GM-T 0082-2020 清晰版 可信密碼模塊保護(hù)輪廓

ICS35.040CCSL80中華人民共和國密碼行業(yè)標(biāo)準(zhǔn)可信密碼模塊保護(hù)輪廓T2020-12-28發(fā)布2021-07-01實(shí)施國家密碼管理局發(fā)布ⅠGM／T0082—2020前言 2規(guī)范性引用文件 3術(shù)語和定義 4縮略語 5TOE描述 6TOE安全環(huán)境 7TOE安全目的 8IT安全要求 9基本原理 參考文獻(xiàn) ⅢGM／T0082—2020本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別專利的責(zé)任。本文件由密碼行業(yè)標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口。本文件起草單位：中國科學(xué)院軟件研究所、同方股份有限公司、國民技術(shù)股份有限公司。本文件主要起草人：趙世軍、秦宇、初曉博、馮偉、劉孜文、胡浩、常德顯、張倩穎、邵健雄、鄭必可、1GM／T0082—2020可信密碼模塊保護(hù)輪廓本文件以GB/T29829和GB/T18336為基礎(chǔ)，構(gòu)建可信密碼模塊的保護(hù)輪廓，對符合評估保障級第3級的TOE的定義、安全環(huán)境、安全目的、安全要求等進(jìn)行了詳細(xì)說明，并給出相應(yīng)的基本原理說明。本文件適用于可信密碼模塊相關(guān)產(chǎn)品的生產(chǎn)、測評與應(yīng)用開發(fā)。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T18336（所有部分）信息技術(shù)安全技術(shù)信息技術(shù)安全評估準(zhǔn)則GB/T29829信息安全技術(shù)可信計(jì)算密碼支撐平臺功能與接口規(guī)范GB/T32905信息安全技術(shù)SM3密碼雜湊算法GB/T32907信息安全技術(shù)SM4分組密碼算法GB/T32918（所有部分）信息安全技術(shù)SM2橢圓曲線公鑰密碼算法GM/T0012可信計(jì)算可信密碼模塊接口規(guī)范3術(shù)語和定義下列術(shù)語和定義適用于本文件。3.1可信計(jì)算平臺構(gòu)建在計(jì)算系統(tǒng)中，用于實(shí)現(xiàn)可信計(jì)算功能的支撐系統(tǒng)。3.2可信密碼模塊可信計(jì)算平臺的硬件模塊，為可信計(jì)算平臺提供密碼運(yùn)算功能，具有受保護(hù)的存儲空間。3.3密碼模塊密鑰可信密碼模塊的背書密鑰。3.4存儲主密鑰用于保護(hù)平臺身份密鑰和用戶密鑰的存儲主密鑰。3.5可遷移密鑰可被遷移到其他特定可信密碼模塊的密鑰。2GM／T0082—20203.6不可遷移密鑰不能夠被遷移到特定可信密碼模塊外部的密鑰。3.7SM2算法由GB/T32918定義的一種公鑰密碼算法。3.8SM3算法由GB/T32905定義的一種密碼雜湊算法。3.9SM4算法由GB/T32907定義的一種分組加密算法。算法利用密碼雜湊算法和秘密信息產(chǎn)生的消息驗(yàn)證碼，本文件采用的密碼雜湊算法為SM3算法。4縮略語下列縮略語適用于本文件。密碼模塊密鑰(信息技術(shù)(安全功能(安全功能策略(存儲主密鑰(功能強(qiáng)度(可信密碼模塊(評估對象(控制范圍(安全功能(安全策略(5TOE描述本文件的安全要求適用于TCM。本文件所指的TOE是TCM,在GB/T29829和GM/T0012中定義。6TOE安全環(huán)境6.1使用和環(huán)境假設(shè)TOE使用假設(shè)是對TOE使用方式的假設(shè)，也是本文件中各項(xiàng)安全要求合理性和完整性的基礎(chǔ)之一，TOE使用假設(shè)見表1。3GM／T0082—2020序號假設(shè)名稱描述1正確配置TOE需要被正確的安裝以及配置TOE環(huán)境假設(shè)是對TOE運(yùn)行環(huán)境的假設(shè)，也是本文件中各安全要求合理性和完整性的基礎(chǔ)之一，TOE環(huán)境假設(shè)見表2。表2環(huán)境假設(shè)序號假設(shè)名稱描述1篡改留證TOE只提供篡改的證據(jù)。它并不提供對諸如簡單能量分析攻擊、差分能量分析攻擊、外部信號干擾和高溫等物理威脅的保護(hù)。物理保護(hù)假設(shè)由TOE所處的環(huán)境來提供威脅是本文件中各安全要求需要應(yīng)對和克服的主要對象，與TOE安全目的之間存在緊密的對應(yīng)關(guān)系，TOE所面臨的威脅見表3。序號威脅描述1攻擊一個(gè)攻擊者會試圖執(zhí)行一個(gè)沒有被授權(quán)的操作，從而使得TOE未能檢測到對加密數(shù)據(jù)的威脅2旁路一個(gè)未經(jīng)授權(quán)的用戶可能會篡改安全屬性或其他數(shù)據(jù)，以繞過TOE的安全功能，從而未經(jīng)授權(quán)而訪問TOE數(shù)據(jù)3導(dǎo)出一個(gè)用戶或攻擊者可能會將數(shù)據(jù)導(dǎo)出而不附帶安全屬性或附帶的安全屬性不夠安全，造成導(dǎo)出的數(shù)據(jù)是錯誤的并且無效4密碼破解密碼算法可能沒有被正確實(shí)現(xiàn)，因此一個(gè)用戶可能會獲取TOE生成的密鑰，并未經(jīng)授權(quán)用此密鑰去訪問被加密的數(shù)據(jù)5物理破解通過與TOE物理交互并在物理環(huán)境中利用其弱點(diǎn)，一個(gè)未經(jīng)授權(quán)的用戶可能在未經(jīng)授權(quán)的情況下獲取或修改TOE數(shù)據(jù)6冒名一個(gè)未經(jīng)授權(quán)的用戶可能偽裝成一個(gè)已由TOE授權(quán)的用戶，從而獲得訪問TOE數(shù)據(jù)、密鑰以及執(zhí)行操作的能力7導(dǎo)入一個(gè)用戶或者攻擊者可能會將不帶有安全屬性或帶有錯誤安全屬性的數(shù)據(jù)導(dǎo)入，造成所有權(quán)和鑒別的錯誤、系統(tǒng)故障或者非安全運(yùn)行8密鑰生成和銷毀密鑰可能通過一種不安全的方式產(chǎn)生或銷毀，從而對密鑰構(gòu)成危害9功能異常TOE出現(xiàn)故障時(shí)，TOE的數(shù)據(jù)可能會被未經(jīng)授權(quán)的TOE的用戶修改或者訪問修改一個(gè)攻擊者可能會修改TSF或者用戶數(shù)據(jù)，例如存儲的安全屬性以及密鑰，從而獲得訪問TOE以及TOE的數(shù)據(jù)的能力無安全屬性用戶可能會創(chuàng)建一個(gè)沒有安全屬性值的數(shù)據(jù)客體，例如沒有安全屬性值的密鑰安全屬性變化用戶或攻擊者可能未經(jīng)授權(quán)而改動數(shù)據(jù)的安全屬性4GM／T0082—2020表3威脅（續(xù)）序號威脅描述未受保護(hù)的安全屬性用戶可能會為一個(gè)客體設(shè)置一個(gè)未受保護(hù)的安全屬性值殘留數(shù)據(jù)當(dāng)一個(gè)數(shù)據(jù)不再被TOE管理的時(shí)候（即產(chǎn)生了“殘留”數(shù)據(jù)用戶可能未經(jīng)授權(quán)而獲得這個(gè)數(shù)據(jù)重放一個(gè)未經(jīng)授權(quán)的個(gè)體，可能通過重放攻擊以及中間人攻擊而獲得已經(jīng)通過鑒別的數(shù)據(jù)，從而能夠非法訪問系統(tǒng)以及機(jī)密數(shù)據(jù)否認(rèn)一個(gè)數(shù)據(jù)的生成者可能會否認(rèn)某數(shù)據(jù)由其生成的事實(shí)，以逃避其應(yīng)承擔(dān)的責(zé)任自檢失敗TOE可能以一個(gè)不安全的狀態(tài)啟動或者啟動后進(jìn)入了一個(gè)不安全的狀態(tài)，使得攻擊者能夠獲得機(jī)密數(shù)據(jù)或者威脅系統(tǒng)7TOE安全目的7.1TOE安全目的TOE安全目的是本文件中各安全要求所要達(dá)到的最終目的，與安全威脅之間存在緊密的對應(yīng)關(guān)系，TOE安全目的見表4。表4TOE安全目的序號目的描述1安全密鑰管理TOE應(yīng)以一種安全的方式產(chǎn)生和銷毀密鑰2執(zhí)行密碼操作TOE應(yīng)能夠執(zhí)行與密碼學(xué)相關(guān)的操作，這些操作包括SM2、SM3、SM4、HMAC、密鑰生成（遵循一定的算法和密鑰的長度，密鑰的長度應(yīng)足夠大以保證公私密鑰對不被破解）3TOE應(yīng)具備自檢功能，檢驗(yàn)密碼功能是否按照設(shè)計(jì)的模式運(yùn)行4自主訪問控制TOE應(yīng)能夠通過特定的訪問控制策略來控制和限制用戶對TOE數(shù)據(jù)的訪問5安全導(dǎo)出當(dāng)數(shù)據(jù)被導(dǎo)出TOE時(shí)，TOE應(yīng)保證安全屬性與數(shù)據(jù)一起被導(dǎo)出，并且保證這些與數(shù)據(jù)相關(guān)的安全屬性值之間密切關(guān)聯(lián)6故障時(shí)安全TOE應(yīng)保證在發(fā)生與密碼學(xué)相關(guān)的操作失敗情況時(shí)，或發(fā)生其他故障時(shí)，系統(tǒng)仍然處于一個(gè)安全狀態(tài)7完整性檢查TOE應(yīng)對系統(tǒng)完整性和用戶數(shù)據(jù)完整性進(jìn)行周期性檢查8消息校驗(yàn)TOE應(yīng)提供檢測安全屬性或其他數(shù)據(jù)是否被更改的功能9身份標(biāo)識TOE應(yīng)能夠識別各用戶的唯一身份，并且在授權(quán)用戶訪問TOE功能之前，TOE應(yīng)鑒別用戶所聲稱的身份安全導(dǎo)入當(dāng)數(shù)據(jù)被導(dǎo)入TOE時(shí)，TOE應(yīng)保證與數(shù)據(jù)關(guān)聯(lián)的安全屬性也一同被導(dǎo)入，并且保證這些數(shù)據(jù)來自一個(gè)合法的授權(quán)方。此外，TOE應(yīng)根據(jù)TSF訪問控制規(guī)則對這些安全屬性進(jìn)行校驗(yàn)功能調(diào)用TSF應(yīng)被TOE的行為所調(diào)用5GM／T0082—2020表4TOE安全目的（續(xù)）序號目的描述限制操作TOE在核實(shí)用戶身份之前，應(yīng)限制用戶進(jìn)行任何操作消息判定當(dāng)TOE與一個(gè)遠(yuǎn)程的系統(tǒng)交換數(shù)據(jù)時(shí)，應(yīng)支持對數(shù)據(jù)的完整性和消息的不可否認(rèn)性的判定無可重用信息TOE應(yīng)保證沒有“可重用”的資源。例如通過將資源重復(fù)分配給不同的用戶時(shí)，應(yīng)保證在信息容器中或者系統(tǒng)資源中沒有“殘留”的信息默認(rèn)安全屬性當(dāng)一個(gè)客體被創(chuàng)建時(shí)，TOE要求其擁有默認(rèn)的安全屬性修改安全屬性TOE應(yīng)允許一個(gè)授權(quán)用戶修改某一個(gè)已被創(chuàng)建的客體的默認(rèn)安全屬性可靠的安全屬性TOE應(yīng)管理安全屬性，并且保證這些安全屬性必須具有安全值安全屬性管理TOE應(yīng)只允許授權(quán)用戶初始化和修改客體的安全屬性值安全角色TOE應(yīng)管理與安全相關(guān)的角色以及與這些角色相關(guān)聯(lián)的用戶受保護(hù)的功能TSF應(yīng)擁有屬于其自身的一塊區(qū)域用于執(zhí)行安全功能操作，以避免外部干擾、篡改以及未經(jīng)授權(quán)的信息泄露一次性鑒別TOE應(yīng)提供一次性鑒別的機(jī)制，通過要求重新鑒別來防止重放攻擊和中間人攻擊篡改識別TOE應(yīng)具有讓用戶檢測系統(tǒng)部件是否被物理篡改的特性7.2環(huán)境安全目的環(huán)境安全目的見表5。表5環(huán)境安全目的序號1正確配置TOE應(yīng)被恰當(dāng)?shù)陌惭b和配置，以保證TOE啟動狀態(tài)的安全性2物理安全環(huán)境應(yīng)提供可接受的物理安全級別，以保證TCM不會被篡改以及不會遭受諸如能量分析攻擊、時(shí)間分析攻擊等多種形式的旁路攻擊8IT安全要求本章定義了TOE安全功能要求和安全保證要求，這些要求的具體內(nèi)容、描述形式以及相互間依賴關(guān)系均遵循和抽取自GB/T18336,并根據(jù)GB/T18336的規(guī)定進(jìn)行了具體規(guī)則的選擇、賦值以及提煉。在下述具體要求描述中，這些選擇、賦值以及提煉的操作都通過下劃線標(biāo)識出來。8.2TOE安全功能要求FCO_NRO.2強(qiáng)制性原發(fā)證明6GM／T0082—2020從屬于：FCO_NRO.1選擇性原發(fā)證明。FCO_NRO.2.1TSF在任何時(shí)候都應(yīng)對傳送的使用身份密鑰簽名的TCM數(shù)據(jù)強(qiáng)制生成原發(fā)證據(jù)。FCO_NRO.2.2TSF應(yīng)能將信息起源者的身份與證據(jù)適用的信息的TCM數(shù)據(jù)相關(guān)聯(lián)。FCO_NRO.2.3TSF應(yīng)能為只有通過請求者正確鑒別才可用的證據(jù)的接收者提供驗(yàn)證原發(fā)證據(jù)的能力。依賴關(guān)系：FIA_UID.1標(biāo)識定時(shí)。類密碼支持密鑰產(chǎn)生從屬于：無其他組件。FCS_CKM.1.1TSF應(yīng)根據(jù)特定的密鑰產(chǎn)生算法SM2/SM4和規(guī)定的密鑰長度256/128比特來生成密鑰；依賴關(guān)系：FCS_COP.1密碼運(yùn)算，F(xiàn)CS_CKM.4密鑰銷毀，F(xiàn)MT_MSA.2安全屬性。密鑰銷毀從屬于：無其他組件。FCS_CKM.4.1TSF應(yīng)根據(jù)特定密鑰銷毀算法擦除含有密鑰的存儲區(qū)域來銷毀密鑰；依賴關(guān)系：FCS_COP.1密碼運(yùn)算，F(xiàn)MT_MSA.2受保護(hù)的安全屬性。密碼運(yùn)算加密和解密從屬于：無其他組件。FCS_COP.1.1;1TSF應(yīng)根據(jù)特定的密碼算法SM2/SM4和密鑰長度256/128比特來執(zhí)行加密運(yùn)算和解密運(yùn)算。簽名和簽名校驗(yàn)從屬于：無其他組件。FCS_COP.1.1;2TSF應(yīng)根據(jù)特定的密碼算法SM2和密鑰長度256比特來執(zhí)行簽名和簽名校驗(yàn)。從屬于：無其他組件。FCS_COP.1.1;3TSF應(yīng)根據(jù)特定的密碼算法SM3和一定長度的密鑰來執(zhí)行SM3密碼雜湊運(yùn)算。從屬于：無其他組件。FCS_COP.1.1;4TSF應(yīng)根據(jù)特定密碼算法SM3和256比特長度的密鑰來執(zhí)行HMAC運(yùn)算。依賴關(guān)系：FCS_CKM.1密鑰產(chǎn)生，F(xiàn)CS_CKM.4密鑰銷毀，F(xiàn)MT_MSA.2受保護(hù)的安全屬性。7GM／T0082—20208.2.3FDP類：用戶數(shù)據(jù)保護(hù)子集訪問控制從屬于：無其他組件。FDP_ACC.1.1TSF應(yīng)對下列內(nèi)容實(shí)施受保護(hù)的操作的訪問控制：主體為用戶執(zhí)行的命令；客體為密鑰和用戶數(shù)據(jù)；操作包括簽名、加密、解密。依賴關(guān)系：FDP_ACF.1基于安全屬性的訪問控制?；诎踩珜傩缘脑L問控制從屬于：無其他組件。FDP_ACF.1.1FDP_ACF.1.2FDP_ACF.1.3FDP_ACF.1.4TSF應(yīng)基于安全屬性TCM-AUTH-DATA-USAGE,TCM-KEY-FLAGS,TCM-KEY-USAGE對客體依據(jù)SFP實(shí)施受保護(hù)的操作的訪問控制。TSF應(yīng)實(shí)施以下規(guī)則，以決定受控主體與受控客體間的操作是否被允許：對密鑰和數(shù)據(jù)的訪問被定義為基于安全屬性TCM-AUTH-DATA-USAGE的值只被所有者訪問或只被所有用戶訪問；每一個(gè)密鑰的密碼操作都要基于安全屬性TCM-KEY-USAGE進(jìn)行限制。TSF應(yīng)基于以下附加規(guī)則明確授權(quán)主體對客體的訪問：基于安全屬性明確授權(quán)主體訪問客體的規(guī)則。TSF應(yīng)基于以下規(guī)則明確拒絕主體對客體的訪問：基于安全屬性明確拒絕主體訪問客體的規(guī)則。依賴關(guān)系：FDP_ACC.1子集訪問控制，F(xiàn)MT_MSA.3靜態(tài)屬性初始化。應(yīng)用注釋：FDP_ACF.1.3,FDP_ACF.1.4中的賦值操作應(yīng)由安全目標(biāo)制定者定義。有安全屬性的用戶數(shù)據(jù)輸出從屬于：無其他組件。FDP_ETC.2.1TSF在SFP控制下輸出用戶數(shù)據(jù)到TSC之外時(shí)，應(yīng)受保護(hù)的操作的訪問控制。FDP_ETC.2.2TSF應(yīng)輸出用戶數(shù)據(jù)且?guī)в杏脩魯?shù)據(jù)關(guān)聯(lián)的安全屬性。FDP_ETC.2.3TSF在安全屬性輸出到TSC之外時(shí)，應(yīng)確保其與輸出的數(shù)據(jù)確切關(guān)聯(lián)。FDP_ETC.2.4TSF在用戶數(shù)據(jù)從TSC輸出時(shí)應(yīng)執(zhí)行：只有當(dāng)TCM-KEY-FLAGS中的可遷移標(biāo)志位被設(shè)置時(shí)，一個(gè)密鑰才能夠被加密遷移。［賦值：其他的輸出控制規(guī)則］應(yīng)用注釋：在輸出之前，安全屬性會被加密到數(shù)據(jù)塊中。作為經(jīng)過加密過的數(shù)據(jù)塊的一部分，安全屬性明確地與數(shù)據(jù)關(guān)聯(lián)。依賴關(guān)系：FDP_ACC.1子集訪問控制。有安全屬性的用戶數(shù)據(jù)輸入從屬于：無其他組件。FDP_ITC.2.1TSF在SFP控制下從TSC之外輸入用戶數(shù)據(jù)時(shí)，應(yīng)實(shí)施受保護(hù)的操作的訪問控制。FDP_ITC.2.2TSF應(yīng)使用與輸入數(shù)據(jù)相關(guān)的安全屬性。FDP_ITC.2.3TSF應(yīng)確保使用的協(xié)議在安全屬性和接收的用戶數(shù)據(jù)之間提供了明確的8GM／T0082—2020聯(lián)系。FDP_ITC.2.4TSF應(yīng)確保對輸入的用戶數(shù)據(jù)的安全屬性的解釋與用戶數(shù)據(jù)源的解釋是一致的。FDP_ITC.2.5TSF在SFP控制下從TSC之外導(dǎo)入用戶數(shù)據(jù)時(shí)，應(yīng)執(zhí)行賦值：附加的輸應(yīng)用注釋：安全屬性作為被加密過的數(shù)據(jù)塊的一部分一同輸入。作為數(shù)據(jù)塊的一部分，安全屬性與數(shù)據(jù)確切關(guān)聯(lián)；FDP_ITC.2.5中的賦值操作應(yīng)由安全目標(biāo)的制定者定義。依賴關(guān)系：FDP_ACC.1,子集訪問控制，F(xiàn)TP_TRP.1,可信路徑，F(xiàn)PT_TDC.1,TSF間基本TSF數(shù)據(jù)的一致性。完全殘余信息保護(hù)從屬于：FDP_RIP.1子集殘余信息保護(hù)。FDP_RIP.2.1TSF應(yīng)確保對所有客體釋放資源時(shí)，使該資源任何以前的信息內(nèi)容不再使用。依賴關(guān)系：無依賴關(guān)系。類：標(biāo)識和鑒別用戶屬性定義從屬于：無其他組件。FIA_ATD.1.1TSF應(yīng)保存屬于每個(gè)用戶的下列安全屬性：鑒別數(shù)據(jù)，角色。依賴關(guān)系：無依賴關(guān)系。鑒別定時(shí)從屬于：無其他組件。FIA_UAU.1.1在用戶鑒別前，當(dāng)實(shí)體所有者基于TCPA_AUTH_DATA_USAGE的值得到全局訪問權(quán)時(shí)，TSF應(yīng)允許其訪問密鑰和數(shù)據(jù)；當(dāng)它代表用戶執(zhí)行時(shí)，應(yīng)允許其對以下幾個(gè)命令的訪問：TCM-GetTestResult,TCM-PcrRead。FIA_UAU.1.2對于任何其他由TSF所協(xié)調(diào)的并能代表該用戶的操作，在允許執(zhí)行這些操作前，TSF應(yīng)要求該用戶已被合法鑒別。依賴關(guān)系：FIA_UID.1標(biāo)識定時(shí)。一次性鑒別機(jī)制從屬于：無其他組件。FIA_UAU.4.1TSF應(yīng)防止與獨(dú)立客體授權(quán)協(xié)議和特定客體授權(quán)協(xié)議有關(guān)的鑒別數(shù)據(jù)的重用。依賴關(guān)系：無依賴關(guān)系。重鑒別從屬于：無其他組件。FIA_UAU.6.1在每一個(gè)需要鑒別用戶才能執(zhí)行的命令條件下，TSF應(yīng)重新鑒別用戶。依賴關(guān)系：無依賴關(guān)系。9GM／T0082—2020標(biāo)識定時(shí)從屬于：無其他組件。FIA_UID.1.1在用戶鑒別前，當(dāng)實(shí)體所有者基于TCPA_AUTH_DATA_USAGE的值得到全局訪問權(quán)時(shí)TSF應(yīng)允許其訪問密鑰和數(shù)據(jù)；當(dāng)它代表用戶執(zhí)行時(shí)應(yīng)允許其對以下幾個(gè)命令的訪問：TCM-GetTestResult,TCM-PcrRead。FIA_UID.1.2對于任何其他由TSF所統(tǒng)一協(xié)調(diào)的并能代表該用戶的操作，在允許執(zhí)行這些操作前，TSF應(yīng)要求用戶能夠成功地標(biāo)識自己。依賴關(guān)系：無依賴關(guān)系。8.2.5FMT類：安全管理從屬于：無其他組件。FMT_MOF.1.1TSF應(yīng)限制TCM所有者對功能［賦值：功能列表］進(jìn)行允許或禁止的能力。依賴關(guān)系：FMT_SMR.1安全角色。應(yīng)用注釋：賦值應(yīng)由安全目標(biāo)的制定者來定義。安全屬性的管理從屬于：無其他組件。FMT_MSA.1.1TSF應(yīng)實(shí)施受保護(hù)的操作的訪問控制，以僅限于資源所有者能夠?qū)Π踩珜傩耘c特定資源相關(guān)的安全屬性進(jìn)行控制，包括TCM-KEY-USAGE,TCM-AUTH-DATA-USAGE,可遷移標(biāo)志以及易變性標(biāo)志進(jìn)行創(chuàng)建。依賴關(guān)系：FMT_SMR.1安全角色，F(xiàn)DP_ACC.1子集訪問控制。受保護(hù)的安全屬性從屬于：無其他組件。FMT_MSA.2.1TSF應(yīng)確保安全屬性只接受安全的值。依賴關(guān)系：ADV_SPM.1,非形式化的TOE安全策略模型，F(xiàn)MT_SMR.1,安全角色，F(xiàn)DP_ACC.1子集訪問控制，F(xiàn)MT_MSA.1安全屬性的管理。靜態(tài)屬性初始化從屬于：無其他組件。FMT_MSA.3.1TSF應(yīng)實(shí)施受保護(hù)的操作的訪問控制，以便為用于執(zhí)行SFP的安全屬性提供特定的默認(rèn)值。FMT_MSA.3.2TSF應(yīng)允許資源所有者為生成的客體或信息指定替換性的初始值以代替原來的默認(rèn)值。應(yīng)用注釋安全屬性的默認(rèn)值由生產(chǎn)廠商指定，生產(chǎn)廠商應(yīng)在制定相關(guān)的安全目標(biāo)中應(yīng)詳細(xì)說明。依賴關(guān)系：FMT_SMR.1安全角色，F(xiàn)MT_MSA.1安全屬性的管理。數(shù)據(jù)的管理—所有者修改從屬于：無其他組件。GM／T0082—2020FMT_MTD.1.1;1TSF應(yīng)限制修改TSF數(shù)據(jù)的能力：與密碼模塊密鑰和存儲根密鑰相關(guān)的標(biāo)識與鑒別數(shù)據(jù)；向TCM所有者遷移的授權(quán)數(shù)據(jù)。數(shù)據(jù)的管理—所有者創(chuàng)建從屬于：無其他組件。FMT_MTD.1.1;2TSF應(yīng)限制產(chǎn)生TSF數(shù)據(jù)的能力：為TCM所有者產(chǎn)生存儲根密鑰和TCM證據(jù)。數(shù)據(jù)的管理—資源所有者從屬于：無其他組件。FMT_MTD.1.1;3TSF應(yīng)限制修改TSF數(shù)據(jù)的能力：為資源所有者修改與資源相關(guān)的標(biāo)識與鑒別數(shù)據(jù)。數(shù)據(jù)的管理—生產(chǎn)廠商從屬于：無其他組件。FMT_MTD.1.1;4TSF應(yīng)限制產(chǎn)生TSF數(shù)據(jù)的能力：為TCM廠商或設(shè)計(jì)者產(chǎn)生密碼模塊密鑰。依賴關(guān)系：FMT_SMR.1安全角色。安全角色限制從屬于：FMT_SMR.1安全角色。FMT_SMR.2.1TSF應(yīng)維護(hù)的角色：TCM所有者，資源所有者，TCM生產(chǎn)廠商。FMT_SMR.2.2TSF應(yīng)能夠把用戶和角色關(guān)聯(lián)起來。FMT_SMR.2.3TSF應(yīng)確保條件：滿足正確的鑒別數(shù)據(jù)能夠被表述。依賴關(guān)系：FIA_UID.1標(biāo)識定時(shí)。類保護(hù)帶保存安全狀態(tài)的失敗從屬于：無其他組件。在下列失敗發(fā)生時(shí)應(yīng)保存一個(gè)安全狀態(tài)：a)任何密碼運(yùn)算的失?。籦)任何命令或內(nèi)部操作的失敗。依賴關(guān)系：ADV_SPM.1非形式化的TOE安全策略模型。從屬于：無其他組件。FPT_PHP.1.1TSF應(yīng)對可能危及TSF的安全的物理篡改提供明確的檢測。FPT_PHP.1.2為TSF提供判斷TSF設(shè)備或TSF元件是否已被物理篡改的能力。依賴關(guān)系：FMT_MOF.1安全功能行為的管理。功能恢復(fù)從屬于：無其他組件。FPT_RCV.4.1TSF應(yīng)確保TCM命令有如下特征，即SF或者被成功完成，或者對指明的失GM／T0082—2020敗情況恢復(fù)到一致的安全狀態(tài)。依賴關(guān)系：ADV_SPM.1非形式化的TOE安全策略模型。從屬于：無其他組件。FPT_RPL.1.1TSF應(yīng)檢測以下實(shí)體的重放：包含隨機(jī)數(shù)的命令請求。FPT_RPL.1.2檢測到重放時(shí)，TSF應(yīng)執(zhí)行銷毀會話。依賴關(guān)系：無依賴關(guān)系。FPT＿TDC.1TSF間基本TSF數(shù)據(jù)的一致性從屬于：無其他組件。FPT_TDC.1.1當(dāng)TSF與其他可信IT產(chǎn)品共享TSF數(shù)據(jù)時(shí)，TSF應(yīng)提供對TCM命令和響應(yīng)一致性解釋的能力。FPT_TDC.1.2當(dāng)解釋來自其他可信IT產(chǎn)品的TSF數(shù)據(jù)時(shí)，TSF應(yīng)使用可信密碼模塊規(guī)范。依賴關(guān)系：無依賴關(guān)系。從屬于：無其他組件。FPT_TST.1.1TSF應(yīng)運(yùn)行一套自檢程序：1)在初始化啟動期間；2)在正常工作時(shí)周期性地；3)授權(quán)用戶要求；4)滿足以下條件時(shí)：先于第一次對功能調(diào)用的執(zhí)行以表明TSF操作的正確性。FPT_TST.1.2TSF為授權(quán)用戶提供對TSF數(shù)據(jù)完整性的驗(yàn)證能力。FPT_TST.1.3TSF為授權(quán)用戶提供對存儲的TSF可執(zhí)行代碼完整性的驗(yàn)證能力。應(yīng)用注釋FPT_TST.1.1中的授權(quán)用戶應(yīng)被解釋為一個(gè)用戶。對于運(yùn)行自檢或基于自檢來校驗(yàn)系統(tǒng)正確性的用戶來說不需要經(jīng)過鑒別。依賴關(guān)系：FPT_AMT.1抽象機(jī)測試。FTP_TRP.1：可信路徑從屬于：無其他組件。FTP_TRP.1.1TSF應(yīng)在它自身和遠(yuǎn)程或本地用戶之間提供一條通信路徑，此路徑在邏輯上與其他路徑不同，并且確保對其端點(diǎn)提供鑒別，并保護(hù)通信數(shù)據(jù)免遭修改和泄露。FTP_TRP.1.2TSF應(yīng)允許TSF、本地用戶或遠(yuǎn)程用戶經(jīng)可信路徑發(fā)起通信。FTP_TRP.1.3對于初始化用戶鑒別、所有TCM命令、所有用戶命令及TSF響應(yīng)，TSF應(yīng)要求經(jīng)由可信路徑發(fā)起通信。依賴關(guān)系：無依賴關(guān)系。TOE鑒別功能的威脅程度假定為基本功能強(qiáng)度。密碼算法的強(qiáng)度不在信息技術(shù)安全性評估準(zhǔn)則范圍之內(nèi)。功能強(qiáng)度僅用于非密碼的、概率或置換機(jī)制。功能強(qiáng)度要求適用于TOE內(nèi)部的標(biāo)識與鑒別功能。GM／T0082—20208.3TOE安全保證要求配置管理授權(quán)控制依賴關(guān)系：ACM_SCP.1開發(fā)者行為元素：ACM_CAP.3.1DACM_CAP.3.2DACM_CAP.3.3D證據(jù)的內(nèi)容和形式元素：ACM_CAP.3.1CACM_CAP.3.2CACM_CAP.3.3CACM_CAP.3.4CACM_CAP.3.5CACM_CAP.3.6CACM_CAP.3.7CACM_CAP.3.8CACM_CAP.3.9CACM_CAP.3.10C評估者行為元素：ACM_CAP.3.1ETOECM范圍，ALC_DVS.1安全度量標(biāo)識。開發(fā)者應(yīng)為TOE提供一個(gè)參照號。開發(fā)者應(yīng)使用CM系統(tǒng)。開發(fā)者應(yīng)提供CM文檔。TOE參照號對TOE的每一個(gè)版本應(yīng)是唯一的。應(yīng)給TOE標(biāo)記上其參照號。CM文檔應(yīng)包括一個(gè)配置清單和一個(gè)CM計(jì)劃。配置清單應(yīng)描述組成TOE的配置項(xiàng)。CM文檔應(yīng)描述用以唯一標(biāo)識配置項(xiàng)的方法。CM系統(tǒng)應(yīng)唯一標(biāo)識所有配置項(xiàng)。CM計(jì)劃應(yīng)描述CM系統(tǒng)是如何使用的。證據(jù)應(yīng)論證CM系統(tǒng)的運(yùn)作與CM計(jì)劃相一致。CM文檔應(yīng)提供證據(jù)以證明在CM系統(tǒng)下有效地維護(hù)了所有的配置項(xiàng)。CM系統(tǒng)應(yīng)提供措施使得對配置項(xiàng)只能進(jìn)行授權(quán)修改。評估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。范圍依賴關(guān)系：ACM_CAP.3授權(quán)控制。開發(fā)者行為元素：ACM_SCP.1.1D開發(fā)者應(yīng)提供CM文檔。證據(jù)的內(nèi)容和形式元素：CM文檔應(yīng)說明CM系統(tǒng)至少能跟蹤以下幾項(xiàng)：TOE實(shí)現(xiàn)表示，設(shè)計(jì)文檔，測試文檔，用戶文檔，管理員文檔和CM文檔。ACM_SCP.1.2CCM文檔應(yīng)描述CM系統(tǒng)是如何跟蹤配置項(xiàng)的。評估者行為元素：ACM_SCP.1.1E評估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。依賴關(guān)系：無依賴關(guān)系。開發(fā)者行為元素：ADO_DEL.1.1D開發(fā)者應(yīng)將把TOE及其部分交付給用戶的程序文檔化。ADO_DEL.1.2D開發(fā)者應(yīng)使用交付程序。GM／T0082—2020證據(jù)的內(nèi)容和形式元素：ADO_DEL.1.1C交付文檔應(yīng)描述，在給用戶分配TOE的版本時(shí)，用于維護(hù)安全所必需的所有程序。評估者行為元素：ADO_DEL.1.1E評估者應(yīng)確認(rèn)所提供的信息都滿足證據(jù)的內(nèi)容和形式的所有要求。安裝生成和啟動過程依賴關(guān)系：AGD_ADM.1管理員指南。開發(fā)者行為元素：ADO_IGS.1.1D開發(fā)者應(yīng)將TOE安全地安裝、生成和啟動所必要的程序文檔化。證據(jù)的內(nèi)容和形式元素：ADO_IGS.1.1C文檔應(yīng)描述TOE安全地安裝、生成和啟動所必要的步驟。評估者行為元素：ADO_IGS.1.1評估者應(yīng)確認(rèn)所提供的信息都滿足證據(jù)的內(nèi)容和形式的所有要求。ADO_IGS.1.2E評估者應(yīng)決定安裝，生成和啟動程序最終產(chǎn)生了安全的配置。非形式化功能規(guī)范依賴關(guān)系：ADV_RCR.1非形式化對應(yīng)性論證。開發(fā)者行為元素：ADV_FSP.1.1D開發(fā)者應(yīng)提供功能規(guī)范。證據(jù)的內(nèi)容和形式元素：ADV_FSP.1.1C功能規(guī)范應(yīng)使用非形式化的風(fēng)格來描述TSF及其外部接口。ADV_FSP.1.2C功能規(guī)范應(yīng)是內(nèi)在一致的。ADV_FSP.1.3C功能規(guī)范應(yīng)描述所有外部TSF的接口的用途及使用方法，適當(dāng)?shù)臅r(shí)候，要提供產(chǎn)生的影響、例外情況和錯誤消息的細(xì)節(jié)。ADV_FSP.1.4C功能規(guī)范應(yīng)完備地表示TSF。評估者行為元素：ADV_FSP.1.1E評估者應(yīng)確認(rèn)所提供的信息都滿足證據(jù)的內(nèi)容和形式的所有要求。ADV_FSP.1.2E評估者應(yīng)決定功能規(guī)范是TOE安全功能要求的一個(gè)精確且完備的實(shí)例。ADV＿HLD.2安全加強(qiáng)的高層設(shè)計(jì)依賴關(guān)系：ADV_FSP.1非形式化功能規(guī)范，ADV_RCR.1非形式化對應(yīng)性論證。開發(fā)者行為元素：ADV_HLD.2.1D開發(fā)者應(yīng)提供TSF的高層設(shè)計(jì)。證據(jù)的內(nèi)容和形式元素：ADV_HLD.2.1C高層設(shè)計(jì)的表示應(yīng)是非形式化的。ADV_HLD.2.2C高層設(shè)計(jì)應(yīng)是內(nèi)在一致的。ADV_HLD.2.3C高層設(shè)計(jì)應(yīng)按子系統(tǒng)來描述TSF的結(jié)構(gòu)。ADV_HLD.2.4C高層設(shè)計(jì)應(yīng)描述TSF的每一個(gè)子系統(tǒng)所提供的安全功能。GM／T0082—2020ADV_HLD.2.5C高層設(shè)計(jì)應(yīng)標(biāo)識TSF所要求的任何基礎(chǔ)性的硬件、固件或軟件，以及在這些硬件、固件或軟件中實(shí)現(xiàn)的支持性保護(hù)機(jī)制提供的功能表示。ADV_HLD.2.6C高層設(shè)計(jì)應(yīng)標(biāo)識TSF子系統(tǒng)的所有接口。ADV_HLD.2.7C高層設(shè)計(jì)應(yīng)標(biāo)識TSF子系統(tǒng)的哪些接口是外部可見的。ADV_HLD.2.8C高層設(shè)計(jì)應(yīng)描述TSF子系統(tǒng)所有接口的用途與使用方法，并適當(dāng)提供影響，例外情況和錯誤消息的細(xì)節(jié)。ADV_HLD.2.9C高層設(shè)計(jì)應(yīng)描述把TOE分成TSP-實(shí)施和其他子系統(tǒng)的這種分離。評估者行為元素：ADV_HLD.2.1E評估者應(yīng)確認(rèn)所提供的信息都滿足證據(jù)的內(nèi)容和形式的所有要求。ADV_HLD.2.2E評估者應(yīng)決定功能規(guī)范是TOE安全功能要求的一個(gè)精確且完備的實(shí)例。非形式化對應(yīng)性論證依賴關(guān)系：無依賴關(guān)系開發(fā)者行為元素：ADV_RCR.1.1D開發(fā)者應(yīng)在所提供的TSF表示的所有相鄰對之間提供其對應(yīng)性分析。證據(jù)的內(nèi)容和形式元素：ADV_RCR.1.1C對于所提供的TSF表示的每個(gè)相鄰對，分析應(yīng)論證：較為抽象的TSF表示的所有相關(guān)安全功能都在較不抽象的TSF表示中得到正確且完備地細(xì)化。評估者行為元素：ADV_RCR.1.1E評估者應(yīng)確認(rèn)所提供的信息都滿足證據(jù)的內(nèi)容和形式的所有要求。非形式化安全策略模型依賴關(guān)系：ADV_FSP.1非形式化功能規(guī)范。開發(fā)者行為元素：ADV_SPM.1.1D開發(fā)者應(yīng)提供一個(gè)TSP模型。ADV_SPM.1.2D開發(fā)者應(yīng)論證功能規(guī)范和TSP模型之間的對應(yīng)性。證據(jù)的內(nèi)容和形式元素：ADV_SPM.1.1CTSP模型應(yīng)是非形式化的。ADV_SPM.1.2CTSP模型應(yīng)描述所有可模型化的TSP策略的規(guī)則與特征。ADV_SPM.1.3CTSP模型應(yīng)包括一個(gè)基本原理，即論證該模型對與所有可模型化的TSP策略來說，是與其一致而且是完備的。ADV_SPM.1.4CTSP模型和功能規(guī)范之間的對應(yīng)性論證應(yīng)說明：所有功能規(guī)范中的安全功能對于TSP模型來說，是與其一致而且是完備的。評估者行為元素：ADV_SPM.1.1E評估者應(yīng)確認(rèn)所提供的信息都滿足證據(jù)的內(nèi)容和形式的所有要求。類：指導(dǎo)性文檔管理員指南依賴關(guān)系：ADV_FSP.1非形式化功能規(guī)范。GM／T0082—2020開發(fā)者行為元素：AGD_ADM.1.1D開發(fā)者應(yīng)提供針對系統(tǒng)管理員的管理員文檔。證據(jù)的內(nèi)容和形式元素：AGD_ADM.1.1C管理員指南應(yīng)描述TOE管理員可使用的管理功能和接口。AGD_ADM.1.2C管理員指南應(yīng)描述如何以安全的方式管理TOE。AGD_ADM.1.3C管理員指南應(yīng)包含在安全處理環(huán)境中應(yīng)進(jìn)行控制的功能和權(quán)限的警告。AGD_ADM.1.4C管理員指南應(yīng)描述所有與TOE的安全運(yùn)行有關(guān)的用戶行為的假設(shè)。AGD_ADM.1.5C管理員指南應(yīng)描述所有受管理員控制的安全參數(shù)，合適的情況下應(yīng)指明安全值。AGD_ADM.1.6C管理員指南應(yīng)描述每一種與需要執(zhí)行的管理功能有關(guān)的安全相關(guān)事件，包括改變TSF所控制的實(shí)體的安全特性。AGD_ADM.1.7C管理員指南應(yīng)與為評估而提供的其他所有文檔保持一致。AGD_ADM.1.8C管理員指南應(yīng)描述與管理員有關(guān)的IT環(huán)境的所有安全要求。評估者行為元素：AGD_ADM.1.1E評估者應(yīng)確認(rèn)所提供的信息都滿足證據(jù)的內(nèi)容和形式的所有要求。用戶指南依賴關(guān)系：ADV_FSP.1非形式化功能規(guī)范開發(fā)者行為元素：AGD_USR.1.1D開發(fā)者應(yīng)提供用戶指南。證據(jù)的內(nèi)容和形式元素：AGD_USR.1.1C用戶指南應(yīng)描述TOE的非管理員可用的功能和接口。AGD_USR.1.2C用戶指南應(yīng)描述TOE提供的用戶可訪問的安全功能的用法。AGD_USR.1.3C用戶指南應(yīng)包含在安全處理環(huán)境中所控制的用戶可訪問的功能和權(quán)限的警告。AGD_USR.1.4C用戶指南應(yīng)清晰地闡述TOE安全運(yùn)行中用戶所應(yīng)負(fù)的職責(zé)，包括有關(guān)在TOE安全環(huán)境闡述中找得到的用戶行為的假設(shè)。AGD_USR.1.5C用戶指南應(yīng)與為評估而提供的其他所有文檔保持一致。AGD_USR.1.6C用戶指南應(yīng)描述與用戶有關(guān)的IT環(huán)境的所有安全要求。評估者行為元素：AGD_USR.1.6E評估者應(yīng)確認(rèn)所提供的信息都滿足證據(jù)的內(nèi)容和形式的所有要求。類：生命周期支持安全度量標(biāo)識依賴關(guān)系：無依賴關(guān)系。開發(fā)者行為元素：ALC_DVS.1.1D證據(jù)的內(nèi)容和形式元素：ALC_DVS.1.1C開發(fā)者應(yīng)提供開發(fā)安全文檔。開發(fā)安全文檔應(yīng)描述在TOE的開發(fā)環(huán)境中，為了保護(hù)TOE設(shè)計(jì)和實(shí)現(xiàn)的保密性和完整性面需要在物理，程序，人員以及其他方GM／T0082—2020面應(yīng)采取的必要安全措施。ALC_DVS.1.2C開發(fā)安全文檔應(yīng)提供在TOE的開發(fā)和維護(hù)過程中執(zhí)行安全措施的證據(jù)。評估者行為元素：ALC_DVS.1.1E評估者應(yīng)確認(rèn)所提供的信息都滿足證據(jù)的內(nèi)容和形式的所有要求。ALC_DVS.1.2E評估者應(yīng)確認(rèn)應(yīng)用了安全措施?；救毕菁m正依賴關(guān)系：無依賴關(guān)系。開發(fā)者行為元素：ALC_FLR.1.1D開發(fā)者應(yīng)將缺陷糾正的程序文檔化。證據(jù)的內(nèi)容和形式元素：ALC_FLR.1.1C缺陷糾正程序文檔應(yīng)描述用以跟蹤所有在TOE發(fā)布時(shí)已被報(bào)告的安全缺陷的程序。ALC_FLR.1.2C缺陷糾正程序應(yīng)要求描述所提供的每個(gè)安全缺陷的性質(zhì)和效果，以及更正缺陷的情況。ALC_FLR.1.3C缺陷糾正程序應(yīng)要求標(biāo)識每個(gè)安全缺陷所采取的糾正措施。ALC_FLR.1.4C缺陷糾正程序文檔應(yīng)描述為TOE用戶的更正行為所提供的信息，更正和指導(dǎo)的方法。評估者行為元素：ALC_FLR.1.1E評估者應(yīng)確認(rèn)所提供的信息都滿足證據(jù)的內(nèi)容和形式的所有要求。范圍分析依賴關(guān)系：ADV_FSP.1非形式化功能規(guī)范，ATE_FUN.1功能測試。開發(fā)者行為元素：ATE_COV.2.1D開發(fā)者將提供測試覆蓋范圍的分析。證據(jù)的內(nèi)容和形式元素：ATE_COV.2.1C測試覆蓋范圍的分析應(yīng)論證測試文檔中所標(biāo)識的測試和功能規(guī)范中所描述的TSF之間的對應(yīng)性。ATE_COV.2.2C測試覆蓋范圍的分析應(yīng)論證功能規(guī)范中所描述的TSF和測試文檔中所標(biāo)識的測試之間的對應(yīng)性是完備的。評估者行為元素：ATE_COV.2.1E評估者應(yīng)確認(rèn)所提供的信息都滿足證據(jù)的內(nèi)容和形式的所有要求。依賴關(guān)系：ADV_HLD.1,概述性高層設(shè)計(jì)，ATE_FUN.1,功能測試。開發(fā)者行為元素：ATE_DPT.1.1D開發(fā)者應(yīng)提供測試深度分析。證據(jù)的內(nèi)容和形式元素：ATE_DPT.1.1C深度分析應(yīng)論證測試文檔中所標(biāo)識的測試足以論證該TSF運(yùn)行和高層設(shè)計(jì)是一致的。評估者行為元素：ATE_DPT.1.1依賴關(guān)系：無依賴關(guān)系。開發(fā)者行為元素：ATE_FUN.1.1DATE_FUN.1.2D證據(jù)的內(nèi)容和形式元素：ATE_FUN.1.1CATE_FUN.1.2CATE_FUN.1.3CATE_FUN.1.4CATE_FUN.1.5C評估者行為元素：ATE_FUN.1.1EGM／T0082—2020評估者應(yīng)確認(rèn)所提供的信息都滿足證據(jù)的內(nèi)容和形式的所有要求。開發(fā)者應(yīng)測試TSF,并將結(jié)果文檔化。開發(fā)者應(yīng)提供測試文檔。測試文檔應(yīng)包括測試計(jì)劃，測試程序描述，預(yù)期的測試結(jié)果和實(shí)際的測試結(jié)果。測試計(jì)劃應(yīng)標(biāo)識要測試的安全功能，描述要執(zhí)行的測試目標(biāo)。測試過程描述應(yīng)標(biāo)識要執(zhí)行的測試，并描述每個(gè)安全功能的測試情況，這些概況包括對于其他測試結(jié)果的順序性依賴。預(yù)期的測試結(jié)果應(yīng)標(biāo)明成功測試運(yùn)行后的預(yù)期輸出。開發(fā)者執(zhí)行測試的結(jié)果應(yīng)論證每個(gè)被測試的安全性功能已按照規(guī)定進(jìn)行了運(yùn)作。評估者應(yīng)確認(rèn)所提供的信息都滿足證據(jù)的內(nèi)容和形式的所有要求。依賴關(guān)系：ADV_FSP.1,非形式化功能規(guī)范，AGD_ADM.1,管理員指南，AGD_USR.1,用戶指南，ATE_FUN.1,功能測試。開發(fā)者行為元素：ATE_IND.2.1D開發(fā)者應(yīng)提供用于測試的TOE。證據(jù)的內(nèi)容和形式元素：ATE_IND.2.1CTOE應(yīng)與測試相適應(yīng)。ATE_IND.2.2C開發(fā)者應(yīng)提供一個(gè)與開發(fā)者的TSF功能測試中使用的資源相當(dāng)?shù)募?。評估者行為元素：ATE_IND.2.1E評估者應(yīng)確認(rèn)所提供的信息都滿足證據(jù)的內(nèi)容和形式的所有要求。ATE_IND.2.2E評估者應(yīng)適當(dāng)測試一個(gè)TSF子集，以確認(rèn)TOE相應(yīng)的按照規(guī)范運(yùn)行。ATE_IND.2.3E評估者應(yīng)抽樣執(zhí)行測試文檔里的測試樣本，以驗(yàn)證開發(fā)者測試的結(jié)果。8.3.7AVA類：脆弱性評定依賴關(guān)系：ADO_IGS.1,安裝，生成和啟動過程，ADV_FSP.1,非形式化功能規(guī)范，AGD_ADM.1,管理員指南，AGD_USR.1,用戶指南。開發(fā)者行為元素：AVA_MSU.1.1D開發(fā)者應(yīng)提供指導(dǎo)性文檔。GM／T0082—2020證據(jù)的內(nèi)容和形式元素：AVA_MSU.1.1C指導(dǎo)性文檔應(yīng)確定對TOE的所有可能的運(yùn)行方式（包括失敗和操作失誤后的運(yùn)行它們的后果以及對于保持安全運(yùn)行的意義。AVA_MSU.1.2C指導(dǎo)性文檔應(yīng)是完備的，清晰的，一致的，合理的。AVA_MSU.1.3C指導(dǎo)性文檔應(yīng)列出所有目標(biāo)環(huán)境的假設(shè)。AVA_MSU.1.4C指導(dǎo)性文檔應(yīng)列出所有外部安全措施（包括外部程序的，物理的或人員的控制）的要求。評估者行為元素：AVA_MSU.1.1E評估者應(yīng)確認(rèn)所提供的信息都滿足證據(jù)的內(nèi)容和形式的所有要求。AVA_MSU.1.2E評估者應(yīng)重復(fù)所有配置與安裝程序，以確認(rèn)只使用所提供的指導(dǎo)性文檔就可讓TOE安全配置和使用。AVA_MSU.1.3E評估者應(yīng)決定指導(dǎo)性文檔的使用能檢測到所有不安全狀態(tài)。AVA＿SOF.1TOE安全功能強(qiáng)度評估依賴關(guān)系：ADV_FSP.1非形式化功能規(guī)范，ADV_HLD.1概述性高層設(shè)計(jì)。開發(fā)者行為元素：AVA_SOF.1.1D開發(fā)者應(yīng)對安全目標(biāo)中標(biāo)識的每個(gè)具有TOE安全功能強(qiáng)度聲明的安全機(jī)制進(jìn)行TOE安全功能強(qiáng)度分析。證據(jù)的內(nèi)容和形式元素：AVA_SOF.1.1C對于具有TOE安全功能強(qiáng)度聲明的每個(gè)安全機(jī)制，TOE安全功能強(qiáng)度分析應(yīng)說明該機(jī)制達(dá)到或超過保護(hù)輪廓／安全目標(biāo)定義的最低強(qiáng)度。AVA_SOF.1.2C對于具有特定TOE安全功能強(qiáng)度聲明的每個(gè)安全機(jī)制，TOE安全功能強(qiáng)度分析應(yīng)說明該機(jī)制達(dá)到或超過保護(hù)輪廓／安全目標(biāo)定義的最低強(qiáng)度。評估者行為元素：AVA_SOF.1.1E評估者應(yīng)確認(rèn)所提供的信息都滿足證據(jù)的內(nèi)容和形式的所有要求。AVA_SOF.1.2E評估者應(yīng)確認(rèn)強(qiáng)度聲明是正確的。依賴關(guān)系：ADV_FSP.1非形式化功能規(guī)范，ADV_HLD.1概述性高層設(shè)計(jì)，AGD_ADM.1管理員指南，AGD_USR.1用戶指南。開發(fā)者行為元素：AVA_VLA.1.1D開發(fā)者應(yīng)分析TOE的可交付材料，以尋找用戶違反TSP的明顯途徑，并將分析結(jié)果文檔化。AVA_VLA.1.2D開發(fā)者應(yīng)將明顯的脆弱性分析文檔化。證據(jù)的內(nèi)容和形式元素：AVA_VLA.1.1C對所有已標(biāo)識的脆弱性，文檔應(yīng)能說明在所期望的TOE環(huán)境中無法利用這些脆弱性。評估者行為元素：AVA_VLA.1.1E評估者應(yīng)確認(rèn)所提供的信息都滿足證據(jù)的內(nèi)容和形式的所有要求。AVA_VLA.1.2E評估者應(yīng)在開發(fā)方脆弱性分析的基礎(chǔ)上實(shí)施穿透性測試，確保已經(jīng)表述了明顯的脆弱性。GM／T0082—20209基本原理9.1安全目的基本原理安全目的基本原理，通過安全目的與威脅之間的關(guān)系證明安全目標(biāo)的合理性和完整性。安全假設(shè)向安全威脅的映射關(guān)系見表6,所有假設(shè)和威脅都至少映射到一個(gè)目的。對應(yīng)的，安全目標(biāo)向安全假設(shè)和威脅的映射規(guī)定見表7,所有的目標(biāo)都至少映射到一個(gè)假設(shè)或威脅。表7后的文字說明了對抗每一個(gè)威脅的安全目的。表6TOE安全環(huán)境與安全目的映射關(guān)系序號目的1E正確配置環(huán)境應(yīng)正確配置2E篡改留證環(huán)境篡改留證1攻擊自主訪問控制，身份標(biāo)識，安全角色，受保護(hù)的功能2旁路消息校驗(yàn)，安全屬性管理，功能調(diào)用3導(dǎo)出安全導(dǎo)出4密碼破解執(zhí)行密碼操作5物理破解篡改識別6冒名身份標(biāo)識，安全角色，安全導(dǎo)入7導(dǎo)入安全導(dǎo)入8密鑰生成和銷毀安全密鑰管理9功能異常故障時(shí)安全修改限制操作，安全屬性管理，安全角色，自主訪問控制無安全屬性默認(rèn)安全屬性安全屬性變化修改安全屬性未受保護(hù)的安全屬性可靠的安全屬性殘留數(shù)據(jù)無可重用信息，安全密鑰管理重放一次性鑒別否認(rèn)消息判定自檢失敗自檢，完整性檢查表7安全目的與假設(shè)和威脅映射關(guān)系序號目的1E環(huán)境正確配置正確配置2E環(huán)境篡改留證篡改留證1安全密鑰管理密鑰生成和銷毀2執(zhí)行密碼操作密碼破解GM／T0082—2020表7安全目的與假設(shè)和威脅映射關(guān)系（續(xù)）序號目的3自檢失敗4自主訪問控制5安全導(dǎo)出導(dǎo)出6故障時(shí)安全功能異常7完整性檢查自檢失敗8消息校驗(yàn)旁路9身份標(biāo)識攻擊，冒名安全導(dǎo)入導(dǎo)入，冒名功能調(diào)用旁路限制操作修改消息判定否認(rèn)無可重用信息殘留數(shù)據(jù)默認(rèn)安全屬性無安全屬性修改安全屬性安全屬性變化可靠的安全屬性未受保護(hù)的安全屬性安全屬性管理修改，旁路安全角色攻擊，修改，冒名受保護(hù)的功能攻擊一次性鑒別重放篡改識別物理破解攻擊：一個(gè)攻擊者會試圖執(zhí)行一個(gè)未授權(quán)操作，從而導(dǎo)致TOE沒有檢測到針對加密數(shù)據(jù)的威脅。來消除。這些目的限制了用戶的操作能力，只允許用戶進(jìn)行經(jīng)過授權(quán)的活動：—自主訪問控制：TOE應(yīng)能夠通過特定的訪問控制策略來控制和限制用戶對TOE數(shù)據(jù)的訪問，該安全目的通過定義的訪問控制策略來限制攻擊者執(zhí)行未經(jīng)授權(quán)的操作；—身份標(biāo)識：TOE應(yīng)唯一的識別所有的用戶，并且在授權(quán)用戶訪問TOE功能之前，TOE需要鑒別用戶所宣稱的身份；—安全角色：TOE應(yīng)管理與安全相關(guān)的規(guī)則以及與這些規(guī)則相關(guān)聯(lián)的用戶，該安全目的通過將每一個(gè)用戶與一個(gè)角色關(guān)聯(lián)起來（并據(jù)此賦予特定的訪問控制策略）來更進(jìn)一步的支持訪問控制策略；—受保護(hù)的功能：TSF應(yīng)擁有屬于其自身的一塊區(qū)域用于執(zhí)行安全功能操作，以避免外部的干擾、篡改以及未經(jīng)授權(quán)的泄露。旁路：一個(gè)未經(jīng)授權(quán)的用戶可能會篡改安全屬性或其他數(shù)據(jù)以繞過TOE的安全功能，從而未經(jīng)授消除。這三個(gè)安全目的使得TOE能夠檢測到數(shù)據(jù)的篡改，以及阻止未經(jīng)授權(quán)的用戶對安全屬性或其他數(shù)據(jù)的篡改：GM／T0082—2020—消息校驗(yàn)：TOE應(yīng)提供檢測安全屬性或其他數(shù)據(jù)是否被更改的功能，從而為系統(tǒng)提供了檢測數(shù)據(jù)是否被篡改的能力；—安全屬性管理：TOE只允許授權(quán)用戶初始化和修改客體的安全屬性值，從而消除了非授權(quán)用戶進(jìn)行這些更改的威脅；—功能調(diào)用：TSF應(yīng)被TOE各功能調(diào)用，由于此安全目的要求TOE各功能都要調(diào)用TSF,并且不準(zhǔn)許被任何用戶繞過，因此保護(hù)系統(tǒng)免遭非授權(quán)用戶的篡改。導(dǎo)出：一個(gè)用戶或攻擊者可能會將數(shù)據(jù)導(dǎo)出而不附帶安全屬性或附帶的安全屬性不夠安全，造成導(dǎo)出的數(shù)據(jù)是錯誤的并且不能使用?！皩?dǎo)出”作為一個(gè)威脅，可通過“安全導(dǎo)出”來消除：—安全導(dǎo)出：當(dāng)數(shù)據(jù)被導(dǎo)出TOE時(shí)，TOE應(yīng)保證安全屬性隨著數(shù)據(jù)一起被導(dǎo)出，并且這些與數(shù)據(jù)相關(guān)的安全屬性值是無歧義的。密碼破解：密碼算法可能沒有被正確的實(shí)現(xiàn)，因此一個(gè)用戶可能會解密由TOE生成的密鑰，并未經(jīng)授權(quán)用此密鑰去訪問加密的數(shù)據(jù)?！懊艽a破解”作為一個(gè)威脅，可通過“執(zhí)行密碼操作”來消除；—執(zhí)行密碼操作：TOE應(yīng)能夠執(zhí)行與密碼學(xué)相關(guān)的操作，這些操作包括SM3密碼雜湊、HMAC、SM2數(shù)字簽名以及簽名校驗(yàn)、SM2加密與解密、SM2密鑰的生成（遵循一定的算法和密鑰的長度，密鑰的長度應(yīng)足夠大以保證公私密鑰對不被破解）。物理破解：通過與TOE物理交互，在物理環(huán)境中利用其脆弱性，一個(gè)未經(jīng)授權(quán)的個(gè)體或TOE的用戶可能未經(jīng)授權(quán)而泄露或修改TOE數(shù)據(jù)。“物理破解”作為一個(gè)威脅，可通過“物理破解”來消除?！鄹淖R別：TOE應(yīng)具有讓用戶檢測系統(tǒng)部件是否被物理篡改的特性。盡管這個(gè)安全目的并不能阻止物理篡改，但它能夠在對TOE進(jìn)行物理檢查的時(shí)候檢測出篡改。冒名：一個(gè)未經(jīng)授權(quán)的個(gè)體可能偽裝成一個(gè)已由TOE授權(quán)的用戶，從而獲得訪問TOE數(shù)據(jù)、密鑰以及操作的能力?！懊懊弊鳛橐粋€(gè)威脅，可通過“身份標(biāo)識”“安全角色”和“安全導(dǎo)入”來消除。這三個(gè)安全目的要求用戶需要通過標(biāo)識與鑒別，并且限制了用戶只能在與之所屬角色相關(guān)的訪問控制策略下進(jìn)行操作?！矸輼?biāo)識：TOE應(yīng)唯一的識別所有的用戶，并且在授權(quán)用戶訪問TOE功能之前，TOE需要鑒別用戶所宣稱的身份。該安全目的要求鑒別每一個(gè)用戶以確定每一個(gè)用戶所屬的角色適用的特定的訪問控制規(guī)則?！踩巧篢OE應(yīng)管理與安全相關(guān)的規(guī)則以及與這些規(guī)則相關(guān)聯(lián)的用戶。該安全目的更進(jìn)一步地將每一個(gè)用戶與一個(gè)角色關(guān)聯(lián)起來，并據(jù)此賦予特定的訪問控制策略?！獙?dǎo)入：當(dāng)數(shù)據(jù)被導(dǎo)入TOE時(shí)，TOE應(yīng)保證與數(shù)據(jù)關(guān)聯(lián)的安全屬性也一同被導(dǎo)入，并且這些數(shù)據(jù)來源于一個(gè)已經(jīng)被授權(quán)的資源。此外，TOE應(yīng)根據(jù)TSF訪問控制規(guī)則校驗(yàn)這些安全屬性。導(dǎo)入：一個(gè)用戶或者攻擊者可能會將不帶有安全屬性或帶有錯誤的安全屬性的數(shù)據(jù)導(dǎo)入，造成所有 權(quán)和鑒別的不確定或錯誤、系統(tǒng)故障或者運(yùn)行方式不安全。“導(dǎo)入”作為一個(gè)威脅，可通過“安全導(dǎo)入”消除。—安全導(dǎo)入：當(dāng)數(shù)據(jù)被導(dǎo)入TOE時(shí)，TOE應(yīng)保證與數(shù)據(jù)關(guān)聯(lián)的安全屬性也一同被導(dǎo)入，并且這些數(shù)據(jù)來源于一個(gè)已經(jīng)被授權(quán)的資源。此外，TOE應(yīng)根據(jù)TSF訪問控制規(guī)則校驗(yàn)這些安全屬性。密鑰生成和銷毀：密鑰可能通過一種不安全的方式產(chǎn)生或銷毀，從而對密鑰構(gòu)成了危害?！懊荑€生成和銷毀”作為一個(gè)威脅，可通過“安全密鑰管理”消除。—安全密鑰管理：TOE應(yīng)以一種安全的方式產(chǎn)生和銷毀密鑰。功能異常：TOE出現(xiàn)故障時(shí)，TOE的數(shù)據(jù)可能會被未經(jīng)授權(quán)的個(gè)體或者TOE的用戶修改或者訪問。功能異常通過故障時(shí)安全消除?！收蠒r(shí)安全：TOE應(yīng)保證在出現(xiàn)與密碼學(xué)相關(guān)的操作失敗時(shí)或其他故障時(shí)，系統(tǒng)仍然處于一個(gè)安全狀態(tài)。GM／T0082—2020修改：一個(gè)攻擊者可能會修改TSF或者用戶數(shù)據(jù)，例如存儲的安全屬性或密鑰，從而獲得訪問TOE以及TOE的數(shù)據(jù)的能力。攻擊者未經(jīng)授權(quán)的更改或破壞信息對信息的完整性構(gòu)成威脅?！靶薷摹弊鳛橐粋€(gè)威脅，可通過“限制操作”“安全屬性管理”“安全角色”和“自主訪問控制”消除。這些安全目的支持TOE限制未經(jīng)授權(quán)的用戶的訪問，還支持TOE通過對一些經(jīng)過加密的特殊數(shù)據(jù)進(jìn)行管理來維護(hù)數(shù)據(jù)和系統(tǒng)的完整性：—受限操作：TOE在核實(shí)用戶身份之前，應(yīng)限制用戶能夠進(jìn)行的操作；—安全屬性管理：TOE只允許授權(quán)用戶初始化和修改客體的安全屬性值；—安全角色：TOE應(yīng)管理與安全相關(guān)的規(guī)則以及與這些規(guī)則相關(guān)聯(lián)的用戶；—自主訪問控制：TOE應(yīng)能夠通過特定的訪問控制策略來控制和限制用戶對TOE數(shù)據(jù)的訪問。無安全屬性：用戶可能會創(chuàng)建一個(gè)沒有安全屬性值的客體?！盁o安全屬性”作為一個(gè)威脅，可通過“默認(rèn)安全屬性”消除?！J(rèn)安全屬性：當(dāng)一個(gè)客體被創(chuàng)建時(shí)，TOE要求其擁有默認(rèn)的安全屬性。安全屬性變化：用戶或攻擊者可能未經(jīng)授權(quán)而改動客體的安全屬性?！鞍踩珜傩宰兓弊鳛橐粋€(gè)威—修改安全屬性：TOE應(yīng)允許一個(gè)授權(quán)用戶修改某一個(gè)已被創(chuàng)建的客體的默認(rèn)安全屬性。未受保護(hù)的安全屬性：用戶可能會為一個(gè)客體設(shè)置一個(gè)未受保護(hù)的安全屬性值?！拔词鼙Ｗo(hù)的安全屬性”作為一個(gè)威脅，可通過“可靠的安全屬性”消除。—可靠的安全屬性：TOE管理安全屬性，并且只允許這些安全屬性具有安全的值。殘留數(shù)據(jù)：當(dāng)一個(gè)數(shù)據(jù)不再被TOE管理的時(shí)候（“殘留”數(shù)據(jù)用戶可能未經(jīng)授權(quán)而獲得這個(gè)數(shù)據(jù)。殘留數(shù)據(jù)通過無可重用信息，安全密鑰管理消除。無可重用信息用于確保在緩沖區(qū)或者系統(tǒng)區(qū)域中沒有殘留的數(shù)據(jù)。安全密鑰管理決定了密鑰銷毀應(yīng)被執(zhí)行：—無重用數(shù)據(jù)：TOE應(yīng)保證沒有“可重用”的資源，例如通過將資源重分配給不同的用戶，保證在信息容器中或者系統(tǒng)資源中沒有“殘留”的信息；—安全密鑰管理：TOE應(yīng)以一種安全的方式產(chǎn)生和銷毀密鑰。重放：一個(gè)未經(jīng)授權(quán)的個(gè)人，可能通過重放攻擊以及中間人攻擊而獲得標(biāo)識與鑒別數(shù)據(jù)，從而能夠非法訪問系統(tǒng)以及機(jī)密數(shù)據(jù)?！爸胤拧笨赏ㄟ^“一次性鑒別”消除。—一次性鑒別：TOE應(yīng)提供一次性鑒別的機(jī)制，通過要求重新鑒別來防止重放攻擊和中間人攻擊。否認(rèn)：一個(gè)數(shù)據(jù)的生成者可能會否認(rèn)產(chǎn)生過此數(shù)據(jù)以逃避其應(yīng)承擔(dān)的責(zé)任?！胺裾J(rèn)”作為一個(gè)威脅，可通過“消息判定”來消除。—消息判定：當(dāng)TOE與一個(gè)遠(yuǎn)程的系統(tǒng)交換數(shù)據(jù)時(shí)，應(yīng)保證數(shù)據(jù)的完整性、消息的鑒別以及消息的不可否認(rèn)性。自檢失敗：TOE可能以一個(gè)不安全的狀態(tài)啟動或者進(jìn)入了一個(gè)不安全的狀態(tài)，使得攻擊者能夠獲得機(jī)密數(shù)據(jù)或者威脅系統(tǒng)?！白詸z失敗”作為一個(gè)威脅，可通過“自檢”和“完整性檢查”來消除。這些安全目的要求TOE具有自檢和檢查數(shù)據(jù)完整性的功能，以便檢測在啟動時(shí)或正常操作時(shí)的不正常狀態(tài)：—自檢：TOE應(yīng)具備檢驗(yàn)密碼功能是否按照設(shè)計(jì)的模式運(yùn)行的能力；—完整性檢查：TOE應(yīng)提供對系統(tǒng)完整性和用戶數(shù)據(jù)完整性的周期性檢查。9.2安全要求基本原理安全功能要求基本原理，通過安全目的同安全功能要求之間的關(guān)系說明了安全功能要求的合理性GM／T0082—2020和完整性。安全目的至功能組件的映射見表8。表8安全目的映射功能組件序號目的功能組件1安全密鑰管理FCS_CKM.1,FCS_CKM.42執(zhí)行密碼操作FCS_COP.13FPT_AMT.1,FPT_TST.14自主訪問控制FDP_ACC.1,FDP_ACF.1,FMT_MOF.1,FMT_MTD.15安全導(dǎo)出FDP_ETC.26故障時(shí)安全FPT_FLS.1,FPT_RCV.47完整性檢查FPT_AMT.1,FPT_TST.18消息校驗(yàn)9身份標(biāo)識FIA_UAU.1,FIA_UID.1,FIA_ATD.1安全導(dǎo)入FDP_ITC.2,FPT_TDC.1,FTP_TRP.1功能調(diào)用FPT_RVM.1限制操作FIA_UAU.1,FIA_UID.1消息判定FCO_NRO.2,FDP_ETC.2無可重用信息FDP_RIP.2默認(rèn)安全屬性FMT_MSA.3修改安全屬性FMT_MSA.3可靠的安全屬性FMT_MSA.2,FPT_TDC.1安全屬性管理FMT_MSA.3,FMT_MSA.1安全角色FMT_SMR.2,FIA_ATD.1受保護(hù)的功能FPT_SEP.1一次性鑒別FIA_UAU.4,FIA_UAU.6,FPT_RPL.1篡改識別FPT_PHP.1安全密鑰管理：TOE應(yīng)以一種安全的方式產(chǎn)生和銷毀密鑰。作為一個(gè)安全目的，“安全密鑰管理”映射到如下安全功能要求：—FCS_CKM.1：密鑰產(chǎn)生，TOE應(yīng)按照SM2/SM4算法，生成指定長度的密鑰；—FCS_CKM.4：密鑰銷毀，TOE應(yīng)依據(jù)安全的密鑰銷毀方法銷毀密鑰。執(zhí)行密碼操作：TOE應(yīng)能夠執(zhí)行與密碼學(xué)相關(guān)的操作，這些操作包括SM3密碼雜湊、HMAC、SM2數(shù)字簽名以及簽名校驗(yàn)、SM2/SM4加密與解密、SM2/SM4密鑰的生成。作為一個(gè)安全目的，“執(zhí)行密碼操作”映射到如下安全功能要求：—FCS_COP.1：密碼運(yùn)算，TOE應(yīng)能夠執(zhí)行各類密碼運(yùn)算，包括SM3密碼雜湊、SM2加解密操作、SM2簽名和簽名校驗(yàn)、HMAC以及SM4對稱密碼的加解密操作，覆蓋了所有必需遵循的密碼運(yùn)算、密鑰長度和標(biāo)準(zhǔn)。自檢：TOE應(yīng)具備檢驗(yàn)密碼功能是否按照設(shè)計(jì)的模式運(yùn)行的能力。作為一個(gè)安全目的，“自檢”映射到如下安全功能要求：—FPT_AMT.1：抽象機(jī)測試，TOE應(yīng)能夠測試在抽象機(jī)下的密碼運(yùn)算部分；GM／T0082—2020—FPT_TST.1:TSF檢測，TOE應(yīng)能夠?qū)嵤┳詸z，以確保密鑰運(yùn)算正確運(yùn)行。檢測在啟動期間或周期性的進(jìn)行，這些測試包括對密碼運(yùn)算的已知答案測試，以及對隨機(jī)數(shù)的統(tǒng)計(jì)測試。額外的測試可包括公私密鑰對的生成，以及密鑰對的加解密一致性測試、密鑰入口測試和密鑰完整性測試。自主訪問控制：TOE應(yīng)能夠通過特定的訪問控制策略來控制和限制用戶對TOE數(shù)據(jù)的訪問。作為一個(gè)安全目的，“自主訪問控制”映射到如下安全功能要求：—FDP_ACC.1：子集訪問控制，TOE應(yīng)加強(qiáng)對主體、客體和運(yùn)算的保護(hù)性訪問控制；—FDP_ACF.1：基于安全屬性的訪問控制，TOE應(yīng)能夠基于TCM內(nèi)部屬性值TCM_AUTH_DATA_USAGE和TCM_KEY_USAGE的實(shí)施訪問控制；—FMT_MOF.1：安全功能行為的管理，安全目標(biāo)的制定者應(yīng)指定由TCM的所有者限制的功能列表；—FMT_MTD.1:TSF數(shù)據(jù)的管理，TOE應(yīng)確保TSF數(shù)據(jù)對于授權(quán)用戶是可訪問的。安全導(dǎo)出：當(dāng)數(shù)據(jù)被導(dǎo)出TOE時(shí)，TOE應(yīng)保證安全屬性隨數(shù)據(jù)一起被導(dǎo)出，并且這些與數(shù)據(jù)相關(guān)的安全屬性值是無歧義的。作為一個(gè)安全目的，“安全導(dǎo)出”映射到如下安全功能要求：—FDP_ETC.2：有安全屬性的用戶數(shù)據(jù)輸出，數(shù)據(jù)輸出到TSF外時(shí)，安全屬性與數(shù)據(jù)應(yīng)確切關(guān)聯(lián)。故障時(shí)安全：TOE應(yīng)保證在出現(xiàn)與密碼學(xué)相關(guān)的操作失敗時(shí)或其他故障時(shí)，系統(tǒng)仍然處于一個(gè)安全狀態(tài)。作為一個(gè)安全目的，“故障時(shí)安全”映射到如下安全功能要求：—FPT_FLS.1：帶保存安全狀態(tài)的失敗，TSF應(yīng)在失敗發(fā)生時(shí)保存一個(gè)安全狀態(tài)；—FPT_RCV.4：功能恢復(fù)，TOE的功能執(zhí)行應(yīng)能夠被成功完成，或者針對指明的失敗情況恢復(fù)到安全狀態(tài)。完整性檢查：TOE應(yīng)提供對系統(tǒng)完整性和用戶數(shù)據(jù)完整性的周期性檢查。作為一個(gè)安全目的，“完整性檢查”映射到如下安全功能要求：—FPT_AMT.1：抽象機(jī)測試，TOE應(yīng)測試在抽象機(jī)下的密碼運(yùn)算部分；—FPT_TST.1:TSF檢測，TOE應(yīng)執(zhí)行自檢過程以確保密鑰運(yùn)算正確運(yùn)行。檢測應(yīng)在啟動時(shí)或周期性地進(jìn)行，這些測試包括對密碼運(yùn)算的已知答案測試，以及對隨機(jī)數(shù)的統(tǒng)計(jì)測試。額外的測試可包括公私密鑰對的生成，以及密鑰對的加解密一致性測試、密鑰入口測試、密鑰完整性測試。消息校驗(yàn)：TOE應(yīng)提供檢測安全屬性或其他數(shù)據(jù)是否被更改的功能。作為一個(gè)安全目的，“消息校驗(yàn)”映射到如下安全功能要求：—FCS_COP.1.1:TOE應(yīng)根據(jù)引用的標(biāo)準(zhǔn)提供HMAC功能，使其具有檢測安全屬性或其他數(shù)據(jù)被改動的能力。身份標(biāo)識：TOE應(yīng)唯一的識別所有的用戶，并且在授權(quán)用戶訪問TOE功能之前，TOE需要鑒別用戶所宣稱的身份。作為一個(gè)安全目的，“身份標(biāo)識”映射到如下安全功能要求：—FIA_UAU.1：鑒別定時(shí)，除了一些已經(jīng)明確定義的行為，用戶在進(jìn)行其他行為之前應(yīng)被成功的鑒別；—FIA_UID.1：標(biāo)識定時(shí)，除了一些已經(jīng)明確定義的行為，用戶在進(jìn)行其他行為之前應(yīng)被成功的識別；—FIA_ATD.1：用戶屬性定義，通過要求用戶屬性來支持FIA_UAU.1和FIA_UID.1。鑒別數(shù)據(jù)被定義為用戶屬性，在這里，鑒別數(shù)據(jù)與一個(gè)代表用戶的特定密鑰相關(guān)聯(lián)。安全導(dǎo)入：當(dāng)數(shù)據(jù)被導(dǎo)入TOE時(shí)，TOE應(yīng)保證與數(shù)據(jù)關(guān)聯(lián)的安全屬性也一同被導(dǎo)入，并且這些數(shù)據(jù)來源于一個(gè)已經(jīng)被授權(quán)的資源。此外，TOE應(yīng)根據(jù)TOE訪問控制規(guī)則校驗(yàn)這些安全屬性。“安全導(dǎo)入”映射到如下安全功能要求：GM／T0082—2020—FDP_ITC.2：有安全屬性的用戶數(shù)據(jù)輸入，導(dǎo)入至TOE的數(shù)據(jù)應(yīng)具有安全屬性，這些安全屬性包括基于密鑰的鑒別數(shù)據(jù)?！狥PT_TDC.1:TSF間基本TSF數(shù)據(jù)的一致性，定義了安全屬性，當(dāng)導(dǎo)入數(shù)據(jù)時(shí)這些安全屬性應(yīng)被一致性解釋?！狥TP_TRP.1：可信路徑，TOE應(yīng)確保接收的數(shù)據(jù)來源于一個(gè)已被授權(quán)的數(shù)據(jù)源。FDP_ITC.2依賴于可信路徑，數(shù)據(jù)的導(dǎo)入需要一條可信路徑。功能調(diào)用：TSF應(yīng)被所有的活動調(diào)用。作為一個(gè)安全目的“功能調(diào)用”映射到如下安全功能要求：—FPT_RVM.1:TSP的不可旁路性，保證TSC范圍內(nèi)的功能操作被執(zhí)行前，TSP功能被調(diào)用并成功執(zhí)行。限制操作：TOE在核實(shí)用戶身份之前，應(yīng)限制用戶能夠進(jìn)行的操作。作為一個(gè)安全目的“限制操作”映射到如下安全功能要求：—FIA_UAU.1：鑒別定時(shí)，除了一些已經(jīng)明確定義的行為，用戶在進(jìn)行其他行為之前應(yīng)被成功的鑒別?！狥IA_UID.1：標(biāo)識定時(shí)，除了一些已經(jīng)明確定義的行為，用戶在進(jìn)行其他行為之前應(yīng)被成功的識別。消息判定：當(dāng)TOE與一個(gè)遠(yuǎn)程的系統(tǒng)交換數(shù)據(jù)時(shí)，應(yīng)保證數(shù)據(jù)的完整性，消息的鑒別以及消息的不可否認(rèn)性。作為一個(gè)安全目的“消息判定”映射到如下安全功能要求：—FCO_NRO.2：強(qiáng)制原發(fā)證明；—FDP_ETC.2：有安全屬性的用戶數(shù)據(jù)輸出。無可重用信息：TOE應(yīng)保證沒有“可重用”的資源。例如通過將資源重分配給不同的用戶，保證在信息容器中或者系統(tǒng)資源中沒有“殘留”的信息。作為一個(gè)安全目的“無可重用信息”映射到如下安全功能要求：—FDP_RIP.2：完全殘余信息保護(hù)，任何資源所承載的過往信息都應(yīng)不可再用。默認(rèn)安全屬性：當(dāng)一個(gè)客體被創(chuàng)建時(shí)，TOE要求其擁有默認(rèn)的安全屬性。作為一個(gè)安全目的“默認(rèn)安全屬性映射到如下安全功能要求：—FMT_MSA.3：靜態(tài)屬性初始化，TOE應(yīng)確保安全屬性已被生成并且已經(jīng)設(shè)置了默認(rèn)值。修改安全屬性：TOE應(yīng)允許一個(gè)授權(quán)用戶修改某一個(gè)已被創(chuàng)建的客體的默認(rèn)安全屬性。作為一個(gè)安全目的“修改安全”屬性映射到如下安全功能要求：—FMT_MSA.3：靜態(tài)屬性初始化，確保安全屬性已被生成并且已經(jīng)設(shè)置了默認(rèn)值，授權(quán)用戶可更改默認(rèn)值?？煽康陌踩珜傩裕篢OE管理安全屬性，并且只允許這些安全屬性具有安全的值。作為一個(gè)安全目的“可靠的安全屬性”映射到如下安全功能要求：—FMT_MSA.2：受保護(hù)的安全屬性，安全屬性應(yīng)只能具有安全的值；—FPT_TDC.1:TSF間基本TSF數(shù)據(jù)應(yīng)保持一致性。安全屬性管理：TOE只允許授權(quán)用戶初始化和修改客體的安全屬性值。作為一個(gè)安全目的“安全屬性管理”映射到：—FMT_MSA.3：靜態(tài)屬性初始化，TOE應(yīng)確保安全屬性已被生成且已經(jīng)設(shè)置了默認(rèn)值；—FMT_MSA.1：安全屬性的管理，TOE中數(shù)據(jù)等訪問客體應(yīng)具有安全屬性。安全角色：TOE應(yīng)管理與安全相關(guān)的