26]的一部分進行檢測。
6.4.3.3.4 測評單元[04.26]
安全要求:
(接安全要求[04.25])這兩個獨立的內部操作應能夠改變用于控制該能力的軟件和/或硬件配置(例如,設置兩個不同的軟件或硬件標志位,其中一個可以由用戶發起)。
送檢材料要求:
a)送檢廠商應定義兩個獨立的內部操作來激活自啟動密碼服務能力。
b)送檢廠商應提供文檔詳細說明兩個獨立的內部操作是如何改變用于控制自啟動密碼服務能力的軟件和/或硬件的配置。
c)送檢廠商應提供文檔詳細說明兩個獨立的內部操作是如何防止單個錯誤造成不經意的輸出。
檢測程序要求:
a)檢測人員應確定密碼模塊是否實現了自啟動密碼服務能力。檢測人員應核實送檢廠商文檔詳細說明了在執行自啟動密碼服務能力前,密碼模塊執行了兩個獨立的內部操作。同時檢測人員應核實送檢廠商文檔詳細說明了這兩個獨立的內部操作是如何防止單個錯誤造成的不經意的輸出。
b)檢測人員應激活自啟動密碼服務能力,確認兩個獨立的內部操作如上所述。如果在激活過程中執行了任何一個軟件或固件的組件,檢測人員應審查源代碼,以確保在激活自啟動密碼服務能力前,該軟件或固件組件支持兩個獨立內部操作的要求。
c)檢測人員應核實當自啟動密碼模塊能力被激活時,有一個狀態指示器來顯示該事件。
6.4.3.3.5 測評單元[04.27]
安全要求:
(接安全要求[04.25])對于安全四級密碼模塊,上述兩個獨立的內部操作應由兩個不同的操作員完成。
送檢材料要求:
送檢廠商的文檔中應描述如何由兩個不同的操作員共同完成兩個獨立的內部操作才能激活自啟動密碼服務能力。
檢測程序要求:
a)檢測人員應核實激活自啟動密碼服務能力的內部操作和步驟。
b)檢測人員應擔任兩個獨立操作員的身份:操作員1和操作員2。操作員1和操作員2分別完成兩個獨立的內部操作,來核實可以激活自啟動密碼服務能力。然后由操作員1完成兩個獨立的內部操作,來核實不能激活自啟動密碼服務能力。
6.4.3.3.6 測評單元[04.28]
安全要求:
如果密碼模塊實現了自啟動密碼服務能力,那么密碼模塊應顯示其狀態以指示自啟動密碼服務能力是否被激活。
送檢材料要求:
送檢廠商的文檔應描述如何指示自啟動密碼服務能力是否被激活的狀態。
檢測程序要求:
檢測人員應核實密碼模塊具備狀態指示,可以明確表示自啟動密碼服務能力是否被激活的狀態。
6.4.3.4 軟件/固件加載
6.4.3.4.1 檢測目的
軟件/固件加載檢測包括9個測評單元,檢測送檢的密碼模塊的軟件或固件加載能力的實現是否安全。
6.4.3.4.2 測評單元[04.29]
安全要求:
如果密碼模塊具有加載外部軟件或固件的能力,那么應滿足下列要求(安全要求[04.30]~安全要求[04.34])。
送檢材料要求:
本條不單獨提供材料。
檢測程序要求:
本條作為測評單元[04.30]~測評單元[04.34]的一部分進行檢測。
6.4.3.4.3 測評單元[04.30]
安全要求:
加載的軟件或固件應在加載之前經過確認機構的確認,以維持確認效力。
送檢材料要求:
a)送檢廠商提供加載的軟件或固件的文件清單和說明。
b)送檢廠商應提供確認機構核發的確認證書。
檢測程序要求:
檢測人員應核實清單中所包含的軟件和固件,具有確認機構的確認報告。
6.4.3.4.4 測評單元[04.31]
安全要求:
應禁止通過數據輸出接口輸出數據,直到軟件/固件加載完成以及加載測試成功通過。
送檢材料要求:
送檢廠商的文檔中應描述在加載及加載測試過程中禁止數據輸出的過程。
檢測程序要求:
檢測人員應核實在軟件/固件加載以及加載測試成功通過前,密碼模塊的數據輸出接口禁止輸出數據。
6.4.3.4.5 測評單元[04.32]
安全要求:
在運行加載的代碼之前應執行GB/T37092-2018中7.10.3.4規定的軟件/固件加載條件自測試。
送檢材料要求:
a)送檢廠商的文檔中應描述運行加載的軟件/固件的操作步驟和方法。
b)送檢廠商的文檔中應說明在運行加載的代碼之前執行
檢測程序要求:
檢測人員應核實在軟件/固件加載條件自測試成功通過前,加載的代碼應不能運行;條件自測試成功通過后,加載的代碼應可以運行。
6.4.3.4.6 測評單元[04.33]
安全要求:
密碼模塊應拒絕運行任何已經加載的或已被修改的核準安全功能,直到成功執行 GB/T 37092-2018中7.10.2規定的運行前自測試。
送檢材料要求:
a)送檢廠商提供的文檔中應說明任何已經加載的或已被修改的核準的安全功能在運行之前,應該成功執行 GB/T 37092-2018 中7.10.2規定的運行前自測試。
b)送檢廠商的文檔中應描述運行前自測試的方法和步驟。
檢測程序要求:
檢測人員應核實在軟件/固件運行前自測試成功通過前,任何已經加載的或已被修改的核準的安全功能應不能運行。
6.4.3.4.7 測評單元[04.34]
安全要求:
應修改密碼模塊的版本信息,以表示增加和/或更新了最新加載的 GB/T 37092-2018 中7.4.3的軟件或固件。
送檢材料要求:
a)送檢廠商的文檔中應描述運行加載的軟件/固件的版本信息。
b)送檢廠商的文檔中應描述獲取模塊版本信息的方法和步驟。
檢測程序要求:
檢測人員在軟件或固件加載前后,分別獲取模塊的版本信息,核實密碼模塊的版本信息按照 GB/T 37092-2018 中7.4.3規定進行了增加和/或更新。
6.4.3.4.8 測評單元04.35]
安全要求:
如果新軟件或固件的加載是鏡像的完全替換,它應構成一個全新的密碼模塊,需要由確認機構重新確認,以維持確認效力。
送檢材料要求:
如果新軟件或固件的加載是鏡像的完全更替,送檢廠商應提供確認機構重新核發的確認證書。
檢測程序要求:
檢測人員應核實確認證書與新軟件或固件相符合。
6.4.3.4.9 測評單元[04.36]
安全要求:
新加載的軟件或固件鏡像應在密碼模塊上電重置之后才能運行。
送檢材料要求:
如果支持鏡像的完全替換,送檢廠商的文檔中應詳細說明新加載的軟件或固件鏡像在模塊上電重置之后是如何運行的。
檢測程序要求:
a)檢測人員應核實新的軟件或固件鏡像更新后,密碼模塊未重新上電重置,應不能運行。
b)檢測人員應核實新的軟件或固件鏡像更新后,密碼模塊重新上電重置后,應可以運行。
6.4.3.4.10 測評單元[04.37]
安全要求:
所有敏感安全參數應在運行新鏡像之前被置零。
送檢材料要求:
a)送檢廠商的文檔中應列舉所有敏感安全參數,并說明所有敏感安全參數在運行鏡像之前被置零。
b)送檢廠商的文檔中應提供如何實施置零技術的原理性解釋。
檢測程序要求:
a)檢測人員應核實在運行新的鏡像之前,所有的敏感安全參數都被置零。
b)檢測人員應核實送檢廠商提供的置零技術的原理性解釋是否合理。
6.4.4 鑒別
6.4.4.1 檢測目的
鑒別檢測包括24個測評單元,檢測送檢的密碼模塊采用的鑒別機制是否達到對應安全等級的要求。
6.4.4.2 測評單元[04.38]
安全要求:
如果密碼模塊支持基于角色的鑒別機制,那么密碼模塊應要求操作員隱式地或顯式地選擇一個或多個角色。
送檢材料要求:
本條不單獨提供材料。
檢測程序要求:
本條不單獨進行檢測。作為測評單元[04.39]的一部分進行檢測。
6.4.4.3 測評單元[04.39]
安全要求:
(接安全要求[04.38])并且應鑒別其能否擔任所選定的角色(或角色的集合)。
送檢材料要求:
送檢廠商應記錄模塊實現的鑒別類型。送檢廠商應記錄用來實現隱式地或顯式地選擇一個或多個角色的機制,以及鑒別操作員擔任的角色。
檢測程序要求:
a)檢測人員應核實送檢廠商的文檔說明了一個或多個角色的選擇機制,以及鑒別操作員擔任的角色。
b)檢測人員應擔任每個角色并且在認證過程中初始化一個錯誤。檢測人員應核實模塊拒絕訪問其角色。
6.4.4.4 測評單元[04.40]
安全要求:
如果密碼模塊允許操作員變換角色,且如果請求的新角色之前未被鑒別,那么密碼模塊應鑒別該操作員能否擔任該新角色。
送檢材料要求:
送檢廠商的文檔中應描述操作員變換角色的能力,還應聲明對操作員新角色的鑒別是必要的。
檢測程序要求:
a)檢測人員應檢查送檢廠商的文檔以核實操作員改變角色的方法,包括怎樣鑒別操作員擔任的新角色。
b)檢測人員應執行以下測試:
1)擔任一個角色,嘗試將其改變為操作員已鑒別的其他角色,核實模塊允許操作員可對分配的新角色請求服務;
2)擔任一個角色,嘗試將其改變為操作員未鑒別的其他角色,核實模塊不允許操作員可對分配的新角色請求服務。
6.4.4.5 測評單元[04.41]
安全要求:
如果密碼模塊支持基于身份的鑒別機制,密碼模塊應要求單獨且唯一標識操作員。
送檢材料要求:
本條不單獨提供材料。
檢測程序要求:
本條不單獨進行檢測。作為測評單元[04.42]的一部分進行檢測。
6.4.4.6 測評單元[04.42]
安全要求:
(接安全要求[04.41])應要求操作員隱式地或顯式地選擇一個或多個角色。
送檢材料要求:
本條不單獨提供材料。
檢測程序要求:
本條不單獨進行檢測。
6.4.4.7 測評單元[04.43]
安全要求:
(接安全要求[04.42])并且應鑒別操作員的身份,以及操作員是否被授權擔任所選定的角色(或角色的集合)。
送檢材料要求:
送檢廠商應記錄模塊內實現的鑒別類型。送檢廠商應記錄用于執行操作員身份鑒別的機制、操作員的身份鑒別、一個或多個角色隱式地或顯式地選擇、操作員擔任角色的鑒別。
檢測程序要求:
a)檢測人員應核實送檢廠商的文檔說明怎樣唯一標識操作員,怎樣鑒別其身份,操作員怎樣選擇角色,怎樣鑒別操作員基于身份鑒別擔任的角色。
b)檢測人員在鑒別過程中應初始化一個錯誤,且核實模塊不允許檢測人員繼續進行鑒別程序。
c)檢測人員應成功鑒別模塊中他/她的身份。當需要選擇一個或多個角色時,檢測人員應選擇不與認證身份相符的角色,并核實擔任角色的鑒別是失敗的。
6.4.4.8 測評單元[04.44]
安全要求:
如果密碼模塊允許操作員變換角色,且如果請求的新角色之前未被授權,那么密碼模塊應驗證經標識的操作員是否被授權擔任該新角色。
送檢材料要求:
送檢廠商的文檔中應描述操作員變換角色的能力,還應聲明對操作員新角色的身份鑒別是必要的。
檢測程序要求:
a)檢測人員應核實送檢廠商的文檔以證實操作員無需重新進行身份鑒別而改變角色的方法,包括核實對以前沒有鑒別的操作員角色。
b)檢測人員應進行如下測試:
1)擔任一個角色,嘗試將其改變為檢測人員擔任的已鑒別的其他角色,核實檢測人員的身份不用被重新鑒別,再核實檢測人員能獲得與新角色有關的服務。檢測人員執行的新角色的服務不應與以前的角色相關,以此來驗證檢測人員擔任的是另一個角色。
2)擔任一個角色,嘗試將其改變為檢測人員擔任的未鑒別的其他角色,以核實模塊拒絕基于操作員身份的角色訪問。
6.4.4.9 測評單元[04.45]
安全要求:
當密碼模塊被重置、重啟、關閉且隨后又被打開時,密碼模塊應要求重新鑒別操作員。
送檢材料要求:
送檢廠商的文檔中應描述當模塊被重置、重啟、關閉時,如何將之前的鑒別結果清除。
檢測程序要求:
a)檢測人員應核實送檢廠商的文檔描述模塊被重置、重啟、關閉時,之前的鑒別結果已經被清除。
b)檢測人員應擔任一個或多個角色,重置、重啟、關閉再打開模塊,并嘗試執行這些角色相應的服務。為滿足之前的說明,模塊應拒絕服務的訪問,并需要檢測人員重新鑒別。
6.4.4.10 測評單元[04.46]
安全要求:
應保護密碼模塊內的鑒別數據以防止非授權的泄露、修改和替換
注:核準的安全功能可被用于鑒別機制。
送檢材料要求:
送檢廠商的文檔中應描述模塊所有鑒別數據的保護措施。保護措施應包括防止未經授權的泄露、修改和替換機制。
檢測程序要求:
b)檢測人員應進行如下測試:
1)嘗試訪問(繞開文件保護機制)未給檢測人員授權訪問的鑒別數據。如果模塊拒絕訪問或僅允許訪問密文數據或其他保護形式的數據,則符合規定。
2)用送檢廠商的文檔未說明的方法修改鑒別數據,并嘗試輸入修改后的數據。模塊應不準許檢測人員使用修改后的數據進行鑒別。
6.4.4.11 測評單元[04.47]
安全要求:
如果第一次訪問密碼模塊時,密碼模塊不包含鑒別操作員所需的鑒別數據,那么應使用其他被授權的方法(例如,過程控制,使用出廠設置或默認的鑒別數據)對密碼模塊進行訪問控制和初始化鑒別。
送檢材料要求:
送檢廠商的文檔中應說明在初始化模塊之前控制模塊訪問的方法。
檢測程序要求:
a)檢測人員應核實送檢廠商的文檔描述了操作員在首次訪問模塊時的鑒別程序。
b)若在初始化之前訪問模塊是受限的,檢測人員應在未初始化的模塊上添加一個錯誤,并應核實模塊訪問被拒絕。檢測人員應擔任一個授權角色并核實所需的鑒別過程符合文檔說明。檢測人員應在初始化模塊前嘗試擔任其他角色并核實模塊拒絕此角色的訪問。
6.4.4.12 測評單元[04.48]
安全要求:
如果使用了默認的鑒別數據來控制對密碼模塊的訪問,那么默認的鑒別數據應在第一次鑒別后被更換。
送檢材料要求:
送檢廠商提供的文檔中應說明默認鑒別數據的內容和使用方式。
檢測程序要求:
a)檢測人員應核實使用默認鑒別數據可以第一次訪問密碼模塊。
b)檢測人員應核實使用默認鑒別數據在第一次鑒別后,鑒別數據被更換;如未更換,使用默認鑒別數據再次鑒別不通過。
6.4.4.13 測評單元[04.49]
安全要求:
如果密碼模塊使用安全功能鑒別操作員,那么那些安全功能應是核準的安全功能。
送檢材料要求:
送檢廠商的文檔中應說明采用何種核準的安全功能鑒別操作員。
檢測程序要求:
檢測人員應核實鑒別采用的安全功能符合 GB/T 37092-2018 中附錄C的規定。
6.4.4.14 測評單元[04.50]
安全要求:
密碼模塊應實現 GB/T 37092-2018 中附錄E規定的一種核準的鑒別機制。
送檢材料要求:
送檢廠商的文檔中應說明采用何種核準的鑒別機制。
檢測程序要求:
檢測人員應核實密碼模塊采用的鑒別機制符合GB/T37092—2018中附錄E的規定。
6.4.4.15 測評單元[04.51]
安全要求:
在密碼模塊的安全策略文檔(見 GB/T 37092—2018 中附錄B)中應描述鑒別機制的強度。
送檢材料要求:
送檢廠商提供滿足 GB/T 37092-2018 中附錄B要求的安全策略文檔,描述鑒別機制的預期強度。
檢測程序要求:
a)檢測人員應核實送檢廠商提供的安全策略文檔滿足 GB/T 37092-2018 中附錄B的要求。
b)檢測人員應核實送檢廠商提供的文檔描述了鑒別機制的預期強度。
6.4.4.16 測評單元[04.52]
安全要求:
對于每次核準鑒別機制的嘗試使用,密碼模塊應滿足鑒別強度要求。
送檢材料要求:
送檢廠商的文檔中應說明密碼模塊支持的每個核準的鑒別機制,及鑒別強度。
檢測程序要求:
a)檢測人員應核實送檢廠商文檔描述了每個核準的鑒別機制的鑒別強度。
b)檢測人員應核實送檢廠商文檔中每個核準的鑒別機制都滿足目標。
6.4.4.17 測評單元[04.53]
安全要求:
對于在一分鐘之內對核準鑒別機制的多次嘗試使用,密碼模塊應滿足鑒別強度要求。
送檢材料要求:
送檢廠商文檔中應說明, 每個核準的鑒別機制在1min之內的多次隨機嘗試使用通過核準的鑒別機制的成功概率。
檢測程序要求:
a)檢測人員應核實送檢廠商文檔描述了核準的鑒別機制, 及在1min內隨機嘗試使用成功的概率。
b)檢測人員應核實送檢廠商文檔描述了核準的鑒別機制在1min內隨機嘗試使用成功率都滿足目標。
6.4.4.18 測評單元[04.54]
安全要求:
核準的鑒別機制應依賴于密碼模塊的具體實現,而不依賴于在文檔中的過程控制或安全規則(例如,口令長度限制)。
送檢材料要求:
送檢廠商的文檔中應說明密碼模塊鑒別機制的實現方法和原理。
檢測程序要求:
檢測人員應核實密碼模塊核準的鑒別機制不依賴于在文檔中的過程控制或安全規則。
6.4.4.19 測評單元[04.55]
安全要求:
如果操作系統實現了鑒別機制,那么鑒別機制應滿足本條的要求。
送檢材料要求:
a)送檢廠商的文檔中應說明軟件密碼模塊所采用的操作系統。
b)送檢廠商的文檔中應說明操作系統實現的鑒別機制。
檢測程序要求:
檢測人員應核實軟件密碼模塊所使用的操作系統的鑒別機制滿足要求。
6.4.4.20 測評單元[04.56]
安全要求:
在鑒別過程中,應隱藏鑒別數據給操作員的反饋信息(例如,在輸入口令時沒有可視的字符顯示)。
送檢材料要求:
送檢廠商的文檔中應說明,在輸入鑒別數據時,隱藏鑒別數據給操作員的反饋信息的方法。
檢測程序要求:
a)檢測人員應檢查送檢廠商文檔并核實身份鑒別數據在數據輸入過程中不可見。
b)檢測人員應輸入鑒別數據,并核實在輸入鑒別數據過程中不可見。
6.4.4.21 測評單元[04.57]
安全要求:
在嘗試鑒別的過程中,提供給操作員的反饋信息應防止削弱鑒別機制強度。
送檢材料要求:
送檢廠商文檔中應說明,在操作員輸入鑒別數據時使用的反饋機制。
檢測程序要求:
a)檢測人員應審查送檢廠商文檔并核實反饋機制不提供可用于猜測或確定身份認證數據的信息。
b)檢測人員應輸入每個擔任角色的鑒別數據,確保反饋機制不提供有用的信息。
6.4.4.22 測評單元[04.58]
安全要求:
送檢材料要求:
a)送檢廠商應記錄密碼模塊運行的鑒別類型。應記錄操作員隱式或顯式地選擇一個或一系列角色的機制,及操作員擔任角色的鑒別方法。
b)送檢廠商的文檔中應提供操作員隱式或顯式地擔任角色的描述
檢測程序要求:
a)檢測人員應核實送檢廠商的文檔提供了操作員明確或不明確的擔任角色的描述,及擔任每個角色的方法。
b)檢測人員應調用送檢廠商的文檔中描述的方法,并核實每個角色都能被明確的或不明確的擔任。
6.4.4.23 測評單元[04.59]
安全要求:
密碼模塊應至少采用基于角色的鑒別以控制對密碼模塊的訪問。
送檢材料要求:
本條不單獨提供材料。
檢測程序要求:
本條作為測評單元[04.38]~測評單元[04.40]的一部分進行檢測。
6.4.4.24 測評單元[04.60]
安全要求:
密碼模塊應采用基于身份的鑒別機制以控制對密碼模塊的訪問。
送檢材料要求:
本條不單獨提供材料。
檢測程序要求:
本條作為測評單元[04.41]~測評單元[04.44]的一部分進行檢測。
6.4.4.25 測評單元[04.61]
安全要求:
密碼模塊應采用基于身份的多因素鑒別機制以控制對密碼模塊的訪問。
送檢材料要求:
送檢廠商的文檔中應說明密碼模塊采用的基于身份的多因素鑒別機制。
檢測程序要求:
a)檢測人員核實密碼模塊采用基于身份的多因素鑒別機制以控制對模塊的訪問。
b)檢測人員應核實密碼模塊采用的基于身份的多因素鑒別機制。
推薦文章: