密码模块文档要求、密码模块安全策略、核准的安全功能、非入侵式攻击及常用的缓解方法.pdfVIP

GB/TXXXXX—XXXX

附录A

（规范性）

文档要求

A.1用途

本附录规定了密码模块的最低文档要求，密码模块应[A.01]满足下列文档要求。

A.2条款

A.2.1通用要求

未对通用要求提出文档规定。

A.2.2密码模块规格

密码模块规格的文档要求包括。

——密码模块类型的说明（硬件、软件、固件、混合软件和混合固件密码模块）。（安全一级、二

级、三级和四级）

——密码边界的说明。（安全一级、二级、三级和四级）

——密码模块的硬件、软件和固件部件的说明，以及密码模块物理构造的描述。（安全一级、二级、

三级和四级）

——密码模块中不受本文件第7章安全要求约束的任何硬件、软件或固件的说明，并解释它们不

受本文件安全要求约束的原因。（安全一级、二级、三级和四级）

——密码模块的物理端口和逻辑接口的说明。（安全一级、二级、三级和四级）

——密码模块手动控制器件或逻辑控制位，物理或逻辑的状态指示器，以及对应的物理、逻辑与电

气特性的说明。（安全一级、二级、三级和四级）

——密码模块采用的所有核准的和非核准的安全功能列表，以及所有核准的和非核准的工作模式的

说明。（安全一级、二级、三级和四级）

——描述所有主要硬件部件及部件互联的框图，包括所有微处理器、输入输出缓冲区、明文/密文

缓冲区、控制缓冲区、密钥存储区、工作存储器以及程序存储器。（安全一级、二级、三级

和四级）

——密码模块硬件和软件设计的说明。（安全一级、二级、三级和四级）

——所有安全相关信息的说明，包括密钥和私钥（未加密的和经加密的）、鉴别数据（例如，口令、

PIN）、鉴别验证数据、其他关键安全参数和泄露或修改后会危及密码模块安全的其他受保护

信息（例如，审计事件、审计数据）。（安全一级、二级、三级和四级）

——密码模块安全策略说明，包括来源于本文件第7章安全要求的规则和来源于厂商强制的任何附

加要求的规则。（安全一级、二级、三级和四级）

A.2.3密码模块接口

密码模块接口的文档要求包括。

——数据输入、数据输出、控制输入、控制输出、状态输出、维护接口和电源接口的说明，接口包

44

GB/TXXXXX—XXXX

括物理的和逻辑的。（安全一级、二级、三级和四级）

——可信路径接口的说明。（安全三级和四级）

——内部加密链路的说明，以及所使用的核准安全功能。（安全二级、三级和四级）

——在错误状态下，如果不禁用控制输出接口，说明例外情况和理由。（安全一级、二级、三级和

四级）

A.2.4角色、鉴别和服务

角色、鉴别和服务的文档要求。

——密码模块支持的所有授权角色的说明。（安全一级、二级、三级和四级）

——密码模块提供的核准与非核准的服务、操作或功能的说明。每一个服务的服务输入、相应的服

务输出以及经授权能执行该服务的角色的说明。（安全一级、二级、三级和四级）

——密码模块提供的、不要求操作员担任授权角色即可执行的任何服务的说明，以及阐述这些服务

为何不会对密钥和其他关键安全参数进行修改、泄露或替换，或者阐述它们为何不会对密码

模块的安全性产生影响。（安全一级、二级、三级和四级）

——密码模块支持的鉴别机制，实现支持的鉴别机制所需的鉴别数据类型，用于控制第一次访问密

码模块以及初始化鉴别机制的授权方法，以及密码模块支持的鉴别机制的强度等说明，包括

支持使用多种鉴别机制的基本原理。（安全一级、二级、三级和四级）

——密码模块服务的说明，包括显示密码模块版本信息、显示状态、执行自测试、执行核准的安全

功能、以及执行置零。（安全一级、二级、三级和四级）

——密码旁路机制的说明。（安全一级、二级、三级和四级）

——软件或固件加载机制的说明。（安全一级