信息安全技術(shù) 無線局域網(wǎng)接入系統(tǒng)安全技術(shù)要求（評(píng)估保證級(jí)2級(jí)增強(qiáng)）編制說明

信息安全技術(shù)無線局域網(wǎng)接入系統(tǒng)安全技術(shù)要求（EAL2增強(qiáng)）（征求意見稿）編制說明中國(guó)信息安全測(cè)評(píng)中心二〇一四年六月十七日IIPAGE2PAGE32任務(wù)來源為了建立和完善國(guó)家信息安全標(biāo)準(zhǔn)體系，貫徹和落實(shí)《關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)[2003]27號(hào)）的文件精神，根據(jù)我國(guó)信息化建設(shè)的實(shí)際需要，中國(guó)信息安全測(cè)評(píng)中心遵照國(guó)際通用的測(cè)評(píng)準(zhǔn)則“通用準(zhǔn)則CC（即：ISO/IEC15408）”，等同采用國(guó)家標(biāo)準(zhǔn)GB/T18336研究制定了一系列信息產(chǎn)品保護(hù)輪廓標(biāo)準(zhǔn)，為實(shí)現(xiàn)信息技術(shù)和信息產(chǎn)品的分級(jí)安全測(cè)評(píng)，以及國(guó)家的等級(jí)保護(hù)提供理論支撐和技術(shù)支持。本標(biāo)準(zhǔn)是關(guān)于無線局域網(wǎng)接入系統(tǒng)的安全技術(shù)要求。本標(biāo)準(zhǔn)是全國(guó)信息安全標(biāo)準(zhǔn)化委員會(huì)2006-2007年度下達(dá)的并由中國(guó)信息安全測(cè)評(píng)中心牽頭，由中國(guó)人民解放軍信息工程大學(xué)、國(guó)家信息中心、中國(guó)科學(xué)院研究生院信息安全國(guó)家重點(diǎn)實(shí)驗(yàn)室共同參與承擔(dān)的國(guó)家標(biāo)準(zhǔn)制定項(xiàng)目。協(xié)作單位本項(xiàng)目由中國(guó)信息安全測(cè)評(píng)中心牽頭編寫，其他主要參與單位包括：中國(guó)人民解放軍信息工程大學(xué)、國(guó)家信息中心、中國(guó)科學(xué)院研究生院信息安全國(guó)家重點(diǎn)實(shí)驗(yàn)室。主要工作過程2006年12月至2007年3月，項(xiàng)目的啟動(dòng)和技術(shù)準(zhǔn)備階段。2007年4月至2007年6月，制定標(biāo)準(zhǔn)草案，并組織內(nèi)部、外部專家進(jìn)行討論和審議，形成征求意見稿。2007年7月至2008年12月，對(duì)草案進(jìn)行修改，并通過小型研討會(huì)等方式，廣泛聽取業(yè)界和技術(shù)專家的意見，形成送審稿。2008年1月至2008年4月，進(jìn)一步征求意見，對(duì)標(biāo)準(zhǔn)送審稿進(jìn)行修改。2008年4月10日，安標(biāo)委WG5組2006-2007年度標(biāo)準(zhǔn)專項(xiàng)檢查評(píng)審會(huì)議。2008年5月至2008年10月，根據(jù)專項(xiàng)檢查評(píng)審會(huì)專家意見修改完善，準(zhǔn)備項(xiàng)目驗(yàn)收。2009年9月22日，收到安標(biāo)委轉(zhuǎn)交的寬帶無線IP標(biāo)準(zhǔn)工作組/WAPI產(chǎn)業(yè)聯(lián)盟的“關(guān)于就《信息安全技術(shù)無線局域網(wǎng)接入系統(tǒng)安全技術(shù)要求（EAL2增強(qiáng)級(jí)）》反饋意見的函”（CBWIPS標(biāo)字【2009】035號(hào)），就反饋的意見進(jìn)行深入研究，逐一進(jìn)行答復(fù)，并對(duì)標(biāo)準(zhǔn)進(jìn)行修改。2009年10月21日，提交修訂后版本和專家意見修訂說明。2013年6月19日，安標(biāo)委WG5組標(biāo)準(zhǔn)專家評(píng)審會(huì)議，根據(jù)專家意見，對(duì)標(biāo)準(zhǔn)草案進(jìn)行修訂并提交新版草案和修訂意見。2014年6月2-15日，安標(biāo)委組織專家對(duì)標(biāo)準(zhǔn)進(jìn)行投票，投票結(jié)果為：贊成但需修改。項(xiàng)目組已針對(duì)專家意見逐條進(jìn)行應(yīng)答、解釋或改正。標(biāo)準(zhǔn)主要起草人本標(biāo)準(zhǔn)主要起草人：郭濤、賈依真、張龑、劉威鵬、朱龍華、張翀斌、呂欣、胡亞楠、李淼、董國(guó)偉、張魯國(guó)、王憲磊。。編制目標(biāo)本標(biāo)準(zhǔn)使用GB/T18336-2008定義的安全描述的組件與語(yǔ)法實(shí)例化該類產(chǎn)品或系統(tǒng)的信息保護(hù)輪廓，包括安全功能要求與安全保證要求。本標(biāo)準(zhǔn)針對(duì)具體的安全環(huán)境（用“假設(shè)”、“威脅”和“組織安全策略”描述），以此為基礎(chǔ)分層、邏輯、合理地展開“安全目的”、“安全功能要求”、“安全保證要求”，并驗(yàn)證與說明技術(shù)的正確性、覆蓋的完備性、對(duì)應(yīng)關(guān)系的一致性等。本標(biāo)準(zhǔn)為無線局域網(wǎng)接入系統(tǒng)類產(chǎn)品定義了一組與具體實(shí)現(xiàn)無關(guān)的、完整的、緊密關(guān)聯(lián)的最小安全要求集合；全面描述了WLAN接入系統(tǒng)使用的環(huán)境和面臨的威脅；陳述了相應(yīng)保證級(jí)別的WLAN接入系統(tǒng)應(yīng)該達(dá)到的安全目的和必須滿足的安全要求。它為無線局域網(wǎng)接入系統(tǒng)類產(chǎn)品的開發(fā)、測(cè)評(píng)和應(yīng)用提供了內(nèi)在一致的交互平臺(tái)，作為測(cè)評(píng)基準(zhǔn)，它具有很好的時(shí)效性、連貫性、易于理解與操作的特點(diǎn)。編制原則無線局域網(wǎng)接入系統(tǒng)類產(chǎn)品安全技術(shù)要求標(biāo)準(zhǔn)的編制立足于我國(guó)IT產(chǎn)業(yè)發(fā)展的現(xiàn)狀，規(guī)范與指導(dǎo)產(chǎn)品生產(chǎn)者的技術(shù)與能力。編制過程中本著“科學(xué)、合理、系統(tǒng)、適用”的原則，注重實(shí)用性、易讀性、可操作性以及開發(fā)和評(píng)估過程中的技術(shù)含量。主要內(nèi)容計(jì)算機(jī)無線聯(lián)網(wǎng)方式是在有線網(wǎng)的基礎(chǔ)上發(fā)展起來的，使網(wǎng)上的計(jì)算機(jī)具有可移動(dòng)性，能快速、方便地解決以有線方式不易實(shí)現(xiàn)的網(wǎng)絡(luò)信道的聯(lián)通問題。WLAN(WirelessLocalAreaNetwork)是指以無線信道作傳輸媒介的計(jì)算機(jī)局域網(wǎng)。WLAN的常見形式是把一臺(tái)（遠(yuǎn)程）計(jì)算機(jī)以無線方式聯(lián)入一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)中，作為網(wǎng)絡(luò)中的一個(gè)節(jié)點(diǎn)，使之具有網(wǎng)上工作站所具有的同樣的功能，獲得網(wǎng)絡(luò)上的所有服務(wù)；或把數(shù)個(gè)（有線或無線）局域網(wǎng)聯(lián)成一個(gè)區(qū)域網(wǎng)；當(dāng)然，也可采用全無線方式構(gòu)成一個(gè)局域網(wǎng)或在一個(gè)局域網(wǎng)中混合使用有線與無線方式。此時(shí)，以無線方式入網(wǎng)的計(jì)算機(jī)將具有可移動(dòng)性：在一定的區(qū)域移動(dòng)而同時(shí)又隨時(shí)和網(wǎng)絡(luò)保持聯(lián)系。由于WLAN可以在不受地理?xiàng)l件限制、通信不便利以及移動(dòng)通信的情況下組建計(jì)算機(jī)網(wǎng)絡(luò)，因此具有有線網(wǎng)絡(luò)不可取代的優(yōu)勢(shì)。本標(biāo)準(zhǔn)主要針對(duì)無線局域網(wǎng)接入系統(tǒng)提出一套與具體實(shí)現(xiàn)無關(guān)的安全技術(shù)要求。本標(biāo)準(zhǔn)將界定接入系統(tǒng)所在安全環(huán)境的假設(shè)、基于所保護(hù)的資產(chǎn)而受到的威脅以及應(yīng)當(dāng)采用的組織安全策略，導(dǎo)出應(yīng)達(dá)到的安全目的，在此基礎(chǔ)上，確定接入系統(tǒng)應(yīng)當(dāng)具備的安全功能要求和研發(fā)無線局域網(wǎng)接入系統(tǒng)應(yīng)具備的安全保證要求以及必須明確的安全保證級(jí)別，對(duì)安全要求組件進(jìn)行完備性分析和相互支持的論證。該安全技術(shù)要求主要包括以下幾方面的內(nèi)容：1、準(zhǔn)確描述評(píng)估對(duì)象（TOE），即WLAN接入系統(tǒng)。2、詳細(xì)描述WLAN接入系統(tǒng)的預(yù)期使用環(huán)境，包括以下三個(gè)方面：假設(shè)：描述在給定環(huán)境下安全使用TOE的一些前提條件。威脅：提出由WLAN接入系統(tǒng)軟、硬件技術(shù)及其環(huán)境面臨的風(fēng)險(xiǎn)與威脅。組織策略：確定WLAN接入系統(tǒng)必須遵守的組織安全策略規(guī)則。3、定義WLAN接入系統(tǒng)及其環(huán)境所應(yīng)達(dá)到的安全目的。4、根據(jù)通用準(zhǔn)則（即國(guó)標(biāo)GB/T18336-2008）第二部分和第三部分的安全功能要求和安全保證要求，提出一組與實(shí)現(xiàn)無關(guān)的安全要求組件。此外，作為配套材料，本標(biāo)準(zhǔn)還包括一套編制說明文件和一份宣貫培訓(xùn)配套教材，在這兩份文件中，利用國(guó)標(biāo)GB/T18336-2008中關(guān)于保護(hù)輪廓，即安全技術(shù)要求的基本原理證明了TOE和TOEIT環(huán)境的安全目的滿足已證實(shí)的策略和威脅，并對(duì)安全要求組件進(jìn)行了正確性、完備性分析和相互支持的論證?；驹肀菊抡撌隽诉x擇安全目的、安全要求的基本原理。另外，本章也描述了未滿足所有依賴關(guān)系的基本原理和功能強(qiáng)度聲明的基本原理。表1說明了安全目的與安全假設(shè)、安全威脅和組織安全策略之間的映射關(guān)系。安全目的基本原理下面的表1說明了安全目的基本原理，即每個(gè)威脅/策略都至少有一個(gè)安全目的組件與其對(duì)應(yīng)，每個(gè)安全目的都至少解決了一個(gè)威脅/策略，因此安全目的對(duì)威脅與策略而言是充分和必要的。表1安全目的與威脅和策略的映射關(guān)系威脅/策略解決威脅的安全目的基本原理T.ACCIDENTAL_ADMIN_ERROR管理員可能不正確安裝或配置TOE，從而導(dǎo)致安全機(jī)制失效。O.ADMIN_GUIDANCETOE為管理員提供必要的安全管理信息。O.MANAGETOE應(yīng)提供管理員管理TOE安全所必需的功能和設(shè)施，并防止這些功能和設(shè)施被未授權(quán)的使用。OE.NO_EVIL使用TOE的組織應(yīng)保證管理員是可信的，訓(xùn)練有素且遵循管理員指南。OE.NO_GENERAL_PURPOSE在TOE上無法獲得通用的計(jì)算或存儲(chǔ)能力（例如：編譯器、編輯器或應(yīng)用程序）。O.ADMIN_GUIDANCE通過保證TOE管理員擁有指導(dǎo)他們?nèi)绾伟踩芾鞹OE的指南來緩解威脅。指南也有助于減少管理員所犯的錯(cuò)誤，此類錯(cuò)誤可能引起不安全地配置TOE。O.MANAGE通過給管理員提供查閱和管理配置設(shè)置的能力來緩解這種威脅。比如說，如果管理員在配置已認(rèn)可的用戶鑒別證書時(shí)犯了錯(cuò)誤，那么通過給安全管理員查閱鑒別證書列表的能力將使得他們查閱列表，從而發(fā)現(xiàn)他們所犯的錯(cuò)誤。OE.NO_EVIL通過保證管理員是不敵對(duì)的、訓(xùn)練有素的（能夠合理地管理TOE）來緩解威脅。OE.NO_GENERAL_PURPOSE通過保證不會(huì)因?yàn)槲词跈?quán)軟件或數(shù)據(jù)的引入產(chǎn)生意外錯(cuò)誤；TOE上沒有通用的計(jì)算或存儲(chǔ)庫(kù)應(yīng)用程序來緩解威脅。T.ACCIDENTAL_CRYPTO_COMPROMISE用戶或進(jìn)程不適當(dāng)?shù)卦L問（查看、修改或刪除）與密碼功能相關(guān)聯(lián)的密鑰、數(shù)據(jù)或可執(zhí)行代碼，從而破壞了密碼機(jī)制和這些機(jī)制所保護(hù)的數(shù)據(jù)。O.RESIDUAL_INFORMATIONTOE應(yīng)確保重新分配資源時(shí)受保護(hù)資源所包含的信息不被泄漏。OE.RESIDUAL_INFORMATION環(huán)境應(yīng)確保重新分配資源時(shí)環(huán)境控制范圍內(nèi)受保護(hù)資源所包含的信息不被泄漏。O.SELF_PROTECTIONTOE應(yīng)維護(hù)一個(gè)保護(hù)自身及其資源免受外部干預(yù)、未授權(quán)泄漏的執(zhí)行域。OE.SELF_PROTECTION環(huán)境應(yīng)維護(hù)一個(gè)保護(hù)自身及其資源免受外部干擾、破壞或通過自身接口未授權(quán)泄漏的執(zhí)行域。O.RESIDUAL_INFORMATION通過保證清除網(wǎng)絡(luò)數(shù)據(jù)包中的任何殘余數(shù)據(jù)和在加密密鑰不再需要時(shí)不可訪問來緩解該威脅。O.SELF_PROTECTION確保TOE足以保護(hù)自身免受外部來源的威脅，所有TSP功能可以被調(diào)用。OE.SELF_PROTECTION保證TOEIT環(huán)境提供與TOE相似的保護(hù)。T.MASQUERADE用戶可能假冒授權(quán)用戶訪問TOE資源。O.TOE_ACCESSTOE應(yīng)提供限制用戶對(duì)TOE進(jìn)行邏輯訪問的機(jī)制。OE.TOE_ACCESS環(huán)境應(yīng)提供有助于TOE控制用戶對(duì)TOE進(jìn)行邏輯訪問的機(jī)制。OE.TOE_NO_BYPASSWLAN客戶端與其他WLAN客戶端或有線網(wǎng)絡(luò)上主機(jī)之間傳輸?shù)臄?shù)據(jù)必須通過TOE。O.TOE_ACCESS通過控制對(duì)TOE及其資源進(jìn)行邏輯訪問緩解這種威脅。通過限制授權(quán)用戶訪問TOE的方式和時(shí)間，通過規(guī)定鑒別機(jī)制的類型和強(qiáng)度，其目的是降低用戶登錄和假冒授權(quán)用戶的可能性。另外，也為管理員提供了控制帳戶被鎖定前用戶所產(chǎn)生登錄嘗試失敗次數(shù)的方法，進(jìn)一步降低了用戶未授權(quán)訪問TOE的可能性。最后，TOE包括確保受保護(hù)信道用于鑒別無線用戶和與TOEIT環(huán)境重要組件進(jìn)行通信的要求。OE.TOE_ACCESS通過在TOEIT環(huán)境中提供鑒別服務(wù)器支持TOE鑒別。環(huán)境也包括確保受保護(hù)信道用于與TOEIT環(huán)境重要組件進(jìn)行通信的要求。OE.TOE_NO_BYPASS通過確保配置WLAN客戶端使得信息只能通過TOE在WLAN客戶端和其它WLAN客戶端或連接到TOE的主機(jī)之間進(jìn)行流動(dòng)來緩解威脅。T.POOR_DESIGNTOE需求規(guī)范或設(shè)計(jì)中的無意錯(cuò)誤可能產(chǎn)生漏洞，可能被惡意用戶或程序利用。O.CONFIG_IDENTIFICATIONTOE的配置管理方式應(yīng)證實(shí)設(shè)計(jì)和實(shí)施錯(cuò)誤，并通過及時(shí)重新發(fā)布TOE更正錯(cuò)誤。O.DOCUMENTED_DESIGNTOE的設(shè)計(jì)應(yīng)被充分、準(zhǔn)確地文檔化。O.VULNERABILITY_ANALYSIS應(yīng)針對(duì)TOE進(jìn)行脆弱性分析以表明TOE的設(shè)計(jì)和實(shí)現(xiàn)不存在明顯的缺陷。O.CONFIG_IDENTIFICATION通過要求開發(fā)者對(duì)TOE設(shè)計(jì)文檔所做的變化進(jìn)行控制和具有報(bào)告、解決安全缺陷的能力來處理這種威脅。O.DOCUMENTED_DESIGN通過要求使用合理的工程原則開發(fā)TOE，在一定程度上處理這種威脅。高層設(shè)計(jì)和功能規(guī)范的使用確保負(fù)責(zé)開發(fā)TOE的開發(fā)者理解TOE的整體設(shè)計(jì)。這降低了設(shè)計(jì)缺陷出現(xiàn)的可能性，提高了發(fā)現(xiàn)意外設(shè)計(jì)錯(cuò)誤的機(jī)會(huì)。ADV_RCR.1確保TOE設(shè)計(jì)與高層設(shè)計(jì)和功能規(guī)范的一致性。O.VULNERABILITY_ANALYSIS確保已對(duì)TOE進(jìn)行了脆弱性分析，任何已發(fā)現(xiàn)的脆弱性已經(jīng)被刪除或緩解。T.POOR_IMPLEMENTATIONTOE實(shí)現(xiàn)中的無意錯(cuò)誤可能產(chǎn)生漏洞，可能被惡意用戶或程序利用。O.CONFIG_IDENTIFICATIONTOE的配置管理方式允許證實(shí)設(shè)計(jì)和實(shí)施錯(cuò)誤，并通過及時(shí)重新發(fā)布TOE更正錯(cuò)誤。O.PARTIAL_FUNCTIONAL_TESTINGTOE應(yīng)進(jìn)行一些安全功能測(cè)試以表明TSF滿足TOE安全功能要求。O.VULNERABILITY_ANALYSIS應(yīng)針對(duì)TOE進(jìn)行脆弱性分析以表明TOE的設(shè)計(jì)和實(shí)現(xiàn)不存在明顯的缺陷。O.CONFIG_IDENTIFICATION通過要求開發(fā)者對(duì)TOE設(shè)計(jì)所做的變化進(jìn)行控制來處理這種威脅。這確保TOE變化是結(jié)構(gòu)化的和可跟蹤的。O.PARTIAL_FUNCTIONAL_TESTING確保通過獨(dú)立的樣本測(cè)試，開發(fā)者能夠說明和保證安全功能的正常運(yùn)行。O.VULNERABILITY_ANALYSIS確保通過分析和測(cè)試TOE表明它能抵抗明顯的脆弱性。T.POOR_TEST開發(fā)人員或測(cè)試人員對(duì)TOE的測(cè)試不充分，導(dǎo)致不正確的TOE行為未被發(fā)現(xiàn)，惡意用戶或程序可能利用這些缺陷。O.CORRECT_TSF_OPERATIONTOE應(yīng)提供測(cè)試TSF的能力以保證TSF的正確運(yùn)行。O.PARTIAL_FUNCTIONAL_TESTINGTOE應(yīng)進(jìn)行一些安全功能測(cè)試以表明TSF滿足TOE安全功能要求。O.VULNERABILITY_ANALYSIS應(yīng)針對(duì)TOE進(jìn)行脆弱性分析以表明TOE的設(shè)計(jì)和實(shí)現(xiàn)不存在明顯的缺陷。O.DOCUMENTED_DESIGNTOE的設(shè)計(jì)應(yīng)被充分、準(zhǔn)確地文檔化。O.CORRECT_TSF_OPERATION確保TSF持續(xù)正常的運(yùn)作。O.PARTIAL_FUNCTIONAL_TESTING提高了通過測(cè)試發(fā)現(xiàn)實(shí)施中存在錯(cuò)誤的可能性。O.VULNERABILITY_ANALYSIS要求除了功能測(cè)試以外需要執(zhí)行脆弱性分析。該目的確認(rèn)TOE沒有包含功能測(cè)試未發(fā)現(xiàn)的安全缺陷。O.DOCUMENTED_DESIGN確保文檔化的TOE設(shè)計(jì)滿足安全功能要求。為了保證實(shí)施中正確地實(shí)現(xiàn)了TOE的設(shè)計(jì)，在評(píng)估TOE期間必須對(duì)TOE的安全機(jī)制執(zhí)行適當(dāng)級(jí)別的功能測(cè)試。T.RESIDUAL_DATA用戶變更或進(jìn)程切換引起的TOE資源的重新分配導(dǎo)致了用戶或進(jìn)程對(duì)數(shù)據(jù)的非授權(quán)訪問。O.RESIDUAL_INFORMATIONTOE確保重新分配資源時(shí)TOE控制范圍內(nèi)受保護(hù)資源所包含的信息不被泄漏。OE.RESIDUAL_INFORMATION環(huán)境應(yīng)確保重新分配資源時(shí)環(huán)境控制范圍內(nèi)受保護(hù)資源所包含的信息不被泄漏。OE.RESIDUAL_INFORMATION通過保證清除網(wǎng)絡(luò)數(shù)據(jù)包中的任何殘余數(shù)據(jù)、在加密密鑰不再需要時(shí)禁止訪問來緩解這種威脅。T.TSF_COMPROMISE用戶或進(jìn)程利用一般攻擊不適當(dāng)?shù)卦L問（查閱、修改或刪除）TSF數(shù)據(jù)或可執(zhí)行代碼。O.MANAGETOE應(yīng)提供管理員管理TOE安全所必需的功能和設(shè)施，并防止這些功能和設(shè)施被未授權(quán)的使用。OE.MANAGEIT應(yīng)增加管理員管理TOE安全所需的功能和設(shè)施，并防止這些功能和設(shè)施被未授權(quán)使用。O.RESIDUAL_INFORMATIONTOE應(yīng)確保重新分配資源時(shí)TOE控制范圍內(nèi)受保護(hù)資源所包含的信息不被泄漏。OE.RESIDUAL_INFORMATION環(huán)境應(yīng)確保重新分配資源時(shí)環(huán)境控制范圍內(nèi)受保護(hù)資源所包含的信息不被泄漏。O.SELF_PROTECTIONTSF應(yīng)維護(hù)一個(gè)保護(hù)自身及其資源免受外部干預(yù)、未授權(quán)泄漏的執(zhí)行域。OE.SELF_PROTECTION環(huán)境應(yīng)維護(hù)一個(gè)保護(hù)自身及其資源免受外部干擾、破壞或未授權(quán)泄漏的執(zhí)行域。O.MANAGE僅限于管理員訪問管理功能和對(duì)TSF數(shù)據(jù)進(jìn)行管理。OE.MANAGE確保管理員可以查閱安全相關(guān)的審計(jì)事件。O.RESIDUAL_INFORMATION和OE.RESIDUAL_INFORMATION通過保證清除網(wǎng)絡(luò)數(shù)據(jù)包中的任何殘余數(shù)據(jù)、在加密密鑰不再需要時(shí)不可訪問來緩解這種威脅。O.SELF_PROTECTION要求TOE環(huán)境能使自身免受威脅，TOE的安全機(jī)制不能被繞過。只有實(shí)現(xiàn)該目的，才能確保用戶不能查閱或修改TSF數(shù)據(jù)或TSF可執(zhí)行代碼。OE.SELF_PROTECTION保證TOEIT環(huán)境提供與TOE相似的保護(hù)。T.UNATTENDED_SESSION用戶未授權(quán)訪問了未被監(jiān)管的會(huì)話。O.TOE_ACCESSTOE應(yīng)提供控制用戶對(duì)TOE進(jìn)行邏輯訪問的機(jī)制。本標(biāo)準(zhǔn)假定TOE建立的會(huì)話是可管理的會(huì)話。因此，威脅僅限于可管理的會(huì)話。IT環(huán)境應(yīng)處理普通用戶會(huì)話的終止。O.TOE_ACCESS通過包含對(duì)管理員會(huì)話進(jìn)行控制的機(jī)制來緩解這種威脅。在管理員定義的非活動(dòng)時(shí)間后終止管理員會(huì)話。（規(guī)定的時(shí)間后）終止會(huì)話的連接降低了有人訪問已建立會(huì)話的計(jì)算機(jī)（因此未授權(quán)訪問會(huì)話）的風(fēng)險(xiǎn)。T.UNAUTHORIZED_ACCESS用戶訪問了未被授權(quán)訪問的服務(wù)。O.MEDIATETOE必須遵循TOE安全策略轉(zhuǎn)發(fā)WLAN客戶端的流量。O.TOE_ACCESSTOE應(yīng)提供控制用戶對(duì)TOE進(jìn)行邏輯訪問的機(jī)制。OE.TOE_ACCESS環(huán)境應(yīng)提供有助于TOE控制用戶對(duì)TOE進(jìn)行邏輯訪問的機(jī)制。O.SELF_PROTECTIONTSF應(yīng)維護(hù)一個(gè)保護(hù)自身及其資源免受外部干預(yù)、未授權(quán)泄漏的執(zhí)行域。OE.SELF_PROTECTION環(huán)境應(yīng)維護(hù)一個(gè)保護(hù)自身及其資源免受外部干擾、破壞或未授權(quán)泄漏的執(zhí)行域。O.MANAGETOE應(yīng)提供管理員管理TOE安全所必需的功能和設(shè)施，并防止這些功能和設(shè)施被未授權(quán)的使用。OE.MANAGEIT環(huán)境應(yīng)增加管理員管理TOE安全所需的功能和設(shè)施，并防止這些功能和設(shè)施被未授權(quán)使用。OE.TOE_NO_BYPASSWLAN客戶端與其它WLAN客戶端或有線網(wǎng)絡(luò)上主機(jī)之間傳輸?shù)臄?shù)據(jù)必須通過TOE。O.MEDIATE通過確保流經(jīng)TOE的所有網(wǎng)絡(luò)數(shù)據(jù)包遵守信息流策略來緩解威脅。O.TOE_ACCESS和OE.TOE_ACCESS確保TOE在允許訪問TOE上或通過TOE轉(zhuǎn)發(fā)的服務(wù)前要求進(jìn)行身份鑒別。O.SELF_PROTECTION和OE.SELF_PROTECTION確保用戶訪問TOE上或通過TOE轉(zhuǎn)發(fā)的某種服務(wù)之前TSF及其環(huán)境必須調(diào)用所有已配置實(shí)施的功能（鑒別、訪問控制規(guī)則等）。O.MANAGE和OE.MANAGE.TOE及其環(huán)境僅限于管理員修改與TOE相關(guān)聯(lián)的安全屬性。這些目的確保沒有其他用戶可以修改信息流策略以繞過指定的安全策略。OE.TOE_NO_BYPASS通過確保配置WLAN客戶端以使用無線接入系統(tǒng)轉(zhuǎn)發(fā)WLAN客戶端與網(wǎng)絡(luò)上其它主機(jī)之間的信息流來緩解威脅。T.UNAUTH_ADMIN_ACCESS未授權(quán)用戶訪問了管理員帳戶。O.ADMIN_GUIDANCETOE應(yīng)為管理員提供必要的安全管理信息。O.MANAGETOE應(yīng)提供管理員管理TOE安全所必需的功能和設(shè)施，并防止這些功能和設(shè)施被未授權(quán)的使用。OE.MANAGEIT環(huán)境應(yīng)增加管理員管理TOE安全所需的功能和設(shè)施，并防止這些功能和設(shè)施被未授權(quán)使用。O.TOE_ACCESSTOE應(yīng)提供控制用戶對(duì)TOE進(jìn)行邏輯訪問的機(jī)制。OE.TOE_ACCESS環(huán)境應(yīng)提供有助于TOE控制用戶對(duì)TOE進(jìn)行邏輯訪問的機(jī)制。OE.NO_EVIL使用TOE的組織應(yīng)保證管理員是可信的，訓(xùn)練有素且遵循管理員指南。O.ADMIN_GUIDANCE通過保證TOE管理員擁有指導(dǎo)他們?nèi)绾伟踩芾鞹OE的指南來緩解威脅。該指南也有助于減少管理員所犯的錯(cuò)誤，而這樣的錯(cuò)誤可能引起不安全地配置TOE。O.MANAGE和OE.MANAGE僅限于管理員訪問管理功能和對(duì)TSF數(shù)據(jù)進(jìn)行管理，這有助于緩解威脅。O.TOE_ACCESS和OE.TOE_ACCESS通過包含鑒別TOE管理員的機(jī)制來緩解這種威脅，從而對(duì)管理員會(huì)話進(jìn)行控制。OE.NO_EVIL通過保證TOE管理員擁有指導(dǎo)他們?nèi)绾伟踩芾鞹OE的指南來緩解威脅。P.ACCESS_BANNERTOE在管理員登錄時(shí)應(yīng)顯示一個(gè)描述使用限制、法律規(guī)定或其他合理信息的初始旗標(biāo)。O.DISPLAY_BANNER在使用任何需要鑒別的TOE服務(wù)之前，TOE應(yīng)在建立管理員會(huì)話之前給出建議性警告。O.DISPLAY_BANNER通過確保TOE顯示管理員配置的旗標(biāo)（向所有用戶提供有關(guān)未授權(quán)使用TOE的警報(bào)）來滿足該策略。P.ACCOUNTABILITYTOE的授權(quán)用戶應(yīng)對(duì)自身在TOE內(nèi)的行為負(fù)責(zé)。O.AUDIT_GENERATIONTOE應(yīng)提供檢查和創(chuàng)建與用戶相關(guān)聯(lián)的安全相關(guān)事件記錄的能力。OE.AUDIT_PROTECTIONIT環(huán)境應(yīng)提供保護(hù)審計(jì)信息和鑒別證書的能力。OE.AUDIT_REVIEWIT環(huán)境應(yīng)提供選擇性查閱審計(jì)信息的能力。O.MANAGETOE應(yīng)提供管理員管理TOE安全所必需的功能和設(shè)施，并防止這些功能和設(shè)施被未授權(quán)的使用。OE.MANAGEIT環(huán)境應(yīng)增加管理員管理TOE安全所需的功能和設(shè)施，并防止這些功能和設(shè)施被未授權(quán)使用。O.TIME_STAMPSTOE應(yīng)獲得可靠的時(shí)間戳。OE.TIME_STAMPSIT環(huán)境應(yīng)提供可靠的時(shí)間戳。O.TOE_ACCESSTOE應(yīng)提供控制用戶對(duì)TOE進(jìn)行邏輯訪問的機(jī)制。OE.TOE_ACCESS環(huán)境應(yīng)提供有助于TOE控制用戶對(duì)TOE進(jìn)行邏輯訪問的機(jī)制。O.AUDIT_GENERATION通過給管理員提供配置審計(jì)機(jī)制（記錄特定用戶的行為或基于用戶的身份查閱審計(jì)跡）的能力來滿足該策略。另外，當(dāng)管理員對(duì)TOE做了任何與安全相關(guān)的變化（例如：訪問控制規(guī)則的修改、審計(jì)機(jī)制的開啟或關(guān)閉、可信信道的建立等）時(shí)，其ID都會(huì)被記錄。OE.AUDIT_PROTECTION為TOE和IT環(huán)境的審計(jì)數(shù)據(jù)提供了存儲(chǔ)保護(hù)。OE.AUDIT_REVIEW通過提供查閱和分類審計(jì)日志的機(jī)制進(jìn)一步支持審計(jì)性。O.MANAGE確保僅有管理員能訪問管理功能和管理TSF數(shù)據(jù)。OE.MANAGE確保管理員可以管理TOEIT環(huán)境中的審計(jì)功能。O.TIME_STAMPS通過要求TOE提供一個(gè)可靠的時(shí)間戳（利用外部NTP服務(wù)器）支持該策略。審計(jì)機(jī)制必需在每個(gè)審計(jì)記錄中包括目前的日期和時(shí)間。OE.TIME_STAMPS確保TOEIT環(huán)境應(yīng)提供時(shí)間服務(wù)。O.TOE_ACCESS和OE.TOE_ACCESS通過控制對(duì)TOE及其資源的邏輯訪問支持該策略。其目的確保通過標(biāo)識(shí)和鑒別用戶管理員可以跟蹤用戶的行為。P.CRYPTOGRAPHYTOE為自身的應(yīng)用提供密碼功能，包括加密/解密操作。O.CRYPTOGRAGHYTOE應(yīng)提供密碼功能以維護(hù)保密性和完整性。O.RESIDUAL_INFORMATIONTOE確保重新分配資源時(shí)TOE控制范圍內(nèi)受保護(hù)資源所包含的信息不被泄漏。O.CRYPTOGRAGHY通過要求TOE實(shí)施國(guó)家密碼管理機(jī)構(gòu)認(rèn)可的加/解密服務(wù)來滿足該策略。在TSF數(shù)據(jù)傳輸過程中，這些服務(wù)為它們提供保密性和完整性保護(hù)。O.RESIDUAL_INFORMATION通過確保依據(jù)國(guó)家密碼管理機(jī)構(gòu)標(biāo)準(zhǔn)清除加密數(shù)據(jù)來滿足該策略。P.CRYPTOGRAPHY_VALIDATED僅有國(guó)家密碼管理機(jī)構(gòu)認(rèn)可的密碼算法（方法和實(shí)現(xiàn)）才能用于密鑰管理（例如：密鑰的產(chǎn)生、銷毀）和密碼服務(wù)（例如；加密、解密、簽名）。O.CRYPTOGRAGHYTOE應(yīng)提供密碼功能以維護(hù)保密性和完整性。O.CRYPTOGRAPHY_VALIDATEDTOE應(yīng)使用國(guó)家密碼管理機(jī)構(gòu)認(rèn)可的密碼模塊提供密碼服務(wù)。O.CRYPTOGRAGHY通過要求TOE實(shí)施國(guó)家密碼管理機(jī)構(gòu)批準(zhǔn)的加/解密服務(wù)來滿足該策略。在TSF數(shù)據(jù)傳輸過程中，這些服務(wù)為它們提供保密性和完整性保護(hù)。O.CRYPTOGRAPHY_VALIDATED通過要求提供加密服務(wù)的密碼模塊應(yīng)是國(guó)家密碼管理機(jī)構(gòu)認(rèn)可的來滿足該策略。P.ENCRYPTED_CHANNEL應(yīng)提供TOE與經(jīng)授權(quán)接入網(wǎng)絡(luò)的WLAN客戶端之間數(shù)據(jù)傳輸加/解密的功能。O.CRYPTOGRAGHYTOE應(yīng)提供密碼功能以維護(hù)保密性和完整性。O.CRYPTOGRAPHY_VALIDATEDTOE應(yīng)使用國(guó)家密碼管理機(jī)構(gòu)認(rèn)可的密碼模塊提供密碼服務(wù)。O.MEDIATETOE必須遵循TOE安全策略轉(zhuǎn)發(fā)WLAN客戶端的流量。OE.PROTECT_MGMT_COMMS環(huán)境應(yīng)保護(hù)審計(jì)記錄到審計(jì)服務(wù)器的傳輸、遠(yuǎn)程網(wǎng)絡(luò)管理以及TOE與鑒別服務(wù)器的通信。O.CRYPTOGRAGHY和O.CRYPTOGRAPHY_VALIDATED通過要求TOE實(shí)施國(guó)家密碼管理機(jī)構(gòu)認(rèn)可的加/解密服務(wù)來滿足該策略。在TSF數(shù)據(jù)傳輸過程中，這些服務(wù)為它們提供保密性和完整性保護(hù)。O.MEDIATE允許TOE管理員制定一個(gè)加密所有無線流量的策略。OE.PROTECT_MGMT_COMMS假設(shè)審計(jì)記錄、遠(yuǎn)程網(wǎng)絡(luò)管理信息和鑒別數(shù)據(jù)應(yīng)通過環(huán)境中受保護(hù)信道加以保護(hù)。P.NO_AD_HOC_NETWORKS不允許使用adhoc802.11或802.15網(wǎng)絡(luò)。O.MEDIATETOE應(yīng)遵循TOE安全策略轉(zhuǎn)發(fā)WLAN客戶端的流量。OE.TOE_NO_BYPASSWLAN客戶端與其它WLAN客戶端或有線網(wǎng)絡(luò)上主機(jī)之間傳輸?shù)臄?shù)據(jù)必須通過TOE。O.MEDIATE通過確保流經(jīng)TOE的所有網(wǎng)絡(luò)數(shù)據(jù)包遵守信息流策略來支持該策略。OE.TOE_NO_BYPASS通過確保配置WLAN客戶端以使無線接入系統(tǒng)轉(zhuǎn)發(fā)WLAN客戶端與網(wǎng)絡(luò)上其它主機(jī)之間的信息流來支持該策略。環(huán)境安全目的基本原理OE.NO_EVIL、OE.PHYSICAL、OE.NO_GENERAL_PURPOSE和OE.TOE_NO_BYPASS這四個(gè)環(huán)境安全目的簡(jiǎn)單重述了前面部分的假設(shè)。因此，它們可追溯到假設(shè)。為了支持TOEIT環(huán)境的安全功能，本標(biāo)準(zhǔn)還包括其它IT環(huán)境安全目的（表1中）。所有安全目的對(duì)應(yīng)于前面部分提及的具體威脅、策略或者假設(shè)。TOE安全要求的基本原理下面的表2、表3說明了安全要求的充分必要性基本原理，即每個(gè)安全目的都至少有一個(gè)安全要求（包括功能要求和保證要求）組件與其對(duì)應(yīng)，每個(gè)安全要求都至少解決了一個(gè)安全目的，因此安全要求對(duì)安全目的而言是充分和必要的。TOE安全要求的基本原理表2TOE安全要求的基本原理安全目的對(duì)應(yīng)該目的的要求基本原理O.ADMIN_GUIDANCETOE應(yīng)為管理員提供必要的安全管理信息。ADO_DEL.1ADO_IGS.1AGD_ADM.1AGD_USR.1AVA_MSU.1ADO_DEL.1確保管理員能夠使用清潔版本TOE進(jìn)行安裝。這對(duì)安全管理TOE是必要的。ADO_IGS.1確保管理員能夠獲得安裝TOE所必需的信息。安裝、生成、啟動(dòng)程序文檔確保只要管理員遵循安裝和配置指南，就可以保證安全地配置TOE。AGD_ADM.1要求開發(fā)者應(yīng)為管理員提供關(guān)于如何安全操作TOE的指南。該指南應(yīng)描述管理員管理TOE所使用的接口和管理員配置的安全參數(shù)。它也應(yīng)描述如何安裝和使用TOE的審計(jì)特征。AGD_USR.1面向非管理用戶。如果TOE為這種類型的用戶提供了設(shè)施/接口，該指南應(yīng)描述如何安全地使用這些接口。AVA_MSU.1確保一致地遵循指南文檔應(yīng)導(dǎo)致安全地配置TOE。O.AUDIT_GENERATIONTOE應(yīng)提供檢查和創(chuàng)建與用戶相關(guān)聯(lián)的安全相關(guān)事件記錄的能力。FAU_GEN.1FAU_GEN.2FAU_SEL.1FIA_USB.1FPT_STM_EXP.1FTP_ITC_EXP.1FAU_GEN.1定義TOE必須記錄的事件集。本文件確保管理員能夠?qū)徲?jì)TOE發(fā)生的安全相關(guān)事件。它也定義了審計(jì)記錄中每個(gè)審計(jì)事件必須包含的最小量信息。本文件規(guī)定了關(guān)于ST作者在本標(biāo)準(zhǔn)中增加的任何附加安全功能要求的記錄細(xì)節(jié)程度。FAU_GEN.2確保審計(jì)記錄可以關(guān)聯(lián)可審計(jì)的事件和用戶身份。對(duì)于授權(quán)用戶，通過用戶身份實(shí)現(xiàn)關(guān)聯(lián)。其它情況下，關(guān)聯(lián)依據(jù)源網(wǎng)絡(luò)標(biāo)識(shí)符。FAU_SEL.1允許選擇審計(jì)事件。它定義了選擇審計(jì)事件的標(biāo)準(zhǔn)。例如，用戶身份可作為選擇審計(jì)事件的標(biāo)準(zhǔn)。FIA_USB.1通過要求綁定與用戶相關(guān)聯(lián)的安全屬性滿足該目的。由于不能確認(rèn)非鑒別用戶的身份，所以本文件僅適用于授權(quán)用戶。FPT_STM._EXP.1通過確保TOE能夠獲得記錄審計(jì)事件所用的時(shí)間戳來支持審計(jì)功能。FTP_ITC_EXP.1為TOEIT環(huán)境（審計(jì)服務(wù)器和時(shí)間服務(wù)器）所提供的服務(wù)建立可信信道。O.CONFIG_IDENTIFICATION任何實(shí)現(xiàn)的錯(cuò)誤可以通過TOE的重新發(fā)布得到及時(shí)更正，以保證TOE的配置可以被確認(rèn)。ACM_CAP.2ACM_SCP.1ALC_FLR.2ACM_CAP.2通過要求開發(fā)者擁有描述TOE變化和TOE評(píng)估報(bào)告管理方式的配置管理計(jì)劃來滿足該目的。ACM_SCP.1要求確保CM系統(tǒng)能夠跟蹤實(shí)現(xiàn)表示、審計(jì)和測(cè)試文檔（包括可執(zhí)行的測(cè)試套件）、用戶和管理員指南以及CM文檔。ALC_FLR.2通過要求開發(fā)者具有解決產(chǎn)品中缺陷（通過測(cè)試發(fā)現(xiàn)或人為發(fā)現(xiàn)）的程序來滿足該目的。開發(fā)者使用的缺陷修訂過程應(yīng)更正任何發(fā)現(xiàn)的缺陷和執(zhí)行分析以確保修訂所發(fā)現(xiàn)的缺陷的同時(shí)不會(huì)帶來新的缺陷。O.CORRECT_TSF_OPERATIONTOE提供測(cè)試TSF的能力以保證TSF的正確運(yùn)行。FPT_TST_EXP.1FPT_TST_EXP.2FPT_TST_EXP.1對(duì)于確保TSF硬件的正確運(yùn)行是必要的。如果TSF軟件受到損壞，那么TSF可能不再實(shí)施安全策略。同理，如果TSF數(shù)據(jù)受到損壞，那么TOE可能不會(huì)正確實(shí)施安全策略。FPT_TST_EXP.2解決了與加密相關(guān)的TSF數(shù)據(jù)的關(guān)鍵特性和具體處理方法。O.CRYPTOGRAGHYTOE應(yīng)提供密碼功能以維護(hù)保密性和完整性。FCS_BCM_EXP.1FCS_CKM.1FCS_CKM.4FCS_COP_EXP.1FCS_COP_EXP.2密碼支持類要求通過確保加密標(biāo)準(zhǔn)是國(guó)家密碼管理機(jī)構(gòu)認(rèn)可的來滿足該目的。FCS_BCM_EXP.1明確規(guī)定密碼模塊應(yīng)遵循國(guó)家密碼管理機(jī)構(gòu)標(biāo)準(zhǔn)。FCS_CKM.1確保（在必要時(shí)）TOE能夠產(chǎn)生密鑰。FCS_CKM.4規(guī)定了TOE執(zhí)行密鑰銷毀時(shí)必須滿足的國(guó)家密碼管理機(jī)構(gòu)標(biāo)準(zhǔn)。FCS_COP_EXP.1要求使用隨機(jī)數(shù)產(chǎn)生器。FCS_COP_EXP.2要求在數(shù)據(jù)加密和解密時(shí)使用國(guó)家密碼管理機(jī)構(gòu)批準(zhǔn)的算法。O.CRYPTOGRAPHY_VALIDATEDTOE使用國(guó)家密碼管理機(jī)構(gòu)認(rèn)可的密碼模塊提供密碼服務(wù)。FCS_BCM_EXP.1FCS_CKM.1FCS_CKM.4FCS_COP_EXP.1FCS_COP_EXP.2密碼支持類要求通過確保加密標(biāo)準(zhǔn)是國(guó)家密碼管理機(jī)構(gòu)認(rèn)可的來滿足該目的。FCS_BCM_EXP.1明確要求密碼模塊應(yīng)遵循國(guó)家密碼管理機(jī)構(gòu)標(biāo)準(zhǔn)。FCS_CKM.1確保（在必要時(shí)）TOE能夠產(chǎn)生加密密鑰。FCS_CKM.4規(guī)定了TOE執(zhí)行密鑰銷毀時(shí)必須滿足的國(guó)家密碼管理機(jī)構(gòu)標(biāo)準(zhǔn)。FCS_COP_EXP.1要求使用隨機(jī)數(shù)產(chǎn)生器。FCS_COP_EXP.2要求在數(shù)據(jù)加密和解密時(shí)使用國(guó)家密碼管理機(jī)構(gòu)批準(zhǔn)的算法。O.DISPLAY_BANNER在使用任何需要鑒別的TOE服務(wù)之前，TOE應(yīng)在建立管理員會(huì)話之前給出建議性警告。FTA_TAB.1FTA_TAB.1通過要求TOE在用戶建立可鑒別的會(huì)話之前顯示管理員定義的旗標(biāo)來滿足該目的。該旗標(biāo)由管理員完全控制。他可以規(guī)定任何有關(guān)未授權(quán)使用TOE的警告，刪除任何產(chǎn)品或版本信息。建立鑒別會(huì)話的時(shí)機(jī)取決于TOE管理性能。O.DOCUMENTED_DESIGNTOE的設(shè)計(jì)應(yīng)被充分、準(zhǔn)確地文檔化。ADV_FSP.1ADV_HLD.1ADV_RCR.1ADV_FSP.1，ADV_HLD.1和ADV_RCR.1通過要求使用合理的工程原則開發(fā)TOE來支持該目的。高層設(shè)計(jì)和功能規(guī)范的使用確保負(fù)責(zé)TOE開發(fā)的開發(fā)者理解TOE的整體設(shè)計(jì)。這降低了設(shè)計(jì)缺陷出現(xiàn)可能性，提高了發(fā)現(xiàn)意外設(shè)計(jì)錯(cuò)誤的可能性。O.MANAGETOE應(yīng)提供管理員管理TOE安全所必需的功能和設(shè)施，并防止這些功能和設(shè)施被未授權(quán)的使用。FMT_MOF.1(1)FMT_MOF.1(2)FMT_MOF.1(3)FMT_MSA.2FMT_MTD.1(1)FMT_MTD.1(2)FMT_MTD.1(3)FMT_MTD.1(4)FMT_SMR.1FMT_SMF.1(1)FMT_SMF.1(2)FMT_SMF.1(3)FMT要求的基本原理集中在為管理員提供執(zhí)行管理的功能，以至于管理員控制安全功能的行為。FMT_MOF.1(1)(2)(3)確保管理員有能力管理加/解密、審計(jì)和鑒別功能。FMT_MSA.2為管理員提供了僅接受安全值和修改安全屬性的能力。FMT_MTD.1(1)(2)(3)確保管理員能夠管理TSF數(shù)據(jù)。本標(biāo)準(zhǔn)具體規(guī)定了審計(jì)預(yù)選、標(biāo)識(shí)和鑒別數(shù)據(jù)。ST作者可能使用附加的重復(fù)以處理其他要求沒有規(guī)定的TSF數(shù)據(jù)。FMT_MTD.1(4)通過確保存在對(duì)設(shè)置時(shí)間和日期（用于向TOE提供可靠時(shí)間戳）的安全管理員或授權(quán)IT實(shí)體進(jìn)行管理的功能來滿足該目的。FMT_SMR.1定義了具體的安全角色。FMT_SMF.1(1)(2)(3)通過提供針對(duì)加密數(shù)據(jù)、審計(jì)記錄和密鑰數(shù)據(jù)的管理功能來支持該目的。O.MEDIATETOE必須遵循TOE安全策略轉(zhuǎn)發(fā)WLAN客戶端的流量。FIA_UAU.1FIA_UAU_EXP.5FIA_UID.2FDP_PUD_EXP.1FIA_UAU.1，F(xiàn)IA_UAU_EXP.5，F(xiàn)IA_UID.2確保TOE能夠依據(jù)無線用戶的鑒別證書協(xié)調(diào)數(shù)據(jù)包流量。FDP_PUD_EXP.1允許管理員決定是否允許非加密數(shù)據(jù)通過TOE。O.PARTIAL_FUNCTIONAL_TESTINGTOE應(yīng)進(jìn)行一些安全功能測(cè)試以表明TSF滿足TOE安全功能要求。ATE_COV.1ATE_FUN.1ATE_IND.2ATE_COV.1要求開發(fā)者提供測(cè)試覆蓋范圍分析以表明開發(fā)者的測(cè)試套件測(cè)試TSFI的范圍。該組件也要求獨(dú)立地確認(rèn)測(cè)試套件的范圍，這有助于確保通過測(cè)試驗(yàn)證TSFI的安全相關(guān)功能。ATE_FUN.1要求開發(fā)者提供必要的測(cè)試文檔以允許獨(dú)立地分析開發(fā)者安全功能測(cè)試的覆蓋范圍。另外，開發(fā)者必須提供測(cè)試套件可執(zhí)行代碼和源代碼以便評(píng)估者可以使用這些代碼獨(dú)立地驗(yàn)證提供商的測(cè)試結(jié)果和支持測(cè)試覆蓋范圍分析。ATE_IND.2要求通過規(guī)定獨(dú)立方運(yùn)行測(cè)試套件的子集獨(dú)立地確認(rèn)開發(fā)者的測(cè)試結(jié)果。該組件也要求獨(dú)立方執(zhí)行附加的功能測(cè)試以解決開發(fā)者測(cè)試套件中沒有證明的功能行為。一旦成功地完成這些要求，就可以證明TOE遵循了規(guī)定的安全功能要求。O.RESIDUAL_INFORMATIONTOE應(yīng)確保重新分配資源時(shí)TOE控制范圍內(nèi)受保護(hù)資源所包含的信息不被泄漏。FDP_RIP.1(1)FCS_CKM.4FDP_RIP.1(1)用于確保重新分配資源時(shí)資源的內(nèi)容不再可用。對(duì)于TOE，下面的措施是重要的：清除用于構(gòu)建網(wǎng)絡(luò)數(shù)據(jù)包的存儲(chǔ)區(qū)或者使用一些緩沖管理方案防止在以后的數(shù)據(jù)包中泄漏數(shù)據(jù)包的內(nèi)容。FCS_CKM.4適用于TSF所用密鑰的銷毀。本文件規(guī)定了密鑰銷毀的方式和時(shí)間。合理銷毀這些密鑰對(duì)于確保重新分配資源時(shí)它們不被泄漏至關(guān)重要。O.SELF_PROTECTIONTSF應(yīng)維護(hù)一個(gè)保護(hù)自身及其資源免受外部干預(yù)、未授權(quán)泄漏的執(zhí)行域。FPT_SEP.1FPT_RVM.1FPT_SEP.1確保TSF提供一個(gè)保護(hù)自身免受不可信用戶威脅的域。如果TSF不能保護(hù)自身，那么不能依賴TSF實(shí)施安全策略。FPT_RVM.1確保TSF對(duì)操作策略域內(nèi)主體和客體的所有接口做策略選擇。如果沒有本文件，那么不能指望TSF完全實(shí)施安全策略。O.TIME_STAMPSTOE應(yīng)獲得可靠的時(shí)間戳。FPT_STM_EXP.1FPT_STM_EXP.1要求TOE為自身的使用能夠獲得可靠的時(shí)間戳（包括日期和時(shí)間），因此本文件滿足了該目的。時(shí)間戳是可靠的在于TOE總是能夠獲得時(shí)間戳，且時(shí)鐘是單調(diào)遞增的。O.TOE_ACCESSTOE應(yīng)提供控制用戶對(duì)TOE進(jìn)行邏輯訪問的機(jī)制。FIA_AFL.1FIA_ATD.1(1)FIA_ATD.1(2)FIA_UAU.1FIA_UAU_EXP.5FIA_UID.2AVA_SOF.1FTA_SSL.3FTP_TRP.1FTP_ITC_EXP.1FIA_AFL.1確保TOE可以保護(hù)自身及其用戶免受對(duì)它們鑒別證書的蠻力攻擊。FIA_ATD.1(1)和(2)要求為支持鑒別要求提供了附加的控制。FIA_UAU.1和FIA_UAU_EXP.5通過確保管理員和用戶在訪問TOE及其服務(wù)之前被鑒別來實(shí)現(xiàn)該目的。為了控制對(duì)TOE的邏輯訪問，需要鑒別機(jī)制。本地管理員鑒別機(jī)制確保無論網(wǎng)絡(luò)連接狀況如何，管理員能夠登錄TOE（例如：鑒別服務(wù)器出現(xiàn)故障或鑒別服務(wù)器的網(wǎng)絡(luò)路徑不可用，導(dǎo)致了管理員不能登錄TOE。這種情況是不能接受的）。FIA_UID.2通過確保TOE在執(zhí)行任何數(shù)據(jù)轉(zhuǎn)發(fā)功能前鑒別每一個(gè)用戶來滿足該目的。AVA_SOF.1要求分析TOE內(nèi)的任何概率和排列機(jī)制，并證明它們能抵御“低級(jí)”攻擊潛能的攻擊者。這確保易受到猜測(cè)類型攻擊的安全機(jī)制可以抵御隨意攻擊。FTA_SSL.3確保丟棄不活動(dòng)的用戶會(huì)話和管理會(huì)話。FTP_TRP.1確保遠(yuǎn)程用戶通過可信路徑進(jìn)行鑒別。FTP_ITC_EXP.1為TOEIT環(huán)境（遠(yuǎn)程鑒別服務(wù)器）支持的服務(wù)提供可信信道。O.VULNERABILITY_ANALYSIS應(yīng)針對(duì)TOE進(jìn)行脆弱性分析以表明TOE的設(shè)計(jì)和實(shí)現(xiàn)不存在明顯的缺陷。AVA_VLA.1AVA_SOF.1AVA_VLA.1要求開發(fā)者查找TOE交付成果中明顯的脆弱性并記錄這些脆弱性的修改情況。另外，評(píng)估者在脆弱性測(cè)試期間應(yīng)參考上述分析結(jié)果。該組件確保排除或緩解明顯的安全缺陷。AVA_SOF.1要求分析TOE內(nèi)的任何概率和排列機(jī)制，并證明它們能抵御“低級(jí)”攻擊潛能的攻擊者。這確保易受到猜測(cè)類型攻擊的安全機(jī)制可以抵御隨意攻擊。TOEIT環(huán)境安全要求的基本原理表3TOEIT環(huán)境要求的基本原理目的對(duì)應(yīng)該目的的要求基本原理OE.AUDIT_PROTECTIONIT環(huán)境應(yīng)提供保護(hù)審計(jì)信息和鑒別證書的能力。FAU_SAR.2FAU_STG.1FAU_STG.3FMT_MOF.1FMT_SMR.1FAU_SAR.2僅限于管理員閱讀審計(jì)記錄。FAU_STG.1僅限于管理員刪除或修改審計(jì)信息。FAU_STG.3確保管理員在審計(jì)跡超過預(yù)先定義的閾值時(shí)采取行動(dòng)。FMT_MOF.1和FMT_SMR.1規(guī)定管理員可以控制與審計(jì)、警報(bào)產(chǎn)生相關(guān)的安全功能。控制這些安全功能的任務(wù)被賦予適當(dāng)?shù)墓芾斫巧?。OE.AUDIT_REVIEWIT環(huán)境應(yīng)提供選擇性查閱審計(jì)信息的能力。FAU_GEN.1FAU_SAR.1FAU_SAR.3FAU_GEN.1確保TOEIT環(huán)境產(chǎn)生支持TOE的適當(dāng)審計(jì)事件。FAU_SAR.1確保IT環(huán)境為負(fù)責(zé)管理TOE的人員提供查閱TOE審計(jì)記錄的設(shè)施。FAU_SAR.3為管理員提供了依據(jù)已建立的標(biāo)準(zhǔn)選擇性查閱審計(jì)跡內(nèi)容的能力。該能力允許管理員把審計(jì)查閱的焦點(diǎn)放在特定時(shí)間發(fā)生的事件上。OE.MANAGEIT環(huán)境應(yīng)增加管理員管理TOE安全所需的功能和設(shè)施，并防止這些功能和設(shè)施被未授權(quán)使用。FIA_USB.1FMT_MOF.1FMT_SMR.1FIA_USB.1確保TOEIT環(huán)境包括關(guān)聯(lián)進(jìn)程和角色的機(jī)制。FMT_MOF.1確保TOEIT環(huán)境僅限于管理員訪問TSF管理功能。FMT_SMR.1確保TOEIT環(huán)境提供一個(gè)同時(shí)管理TOE和IT環(huán)境的管理員角色。OE.NO_EVIL使用TOE的組織應(yīng)保證管理員是可信的，訓(xùn)練有素且遵循管理員指南。AGD_ADM.1AGD_ADM.1要求開發(fā)者為管理員提供如何安全操作TOE的指南。該指南描述了管理員管理TOE所使用的接口和配置TOE所使用的安全參數(shù)。文檔也提供如何安裝和查閱TOE審計(jì)特征的描述。OE.NO_GENERAL_PURPOSE在TOE上無法獲得通用的計(jì)算或存儲(chǔ)能力（例如：編譯器、編輯器或應(yīng)用程序）。A.NO_GENERAL_PURPOSE假設(shè)TOE上沒有通用的計(jì)算或存儲(chǔ)能力，因此SFR是沒有必要的。OE.PHYSICALIT環(huán)境提供與TOE及其所包含數(shù)據(jù)的價(jià)值相一致的物理安全。A.PHYSICAL假設(shè)IT環(huán)境提供與TOE及其所包含數(shù)據(jù)的價(jià)值相稱的物理安全。因此，擴(kuò)展的要求是沒有必要的。OE.PROTECT_MGMT_COMMSIT環(huán)境應(yīng)保護(hù)審計(jì)記錄到審計(jì)服務(wù)器的傳輸、遠(yuǎn)程網(wǎng)絡(luò)管理以及TOE與鑒別服務(wù)器的通信。FDP_ITC_EXP.1FDP_ITC_EXP.1應(yīng)為TOEIT環(huán)境（遠(yuǎn)程鑒別服務(wù)器、系統(tǒng)日志服務(wù)器、時(shí)間服務(wù)器）所提供的服務(wù)建立可信信道。OE.RESIDUAL_INFORMATION環(huán)境應(yīng)確保重新分配資源時(shí)環(huán)境控制范圍內(nèi)受保護(hù)資源所包含的信息不被泄漏。FDP_RIP.1FDP_RIP.1確保TOEIT環(huán)境為網(wǎng)絡(luò)數(shù)據(jù)包中的殘余信息提供與TOE相同的保護(hù)。這確保TOEIT環(huán)境或TOE不允許先前已傳輸數(shù)據(jù)包的數(shù)據(jù)插入到新的數(shù)據(jù)包中。OE.SELF_PROTECTION環(huán)境應(yīng)維護(hù)一個(gè)保護(hù)自身及其資源免受外部干擾、破壞或未授權(quán)泄漏的執(zhí)行域。FPT_SEP.1FPT_RVM.1FPT_SEP.1確保環(huán)境提供一個(gè)保護(hù)自身免受不可信用戶威脅的域。如果環(huán)境不能保護(hù)自身，那么不可能指望環(huán)境實(shí)施它的安全策略。FPT_RVM.1確保環(huán)境對(duì)操作策略域內(nèi)主體和客體的所有接口進(jìn)行策略選擇。OE.TOE_ACCESS環(huán)境應(yīng)提供有助于TOE控制用戶對(duì)TOE進(jìn)行邏輯訪問的機(jī)制。FIA_AFL.1FIA_ATD.1FIA_UAU_EXP.5FIA_UID.1FIA_AFL.1和FIA_ATD.1確保環(huán)境關(guān)聯(lián)合適的屬性與用戶以及正確處理鑒別失敗。TOEIT環(huán)境應(yīng)提供遠(yuǎn)程鑒別機(jī)制以支持TOE對(duì)用戶的鑒別。FIA_UAU_EXP.5和FIA_UID.1確保用戶被標(biāo)識(shí)和鑒別。OE.TOE_NO_BYPASSWLAN客戶端與其它WLAN客戶端或有線網(wǎng)絡(luò)上主機(jī)之間傳輸?shù)男畔⑼ㄟ^TOE進(jìn)行轉(zhuǎn)發(fā)。FIA_UAU.1FIA_UAU_EXP.5FIA_UID.1FIA_UAU.1、FIA_UID.1和FIA_UAU_EXP.5確保TOE能夠依據(jù)無線用戶的鑒別證書轉(zhuǎn)發(fā)數(shù)據(jù)流。OE.TIME_STAMPSIT環(huán)境應(yīng)提供可靠的時(shí)間戳。FPT_STM.1FPT_MTD.1(4)FPT_STM.1要求TOEIT環(huán)境能夠?yàn)樽陨砗蚑OE提供可靠的時(shí)間戳（包括日期和時(shí)間）。另外，時(shí)間戳也是可靠的在于TOE總是能夠獲得時(shí)間戳，且時(shí)鐘是單調(diào)遞增的。FMT_MTD.1(4)通過確保存在對(duì)設(shè)置時(shí)間和日期（用于向TOE提供可靠時(shí)間戳）的安全管理員或授權(quán)IT實(shí)體進(jìn)行管理的功能來滿足該目的。保證要求基本原理選擇EAL2增強(qiáng)可以保證用于保護(hù)安全環(huán)境下信息的安全服務(wù)的可信度。保證級(jí)的選擇主要依據(jù)安全環(huán)境中定義的威脅。通過研究GB/T18336-2008中EAL的定義，保證包EAL2+（在EAL2基礎(chǔ)上增加ACM_SCP.1（TOECM覆蓋），ALC_FLR.2（缺陷糾正）和AVA_MSU.1（誤用指南審查））是實(shí)現(xiàn)本標(biāo)準(zhǔn)制定目的的最佳選擇。滿足所有依賴性的基本原理為了證明本標(biāo)準(zhǔn)滿足所有的依賴關(guān)系，本標(biāo)準(zhǔn)分析了每個(gè)功能要求（包括擴(kuò)展的要求）。除了與FMT_MSA.2相關(guān)的依賴關(guān)系，本標(biāo)準(zhǔn)中滿足所有依賴關(guān)系。FMT_MSA.2作為密碼支持子類(FCS_COP和FCS_CKM)的依賴關(guān)系包括在本標(biāo)準(zhǔn)中，能夠確保與密碼客體（例如：密鑰）相關(guān)的安全屬性受到保護(hù)。另外，F(xiàn)MT_MSA.2組件也被用于保護(hù)與訪問控制策略（FDP_IFC和FDP_ACC）相關(guān)的安全屬性，包括對(duì)這些安全功能要求的依賴?？墒?，本標(biāo)準(zhǔn)不要求TOE實(shí)施訪問控制策略，因此這些要求沒有包含在本標(biāo)準(zhǔn)中。功能強(qiáng)度聲明的基本原理GB/T18336.1-2008從假定的攻破TOE安全功能所需最小代價(jià)方面定義了“功能強(qiáng)度”。GB/T18336.1-2008定義了三個(gè)功能強(qiáng)度級(jí)別：基本級(jí)、中級(jí)和高級(jí)。本標(biāo)準(zhǔn)選擇基本級(jí)作為功能強(qiáng)度的級(jí)別?；炯?jí)安全功能強(qiáng)度的定義是：“一種TOE功能強(qiáng)度級(jí)別，分析表明本級(jí)別安全功能足夠?qū)沟蜐摿粽邔?duì)TOE安全的偶發(fā)攻擊”。選擇基本級(jí)的基本原理是與TOE安全目的O.VULNERABILITY_ANALYSIS和本標(biāo)準(zhǔn)所包含的保證要求一致的。特別是AVA_VLA.1要求TOE能夠抵制明顯的脆弱性，這與基本級(jí)安全功能強(qiáng)度一致。因此，可以證明本標(biāo)準(zhǔn)選擇的通過概率和排列機(jī)制實(shí)現(xiàn)的TOE安全功能足以保護(hù)所定義的安全環(huán)境下的信息。同理，在任何聲稱符合本標(biāo)準(zhǔn)的ST中包括的概率和排列安全功能也應(yīng)滿足基本級(jí)安全功能強(qiáng)度。擴(kuò)展要求的基本原理表4列出了本標(biāo)準(zhǔn)中擴(kuò)展要求的基本原理。表4擴(kuò)展要求的基本原理擴(kuò)展要求標(biāo)識(shí)符基本原理FCS_BCM_EXP.1基準(zhǔn)密碼模塊由于GB/T18336-2008沒有規(guī)定基準(zhǔn)密碼模塊的實(shí)現(xiàn)方法，所以該擴(kuò)展的要求是必要的。FCS_COP_EXP.1隨機(jī)數(shù)產(chǎn)生由于GB/T18336-2008密碼運(yùn)算組件僅處理具體的算法類型和運(yùn)算，所以該擴(kuò)展的要求是必要的。FCS_COP_EXP.2密碼運(yùn)算由于該組件描述了密碼模塊的要求，所以該擴(kuò)展的要求是必要的。FDP_PUD_EXP.1用戶數(shù)據(jù)保護(hù)由于GB/T18336-2008的IFC/ACC要求沒有包含基于非客體/屬性的訪問控制策略，所以該擴(kuò)展的要求是必要的。FDP_PUD_EXP.1允許管理員依據(jù)設(shè)置（指明非加密數(shù)據(jù)能否通過WLAN轉(zhuǎn)發(fā)）允許或禁止訪問WLAN。FIA_UAU_EXP.5多重鑒別機(jī)制由于對(duì)是否明確要求TSF提供鑒別存在爭(zhēng)議，所以該擴(kuò)展的要求對(duì)于本地管理員來說是必要的。FIA_UAU要求暗示TOE提供鑒別。當(dāng)FIA_UAU要求包含在TOE中時(shí)，假定TOE提供鑒別。為了避免混亂，本標(biāo)準(zhǔn)包括一個(gè)擴(kuò)展的鑒別要求。本文件也規(guī)定IT環(huán)境提供一個(gè)用于鑒別遠(yuǎn)程用戶的鑒別服務(wù)器。TSF必須提供鑒別本地管理員的方式以免TOE不能與鑒別服務(wù)器進(jìn)行通信。另外，TOE必須提供部分鑒別機(jī)制以獲取和實(shí)施IT環(huán)境的鑒別選擇。FPT_TST_EXP.1TSF測(cè)試由于GB/T18336-2008的FPT_TST.1存在問題，所以該擴(kuò)展的要求是必要的。FPT_TST.1的第一個(gè)問題：只有TOE包括硬件，F(xiàn)PT_TST.1.1表達(dá)才是有意義的。第二，一些TOE數(shù)據(jù)是動(dòng)態(tài)的（例如：審計(jì)跡中的數(shù)據(jù)、口令），所以對(duì)FPT_TST.1.2的“完整性“解釋是必要的。因此，本標(biāo)準(zhǔn)使用了該擴(kuò)展的要求。FPT_TST_EXP.2對(duì)密碼模塊進(jìn)行TSF測(cè)試由于基本的自測(cè)要求沒有規(guī)定測(cè)試密碼功能，所以該擴(kuò)展的要求是必要的。FTP_ITC_EXP.1TSF間可信信道由于現(xiàn)有的可信信道要求旨在保護(hù)分布式TOE各部分之間的通信而不是TOE與IT環(huán)境之間的通信，所以該擴(kuò)展的要求是必要的。WLAN安全機(jī)制對(duì)比分析在制定本標(biāo)準(zhǔn)的過程中，我們認(rèn)真研究了國(guó)內(nèi)外主流的無線局域網(wǎng)標(biāo)準(zhǔn)的安全機(jī)制WAPI、WEP、WPA與WPA2，并形成了技術(shù)研究報(bào)告。無線局域網(wǎng)鑒別與保密基礎(chǔ)設(shè)施無線局域網(wǎng)鑒別與保密基礎(chǔ)設(shè)施（WirelessLANAuthenticationandPrivacyInfrastructure，WAPI）由無線局域網(wǎng)鑒別基礎(chǔ)結(jié)構(gòu)（WirelessLANAuthenticationInfrastructure，WAI）和無線局域網(wǎng)保密基礎(chǔ)結(jié)構(gòu)（WirelessLANPrivacyInfrastructure，WPI）組成。WAPI涉及的密碼算法按照《商用密碼管理?xiàng)l例》執(zhí)行。1.無線局域網(wǎng)鑒別基礎(chǔ)結(jié)構(gòu)WAI鑒別服務(wù)器是基于公鑰密碼技術(shù)的WAI中最重要的組成部分，它的基本功能是實(shí)現(xiàn)對(duì)WLAN客戶端用戶證書的管理和WLAN客戶端用戶身份鑒別等。當(dāng)WLAN客戶端關(guān)聯(lián)或重新關(guān)聯(lián)到WLAN接入系統(tǒng)時(shí)，二者之間須進(jìn)行相互身份鑒別。若鑒別成功，則WLAN接入系統(tǒng)允許WLAN客戶端接入，否則解除其關(guān)聯(lián)。整個(gè)過程包括證書鑒別和會(huì)話密鑰的協(xié)商（如圖1所示）。證書鑒別的過程：鑒別激活：當(dāng)WLAN客戶端關(guān)聯(lián)或重新關(guān)聯(lián)到WLAN接入系統(tǒng)時(shí)，WLAN接入系統(tǒng)向WLAN客戶端發(fā)送鑒別激活以啟動(dòng)整個(gè)鑒別過程。接入鑒別請(qǐng)求：WLAN客戶端向WLAN接入系統(tǒng)發(fā)出接入鑒別請(qǐng)求，即將WLAN客戶端證書與WLAN客戶端當(dāng)前系統(tǒng)時(shí)間（鑒別請(qǐng)求時(shí)間）發(fā)往WLAN接入系統(tǒng)。證書鑒別請(qǐng)求：WLAN接入系統(tǒng)收到WLAN客戶端接入鑒別請(qǐng)求后，首先記錄鑒別請(qǐng)求時(shí)間，然后向鑒別服務(wù)器發(fā)出證書鑒別請(qǐng)求，即將WLAN客戶端證書、接入鑒別請(qǐng)求時(shí)間、WLAN接入系統(tǒng)證書及WLAN接入系統(tǒng)的私鑰對(duì)它們的簽名構(gòu)成的證書鑒別請(qǐng)求發(fā)送給鑒別服務(wù)器。證書鑒別響應(yīng)：鑒別服務(wù)器收到WLAN接入系統(tǒng)的證書鑒別請(qǐng)求后，驗(yàn)證WLAN接入系統(tǒng)的簽名和證書的有效性，如不正確，則鑒別失敗，否則進(jìn)一步驗(yàn)證WLAN客戶端證書。驗(yàn)證完畢后，鑒別服務(wù)器將WLAN客戶端證書鑒別結(jié)果、WLAN接入系統(tǒng)證書鑒別結(jié)果和鑒別服務(wù)器對(duì)它們的簽名構(gòu)成證書鑒別響應(yīng)發(fā)回給WLAN接入系統(tǒng)。接入鑒別響應(yīng)：WLAN接入系統(tǒng)對(duì)鑒別服務(wù)器返回的證書鑒別響應(yīng)進(jìn)行簽名驗(yàn)證，得到WLAN客戶端證書鑒別結(jié)果，根據(jù)此結(jié)果對(duì)WLAN客戶端進(jìn)行接入控制。WLAN接入系統(tǒng)將收到的證書鑒別響應(yīng)回送至WLAN客戶端。WLAN客戶端驗(yàn)證鑒別服務(wù)器的簽名后，得到WLAN接入系統(tǒng)證書的鑒別結(jié)果，根據(jù)該結(jié)果決定是否接入該WLAN接入系統(tǒng)。至此，WLAN接入系統(tǒng)與WLAN客戶端完成了證書鑒別的過程。若鑒別成功，則WLAN接入系統(tǒng)允許WLAN客戶端接入，否則解除其關(guān)聯(lián)。WLAN接入系統(tǒng)與WLAN客戶端鑒別成功之后進(jìn)行會(huì)話密鑰協(xié)商，會(huì)話密鑰協(xié)商過程如下：密鑰協(xié)商請(qǐng)求：WLAN接入系統(tǒng)產(chǎn)生一串隨機(jī)數(shù)據(jù)，利用WLAN客戶端的公鑰加密后，向WLAN客戶端發(fā)出密鑰協(xié)商請(qǐng)求。此請(qǐng)求包含請(qǐng)求方所有的備選會(huì)話算法信息。密鑰協(xié)商響應(yīng)：WLAN客戶端收到WLAN接入系統(tǒng)發(fā)來的密鑰協(xié)商請(qǐng)求后，首先進(jìn)行會(huì)話算法協(xié)商，若響應(yīng)方不支持請(qǐng)求方的所有備選會(huì)話算法，則請(qǐng)求方響應(yīng)會(huì)話算法協(xié)商失敗，否則在請(qǐng)求方提供的備選會(huì)話算法中選擇一種自己支持的算法；再利用本地的私鑰解密協(xié)商數(shù)據(jù)，得到WLAN接入系統(tǒng)產(chǎn)生的隨機(jī)數(shù)據(jù)；然后產(chǎn)生一串隨機(jī)數(shù)據(jù)，利用WLAN接入系統(tǒng)的公鑰加密后，再發(fā)送給WLAN接入系統(tǒng)。密鑰協(xié)商成功后，WLAN接入系統(tǒng)與WLAN客戶端將自己與對(duì)方分別產(chǎn)生的隨機(jī)數(shù)據(jù)進(jìn)行模2加運(yùn)算生成會(huì)話密鑰，利用協(xié)商的會(huì)話算法對(duì)通信數(shù)據(jù)進(jìn)行加/解密。2.無線局域網(wǎng)保密基礎(chǔ)結(jié)構(gòu)WPI本部分采用國(guó)家密碼管理局批準(zhǔn)的用于WLAN的對(duì)稱密碼算法實(shí)現(xiàn)數(shù)據(jù)保護(hù)。3.WAPI的特點(diǎn)WAPI最主要特點(diǎn)是具有高可靠性的安全認(rèn)證和加密機(jī)制。WEP、WPA與WPA2協(xié)議的比較本節(jié)將對(duì)有線等效加密（WiredEquivalentPrivacy，WEP）、Wi-Fi保護(hù)接入（Wi-FiProtectedAccess，WPA）與WPA2（802.11i）等協(xié)議的安全屬性進(jìn)行對(duì)比分析。協(xié)議密鑰長(zhǎng)度加密算法及方式密鑰分發(fā)方式認(rèn)證WEP40流加密算法RC4；靜態(tài)加密，每個(gè)用戶都使用相同密鑰進(jìn)行加密。人工方式分發(fā)開放式系統(tǒng)認(rèn)證與共享式密鑰認(rèn)證（單向認(rèn)證）WPA128增強(qiáng)的加密算法TKIP；動(dòng)態(tài)會(huì)話密鑰，每個(gè)用戶每次會(huì)話以及每個(gè)數(shù)據(jù)包都需要進(jìn)行加密。自動(dòng)方式分發(fā)802.1x和EAP增強(qiáng)用戶認(rèn)證（雙向認(rèn)證）WPA2128，192或256AES；動(dòng)態(tài)會(huì)話密鑰自動(dòng)方式分發(fā)802.1x和EAP增強(qiáng)用戶認(rèn)證（雙向認(rèn)證）研究結(jié)論通過研究無線局域網(wǎng)安全協(xié)議的安全機(jī)制，我們初步得出以下研究結(jié)論：1）無線局域網(wǎng)的開放性要求WLAN客戶端與WLAN接入系統(tǒng)之間的相互認(rèn)證；2）為了維護(hù)國(guó)家的安全和利益，加密機(jī)制應(yīng)采用國(guó)家密碼管理局批準(zhǔn)的用于WLAN的密碼算法。這里需要說明的是，WAPI考慮的是無線局域網(wǎng)的安全，而本標(biāo)準(zhǔn)規(guī)定了對(duì)WLAN接入系統(tǒng)進(jìn)行安全保護(hù)所需要的安全技術(shù)要求。2001年9月28日，美國(guó)博思艾倫&漢密爾頓公司和Tresys技術(shù)公司（Booz?Allen&HamiltonandTresysTechnology）的國(guó)際安全小組發(fā)布了其為美國(guó)國(guó)防部編寫了“敏感但不機(jī)密環(huán)境下基礎(chǔ)模式無線局域網(wǎng)保護(hù)輪廓（EAL3）v0.8”（InfrastructureWirelessLocalAreaNetwork(WLAN)forSensitiveButUnclassifiedEnvironmentsProtectionProfile(EAL3)Version0.8）。該版本的PP遵循1999年8月的CCv2.1。2001年9月28日，美國(guó)博思艾倫&漢密爾頓公司和Tresys技術(shù)公司（Booz?Allen&HamiltonandTresysTechnology）的國(guó)際安全小組發(fā)布了其為美國(guó)國(guó)防部編寫的“敏感但不機(jī)密環(huán)境下對(duì)等模式無線局域網(wǎng)保護(hù)輪廓（EAL3）v0.6”（Peer-to-PeerWirelessLocalAreaNetwork(WLAN)forSensitiveButUnclassifiedEnvironmentsProtectionProfile(EAL3)Version0.6）。該版本的PP遵循1999年8月的CCv2.1。2003年11月，在美國(guó)家安全局（NationalSecurityAgency，NSA）資助下，NSA下屬的信息保護(hù)理事會(huì)（InformationAssuranceDirectorate）發(fā)布了其編寫的“基本強(qiáng)健環(huán)境下美國(guó)政府無線局域網(wǎng)客戶端保護(hù)輪廓（EAL2+）v0.9”（USGovernmentWirelessLocalAreaNetwork(WLAN)ClientProtectionProfileForBasicRobustnessEnvironments(EAL2+)Version0.9），該版本的PP遵循1999年8月的CCv2.1。該P(yáng)P作為一種標(biāo)準(zhǔn)幫助美國(guó)國(guó)防部（DoD）采購(gòu)即將用于基本強(qiáng)健環(huán)境下的商業(yè)現(xiàn)貨形式的無線局域網(wǎng)客戶端組件。2004年4月7日，在美國(guó)家安全局（NationalSecurityAgency，NSA）資助下，NSA下屬的信息保護(hù)理事會(huì)（InformationAssuranceDirectorate）發(fā)布了其編寫的“基本強(qiáng)健環(huán)境下美國(guó)政府無線局域網(wǎng)接入系統(tǒng)保護(hù)輪廓（EAL2+）v1.0”（USGovernmentWirelessLocalAreaNetwork(WLAN)AccessSystemProtectionProfileForBasicRobustnessEnvironments(EAL2+)Version1.1），該版本的PP遵循1999年8月的CCv2.1。該P(yáng)P作為一種標(biāo)準(zhǔn)幫助美國(guó)國(guó)防部（DoD）采購(gòu)即將用于基本強(qiáng)健環(huán)境下的商業(yè)現(xiàn)貨形式的無線局域網(wǎng)接入系統(tǒng)組件。2006年3月，在美國(guó)家安全局（NationalSecurityAgency，NSA）資助下，NSA下屬的信息保護(hù)理事會(huì)（InformationAssuranceDirectorate）發(fā)布了其編寫的“基本強(qiáng)健環(huán)境下美國(guó)政府無線局域網(wǎng)客戶端保護(hù)輪廓v1.0”（USGovernmentProtectionProfileWirelessLocalAreaNetwork(WLAN)ClientForBasicRobustnessEnvironmentsVersion1.0），該版本的PP遵循2004年1月的CCv2.2。該P(yáng)P作為一種標(biāo)準(zhǔn)幫助美國(guó)國(guó)防部（DoD）采購(gòu)即將用于基本強(qiáng)健環(huán)境下的商業(yè)現(xiàn)貨形式的無線局域網(wǎng)客戶端組件。2006年4月，在美國(guó)家安全局（NationalSecurityAgency，NSA）資助下，NSA下屬的信息保護(hù)理事會(huì)（InformationAssuranceDirectorate）發(fā)布了其編寫的“基本強(qiáng)健環(huán)境下美國(guó)政府無線局域網(wǎng)接入系統(tǒng)保護(hù)輪廓v1.0”（USGovernmentProtectionProfileWirelessLocalAreaNetwork(WLAN)AccessSystemForBasicRobustnessEnvironmentsVersion1.0），該版本的PP遵循2004年1月的CCv2.2。該P(yáng)P作為一種標(biāo)準(zhǔn)幫助美國(guó)國(guó)防部（DoD）采購(gòu)即將用于基本強(qiáng)健環(huán)境下的商業(yè)現(xiàn)貨形式的無線局域網(wǎng)接入系統(tǒng)組件。2007年7月25日，在美國(guó)家安全局（NationalSecurityAgency，NSA）資助下，NSA下屬的信息保護(hù)理事會(huì)（InformationAssuranceDirectorate）發(fā)布了其編寫的“基本強(qiáng)健環(huán)境下美國(guó)政府無線局域網(wǎng)接入系統(tǒng)保護(hù)輪廓v1.1”（USGovernmentProtectionProfileWirelessLocalAreaNetwork(WLAN)AccessSystemForBasicRobustnessEnvironmentsVersion1.1），該版本的PP遵循2006年9月的CCv3.1。該P(yáng)P作為一種標(biāo)準(zhǔn)幫助美國(guó)國(guó)防部（DoD）采購(gòu)即將用于基本強(qiáng)健環(huán)境下的商業(yè)現(xiàn)貨形式的無線局域網(wǎng)接入系統(tǒng)組件。2007年7月25日，在美國(guó)家安全局（NationalSecurityAgency，NSA）資助下，NSA下屬的信息保護(hù)理事會(huì)（InformationAssuranceDirectorate）發(fā)布了其編寫的“基本強(qiáng)健環(huán)境下美國(guó)政府無線局域網(wǎng)客戶端保護(hù)輪廓v1.1”（USGovernmentProtectionProfileWirelessLocalAreaNetwork(WLAN)ClientForBasicRobustnessEnvironmentsVersion1.1），該版本的PP遵循2006年9月的CCv3.1。該P(yáng)P作為一種標(biāo)準(zhǔn)幫助美國(guó)國(guó)防部（DoD）采購(gòu)即將用于基本強(qiáng)健環(huán)境下的商業(yè)現(xiàn)貨形式的無線局域網(wǎng)客戶端組件。2011年12月1日，在美國(guó)國(guó)家信息保障組織（NationalInformationAssurancePartnership，NIAP）資助下，NSA下屬的信息保護(hù)理事會(huì)（InformationAssuranceDirectorate）發(fā)布了其編寫的“無線局域網(wǎng)接入系統(tǒng)保護(hù)輪廓v1.0”（ProtectionProfileforWirelessLocalAreaNetwork(WLAN)AccessSystemsVersion1.0），該版本的PP遵循2009年7月的CCv3.1R3。該P(yáng)P支持商業(yè)現(xiàn)貨形式的無線局域網(wǎng)接入系統(tǒng)的采購(gòu)，以保護(hù)無線網(wǎng)絡(luò)上傳輸?shù)拿舾械粰C(jī)密數(shù)據(jù)。2011年12月19日，在美國(guó)國(guó)家信息保障組織（NationalInformationAssurancePartnership，NIAP）資助下，NSA下屬的信息保護(hù)理事會(huì)（InformationAssuranceDirectorate）發(fā)布了其編寫的“無線局域網(wǎng)客戶端保護(hù)輪廓v1.0”（ProtectionProfileforWirelessLocalAreaNetwork(WLAN)ClientVersion1.0），該版本的PP遵循2009年7月的CCv3.1R3。該P(yáng)P支持商業(yè)現(xiàn)貨形式的無線局域網(wǎng)客戶端的采購(gòu)，以保護(hù)無線網(wǎng)絡(luò)上傳輸?shù)拿舾械粰C(jī)密數(shù)據(jù)。本標(biāo)準(zhǔn)綜合參考了上述無線局域網(wǎng)接入系統(tǒng)保護(hù)輪廓。本標(biāo)準(zhǔn)與GB/T18336-2008之間的關(guān)系本標(biāo)準(zhǔn)使用GB/T18336-2008定義的安全描述的組件與語(yǔ)法實(shí)例化該類產(chǎn)品或系統(tǒng)的保護(hù)輪廓，包括安全功能要求與安全保證要求。因此，本標(biāo)準(zhǔn)的主體結(jié)構(gòu)完全遵照GB/T18336-2008中關(guān)于保護(hù)輪廓PP的編制思想，除了其他擴(kuò)展組件以外，大部分安全功能要求與安全保證要求的組件分別從GB/T18336.2-2008和GB/T18336.3-2008中選取。本標(biāo)準(zhǔn)與WAPI之間的關(guān)系WAPI技術(shù)簡(jiǎn)介由于WLAN可以在不受地理?xiàng)l件限制、通信不便利以及移動(dòng)通信的情況下組建計(jì)算機(jī)網(wǎng)絡(luò)，因此具有有線網(wǎng)絡(luò)不可取代的優(yōu)勢(shì)。1997年6月，第一個(gè)WLAN標(biāo)準(zhǔn)IEEE802.11正式頒布實(shí)施，為WLAN的物理層和MAC層提供了統(tǒng)一的標(biāo)準(zhǔn)。WLAN由無線網(wǎng)卡、無線接入點(diǎn)（AP）、計(jì)算機(jī)和相關(guān)設(shè)備組成。它采用單元結(jié)構(gòu)，將整個(gè)系統(tǒng)分成許多單元，每個(gè)單元稱為一個(gè)基本服務(wù)組（BSS）。BSS的組成有以下3種方式：一是集中控制方式，每個(gè)單元由一個(gè)中心站控制，網(wǎng)中的終端在該中心站的控制下與其他終端通信，BSS區(qū)域較大，但其中心站的建設(shè)費(fèi)用較昂貴；二是分布對(duì)等式，BSS中任意兩個(gè)終端可直接通信，無需中心站轉(zhuǎn)接，BSS區(qū)域較小，結(jié)構(gòu)簡(jiǎn)單，使用方便；三是集中控制式與分布對(duì)等式相結(jié)合的方式。一個(gè)WLAN可由一個(gè)基本服務(wù)區(qū)（BSA）組成，一個(gè)BSA通常包含若干個(gè)單元，這些單元通過AP與某骨干網(wǎng)相連。骨干網(wǎng)可以是有線網(wǎng)，也可以是無線網(wǎng)。WLAN安全機(jī)制無線局域網(wǎng)的安全性包括兩個(gè)方面：訪問控制和保密性。訪問控制確保敏感的數(shù)據(jù)僅由獲得授權(quán)的用戶訪問，保密性則確保傳送的數(shù)據(jù)只被目標(biāo)接收人接收和處理。在802.11標(biāo)準(zhǔn)制定伊始，并沒有充分地考慮到WLAN的安全性。于是在WLAN逐漸被用戶接受之后，WLAN的安全性問題才日漸明顯。于是，為了彌補(bǔ)802.11標(biāo)準(zhǔn)的安全漏洞，802.11TGi(TaskGroupi)針對(duì)WLAN的安全開始制定新的標(biāo)準(zhǔn)802.11i。但由于市場(chǎng)對(duì)于提高WLAN安全的需求是十分緊迫的，當(dāng)時(shí)IEEE802.11i的進(jìn)展并不能滿足這一需要，所以就出現(xiàn)了向802.11i過渡的安全標(biāo)準(zhǔn)——WPA。最近我國(guó)又推出了自己的WLAN安全標(biāo)準(zhǔn)WAPI。一、802.11標(biāo)準(zhǔn)的安全機(jī)制802.11標(biāo)準(zhǔn)使用以下安全機(jī)制：直接序列擴(kuò)頻技術(shù)（DSSS）有線等價(jià)保密協(xié)議（WEP）擴(kuò)展服務(wù)集標(biāo)識(shí)符（ESSID）開放系統(tǒng)認(rèn)證共享密鑰認(rèn)證訪問控制列表密鑰管理2、WLAN安全機(jī)制的改進(jìn)802.11標(biāo)準(zhǔn)中給的安全機(jī)制并不能真正保證無線局域網(wǎng)的安全，有工作顯示該協(xié)議不能抵擋某種中間人攻擊。這樣就導(dǎo)致了一對(duì)矛盾：一方面是對(duì)WLAN需求不斷增長(zhǎng)，另一方面卻是WLAN技術(shù)自身存在安全上的缺陷。為了使WLAN技術(shù)從這種被動(dòng)局面中解脫出來，IEEE802.11的i工作組致力于制訂被稱為IEEE802.11i的新一代安全標(biāo)準(zhǔn)，這種安全標(biāo)準(zhǔn)為了增強(qiáng)WLAN的數(shù)據(jù)加密和認(rèn)證性能，定義了強(qiáng)健安全網(wǎng)絡(luò)（RobustSecurityNetwork，RSN）的概念，并且針對(duì)WEP加密機(jī)制的各種缺陷做了多方面的改進(jìn)。由于市場(chǎng)對(duì)于提高WLAN安全的需求是十分緊迫的，而IEEE802.11i的進(jìn)展并不能滿足這一需要。在這種情況下，Wi-Fi聯(lián)盟制定了WPA(Wi-FiProtectedAccess)標(biāo)準(zhǔn)，這是一種向802.11i過渡的中間標(biāo)準(zhǔn)。WPAWPA是一種向IEEE802.11i過渡的中間標(biāo)準(zhǔn)。這一標(biāo)準(zhǔn)采用了IEEE802.11i的草案，保證了與未來出現(xiàn)的協(xié)議的前向兼容。WPA采用了802.1x和TKIP來實(shí)現(xiàn)WLAN的訪問控制、密鑰管理與數(shù)據(jù)加密。802.1x是一種基于端口的訪問控制標(biāo)準(zhǔn)，用戶必須通過了認(rèn)證并獲得授權(quán)之后，才能通過端口使用網(wǎng)絡(luò)資源。（1）802.1x認(rèn)證協(xié)議802.1x是針對(duì)以太網(wǎng)而提出的基于端口進(jìn)行網(wǎng)絡(luò)訪問控制的安全性標(biāo)準(zhǔn)草案?；诙丝诘木W(wǎng)絡(luò)訪問控制利用物理層特性對(duì)連接到LAN端口的設(shè)備進(jìn)行身份認(rèn)證。如果認(rèn)證失敗，則禁止該設(shè)備訪問LAN資源。盡管802.1x標(biāo)準(zhǔn)最初是為有線以太網(wǎng)設(shè)計(jì)制定的，但它也適用于符合802.11標(biāo)準(zhǔn)的無線局域網(wǎng)，且被視為是WLAN的一種增強(qiáng)性網(wǎng)絡(luò)安全解決方案。（2）802.1x的認(rèn)證協(xié)議——PPPEAP（可擴(kuò)展認(rèn)證協(xié)議）PPP協(xié)議本身并不要求認(rèn)證，但它提供了一個(gè)可選的認(rèn)證過程?？蓴U(kuò)展認(rèn)證協(xié)議(ExtensibleAuthenticationProtocol，EAP)是由IETF提出的PPP協(xié)議的擴(kuò)展，允許使用任意方式對(duì)一條PPP連接的有效性進(jìn)行驗(yàn)證。802.1x草案選用了EAP來提供請(qǐng)求方和認(rèn)證服務(wù)器兩者之間的認(rèn)證服務(wù)。802.11i簡(jiǎn)介IEEE802.11i規(guī)定使用802.1x認(rèn)證和密鑰管理方式，在數(shù)據(jù)加密方面，定義了臨時(shí)密鑰完整性協(xié)議(TemporalKeyIntegrityProtocol，TKIP)、CCMP(Counter-Mode/CBC-MACProtocol)和無線健壯鑒別協(xié)議(WirelessRobustAuthenticatedProtocol，WRAP)三種加密機(jī)制。其中TKIP采用WEP機(jī)制里的RC4作為核心加密算法，可以通過在現(xiàn)有的設(shè)備上升級(jí)固件和驅(qū)動(dòng)程序的方法達(dá)到提高WLAN安全性的目的。CCMP機(jī)制基于高級(jí)加密算法(AdvancedEncryptionStandard，AES)和CCM(Counter-Mode/CBC-MAC)認(rèn)證方式，使得WLAN的安全性得到較大提高，是實(shí)現(xiàn)RSN的強(qiáng)制性要求。由于AES對(duì)硬件要求比較高，因