国家标准 GB/T40653一2021 信息安全技术安全处理器技术要求 Informationsecuritytechnology Teehmiealrequirementsforseuritypreessor 2021-10-11发布 2022-05-01实施国家市场监督管理总局发布国家标涯花警理委员会国家标准
GB/T40653一2021 次目前言范围 2 规范性引用文件 3 术语和定义缩略语安全处理器一般结构安全目的安全功能要求 8 20 安全保障要求附录A资料性生命周期阶段及工作状态描述附录B资料性)资产及安全问题定义 45 附录C规范性)组件依赖关系
GB/T40653一2021 前言本文件按照GB/T1.1一2020<标准化工作导则第1部分;标准化文件的结构和起草规则》的规定起草请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任本文件由全国信息安全标准化技术委员会(SAC/TC260)提出并归口本文件起草单位;北京多思科技工业园股份有限公司、信息安全测评中心,国家密码管理局商用密码检测中心,华北电力大学、公安部第三研究所网神信息技术(北京)股份有限公司、电子信息产业发展研究院、杭州华澜微电子股份有限公司、杭州安恒信息技术股份有限公司、人民解放军战略支援部队信息工程大学、珠海复旦创新研究院、北京多思安全芯片科技有限公司本文件主要起草人:刘大力、李大为、罗鹏、张辨斌、王州府、高金萍、石兹松、杨永生、曹春春、夏宏、王闯、韦安垒、杨元原、柳会鹏、李虹阳、魏晓伟、王辉、宋克、王俊宇、高艳芳、周斌
GB/T40653一2021 信息安全技术安全处理器技术要求范围本文件规定了安全处理器的安全功能要求和安全保障要求本文件适用于安全处理器设计、生产和应用规范性引用文件下列文件中的内容通过文中规范性引用而构成本文件中必不可少的条款其中,注日期的引用文件,仅该日期对应的版本适用于本文件,不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 GB/T18338(所有部分信息技术安全技术信息技术安全评估准则 GB/T25069信息安全技术术语 GB/T329152016信息安全技术二元序列随机性检测方法术语和定义 GB/T25069界定的以及下列术语和定义适用于本文件 3.1 安全处理器seeurityprocessor 由固件和硬件实体组成,具备物理防护,逻辑防护,应用防护能力,能够达到一定安全强度和安全等级的处理器注安全处理器实现技术包括密码技术、物理防护技术,数据编码技术,可重组逻辑技术等 3.2 物理防护physitealprteton 采用攻击防护的设计,攻击检测的方法、,利用检测与处理功能,监测处理器工作环境,并能支持异常行为应答审计处理,阻止物理威胁的安全能力注，攻击防护包括掩膜、封装,物理接口的安全保护设计等;攻击检测包括光,电磁,逻辑断路短路,旁路检测等;工作环境包括温度、频率,电压测试等;应答审计处理包括通知、标记、应答处理、审计处理等措施 3.3 应用防护applieationproteetion 链接物理防护的功能,具有对程序和数据的保护能力、运行态检测和监控能力、资源调度和配置控制能力、安全通信能力,并能支持异常行为应答审计处理,阻止应用威胁的安全能力注，保护能力包括利用同态计算,密码技术应用对程序和数据处理能力,资源调度和配置控制包括安全存储、控制管理,安全配置等措随,安全通信包括加密传输,可信根传递的运用、身份认证等措施 3.4 逻辑防护logicproteetion 依据物理防护和应用防护的安全功能,通过资源配置、操作配置、运行态控制等方式,调整安全策略,使逻辑结构和控制具备对未知攻击更强的安全强度和弹性,阻止逻辑威胁的安全能力 3.5 运行态runningstate 安全处理器运行状态
GB/T40653一2021 3.6 安全管理seeuritymanagement 实施安全处理器在原始态和运行态下的控制管理注;安全管理包括原始注人、加载、检测、程序列表和数据列表管理、资源度量、资源配置和资源调度等 3.7 安全监控seeuritymonitoring 在安全处理器运行态中,实施对硬件实体的物理检测、应用检测和逻辑检测,并完成检测后的应答审计处理注物理检测,逻辑检测,应用检测见附录A的描述 3.8 安全配置seeurityceonigurationm 安全处理器在原始态和初始态下,依据安全需求进行功能配置的方法注配置包括冗余配置,重组配置,操作配置和安全策略配置 3.9 逻辑接口logieinterface 在安全处理器内,通过安全策略表、应答审计处理表、资源配置表、程序列表和数据列表的结构体实现数据交换功能的逻辑和控制 3.10 安全域swrtty domain 在安全处理器内,由硬件逻辑和固件共同管理控制下,供应用程序使用的安全存储实体缩略语下列缩略语适用于本文件 CM;配置管理(ConfigurationManagement) EAL;评估保障级(EvaluationAssuranceLevel EEPROM电可擦除可编程只读存储器(Electrieally-ErasableProgrammableReadonlyMemory) I/O;输人/输出(Input/Output IP:知识产权(IntelleectualProperty) IT;信息技术(InformationTechnology) PIN:个人识别码PersonalldentificationNumber PP保护轮廓(ProtectionProfile) RAM随机存取存储器(Ra Memory andom-access -onlyMemory ROM:只读存储器(Read SFP;安全功能策略(SecurityFunetionPoliey SFR;安全功能要求(SecurityFuncionalRequirement) sT;安全目标(SecturtyTarget ToE;评估对象(TargetofEvaluation) TSF:TOE安全功能(TOESecurityFunctionality TsFI;TSF接口(TSFInterflace) 安全处理器一般结构 5 5.1概述安全处理器在处理器功能和结构中实现了物理防护,逻辑防护和应用防护设计,提供了安全的事务
GB/T40653一2021 处理能力,保障了处理器的自身安全和服务安全,由固件和硬件实体组成固件的安全功能通过控制、管理、调度硬件实体的资源和数据,有效防止敏感信息泄漏,实现攻击检测、数据加密、运行态监控等物理防护功能;通过对硬件实体资源的安全配置和安全策略设计,增强逻辑防护能力;通过自身安全管理和实施安全监控,实现原始态和运行态下的数据安全、存储安全、接口安全等应用防护安全硬件实体包括支撑固件实施数据与接口保护的功能(如密码算法的电路逻辑)、检测与处理的功能如工作环境和状态检测,应答审计处理),以及提供安全支撑与服务的功能(如导引加载、物理随机源、安全配置、安全策略服务) 硬件实体还包括自身安全防护设计(如版图屏蔽保护,金属网防护),防止信息泄漏和克隆,实现物理防护的能力其中,逻辑防护功能是通过硬件的冗余配置、重组配置、操作配置的定义,提高安全强度和容错设计能力,达到逻辑防护的目的注:安全功能的实现可能包含多种方式,主要包括通过硬件实体实现如功能部件群组;通过固件实现,如应用协议的控制;通过硬件实体和固件共同实现,如配置操作;部分应用功能转换成硬件实体功能实现,如应用流程的安全控制等 5.2安全处理器结构安全处理器结构特征主要表现在ToE中,其固件通过I/0接口支持应用与系统集成的加载和运行,硬件实体通过l/0接口支持物理设备集成的设计管理者通过I/0接口使用固件链接硬件实体的控制,实现TOE的功能(如原始注人、安全配置、安全策略),同时用户也可通过I/0接口在TOE的基础上依据安全需求实现安全设计和应用链接 TOE结构及运行环境见图1 应用与系统集成 /0接口 ToE，安全处理器主控单元模块固件数据管理模块通信处理模块应用管理模块安全支撑模块 /0接口 /接口用户安全设计配置芯片安全监控模块管理者用户控制逻部件硬件实体功能部件群组存储迎棚部[安全支撑迎部州接口逻辑部件检测处理逻辑部件 /o接口物理设备集成图1安全处理器结构示意图及运行环境固件功能模块结构包含内容如下主控单元模块;实现加载和初始化配置,调度其他模块实现固件安全功能,以及工作状态应答审计处理
GB/T40653一202 b 数据管理模块;依据存储逻辑部件实现敏感信息、程序与数据,运行状态与标识等数据的标记度量,分配访问、销毁等通信处理模块:实现对专用接口和通用接口以及接口初始化配置,通信协议和流程的控制、驱动程序管理以及异常状态的监测,保障数据接收与发送、数据控制等数据通信安全应用管理模块;链接用户在应用中需求的安全功能设计,实现对应用程序的流程控制、数据和 d 资源使用以及操作的管理安全支撑模块;依据硬件实体和安全需求,实现对数据、功能、资源的重组配置、冗余配置、操作配置的定义并通过安全策略的分配与实施,提供安全容错处理能力安全监控模块:实现对原始态和运行态中的数据、程序和资源的检测、监测和感知等功能,以配合主控单元模块实施调度、控制和响应硬件实体逻辑部件包含的内容如下主要负责乱序指令控制逻辑部件:执行固件及其应用程序加载和运行的硬件实体核心部件 a 编码的译码器及其调度管理其他部件控制逻辑实现安全管理;存储器、寄存器、I/o的控制访问能力;安全支撑实现计算控制能力;冗余配置、重组配置、操作配置的调整能力;安全监控的调度能力 b 接口逻辑部件:实现物理接口部件和逻辑接口部件及数据缓存的数据传输控制,如接口协议控制、数据接口标识等主要负责TOE和应用与系统集成、物理设备集成及用户安全设计之间的数据交换功能部件群组:硬件实体的公共资源部件,包括实现密码及数据处理的算法部件,以及为安全配置和安全策略实施提供支持的冗余部件存储逻辑部件;包括冗余的易失性和非易失性存储器以及访问控制逻辑,还包括队列、堆栈、寄存器堆等结构及使用控制逻辑,并将其运行状态纳人到安全监控主要负责存储、备份加密信息(如敏感信息安全应答矢量、标识表、资源配置表)、存储区域存取访问控制等安全支撑逻辑部件;实现导引加载、异常响应及应答处理、物理随机源等逻辑部件,为随机数生 f 检测处理逻辑部件;包括物理检测、逻辑检测应用检测等逻辑部件,以及应答审计处理逻辑部件(如中断矢量的管理和控制逻辑主要负责原始态和运行态的监测和异常处理注1:控制逻辑部件能够对硬件实体中其他逻辑部件实施控制及反馈响应,并通过支持固件的运行,完成安全策略、安全配置、安全管理等功防护的能力能,提供安全事务处理和安全注2:I/0接口包括专用接口和通用接口,专用接口主要是管理员对处理器进行初次配置的时候使用,使用后功能被禁止通用接口主要包括输人或输出点,该点为信息流提供了输人或输出芯片的人口或出口,包括物理按口和逻辑接口 6 安全目的 6.1安全处理器物理防护 6.1.1物理保护(o.Physieal_Proteetiom) 安全处理器应抵抗物理攻击,防止通过诸如剖片、电路篡改、探针探测等手段实施的攻击,或能够提供安全措施显著增加实施此类攻击的困难性 6.1.2克隆防护(o.Clone_Proteetion 安全处理器应提供控制和限制克隆的方法,使得安全处理器的安全功能或敏感数据不会被复制,防止硬件盗版、芯片伪造和物理攻击
GB/T40653一2021 6.1.3信息泄漏防护(o.InfoL.eak_Pr rotection 安全处理器应提供控制和限制信息泄漏的方法,使得攻击者无法通过分析诸如功耗等因素的变化来获取操作过程的信息或其他安全信息,有用信息不会通过电源、时钟、复位、I/0线而泄漏 6.1.4故障处理(o.Falure_IHanding) 安全处理器应使得即便暴露在非标准环境中时,也能够发现这些工作条件的改变，且采取相应的防护背他,防止安全你息泄丽,或做芯片进人一种安全的运行状态这些环境影响因素包捕温度-电压-时钟频率或外部能量场 6.1.5资源自隐藏(o.Resure_IHliddenm) 安全处理器应具备资源自修复、资源替换和安全策略的配置等能力抵抗资源攻击安全处理器应在受控且经过定义的方式下操作资源或访问数据 6.1.6物理接口安全(o.Phyinterfae_Seeurity 安全处理器应确保提供的物理接口安全,诸如不应含有可能旁路安全处理器定义的安全机制的物理接口,且物理接口中不应含有隐式通道,也不应含有除声明的物理接口之外的物理接口安全处理器应支持关闭非工作状态的物理接口且能够确保支持的各种不同物理接口输人输出的密码算法的运算数据应一致,随机数质量指标评估,应符合GB/T32915一2016的要求 6.1.7数据保护(O.Data_Protectionm 安全处理器应确保ToE操作系统维护运行的区域的内部内存块的重新分配不会泄漏先前存储的任何信息和提供存储访问控制方法,包括分配、权限管理、禁止、释放等,来抵抗克隆,残余信息的利用确保在存储体内密钥及敏感信息受到保护和对数据抛供密码服务 6.2安全处理器逻辑防护 6.2.1逻辑保护(o.Logieal_Proteetion) 安全处理器应能够抗逻辑操纵且具备安全弹性设计结构,并能够在主控操作配置下,支持主副本操作或裁决操作,增强容错能力,以抵抗逻辑攻击,防止通过诸如逻辑探测、命令修改、频谱分析等手段实施的攻击,显著增加实施此类攻击的困难性 6.2.2数据访问控制(o.DataAe_Control 安全处理器应对安全处理器内部的用户数据和安全功能数据实施访问控制措施,防止在未授权情况下被访问、修改或删除安全处理器应在受控且经过定义的方式下操作资源或访问数据安全处理器应能够对安全处理器的安全功能实施重组配置、副本配置,完成主副本操作,以抵御陷门、逻辑炸弹、特洛伊木马、蠕虫、熔断、幽灵、僵尸负载等逻辑后门和逻辑漏洞 6.2.3防缺陷插入(o.DefectIns_Proteetion) 安全处理器应能够防止通过分析重复探测的响应而导致的信息泄漏,以抵御插人缺陷数据重复探测的攻击 6.2.4资源自修复(o.Selfreevery_Resuree) 安全处理器应提供功能部件群组,包含两个或两个以上相同的功能部件,在执行主副本操作或裁决
GB/T40653一202 操作时,功能执行体或其内部资源遇到异常行为应能实现替换、替代、修复工作,以抵御样本攻击 6.2.5随机数生成(o.RND_Generatiom) 安全处理器应确保片内拥有两个或两个以上物理随机源,生成的随机数能满足应用要求的质量指标例如,随机数不准许被预测,且具有一定的嫡值,以防止攻击者猜测通过随机数生成的密钥、挑战值等信息随机数质量指标评估,应符合GB/T32915一2016的要求 6.2.6逻辑接口安全(o.L.oginterface_Ssecurity 安全处理器应通过访问控制策略确保提供的逻辑接口安全,诸如不应含有可能旁路安全处理器定义的安全机制的逻辑接口,且接口中不应含有隐式通道,也不应含有除声明的逻辑接口之外的逻辑接口安全处理器应支持关闭非工作状态的逻辑接口且能够确保支持的各种不同逻辑接口输人输出的密码算法的运算数据一致,随机数质量指标评估,应符合GB/T32915一2016的要求 6.3安全处理器应用防护 6.3.1应用保护(o.Applieation_Proteetion) 安全处理器应确保启动过程中加载的授权软件在执行之前验证其真实性和完整性安全处理器应具有安全管理、安全监控、安全通讯和安全策略等应用防护机制,以抵抗各种应用威胁和应用攻击,或能够提供安全措施显著增加实施此类攻击的困难性 6.3.2固件安全(o.Firmware_Seeurity 安全处理器应防止固件程序本身不得被任何人获取或算改,保证固件的健壮性和完整性,提供高安全的权限管理系统,以防止攻击者利用固件可能含有的后门程序,从而使攻击者获得高权限访问系统，获取安全处理器安全功能数据 6.3.3密钥及敏感信息防护(o.KeySensitivelnfo_Proteetion 安全处理器应对密钥及敏感信息提供以硬件实现的访问控制机制,使得能够正确、有效地存储密钥和敏感信息且具有主动完成密钥和敏感信息自毁的能力 6.3.4生命周期功能控制(o.Lifeeyele_Control 安全处理器应对自身安全功能的可用性进行生命周期阶段划分,或进行权限控制,以防止攻击者滥用这些功能(如测试模式下的某些功能应在安全处理器芯片交付后关闭 6.3.5密码安全(o.CryptoSeeurity 安全处理器应以一个动态可变的硬件实现方式支持密码功能其使用的密码算法应符合国家及行业要求的密码管理相关标准或规范 6.3.6配置安全(o.Configuration_Seeurity 安全处理器应提供自动化的安全验证工具,如安全监控,检测配置异常,并评估固件中对安全敏感的字节,以自动识别错误配置除了安全监控,还应提供几种安全工具,包括手动测试、可信度量和配置文件自修复等 6.3.7存储安全(o.StorageSeeurity 安全处理器应确保程序和数据加密分区存储,且具有在非易失性存储器中存储初始化数据和个性
GB/T40653一2021 化数据的能力 6.4安全处理器环境安全目的 6.4.1人员(oE.Per r'S0nnel 以一种安全的方式管理安全处理器之外的人员(角色) 例如,在安全处理器开发过程中建立的相关角色包括安全处理器的开发者制造者、发行者、管理者和使用者等,角色管理者负责对这些角色进行管理 6.4.2管理规范(oE.NMlamagement_Speeifieatiom) 所有的设计信息文档,都应建立配置管理系统,且应由专人负责管理 6.4.3外部数据管理(OE.ExtData_Management) 应对在安全处理器外部存储的相关数据如TOE的设计信息、开发及测试工具,实现代码及相关文档、初始化数据管理性密钥等)进行保密性和完整性处理,并采取安全的管理措施 6.4.4通信信道OE.Communication_Channel 安全处理器与安全处理器之间的通信路径应是可信的,应能为通信过程提供保密性和完整性保障应用环境(oE.Appliheatun- 6.4.5 Enviromment 安全处理器必要时也需通过硬件产品的设计加以强化补充完善,例如;板级电路的封装形式.板卡形式的自毁和检测而安全处理器很可能需要系统应用和系统软件的支撑,例如;系统软件和固件的双向认证以上给出的安全处理器安全目的相对应的安全威胁定义见附录B 安全功能要求 7.1概述表1列出了安全处理器安全功能组件,其详细内容将在下面分条描述在描述过程中,方括号中的粗体字内容表示已经完成的操作,粗体斜体字内容表示还需在安全目标(ST)中确定的赋值及选择项表1安全功能组件备注编号安全功能类安全功能组件 EAL.5EAL6 EAL7 FAU_ARP.1安全告警 FAU_GEN.1审计数据产生 FAU类;安全审计 FAU_SAA.1潜在侵害分析 FAU_SAR.2限制审计查阅 FAU_STG.1受保护的审计迹存储
GB/T40653一2021 表1安全功能组件(续备注安全功能类安全功能组件编号 EAL5E:AL6 EAL7 ONRO.2强制性原发证明 FC0类:通信 Fco_NRR.2强制性接收证明 FCS_CKM.1密钥生成 FCS_CKM.2密钥分发 FCS类;密码支持 FCS_CKM.3密钥存取 10 1 FCS_CKM,4密钥销毁 2 FCS_COP.1密码运算 FDP_Acc.1子集访问控制 13 FDP_ACF,.1基于安全属性的访问控制 1 FDP_DAU.1基本数据鉴别 15 FDPETC.2带有安全属性的用户数据输出 16 17 FDP_ITC.2带有安全属性的用户数据输人 PDP类;用户数据保护 FDP_IFCc.1子集信息流控制 18 FDP_IIT.1基本内部传送保护 9 DP_RIP.1子集残余信息保护 0 FDP_SDL.2存储数据的完整性监视和行动 2 FDPUCT.1基本的数据交换机密性 22 FDP_UIT.1数据交换完整性 23 FIA_AFLl鉴别失败处理 24 FIA_ATD.1用户属性定义 25 26 IA类;标识和鉴别 FIA_SOS.2TSF生成秘密 FIA_UAU.1鉴别的时机 2 o FIA_UD1标识的时机 28 FMTLIM.1受限能力 29 FMT_LIM.2受限可用性 30 31 FMT_MOF.1安全功能行为的管理 FMT_MSA.1安全属性的管理 32 FMT类;安全管理 FMT_MsA.3静态属性初始化 3 FMT_MID.1TsF数据的管理心 35 FMT_sAE.1时限授权 FMT_SMF1管理功能规范 36 37 FMTSMR.3承担角色
GB/T40653一2021 表1安全功能组件(续备注安全功能类安全功能组件编号 EAL5 EAL6 EAL7 FPR_UNO.2影响不可观察性的信息的分配 38 FPR类;隐私 FPR_UNO,4授权用户可观察性 39 FPT_FIS.1失效即保持安全状态 40 FPT_ITA.1TsF间可用性不超过既定可用性度量 4 FPT_ITc.1传送过程中TSF间的机密性 42 43 FP_ITI2TsF间篡改的检测与纠正 44 FPT_ITT.1内部TsF数据传送的基本保护 FPT类:TSF保护 FPT_PHP.3物理攻击抵抗 45 FPT_RCV.4功能恢复 46 447 FPT_RPL.l重放检测 FPT_ssP.2相互可信回执 48 FPT_STM.1可靠的时间戳 49 FPT_TsT.1TsF检测 50 51 FRUFLT.2受限容错 FRU类;资源利用 52 FRU_RSA.1最高配额 N/A FTA_SSL.3TSF原发会话终止 53 FTA类;ToE访间 FTA_TSE.1TOE会话建立 54 FIP_ITc.1TsF间可信信道 55 FTP类;可信路径/信道 FIP_TRP.l可信路径 56 “、”代表在该保障级下,应选择该组件;“O”代表在该保障级下,可选择该组件;“N/A”代表在该保障级下,该组件不适用 7.2安全告警(rAU_ARP.1) FAU_ARP.1.1安全处理器当检测到潜在的安全侵害时,安全处理器安全功能应采取的【赋值;动作列表,如通知,标记】. 应用说明;已定义的动作列表,ST编写者详见表A.3表A.5 7.3审计数据产生(FAU_GEN.1 FAU_GEN.1.1安全处理器安全功能应能为下述可审计事件产生审计记录审计功能的开启和关闭 a 有关【选择,选取一个;最小级,基本级,详细级,未规定】审计级别的所有可审计事件 b 对于表2中相关的sFR.为其审计等级(如果规约了的话)所定义的每一可审计事件;【赋值:其他专门定义的可审计事件】. FAU_GEN.1.2安全处理器安全功能应在每个审计记录中至少记录下列信息事件的日期和时间、事件类型、主体身份(如果适用)、事件的结果成功或失效); a
GB/T40653一202 b 对每种审计事件类型,基于PP/ST中功能组件的可审计事件的定义,为表2中所列的每一相关sSFR:(1)由审计等级(如果规定了一个等级的话)所定义的信息;(2)所有附加信息(如果是要求的话);【赋值:其他审计相关信息】应用说明1;如果ST编写者规约了通用准则中定义的一个审计等级(最小,基本,或详细),那么就有可能在审计等级需求和表2中所列的需求之间存在一些冲突为此,ST应规约范围更大的那些需求应用说明2:除了表2和FAU_GEN.1.1中规约的任一审计等级所要求的那些可审计事件之外表3列出了一些附加的可审计事件,它们是在考虑FAU_GEN.1.1的基础上而建议的表2审计数据需求可审计事件相关SFR 审计等级附加信息任务完成 FDP_ACF. 没有规约任务类型鉴别机制的成功使用和不成功使用 FIA_UAU.1 基本没有要求标识机制的成功使用和不成功使用 FAUID.1 基本有企图的用户身份管理功能的使用 FMTSMF.1 最小没有要求 -组用户的修改,他们作为角色的一部分对 FMT_SMR.3 最小没有要求最小对时间的改变 FPT_STM.l 没有要求 TAL.3 通过会话关闭机制,关闭交互的会话最小没有要求应用说明:除了表3和FAU_GEN.1.1中规约的任意审计等级所要求的那些信息之外,表3所列出了附加的审计信息,它们是在考虑FAU_GEN.1.2的基础上而建议的表3审计数据建议可审计事件审计等级相关SFR 附加信息任务启动 FDPACF.1 没有规定任务类型异常行为 FP_TST.1 基本没有要求 7.4潜在侵害分析(FAUSAA.1) FAU_sAA.1.1安全处理器安全功能应能使用一组规则去监测审计事件,并根据这些规则指示出对实施安全处理器安全策略的潜在侵害 FAU_SAA.1.2安全处理器安全功能应执行下列规则来监测审计事件 a)已知的用来指示潜在安全侵害的【赋值:已定义的可审计事件子集】的累积或组合 b【赋值:任何其他规则】应用说明;已定义的可审计事件子集,ST编写者详见表2和表3及表A.5 7.5限制审计查阅FAUSAR.2 FAU_SAR.2.1除明确准许读访问的用户外,安全处理器安全功能应禁止所有用户对审计记录的读访问应用说明;安全处理器安全功能应针对审计查阅提供权限管理 10
GB/T40653一2021 7.6受保护的审计迹存储(FAUSIG.1 FAU_STG.1.1安全处理器安全功能应保护审计迹中存储的审计记录,以避免未授权的删除 FAU_STG.1.2安全处理器安全功能应能【选择,选取一个:防止,检测对审计迹中所存审计记录的未授权修改应用说明:ST编写者应根据具体情况细化受保护审计迹 7.7强制性原发证明(FcoNRo.2) FcO_NRO.2.1安全处理器安全功能在任何时候都应对所传送的【赋值:信息类型列表】强制产生原发证据 FCO_NRO.2.2安全处理器安全功能应能将信息原发者的【赋值:属性列表】和信息的【赋值:信息域列表】与证据相关联 Fco_NRo.2.3给定【赋值,原发证据的限制条件】,安全处理器安全功能应能为【选择,原发者,接收者或【赋值:第三方列表刀提供验证信息原发证据的能力应用说明:安全处理器信息类型列表应包括程序列表和数据列表 7.8强制性接收证明(FCONRR.2 Fco_NRR.2.1安全处理器安全功能在任何时候都应对接收到的【赋值;信息类型列表】强制产生接收证据 Fco_NRR.2.2安全处理器安全功能应能将信息接收者的【赋值:属性列表】和信息的【赋值;信息域列表】与证据相关联 Fco_NRR.2.3给定【赋值;接收证据的限制条件】,安全处理器安全功能应能为【选择:原发者,接收青或【赋值;第三方列表刀提供验证信息接收证据的能力应用说明;安全处理器信息类型列表应包括资源配置表、安全策略表、应答审计处理表、程序列表和数据列表 7.9密钥生成(cCs_CKM.1) FCs_CKM.1.1安全处理器安全功能应根据符合下列标准【赋值:标准列表】的一个特定的密钥生成算法【赋值;密钥生成算法】和规定的密钥长度【赋值;密钥长度】来生成密钥应用说明;密钥生成功能应由安全处理器安全支撑逻辑部件完成,此时ST编写者应根据密码算法的具体情况,赋值国家主管部门认可的相关标准及参数 7.10密钥分发(rCS_CKM1.2) 安全处理器安全功能应根据符合下列标准【赋值;标准列表】的一个特定的密钥分发方法【赋值:密钥分发方法】来分发密钥应用说明;密钥分发功能应由一个安全处理器向其他安全处理器加密分发完成,此时sT编写者应根据密码算法的具体情况,赋值国家主管部门认可的相关标准及密钥分发方法 7.11密钥存取(FCs_CKM.3) FCs_CKM.3.1安全处理器安全功能应根据符合下列标准【赋值:标准列表】的一个特定的密钥存取方法【赋值:密钥存取方法】来执行【赋值:密钥存取类型] 应用说明:密钥存储应以密文形式随机进行分布式存储在安全处理器的指定空间内;密钥读取应由安全处理器安全机制进行保障;此时ST编写者应根据密码算法的具体情况,赋值国家主管部门认可的 11
GB/T40653一202 相关标准及密钥存取方法 7.12密钥销毁(Fcs_CKMI.4) FCs_CKM.4.1安全处理器安全功能应根据符合下列标准【赋值;标准列表】的一个特定的密钥销毁方法【赋值:密钥销毁方法】来销毁密钥应用说明:ST编写者应根据密码算法的具体情况赋值国家主管部门认可的相关标准及密钥销毁方法 7.13密码运算(FCs_coP.1 FCS_COP.1.1安全处理器安全功能应根据符合下列标准【赋值:标准列表】的特定的密码算法【赋值:密钥算法】和密钥长度【赋值:密钥长度】来执行【赋值:密码运算列表】应用说明:ST编写者应根据密码算法的具体情况赋值国家主管部门认可的相关标准及参数,在运算过程中实现一次一密 7.14子集访问控制(FDP_ACC.1) FDP_AcC.1.1安全处理器安全功能应对【用户,管理员,赋值:其他主体列表读,写和执行,赋值主体和客体之间的其他操作列表】操作【Fash、,RAM、ROM存储器及特殊功能寄存器,赋值;其他客体列表】执行【安全处理器存储器访问控制策略,赋值;其他安全处理器访问控制策脖】应用说明:sT编写者应根据具体情况细化用户数据和操作列表,且根据用户和管理员操作客体和相应控制策略的不同,应在sT中将此组件分为不同的点进行描述 7.15基于安全属性的访问控制(FDPACr.1) FDPACF.1.1安全处理器安全功能应基于【用户,管理员,赋值;其他主体列表】的【鉴别状态,赋值;其他安全策略相关的安全属性或安全属性组】对客体执行【安全处理器存储器访问控制策略,赋值其他安全处理器访问控制策略】. FDPACF.1.2安全处理器安全功能应执行以下规则,以决定在受控主体与受控客体间的一个操作是否被允许;【用户鉴别是否通过,管理员鉴别是否通过存储器访问控制寄存器的值是否满足访问要求,赋值:其他在受控主体和受控客体间.通过对受控客体采取受控操作来管理访问的一些规则】 FDP_ACF.1.3安全处理器安全功能应基于以下附加规则:【赋值:基于安全属性的,朋确授权主体访问客体的规则,明确授权主体访问客体 FDP_ACF.1.4安全处理器安全功能应基于【赋值;基于安全属性的,朋确拒绝主体访问客体的规则明确拒绝主体访问客体应用说明;ST编写者应根据具体应用细化主体、客体和操作列表,并描述相应的访间控制策略若安全处理器没有附加的访问控制策略,可不对FDPACF.1.3和FDP_ACF.1.4的相应赋值项赋值安全属性可能简单地是一个赋予每一用户的访问表,指出允许用户使用的功能;或是赋予每一功能的访问表,指出使用这一功能所允许的用户 7.16基本数据鉴别(FDPDAU.1 FDP_DAU.1.1安全处理器安全功能应提供一种能力,以生成能用来作为【程序列表、数据列表,赋值:客体或其他信息类型列表】有效性担保的证据 FDP_DAU.1.2安全处理器安全功能应为【用户,管理员,赋值:其他主体列表】提供能力,以验证指定信息有效的证据应用说明:ST编写者应根据具体应用细化主体、客体和信息类型列表,并描述相应的数据鉴别 12
GB/T40653一2021 策略 7.17带有安全属性的用户数据输出(FDPETC.2 FDP_ETC.2.1在安全功能策略控制下将用户数据输出到TOE之外时,安全处理器安全功能应执行【赋值:访问控制SFP和/或信息流控制sFP】 FDP_ETC.2.2安全处理器安全功能应输出用户数据且带有用户数据关联的安全属性 FDP_ETC.2.3安全处理器安全功能应确保输出安全属性到TOE之外时,与所输出的用户数据关联 FDP_ETC.2.4当从TOE输出用户数据时,安全处理器安全功能应执行下列规则【数据度量、数据加密,赋值:其他附加的输出控制规则. 应用说明:ST编写者应根据具体应用描述安全处理器接口,并描述相应的访问控制策略或信息流控制策略及其他附加的输出控制规则 7.18带有安全属性的用户数据输入(FDP_IIC.2 FDP_IIc.2.1在安全功能策略控制下从ToE之外输人用户数据时,安全处理器安全功能应执行【赋值;访问控制SFP和/或信息流控制SFP】. FDPITc.2.2安全处理器安全功能应使用与所输人数据相关的安全属性 FDP_ITCc.2.3安全处理器安全功能应确保所使用的协议在安全属性和接收到的用户数据之间进行了明确的关联 FDP_ITCc.2.4安全处理器安全功能应确保对输人用户数据的安全属性的解释与用户源数据所预期的安全属性是一样的 FDP_ITCc.2.5当在安全功能策略控制下从ToE之外输人用户数据时,安全处理器安全功能应执行【数据度量、数据加密,赋值:其他附加的输入控制规则. 应用说明ST编写者应根据具体应用描述安全处理器接口,并描述相应的访问控制策略或信息流控制策略及其他附加的输人控制规则如原始注人接口完成原始注人后该接口将被禁止或销毁,所有接口数据清零 7.19子集信息流控制(FDP_Irc.1 FDP_IFC.1.1安全处理器安全功能应对【安全处理器中处理或传输的用户数据,如用户密钥等敏感信息,赋值;其他导致受控信息流入,流出受控主体的操作列表】执行【安全处理器数据处理策略,赋值其他信息流控制sFP】. 应用说明;数据处理策略应要求除安全处理器允许用户数据可通过外部接口访问,否则不能从安全处理器中泄漏 7.20基本内部传送保护(FDP_Ir.1 FDP_ITT1.1在安全处理器物理上分隔的不同的存储器、功能模块(如固件模块间、硬件实体功能执行体间)之间传递用户数据时,安全处理器安全功能应执行【选择;:安全处理器访问控制策略,安全处理器信息流控制策略】,以防止用户数据被【选择;泄漏,篡改,丧失可用性】应用说明:ST编写者应根据具体应用细化不同的存储器、逻辑部件,功能模块,并描述相应的访问控制策略和信息流控制策略 7.21子集残余信息保护(FDPRIP.1 FDP_RIP.1.1安全处理器安全功能应确保一个资源的任何先前信息内容,在【选择;分配资源到 13
GB/T40653一2021 释放资源自】下列客体【EEPROM、FLASH、RAM,赋值:其他客体列表】时不再可用应用说明:ST编写者应将残留在EEPROMFLASH,RAM先前信息内容进行清除 7.22存储数据的完整性监视和行动(FDP_SD1.2) FDP_SD.2.1安全处理器安全功能应基于下列属性【用户数据完整性校验值，赋值:其他用户数据属性】,对所有客体,监视存储在有安全处理器安全功能控制的载体内的用户数据是否存在【赋值:完整性错误】. FDP_SDL.2.2检测到数据完整性错误时,安全处理器安全功能应【输出错误状态,赋值:采取的其他动作】. 应用说明:ST编写者应对采用的其他完整性错误处理动作进行细化描述,如检测到数据完整性错误后,TSF应执行冷复位 7.23基本的数据交换机密性(FDP_CT.1 FDP_UCT.1.1安全处理器安全功能应执行【赋值:访问控制安全功能策略和/或信息流控制安全功能策胳】.以便能【选择;传送,接收】用户数据,并保护其免遭未授权泄漏应用说明:sT编写者应使用国家主管部门规定算法,采取不定期更换密钥的措施对用户数据加密 7.24数据交换完整性FDPUIT.1 FDP_UT.1.1安全处理器安全功能应执行【赋值访问控制安全功能策略和/或信息流控制安全功能策略】,以便能【选择;传送,接收】用户数据,并保护其免洲【选择篡改、,删除,插入,重放】错误 FDP_UT.1.2安全处理器安全功能应能确定在用户数据的接收过程中是否发生了【选择;莫改、删除,插入,重放. 应用说明:ST编写者应根据具体应用细化不同的用户数据,并描述相应的访问控制策略和信息流控制策略 7.25鉴别失败处理(FIA_AFI.1) FIA_AFI.1.1安全处理器安全功能应检测当【选择;次数,数值范围,赋值【正整数】,管理员可设置的【赋值.可接受数值范围】内的一个正整数】时,与【选择:用户鉴别、管理员鉴别，赋值其他鉴别事件列表】相关的未成功鉴别尝试 FIA_AF.1.2当选择;达到,超过】所定义的未成功鉴别尝试次数时,安全处理器安全功能应采取的【赋值;动作列表,如临时锁定鉴别功能至一定时间后再开启或永久锁定鉴别功能并进入废止阶段】. 应用说明:ST编写者应根据具体应用细化成功鉴别尝试次数和动作列表 7.26用户属性定义(FIA_ATD.1) FIA_ATD.1.1安全处理器安全功能应维护属于单个用户的下列安全属性列表【选择:用户标识、 PIN和密钥等鉴别数据,用户角色,【赋值;其他安全属性刀. 应用说明.ST编写者应详细定义单个用户的安全属性 7.27TSF生成秘密(FIA_SOS.2) FIA_SOS.2.1安全处理器安全功能应提供一种机制以产生满足鉴别机制安全性要求的秘密 FIA_SOS.2.2安全处理器安全功能应能够为【赋值;安全处理器安全功能功能列表】使用安全处理器安全功能产生的秘密应用说明:此安全功能中要求的秘密是指鉴别密钥、PIN等安全处理器安全功能数据,ST编写者 14
GB/T40653一2021 应对生成的秘密的质量进行验证,以加强秘密生成的安全性 7.28鉴别的时机(FA_UAU.1 FIA_UAU.1.1在用户鉴别前,安全处理器安全功能应允许执行代表用户的【赋值:由安全处理器安全功能促成的动作列表,如读取固件标识信息操作】 FIA_UAU.1.2在允许执行代表该用户的任何其他由安全处理器安全功能促成的动作前,安全处理器安全功能应要求每个用户都已被成功鉴别应用说明:ST编写者应根据具体应用细化安全功能促成的动作列表 7.29标识的时机(FIA_UID.1 FIA_UID1.1在用户被识别之前,安全处理器安全功能应允许执行代表用户的【赋值;安全处理器安全功能促成的动作列表,如读取固件版本信息操作】 FA_UID1.2在允许执行代表该用户的任何其他由安全处理器安全功能促成的动作前,安全处理器安全功能应要求每个用户都已被成功识别应用说明.sT编写者应根据具体应用细化安全功能促成的动作列表 7.30受限能力(FMTLIM.1 FMT_LIM.1.1TsF应采取某种能力受限的设计和实现方法,以便可与“受限可用性(FMT_LIM. 2)”相结合来实施【赋值;受限能力和可用性策略】应用说明;要求TsF采用了特定的设计方法,使其仅具备必需的能力(如执行动作、获取信息) 7.31受限可用性(Fr_L.IM1.2) FMT_LIM.2.1TSF应采取某种可用性受限的设计和实现方法,以便可与“受限能力(FMT_LIM. 1)”相结合来实施【赋值;受限能力和可用性策略】应用说明;要求FMT_LIM.1提及的安全功能的可用性能得到控制,例如ToE某个阶段的特殊安全功能在进人下一阶段后将被删除或禁止,因而在进人新的阶段后将无法使用 7.32安全功能行为的管理(FMr_MoF.1) FMT_MOF.1.1安全处理器安全功能应仅限于【管理员,赋值;其他已标识的授权角色】对功能【选择;解锁鉴别状态,初始化.,【赋值;其他功能列表】具有【选择;确定其行为,终止,激活,修改其行为】的能力应用说明;此安全功能中要求的管理员或其他已标识的授权角色对功能列表进行确定其行为、终止、,激活等操作的能力,因此ST编写者应细化已标识的授权角色和功能列表管理数据访问级别,该级别一旦确定,不能变更; a 在安全告警事件中要执行行为的管理 b 通过在规则集中增加,修改或删除规则,来维护违规分析规则 c d 改变密钥属性行为的管理,密钥属性包括密钥类型,比如公钥、私钥,密钥,有效期和用途,比如数字签名,密钥加密,密钥协议,数据加密; 在鉴别失败事件中要采取行为的管理 ee 在用户成功被鉴别之前所能采取行为的管理授权管理员如果能改变用户被识别之前所能采取的行为列表,应对授权管理员的此种行为进 g 行管理 h)对撤消规则的管理; 15
GB/T40653一202 对重放中所采取行为的管理安全处理器自检发生【选择;初始化启动,定期间隔,其他特定条件】时的条件的管理 sT中附加【赋值:安全功能列表】的管理 7.33安全属性的管理(Fr_NMSA.1 FMT_MSA.1.1安全处理器安全功能应执行安全处理器存储访问控制策略,赋值:其他处理器访问控制策略、信息流控制策略】以仅限于【管理员,赋值:已标识的其他授权角色】能够对安全属性【存储访问控制寄存器的值,赋值:其他安全属性列表】进行【选择:改变默认值,查询、修改、删除、【赋值:其他操作刀应用说明:此安全功能没有定义任何强制性的安全属性,但有些属性可由SFR包定义或由sT编写者定义 ST编写者应定义如何管理安全属性 7.34静态属性初始化(FM_MISA.3 FMT_MSA.3.1安全处理器安全功能应执行【安全处理器存储访问控制策略,赋值:其他访问控制策脖,信息流控制莱脖].以便为执行安全处理器安全功能策略的安全属性抛供【选择,从中选取一一个受限,许可的.【赋值其他特性刀默认值 FM_MsA.3.2安全处理器应允许【管理员,赋值;已标识的其他授权角色】在创建客体或信息时指定替换性的初始值以代替原来的默认值应用说明:此安全功能要求静态属性初始化以密文形式存储在安全存储器中,并允许管理员对其进行访问控制 7.35TSr数据的管理(FMT_MD.1) FMT_MTD.1.1安全处理器安全功能应仅限于【管理员,赋值;已标识的其他授权角色】能够对【安全处理器的标识数据,赋值:其他安全功能数据列表】进行【选择;改变默认值,查询、修改、删除.【赋值其他操作刀操作应用说明:sT编写者应根据具体应用情况细化对管理员角色及权限的描述,使得固件进人用户使用阶段后,即便相应的管理员也无法对固件的版本信息、激活时间等标识数据进行修改 7.36时限授权(FMr_SAE.1) FMT_SAE.1.1安全处理器安全功能应仅限于【管理员,赋值:已标识的其他授权角色】能够为【赋值;支持有效期的安全属性列表(如管理员证书、密钥等】指定有效期 FMT_SAE.1.2对每个这样的安全属性,在超过指定的安全属性的有效期后,安全处理器安全功能应能够红【赋值;对每个安全属性将要采取的动作列表(如锁定所有安全功能或擦除所有敏感信息并进入废止阶段). 应用说明:ST编写者应根据具体应用细化支持有效期的安全属性列表 7.37管理功能规范(Fr_SMr.1) FMT_SMF.1.1安全处理器安全功能应能够执行如下管理功能【初始化、检测、监控,生命周期功能控制等功能,赋值:其他处理器安全功能提供的安全管理功能列表】应用说明:sT编写者应根据具体应用细化安全管理功能列表 7.38承担角色(FMSMIR.3) FMT_SMR.3.1安全处理器安全功能应要求提供一个明确请求以承担下列角色【主控操作配置下 16
GB/T40653一2021 主副本操作或裁决操作,赋值:其他角色】应用说明ST编写者应根据具体应用情况完善对不同角色条件的描述 7.39影响不可观察性的信息的分配(FPR_UNo.2 FPR_UNO.2.1安全处理器安全功能应确保【赋值:用户和/主体列表】不能观察到由【赋值:受保护的用户和/或主体列表】对赋值:客体列表】进行的操作【赋值:操作列表】. FPR_UNO.2.2应在TOE的不同部分中分配【赋值:不可观察性相关信息】,使得下列条件在信息的生存期内成立:【赋值:条件列表】. 应用说明:ST编写者应确保一个用户可以使用一个资源或者服务,而其他人,特别是第三人,不能观察到该资源或者服务正被使用 7.40授权用户可观察性(FPR_UNo,4 rFPR.UNo.4.1安全处理器安全功能应给[眼值;授权用户集】抛供观察[献值，资源和/或服务别表】使用情况的能力应用说明,ST编写者应确保识别授权用户集 7.41失效即保持安全状态(FPT_FIS.1 FPT_FLs.1.1安全处理器安全功能在下列失效发生时应保持一种安全状态.【掉电、自检失败、随机数异常、工作环境检测异常、光异常,赋值:安全功能的其他失败类型列表】应用说明:sT编写者应根据具体异常情况对相应的安全状态进行处理描述,详见A.2.4 7.42ISr间可用性不超过既定可用性度量(FPr_IA.1) FPT_ITA.1.1在【可信认证,赋值;其他确保可用性的条件】条件下,安全处理器安全功能应确保提供给另一个可信IT产品的【有效证书,赋值;其他安全处理器数据类型列表】的可用性不会超过【证书有效期,赋值;其他一个既定可用性度量】. 应用说明;此安全功能要求ST编写者应给出并描述安全处理器既定可用性度量 7.43传送过程中ISr间的机密性(FPT_Irc.1) FPT_ITc.1.1安全处理器安全功能应保护所有从安全处理器安全功能传送到另一个可信IT产品的安全处理器安全功能数据在传送过程中不会被未授权泄漏应用说明;此安全功能要求安全处理器传送数据应采用国家批准的密码算法进行加密传输 7.44ISF间篡改的检测与纠正(FPIIL.2) FPT_ITI.2.1安全处理器安全功能应提供能力,以检测在下列度量下:【程序校验值、数据校验值赋值:一个其他既定的修改度量】安全处理器安全功能与另一个可信IT产品间所传送的所有安全处理器安全功能数据被修改 FPT_ITI.2.2安全处理器安全功能应提供能力,以验证安全处理器安全功能与另一个可信IT产品间所传送的所有安全处理器安全功能数据的完整性,以及如果检测到修改将执行【告警、丢弃,重发,赋值;采取的其他行动】 FPT_ITI.2.3安全处理器安全功能应提供能力,以纠正安全处理器安全功能与另一个可信IT产品间所传送的所有安全处理器安全功能数据的【数据属性如可用状态、机密状态),赋值:其他修改类型】. 应用说明ST编写者应根据检测度量,细化应采取的行动和修改类型 17
GB/T40653一2021 7.45内部ISF数据传送的基本保护(PTIr.1 FPT_ITT.1.1安全处理器安全功能应保护安全处理器安全功能数据在不同的存储器之间、安全处理器功能模块之间如固件与硬件实体间、固件内部模块间、功能执行体之间),传送时不被【选择;泄漏,篡改】应用说明;此安全功能要求安全处理器功能模块间传送数据以密文形式 7.46物理攻击抵抗(FPT_PHP.3 FPT_PHP.3.1安全处理器安全功能应通过自动响应以抵抗对安全处理器安全功能【固件功能模块、硬件实体逻辑部件,赋值:其他TSF设备/元件列表】的【克隆、物理操纵和故障攻击,如芯片逆向分析,赋值;其他各种物理侵害】,这样才能满足安全处理器安全功能要求应用说明:TSF将实现适当的机制,以持续对抗物理操作和物理探测由于这些攻击(特别是操纵)的性质.TSF无法检测到对其所有元素的攻击因此需要针对这些攻击提供永久性保护,如安全布局布线、硅胶封装等形式,以确保强制执行安全功能要求因此,“自动响应”在这里是指(1)假设在任何时候可能有攻击,(2)在任何时候提供反措施如检测与处理 7.47功能恢复(FPT_RCV.4 FPT_RCV.4.1安全处理器应确保【掉电、自检失败、监控异常、随机数生成失败,赋值;其他功能和失效情景列表(如存储器访问错误)】时有如下特性,即功能或者成功完成,或者针对指明的失效情景恢复到一个前后一致的且安全的状态应用说明:sT编写者应根据此功能要求完善功能自恢复设计 7.48重放检测(FPT_RPL.1) FPT_RPL.1.1安全处理器安全功能应检测对以下实体的重放【鉴别数据、传输数据,赋值;其他实体列表】. FPT_RPL.1.2检测到重放时,安全处理器安全功能应执行【选择;恢复至未鉴别状态,锁定安全功能、【赋值:其他具体操作列表刀应用说明:ST编写者应根据具体应用细化实体列表和操作列表 7.49相互可信回执(FPT_sSP.2 FPTSsP.2.1当安全处理器安全功能的另一部分发出请求时,安全处理器安全功能应承认接收到个未经修改的安全处理器安全功能数据传送 FPT_sSSP.2.2安全处理器安全功能应通过使用回执,确保安全处理器安全功能的有关部分知道在不同部分间所传送数据处于正确状态应用说明此安全功能要求安全处理器具备相互认证功能,完成传送数据的信息确认 7.50可靠的时间戳(FPT_SIM.1) FPT_STM.1.1安全处理器安全功能应有能力提供可靠的时间戳应用说明,不论可靠时间戳在ToE内部产生还是在外部产生,这一PP认为均满足FPT_sTM.1 如果可靠时间戳在ToE外部产生,ST编写者应考虑包括附加的sFRs.以确保其可靠性(例如,源时间戳的鉴别时间戳交付的完整性保护,时间戳服务的检查) 如果一个产品可以使用内部或外部的时间截源,那么ST编写者就按不同的操作模式来表达它们,致使每个都可予以评估 18
GB/T40653一2021 7.51TsF检测(FPT_IST.1) FPT_TST.1.1安全处理器安全功能应在【选择:初始化启动期间,正常工作期间周期性地、授权用户要求时,在【赋值:产生自检的条件】条件时运行一套自检程序以证实【选择:【赋值;安全处理器安全功能的组成部分】,安全处理器安全功能】能正确运行 FPT_TsT.1.2安全处理器安全功能应为授权用户提供验证【选择【赋值;安全处理器安全功能的组成部分、安全处理器安全功能数据】完整性的能力 FPT_TST.1.3安全处理器安全功能应为授权用户提供验证所存储的安全处理器安全功能可执行代码完整性的能力应用说明安全处理器应具有对重要的安全功能及数据进行自测的能力,以排除功能失常和数据被有意或无意篡改的情况发生 ST编写者应根据具体应用情况细化此功能要求 7.52受限容错(FRU_FLI.2) FRU_FLT.2.1安全处理器安全功能应确保当以下失效.【未被失效即保持安全状态(FPr_FLs.1 检测到的电压、时钟频率、温度、光异常,赋值:其他失效类型列表】发生时,所有安全处理器能力均能正常发挥应用说明;此安全功能要求安全处理器应具备重组配置和冗余配置功能,ST编写者应根据具体细化失效类型列表,如A.2.4异常态描述 7.53最高配额(FRU_RSA.1 FRU_RSA.1.1安全处理器安全功能应对以下资源【资源配置表,赋值:其他受控资源】分配最高配额,以便【选择;单个用户,预定义用户组,主体】能【选择;同时,在规定的时间间隔内】使用应用说明:ST编写者应根据应用需求针对资源配置表进行配置以达到使用目的 7.54TSF原发会话终止(FTA_SsL3) FTA_SSL3.1TSF应在达到赋值:用户不活动的时间间隔】之后终止一个交互式会话应用说明.FTAssL.3是实现o.DaaAcec_Comrdl一个基本sFR 7.55IoE会话建立(FTA_ISE.1) 安全处理器安全功能应能基于【赋值;属性】拒绝会话的建立应用说明ST编写者应对属性说明,如访问位置或接口、用户安全属性如用户身份、许可级别、完整性级别、一个角色中的成员),时间范围等 7.56ISF间可信信道(FIP_Irc.1 FTP_ITC.1.1安全处理器安全功能应在它自己和另一个可信IT产品之间提供一条通信信道,此信道上逻辑上与其他通信信道截然不同,并对其端点进行了有保障的标识,且能保护信道中数据免遭修改或泄漏 FTP_ITc.1.2安全处理器安全功能应允许【选择;安全处理器安全功能,另一个可信1r产品】经由可信信道发起通信 FTP_ITC.1.3对于【安全功能数据、用户数据、敏感数据、设计信息,赋值;其他需要可信信道的功能列表】,安全处理器安全功能应经由可信信道发起通信应用说明:ST编写者应根据具体应用细化需要可信信道的功能列表 19
GB/T40653一2021 7.57可信路径(FIP_TRP.1 F:TP_TRP1.1安全处理器安全功能应在它自己和【选择;远程,本地】用户之间提供一条通信路径此路径在逻辑上与其他通信路径截然不同,并对其端点进行了有保障的标识,并能保护通信数据免遭【选择;修改,泄漏、【赋值:其他类型的完整性或机密性违背刀. FTP_TRP.1.2安全处理器应允许【选择:安全处理器安全功能,本地用户,远程用户】经由可信路径发起通信 FTP_TRP.1.3对于【选择:启动用户鉴别.【赋值:其他需要可信路径的服务刀,安全处理器安全功能应要求使用可信路径应用说明:此安全功能要求安全处理器间通信应首先确定发起者,然后建立可信的通信路径,确保数据保密性、完整性、可用性 8 安全保障要求 8.1通则表4列出了安全处理器安全保障组件,组件的依赖关系应符合附录c,下述各条对各组件给出了详细描述表4安全保障组件备注安全保障类安全保障组件编号 EAL.5 EAL6 EAL7 ADV_ARC.1安全架构描述 ADv_FSP.5附加错误信息的完备的半形式化功能 N/A 规范 ADv_FsP.6附加形式化描述的完备的半形式化功 N/A N/A 能规范 N/A N/A ADv_IMP.1sF实现表示 ADV_IMP,2TSF实现表示完全映射 N/A ADV类;开发 ADV_INT.2内部结构合理 N/AN N/A ADV_INT.3内部复杂度最小化 N/A ADV_SPM.1形式化TOE安全策略模型 N/A N/A ADv_TDs.4半形式化模块设计 N/AN N A 1o N/A N/A Av_TTS.5完全半形式化模块设计 ADV_TDS.6带形式化高层设计表示的完全半形式 N/A N/A 化模块设计 AGD_OPE.1操作用户指南 12 AGD类;指导性文档 AGD_PRE.1准备程序 13 20
GB/T40653一2021 表4安全保障组件(续备注安全保障类安全保障组件编号 EAL5 EAL6 EAI7 N/A N/A" ALc_cMC.4生产支持和接受程序及其自动化 15 N/A ALc_cMc.5高级支持 AlC_CMS.5开发工具CM覆盖 16 AlC_DEL.1交付程序 17 ALC_DVS.1安全措施标识 N/A N/A ALC类;生命周期支持 19 AIC_DVS.2充分的安全措施 N/A ALcC_LcD1开发者定义的生命周期模型 20 21 NA N/A AL.C_L.cD2可测量的生命周期模型 22 N/A N/A ALc_TAT.2遵从实现标准 ALC_TAT.3遵从实现标准所有部分 23 N/A 224 ASE_CCL1符合性声明 ASE_ECD.l扩展组件定义 25 ASE_INT.1引言 26 21 AsE类;安全目标评估 ASE_oB.2安全目的 ASEREQ2推导出的安全爱求 28 29 AsE_sPD.1安全问题定义 ASE_TsS,.1TOE概要规范 30 ATE_cOV.2覆盖分析 31 N/A N/A ATECOV.3严格覆盖分析 32 N/A ATE_DPT.3测试:模块设计 33 N/A ATE_DPT.4测试;实现表示 34 N/A N/A ATE类:测试 35 ATE_FUN.l功能测试 N/AN NA 36 N/A ATE_FUN.2顺序的功能测试抽样 37 N/A ATE_IND,2独立测试 ATE_IND.,3独立测试完全 38 N/A N/A AVA_VAN.4系统的脆弱性分析 39 N/A N/A AVA类;脆弱性评定 AVA_VAN.5高级的系统的脆弱性分析 N/A “/”代表在该保障级下,应选择该组件 “N/A”代表在该保障级下,该组件不适用 8.2安全架构描述(AD_ARc.1 开发者行为元素: ADV_ARC.1.1D开发者应设计并实现TOE,确保TSF的安全特性不可旁路 -ADV_ARC.1.2D开发者应设计并实现TSF,以防止不可信主体的破坏 21
GB/T40653一202 -ADV_ARC.1.3D开发者应提供TSF安全架构的描述内容和形式元素: ADV_ARC.1.1C安全架构的描述应与在TOE设计文档中对SFR执行的抽象描述的级别一致; ADV_ARC.1.2C安全架构的描述应描述与安全功能要求一致的TSF安全域 ADV_ARC.1.3C安全架构的描述应描述TSF初始化过程为何是安全的 ADV_ARC.1.4C安全架构的描述应证实TSF可防止被破坏 ADV_ARC.1.5C安全架构的描述应证实TSF可防止SFR-执行的功能被旁路评估者行为因素: ADV-_ARC.1.1E评估者应确认提供的信息符合证据的内容和形式要求 8.3附加错误信息的完备的半形式化功能规范(ADV_FSP.5 开发者行为元素: ADV_FSP.5.ID开发者应提供一个功能规范; AV_FSP,5.2D开发者应提供功能规范到安全功能要求的追溯内容和形式元素 ADV_FSP.5.1c功能规范应完全描述TSF; ADv_FSP.5.2c功能规范应使用半形式化方式描述TSF 功能规范应描述所有的TsF的目的和使用方法; ADV_FSP.5.3C ADv_FsP.,5.4C功能规范应识别和描述每个TsFI相关的所有参数; 功能规范应描述每个TSFI相关的所有行为; ADV_FSP.5.5C -ADv_FSP.5.6C 功能规范应描述可能由每个TsFI的调用引起的所有直接错误信息 ADV_FSP.5.7c功能规范应描述不是由TSF调用而引起的所有错误信息 -ADv_FSP.5.8c功能规范应为每个包含在TSF实现中但不是由TsFI调用而引起的错误消息提供基本原理， ADv_FSP.5.9c功能规范应证实安全功能要求到TSFI的追溯评估者行为元素: ADV_FSP.5.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 -ADv_FsP.5.2E评估者应确定功能规范是安全功能要求的一个准确且完备的实例化 8.4附加形式化描述的完备的半形式化功能规范(ADv_FSP.6 开发者行为元素: ADV_FSP.6.1开发者应提供一个功能规范; ADV_FSP.6.2D开发者应提供TSF功能规范的形式化描述 ADV_FSP.6.3D开发者应提供功能规范到安全功能要求的追溯内容和形式元素: -ADV_FSP.6.1C功能规范应完全描述TSF ADV_FSP.6.2C功能规范应使用形式化方式描述TSFI ADV_FSP.6.3C功能规范应描述所有的TSFI的目的和使用方法; ADV_FSP.6.4C功能规范应识别和描述每个TsFI相关的所有参数 -ADV_FSP.6.5C功能规范应描述每个TSFI相关的所有行为 -ADV_FsP.6.6C功能规范应描述可能由每个TSFI的调用引起的所有直接错误信息 ADV_FsP.6.7C功能规范应描述包含在TSF实现表示中的所有错误信息; 22
GB/T40653一2021 -ADV_FSP.6.8C功能规范应为每个包含在TSF实现中但不是由TSFI调用而引起的错误消息提供基本原理,以论证这些错误信息为何与TSFI无关; -ADV_FSP.6.9CTSF功能规范的形式化描述应使用形式化方式来描述TSF,并且TSFI通过适当的非形式化解释性文字来支持 ADV_FSP.6.1oC功能规范应证实安全功能要求到TSFI的追溯评估者行为元素: ADV_FSP.6.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 ADV_FSP.6.2E评估者应确定功能规范是安全功能要求的一个准确且完备的实例化 8.5IS实现表示(AV_IMP.1 开发者行为元素: -ADV_IMP.1.lD开发者应为全部TSF提供实现表示; -ADv_IMP.1.2D开发者应提供ToE设计描述与实现表示实例之间的映射内容和形式元素: -ADv_IMP.l.Ic实现表示应按详细级别定义TsF,且详细程度达到无须进一步设计就能生成TSF的程度; -ADv_IMP.1.2c实现表示应以开发人员使用的形式提供; -ADv_IMP.1.3cToE设计描述与实现表示示例之间的映射应能证实它们的一致性评估者行为元素 ADv_IMP.1.1E对于选取的实现表示示例,评估者应确认提供的信息满足证据的内容和形式的所有要求 8.6IS实现表示完全映射(ADv_IMP.2) 开发者行为元素 -ADv_IMP.2.1D开发者应为全部TSF提供实现表示; ADV_IMP.2.2D开发者应提供TOE设计描述与全部实现表示之间的映射内容和形式元素 ADv_IMP.2.1c实现表示应按纤细级别定义TSF,且详绷程度达到无须进一步设计就能生成TSF的程度; -ADV_IMP.2.2C实现表示应以开发人员使用的形式提供 -ADv_IMP.2.3CToE设计描述与全部实现表示之间的映射应证实它们的一致性评估者行为元素: ADV_IMP.2.1E评估者应确认提供的信息满足证据的内容和形式的所有要求 8.7内部结构合理(ADv_INT.2) 开发者行为元素 -ADV_INT.2.1D开发者应设计和实现整个TSF,使内部结构合理; -ADV_INT.2.2D开发者应提供内部描述和论证过程内容和形式元素: -ADV_INT.2.1C论证过程应解释描述用于判定“结构合理”的含义的特性; -ADV_INT.2.2CTSF内部描述应证实指定的整个TSF结构合理评估者行为元素 ADV_INT.2.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 23
GB/T40653一2021 -ADV_INT.2.2E评估者应执行指定的TSF子集内部分析 8.8内部复杂度最小化AV_INr.3) 开发者行为元素: ADV_INT.3.1D开发者应设计和实现整个TSF,使内部结构合理 -ADV_INT.3.2D开发者应提供内部描述和论证过程内容和形式元素: ADV_INT.3.1C论证过程应解释描述用于判定“结构合理”及复杂性的含义的特性; ADV_INT.3.2CTSF内部描述应证实指定的整个TSF结构合理且不过于复杂评估者行为元素 ADV_INT.3.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求; ADV_INT.3.2E评估者应执行整个TSF的内部分析 8.9形式化TOE安全策略模型(ADV_SP\M.1 开发者行为元素: ADv_SPM.1.1D开发者应提供一个形式化的安全策略模型【赋值:被形式化模型化的策略列表】 ADv_sPM.1.2D对于形式化的安全策略模型覆盖的每个策略,该模型应标识构成这一策略的安全功能要求声明的有关部分 -ADv_sPM.1.3D开发者应提供该模型与形式化功能规范的对应性的形式化声明; ADv_SPM.1.4D开发者应提供该模型与功能规范的对应性的论证内容和形式元素 ADv_SPM.1.1c该模型是形式化的,必要时辅以解释性的文字,并且标识模型化的TSF安全策略; ADv_SPM.1.2C对于所有被模型化的策略,模型定义该TOE的安全,提供该TOE不能达到非安全状态的形式化证明 -ADv_SPM.1.3C该模型与功能规范的一致性应采用正确的形式化级别进行论述; ADV_SPM.1.4c该对应性表明功能规范相对该模型是一致的和完备的 ADV_SPM.1.5C该对应性论证应表明功能规范中描述的接口相对于ADV_SPM.1.1D中赋值的策略是一致的和完备的评估者行为元素 ADV_SPM.1.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 8.10半形式化模块设计(Ay_TDs.4) 开发者行为元素 -ADV_TDs.4.1D开发者应提供TOE的设计; ADV_TDS.4.2D开发者应提供从功能规范的TSFI到TOE设计中获取到的最低层分解的映射内容和形式元素: ADV_TDS.4.1C设计应根据子系统描述TOE的结构; -ADV_TDS.4.2C设计应根据模块描述TSF,以SFR执行,SFR-支撑或SFR-无关标出每一个模块; -ADV_TDS.4.3C设计应标识TSF的所有子系统; 24
GB/T40653一2021 -ADV_TDs.4.4C设计应提供每一个TSF子系统的半形式化描述,适当时配以非形式化的解释性的描述; -ADV_TDS.4.5C设计应描述TSF所有子系统间的相互作用 -ADV_TDs.4.6C设计应提供TSF子系统到TsF模块间的映射关系; -ADV_TDs.4.7C设计应描述每一个SFR执行和SFR-支撑模块,包括它的目的及与其他模块间的相互作用 ADV_TDS,4.8C设计应描述每一个SFR执行和sFR-支撑模块,包括它的安全功能要求相关接口其他接口的返回值、与其他模块间的相互作用及调用的接口; -ADV_TDS.4.9C设计应描述每一个SFR支撑和SFR无关模块,包括它的目的及与其他模块间的相互作用; -ADV_TDS.4.10C映射关系应证实TOE设计中描述的所有行为能够映射到调用它的TSFI 评估者行为元素: ADV_TDS,4.1E评估者应确认提供的信息满足证据的内容和形式的所有要求 ADV_TDS,4.2E评估者应确定设计是所有安全功能要求的正确且完全的实例 8.11完全半形式化模块设计AV_TDS.5 开发者行为元素 ADv_TDs,5.1D开发者应提供ToE的设计; ADv_TDS.5.2D开发者应提供从功能规范的TsF到TOE设计中获取到的最低层分解的映射内容和形式元素 ADv_TDs.5,1c设计应根据子系统描述ToE的结构 ADv_TDs.5.2c设计应从模块的角度描述TsF,把每个模块指定为sFR执行,SFR-支撑或 SFR-无关; ADv_TDs.5.3c设计应标识TSF的所有子系统; -ADv_TDs.5.4C设计应提供每一个TSF子系统的半形式化描述,适当时配以非形式化的、解释性的描述; ADV_TDs.5.5C设计应描述TSF所有子系统间的相互作用 -ADv_TDs.5.6C设计应提供TSF子系统到TSF模块间的映射关系; -ADV_TDs.5.,7C设计应为每一个模块提供一个半形式化描述,包括它的目的,相互作用、接口,其他接口的返回值,被其他模块调用的接口,适当时配以非形式化的、解释性的描述 -ADV_TDs.5.8C映射关系应证明TOE设计中描述的所有行为能够映射到调用它的TSFI 评估者行为元素: -ADV_TDs,5.1E评估者应确认提供的信息满足证据的内容和形式的所有要求; ADV_TDS.5.2E评估者应确认设计是所有安全功能要求的正确且完备的实例 8.12带形式化高层设计表示的完全半形式化模块设计(A_TDs.6 开发者行为元素 -ADV_TDs.6.1D开发者应提供TOE的设计; -ADV_TDs.6.2D开发者应提供一个从功能规范的TsFI到TOE设计所描述的最低层分解的映射; -ADV_TDs.6.3D开发者应提供TSF子系统的形式化说明 -ADV_TDs.6.4D开发者应提供TSF子系统和功能规范的形式化说明间的一致性论证 25
GB/T40653一202 内容和形式元素 ADV_TDS,6.1C设计应根据子系统描述TOE的结构 ADV_TDS.6.2C设计应从模块的角度描述TSF,把每个模块指定为SFR-执行,SFR-支撑或 SFR-无关; ADV_TDS.6.3C设计应标识TSF的所有子系统; ADV_TDS.6.4C设计应提供每一个TSF子系统的半形式化描述,适当时配以非形式化的、解释性的描述 ADV_TDS.6.5C设计应描述TSF所有子系统间的相互作用 ADV_TDS.6.6C 设计应提供TSF子系统到TSF模块间的映射关系; ADV_TDS.6.7C设计应以半形式化方式描述每一个模块,包括它的目的,相互作用,接口、其他接口的返回值,被其他模块调用的接口,适当时用非形式化的、解释性的文字进行支撑; ADV_TDS.6.8CTSF子系统的形式化说明应以形式化方式描述TSF,适当时配以非形式化的、解释性的描述; 映射关系应证实ToE设计中描述的所有行为能够映射到调用它的TsFI ADV_TDS.6.9C ADv_TDs.6.10cTsF子系统和功能规范的形式化说明间的一致性证明应证实ToE设计中描述的所有行为都是调用它的TsF的正确且完备的精炼评估者行为元素 -ADv_TDs.6.IE评估者应确认提供的信息满足证据的内容与形式的所有要求 ADv_TDS.6.2E评估者应确认设计是所有安全功能要求的正确且完备的实例 8.13操作用户指南(AGD_oPE.1) 开发者行为描述 AGD_OPE.1.lD开发者应提供操作用户指南内容和形式元素 AGD_OPE.1.1c操作用户指南应对每一种用户角色进行描述,在安全处理环境中应被控制的用户可访问的功能和特权,包含适当的警示信息 -AGD_OPE.1.2C操作用户指南应对每一种用户角色进行描述,怎样以安全的方式使用TOE 提供的可用接口; -AGD_OPE.1.3C操作用户指南应对每一种用户角色进行描述,可用功能和接口,尤其是受用户控制的所有安全参数,适当时应指明安全值; -AGD_OPE.1.4C操作用户指南应对每一种用户角色明确说明,与需要执行的用户可访问功能有关的每一种安全相关事件,包括改变TSF所控制实体的安全特性 AGD_OPE.1.5C操作用户指南应描述TOE运行的所有可能状态(包括操作导致的失败或者操作性错误),它们与维持安全运行之间的因果关系和联系; AGD_OPE.1.6C操作用户指南应对每一种用户角色进行描述,为了充分实现ST中描述运行环境安全目的所必须执行的安全策略; AGD_OPE.1.7C操作用户指南应是明确和合理的评估者行为元素 AGD_OPE.1.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 8.14准备程序(AGD_PRE.1 开发者行为元素 AGD_PRE.1.1D开发者应提供TOE,包括它的准备程序 26
GB/T40653一2021 内容和形式元素 -AGD_PRE.1.1C准备程序应描述与开发者交付程序相一致的安全接收所交付TOE必需的所有步骤; -AGD_PRE.1.2C准备程序应描述安全安装TOE以及安全准备与ST中描述的运行环境安全目的一致的运行环境必需的所有步骤评估者行为元素: AGD_PRE.1.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 -AGD_PRE.1.2E评估者应运用准备程序确认TOE运行能被安全的准备 8.15生产支持和接受程序及其自动化(ALC_CMC.4 开发者行为元素: ALC_CMC.4.lD开发者应提供TOE及其参照号; -ALC_CMC.4.2D开发者应提供CM文档; ALC_CMC.4.3D开发者应使用CM系统内容和形式元素 AI.c_CNMC.4.Ic应给ToE标记唯一参照号 ALc_cMC.4.2CcM文档应描述用于唯一标识配置项的方法， ALc_CMC.4.3ccM系统应唯一标识所有配置项; CMC.4.4CCM系统应提供自动化的措施使得只能对配置项进行授权变更; ALc_cMC.4.5ccM系统应以自动化的方式支持ToE的生产; ALcCMC.4.6cCM文档应包括CM计划 ALc_cMC.4.7ccM计划应描述CM系统是如何应用于ToE的开发的 ALc_CMC.4.8CCM计划应描述用来接受修改过的或新创建的作为TOE组成部分的配置项的程序; ALc_CMC.4.9C证据应证实所有配置项都正在M系统下进行维护 ALC_CMC.4.10c证据应证实CM系统的运行与CM计划是一致的评估者行为元素 ALC_CMC.4.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 8.16高级支持(ALc_CMC.5 开发者行为元素 -AIc_CMC.5.1D开发者应提供TOE及其参照号， ALc_CMC.5.2D开发者应提供CM文档 -ALC_CMC.5.3D开发者应使用CM系统内容和形式元素: -ALC_CMC.5.1C应给TOE标识唯一参照号; -ALC_CMC.5.2CCM文档应描述用于唯一标识配置项的方法; -ALC_CMC.5.3CCM文档应论证接受程序对所有配置项的变更都提供了充分且适当的复查; ALC_CMC.5.4CCM系统应唯一标识所有配置项; -ALC_CMC.5.5CCM系统应提供自动化的措施使得只能对配置项进行授权改变; ALC_CMC.5.6CCM系统应以自动化的方式支持TOE的生产; ALC_CMC.5.7CCM系统应确保负责将某个配置项接受到CM中的人不是开发此配置项心

信息安全技术安全处理器技术要求GB/T40653-2021

随着互联网和物联网的快速发展，信息安全问题越来越引起人们的关注。因此，安全处理器技术应运而生。GB/T40653-2021是我国针对安全处理器技术制定的标准，它旨在规范安全处理器的设计、实现、测试等方面的技术要求。

什么是安全处理器？

安全处理器是一种能够保护计算机或者其他智能设备的安全芯片。它可以通过硬件加密、安全启动、防篡改等技术手段提高设备的安全性能，防止黑客攻击和数据泄露。安全处理器广泛应用于金融、电信、政务等领域，是保障国家信息安全的重要组成部分。

安全处理器技术要求GB/T40653-2021的主要内容

GB/T40653-2021标准是我国安全处理器技术的指导性文件，它主要包括以下方面的内容：

安全处理器的基本概念和分类；
安全处理器的设计和实现要求；
安全处理器的测试和评价要求；
安全处理器的应用场景和推荐使用方法。

安全处理器技术要求GB/T40653-2021的意义

GB/T40653-2021标准的制定，对于我国加强信息安全保护、提高网络安全水平具有重大意义。该标准规范了安全处理器的设计、实现、测试等方面的技术要求，提高了安全处理器的安全性能和可靠性，防止了黑客攻击和数据泄露，保障了国家信息安全。

结语

安全处理器技术是信息安全领域的重要组成部分，其在金融、电信、政务等领域起到了至关重要的作用。GB/T40653-2021标准的制定，为安全处理器的设计、实现、测试等提供了指导性文件，对于提高设备的安全性能、保障国家信息安全具有重要意义。