软件开发技术概论.docVIP

同心思远守正敏行 密码模块安全检测要求 崔永娜国家密码管理局商用密码检测中心日17月1年2019． 目录 一、标准介绍二、标准结构三、安全等级要求四、安全检测要求． 标准介绍 1、GM/T0039—2015，是中华人民共和国密码行业标准，2015年4月1日发布和实施。 2、依据GM/T0028-2014《密码模块安全技术要求》，规定了密码模块的一系列检测规程、检测方法和对应的送检文档要求。 3、参考ISO/IEC24759:2014《信息技术-安全技术-密码模块检测要求》编制，与ISO/IEC24759:2014的一致性程度为非等效。． 标准结构 密码模块规格 范围密码模块接口 角色、服务和鉴别规范性引用文件软件/固件安全 术语和定义运行环境11个安全域物理安全 缩略语非入侵式安全敏感安全参数管理 文档结构自测试生命周期保障第六章：对其它攻击的缓解文档要求检测要求密码模块安全策略核准的安全功能6个附录核准的敏感安全参数生成和建立方法 附录：安全等级对应表核准的鉴别机制非入侵式攻击及常用的缓解方法． 标准结构 AY: 安全要求四个安全级别： AY02.033，4）2（安全级别1，， 密码模块应当定义为下列一种模块类型： ——硬件模块 ——软件模块 固件模块—— 混合软件模块——GM/T 0028-2014 中的相应安全要求 ——混合固件模块 所需的送检文档CY:文档要求 CY02.03.01：送检单位的文档中应描述密码模块类型，并解释选择这一类型的依据。 CY02.03.02：送检单位应提供密码模块的规格，以标识所有密码模块的的硬件、软件和/或固件部件。 所需的检测规程 检测要求JY:JY02.03.01：检测人员应核实送检单位的文档中标识了AY02.03中定义的一种模块类型。 JY02.03.02：检测人员应通过审查送检单位提供的规格文档，并识别所有硬件、软件和/或固 中定义的密码模块类型一致。AY02.03件部件，核实该密码模块与 安全等级要求— 安全一级 ?安全一级提供了最低等级的安全要求。?安全一级阐明了密码模块的基本安全要求，例如，模块应当使用至少一个核准的安全功能或核准的敏感安全参数建立方法。?软件或固件模块可以运行在不可修改的、受限的、或可修改的运行环境中。?安全一级硬件密码模块除了需要达到产品级部件的基本要求之外，没有其它特殊的物理安全机制要求。?模块实现的针对非入侵式攻击或其它攻击的缓解方法需要有文档记录。?安全一级密码模块的例子有：个人计算机（PC）中的硬件加密板卡、运行在手持设备或通用计算机上的密码工具包。?当模块外部的应用系统已经配置了物理安全、网络安全以及管理过程等控制措施时，安全一级的模块就非常适用。如外部已经提供了全面的安全保护，使用一级模块就非常的经济。这使得密码模块的使用者可以选择多种密码解决方案来满足安全需求。． 安全等级要求— 安全二级 ?安全二级在安全一级的基础上增加了拆卸证据机制或者防盗锁机制，以提高物理安全性。拆卸证据机制包括使用拆卸存迹的涂层或封条。防盗锁机制是指在密码模块的封盖或门上加防盗锁。?拆卸存迹的封条或防盗锁应安装在封盖或门上，以防止非授权的物理访问。当物理访问模块内的安全参数时，模块上拆卸存迹的涂层或封条就必须破碎。?安全二级要求基于角色的鉴别。密码模块需要鉴别并验证操作员的角色，以确定其是否有权执行对应的服务。?安全二级的软件密码模块可以运行在可修改的环境中，该环境应实现基于角色的访问控制，该环境也可以实现自主访问控制，但是应当至少能够定义新的分组，通过访问控制列表(ACL)分配权限，以及将一个用户分配给多个分组。访问控制措施应防止非授权地执行、修改以及读取实现密码功能的软件。． 安全等级要求— 安全三级（1） ?除了安全二级中要求的拆卸存迹物理安全机制外，安全三级还要求更强的物理安全机制，以防止对密码模块内SSP的非授权访问。这些物理安全机制应该能够以很高的概率对以下行为进行检测及响应，这些行为包括：直接物理访问、密码模块的使用或修改、以及通过通风孔或缝隙对模块的探测。上述物理安全机制可能包括坚固的外壳、拆卸检测装置以及置零响应电路。当密码模块的封盖/门被打开时，置零响应电路应当将所有的CSP置零。?安全三级要求基于身份的鉴别机制，以提高安全二级中基于角色的鉴别机制的安全性。密码模块需要鉴别操作员的身份，并验证经鉴别的操作员是否被授权担任特定的角色以及是否能够执行相应的服务。?安全三级要求手动建立的明文CSP是经过加密的，使用可信通道或使用知识拆分来输入或输出。． 安全等级要求— 安全三级（2） ?安全三级的密码模块应有效防止环境因素或电压、温度超出模块正常运行