信息安全技术无线局域网接入系统安全技术要求（评估保障级2级增强)(GB-T 33565-2017).docx

《信息安全技术无线局域网接入系统安全技术要求（评估保障级2级增强)(GB-T 33565-2017).docx》由会员分享，可在线阅读，更多相关《信息安全技术无线局域网接入系统安全技术要求（评估保障级2级增强)(GB-T 33565-2017).docx（49页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、ICS35.040L80中华人民共和国国家标准GB/TXXXXXXXXX信息安全技术 无线局域网接入系统安全技术要求（评估保证级2级增强）Information security technology Security technology requirements for WirelessLocal Area Network (WLAN) access system（EAL2+）报批稿XXXX-XX-XX发布XXXX-XX-XX实施17GB/T XXXXX/目次前言III引言IV1范围12规范性引用标准13术语和定义14缩略语25约定36 TOE描述36.1综述36.2管理26.3加密/解密

2、26.4审计26.5鉴别及密钥管理26.6 TOE IT环境27 TOE安全环境27.1假设27.2威胁27.3组织安全策略38安全目的48.1 TOE安全目的48.2环境安全目的59 IT安全要求59.1 TOE安全功能要求59.2 TOE安全保证要求1410 IT环境安全要求1410.1安全审计（FAU）1510.2用户数据保护（FDP）1710.3标识与鉴别（FIA）1710.4安全管理（FMT）1710.5可信路径/通道（FTP）1810.6 TSF保护（FPT）18附录A：（资料性附录）基本原理19A.1 概述19A.2 安全目的基本原理19A.3 安全要求基本原理27参考文献38前

3、言本标准按照GB/T 1.1-2009给出的规则起草。本标准由全国信息安全标准化技术委员会（SAC/TC 260）提出并归口。本标准主要起草单位：中国信息安全测评中心、湖北大学、西安西电捷通无线网络通信股份有限公司、中国人民解放军信息工程大学、国家信息中心、中国科学院研究生院信息安全国家重点实验室。本标准主要起草人：郭涛、贾依真、吕欣、郝永乐、张龑、张普含、张翀斌、刘威鹏、胡亚楠、李淼、董国伟、朱龙华、张鲁国、王宪磊。引言本标准依据GB/T 18336-2008信息技术安全技术信息技术安全性评估准则中所规定的安全技术要求（保护轮廓）的结构形式，参考GB/Z 20283-2006 信息安全技术保

4、护轮廓和安全目标的产生指南，制定了无线局域网接入系统安全技术要求（评估保证级2级增强）。本标准详细描述了与无线局域网接入系统安全相关的策略、假设、威胁，定义了无线局域网接入系统及其支撑环境，并由其导出安全功能要求和安全保证要求，通过基本原理论证安全要求能够追溯并覆盖安全目的，安全目的能够追溯并覆盖安全环境相关的假设、威胁和组织安全策略。本标准定义了必须在生产商安全目标文档中包括的安全要求的最小集合，但对无线局域网接入系统的具体技术实现方式、方法等不作要求。信息安全技术无线局域网接入系统安全技术要求（评估保证级2级增强）1 范围本标准规定了对无线局域网接入系统的安全技术要求（评估保证级2级增强）

5、，主要包括无线局域网接入系统的安全假设、威胁和组织策略，以及安全目的、安全功能要求和安全保证要求。本标准在GB/T 18336-2008中规定的评估保证级2级评估保证组件的基础上，增加了评估保证级3级ACM_SCP.1（TOE CM覆盖），ALC_FLR.2（缺陷报告程序）和AVA_MSU.1（指南审查）三个保证组件。本标准适用于符合评估保证级2级增强的无线局域网接入系统的设计、开发、测试、评估和产品采购。2 规范性引用标准下列标准对于本标准的应用是必不可少的。凡是注日期的引用标准，仅所注日期的版本适用于本标准。凡是不注日期的引用标准，其最新版本（包括所有的修改单）适用于本标准。GB 1562

6、9.11-2003 信息技术系统间远程通信和信息交换局域网和城域网特定要求第11部分：无线局域网媒体访问控制和物理层规范GB15629.11-2003/XG1-2006信息技术系统间远程通信和信息交换局域网和城域网特定要求第11部分：无线局域网媒体访问控制和物理层规范第1号修改单GB/T 18336.1-2008 信息技术安全技术信息技术安全性评估准则第1部分：简介和一般模型GB/T 18336.2-2008 信息技术安全技术信息技术安全性评估准则第2部分：安全功能要求GB/T 18336.3-2008 信息技术安全技术信息技术安全性评估准则第3部分：安全保证要求GB/Z 20283-2006

7、 信息安全技术保护轮廓和安全目标的产生指南GB/T 25069-2010 信息安全技术术语3 术语和定义GB/T 18336.1-2008、GB/T 25069-2010中界定的及以下术语和定义适用于本标准。3.1审计服务器 audit server存储审计事件/记录的设备。3.2保密性 confidentiality使信息不泄露给未授权的个人、实体、进程，或不被其利用的特性。3.3威胁 threat对资产或组织可能导致负面结果的一个事件的潜在源。3.4脆弱性 vulnerability资产中能被威胁所利用的弱点。3.5无线局域网接入系统WLAN access system；WAS由能够实现用

8、户接入无线局域网络的设备构成的整体。4 缩略语下列缩略语适用于本标准。AE鉴别器实体Authenticator EntityASU鉴别服务单元Authentication Server UnitBSS基本服务组Basic Service SetCM配置管理Configure ManagementEAL评估保证级Evaluation Assurance LevelESS扩展服务集Extended Service SetIBSS独立基本服务组Independent Basic Service SetIT信息技术Information TechnologyPP保护轮廓Protection Profi

9、leSFP安全功能策略Security Function PolicySFR安全功能要求Security Functional RequirementSOF功能强度Strength of FunctionST安全目标Security TargetSTA站（点）StationTOE评估对象Target of EvaluationTSFTOE安全功能TOE Security FunctionsTSPTOE安全策略TOE Security PolicyWAS无线局域网接入系统WLAN Access SystemWLAN无线局域网Wireless Local Area Network5 约定5.1 假

10、设：TOE安全环境假设的命名以“A.”（Assume）开始例如，A.ADMINISTRATION；5.2 威胁：TOE安全环境威胁的命名以“T.”（Threat）开始例如，T.SIGNAL_DETECT；5.3 策略：TOE安全环境策略的命名以“P.”（Policy）开始例如，P.GUIDANCE；5.4 目的：TOE安全目的和环境安全目的的命名分别以“O.”（Objective）和“OE.”（Objective Environment）开始例如，O.ACCESS和OE.ADMIN；5.5 扩展要求：本标准中使用的部分安全要求并未包括在GB/T 18336-2008中，这样的要求被称为“扩展要

11、求”。扩展要求按照GB/T 18336-2008中“类/子类/组件”模型进行定义和标识。在本标准中，扩展要求使用“EXP”表示。5.6 操作GB/T 18336-2008允许对功能组件进行四种操作：赋值、细化、选择和反复，以执行安全功能要求。本标准按以下方式突出标识上述四种操作：赋值：允许指定参数。赋值部分以粗斜体形式表示。细化：允许增加细节。细化部分以下划线形式表示。选择：允许从一个列表中选定一项或多项。选择部分将以粗体形式表示。反复：允许一个组件在不同操作时被使用超过一次以上。6 TOE描述6.1 综述本标准的评估对象（TOE）指的是基本服务组（BSS）以及扩展服务集（ESS）结构下的无线

12、接入系统（WAS），分别如图1、图2所示。TOE是由一个或一些能够实现站（STA）接入网络的设备所组成的整体，提供协议转换、有线网络连接、无线信号发射等功能，并提供管理、鉴别、加密/解密和审计等安全功能。典型的TOE安全功能结构如图3及图4所示。任何情况下STA与无线或有线网络间的数据交互都必须通过TOE，TOE通过分布式系统服务为STA提供对分布式系统的访问，但TOE不提供任何直接的网络服务。分布式系统经由泛端口与非本部分局域网进行逻辑连接。图1 BSS结构下的TOE图2 ESS结构下的TOE图3 典型的TOE结构1图4 典型的TOE结构26.2 管理管理员负责安装、配置和维护TOE。由于T

13、OE可能是更大系统的一部分，所以负责管理TOE IT环境的人也应负责管理TOE。本标准不排除多个单独管理的角色，但是要求只有一个TOE的管理员。6.3 加密/解密TOE应提供加密/解密服务，例如对无线MAC帧等数据进行加密和解密操作。符合本标准的产品和系统应使用符合国家密码管理委员会办公室批准的用于无线局域网的对称密码算法的密码模块，并符合GB 15629.11-2003/XG12006 中保密机制的相关要求。6.4 审计TOE在大多数情况下可以独立运行，安全审计包括产生审计事件、用户身份关联、选择性审计等。6.5 鉴别及密钥管理TOE的鉴别应提供鉴别机制选择、密钥管理等功能，同时，鉴别模块应

14、符合GB 15629.11-2003/XG12006 中鉴别机制的相关要求。6.6 TOE IT环境在安全要求较高的情况下，可以借助于部署在有线局域网中的外部环境来执行更强的管理任务，例如审计服务器。但是，由于TOE有时是更大信息系统的一部分，因此对于TOE所依赖IT环境增加保护是必要的。7 TOE安全环境7.1 假设7.1.1 A.NO_GENERAL_PURPOSE在TOE上无法获得通用的计算或存储能力（例如：编译器、编辑器或应用程序）。7.1.2 A.TOE_NO_BYPASS STA与其它STA或有线网络上主机之间传输的数据必须通过TOE。7.1.3 A.PHYSICAL 环境应提供与

15、TOE及其所包含数据的价值相一致的物理安全。7.1.4 A.NO_EVIL 管理员是可信的，经过正式培训且遵循管理员指南。7.2 威胁7.2.1 T.ACCIDENTAL_ADMIN_ERROR 管理员可能不正确地安装或配置TOE，从而导致安全机制失效。7.2.2 T.ACCIDENTAL_CRYPTO_COMPROMISE 用户或进程不适当地访问（查看、修改或删除）与密码功能相关的密钥、数据或可执行代码，从而破坏了密码机制和这些机制所保护的数据。7.2.3 T.MASQUERADE 用户可能假冒授权用户访问TOE资源。7.2.4 T.POOR_DESIGN TOE需求规范或设计中的无意错误可

16、能产生漏洞，可能被恶意用户或程序利用。7.2.5 T.POOR_IMPLEMENTATION TOE实现中的无意错误可能引发漏洞，可能被恶意用户或程序利用。7.2.6 T.POOR_TEST 开发或测试人员对TOE的测试不充分，导致不正确的TOE行为未被发现，恶意用户或程序可能利用这些漏洞。7.2.7 T.RESIDUAL_DATA 用户变更或进程切换引起的TOE资源的重新分配导致了用户或进程对数据的非授权访问。7.2.8 T.TSF_COMPROMISE 恶意用户或进程利用一般攻击不适当地访问（查看、修改或删除）TSF数据或可执行代码。7.2.9 T.UNATTENDED_SESSION 用

17、户未授权访问了未被监管的会话。7.2.10 T.UNAUTHORIZED_ACCESS 用户访问了未被授权访问的服务。7.2.11 T.UNAUTH_ADMIN_ACCESS 未授权用户访问了管理员帐户。7.3 组织安全策略7.3.1 P.ACCESS_BANNER TOE在管理员登录时应显示一个描述使用限制，法律规定或其他合理信息的初始旗标。7.3.2 P.ACCOUNTABILITY TOE的授权用户应对自身在TOE内的行为负责。7.3.3 P.CRYPTOGRAPHY TOE应为自身的应用提供密码功能，包括加密/解密操作。7.3.4 P.CRYPTOGRAPHY_VALIDATED 仅有

18、国家密码管理机构批准的密码算法（方法和实现）才能用于密钥管理（例如：密钥的产生、销毁、更新等）和密码服务（例如：加密、解密、签名等）。7.3.5 P.ENCRYPTED_CHANNEL 应提供TOE与经授权接入网络的STA之间数据传输加/解密的功能。8 安全目的8.1 TOE安全目的8.1.1 O.AUDIT_GENERATION TOE应提供检查和创建与用户相关的安全事件记录的能力。8.1.2 O.CORRECT_TSF_OPERATION TOE应提供验证TSF正确运行的能力。8.1.3 O.CRYPTOGRAGHY TOE应提供密码功能以维护保密性和完整性。8.1.4 O.CRYPTOG

19、RAPHY_VALIDATED TOE应使用国家密码管理机构批准的密码模块提供密码服务。8.1.5 O.DISPLAY_BANNER 在使用任何需要鉴别的TOE服务之前，TOE应在建立管理员会话之前给出建议性警告。8.1.6 O.MANAGE TOE应提供管理员管理TOE安全所必需的功能和设施，并防止这些功能和设施被未授权使用。8.1.7 O.MEDIATE TOE必须遵循TOE安全策略转发STA的数据。8.1.8 O.RESIDUAL_INFORMATION TOE应确保重新分配资源时TOE控制范围内受保护资源所包含的数据不被泄漏。8.1.9 O.SELF_PROTECTION TSF应维护

20、一个保护自身及其资源免受外部干预、未授权泄漏的执行域。8.1.10 O.TIME_STAMPS TOE应获得可靠的时间戳。8.1.11 O.TOE_ACCESS TOE应提供控制用户对TOE进行逻辑访问的机制。8.1.12 O.ADMIN_GUIDANCE TOE应为安全管理员提供必要的安全信息。8.1.13 O.CONFIG_IDENTIFICATION 任何实现的错误可以通过TOE的重新发布得到及时更正，以保证TOE的配置可以被确认。8.1.14 O.DOCUMENTED_DESIGN TOE的开发设计应具有详细开发文档。8.1.15 O.PARTIAL_FUNCTIONAL_TESTIN

21、G TOE应进行安全功能测试以表明TSF满足TOE安全功能要求。8.1.16 O.VULNERABILITY_ANALYSIS 应针对TOE进行脆弱性分析以表明TOE的设计和实现不存在明显缺陷。8.2 环境安全目的8.2.1 OE.AUDIT_PROTECTION IT环境应提供保护审计信息和鉴别证书的能力。8.2.2 OE.AUDIT_REVIEW IT环境应提供选择性查看审计信息的能力。8.2.3 OE.MANAGE IT环境应增加管理员管理TOE安全所需的功能和设施，并防止这些功能和设施被未授权使用。8.2.4 OE.NO_EVIL 使用TOE的组织应保证管理员是可信的，经过正式培训且遵

22、循管理员指南。8.2.5 OE.NO_GENERAL_PURPOSE 不存在与TOE运行无关的计算或存储功能（例如：编译器、编辑器或应用程序）。8.2.6 OE.PHYSICAL IT环境应提供与TOE和TOE所包含数据的价值相一致的物理安全。8.2.7 OE.PROTECT_MGMT_COMMS 环境应保护审计记录到审计服务器的传输、远程网络管理以及鉴别服务器与TOE之间的通信。8.2.8 OE.RESIDUAL_INFORMATION 环境应确保重新分配资源时环境控制范围内受保护资源所包含的信息不被泄漏。8.2.9 OE.SELF_PROTECTION 环境应维护一个保护自身及其资源免受外

23、部干扰、破坏或未授权泄漏的执行域。8.2.10 OE.TIME_STAMPS IT环境应提供可靠的时间戳。8.2.11 OE.TOE_ACCESS 环境应提供有助于TOE控制用户对TOE进行逻辑访问的机制。8.2.12 OE.TOE_NO_BYPASS STA与其他STA或有线网络上主机之间传输的数据必须通过TOE。9 TOE安全要求9.1 TOE安全功能要求9.1.1 概述本标准中的安全功能要求从GB/T 18336.2-2008导出，这些要求与支持TOE的安全操作相关。本标准的安全功能要求由下列组件构成（表1）。通过包含相关的安全要求可以满足SFR之间的所有依赖关系。表1 TOE安全功能要

24、求安全功能要求类安全功能组件组件名称依赖关系安全审计（FAU类）FAU_GEN.1审计数据产生FPT_STM.1FAU_GEN.2用户身份关联FAU_GEN.1FIA_UID.1FAU_SEL.1选择性审计FAU_GEN.1FMT_MTD.1密码支持（FCS类）FCS_BCM_EXP.1基准密码模块无FCS_CKM.1密钥生成FCS_CKM_.2或FCS_COP.1FCS_CKM.4FMT_MSA.2FCS_CKM.4密钥销毁FDP_ITC.1或FDP_ITC.2FCS_CKM.1FMT_MSA.2FCS_COP_EXP.1随机数产生FDP_ITC.1或FCS_CKM.1FCS_CKM.4FM

25、T_MSA.2FCS_COP_EXP.2密码运算FDP_ITC.1或FCS_CKM.1FCS_CKM.4FMT_MSA.2用户数据保护（FDP类）FDP_PUD_EXP.1用户数据保护无FDP_RIP.1子集残余信息保护无标识和鉴别（FIA类）FIA_AFL.1鉴别失败处理FIA_UAU.1FIA_ATD.1(1)管理员属性定义无FIA_ATD.1(2)用户属性定义无FIA_UAU.1鉴别的时机FIA_UID.1FIA_UAU_EXP.5(1)多重鉴别机制无FIA_UID.2任何行动前的用户标识无FIA_USB.1用户主体绑定FIA_ATD.1安全管理（FMT类）FMT_MOF.1(1)安全功

26、能行为的管理（密码功能）FMT_SMF.1(1)FMT_SMR.1FMT_MOF.1(2)安全功能行为的管理（审计记录的产生）FMT_SMF.1(2)FMT_SMR.1FMT_MOF.1(3)安全功能行为的管理（鉴别）FMT_SMF.1FMT_SMR.1FMT_MSA.2安全的安全属性FDP_ACC.1或FDP_IFC.1FMT_SMR.1FMT_SMF.1FMT_MTD.1(1)审计数据的管理FMT_SMR.1FMT_SMF.1FMT_MTD.1(2)鉴别数据的管理（管理员）FMT_SMR.1FMT_SMF.1FMT_MTD.1(3)鉴别数据的管理（用户）FMT_SMR.1FMT_SMF.1

27、FMT_SMF.1(1)管理功能规范（密码功能）无FMT_SMF.1(2)管理功能规范（TOE审计记录产生）无FMT_SMF.1(3)管理功能规范（加密密钥数据）无FMT_SMR.1安全角色FIA_UID.1TSF保护（FPT类）FPT_RVM.1TSP的不可旁路性无FPT_SEP.1(1)TSF域分离无FPT_STM_EXP.1可靠的时间戳无FPT_TST_EXP.1TSF检测FCS_CKM.2FCS_CKM.4FCS_COP_EXP.1FCS_COP_EXP.2FPT_TST_EXP.2对密码模块进行TSF检测FCS_CKM.2FCS_CKM.4FCS_COP_EXP.1FCS_COP_E

28、XP.2TOE访问（FTA类）FTA_SSL.3TSF原发终止无FTA_TAB.1默认的TOE访问旗标无可信路径/通道（FTP类）FTP_ITC_EXP.1(1)TSF间可信信道无FTP_TRP.1可信路径无9.1.2 安全审计（FAU）9.1.2.1 FAU_GEN.1(1) 审计数据产生FAU_GEN.1.1(1) TSF应能为下述可审计事件产生审计记录：1)审计功能的开启和关闭；2)有关最小级审计级别的所有可审计事件；3)赋值：其它专门定义的可审计事件。FAU_GEN.1.2(1) TSF应在每个审计记录中至少记录下列信息：1)事件的日期和时间、事件的类型、主体身份、事件的结果（成功或失

29、败）；2)对每种审计事件类型，基于PP/ST中功能组件的可审计事件定义表2第三列规定的信息。应用注释：表2第三列中，如果在产生记录的事件环境中“如果可用/适用”是有意义的，那么它用于确定应在审计记录中包含的数据。如果对于一种特别审计事件类型不要求其它的信息（FAU_GEN.1.2（1）除外），那么“无”也是可以接受的。表2 TOE可审计事件要求可审计事件附加的审计记录内容FAU_GEN.1无无FAU_GEN.2无无FAU_SEL.1审计收集功能运行时修改审计配置执行该功能的管理员身份FCS_CKM.1密钥生成执行该功能的管理员身份FCS_CKM.4密钥销毁如果可用，执行该功能的管理员身份FCS

30、_COP_EXP.1无无FCS_COP_EXP.2无无FDP_PUD_EXP.1启动或关闭TOE对无线流量的加密执行该功能的管理员身份FDP_RIP.1无无FIA_AFL.1到达了不成功鉴别尝试的阈值，采取行动（锁定终端）。在适当的时机，恢复正常的状态（重新激活终端）。无FIA_ATD.1无无FIA_UAU.1鉴别机制的使用（成功或失败）用户身份TOE将不在审计日志中记录无效的密码FIA_UAU_EXP.5没有接收到来自远程鉴别服务器的响应确定没有做出响应的鉴别服务器的身份FIA_UID.2无无FIA_USB.1用户安全属性和主体之间不成功绑定无FMT_MOF.1(1)变更TOE加密/解密算法

31、，包括选择对通信不进行加密/解密密码算法选择（或无）FMT_MOF.1(2)开始或停止产生审计记录无FMT_MOF.1(3)TOE远程鉴别环境的变更；失败鉴别尝试的阈值变化；会话锁定时间的变化执行该功能的管理员身份FMT_MSA.2所有提供或拒绝的安全属性值；无FMT_MTD.1用于预先选择审计事件的规则集的变化无FMT_MTD.1(2)FMT_MTD.1(3)TOE鉴别证书的变化如果TOE将不在审计日志中记录鉴别证书，那么此项为无FMT_REV.1安全属性撤销失败无FMT_SMR.1属于同一个角色的用户组的修改无FPT_STM._EXP.1时间的变化无FPT_TST_EXP.1执行自检测检测

32、成功或失败FPT_TST_EXP.2执行自检测检测成功或失败FTA_SSL.3TSF原发终止通过会话锁定机制终止一个交互式会话FTP_ITC_EXP.1(1)可信信道的开启/关闭确定尝试建立或创建信道的远程实体身份；事件的成功或失败FTP_TRP.1可信信道的开启确定尝试建立或创建信道的远程实体身份；事件的成功或失败9.1.2.2 FAU_GEN.2 用户身份关联FAU_GEN.2.1 TSF应能将每个可审计事件与引起该事件的用户身份关联起来。9.1.2.3 FAU_SEL.1 选择性审计FAU_SEL.1.1 TSF应能根据以下属性从审计事件集中包括或排除审计事件：1)选择：用户身份，事件类

33、型；2)赋值：设备接口，STA身份应用注释：设备接口是用户（或管理员）接收/发送数据的物理接口（如无线局域网接口、局域网接口、串口、管理局域网接口等）。9.1.3 密码支持（FCS）9.1.3.1 FCS_BCM_EXP.1扩展组件：基准密码模块FCS_BCM_EXP.1.1 密码模块在执行密码功能时应采用国家密码管理机构批准的密码算法。9.1.3.2 FCS_CKM.1密钥生成FCS_CKM.1.1 TSF应采用国家密码管理机构批准的赋值：密钥生成算法和特定的赋值：密钥长度来产生密钥。9.1.3.3 FCS_CKM.4密钥销毁FCS_CKM.4.1 TSF应采用国家密码管理机构批准的赋值：密

34、钥销毁方法来销毁密钥。9.1.3.4 FCS_COP_EXP.1扩展组件：随机数产生FCS_COP_EXP.1.1 通过在密码模块中使用赋值：随机数产生器列表，TSF执行所有TSF密码功能所用到的随机数产生算法。9.1.3.5 FCS_COP_EXP.2扩展组件：密码运算FCS_COP_EXP.2.1 密码模块应采用赋值：国家密码管理委员会办公室批准的用于无线局域网的对称密码算法执行加密和解密。9.1.4 用户数据保护（FDP）9.1.4.1 FDP_PUD_EXP.1用户数据保护FDP_PUD_EXP.1.1 当管理员使用加密时，TSF应：1)使用FCS_COP_EXP.2规定的密码算法加密

35、从无线接入系统的无线接口传输到STA的已鉴别用户的数据。2)使用FCS_COP_EXP.2规定的密码算法解密无线接入系统的无线接口接收到的来自STA的已鉴别用户的数据。应用注释：本标准允许通过安全策略协商确定TOE使用FCS_COP_EXP.2规定的密码算法加密WLAN上传输的所有用户数据。9.1.4.2 FDP_RIP.1 子集残余信息保护FDP_RIP.1.1 TSF应确保一个资源的任何先前信息内容，在分配资源到客体网络数据包以及释放资源至客体网络数据包时不再可用。应用注释：本标准保证TOE不允许先前传输的数据包数据插入到当前数据包未使用的区域或填充区。9.1.5 标识与鉴别（FIA）9.

36、1.5.1 FIA_AFL.1鉴别失败处理FIA_AFL.1.1 TSF应检测何时发生选择：赋值：正整数，管理员可设置的赋值：可接受数值范围内的一个正整数次与赋值：鉴别时间列表相关的未成功鉴别尝试。FIA_AFL.1.2 当达到或超过所定义的未成功鉴别尝试次数时，TSF应采取的阻止管理员登录直到其他本地管理员采取行动。应用注释：本标准没有要求TOE允许远程管理。可是，如果TOE确实允许管理员远程登录TOE（例如：从有线接口），那么TOE必须提供防止对管理帐户进行蛮力攻击的机制。9.1.5.2 FIA_ATD.1(1)管理员属性定义FIA_ATD.1.1(1) TSF应维护属于每个管理员的下列安

37、全属性列表：选择：口令，赋值：任何附加的管理员安全属性列表。应用注释：ST作者应指明与管理员帐户相关的附加管理员安全属性。如果TOE没有使用附加安全属性，那么赋值应指明“无附加属性”。9.1.5.3 FIA_ATD.1(2)用户属性定义FIA_ATD.1.1(2) TSF应保存属于每个远程鉴别用户的下列安全属性列表：赋值：用户安全属性列表。应用注释：ST作者应指明与远程鉴别用户相关的安全属性。9.1.5.4 FIA_UAU.1鉴别的时机FIA_UAU.1.1 在用户鉴别前，TSF应允许执行代表用户的赋值：TSF介导的动作列表。FIA_UAU.1.2 在允许执行代表该用户的任何其他TSF介导动作

38、前，TSF应要求每个用户都已被成功鉴别。应用注释：本功能要求针对TOE本地鉴别的用户，并不涉及进行鉴别之前，必须在STA和接入系统之间传输的管理和控制数据包。9.1.5.5 FIA_UAU_EXP.5(1) 扩展组件：多重鉴别机制FIA_UAU_EXP.5.1(1) TSF应为执行用户鉴别提供本地鉴别和远程鉴别机制。FIA_UAU_EXP.5.2(1) TSF应依据管理员的选择为管理员和用户调用远程鉴别机制。应用注释：TOE通过ASU对客户进行远程鉴别。另外，TSF必须为本地管理员鉴别提供方法以免TOE不能与ASU进行通信。9.1.5.6 FIA_UID.2任何行动前的用户标识FIA_UID.

39、2.1 在允许任何代表该用户的其他TSF介导动作之前，TSF应要求每个用户识别他自己。应用注释：本标准不包括鉴别以前必须在STA和接入系统之间传输的管理和控制数据包。9.1.5.7 FIA_USB.1 用户主体绑定FIA_USB.1.1 TSF应将下列用户安全属性：赋值：用户安全属性列表 与代表用户活动的主体相关联。FIA_USB.1.2 TSF应执行下列规则：赋值：属性初始关联规则将用户安全属性与代表用户活动的主体初始关联。FIA_USB.1.3 TSF应执行下列规则：赋值：属性更改规则管理与代表用户活动的主体相关联的用户安全属性的改变。应用注释：ST作者应指出与代表管理员和STA活动的主体

40、相关联的属性。如果必要，本组件可以反复。9.1.6 安全管理（FMT）9.1.6.1 FMT_MOF.1(1)密码安全功能行为的管理FMT_MOF.1.(1) TSF应仅限于管理员对功能功能列表：1)密码：装入密钥2)密码：删除/销毁密钥3)密码：设置密钥生命周期4)密码：设置密码算法5)密码：设置TOE加密或不加密无线通信信息6)密码：对TOE硬件和密码功能执行自测具有修改其行为的能力9.1.6.2 FMT_MOF.1(2)审计安全功能行为的管理FMT_MOF.1.(2) TSF应仅限于管理员 对功能功能列表：1)审计：预先选择触发审计记录的事件2)审计：打开和关闭审计功能具有激活、终止、修

41、改其行为的能力9.1.6.3 FMT_MOF.1(3) 鉴别安全功能行为的管理FMT_MOF.1.1(3) TSF应仅限于管理员对功能修改功能列表：1)鉴别：允许或禁止鉴别服务器的使用2)鉴别：设置TOE采取行动禁止未登录前所发生的鉴别失败次数3)鉴别：设置会话终止前处于非活动状态的时长具有修改其行为的能力。9.1.6.4 FMT_MSA.2安全的安全属性FMT_MSA.2.1 TSF应确保安全属性只接受安全的值。9.1.6.5 FMT_MTD.1（1）预选审计数据的管理FMT_MTD.1(1) TSF应仅限于管理员能够对用于预先选择审计事件的规则集修改默认值、查询、修改、删除、创建。9.1.

42、6.6 FMT_MTD.1(2)鉴别数据的管理（管理员）FMT_MTD.1(2) TSF应仅限于给管理员 能够对鉴别证书、用户标识证书 修改默认值、查询、修改、删除、创建。9.1.6.7 FMT_MTD.1(3)鉴别数据的管理（用户）FMT_MTD.1(3) TSF应仅限于给TOE用户 能够对用户鉴别证书修改。9.1.6.8 FMT_SMF.1(1)管理功能规范（密码功能）FMT_SMF.1.1(1) TSF应能够执行如下安全管理功能：依据管理员对TOE的配置，查询和设置对网络数据包的加密/解密（通过FCS_COP_EXP.2）。应用注释：本标准保证负责TOE管理的人员能选择FCS_COP_E

43、XP.2规定的密码算法，对TOE所传输的数据进行加密/解密或选择不加密。9.1.6.9 FMT_SMF.1(2)管理功能规范（TOE审计记录产生）FMT_SMF.1.1(2) TSF应能够执行如下安全管理功能：查询、打开或关闭安全审计。应用注释：本标准保证负责TOE管理的人员能打开或关闭TOE审计记录产生功能。9.1.6.10 FMT_SMF.1(3) 管理功能规范（密钥数据）FMT_SMF.1.1(3) TSF应能够执行如下安全管理功能：依据FDP_PUD_EXP查询、设置、修改和删除密钥，打开或关闭密钥测试验证。应用注释：本标准的目的是提供配置TOE密钥的功能。配置密钥数据包括：设置密钥生命周期、设置密钥长度等等。9.1.6.11 FMT_SMR.1(1) 安全角色FMT_SMR.1.1(1) TSF应维护角色管理员、用户。FMT_SMR.1.2(1) TSF应能够把用户和角色关联起来。应用注释：只有管理员可以直接访问TOE，用户可以通过TOE传输数据，但不能直接访问TOE。本标准也假设TOE包含本地鉴别机制和使用远程鉴别服务器的能力。虽然用户是本地的或远程的，但是这不影响用户的角色。9.1.7 TSF保护（FPT）9.1.7.1 FPT_RVM.1(1) TSP的不可旁路性FPT_RVM.1.1(1) TSF应确保在允许TSC内每一项功能继续进行之前，TSP执行功能都已被