密码模块分级检测Word文档格式.docx
《密码模块分级检测Word文档格式.docx》由会员分享,可在线阅读,更多相关《密码模块分级检测Word文档格式.docx(59页珍藏版)》请在冰点文库上搜索。
(1-4)
1.密码模块规格
2.密码模块接口
3.角色、服务和鉴别
4.软件/固件安全
5.运行环境
6.物理安全
7.非入侵式安全
8.敏感安全参数管理
9.自测试
10.生命周期保障
11.其他攻击的缓解
整体安全等级
2密码模块规格
2.1密码模块类型描述
CY02.03:
材料应描述密码模块类型,并解释选择这一类型的依据;
材料应提供密码模块的规格,以标识所有密码模块的硬件、软件和/固件部件。
>
(安全级别1,2,3,4)
密码模块类型包括硬件模块、软件模块、固件模块、混合软件模块和混合固件模块,应根据送检产品的特征定义该模块类型,并写出判断依据,以及说明送检产品的软硬件组成部分。
例:
智能密码钥匙是由硬件实体以及在硬件实体上运行的嵌入式软件组合的集合,该集合使用SM2、SM3和SM4等算法,完成存储个人证书和私钥并进行密码运算等功能。
依据《GM/T0028-2014密码模块安全技术要求》对密码模块类型的划分,该智能密码钥匙可归类为硬件模块。
硬件实体由主控芯片(如安全芯片)、外围元器件、电路印刷板、USB接口、显示屏、按键和外壳组成。
嵌入式软件在主控芯片内部存储和执行,完成维护应用内部逻辑、读取证书或密钥和调用底层硬件模块的功能,最终实现保护用户身份认证和交易安全的目的。
2.2密码边界
CY02.07:
材料应明确界定密码模块的密码边界,详细说明密码边界内的所有软硬件部件>
密码边界由定义明确的边线(例如,硬件、软件或固件部分的集合)组成,该边线建立了密码模块所有部件的边界,该边界至少包含密码模块内所有安全相关的算法、安全功能、过程和部件。
芯片:
说明相关功能,实现算法;
电气元件:
用于辅助主控芯片实现其接口功能所必备的电气元件,如LDO、发光二极管、电池、电阻、电感和电容等。
电路板:
搭载主控芯片和其他有效电气元件的印刷电路板。
等等
CY02.09:
材料应提供密码边界内所有与安全相关的算法、安全功能、过程和部件清单,安全功能包括但不限于:
分组密码、流密码、非对称密码算法和技术、消息鉴别码、杂凑函数、实体鉴别、密钥管理、随机比特生成器>
CY02.10:
材料中应列出用于核准的工作模式的非安全相关的算法、安全功能、过程和部件,并且证明他们不干扰或破坏密码模块核准的工作模式的运行>
送检产品是否支持在正常工作模式下使用非安全相关的算法(如非核准算法)、可以实现非安全相关的功能和部件,如有,则需证明这些功能不会干扰密码模块的正常运行。
支持初始化模式,正常工作模式;
初始化模式实现xxxx功能,正常工作模式实现xxx功能。
指纹采集部件,采集数据正确与否都不影响核准安全功能运行;
一般存储器件,不影响安全功能的正常运行;
核准的安全功能运行在IC芯片内(如安全芯片),各芯片之间交互不影响内部安全功能。
CY02.11:
材料中应提供密码模块的名称>
CY02.12:
送检单位应提供密码模块每个互不相同的硬件、软件和/或固件部件的特定版本信息>
注:
应说明送检产品的硬件、软件或固件的版本号
主控芯片型号为SSXxxxx,软件版本为XXXX。
CY02.14:
所有被排除在GM/T0028-2014安全要求之外的硬件、软件和/或固件部件都应在材料中明确列出。
材料中应提供每个部件被排除的理由,应表明即使发生故障或误用,每个部件也不会干扰或破坏密码模块核准的安全功能的运行>
原则上送检出产品中不应有排除的部件,如有请详细论证。
被排除的硬件、软件和/或固件是指:
该部件的运行情况(正常/故障)都应不影响产品安全功能。
若模块中有这样的部件,送检单位应在材料中表明这些部件排除在GM/T0028-2014安全要求之外,并提供排除的理由。
如:
该部件不处理CSP、明文数据或其他一旦误用就可能导致危险的信息;
或者该部件不与模块中允许以不恰当方式传递这些信息的安全相关部件连接;
所有由该部件处理的信息仅供模块内部使用,并且不能以任何方式影响与模块连接的设备。
CY02.15:
材料中应标识硬件密码模块的所有硬件部件,并提供部件清单。
材料中应标明模块的内部布局和安装方式(例如固定件和安装件),包括近似比例的图纸。
材料中应描述模块的主要物理参数,包括对外壳、接入点、电路板、电源位置、电路接线、冷却系统以及其他关键参数的说明。
材料应包括表示模块边界和其硬件部件相互关系的框图。
硬件密码模块需提供送检产品的部件清单,电路原理图,主要物理参数,产品的内部部件关系框图。
CY02.16:
材料中应标识软件密码模块的所有软件部件,并提供部件清单。
材料中应表明内部软件架构,包括软件部件是如何交互的。
材料中应说明密码模块所运行的软件环境(例如操作系统,运行时库等)>
针对软件密码模块
CY02.17:
材料中应标识固件密码模块的所有固件部件,并提供部件清单。
材料中应表明内部固件架构,包括固件部件是如何交互的。
材料中应说明密码模块所运行的固件环境(例如,操作系统,运行时库等)。
针对固件密码模块
CY02.18:
材料中应标识密码模块的类型是混合软件模块还是混合固件模块。
----混合软件模块应符合CY02.15.01~CY02.15.04和CY02.16.01~CY02.16.03的要求;
----混合固件模块应符合CY02.15.01~CY02.15.04和CY02.17.01~CY02.17.03的要求>
针对混合密码模块
应先说明送检产品属于混合软件模块还是混合固件模块。
混合软件模块需要提供送检产品的硬件部件清单,电路原理图,主要物理参数,产品的内部部件关系框图和软件的部件清单,操作系统,内部软件架构框图
混合固件模块则需要提供送检产品的软件的部件清单,操作系统,内部软件架构框图以及固件的部件清单,操作系统,内部固件架构框图。
2.3工作模式
CY02.19:
材料中应说明密码模块核准的工作模式。
材料中应描述如何启用核准的工作模式及方法。
核准工作模式由产品定义,使用核准的算法、功能、过程的模式属于核准工作模式,此条应说明密码模块在哪种情况下属于工作在核准的工作模式,并描述如何启用。
密码机具有初始和就绪两个工作模式。
未安装设备密钥的密码机处于初始模式,已安装设备密钥的密码机处于就绪状态。
在初始状态下,除可读取设备信息、设备密钥的生成或恢复操作外,不能执行任何操作,生成或恢复设备密钥后,密码机处于就绪状态。
在就绪模式下,除设备密钥的生成或恢复操作外,可执行任何操作。
CY02.20:
材料中应说明密码模块核准的工作模式所使用的核准的密码算法、安全功能或过程以及那些规定于GM/T0028--2014的7.4.3中的服务。
送检单位应提供一份所有核准的密码算法、安全功能或过程的验证证书。
核准的密码算法,如已发布为国家标准或密码行业标准的SM2、SM3、SM4、SM9等不需提供验证证书;
按照标准中规定的算法用法实现安全功能或过程的不需提供验证证书。
密码机具有初始和就绪两个工作模式,初始模式通过xxx算法实现xxx功能;
就绪模式下送检产品支持SM3、SM4密码算法。
送检产品上电后使用SM4-CBC算法校验软件、….的完整性;
在送检产品运行过程中,上位机可通过USB接口获取产品信息(包括版本信息等)和工作状态;
送检产品在运行模式下,可执行SM4算法的ECB和CBC模式的加密和解密操作,执行SM2算法的密钥生成、加解密和签名验签操作,执行SM3算法的杂凑操作;
送检产品支持SM3、SM4算法模块和随机数发生器的上电自测试和运行前自测试;
当用户不再使用本产品时可使用删除应用或锁定设备指令删除内部敏感安全参数,此时所有敏感安全参数均被…..覆盖。
表密码算法和功能清单
功能
密码算法
说明
通用对称加解密服务
SM4
使用会话密钥的通用加解密服务
校验软件和系统完整性
上电自测试时会校验软件、系统参数和文件系统数据的完整性。
角色身份服务
使用SM4算法进行内外部认证运算。
…
CY02.21:
送检单位应提供一份所有非核准的密码算法、安全功能和过程的清单。
材料中应说明核准的工作模式中未使用非核准的密码算法、安全功能和过程或其他未规定于GM/T0028-2014的7.4.3中的服务。
如果核准的工作模式中使用了非核准的密码算法或安全功能,材料中应说明非核准的密码算法或安全功能是核准的过程的一部分,而且与核准的过程的安全无关,并且不干扰或破坏密码模块核准的工作模式的运行。
材料应解释为什么使用的非核准的密码算法、安全功能和过程与核准的过程操作非安全相关。
应说明送检产品实现的非核准算法、安全功能(如不在0028规范附录C中的功能),如果在核准的工作模式下使用了非核准的密码算法和安全功能,应说明该功能是否会干扰核准的过程。
CY02.22:
材料应提供完整的模块CSP清单,并说明它们在核准的和非核准的服务及工作模式中的作用。
材料中应描述核准的和非核准的服务和工作模式的操作方式,并说明CSP是如何分离的>
应提供所有关键安全参数的清单,说明他们各自在核准和非核准的工作模式中的作用,如何区分,区分的理由是什么。
依据用途不同,对称算法密钥可分为主控密钥、外部认证密钥和会话密钥。
主控密钥用于加密非对称私钥和在产品初始化阶段切换生命周期;
外部认证密钥用于在维护应用时验证外部使用者的权限;
会话密钥用于通用加解密服务。
非对称算法私钥包括签名私钥和解密私钥,分别用于对外部数据签名运算和解密运算;
个人PIN包括用户PIN和管理员PIN,分别对应于相应操作员权限。
所有关键安全参数在物理上位于不同的存储空间,对某一关键安全参数的读、写操作不会对其他关键安全参数产生任何影响。
同时,不同的关键安全参数具备不同的操作指令和权限控制方式,从指令和安全控制方面隔离了关键安全参数,避免关键安全参数相互影响。
CY02.23:
送检单位的安全策略文档中应为模块所包括的每个工作模式(核准的和非核准的)定义完整的服务集合。
按照0028附录B中的要求提交文档,提交本文档时一并附上。
描述模块的各个工作模式下实现了怎样的密码服务。
初始工作模式下实现了怎样的密码服务。
就绪工作模式下当送检产品通过USB接口接入上位机后,用户可通过获取设备信息指令读取送检产品相关信息,包括产品版本、厂商信息等。
送检产品上电后,会自动进入上电初始化状态,此时会执行运行前自测试,自测试包括算法自检、随机数自检….。
送检产品上电自测试通过后即进入运行状态,此时产品可进行外部认证、PIN认证、…..等操作。
送检产品可以通过应用删除…..指令置零内部敏感安全参数。
CY02.24:
送检单位应给出当服务以核准的方式使用核准的密码算法、安全功能或过程以及其他规定于GM/T0028-2014的7.4.3中的服务或过程时的状态指示方式。
核准的工作模式和非核准的工作模式应能通过不同的状态指示方式进行区分,状态指示方式可通过状态指示灯或报文状态字形式。
例1:
送检产品通过指示灯反应不同的状态,当产品工作在核准的工作模式时,亮绿灯;
当产品工作在非核准的工作模式时,亮蓝灯;
当产品工作在错误状态时,亮红灯。
例2:
送检产品所提供的安全功能以接口方式对外服务,每个接口返回结果都能指示调用服务是否成功。
通过状态字反馈信息。
3密码模块接口
3.1密码模块接口通用要求
CY03.01:
材料中应说明密码模块的每个物理端口和逻辑接口(包括物理端口和引脚分配;
物理封盖,门或开口;
逻辑接口、信号名称和功能;
用于物理控制输入的手动控制;
用于物理状态输出的物理状态指示仪;
逻辑接口到物理端口、手动控制和模块物理状态显示之间的映射、上述端口和接口的物理的,逻辑的和电气的特性);
材料中应通过GM/T0028-2014附录A.2.2和附录B.2.2要求提供的框图、设计规格、源代码以及原理图,说明密码模块的信息流和物理接入点。
同时还需提供其他有助于明确说明信息流、物理接入点和物理端口、逻辑接口的关系的文档;
对于密码模块的每一个物理或逻辑的输入,以及物理或逻辑的输出,材料中应明确逻辑接口所对应的物理输入或输出。
应说明密码模块所有的物理端口与逻辑接口,并且明确物理端口的输入输出、逻辑接口的类型;
对于逻辑接口,应说明密码模块与外部交互的协议所遵照标准,若无标准则应详细描述协议过程。
送检产品存在四个物理接口,分别为USB接口、音码接口、显示屏和按键。
其中USB接口和音码接口在逻辑上是分时复用接口,根据数据流向和指令功能的不同,可以作为数据输入、数据输出、控制输入、控制输出和状态输出接口;
按键是控制输入接口,用于控制送检产品的开关机、控制显示信息和在关键签名时用于提供相应权限;
显示屏是状态输出接口,用于显示设备的相关提示信息,提示用户进行相应操作。
USB接口与上位机之间,传输层协议为USBCCID协议,应用层协议遵循GM/T0017进行数据和控制输入输出。
框图:
设计规格:
原理图:
xxx逻辑接口所对应的xxx物理输入或输出。
CY03.02:
送检单位的设计应根据AY03.04所列的类别将模块的接口分成逻辑上不同和相互分离的类别,并且如果适用,AY03.12亦可作为依据。
这些信息应符合AY03.01描述的逻辑接口和物理端口的规格。
材料中应提供每类逻辑接口到密码模块的物理端口的之间的映射。
逻辑接口可以在物理上分布在多个物理端口上,或两个或多个逻辑接口可以共享一个物理端口。
如果两个或多个逻辑接口共享同一个物理端口,送检单位的文档中应说明这些不同类别接口的信息流是如何在逻辑上相互分离的。
应说明送检产品支持几种逻辑接口和物理端口,物理端口与逻辑接口之间的关系,各个接口实现的功能是什么
支持五种逻辑接口:
数据输入接口、数据输出接口、控制输入接口、控制输出接口和状态输出接口。
其中,数据输入逻辑接口xxx映射到USB接口和蓝牙接口;
数据输出逻辑接口xxx映射到USB接口和蓝牙接口;
控制输入接口xxx映射到USB接口、蓝牙接口和按键接口;
控制输出接口xxx映射到USB接口和蓝牙接口;
状态输出接口映射到USB接口、蓝牙接口和显示屏。
如蓝牙型智能密码钥匙作为硬件密码模块,需具备电能来源才能正常工作,送检产品内部具备锂电池,可以为蓝牙接口工作时提供电能来源;
USB接口作为送检产品使用USB接口工作时的电源来源接口。
CY03.03:
材料中密码模块接口部分应按照GM/T0028—2014附录A.2.3的要求编写。
应说明密码模块支持的所有物理端口和逻辑接口,包括数据输入、数据输出、控制输入、控制输出、状态输出和电源接口。
针对安全三级和四级应进行可信信道接口的说明。
3.2接口定义
CY03.05:
密码模块应有数据输入接口。
所有输入到模块和由模块处理的数据(除通过控制输入接口输入的控制数据)应通过数据输入接口进入,包括:
——明文数据;
——密文或签名数据;
——加密密钥和其他密钥管理数据(明文或密文);
——认证数据(明文或加密的);
——来自外部的状态信息;
——其他输入数据。
若适用,材料中应说明所有与密码模块同时使用的外部输入设备,此设备用于输入数据到数据输入接口,如智能卡、令牌、键盘、密钥加载器和/或生物识别设备。
应说明每个数据输入接口的功能、性能、传输数据的报文格式等。
如有远程配置接口、专用密钥注入接口等也须说明说明。
PCIE密码卡密码模块的数据输入接口包括PCIEx1.0接口和USB1.0接口。
身份认证信息通过USB接口输入,其余数据(待运算的数据原文、会话密钥密文、外部公钥明文、使用随机生成的加密密钥经SM4算法加密后的私钥密文、文件等数据)都经过PCIE接口输入;
外部输入设备包括拥有PCIE接口向模块输入数据的PC或服务器等,以及通过USB接口向模块输入身份认证信息的USBKEY等外部输入设备。
物理接口有PCI接口,输入xxx数据\USB接口,输入xxx数据.逻辑接口有SDFxxxx接口,输入xxx数据;
SDFxxx接口,输入xxx数据
CY03.06:
密码模块应具有数据输出接口。
所有已被处理以及由密码模块输出的数据(除通过状态输出接口输出的状态字外),包括:
——密文数据和数字签名;
——加密密钥和其他密钥管理数据(明文或加密的);
——对外部目标的控制信息;
——经过处理或存储后从密码模块输出的其他信息。
若适用,材料中应说明所有和密码模块同时使用并用于从数据输出接口输出数据的外部输出设备,如智能卡、令牌、显示器、和/或其他存储设备。
应说明输出接口输出哪些数据,以及送检产品与外部输出设备之间的交互过程。
如为通信类产品,请详细说明通信接口的控制机制。
送检产品的USB接口是其与上位机交互的数据输出接口。
运行于上位机的应用程序通过USB接口向产品发送指令和数据,指令和数据被嵌入式软件xxxx解释并处理,完成后指令响应通过USB接口返回上位机的应用程序。
PCIE密码卡密码模块的数据输出接口有PCIE接口,输出数据包括:
运算后数据、会话密钥密文、公钥、调用产生非对称密钥对接口时输出的私钥密文、文件等数据。
当密码模块在错误状态下,除了获取板卡状态等简单命令可以处理之外,对于密码操作命令不做任何处理,直接返回错误指示。
物理接口有PCI接口,输出xxx数据\USB接口,输出xxx数据.逻辑接口有SDFxxxx接口,输出xxx数据;
SDFxxx接口,输出xxx数据
CY03.07:
材料中应说明密码模块如何确保模块处在错误状态时,数据输出接口禁止输出所有数据(错误状态在GM/T0028—2014的7.11.4中说明)。
只要不含CSP,明文数据或其他滥用可能造成安全威胁的信息,状态信息可从状态输出接口输出以确定错误的类型。
材料中应说明密码模块的设计如何能确保模块在自测试时,数据输出接口禁止输出所有数据(自测试在GM/T0028—2014的7.10中说明)。
只要不含CSP,明文数据或其他滥用可能造成安全威胁的信息,显示自测试的状态信息可从状态输出接口输出以确定错误类型。
CY03.08:
密码模块应具有控制输入接口。
用于控制密码模块操作的所有命令,信号和控制数据(除经数据输入接口输入的数据)须经控制输入接口进入,包括:
——命令输入,逻辑上通过API输入(如,软件和密码模块的固件);
——信号输入,逻辑或物理上通过一个或多个的物理端口(如,密码模块的硬件部件);
——手动控制输入(如,使用开关、按钮或键盘);
——其他输入控制控制数据。
若适用,材料中应说明所有与密码模块一起使用并用于向控制输入接口输入命令,信号和控制数据的外部输入设备,如智能卡、令牌或键盘。
应说明具有哪些控制输入接口,控制其他外部设备,如智能卡、令牌、显示器和/或其他存储设备。
如为通信类产品,请详细说明明通接口的控制机制。
控制输入接口
电源按键
启动密码模块
CY03.09:
密码模块应具有控制输出接口。
用于控制密码模块操作的输出命令,信号和控制数据须经控制输出接口输出。
若适用,材料中应说明所有和密码模块同时使用并用于从控制输出接口输出控制数据的外部设备,如智能卡、令牌、显示器和/或其他存储设备。
如密码模块产品有控制输出接口,则应说明具有哪些控制输出接口,控制其他外部设备,如智能卡、令牌、显示器和/或其他存储设备。
送检产品的USB接口是其与上位机交互的控制输出接口。
运行于上位机的应用程序通过USB接口向产品发送控制指令,控制指令被嵌入式软件OnCOS解释并处理,完成后指令响应通过USB接口返回上位机的应用程序。
当送检产品向上位机返回应用管理相关指令响应时,USB接口属于控制输出接口。
应用管理指令包括创建应用等等。
输出的控制指令响应会向上位机返回当前送检产品的应用状态以及应用标识等控制数据,用于控制上位机后续的指令操作。
PCIE密码卡密码模块通过PCIE接口获取控制命令,输入的控制数据包括:
设备管理类命令(打开设备、关闭设备、获取设备信息、获取/释放私钥使用权限)、密钥管理类命令(生成密钥对、销毁会话密钥)、文件管理类命令(创建文件、删除文件)。
CY03.10:
材料中应说明密码模块处于错误状态时,采用什么策略来禁止密码模块通过“控制输出”接口来输出。
材料应详细描述当密码模块处于自检状态时,密码模块的设计是如何保证控制输出接口禁止控制输出。
CY03.11:
密码模块应具有状态输出接口。
所有用于显示或指示模块状态的状态信息,信号,逻辑指示以及物理指示仪应通过状态输出接口输出,包括:
——状态信息输出,逻辑上通过API输出;
——信号输出,逻辑或物理上通过一个或多个物理端口输入的信号,如通过串行端口或PC卡下发的命令或信号;
——手动状态输出(如,使用灯、蜂鸣器、音调、铃声、指示器或显示器);
——其他输出状态信息。
若适用,材料中应说明所有的外部输出设备,该类设备用于通过状态输出接口输出状态信息,信号,逻辑指示和物理指示,如智能卡、令牌、显示器和/或其他存储
升级会员 