设为首页 | 加入收藏
认证中心 当前您的位置:军工认证网>>认证中心
商用密码产品检测申请材料

 

密码模块分级检测申请材料
  (通用产品类)

 


产品名称:                         
申报等级:                         
认证委托方:                       

年  月  日

 


 
版权声明
国家密码管理局商用密码检测中心(以下简称“本中心”)拥有对本材料及其中内容的全部知识产权,受法律保护。
未经本中心书面许可,任何单位和个人不得以任何方式或理由对本材料的任何部分进行复制、修改、抄录、传播,或向第三方分发。
凡侵犯本中心版权等知识产权的,必依法追究其法律责任。
我们定期检查本材料的内容,在后续版本中会有必要的修正。
本材料以及其修改权、更新权及最终解释权均属本中心。


目录
1 产品简介 2
2 密码模块规格 3
2.1 密码模块类型描述 3
2.2 密码边界 3
2.3 工作模式 6
3 密码模块接口 9
3.1 密码模块接口通用要求 9
3.2 接口定义 11
3.3 可信信道 17
4 角色、服务和鉴别 18
4.1 角色、服务和鉴别通用要求 18
4.2 角色 18
4.3 服务 19
4.4 鉴别 22
5 软件/固件安全 26
6 运行环境 28
6.1 运行环境通用要求 28
6.2 可修改运行环境的操作系统要求 28
7 物理安全 32
7.1 物理安全实体 32
7.2 通用物理安全要求 33
7.3 物理安全实体的物理安全要求 36
7.3.1 单芯片密码模块 36
7.3.1 多芯片嵌入式密码模块 37
7.3.3 多芯片嵌入式密码模块 38
7.3.4 环境失效保护/测试 40
8 非入侵式安全 41
9 敏感安全参数管理 42
9.1 敏感安全参数管理通用要求 42
9.2 随机比特生成器 43
9.3 敏感安全参数的生成 45
9.4 敏感安全参数的建立 45
9.5 敏感安全参数的输入和输出 46
9.6 敏感安全参数的存储 47
9.7 敏感安全参数的置零 48
10 自测试 49
10.1 自测试通用要求 49
10.2 运行前自测试 52
10.3 条件自测试 53
11 生命周期保障 56
11.1 生命周期保障通用要求 56
11.2 配置管理 57
11.3 有限状态模型 57
11.4 开发 60
11.5 厂商测试 62
11.6 配送与操作 62
11.7 生命终止 63
11.8 指南文档 63
12 对其他攻击的缓解 63
 

材料编写说明
1、请结合GM/T 0039-2015《密码模块安全检测要求》和GM/T 0028-2014《密码模块安全技术要求》使用。
2、文档中<XX>中的内容请勿删除,如不涉及相关内容(如安全等级不涉及,产品类型不涉及等),请填写“送检产品不涉及此项安全评估”,并说明不涉及的理由。
3、可选择使用表格、图示等方式提供相关的材料。
4、如需提供的材料为独立的文档,或材料内容较多,请以附件的形式放在本文档最后,或以独立文件的形式提交,并在本文档最后提供文件清单。
5、涉及安全机制的说明,请尽量详细、深入、全面。
6、应保证本材料的真实性,并与送检产品的实际情况一致。

1 产品简介
<产品简介>

 

 

<产品申报的安全等级>
安全域 安全级别
(1-4)
1.密码模块规格 
2.密码模块接口 
3.角色、服务和鉴别 
4.软件/固件安全 
5.运行环境 
6.物理安全 
7.非入侵式安全 
8. 敏感安全参数管理 
9.自测试 
10.生命周期保障 
11.其他攻击的缓解 
整体安全等级 

2 密码模块规格
2.1 密码模块类型描述
<CY02.03:材料应描述密码模块类型,并解释选择这一类型的依据;材料应提供密码模块的规格,以标识所有密码模块的硬件、软件和/固件部件。>(安全级别1,2,3,4)
密码模块类型包括硬件模块、软件模块、固件模块、混合软件模块和混合固件模块,应根据送检产品的特征定义该模块类型,并写出判断依据,以及说明送检产品的软硬件组成部分。
例:智能密码钥匙是由硬件实体以及在硬件实体上运行的嵌入式软件组合的集合,该集合使用SM2、SM3和SM4等算法,完成存储个人证书和私钥并进行密码运算等功能。依据《GM/T 0028-2014 密码模块安全技术要求》对密码模块类型的划分,该智能密码钥匙可归类为硬件模块。
硬件实体由主控芯片(如安全芯片)、外围元器件、电路印刷板、USB接口、显示屏、按键和外壳组成。嵌入式软件在主控芯片内部存储和执行,完成维护应用内部逻辑、读取证书或密钥和调用底层硬件模块的功能,最终实现保护用户身份认证和交易安全的目的。

2.2 密码边界
<CY02.07:材料应明确界定密码模块的密码边界,详细说明密码边界内的所有软硬件部件>(安全级别1,2,3,4)
密码边界由定义明确的边线(例如,硬件、软件或固件部分的集合)组成,该边线建立了密码模块所有部件的边界,该边界至少包含密码模块内所有安全相关的算法、安全功能、过程和部件。
例:芯片:说明相关功能,实现算法;电气元件:用于辅助主控芯片实现其接口功能所必备的电气元件,如LDO、发光二极管、电池、电阻、电感和电容等。
电路板:搭载主控芯片和其他有效电气元件的印刷电路板。
等等

<CY02.09:材料应提供密码边界内所有与安全相关的算法、安全功能、过程和部件清单,安全功能包括但不限于:分组密码、流密码、非对称密码算法和技术、消息鉴别码、杂凑函数、实体鉴别、密钥管理、随机比特生成器>(安全级别1,2,3,4)


<CY02.10:材料中应列出用于核准的工作模式的非安全相关的算法、安全功能、过程和部件,并且证明他们不干扰或破坏密码模块核准的工作模式的运行>(安全级别1,2,3,4)
送检产品是否支持在正常工作模式下使用非安全相关的算法(如非核准算法)、可以实现非安全相关的功能和部件,如有,则需证明这些功能不会干扰密码模块的正常运行。
例:支持初始化模式,正常工作模式;初始化模式实现xxxx功能,正常工作模式实现xxx功能。指纹采集部件,采集数据正确与否都不影响核准安全功能运行;一般存储器件,不影响安全功能的正常运行;核准的安全功能运行在IC芯片内(如安全芯片),各芯片之间交互不影响内部安全功能。


<CY02.11:材料中应提供密码模块的名称>(安全级别1,2,3,4)


<CY02.12:送检单位应提供密码模块每个互不相同的硬件、软件和/或固件部件的特定版本信息>(安全级别1,2,3,4)
注:应说明送检产品的硬件、软件或固件的版本号
例:主控芯片型号为SSXxxxx,软件版本为XXXX。


<CY02.14:所有被排除在GM/T 0028-2014安全要求之外的硬件、软件和/或固件部件都应在材料中明确列出。材料中应提供每个部件被排除的理由,应表明即使发生故障或误用,每个部件也不会干扰或破坏密码模块核准的安全功能的运行>(安全级别1,2,3,4)
注:原则上送检出产品中不应有排除的部件,如有请详细论证。
被排除的硬件、软件和/或固件是指:该部件的运行情况(正常/故障)都应不影响产品安全功能。若模块中有这样的部件,送检单位应在材料中表明这些部件排除在GM/T 0028-2014安全要求之外,并提供排除的理由。如:该部件不处理CSP、明文数据或其他一旦误用就可能导致危险的信息;或者该部件不与模块中允许以不恰当方式传递这些信息的安全相关部件连接;所有由该部件处理的信息仅供模块内部使用,并且不能以任何方式影响与模块连接的设备。
例:指纹采集部件,采集数据正确与否都不影响核准安全功能运行;一般存储器件,不影响安全功能的正常运行;核准的安全功能运行在IC芯片内(如安全芯片),各芯片之间交互不影响内部安全功能。

<CY02.15:材料中应标识硬件密码模块的所有硬件部件,并提供部件清单。材料中应标明模块的内部布局和安装方式(例如固定件和安装件),包括近似比例的图纸。材料中应描述模块的主要物理参数,包括对外壳、接入点、电路板、电源位置、电路接线、冷却系统以及其他关键参数的说明。材料应包括表示模块边界和其硬件部件相互关系的框图。>(安全级别1,2,3,4)
注:硬件密码模块需提供送检产品的部件清单,电路原理图,主要物理参数,产品的内部部件关系框图。


<CY02.16:材料中应标识软件密码模块的所有软件部件,并提供部件清单。材料中应表明内部软件架构,包括软件部件是如何交互的。材料中应说明密码模块所运行的软件环境(例如操作系统,运行时库等)>(安全级别1,2,3,4)
注:针对软件密码模块

<CY02.17:材料中应标识固件密码模块的所有固件部件,并提供部件清单。材料中应表明内部固件架构,包括固件部件是如何交互的。材料中应说明密码模块所运行的固件环境(例如,操作系统,运行时库等)。>(安全级别1,2,3,4)
注:针对固件密码模块

<CY02.18:材料中应标识密码模块的类型是混合软件模块还是混合固件模块。
----混合软件模块应符合CY02.15.01~CY02.15.04和CY02.16.01~CY02.16.03的要求;
----混合固件模块应符合CY02.15.01~CY02.15.04和CY02.17.01~CY02.17.03的要求>(安全级别1,2,3,4)
注:针对混合密码模块
应先说明送检产品属于混合软件模块还是混合固件模块。
混合软件模块需要提供送检产品的硬件部件清单,电路原理图,主要物理参数,产品的内部部件关系框图和软件的部件清单,操作系统,内部软件架构框图
混合固件模块则需要提供送检产品的软件的部件清单,操作系统,内部软件架构框图以及固件的部件清单,操作系统,内部固件架构框图。

2.3 工作模式
<CY02.19:材料中应说明密码模块核准的工作模式。材料中应描述如何启用核准的工作模式及方法。>(安全级别1,2,3,4)
注:核准工作模式由产品定义,使用核准的算法、功能、过程的模式属于核准工作模式,此条应说明密码模块在哪种情况下属于工作在核准的工作模式,并描述如何启用。
密码机具有初始和就绪两个工作模式。未安装设备密钥的密码机处于初始模式,已安装设备密钥的密码机处于就绪状态。在初始状态下,除可读取设备信息、设备密钥的生成或恢复操作外,不能执行任何操作,生成或恢复设备密钥后,密码机处于就绪状态。在就绪模式下,除设备密钥的生成或恢复操作外,可执行任何操作。

<CY02.20:材料中应说明密码模块核准的工作模式所使用的核准的密码算法、安全功能或过程以及那些规定于GM/T 0028--2014的7.4.3中的服务。送检单位应提供一份所有核准的密码算法、安全功能或过程的验证证书。>(安全级别1,2,3,4)
注:核准的密码算法,如已发布为国家标准或密码行业标准的SM2、SM3、SM4、SM9等不需提供验证证书;按照标准中规定的算法用法实现安全功能或过程的不需提供验证证书。
例:密码机具有初始和就绪两个工作模式,初始模式通过xxx算法实现xxx功能;就绪模式下送检产品支持SM3、SM4密码算法。送检产品上电后使用SM4-CBC算法校验软件、….的完整性;在送检产品运行过程中,上位机可通过USB接口获取产品信息(包括版本信息等)和工作状态;送检产品在运行模式下,可执行SM4算法的ECB和CBC模式的加密和解密操作,执行SM2算法的密钥生成、加解密和签名验签操作,执行SM3算法的杂凑操作;送检产品支持SM3、SM4算法模块和随机数发生器的上电自测试和运行前自测试;当用户不再使用本产品时可使用删除应用或锁定设备指令删除内部敏感安全参数,此时所有敏感安全参数均被…..覆盖。
表密码算法和功能清单
功能 密码算法 说明
通用对称加解密服务 SM4 使用会话密钥的通用加解密服务
校验软件和系统完整性 SM4 上电自测试时会校验软件、系统参数和文件系统数据的完整性。
角色身份服务 SM4 使用SM4算法进行内外部认证运算。
… … …


<CY02.21:送检单位应提供一份所有非核准的密码算法、安全功能和过程的清单。材料中应说明核准的工作模式中未使用非核准的密码算法、安全功能和过程或其他未规定于GM/T 0028-2014的7.4.3中的服务。如果核准的工作模式中使用了非核准的密码算法或安全功能,材料中应说明非核准的密码算法或安全功能是核准的过程的一部分,而且与核准的过程的安全无关,并且不干扰或破坏密码模块核准的工作模式的运行。材料应解释为什么使用的非核准的密码算法、安全功能和过程与核准的过程操作非安全相关。>(安全级别1,2,3,4)
注:应说明送检产品实现的非核准算法、安全功能(如不在0028规范附录C中的功能),如果在核准的工作模式下使用了非核准的密码算法和安全功能,应说明该功能是否会干扰核准的过程。

<CY02.22:材料应提供完整的模块CSP清单,并说明它们在核准的和非核准的服务及工作模式中的作用。材料中应描述核准的和非核准的服务和工作模式的操作方式,并说明CSP是如何分离的>(安全级别1,2,3,4)
注:应提供所有关键安全参数的清单,说明他们各自在核准和非核准的工作模式中的作用,如何区分,区分的理由是什么。
例:依据用途不同,对称算法密钥可分为主控密钥、外部认证密钥和会话密钥。主控密钥用于加密非对称私钥和在产品初始化阶段切换生命周期;外部认证密钥用于在维护应用时验证外部使用者的权限;会话密钥用于通用加解密服务。非对称算法私钥包括签名私钥和解密私钥,分别用于对外部数据签名运算和解密运算;个人PIN包括用户PIN和管理员PIN,分别对应于相应操作员权限。
所有关键安全参数在物理上位于不同的存储空间,对某一关键安全参数的读、写操作不会对其他关键安全参数产生任何影响。同时,不同的关键安全参数具备不同的操作指令和权限控制方式,从指令和安全控制方面隔离了关键安全参数,避免关键安全参数相互影响。


<CY02.23:送检单位的安全策略文档中应为模块所包括的每个工作模式(核准的和非核准的)定义完整的服务集合。>(安全级别1,2,3,4)
注:按照0028附录B中的要求提交文档,提交本文档时一并附上。
描述模块的各个工作模式下实现了怎样的密码服务。
例:初始工作模式下实现了怎样的密码服务。
就绪工作模式下当送检产品通过USB接口接入上位机后,用户可通过获取设备信息指令读取送检产品相关信息,包括产品版本、厂商信息等。
送检产品上电后,会自动进入上电初始化状态,此时会执行运行前自测试,自测试包括算法自检、随机数自检….。
送检产品上电自测试通过后即进入运行状态,此时产品可进行外部认证、PIN认证、…..等操作。
送检产品可以通过应用删除…..指令置零内部敏感安全参数。

<CY02.24:送检单位应给出当服务以核准的方式使用核准的密码算法、安全功能或过程以及其他规定于GM/T 0028-2014的7.4.3中的服务或过程时的状态指示方式。>(安全级别1,2,3,4)
注:核准的工作模式和非核准的工作模式应能通过不同的状态指示方式进行区分,状态指示方式可通过状态指示灯或报文状态字形式。
例1:送检产品通过指示灯反应不同的状态,当产品工作在核准的工作模式时,亮绿灯;当产品工作在非核准的工作模式时,亮蓝灯;当产品工作在错误状态时,亮红灯。
例2:送检产品所提供的安全功能以接口方式对外服务,每个接口返回结果都能指示调用服务是否成功。通过状态字反馈信息。

3 密码模块接口
3.1 密码模块接口通用要求
<CY03.01:材料中应说明密码模块的每个物理端口和逻辑接口(包括物理端口和引脚分配;物理封盖,门或开口;逻辑接口、信号名称和功能;用于物理控制输入的手动控制;用于物理状态输出的物理状态指示仪;逻辑接口到物理端口、手动控制和模块物理状态显示之间的映射、上述端口和接口的物理的,逻辑的和电气的特性);材料中应通过GM/T 0028-2014附录A.2.2和附录B.2.2要求提供的框图、设计规格、源代码以及原理图,说明密码模块的信息流和物理接入点。同时还需提供其他有助于明确说明信息流、物理接入点和物理端口、逻辑接口的关系的文档;对于密码模块的每一个物理或逻辑的输入,以及物理或逻辑的输出,材料中应明确逻辑接口所对应的物理输入或输出。>(安全级别1,2,3,4)
注:应说明密码模块所有的物理端口与逻辑接口,并且明确物理端口的输入输出、逻辑接口的类型;对于逻辑接口,应说明密码模块与外部交互的协议所遵照标准,若无标准则应详细描述协议过程。
例:送检产品存在四个物理接口,分别为USB接口、音码接口、显示屏和按键。其中USB接口和音码接口在逻辑上是分时复用接口,根据数据流向和指令功能的不同,可以作为数据输入、数据输出、控制输入、控制输出和状态输出接口;按键是控制输入接口,用于控制送检产品的开关机、控制显示信息和在关键签名时用于提供相应权限;显示屏是状态输出接口,用于显示设备的相关提示信息,提示用户进行相应操作。USB接口与上位机之间,传输层协议为USB CCID协议,应用层协议遵循GM/T 0017进行数据和控制输入输出。
框图:
设计规格:
原理图:
xxx逻辑接口所对应的xxx物理输入或输出。

<CY03.02:送检单位的设计应根据AY03.04所列的类别将模块的接口分成逻辑上不同和相互分离的类别,并且如果适用,AY03.12亦可作为依据。这些信息应符合AY03.01描述的逻辑接口和物理端口的规格。材料中应提供每类逻辑接口到密码模块的物理端口的之间的映射。逻辑接口可以在物理上分布在多个物理端口上,或两个或多个逻辑接口可以共享一个物理端口。如果两个或多个逻辑接口共享同一个物理端口,送检单位的文档中应说明这些不同类别接口的信息流是如何在逻辑上相互分离的。>(安全级别1,2,3,4)
注:应说明送检产品支持几种逻辑接口和物理端口,物理端口与逻辑接口之间的关系,各个接口实现的功能是什么
例:支持五种逻辑接口:数据输入接口、数据输出接口、控制输入接口、控制输出接口和状态输出接口。其中,数据输入逻辑接口xxx映射到USB接口和蓝牙接口;数据输出逻辑接口xxx映射到USB接口和蓝牙接口;控制输入接口xxx映射到USB接口、蓝牙接口和按键接口;控制输出接口xxx映射到USB接口和蓝牙接口;状态输出接口映射到USB接口、蓝牙接口和显示屏。如蓝牙型智能密码钥匙作为硬件密码模块,需具备电能来源才能正常工作,送检产品内部具备锂电池,可以为蓝牙接口工作时提供电能来源;USB接口作为送检产品使用USB接口工作时的电源来源接口。

<CY03.03:材料中密码模块接口部分应按照GM/T 0028—2014附录A.2.3的要求编写。>(安全级别1,2,3,4)
注:应说明密码模块支持的所有物理端口和逻辑接口,包括数据输入、数据输出、控制输入、控制输出、状态输出和电源接口。
针对安全三级和四级应进行可信信道接口的说明。

3.2 接口定义
<CY03.05:密码模块应有数据输入接口。所有输入到模块和由模块处理的数据(除通过控制输入接口输入的控制数据)应通过数据输入接口进入,包括:
——明文数据;
——密文或签名数据;
——加密密钥和其他密钥管理数据(明文或密文);
——认证数据(明文或加密的);
——来自外部的状态信息;
——其他输入数据。
若适用,材料中应说明所有与密码模块同时使用的外部输入设备,此设备用于输入数据到数据输入接口,如智能卡、令牌、键盘、密钥加载器和/或生物识别设备。>(安全级别1,2,3,4)
注:应说明每个数据输入接口的功能、性能、传输数据的报文格式等。如有远程配置接口、专用密钥注入接口等也须说明说明。
例:PCIE密码卡密码模块的数据输入接口包括PCIE x1.0接口和USB1.0接口。身份认证信息通过USB接口输入,其余数据(待运算的数据原文、会话密钥密文、外部公钥明文、使用随机生成的加密密钥经SM4算法加密后的私钥密文、文件等数据)都经过PCIE接口输入;
外部输入设备包括拥有PCIE接口向模块输入数据的PC或服务器等,以及通过USB接口向模块输入身份认证信息的USBKEY等外部输入设备。
物理接口有PCI接口,输入xxx数据USB接口,输入xxx数据.逻辑接口有SDF xxxx接口,输入xxx数据;SDF xxx接口,输入xxx数据

<CY03.06:密码模块应具有数据输出接口。所有已被处理以及由密码模块输出的数据(除通过状态输出接口输出的状态字外),包括:
——明文数据;
——密文数据和数字签名;
——加密密钥和其他密钥管理数据(明文或加密的);
——对外部目标的控制信息;
——经过处理或存储后从密码模块输出的其他信息。
若适用,材料中应说明所有和密码模块同时使用并用于从数据输出接口输出数据的外部输出设备,如智能卡、令牌、显示器、和/或其他存储设备。>(安全级别1,2,3,4)
注:应说明输出接口输出哪些数据,以及送检产品与外部输出设备之间的交互过程。如为通信类产品,请详细说明通信接口的控制机制。
例1:送检产品的USB接口是其与上位机交互的数据输出接口。运行于上位机的应用程序通过USB接口向产品发送指令和数据,指令和数据被嵌入式软件xxxx解释并处理,完成后指令响应通过USB接口返回上位机的应用程序。
例2:PCIE密码卡密码模块的数据输出接口有PCIE接口,输出数据包括:运算后数据、会话密钥密文、公钥、调用产生非对称密钥对接口时输出的私钥密文、文件等数据。当密码模块在错误状态下,除了获取板卡状态等简单命令可以处理之外,对于密码操作命令不做任何处理,直接返回错误指示。
物理接口有PCI接口,输出xxx数据USB接口,输出xxx数据.逻辑接口有SDF xxxx接口,输出xxx数据;SDF xxx接口,输出xxx数据

<CY03.07:材料中应说明密码模块如何确保模块处在错误状态时,数据输出接口禁止输出所有数据(错误状态在GM/T 0028—2014的7.11.4中说明)。只要不含CSP,明文数据或其他滥用可能造成安全威胁的信息,状态信息可从状态输出接口输出以确定错误的类型。材料中应说明密码模块的设计如何能确保模块在自测试时,数据输出接口禁止输出所有数据(自测试在GM/T 0028—2014的7.10中说明)。只要不含CSP,明文数据或其他滥用可能造成安全威胁的信息,显示自测试的状态信息可从状态输出接口输出以确定错误类型。>(安全级别1,2,3,4)


<CY03.08:密码模块应具有控制输入接口。用于控制密码模块操作的所有命令,信号和控制数据(除经数据输入接口输入的数据)须经控制输入接口进入,包括:
——命令输入,逻辑上通过API输入(如,软件和密码模块的固件);
——信号输入,逻辑或物理上通过一个或多个的物理端口(如,密码模块的硬件部件);
——手动控制输入(如,使用开关、按钮或键盘);
——其他输入控制控制数据。
若适用,材料中应说明所有与密码模块一起使用并用于向控制输入接口输入命令,信号和控制数据的外部输入设备,如智能卡、令牌或键盘。>(安全级别1,2,3,4)
注:应说明具有哪些控制输入接口,控制其他外部设备,如智能卡、令牌、显示器和/或其他存储设备。如为通信类产品,请详细说明明通接口的控制机制。
控制输入接口 功能
电源按键 启动密码模块
 
 

<CY03.09:密码模块应具有控制输出接口。用于控制密码模块操作的输出命令,信号和控制数据须经控制输出接口输出。若适用,材料中应说明所有和密码模块同时使用并用于从控制输出接口输出控制数据的外部设备,如智能卡、令牌、显示器和/或其他存储设备。>(安全级别1,2,3,4)
注:如密码模块产品有控制输出接口,则应说明具有哪些控制输出接口,控制其他外部设备,如智能卡、令牌、显示器和/或其他存储设备。
例1:送检产品的USB接口是其与上位机交互的控制输出接口。运行于上位机的应用程序通过USB接口向产品发送控制指令,控制指令被嵌入式软件OnCOS解释并处理,完成后指令响应通过USB接口返回上位机的应用程序。
当送检产品向上位机返回应用管理相关指令响应时,USB接口属于控制输出接口。应用管理指令包括创建应用等等。输出的控制指令响应会向上位机返回当前送检产品的应用状态以及应用标识等控制数据,用于控制上位机后续的指令操作。
例2:PCIE密码卡密码模块通过PCIE接口获取控制命令,输入的控制数据包括:设备管理类命令(打开设备、关闭设备、获取设备信息、获取/释放私钥使用权限)、密钥管理类命令(生成密钥对、销毁会话密钥)、文件管理类命令(创建文件、删除文件)。

<CY03.10:材料中应说明密码模块处于错误状态时,采用什么策略来禁止密码模块通过“控制输出”接口来输出。材料应详细描述当密码模块处于自检状态时,密码模块的设计是如何保证控制输出接口禁止控制输出。>(安全级别1,2,3,4)


<CY03.11:密码模块应具有状态输出接口。所有用于显示或指示模块状态的状态信息,信号,逻辑指示以及物理指示仪应通过状态输出接口输出,包括:
——状态信息输出,逻辑上通过API输出;
——信号输出,逻辑或物理上通过一个或多个物理端口输入的信号,如通过串行端口或PC卡下发的命令或信号;
——手动状态输出(如,使用灯、蜂鸣器、音调、铃声、指示器或显示器);
——其他输出状态信息。
若适用,材料中应说明所有的外部输出设备,该类设备用于通过状态输出接口输出状态信息,信号,逻辑指示和物理指示,如智能卡、令牌、显示器和/或其他存储设备。>(安全级别1,2,3,4)


<CY03.13:如果密码模块需要向密码边界外的其他元件提供电能,或从密码边界外的其他元件获取电能(例如,电源或外部电池),材料中应指定电源接口及相关的物理端口。所有从密码边界外的其他元件输入到密码模块或从密码模块输出到密码边界外的其他元件的电能应通过指定电源接口。>(安全级别1,2,3,4)
注:说明送检产品的电源接口。
例:智能密码钥匙使用USB接口与上位机通信时,需要依赖USB接口从上位机获取电能,实现模块的正常运转。USB接口符合USB2.0规范,上位机的USB Host负责提供标准5.0v电源供电。智能密码钥匙使用蓝牙接口与上位机通信时,产品内部的锂电池负责提供电能来源。

<CY03.14:材料中应说明密码模块是如何区分数据、控制信息和电源输入,以及数据、控制信息和状态信息输出。通过密码模块输入接口输入数据和控制信息的物理和逻辑路径,在物理上和逻辑上是如何与通过密码模块输出接口输出数据、控制信息和状态信息的物理和逻辑路径区分开来;材料中应说明用于输入数据和控制信息的物理逻辑路径如何在物理上和逻辑上与用于输出数据、控制信息和状态信息的物理逻辑路径区分开来。如果用于输入数据和控制信息的物理逻辑路径与用于输出数据、控制信息和状态信息的物理逻辑路径是物理共享的,材料中应说明密码模块是如何强制实现逻辑分离;材料应具有一致性,应说明密码模块区分数据、输入控制和数据控制、输出控制和输出状态,应说明通过密码模块可用的输入接口输入数据和状态信息的物理和逻辑路径,在物理上和逻辑上与通过密码模块可用的输出接口输出数据和状态信息的物理和逻辑路径是相分离的。>(安全级别1,2,3,4)
注:说明密码模块如何区分数据、输入控制和数据控制、输出控制和输出状态,通过密码模块可用的输入接口输入数据和状态信息的物理和逻辑路径,在物理上和逻辑上与通过密码模块可用的输出接口输出数据和状态信息的物理和逻辑路径是相分离的,如何区分开来。
例:数据输入、输出,控制信息输入、输出共享一个物理端口。
输入的区分:每一种数据和控制输入,都由不同的命令组成,封装成不同的数据报文。密码卡根据不同的命令区分数据输入和控制输入。
输出的区分:不同输入对应不同输出,对于每一个输入,都会包含一个输出状态,指示命令是否正确执行,对于有数据输出的,在状态指示后面会紧跟着数据,从而很容易的分辨出数据和状态输出。
输入报文格式如下:
偏移 长度 标示 说明
0 1 CLA 命令类别
1 1 INS 命令字
2 1 P1 参数1
3 1 P2 参数2
4 2 LC 数据长度
5 LC DATA 数据
     输出报文格式:
偏移 长度 标示 说明
0 1 CLA 命令类别
1 1 INS 命令字
2 2 SW 状态
3 2 LE 数据长度
4 LE DATA 数据


<CY03.15:材料中密码模块规格部分应明确规定密码模块输入数据以及控制信息的格式,包括对所有可变长度输入的限制。>(安全级别1,2,3,4)


3.3 可信信道
<CY03.16:材料中应说明实现了可信信道,并描述可信信道的实现方式>(安全级别3、4)


<CY03.17:材料中应说明可信信道可以防止在通信链路上的非授权修改、替换和泄露>(安全级别3、4)


<CY03.18:材料中应说明可信信道所使用的物理端口,并描述其如何与其他物理端口实现物理隔离>(安全级别3、4)


<CY03.19:材料中应说明可信信道所使用的逻辑接口,并描述其如何与其他逻辑接口隔离。>(安全级别3、4)


<CY03.20:材料中应列举所有使用可信信道的服务。材料中应说明所有使用可信信道的服务采用了基于身份的鉴别,并描述实现方式>(安全级别3、4)


<CY03.21:材料中应说明使用可信信道的状态指示器和状态信息。>(安全级别3、4)


<CY03.22:材料中应说明所有使用可信信道的服务采用了基于身份的多因素鉴别,并描述实现方式。>(安全级别4)


4 角色、服务和鉴别
4.1 角色、服务和鉴别通用要求
<CY04.02:材料中应说明是否支持多个操作员同时操作;如果密码模块支持多个操作员同时操作,材料中应描述怎样实现每一个操作员担任角色相隔离及相应服务相隔离的方法;材料中应描述对多个操作员的限制(例如,不允许一个操作员既是维护员角色又是用户角色)。>(安全级别1,2,3,4)


<CY04.03:材料中角色、服务和鉴别部分应按照GM/T 0028—2014附录A.2.4中规定的要求编写。>(安全级别1,2,3,4)


4.2 角色
<CY04.04:材料中密码模块产品应包括至少一个密码主管角色。>(安全级别1,2,3,4)


<CY04.05:材料中应描述密码主管角色的功能,包括:执行密码初始化或管理功能,以及常用的安全服务,例如,模块初始化、CSP和PSP的管理以及审计功能。>(安全级别1,2,3,4)
注:送检单位的文档中需描述密码主管角色的功能,密码主管角色的权限和许可的服务。密码主管的定义需要与其执行的操作关联,并赋予其相应权限,包括执行密码初始化、CSP和PSP的管理、审计功能。
例:送检产品由管理员或其它定义角色担任密码主管角色,执行模块初始化、产生密钥、制作证书、销毁密钥、清除敏感数据等。


<CY04.06:如果密码模块支持用户角色,材料中应说明用户角色负责执行的安全服务。>(安全级别1,2,3,4)


<CY04.07:材料中应说明当维护员角色登陆或退出时,模块的SSP是怎样动态清零的。>(安全级别1,2,3,4)


4.3 服务
<CY04.13:材料中应说明密码模块具有输出名称和模块标识符以及版本信息的服务,并描述具体操作步骤和方法;材料中应说明密码模块输出的名称或模块标识符以及版本信息的定义规则,并说明这些信息是否与模块的审验记录相关。>(安全级别1,2,3,4)


<CY04.14:材料中应说明密码模块具有输出当前状态的服务。>(安全级别1,2,3,4)
注:应描述密码模块涵盖的各种工作状态(如密码机的状态机:启动状态、工作状态、故障状态、关机状态等等),给出各个工作状态时密码模块输出的响应(如状态字、红灯闪、蜂鸣等);

<CY04.15:材料中应说明密码模块具有初始化和运行前自测试服务。>(安全级别1,2,3,4)


<CY04.16:材料中应说明密码模块在核准的工作模式中使用核准的安全功能。>(安全级别1,2,3,4)


<CY04.17:材料中应说明密码模块支持密码参数置零的服务。>(安全级别1,2,3,4)
注:密码模块应提供用于模块内所有未受保护的敏感安全参数的置零方法。
例:送检产品可通过发送置零指令,以全0全1交替反复多次覆盖的方式对模块内未受保护的敏感安全参数进行置零。


<CY04.19:如果模块实现旁路能力,材料中应描述这个旁路服务;材料中应说明在开启密码模块的旁路功能之前,操作员应担任相应的授权角色>(安全级别1,2,3,4)


<CY04.21:材料中应说明使用两个独立的内部操作来激活旁路能力;材料中应说明两个独立的内部操作能够改变用于控制旁路能力的软件和/或硬件配置,并描述这两个独立的内部操作。>(安全级别1,2,3,4)


<CY04.22:材料中应描述如何由两个不同的操作员共同完成两个独立的内部操作才能激活旁路能力。>(安全级别1,2,3,4)


<CY04.23:材料中应描述如何指示旁路能力是否被激活的状态。>(安全级别1,2,3,4)


<CY04.24:如果密码模块支持自启动密码服务能力,材料中应说明该功能只能由密码主管配置,在模块重置、重启或开关电源之后可以保留下来。>(安全级别1,2,3,4)


<CY04.25:应定义两个独立的内部操作来激活自启动密码服务能力;材料中应说明两个独立的内部操作是如何改变控制自启动输出密码能力的软件和/或硬件的行为;材料中应详细说明两个独立的内部操作是如何防止单个错误造成不经意的输出。>(安全级别1,2,3,4)


<CY04.26:材料中应描述内部操作如何改变用于控制旁路能力的软件和/或硬件配置。>(安全级别1,2,3,4)


<CY04.27:材料中应描述如何由两个不同的操作员共同完成两个独立的内部操作才能激活自启动密码服务能力。>(安全级别1,2,3,4)


<CY04.28:材料中应描述如何指示自启动密码服务能力是否被激活的状态。>(安全级别1,2,3,4)


<CY04.30:应提供加载的软件或固件的文件清单和说明;应提供审验机构提供的审验报告或证明。>(安全级别1,2,3,4)


<CY04.31:材料中应描述在加载及加载测试过程中禁止数据输出的过程。>(安全级别1,2,3,4)
注:“加载”是指产品经核验之后需要从外部加载软件或固件进行升级的情况。
审验机构为密码检测认证机构,首次送检的产品不需要审验报告或证明。

<CY04.32:材料中应描述运行加载的软件/固件的操作步骤和方法;材料中应说明在运行加载的代码之前执行了GM/T 0028-2014的7.10.3.4中规定的软件/固件加载条件自测试,并描述操作步骤和方法。>(安全级别1,2,3,4)


<CY04.33:材料中应说明任何已经加载的或已被修改的核准的安全功能在运行之前,应该成功执行GM/T 0028-2014的7.10.2中规定的运行前自测试;材料中应描述运行前自测试的方法和步骤。>(安全级别1,2,3,4)


<CY04.34:材料中应描述运行加载的软件/固件的版本信息;材料中应描述获取模块版本信息的方法和步骤。>(安全级别1,2,3,4)


<CY04.35:如果新软件或固件的加载是镜像的完全更替,应提供审验机构重新核发的审验报告或证明。>(安全级别1,2,3,4)
注:若支持加载新软件或固件,且为镜像的完全更替,则加载的新软件或固件应是密码检测认证机构核准过的。


<CY04.36:如果支持镜像的完全替换,材料中应详细说明新加载的软件或固件镜像在模块上电重置之后是如何运行的。>(安全级别1,2,3,4)


<CY04.37:材料中应列举所有SSP,并说明所有SSP在运行镜像之前被置零;材料中应提供如何实施置零技术的原理性解释。>(安全级别1,2,3,4)


4.4 鉴别

<CY04.39:应描述模块实现的鉴别类型。应记录用来实现隐式地或显示地选择一个或多个角色的机制,以及鉴别操作员担任的角色。>(安全级别2,3,4)
例:送检产品运行过程中使用基于角色的鉴别机制。送检产品支持密码主管、用户和管理员共三种角色。通过设备认证后操作员处于密码主管角色(隐式的选择);在应用内部成功认证用户PIN的操作员处于用户角色(显式的选择);在应用内部成功认证管理员PIN的操作员处于管理员角色(显式的选择)。


<CY04.40:材料中应描述操作员变换角色的能力,还必须说明怎样鉴别操作员担任的新角色。>(安全级别2,3,4)


<CY04.43:应记录模块内实现的鉴别类型。应记录用于执行操作员身份鉴别的机制、操作员的身份鉴别、一个或多个角色隐式地或显示地选择、操作员担任角色的鉴别。>(安全级别1,2,3,4)


<CY04.44:材料中应描述操作员改变角色的能力,还应说明对操作员新角色的身份鉴别是必要的。>(安全级别3,4)


<CY04.45:材料中应描述当模块被重置、重启、关闭时,如何将之前的鉴别结果清除。>(安全级别1,2,3,4)


<CY04.46:材料中应描述所有鉴别数据的保护措施。保护措施应包括防止未经授权的泄露、修改和替换机制。>(安全级别1,2,3,4)


<CY04.47:材料中应说明在初始化模块之前控制模块访问的方法。>(安全级别2,3,4)


<CY04.48:材料中应说明默认鉴别数据的内容和使用方式。>(安全级别2,3,4)


<CY04.49:材料中应说明采用何种核准的安全功能鉴别操作员。>(安全级别2,3,4)
注:鉴别机制基于密码协议,通过密钥来区分特定的实体,注意密钥与实体之间的关系绑定。送检单位应描述鉴别密码协议,且鉴别采用的安全功能符合GM/T0028-2014附录C要求。
例:送检产品采用对称算法实现操作员鉴别,通过与实体对应的鉴别密钥产生鉴别数据,鉴别密码协议如下……,该协议可抵抗……攻击等。


<CY04.50:材料中应说明采用何种核准的鉴别机制。>(安全级别2,3,4)
注:给出密码模块操作员鉴别机制,符合附录E的何种鉴别机制,详细描述鉴别实现过程。
例:模块采用KEY与口令结合方式进行身份认证,认证过程中采用基于SM2数字签名技术进行签名验签,实现角色的鉴别。

<CY04.51:提供符合GM/T0028——2014附录B要求的安全策略文档,描述鉴别机制的预期强度。>(安全级别2,3,4)
注:作为产品生产单位,对这个鉴别强度的期望值是怎样的数量级

<CY04.52:材料中应说明密码模块支持的每个核准的鉴别机制,及鉴别强度。>(安全级别2,3,4)
例:送检产品如果采用8位数字PIN码,可认为强度是10^8。
用户通过xxx约束条件使得鉴别强度满足了CY04.51中厂商期望值。

<CY04.53:材料中应说明每个核准的鉴别机制在1min内的多次随机尝试使用通过核准的鉴别机制的成功概率。>(安全级别2,3,4)
例1:送检产品的设备认最多可重试三次,若连续三次都认证失败,设备认证密钥将被锁定。
例2:送检产品采用用户口令和管理员口令进行认证时,如口令长度为8位,每位均为数字,则口令的单次随机尝试的成功概率为1/10^8。

<CY04.54:材料中应说明密码模块鉴别机制的实现方法和原理。>(安全级别2,3,4)
注:要求对密码模块采用的鉴别协议进行详细说明
例:账号口令机制:在具体实现时,操作员和密码模块对口令使用基于SM3算法的PBKDF计算出鉴别密钥,使用鉴别密钥实现GB/T 15843.2定义的两次传递单向鉴别,协议交互过程如下图所示:……

<CY04.55:材料中应说明软件密码模块所采用的操作系统;材料中应说明操作系统实现的鉴别机制。>(安全级别2)


<CY04.56:材料中应说明在输入鉴别数据时,隐藏鉴别数据给操作员的反馈信息的方法。>(安全级别2,3,4)


<CY04.57:材料中应说明在操作员输入鉴别数据时使用的反馈机制。>(安全级别2,3,4)


<CY04.58:应记录密码模块运行的鉴别类型。应记录操作员隐式或显示地选择一个或一系列角色的机制,及操作员担任角色的鉴别方法;材料中应提供操作员隐式或显示地担任角色的描述。>(安全级别1,2,3,4)


<CY04.61:材料中应说明密码模块采用的基于身份的多因素鉴别机制。>(安全级别4)


5 软件/固件安全
<CY05.02:送检材料的软件/固件安全应按照GM/T 0028-2014附录A.2.5中规定的要求编写。>(安全级别1,2,3,4)


<CY05.04:送检单位应提供软件和固件的说明书;送检文档应描述如何确保在安装前所有的软件与固件未被修改。>(安全级别1,2,3,4)


<CY05.05:送检文档中应详细说明所有的软件和固件部件所使用的、已核准的完整性技术。这些完整性技术可由该密码模块提供,也可由另一个经审验的密码模块提供;送检文档中应明确说明如何在所有的软件和固件部件中应用了完整性技术(使用单个的消息鉴别码或签名,或多个分离的鉴别码或签名);送检文档应明确说明完整性技术所使用密钥的位置。如果核准的数字签名被当做完整性技术使用,那么送检材料应明确说明签名私钥(用于生成参考签名)的位置。>(安全级别1,2,3,4)


<CY05.06:送检单位应提供软件和固件完整性测试的说明书。这个机制应是核准的安全功能;送检文档中应说明如果完整性测试失败,模块将进入错误状态;送检文档中应说明在多个分离的消息鉴别码或签名中,任何一个消息鉴别码或签名验证失败都会导致模块进入错误状态。>(安全级别1,2,3,4)


<CY05.09:送检文档应说明通过SFMI、HSMI或HFMI服务按需执行已核准的完整性技术的方法。>(安全级别1,2,3,4)
注:SFMI为软件或固件模块接口,定义为用于请求软件或固件模块服务的命令全集,请求服务的命令中包括输入到密码模块或者由密码模块输出的参数。
HSMI或HFMI为混合软件或混合固件模块接口,定义为用于请求混合软件或混合固件模块服务的命令全集,请求服务的命令中包括输入到密码模块或者由密码模块输出的参数。
例:送检产品的SFMI中定义了请求执行软件完整性自测试的接口,用户可按需执行核准的完整性自测试。


<CY05.11:送检单位应提供通过已审验的模块实现软件/固件加载测试的说明。>(安全级别1,2,3,4)


<CY05.13:送检单位应提供可执行形式的软件和固件的说明>(安全级别2,3,4)


<CY05.14:送检单位应提供HM1、SFM1、HFM1或HSMI服务的说明>(安全级别2,3,4)


<CY05.16:送检文档应标识用于保持密码软件和固件部件完整性的技术>(安全级别2,3,4)


<CY05.19:送检文档应说明核准的数字签名机制;送检文档应说明如果使用核准的数字签名机制对密码边界内的软件或固件进行计算的结果不等于之前生成的结果,则检测失败,模块应进入错误状态>(安全级别3,4)
注:对于安全级别3、4级的密码模块,文档中应说明使用的核准的数字签名机制,并应说明,采用该数字签名机制对软件固件进行完整性保护时,如检测失败,密码模块应该进入错误状态,此时,密码模块应当不能对外提供任何密码服务。


<CY05.21:送检文档应满足CY05.05.03的要求。送检单位的设计应确保生成参考签名的签名私钥保存在密码模块的边界之外>(安全级别3,4)


6 运行环境
6.1 运行环境通用要求
<CY06.03:材料应按照GM/T0028——2014附录A.2.6中规定的要求编写。>(安全级别1,2)
注:密码模块运行环境说明,包括(如果适用的话)模块所使用的操作系统,包括但不限于配置运行环境的安全规则、设置和限制条件的说明,配置操作系统符合相应要求的管理员指南文档等。
6.2 可修改运行环境的操作系统要求
<CY06.05:材料中应描述用来确保密码模块的加密进程运行时每一个实例能够控制和支配自己的SSP的操作系统机制。>(安全级别1,2)
例:密码模块所涉及的敏感安全参数(如各类密钥、交易参数等),均有各自的存储区域(安全芯片中对应的各个分区),保证控制和支配的独立性,同时,操作员没有权限接触和更改相应配置,而所有试图控制模块安全参数的外部进程,均会导致模块的触发。

<CY06.06:材料中应描述运行环境机制用来提供应用进程间相互隔离的能力,以阻止进程间对CSP不受控的访问以及对SSP不受控的修改,无论CSP和SSP是在进程内存中还是存储在运行环境内的永久性存储体中。>(安全级别1,2)
例:送检产品运行环境的应用进程间采用进程间通信,应用进程间相互隔离,可以阻止进程间对CSP不受控的访问以及对SSP不受控的修改。

<CY06.07:应提供文档描述对运行环境配置的所有规定。>(安全级别1,2)
例:运行环境的软件、固件、主控固件的加载、更新均需要通过相应的校验;运行环境的异常会导致模块进入触发状态;运行环境的各类自检确保了关键功能、算法的正确性。

<CY06.08:材料中应描述用来确保密码模块产生的进程由模块自己所有,不由外部进程/操作员所有的操作系统机制。>(安全级别1,2)
例:密码模块产生的进程由模块自己所有,不由外部进程/操作员所有。送检产品的密钥存储功能进行密码计算是实现在内核中,送检产品的密码原语功能进行密码计算实现在调用者所在的进程空间内,进程空间的安全性是由操作系统保证。因此外部进程不能读取送检产品所涉及的密码操作。

<CY06.09:应提供材料描述运行环境;材料中应比较密码模块的运行环境和审验机构许可的运行环境。>(安全级别2)
注:如果运行环境要求由审验机构指定,则应满足CY06.09-CY06.28的要求。

<CY06.10:提供操作系统文档描述操作系统控制机制,该机制应实现了基于角色的访问控制,或者实现了自主访问控制,该自主访问控制可通过访问控制列表(ACL)来定义新的组合分配权限,并且能够给每个用户分配多个组。>(安全级别2)
例:送检产品的所有密码软件、SSP、控制和状态信息在操作系统的控制之下,操作系统实现了Windows ACL访问控制。

<CY06.11:应提供操作系统文档描述操作系统控制机制,该机制正确配置后可以防止非授权地执行、修改和读取SSP、控制和状态数据。>(安全级别2)
例:送检产品的操作系统通过Windows ACL访问控制和进程隔离可防止非授权地执行、修改和读取SSP、控制和状态数据。
<CY06.12:应提供操作系统文档描述操作系统的访问控制机制如何进行相关配置,以定义和实现有权运行模块中密码软件的角色或组以及它们相关的权限。>(安全级别2)
例:送检产品的操作系统的访问控制机制定义和实现了有权运行模块中密码软件的角色或组以及与它们相关的权限。

<CY06.13:应提供操作系统文档描述操作系统的访问控制机制如何进行相关配置,以定义和实现有权修改(写、替换和删除)存储在密码边界内软件的角色或组以及它们相关的权限,这些软件包括执行密码功能的程序、密码操作相关数据(例如,密码操作的审计数据)、SSP和明文数据。>(安全级别2)
例:只有Windows ACL访问控制下授权的密码主管角色有权修改(写、替换和删除)存储在密码边界内软件。除安全密码模块自身外的所有应用(非系统应用)都无法修改存储在密码边界内的任何密码操作相关数据以及敏感信息等数据。

<CY06.14:应提供材操作系统文档描述操作系统的访问控制机制应如何进行相关配置,以定义和实现了有权读取密码操作相关数据(例如,密码操作的审计数据)、CSP和明文数据的角色、分组以及它们相关的权限。>(安全级别2)
例:只有Windows ACL访问控制下授权的密码主管角色有权读取密码操作相关数据(例如,密码操作的审计数据)、CSP和明文数据。除安全密码模块自身外的所有应用(非系统应用)都无法读取密码操作相关数据(例如,密码操作的审计数据)、CSP和明文数据

<CY06.15:应提供操作系统文档描述操作系统的访问控制机制如何进行相关配置,以定义和实现有权输入SSP的角色、分组以及与它们相关的权限。>(安全级别2)


<CY06.17:应提供操作系统文档描述当密码模块不在维护模式时,操作系统如何防止所有操作员和运行的进程修改正在运行的密码经常(例如,已加载的和正执行的密码程序镜像);提供的有关密码模块不在维护模式时,操作系统如何防止所有操作员和运行的进程修改正在运行的密码进程(例如,已加载的和正执行的密码程序镜像)的说明书应与安全策略中已定义的角色、分组和服务相一致。>(安全级别2)
例:操作系统的进程间隔离可防止所有操作员和运行的进程修改正在运行的密码进程。

<CY06.18:应提供操作系统文档描述操作系统如何防止用户进程对其他进程的SSP以及系统SSP进行读或写操作;提供的有关操作系统如何防止用户进程对其他进程的SSP以及系统SSP进行读或写操作的说明书应与安全策略中已定义的角色、分组和服务相一致。>(安全级别2)
例:操作系统的进程间隔离能防止用户进程对其他进程的SSP以及系统SSP进行读或写操作。

<CY06.19:应提供管理员指南文档描述操作系统的配置如何满足了CY06.16~CY06.18的。>(安全级别2)
注:提供管理员指南文档,描述操作系统的配置。

<CY06.20:应提供管理员指南文档声明操作系统是按照需要保护的模式内容所指定的要求进行的配置。>(安全级别2)
注:管理员指南应当声明:操作系统必须按照需要保护的模块内容所指定的要求进行配置。


<CY06.24:应提供操作系统文档描述操作系统提供的审计机制,以及审计事件日前和时间的标注方法。>(安全级别2)
例:送检产品的操作系统具有审计事件和时间的审计机制。

<CY06.25:应提供材操作系统文档描述密码模块为操作系统的审计机制提供审计记录的服务。>(安全级别2)


<CY06.26:应提供材操作系统文档描述被操作系统审计机制记录的所有密码模块事件。>(安全级别2)


<CY06.27:应提供材操作系统文档描述被操作系统审计机制记录的所有操作系统事件。>(安全级别2)


<CY06.28:应提供材操作系统文档描述如何配置操作系统以防止操作员,除安全策略中给出的、拥有特权的操作员以外,修改存储在密码模块运行环境中的密码模块软件和审计数据。>(安全级别2)
例:送检产品的操作系统能够保证除安全密码模块自身以外,都无法修改密码模块运行环境中的密码模块软件和审计数据。

7 物理安全
若密码模块完全由软件实现,使得物理安全仅由计算平台提供,那么该模块将不受物理安全要求的限制。
7.1 物理安全实体
<CY07.01:送检文档中应描述模块使用的、适用的物理安全机制,模块中所有的硬件、软件、固件及数据(包括未经加密的加密密钥和未经加密的CSP)均应受到保护>(安全级别1,2,3,4)
注:应说明密码模块产品采用的物理安全机制
例:如拆机留痕、传感器等
7.2 通用物理安全要求
<CY07.09:送检文档应按照GM/T 0028—2014中7.7.1的要求明确说明密码模块的物理实体,包括单芯片密码模块、多芯片嵌入式模块,或多芯片独立式模块>(安全级别1,2,3,4)
注:送检单位根据产品情况表明所达到的安全级别并划分物理实体类型:
单芯片密码模块:单个集成电路(IC)芯片构成的模块,该芯片可以作为独立模块使用,或者可以嵌入可能没有物理保护的外壳或其它模块中。这个单芯片由片装和外部输入/输出连接器组成,其中片装使用统一的外部材料如塑料或陶瓷包装。例如:单IC芯片、单IC芯片智能卡或者包含实现密码功能的单IC芯片的其它系统。
多芯片嵌入式密码模块:模块由两个或两个以上互相连接的IC芯片构成,并物理嵌入到其他产品或未被物理保护的外壳中。例如:适配器和扩展板。
多芯片独立密码模块:两个或两个以上互相连接的IC芯片嵌入到完全受到物理保护的外壳中。例如:加密路由器、安全无线电话和USB令牌。
物理部件可包括外壳(如材质组成、缝合原理等)、内部元器件、IC芯片或其它硬件部件,能够监测或执行触发机制,以保证内部敏感信息安全。
例:送检产品采用XX材质的金属/塑料外壳包裹电路板等元器件,防止磨损等,内部敏感信息存储及运算均在SSX1234安全芯片内部,由安全芯片提供安全防护,芯片之间采用SPI通信,整个核心安全区设有触发检测机制等。


<CY07.10:送检材料应明确说明检测到拆卸行为后,置零操作的响应时间>(安全级别1,2,3,4)


<CY07.11:送检文档应描述模块使用的维护访问接口>(安全级别1,2,3,4)


<CY07.12:送检文档应说明维护访问接口,包括任何封盖或门>(安全级别1,2,3,4)


 <CY07.13:送检文档应说明维护访问接口,包括任何封盖或门>(安全级别1,2,3,4)


<CY07.15:模块应是一个标准的、产品级质量的IC芯片,并应达到商业级规范中对电源、温度、可靠性、震动和振动等的要求。模块应对整个芯片使用标准钝化技术。送检材料中应说明IC芯片的质量。如果使用的芯片不是标准的设备,也应该说明其钝化设计>(安全级别1,2,3,4)
注:描述产品使用了哪些IC芯片,描述IC芯片质量,是否为标准的、产品级质量的IC芯片,是否达到商业级规范中对电源、温度、可靠性、震动和振动等的要求。
例:送检产品使用的主控芯片是A公司生产的可应用于….的产品级芯片,该芯片已经通过检测认证的…级安全芯片资质认证。主控芯片和电源转换芯片都经过标准钝化处理,其表面被一层….覆盖,可以有效抵挡工作环境对芯片本身的腐蚀。


<CY07.19:送检材料应明确说明拆卸存迹的材料、涂层或外壳在可见光范围内为不透明或半透明的>(安全级别2,3,4)
注:描述拆卸痕迹的材料具有怎样的特点,是否为半透明或不透明。
例:送检产品的主壳体使用厚度约….毫米的硬质塑料外壳。主壳体采用…结构卡扣,当外界试图拆卸送检产品时,拆卸行为会导致结构卡扣损坏,外壳产生明显变形。
主壳体和LCD屏幕在可见光范围内均为不透明的,防止对模块关键区域的内部结构进行信息收集。


<CY07.20:送检材料应说明通风的物理设计方法。如果被封盖或外壳包含的模块含有任何通风孔或缝,则这些通风孔或缝应具有特殊的构造,从而防止通过直接观察外壳内部的构造或部件进行信息收集>(安全级别2,3,4)


<CY07.25:送检材料应说明通风结构的物理设计方法。如果被封盖或外壳包含的模块含有任何通风孔或缝,则这些通风孔或缝应能防止未被检测到的对模块内部的物理探测>(安全级别3,4)


<CY07.26:送检材料应说明外壳的硬度,以及该硬度适用于该模块设计的原因>(安全级别3,4)


<CY07.27:如果使用了拆卸封条,送检材料应提供拆卸存迹封条的明确说明>(安全级别3,4)


<CY07.32:送检材料应明确指出防止错误注入攻击的保护机制>(安全级别4)

<CY07.33:送检材料应明确指出模块使用的粗无注入缓解技术和缓解指标,并按照GM/T 0028附录B的要求进行记录(安全级别4)


7.3 物理安全实体的物理安全要求
7.3.1单芯片密码模块
<CY07.35:送检材料应说明芳拆卸涂层及其特点>(安全级别2,3,4)


<CY07.36:送检材料应说明防拆卸涂层及其特点声明AY07.37和AY07.38中的哪一种用来满足这一要求>(安全级别3,4)


<CY07.37:送检材料应清晰描述在AY07.34中指定的方法被用于满足此要求,应提供详细的设计信

成都公司地址:成都市高新区天府三街峰汇中心1-10-8    重庆公司地址:重庆市江北区北滨二路江北嘴紫御江山7-8-4