GB／T 37092-2018标准规范下载简介：

内容预览由机器从pdf转换为word，准确率92%以上，供参考

GB／T 37092-2018 信息安全技术密码模块安全要求

安全三级的密码模块应有效防止电压、温度超出密码模块止常运行范围对密码模块安全性的破环。 攻击者可以故意让密码模块的环境参数偏离正常运行范围，从而绕过密码模块的防护措施。密码模块 应设计有环境保护特性，用以检测环境异常并置零关键安全参数，或者能够通过环境失效测试从而提供 个合理的保障，确保不会因环境异常破坏密码模块的安全性， 安全三级的密码模块应提供非人侵式攻击缓解技术的有效性证据和检测方法。 对于软件密码模块，并没有在本标准的所有条款中给出安全三级的要求。因此，软件密码模块能够 达到的最大整体安全等级限定为安全二级。 安全三级的密码模块增加了生命周期保障的要求，比如自动配置管理、详细设计、底层测试以及基 于厂商所提供的鉴别信息的操作员鉴别

安全四级是本标准中的最高安全等级。该等级包括较低等级中所有的安全特性，以及一些扩展 特性。 安全四级的物理安全机制应在密码模块周围提供完整的封套保护，其目的是无论外部电源是否供 电，当密码模块包含敏感安全参数时，检测并响应所有非授权的物理访问。从任何方向穿透密码模块的 外壳都会以很高的概率被检测到，并将导致所有未受保护的敏感安全参数立刻被置零。由于安全四级 的密码模块自身具有较高的安全机制，所以它特别适用于无物理保护的环境。 安全四级要求对操作员进行多因素鉴别。最低限度下，要求使用下列因素中的两个： 已知某物，如秘密口令； 一拥有某物，如物理钥匙或令牌； 一具有某属性，如生物特征。 安全四级的密码模块应有效防止电压、温度超出密码模块正常运行范围对密码模块安全性的破坏 密码模块应设计有环境保护特性，专门用以检测环境异常并置零关键安全参数，从而提供一个合理的保 障，确保不会因环境异常破坏密码模块的安全性。 按照国家相关部门规定的、安全四级的非人侵式攻击缓解检测指标，检测密码模块中实现的、7.8 中规定的针对非人侵式攻击的缓解方法， 安全四级要求密码模块的设计应通过一致性验证，即验证前置和后置条件与功能规格之间的 致性

本标准中规定的安全要求涉及密码模块的安全设计和实现。安全要求从安全目标的最低等级开 治，随着安全目标等级的递增而增加。这些要求源于密码模块的下列功能性安全目标： 使用并正确实现核准的安全功能，以保护敏感信息； 防止非授权地操作或使用密码模块； 防止非授权地泄露密码模块的内容，其中包括关键安全参数； 防止对密码模块和密码算法进行非授权或检测不到的修改，包括非授权地修改、替换、插入和 删除敏感安全参数； 提供密码模块运行状态的指示； 保证密码模块在核准的工作模式下能够正确运行 检测出密码模块运行中的错误，防止这些错误非授权地公开、修改、替换或使用关键安全参数 或者非授权地修改或替换公开安全参数； 保证正确地设计分配和实现密码模块

GB/T 8657-2014 苯乙烯-丁二烯生橡胶 皂和有机酸含量的测定GB/T370922018

符合本标准的密码模块应[01.01]满足的安全要求。这些安全要求涵盖了密码模块的设计、实现、 操作以及废弃相关的域，具体包括：密码模块规格；密码模块接口；角色、服务和鉴别；软件/固件安全；运 行环境；物理安全；非人侵式安全；敏感安全参数管理；自测试；生命周期保障；以及对其他攻击的缓解。 表1总结了每个域的安全要求。 密码模块应[01.02]针对各个域的要求进行检测。密码模块应[01.03]在每个域中独立地进行评 级。上述11个安全域中，有些域随着安全等级的递增，安全要求也相应增加。密码模块在这些域中获 得的评级反映了密码模块在该域中所能达到的最高安全等级，即密码模块应满足该域针对该等级的所 有安全要求。另外一些域的安全要求不分安全等级，那么密码模块在这些域中将获得与整体评级相当 的评级。 除了在每个安全域中获得独立的评级之外，密码模块还将获得一个整体评级。整体评级设定为 11个域所获得的最低评级。 本标准要求密码模块提供相关的文档，具体要求见附录A和附录B。待确认或评估的密码模块应 01.04提供所有相关文档，包括用户和安装手册、设计说明、生命周期文档等。 附录C、附录D、附录E和附录F提供了核准的安全功能、核准的敏感安全参数生成和建立方法、核 准的鉴别机制以及非入侵式攻击及常用的缓解方法等相关内容

GB/T 370922018

7.2.1密码模块规格通用要求

密码模块应02.01是硬件、软件、固件，或它们之间组合的集合，该集合至少使用一个核准的密码 算法、安全功能或过程实现一项密码服务，并且包含在定义的密码边界内。 密码模块文档应[02.02按照A.2.2中规定的要求编写

7.2.2密码模块类型

密码模块应[02.03］定义为下列一种密码模块类型： 硬件密码模块：密码边界规定为硬件边线。固件和/或软件，其中还可以包括操作系统，可以被 包含在硬件密码边界内。 软件密码模块：密码边界为执行在可修改的运行环境中的纯软件部件（可以是一个或多个软件 部件)划定界线。软件密码模块的运行环境所包含的计算平台和操作系统，在定义的密码边界 之外。 固件密码模块：密码边界为执行在受限的或不可修改的运行环境中的纯固件部件划定界线， 固件密码模块的运行环境所包含的计算平台和操作系统，在定义的密码边界之外，但是与固件 密码模块明确绑定， 混合软件密码模块：密码边界为软件部件和分离的硬件部件（即软件部件不在硬件密码模块边 界中）的集合划定界线。软件运行的环境所包含的计算平台和操作系统，在定义的混合软件密 码模块边界之外。 混合固件密码模块：密码边界为固件部件和分离的硬件部件（即固件部件不在硬件密码模块边 界中）的合成划定界线。固件运行的环境所包含的计算平台和操作系统，在定义的混合固件密 码模块边界之外，但是与混合固件密码模块明确绑定。 对于硬件和固件密码模块，应[02.04满足7.7中规定的物理安全和7.8中规定的非人侵式安全的 有适用要求。 对于运行于可修改环境中的软件密码模块，应[02.05满足7.8中规定的非入侵式安全中的所有适 要求；7.7中规定的物理安全要求是可选的。 对于混合密码模块，应[02.06满足7.5中规定的软件/固件安全、7.6中规定的运行环境、7.7中规 的物理安全和7.8中规定的非人侵式安全中的所有适用要求

7.2.3.1密码边界通用要求

密码边界应[02.07]由定义明确的边线（例如，硬件、软件或固件部件的集合）组成，该边线建立了密 码模块所有部件的边界。本标准的要求应02.08适用于密码边界内的所有算法、安全功能、过程和部 牛。密码边界应02.09至少包含密码模块内所有安全相关的算法、安全功能、过程和部件（即本标准范 围内与安全相关的）。非安全相关的算法、安全功能、过程和部件也可以包含在密码边界内。用于核准 工作模式的非安全相关的算法、安全功能、过程和部件的实现应L02.10」不十扰或破坏密码模块核准的 运行。 密码模块的名称应L02.11」代表密码边界内的部件构成，不应代表大于实际范围的构成或产品。密 码模块应[02.12]至少具有代表每个互不相同的硬件、软件和/或固件部件的特定版本信息。 密码边界内的某些硬件、软件和/或固件部件可以从本标准的要求中排除。被排除的硬件、软件或 固件部件的实现应「02.131不干扰或破坏密码模块核准的安全运行。应[02.141阐明被排除的硬件、软

件或固件（见附录A）

7.2.3.2密码边界的定义

GB/T370922018

不同类型的密码模块，其密码边界有所差异，具体内容如下： a）硬件密码模块的密码边界应[02.15]划界并确定： 硬件部件集合，可包括： 在部件之间提供互联的物理配线的物理结构，包括电路板、基板或其他表面贴装； 有效电器元件，如半集成、定制集成或通用集成的电路、处理器、内存、电源、转换器等； 外壳、灌封或封装材料、连接器和接口之类的物理结构： 固件，可以包含操作系统： 上面未列出的其他部件类型。 b) 软件密码模块的密码边界应[02.16]划界并确定： 构成密码模块的可执行文件或文件集； 保存在内存中并由一个或多个处理器执行的密码模块的实例。 C) 固件密码模块的密码边界应[02.17]划界并确定： 构成密码模块的可执行文件或文件集； 保存在内存中并由一个或多个处理器执行的密码模块的实例。 d】混合密码模块的密码边界应[02.18]： 由密码模块硬件部件的边界以及分离的软件或固件部件的边界构成； 包含每个部件所有端口和接口的集合 混合密码模块除了分离的软件或固件部件，密码模块的硬件部件还可以包含嵌人式的软件或固

7.2.4.1工作模式通用要求

密码模块可以有核准的工作模式和非核准的工作模式。核准的工作模式是指密码模块在该工作模 式下只能使用核准的安全功能提供安全相关服务。 操作员应[02.19能够在核准的工作模式下操作密码模块。核准的工作模式应[02.20定义为一组 服务的集合，其中至少有一个服务使用了核准的密码算法、安全功能或过程。 非核准的密码算法、安全功能和过程或其他未规定于7.4.3中的服务不应[02.21]被操作员用于核 的工作模式中，除非非核准的密码算法或安全功能是核准的过程的一部分，而且与核准的过程的安全 无关。例如，使用非核准的密码算法或非核准的方式生成的密钥，混淆数据或关键安全参数，结果也被 视为未受保护的明文，且不能提供安全相关功能

7.2.4.2正常工作

正常工作是指算法、安全功能、服务或过程的完整集合都是可用的和/或可配置的。 核准的和非核准的服务和工作模式的关键安全参数应[02.22]相互分离，例如，不共享或不相互访 问。核准的随机数生成器的输出可以提供给非核准的算法、安全功能或过程，只要随机数生成器种子无 法在非核准的模式中访问就无需置零种子。 密码模块的安全策略应[02.23]为密码模块所包括的每个工作模式（核准的和非核准的)定义完整 的服务集合。 当服务正在以核准的方式使用核准的密码算法、安全功能或过程，以及其他规定于7.4.3中的服务 成过程的时候，该服务应「02.241给出相应的状态指示

GB/T370922018

7.2.4.3降级工作

降级工作是指当密码模块进入错误状态后，某些算法、安全功能、服务或过程的操作集合仍然是 的和/或可配置的。本标准要求当密码模块出现任何错误，都应[02.25]进入错误状态并停止工作 降级工作。

7.3.1密码模块接口通用要求

所有进出密码模块的逻辑信息流，都应[03.01]只能通过已定义的物理端口和逻辑接口，这些端口 和接口是出人密码边界的入口和出口。密码模块逻辑接口应[03.02]是相互分离的，这些逻辑接口可以 共享一个物理端口，例如，输入数据和输出数据可以使用同一个端口，或者逻辑接口也可以分布在一个 成多个物理端口上，例如，输入数据可以通过串口也可以通过并口。密码模块软件部件的应用程序接口 API)可以定义为一个或多个逻辑接口。 密码模块文档应「03.037按照A.2.3的要求编写

密码模块的接口类型包括： 硬件密码模块接口定义为用于请求硬件密码模块服务的命令全集，请求服务的命令中包括输 人到密码模块或者由密码模块输出的参数。 软件或固件密码模块接口定义为用于请求软件或固件密码模块服务的命令全集，请求服务的 命令中包括输入到密码模块或者由密码模块输出的参数。 混合固件或混合软件密码模块接口定义为用于请求混合固件或混合软件密码模块服务的命令 全集，请求服务的命令中包括输入到密码模块或者由密码模块输出的参数

密码模块应L03.04」具备下列五种接口（“输入”和“输出”是相对于密码模块而言的）： 数据输入接口：由密码模块处理的所有输入数据（通过“控制输人”接口输入的控制数据除外）， 包括明文、密文、敏感安全参数和另一个密码模块的状态信息，应03.05通过“数据输入”接口 输入。当密码模块执行7.10中自测试时，密码模块可以通过数据输入接口接收数据。 数据输出接口：除“状态输出”接口输出的状态数据以及通过“控制输出”接口输出的控制数据 之外，所有从密码模块输出的输出数据，包括明文、密文和敏感安全参数等，应03.06通过“数 据输出”接口输出。在执行手动输入、运行前自测试、软件/固件加载和置零的过程中，或者当 密码模块处在错误状态时，应03.07禁止通过“数据输出”接口输出数据。 控制输人接口：所有用于控制密码模块运行的输入命令、信号（例如，时钟输人）及控制数据（包 括手动控制如开关、按钮和键盘，以及功能调用)应[03.08通过“控制输人”接口输人。 控制输出接口：所有用于控制密码模块运行的输出命令、信号及控制数据（例如，对另一个密码 模块的控制命令）应［03.09］通过“控制输出”接口输出。当密码模块处于错误状态时，应 [03.10]禁止通过“控制输出”接口的控制输出，除非在安全策略中规定了一些例外情况。 状态输出接口：所有用于指示密码模块状态的输出信号、指示器（例如，错误指示器）和状态数 据包括返回码和物理指示器，比如视觉的（显示器，指示灯），声音的（蜂鸣器提示音，响铃），以 及机械的（振动器)]，应[03.11]通过“状态输出”接口输出。状态输出可以是显式的或隐式的。 除软件密码模块以外，所有密码模块还应[03.12]具备下列接口：

GB/T370922018

电源接口：输人密码模块的所有外部电能应[03.13]通过电源端口输入。电源端口不是必需 的，当所有能量由密码模块的密码边界内部提供或维持时（例如，通过内部电池），电源接口可 以不存在， 密码模块应[03.14]区分数据、控制信息和电源的输入，以及数据、控制信息、状态信息和电源的输 出。密码模块规格应[03.15]明确规定输人数据以及控制信息的格式，包括对所有可变长度输人的长度 限制。

可信信道是在密码模块和发送者或接收者之间建立的链路，用于安全传输未受保护的明文密钥分 鉴别数据以及其他关键安全参数。明文密钥指的是未经加密的密钥，或由非核准的方法混淆的密 可信信道在密码模块定义的输人或输出端口以及预期的发送者或接收者终端的通信链路上，可以 止窃听以及来自恶意的操作员/实体、进程或其他设备的物理或逻辑套改， 密码模块的可信信道要求包括： a）安全一级和安全二级： 对于安全一级和安全二级，没有可信信道要求， b 安全三级： 对于安全三级： 密码模块应[03.16]实现可信信道，用于在密码模块与发送者或接收者终端之间传输未受 保护的明文密钥分量、鉴别数据以及其他关键安全参数； 可信信道应L03.17防止在通信链路上的非授权修改、替换和泄露： 可信信道使用的物理端口应[03.18］与其他物理端口实现物理隔离；或可信信道使用的逻 辑接口应[03.19]与其他逻辑接口实现逻辑隔离； 基于身份的鉴别应L03.20]用于所有使用可信信道的服务； 当可信信道在使用时，应[03.21]提供状态指示器 c） 安全四级： 对于安全四级，除了安全三级的要求以外，基于身份的多因素鉴别应[03.22]用于所有使用可 信信道的服务

7.4角色、服务和鉴别

7.4.1角色、服务和鉴别通用要求

密码模块应[04.01]支持操作员的授权角色以及与每个角色相对应的服务。一个操作员可以担任 多种角色。如果密码模块支持多个操作员同时操作，那么密码模块内部应[04.02确保各个操作员担任 的角色相隔离及相应的服务相隔离。当服务执行不会修改、泄露或替换关键安全参数和公开安全参数 时，例如显示状态、自测试或者其他不影响密码模块安全的服务，操作员无需担任一个授权角色， 密码模块可能需要鉴别机制，以鉴别操作员对密码模块的访问，以及验证操作员是否被授权担任请 求的角色和执行该角色下的服务。 密码模块文档应[04.03］按照A.2.4中规定的要求编写

密码模块应04.04」至少支持密码主管角色。密码主管角色应04.05」负责执行密码初始化或管 能，以及常用的安全服务，例如，密码模块初始化、关键安全参数和公开安全参数的管理以及审 能。

GB/T370922018

密码模块可以支持用户角色。如果密码模块支持用户角色，那么用户角色应04.06」负责执行一般 的安全服务，包括密码操作和其他核准的安全功能 密码模块可以支持维护员角色。维护员角色是指在物理维护服务（例如，打开密码模块封盖）和/或 罗辑维护服务（例如，运行某种诊断如内置的自测试）时担任的角色。当进人或退出维护员角色时，所有 不受保护的敏感安全参数应[04.07］被置零。 除了上述角色以外，密码模块还可支持其他角色

7.4.3.1服务通用要求

服务应L04.08」指的是密码模块所能执行的所有服务、操作或功能。服务输入应L04.09」包括密码 莫块在启动或获取特定服务、操作或功能时，所使用的所有数据或控制输人。服务输出应[04.10］包括 由服务输入启动或获取的服务、操作或功能，所产生的所有数据和状态输出。每个服务输入应[04.11] 产生一个服务输出。 密码模块应[04.12]为操作员提供下列服务： a）显示密码模块版本号。密码模块应[04.13]输出名称或密码模块标识符以及版本信息，这些信 息可以与密码模块的确认记录相关联。 b) 显示状态。密码模块应[04.14］输出当前的状态。其中可以包括响应服务请求的状态指示器 的输出。 c) 执行自测试：密码模块应[04.15]执行初始化和规定于7.10.2中的运行前自测试。 d) 执行核准的安全功能。密码模块应L04.16至少执行一个在7.2.4中规定的核准的工作模式中 使用的核准的安全功能。 e）执行置零。密码应[04.17]按照7.9.7中的规定执行参数置零。 除了上述规定的服务以外，密码模块还可以提供其他的服务、操作或功能，包括核准的和非核准的， 些特定的服务可能不止一个角色使用它，例如，用户角1 和密码主管角色都可使用密钥输入服务

7.4.3.2旁路能力

旁路能力是指某种服务所具备的部分或全部绕过密码功能的能力。如果密码模块输出的数据是受 到密码技术保护的（例如，经过加密），但是通过更改密码模块的配置或者由于操作员的干预，密码模块 能够将数据直接输出（例如，不再经过加密），此时，应[04.18]定义该密码模块具有旁路能力。 如果密码模块实现了旁路能力，那么： 在开启密码模块的旁路功能之前，操作员应[04.19]担任相应的授权角色 应04.20使用两个独立的内部操作来激活劳路能力，以防止单个错误造成不经意地输出明文 数据。这两个独立的内部操作应04.21」能够改变用于控制旁路能力的软件和/或硬件配置 （例如，设置两个不同的软件或硬件标志位，其中一个可以由用户发起）。 对于安全四级密码模块，上述两个独立的内部操作应[04.22]由两个不同的操作员完成。 密码模块应[04.23]显示其状态以指示旁路能力是否： ·未被激活，表明密码模块此时只提供使用密码功能的服务（例如，明文数据经过加密之后 输出密码模块）； ·被激活，表明密码模块此时只提供没有使用密码功能的服务（例如，明文数据未经过加密 就输出密码模块）； ·同时存在激活和去活，表明密码模块此时提供的某些服务使用了密码功能，而某些服务没 有使用密码功能（例如，对于拥有多个通信信道的密码模块，明文数据是否被加密取决于

7.4.3.3自启动密码服务能力

GB/T370922018

自启动密码服务能力是指无需外界操作员请求，密码模块就能够执行密码操作和其他核准的安全 能或敏感安全参数管理技术。自启动密码服务能力应04.24」由密码主管配置，而且该配置可以在密 码模块经过重置、重启或开关电源之后保留下来。 如果密码模块实现了自启动密码服务能力，那么： 应[04.25］需要两个独立的内部操作来激活该能力，以防止单个错误造成不经意的输出。这两 个独立的内部操作应[04.26]能够改变用于控制该能力的软件和/或硬件配置（例如，设置两个 不同的软件或硬件标志位，其中一个可以由用户发起）。 对于安全四级密码模块，上述两个独立的内部操作应[04.27]由两个不同的操作员完成 密码模块应[04.28]显示其状态以指示自启动密码服务能力是否被激活

7.4.3.4软件/固件加载

如果密码模块具有加载外部软件或固件的能力，那么应L04.29」满足下列要求： 加载的软件或固件应04.30在加载之前经过确认机构的确认，以维持确认效力。 应[04.31]禁止通过数据输出接口输出数据，直到软件/固件加载完成以及加载测试成功通过。 在运行加载的代码之前应[04.32]执行7.10.3.4中规定的软件/固件加载条件自测试。 密码模块应04.33拒绝运行任何已经加载的或已被修改的核准安全功能，直到成功执行 7.10.2中规定的运行前自测试。 应L04.34修改密码模块的版本信息，以表示增加和/或更新了最新加载的7.4.3中的软件或 固件。 如果新软件或固件的加载是镜像的完全替换，它应L04.35」构成一个全新的密码模块，需要由确认 构重新确认，以维持确认效力。新加载的软件或固件镜像应04.36在密码模块上电重置之后才能运 斤。所有敏感安全参数应[04.371在运行新镜像之前被置零

密码模块可能需要鉴别机制以鉴别访问密码模块的操作员，并验证该操作员能否担任其请求的角 色，以及能否执行相应的服务。下列几类机制用于密码模块的访问控制： 基于角色的鉴别：如果密码模块支持基于角色的鉴别机制，那么密码模块应[04.38］要求操作员隐 式地或显式地选择一个或多个角色，并且应[04.39]鉴别其能否担任所选定的角色（或角色的集合）。不 要求密码模块鉴别操作员的个人身份。选择角色和鉴别能否担任所选定的角色可以结合起来进行。如 果密码模块允许操作员变换角色，且如果请求的新角色之前未被鉴别，那么密码模块应[04.40鉴别该 操作员能否担任该新角色。 基于身份的鉴别：如果密码模块支持基于身份的鉴别机制，密码模块应[04.41]要求单独且唯一标 只操作员，应L04.42要求操作员隐式地或显式地选择一个或多个角色，并且应L04.43鉴别操作员的身 分，以及操作员是否被授权担任所选定的角色（或角色的集合）。鉴别操作员的身份、选择角色，以及鉴 别能否授权担任所选定的角色可以结合起来进行。如果密码模块允许操作员变换角色，且如果请求的 新角色之前未被授权，那么密码模块应04.44验证经标识的操作员是否被授权担任该新角色 密码模块可以充许通过鉴别的操作员执行其授权角色所允许的所有服务，或者也可以针对每个服 务或一组服务分别进行鉴别。当密码模块被重置、重启、关闭且随后又被打开时，密码模块应[04.45]要 求重新鉴别操作员。 密码模块可能需要多种类型的鉴别数据以实现模块支持的鉴别机制，包括（但不限于）知道或拥有

GB/T370922018

令、PIN、密钥等；拥有物理钥匙、令牌等；或具备个人特征（例如，生物特征）。应[04.46]保护密码模 内的鉴别数据以防止非授权的泄露、修改和替换。核准的安全功能可被用于鉴别机制 鉴别机制的初始化允许特殊处理。如果第一次访问密码模块时，密码模块不包含鉴别操作员所需 鉴别数据，那么应04.47使用其他被授权的方法（例如，过程控制，使用出厂设置或默认的鉴别数据） 密码模块进行访问控制和初始化鉴别。如果使用了默认的鉴别数据来控制对密码模块的访问，那么 认的鉴别数据应L04.48在第一次鉴别后被更换。该默认的鉴别数据不需要满足7.9.7中置零要求。 鉴别机制可以是一组具有不同鉴别属性的机制，这些机制结合起来可以满足本条款的要求。如果 码模块使用安全功能鉴别操作员，那么那些安全功能应L04.49」是核准的安全功能。此外，密码模块 应满足下列要求： 密码模块应[04.50]实现附录E中规定的一种核准的鉴别机制。 在密码模块的安全策略文档（见附录B)中应[04.51]描述鉴别机制的强度。 对于每次核准鉴别机制的尝试使用，密码模块应[04.52]满足鉴别强度要求。对于在一分钟之 内对核准鉴别机制的多次尝试使用，密码模块应[04.53]满足鉴别强度要求。 核准的鉴别机制应[04.54]依赖于密码模块的具体实现，而不依赖于在文档中的过程控制或安 全规则（例如，口令长度限制）。 对于安全二级的软件密码模块，操作系统可以实现鉴别机制。如果操作系统实现了鉴别机制， 那么鉴别机制应04.55」满足本条的要求 在鉴别过程中，应[04.56]隐藏鉴别数据给操作员的反馈信息（例如，在输入口令时没有可视的 字符显示）。无意义的字符可以代替实际的鉴别数据显示。 在尝试鉴别的过程中，提供给操作员的反馈信息应[04.57]防止削弱鉴别机制强度。 密码模块对鉴别机制的采用，应满足下列要求： a）安全一级： 对于安全一级，不要求密码模块采用鉴别机制以控制对密码模块的访向。如果密码模块不支 持鉴别机制，密码模块应L04.58要求操作员隐式或显式地选择一个或多个角色。 b) 安全二级： 对于安全二级，密码模块应[04.59]至少采用基于角色的鉴别以控制对密码模块的访问。 c) 安全三级： 对于安全三级，密码模块应[04.60]采用基于身份的鉴别机制以控制对密码模块的访问。 d) 安全四级： 对于安全四级，密码模块应[04.61]采用基于身份的多因索鉴别机制以控制对密码模块的 访问。

密码模块定义为7.2.2中规定的硬件、软件、固件或混合密码模块。本条的要求应[05.01]适用于密 码模块的软件和固件部件。 完全由硬件实现的密码模块无需满足本标准的软件/固件安全要求 用于核准的完整性技术的签名验证公钥或HMAC的密钥可以存在于密码模块代码中，而且此时 艺们不被视为敏感安全参数， 密码模块文档应[05.02]按照A.2.5中规定的要求编写。 密码模块的软件和固件部件应满足下列要求： a）安全一级： 对于安全一级，下列安全要求应[05.03]适用于密码模块内的软件和固件部件： 所有的软件和固件应[05.04]符合7.11.7中的规定，确保安装前未被修改

GB/T370922018

密码边界内的所有软件和固件部件应[05.05］使用核准的完整性技术进行保护，这些完 整性技术可以由该密码模块提供，也可以由另一个经确认的密码模块提供， 如果完整性测试失败，密码模块应[05.06］进入错误状态。核准的完整性技术可以包含单 个鉴别码或签名，或者多个分离的消息鉴别码或签名。在多个分离的消息鉴别码或签名 中，任何一个消息鉴别码或签名验证失败都应[05.07]导致密码模块进入错误状态。一旦 完成了完整性测试，密码模块软件或固件的完整性测试的过程中生成的临时值应[05.08] 被置零。 操作员应L05.09」能够通过7.3.2中规定的硬件密码模块接口、软件或固件密码模块接口、 混合固件密码模块接口或混合软件密码模块接口服务按需执行核准的完整性技术。 一7.3.3中规定的密码模块的所有数据和控制输入，数据、控制和状态输出，以及7.4.3中规 定的服务，应[05.10]通过定义的硬件密码模块接口、软件或固件密码模块接口、混合固件 密码模块接口或混合软件密码模块接口完成。 对于软件或固件密码模块，如果加载的软件或固件镜像完全替换或覆盖了已确认的密码 模块镜像，则软件/固件加载测试是不适用的，因为替换或覆盖将形成一个新的密码模块， 如果新加载的软件或固件是密码模块运行所必须的，但不是完全替换或覆盖经确认的密 码模块，那么软件/固件加载测试是适用的，并且应[05.11]由经过确认的密码模块执行该 测试。 安全二级： 对于安全二级，除了安全一级的要求，还有下列要求应L05.12」适用于密码模块内的软件或固 件部件： 密码模块的软件和固件部件应[05.13]只包含可运行形式的代码，例如，不包括源代码、目 标代码或实时编译的代码。 应05.14确保操作员无法通过硬件密码模块接口、软件或固件密码模块接口、混合固件 密码模块接口或混合软件密码模块接口的服务或控制设置，启动或执行调试技术。 密码边界内的所有软件和固件应05.15使用核准的数字签名或带密钥的消息鉴别码进 行保护。如果计算的结果未能成功通过验证，则测试失败，并且密码模块应05.16进入 错误状态。 安全三级和安全四级： 对于安全三级和安全四级，除了安全一级和安全二级的要求，下列要求应L05.17」适用于密码 模块内的软件和固件部件： 密码边界内的所有软件和固件应L05.18」使用核准的数学签名进行保护。如果计算的结 果未能成功通过验证，则测试失败，并且密码模块应[05.19]进入错误状态。 数字签名技术可以包含单个签名，或者多个分离的签名，分离的签名中任何一个签名的验 证失败都应[05.20］导致密码模块进入错误状态。签名私钥应[05.21]保存在密码模 块外。

7.6.1运行环境通用要求

密码模块运行环境涉及对密码模块运行所需的软件、固件和/或硬件的管理。软件、固件或混合密 码模块的运行环境至少包括密码模块部件、计算平台、以及控制或支持软件或固件在计算平台上运行的 巢作系统。硬件密码模块内部可以包含一个运行环境，该环境可以包含支持密码模块内部软件或固件 运行的操作系统。如果适用的话，虚拟机（系统和/或进程）和运行时环境（例如，Java运行时环境

GB/T370922018

RE)也可以视为操作系统的一部分。 通用运行环境是指使用商用的通用操作系统（即资源管理器）来管理软件和固件部件，以及管理系 和操作员进程（线程），其中包括了通用的应用程序软件，如文字处理器等， 运行环境可以是不可修改的、受限制的或可修改的。以下条款阐明了三个特定的运行环境： a）不可修改的运行环境是设计成或配置成防止操作员或进程对密码模块部件、计算平台或操作 系统进行修改的运行环境，即该环境中的密码模块部件、计算平台或操作系统是不允许被修改 的。该环境可以包含运行在不可编程计算平台上的固件密码模块，或具有阻止加载任何其他 软件或固件能力的硬件密码模块。 b 受限制的运行环境是设计成或配置成允许操作员或进程受控地对密码模块部件、计算平台或 操作系统进行修改的运行环境，即该环境中的密码模块部件、计算平台或操作系统的修改应满 足相关的要求。该环境可以是运行于可编程硬件密码模块的固件，并且在该密码模块中加载 其他固件需要满足7.4.3.4中规定的固件加载要求。 c）可修改的运行环境是指通过重新配置可以增加/删除/修改某些功能的环境，和/或包含通用操 作系统功能（例如，可以选择使用计算机操作系统、配置智能卡操作系统或者加载可编程的软 件)的环境。如果操作员或进程可以修改软件部件，和/或加载和执行某些软件（例如，文字处 理器），这些软件不是已有软件、固件或混合密码模块中的一部分，则该操作系统被视为可修改 的运行环境。可修改的运行环境具有以下特点： 在运行环境内可以添加或修改功能。这些添加或者被修改的功能可能会干扰密码模块的运行，除 非运行环境禁止这样的干扰。在这样的环境中，要求运行在同一个运行环境下且不属于运行环境可信 部分的功能，除了通过密码模块已定义的接口以外，不能通过其他途径访问敏感安全参数。因此，要求 运行环境在运行时，具备把密码模块的功能与该运行环境中的其他功能相互隔离的能力，使得那些被隔 离的其他功能无法从密码模块中获取与关键安全参数相关的信息，而且除了密码模块自身提供的接口 以外，无法通过其他途径修改密码模块的关键安全参数、公开安全参数或执行流。可能需要对运行环境 进行特定的配置，以充分保护密码模块的代码和数据（例如，禁止密码模块进行特定类型的内部进程通 信，或者为含有密码模块敏感安全参数或代码的文件分配限制性访问权限）。 表2提供了一些运行环境的示例

对于不可修改或受限制的运行环境，用于保证该环境不可修改或受限制的控制部件可以包括计算 平台的、操作系统的或密码模块本身的属性，或者包括上述全部的属性。 在不可修改或受限制的环境下执行的代码在本标准中被视为固件。在可修改的环境下执行的代码 在本标准中被视为软件。 如果运行环境是不可修改或受限制的，7.6.2中规定的操作系统要求应[06.01]适用， 如果运行环境是可修改的，7.6.3中规定的操作系统要求应[06.02］适用。 密码模块文档应[06.03按照A.2.6中规定的要求编写

7.6.2受限或不可修改运行环境的操作系统要求

GB/T370922018

除了7.6.1中规定的通用安全要求，针对受限或不可修改运行环境的操作系统还规定了下列要求： a）安全一级： 如果密码模块在7.7中达到安全一级，则7.6.3中规定的安全一级的要求应[06.04]适用。 b 安全二级、安全三级、安全四级： 没有额外的要求

7.6.3可修改运行环境的操作系统要求

7.6.1中规定的通用安全要求，针对可修改运行环境的操作系统还规定了下列要求： 安全一级： 下列要求适用于安全一级密码模块的操作系统： 每一个密码模块的实例应[06.05]能够控制和支配自已的敏感安全参数。 运行环境应[06.06]提供应用进程间相互隔离的能力，以阻止进程间对关键安全参数不受 控的访问以及对敏感安全参数不受控的修改，无论关键安全参数和敏感安全参数是在进 程内存中还是存储在运行环境内的永久性存储体中。这保证了只有密码模块和运行环境 的可信部分可以直接访问敏感安全参数。对运行环境配置的规定应[06.07]记录在密码 模块的安全策略中。 如果密码模块产生进程，其产生的进程应[06.08］由密码模块自已所有，并且不由除密码 模块所在进程外的其他进程/操作员所有。 不能通过管理文档和流程来实施这些要求，而是应由密码模块本身来实施。 安全二级： 对于安全二级，除了安全一级的要求以外，操作系统还应L06.09满足下列要求或者经确认机 构许可： 密码模块所在的进程应[06.10由密码模块自已所有，并且与包括调用者进程在内的其他 进程逻辑隔离。 所有密码软件、敏感安全参数、控制和状态信息应[06.11在操作系统的控制之下。操作 系统实现了基于角色的访问控制，或者实现了自主访问控制，该自主访问控制可通过访 问控制列表（ACL)来定义新的组和分配权限，并且能够给每个用户分配多个组。操作系 统应[06.12]正确配置，以防止非授权地执行、修改和读取敏感安全参数、控制和状态 数据。 为了保护明文数据、密码软件、敏感安全参数和鉴别数据，操作系统具备以下访问控制机 制或能支持以下访问控制机制的实现： ·应[06.13]能够通过配置，对角色或组赋予仅能执行密码模块中密码软件的权限。 ·应[06.14]能够通过配置，对角色或组赋予仅能修改（写、替换和删除)存储在密码边界 内软件和数据的权限，这些软件和数据包括执行密码功能的程序、密码操作相关数据 （例如，密码操作的审计数据）、敏感安全参数和明文数据， ·应[06.15]能够通过配置，对角色或组赋予仅能读取密码操作相关数据（例如，密码操 作的审计数据）、关键安全参数和明文数据的权限 ·应[06.16］能够通过配置，对角色或组赋予仅能导人敏感安全参数的权限。 下列规定应[06.17］与密码模块安全策略文档中已定义的角色和服务相一致： ·当密码模块不支持维护员角色时，操作系统应[06.18］防止所有操作员和运行的进程 访问、使用、泄露、修改和替换正在运行的密码进程（例如，已加载的和正执行的密码

GB/T370922018

7.7.1物理安全实体

码模块的非授权使用或修改（包括整个密码模块的替换）。密码边界内的所有硬件、软件、固件、数

GB/T370922018

表3物理安全要求总结

GB/T370922018

总体而言，安全一级提出了最基本的安全要求。安全二级增加了拆卸存迹机制的要求，以及确保无 法对密码模块关键区域的内部操作收集信息的要求。安全三级增加了使用坚固或硬质的保形或非保形 外壳的要求，要求外壳的封盖和门具有拆卸检测和响应机制，并且要求抵抗通过开口或入口的直接探 测。安全三级还要求具备环境失效保护（EFP)或环境失效测试（EFT）。安全四级进一步增加了使用坚 固或硬质的保形或非保形外壳的要求，要求整个外壳具有拆卸检测和响应机制。安全四级还要求具备 环境失效保护，以及防止故障注人攻击。 当密码模块被设计成允许物理访问（例如，被密码模块厂商或其他授权个体访问）时，需要为维护访 同接口规定安全要求。拆卸检测和拆卸响应并不能代替显式的拆卸证据。 密码模块文档应[07.07]按照A.2.7中规定的要求编写

7.7.2通用物理安全要求

下列要求应L07.08」适用于所有密码模块物理实体： 密码模块文档应[07.09］阐述密码模块的物理实体以及所实现的物理安全机制达到的安全 等级。 每当为物理安全进行置零操作时，应[07.10］在极短的时间内执行置零，以防止敏感数据在检 测到拆卸行为与密码模块置零之间泄露出去。 如果密码模块包含的维护角色需要对密码模块内容进行物理访问，或者密码模块被设计成允 许物理访问（例如，被密码模块厂商或其他授权个体访问），那么： ·应[07.11]定义维护访问接口。 ·维护访问接口应[07.12]包括所有通向密码模块内容的物理访问路径，包括任何封盖或门。 ·维护访问接口内包含的任何封盖或门应07.13」使用适当的物理安全机制来进行安全 保护。 密码模块的通用物理安全要求包括： a）安全一级 下列要求应[07.14]适用于安全一级的所有密码模块： 密码模块应[07.15]由产品级部件组成，这些产品级部件采用了标准钝化技术，例如，对整 个密码模块电路使用保形涂料或封闭底漆，以防止环境损害或其他物理损害。 一当维护密码模块时，应[07.16］由操作员按照规定的程序执行置零，或由密码模块自动 执行。 b）安全二级 除了安全一级的通用要求，安全二级的所有密码模块还应[07.17]满足下列要求： 在尝试物理访问密码模块时，密码模块应[07.18］提供显式的拆卸证据（例如，在封盖、外 壳或封条上）。 拆卸存迹的材料、涂层或外壳应[07.19]在可见光谱内（即波长范围为400nm～750nm） 是不透明或者半透明的，从而防止对密码模块关键区域的内部操作进行信息收集。 如果密码模块包含通风孔或缝，那么孔或缝应[07.20]具有特殊的构造，从而防止通过直 接观察密码模块内部的构造或部件进行信息收集。上述直接观察利用了密码模块内部结 构或部件发出的可见光。 c）安全三级 除了对安全一级和安全二级的通用要求，安全三级的所有密码模块还应[07.21］满足下列 要求： 如果密码模块含有任何门或封盖，或者定义了维护访问接口，那么密码模块应[07.22]包 含拆卸响应与置零电路。在打开门、封盖或维护访问接口时，拆卸响应与置零电路应[07

GB/T370922018

23立即置零所有未受保护的敏感安全参数。当密码模块内包含未受保护的敏感安全参 数时，拆卸响应与置零电路应07.24」保持运行状态 如果密码模块含有通风孔或缝，那么孔或缝应[07.25]具有特殊的构造，从而防止未被检 测到的对密码模块内部的物理探测（例如，防止使用单铰链探头探测）。 当密码模块温度超出运行、存放和分发的预期温度范围时，坚固或硬质的保形或非保形的 外壳、涂层或灌封材料应[07.26］维持强度和硬度特征， 如果便用了拆卸封条，那么应L07.27」使用被唯一编号或者能够独立识别的封条（例如，唯 编号的存迹胶带或可唯一识别的手写封条）。

除了安全一级、安全二级和安全三级的通用要求，安全四级的所有密码模块还应[07.29］满足 下列要求： 密码模块应[07.30]使用抗移除的硬质不透明涂层或具有拆卸响应和置零能力的拆卸检 测封套保护起来。 密码模块应[07.31具有EFP特性 密码模块应L07.32提供保护措施，以防止故障注入攻击。故障注入攻击的缓解技术以及 采用的缓解指标应[07.33]在文档中按照附录B规定的要求进行记录

7.7.3物理安全实体的物理安全要求

7.7.3.1单芯片密码模块

除了7.7.2中规定的通用安全要求，还针对单芯片密码模块规定了下列要求： ）安全一级： 对安全一级的单芯片密码模块没有其他额外要求。 b) 安全二级： 除了安全一级的要求，安全二级的单芯片密码模块还应[07.34]满足下列要求： 应[07.35］使用拆卸存迹涂层（例如，拆卸存迹的钝化材料或覆盖在钝化层上的拆卸存迹 材料)把密码模块覆盖起来，或者将密码模块装在一个拆卸存迹的外壳中，以阻止直接观 察、探测或操控密码模块，并在企图拆卸或移动密码模块后留下证据。 c）安全三级： 除了安全一级和安全二级的要求，安全三级的单芯片密码模块还应[07.36］满足下列要求： 应[07.37］使用拆卸存迹的硬质不透明涂层（例如，涂在钝化层上的硬质不透明环氧树脂） 把密码模块覆盖起来。或 应L07.38实现密码模块的外壳，以致企图或穿透外壳的行为应L07.39极有可能对密码 模块造成严重损害，即密码模块将不能工作。 d) 安全四级： 除了安全一级、安全二级和安全三级要求，安全四级的单芯片密码模块还应[07.40]满足下列 要求： 应[07.41]使用抗移除的硬质不透明涂层将密码模块覆盖起来，该涂层具有硬度与黏力特 性，以致企图剥落或撬开涂层的行为将极有可能对密码模块造成严重损害，即密码模块将 不能工作。 抗移除的涂层应[07.42]具有溶解特性，以致企图溶解涂层的行为将极有可能溶解或严重 损害密码模块，即密码模块将不能工作

GB/T370922018

7.7.3.2多芯片嵌入式密码模块

除了7.7.2中规定的通用安全要求，还针对多芯片嵌人式密码模块规定了下列要求： a）安全一级： 如果密码模块被装在一个外壳或封盖中，那么应[07.43]使用产品级的外壳或封盖。 b）安全二级： 除了安全一级的要求，安全二级的多芯片嵌入式密码模块还应07.44满足下列要求： 应L07.45使用拆卸存迹的涂层或灌封材料（例如，耐腐蚀涂层或防渗透涂料)把密码模块 部件覆盖起来，以阻止直接观察，并提供企图拆卸或移动密码模块部件的证据。或 密码模块应[07.46]被整个地包在金属或硬质塑料的产品级外壳中，该外壳可以有门或封 盖。如果外壳包含任何门或封盖，则门或封盖应[07.47]使用带有物理或逻辑钥匙的防撬 锁，或者应[07.48］被拆卸存迹的封条保护起来（例如，存迹胶带或全息封条）。 安全三级： 除了安全一级和安全二级的要求，下列要求应[07.49］适用于安全三级的多芯片嵌人式密码 模块： 应[07.50使用硬质涂料或灌封材料（例如，硬质环氧树脂材料）把密码模块内的多芯片实 体电路覆盖起来。或 密码模块应[07.51]被封装在坚固的外壳内。以致企图移除或穿透外壳的行为将极有可 能对密码模块造成严重损害，即密码模块将不能工作。 ）安全四级： 除了安全一级、安全二级和安全三级的要求，下列要求应07.52」适用于安全四级的多芯片嵌 入式密码模块： 密码模块部件应L07.53」封装在坚固或硬质的保形或非保形的外壳中。外壳应L07.54」用 拆卸检测封套（例如，带有蛇形导线的柔性聚酯薄膜印制电路，或绕线式的包装，或无弹性 易碎电路，或坚固的外壳)封装起来，该封套应L07.55」能够检测到企图访问感安全参数 的拆卸行为，包括切、钻、磨、碾、烧、熔、溶解灌封材料或外壳等。 密码模块应[07.56包含拆卸响应和置零电路。拆卸响应和置零电路应[07.57能够持续 地监控拆卸检测封套，并且一且检测到拆卸行为就应L07.58」立即置零所有未受保护的敏 感安全参数。当密码模块内包含未受保护的敏感安全参数时，拆卸响应电路应[07.59]保 持运行状态

7.7.3.3多芯片独立式密码模块

除了7.7.2中规定的通用安全要求，针对多芯片独立式密码模块还规定了下列要求： a）安全一级： 密码模块应[07.60］整个被封装在金属或硬质塑料的产品级外壳内，外壳可以有门或封盖。 b)“ 安全二级： 除了安全一级的要求，安全二级的多芯片独立式密码模块还应[07.61]满足下列要求： 如果密码模块的外壳含有任何门或封盖，那么门或封盖应07.62」安装带有物理或逻辑钥 匙的防撬机械锁，或者应[07.63］使用拆卸存迹的封条（例如，存迹胶带或全息封条）进行 保护。 c) 安全三级： 除了安全一级和安全二级的要求，安全三级的多芯片独立密码模块还应[07.64］满足下列 要求：

GB/T370922018

密码模块应[07.65被封装在坚固的外壳内，以致企图移除或穿透外壳的行为将极有可能 对密码模块造成严重损害，即密码模块将不能工作。 d 安全四级： 除了安全一级、安全二级和安全三级的要求，安全四级的多芯片独立式密码模块还应07.66] 满足下列要求： 密码模块的外壳应[07.67]封装在使用下列一种或多种拆卸检测机制的拆卸检测封套内 拆卸检测机制包括：封盖开关（如微型开关、磁霍尔效应开关、永磁驱动器等）、动作探测器 （如超声波、红外线、微波探测器)或者7.7.3.2中规定的安全四级描述的其他拆卸检测机 制。拆卸检测机制应[07.68］能够对企图访问敏感安全参数的攻击做出响应，诸如切、钻、 铣、磨、烧、熔、溶解等。 密码模块应L07.69」包含拆卸响应和置零电路。拆卸响应和置零电路应L07.70」能够持续 地监控拆卸检测封套，并且一且检测到拆卸行为就应[07.71立即置零所有未受保护的敏 感安全参数。当密码模块内包含未受保护的敏感安全参数时，拆卸响应和置零电路应 07.72保持运行状态

7.7.4环境失效保护（测试）

7.7.4.1环境失效保护（测试）通用要求

电子设备和电路都被设计成在特定的环境条件范围内运行。故意或意外超出密码模块正常运行电 压和温度范围，会导致电子设备或电路运行不稳定，也可能会导致电子设备或电路失效，从而危及密码 模块的安全。密码模块具有环境失效保护（EFP)特性或者经过环境失效测试（EFT），都能够合理地保 证密码模块的安全性不被极端的环境条件所破坏。 对于安全一级、安全二级，密码模块不要求具有EFP特性或经过EFT。安全三级的密码模块应 07.73］具有EFP特性或经过EFT。安全四级的密码模块应［07.74具有EFP特性

7.7.4.2环境失效保护特性

EFP特性应[07.75]保护密码模块，防止由于故意或意外超出密码模块正常运行范围，对密码模块 的安全性造成破坏。 密码模块应[07.76]对超出阐明的正常运行的温度和电压范围进行监控并做出正确响应， 如果温度或电压超出密码模块的正常运行范围，则保护电路应[07.77]： 关闭密码模块，防止继续运行。或 立即置零所有未受保护的敏感安全参数

7.7.4.3环境失效测试利

EFT应07.78」对密码模块进行分析、仿真和测试，从而提供合理的保障，确保密码模块的安全性 不会因密码模块温度和电压超出正常运行范围（故意的或意外的）而遭到破坏。 EFT应[07.79]表明：如果密码模块的运行温度或电压超出正常运行范围并引起故障，密码模块的 安全性应[07.80］不会遭到破坏。 温度范围应[07.81]按照下列方式测试：从正常运行温度范围内下降到最低温度，此时要么密码模 关闭防止继续运行，要么立即置零所有未受保护的敏感安全参数；并且应从正常运行温度范围内上升 到最高温度，此时要么密码模块关闭防止继续运行，要么立即置零所有未受保护的敏感安全参数。温度 的测试范围应[07.82]为一100℃～十200℃；而且，一且密码模块被关闭以防止继续运行，或所有未受 保护的敏感安全参数被立即置零，或密码模块进入故障模式，则测试应[07.83］立即中断。应[07.84]在

GB/T370922018

敏感部件和关键设备处，而不仅在物理边界上，对温度进行内部实时监测。 电压范围应[07.85]按照下列方式测试：逐渐从正常运行电压范围内下降到最低电压，此时要么密 码模块关闭防止继续运行，要么立即置零所有未受保护的敏感安全参数：并且应[07.86］逐渐从正常运 行电压范围内上升到最高电压，此时要么密码模块关闭防止继续运行，要么立即置零所有未受保护的敏 感安全参数。

非人侵式攻击是指没有通过物理方式修改或人侵密码模块就可以获取密码模块关键安全参数相关 信息，从而破坏密码模块安全性的一种攻击手段。密码模块可以实现各种技术来缓解这些类型的攻击。 寸于本标准提出的每一个安全功能，其对应的非人侵式攻击的缓解检测指标应符合国家相关部门的有 关要求。 如果由密码模块实现、用于保护密码模块关键安全参数的非人侵式攻击的缓解技术不在附录 中，则这些技术应08.01满足7.12中规定的要求 如果由密码模块实现、用于保护密码模块关键安全参数的非人侵式攻击的缓解技术在附录F中 划这些技术应[08.02］满足下列要求。 密码模块文档应[08.03]按照A.2.8中规定的要求编写。 针对非人侵式安全还规定了下列要求： a）安全一级和安全二级： 对于安全一级和安全二级，文档应L08.04」闸明用于保护密码模块关键安全参数免受附录F中 的所有非入侵式攻击的缓解技术。如果有相应措施，文档应08.05」包括可以证明每个缓解技 术有效性的证据。 b）安全三级： 对于安全三级，除了安全一级和安全二级的要求，密码模块应[08.06]实现用于保护密码模块 关键安全参数免受附录F中的所有非人侵式攻击的缓解技术，文档应[08.07]包括可以证明每 个缓解技术有效性的证据，并提供检测方法。 c) 安全四级： 对于安全四级，除了安全一级、安全二级和安全三级的要求，密码模块应[08.08]接受检测以满 足附录F的要求

7.9敏感安全参数管理

7.9.1敏感安全参数管理通用要求

敏感安全参数包括关键安全参数和公开安全参数。敏感安全参数管理的安全要求涵盖了密码模块 中敏感安全参数的整个生命周期。敏感安全参数管理包括随机数生成器、敏感安全参数生成、敏感安全 参数建立、敏感安全参数输人和输出、敏感安全参数存储以及未受保护的敏感安全参数置零。 加密的关键安全参数是指使用核准的安全功能加密的关键安全参数。在本标准范围内，采用非核 准的安全功能加密的关键安全参数在本标准中被视为未受保护的明文。 关键安全参数应09.01在密码模块内受保护以防止非授权的访问、使用、泄露、修改和替换。 公开安全参数应[09.02]在密码模块内受保护以防止非授权的修改和替换， 密码模块应[09.03将生成的、输入或输出密码模块的敏感安全参数，与该敏感安全参数相应的实 体（即人、组、角色、或进程）关联起来。 口令的杂凑值、随机数生成器状态信息和密钥生成的中间值应[09.04]被视为需要受保护的关键安 全参数。

密码模块文档应「09.05按照A.2.9中规定的要求编写

GB 50840-2012 矿浆管线施工及验收规范 含条文说明7.9.2随机数生成器

GB/T370922018

密码模块可以包含随机数生成器、随机数生成器链，或者其自身就是一个随机数生成器。附录C 中列出了国家密码管理主管部门对核准的随机数生成器的要求。 如果核准的安全功能、敏感安全参数生成或敏感安全参数建立方法需要随机值，则应L09.06使用 核准的随机数生成器提供这些值。 如果嫡是从密码边界外部收集的，那么使用该作为输人所生成的数据流应[09.07]被视为关键安 全参数。对任何一个关键安全参数，无论嫡从密码边界内部还是外部收集，收集的最小嫡值应[09.08] 不小于256比特且不小于关键安全参数的比特长度。如果煽从内部收集，还应L09.09」描述随机数的产 生原理。

7.9.3敏感安全参数的生成

敏感安全参数可以由密码模块内部生成，也可以由输入到密码模块的敏感安全参数衍生。 如果敏感安全参数的生成使用了核准随机数生成器的输出，破坏该方法的安全性（例如，猜测用于 初始化确定性随机数生成器的种子值)应[09.10］至少与猜测已生成的敏感安全参数值的代价相当。 密码模块应09.11使用附录D中的核准生成方法来生成敏感安全参数，即该敏感安全参数使用核 准的随机数生成器输出生成，或者通过核准的安全功能或建立方法，利用导人密码模块的敏感安全参数 衍生

7.9.4敏感安全参数的

傲感安全参数建立可以包括： 自动的敏感安全参数传输或敏感安全参数协商方法。或 通过直接或电子方法进行手动的敏感安全参数输人或输出。 自动的敏感安全参数建立应[09.12]使用附录D中的核准方法。手动的敏感安全参数建立应 [09.13］满足7.9.5中规定的要求

7.9.5敏感安全参数的输入和输出

敏感安全参数可以手动输人到密码模块或从密码模块输出，手动输入输出可以是直接的（例如，通 过键盘或数字键盘输人QLKR 0001S-2015 丽江康然辣木产业有限公司 辣木叶粉片，或通过显示器输出），也可以是电子的（例如，通过智能卡/令牌、PC卡、其他电 子密钥加载设备，或密码模块操作系统）。如果敏感安全参数是手动输人到密码模块或从密码模块输 出，输人或输出应09.14通过7.3.2中规定的已定义的硬件密码模块接口、软件或固件密码模块接口、 混合固件密码模块接口或混合软件密码模块接口。 所有受密码技术保护的敏感安全参数，无论是输入密码模块的或从密码模块输出的，都应[09.15] 使用核准的安全功能进行加密。 对于直接输入的敏感安全参数，输入值可以在短暂时间内显示出来，以允许视觉验证以及提高准确 度。如果加密的敏感安全参数直接输入到密码模块，则敏感安全参数的明文值不应[09.16]显示出来。 直接输入（明文或加密）的敏感安全参数应[09.17]在输人密码模块的过程中，使用7.10.3.5中规定的手 动输入条件自测试进行验证，以保证准确度， 为了防止不经意地输出敏感信息，应[09.18]需要两个独立的内部操作来执行任意明文关键安全参 数的输出。这两个独立的内部操作应[09.19]专门用于共同控制关键安全参数的输出。 对于通过无线连接的电子输入或输出，密钥分量、鉴别数据以及其他关键安全参数应[09.20］经过 加密