(高清版)GBT 33565-2024 网络安全技术 无线局域网接入系统安全技术要求

代替GB/T33565—2017网络安全技术无线局域网接入系统安全技术要求2024-04-25发布国家市场监督管理总局国家标准化管理委员会IGB/T33565—2024 V l2规范性引用文件 1 14缩略语 25无线局域网接入系统 2 2 36安全问题 36.1威胁 36.1.1未授权管理(T.UNAUTHORIZED_MANAGEMENT) 36.1.2未授权访问(T.UNAUTHORIZED_ACCESS) 36.1.3加密破解(T.CRYPTOGRAPHY_COMPROMISE) 46.1.4管理口令破解(T.ADMINISTRATOR_PASSWORD_CRACKING) 46.1.5弱终端认证(T.WEAK_AUTHENTICATION_ENDPOINTS) 46.1.6安全凭证受损(T.SECURITY_CREDENTIAL_COMPROMISE) 46.1.7更新受损(T.UPDATE_COMPROMISE) 46.1.8网络暴露(T.NETWORK_DISCLOSURE) 46.1.9安全功能失效(T.SECURITY_FUNCTIONALITY_FAILURE) 46.1.10不可信信道(T.UNTRUSTED_COMMUNICATION_CHANNELS) 46.1.11重放攻击(T.REPLAY_ATTACK) 46.1.12未知活动(T.UNDETECTED_ACTIVITY) 46.1.13残留信息利用(T.RESIDUAL_DATA_EXPLOIT) 56.1.14资源消耗(T.RESOURCE_EXHAUSTION) 56.1.15网络劫持(T.HIJACK_ATTACK) 56.2组织安全策略 56.2.1接入告知(P.ACCESS_BANNER) 56.2.2密码管理(P.CRYPTOGRAPHY_MANAGEMENT) 56.2.3认证应用(P.AUTHENTICATION_USAGE) 56.3假设 56.3.1物理保护(A.PHYSICAL_PROTECTION) 56.3.2有限功能(A.LIMITED_FUNCTIONALITY) 56.3.3连接(A.CONNECTION) 5ⅡGB/T33565—20246.3.4可信管理员(A.TRUSTED_ADMINISTRATOR) 56.3.5定期更新(A.REGULAR_UPDATES) 6.3.6管理员凭证安全(A.ADMINISTRATOR_CREDENTIALS_SECURE) 66.3.7组件正常运行(A.COMPONENTS_RUNNING) 66.3.8无遗留信息(A.NO_REMAINING_INFORMATION) 67安全目的 6 7.1.1加密功能(O.CRYPTOGRAPHIC_FUNCTIONS) 7.1.2身份验证(O.AUTHENTICATION) 6 67.1.4系统监测(O.SYSTEM_MONITORING) 7.1.5TOE管理员(O.TOE_ADMINISTRATOR) 67.1.6可信信道(O.TRUSTED_CHANNEL) 67.1.7资源管理(O.RESOURCE_MANAGEMENT) 67.1.8残留信息清除(OE.RESIDUAL_INFORMATION_ERASE) 77.1.9可信更新(O.TRUSTED_UPDATE) 77.1.10分布式管理(O.DISTRIBUTED_MANAGEMENT) 77.1.11访问控制(O.ACCESS_CONTROL) 7.2环境安全目的 77.2.1物理(OE.PHYSICAL) 77.2.2非通用功能(OE.NO_GENERAL_PURPOSE) 77.2.3管理员可信(OE.ADMINISTRATOR_TRUSTED) 7.2.4更新机制(OE.UPDATE_MECHANISM) 7.2.5管理员凭证安全(OE.ADMINISTRATOR_CREDENTIALS_SECURE) 7.2.6组件可用性(OE.COMPONENTS_SERVICEABILITY) 7.2.7遗留信息清除(OE.REMAINING_INFORMATION_ERASE) 87.2.8连接(OE.CONNECTIONS) 87.2.9可信时间(OE.TIME) 88安全要求 88.1安全功能要求 8.1.1安全功能要求分级 88.1.2安全审计(FAU) 8.1.3密码支持(FCS) 8.1.4用户数据保护(FDP) 8.1.5标识和鉴别(FIA) 8.1.6安全管理(FMT) 8.1.7TSF保护(FPT) ⅢGB/T33565—20248.1.8TOE访问(FTA) 8.1.9可信路径/信道(FTP) 8.1.10资源利用(FRU)和通信(FCO) 8.2安全保障要求 9基本原理 9.1安全目的基本原理 9.2安全要求基本原理 9.3组件依赖关系基本原理 附录A(规范性)分布式无线局域网接入系统组件安全功能要求分配关系 附录B(规范性)无线局域网接入系统安全功能要求对应的可审计事件 参考文献 V本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。本文件代替GB/T33565—2017《信息安全技术无线局域网接入系统安全技术要求(评估保障级2级增强)》,与GB/T33565—2017相比，除结构调整和编辑性改动外，主要技术变化如下：a)更改了TOE范围(见第5章，2017年版的第6章);b)更改了无线局域网接入系统面临的威胁，包括15类威胁、3项组织安全策略和8个假设(见第6章，2017年版的第7章);c)更改了“TOE安全目的”和“环境安全目的”,包括11项TOE的安全目的，9项环境安全目的(见第7章，2017年版的第8章);d)更改了无线局域网接入系统安全功能要求，包括10类81项安全功能要求(见8.1,2017年版的第9章、第10章);e)根据无线局域网接入系统技术发展，更改了最新安全保障要求(见8.2,2017年版的9.2);f)增加了“基本原理”,包括安全问题与安全目的、安全目的与安全要求间的对应关系和组件间的依赖关系(见第9章)。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国网络安全标准化技术委员会(SAC/TC260)提出并归口。本文件起草单位：中国信息安全测评中心，中国科学院信息工程研究所、中车工业研究院有限公司、北京交通大学、华为技术有限公司、西安西电捷通无线网络通信股份有限公司、公安部第一研究所、中国电子技术标准化研究院、北京天融信网络安全技术有限公司、深信服科技股份有限公司、郑州信大捷安信息技术股份有限公司、长扬科技(北京)股份有限公司、深圳市信锐网科技术有限公司、北京路云天网络安全技术研究院有限公司、西安交大捷普网络科技有限公司、中孚信息股份有限公司、国网区块链科技(北京)有限公司、中国网络安全审查技术与认证中心、新华三技术有限公司、中国电力科学研究院有限公司。王海翔。本文件及其所代替文件的历次版本发布情况为：——2017年首次发布为GB/T33565—2017;——本次为第一次修订。1网络安全技术无线局域网接入系统安全技术要求1范围本文件规定了无线局域网接入系统的安全功能要求和安全保障要求，给出了无线局域网接入系统面临安全问题的说明。本文件适用于无线局域网接入系统的测试、评估和采购，以及指导该类产品的研制和开发。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。GB15629.11信息技术系统间远程通信和信息交换局域网和城域网特定要求第11部分：无线局域网媒体访问控制和物理层规范GB/T18336.1—2024网络安全技术信息技术安全性评估准则第1部分：简介和一般模型GB/T18336.2—2024网络安全技术信息技术安全性评估准则第2部分：安全功能要求GB/T18336.3—2024网络安全技术信息技术安全性评估准则第3部分：安全保障要求GB/T25069—2022信息安全技术术语GB/T32213—2015信息安全技术公钥基础设施远程口令鉴别与密钥建立规范GB/T32915—2016信息安全技术二元序列随机性检测方法GB/T32918.3—2016信息安全技术SM2椭圆曲线公钥密码算法第3部分：密钥交换协议GB/T35276—2017信息安全技术SM2密码算法使用规范GB/T39786—2021信息安全技术信息系统密码应用基本要求3术语和定义GB/T25069—2022和GB/T18336.1—2024界定的以及下列术语和定义适用于本文件。无线局域网接入系统wirelesslocalareanetworkaccesssystem;WLANaccesssystem能实现无线局域网客户端接入无线局域网络的，由软件和硬件构成的设备或者系统。接入控制器accesscontroller实现无线局域网客户端接入无线局域网络的控制设备。一种提供无线局域网客户端与有线网络之间的访问，在无线网络和有线网络之间转发帧的网络接2下列缩略语适用于本文件。AC:接入控制器(AccessController)AP:访问点(AccessPoint)EAL:评估保障级(EvaluationAssuranceLevel)PP:保护轮廓(ProtectionProfile)SFP:安全功能策略(SecurityFunctionPolicy)SFR:安全功能要求(SecurityFunctionalRequirement)TOE:评估对象(TargetofEvaluation)TSF:评估对象安全功能(TOESecurityFunctions)TSP:评估对象安全策略(TOESecurityPolicy)WAPI:无线局域网鉴别与保密基础结构(WLANAuthenticationandPrivacyInfrastructure)WAS:无线局域网接入系统(WLANAccessSystem)WLAN:无线局域网(WirelessLocalAreaNetwork)5无线局域网接入系统无线局域网接入系统是一种基于IEEE802.11和GB15629.11系列标准中协议族构建的由软件和硬件构成的设备或者系统，通常由一个接入控制器AC和一个或多个访问点AP构成，位于被接入网络边缘，服务于无线局域网客户端与被接入网络间的安全通信。无线局域网接入系统支持管理、认证、加密以及保护和处理通信数据等安全功能，在无线局域网客户端和被接入网络之间提供安全通信，保护一个典型的无线局域网接入系统的运行环境如图1所示。3ACAC无线局域网客户端无线局域网接入系统被接入网络图1典型无线局域网接入系统运行环境WAS安全技术要求分为3个等级。——EAL2+:同时符合EAL2+级安全功能要求和EAL2级安全保障要求，主要应用于家庭、个人用户和有限商业。——EAL3:同时符合EAL3级安全功能要求和EAL3级安全保障要求，主要应用于组织、个人用户和一般商业。—EAL4:同时符合EAL4级安全功能要求和EAL4级安全保障要求，主要应用于专有的高安全等级领域。本文件适用于遵循IEEE802.11系列标准中协议的一个或多个AP、AC及其中运行的管理应用程序。在物理组件层面它们或分布存在，或集成为单一设备。本文件的TOE仅含远程管理路径保护，本地和远程登录认证，安全相关事件审计，加密验证更新来源以及防护常见的网络攻击等基础安全功能。其他安全功能不在本文件的评估范围内。6安全问题6.1.1未授权管理(T.UNAUTHORIZED_MANAGEMENT)威胁主体通过假冒管理员、重放管理会话或中间人攻击等手段获取管理权限，或者通过提供错误的管理信息，实现对管理会话或不同设备之间会话的访问干预。威胁主体在获取管理员权限后会危害设备及所在网络的安全功能，例如损害TOE安全特性更新、修改设备安全配置、修改权限信息等。6.1.2未授权访问(T.UNAUTHORIZED_ACCESS)威胁主体试图访问位于受保护网络上的服务，这些服务仅能从受保护网络内部访问，或者只能通过受保护网络认证过的途径访问。46.1.3加密破解(T.CRYPTOGRAPHY_COMPROMISE)威胁主体尝试破解弱的加密算法或者穷举密钥空间。加密算法、模式和密钥长度的不当选择，使得威胁主体能以最小代价破解加密算法或暴力耗尽密钥空间，实现未授权访问，从而危害网络设备及信息安全。6.1.4管理口令破解(T.ADMINISTRATOR_PASSWORD_CRACKING)威胁主体破解管理员弱口令获得系统超级权限，从而不受约束地访问网络，获取数据，在网络中伪装成可信主体，损害网络信息安全。6.1.5弱终端认证(T.WEAK_AUTHENTICATION_ENDPOINTS)威胁主体利用弱终端认证方法，例如弱口令等，伪装成管理员或其他设备实施中间人攻击，导致关键网络流量暴露，破坏数据传输的机密性和完整性，甚至破坏TOE安全。6.1.6安全凭证受损(T.SECURITY_CREDENTIAL_COMPROMISE)威胁主体通过篡改证书等方法持续访问TOE及关键数据。例如将原证书替换为非法证书，修改已有证书或者直接盗用管理员或设备的证书。6.1.7更新受损(T.UPDATE_COMPROMISE)威胁主体通过篡改软件或固件的更新，来破坏TOE的安全功能，而未经验证或使用不安全方法验6.1.8网络暴露(T.NETWORK_DISCLOSURE)威胁主体对受保护网络上的设备进行未经授权的活动。如果恶意的外部设备能与受保护网络上的设备通信，或者受保护网络上的设备能与这些外部设备建立通信，则这些内部设备极易遭受未授权的信息暴露。6.1.9安全功能失效(T.SECURITY_FUNCTIONALITY_FAILURE)威胁主体利用安全功能失效，在未认证的情况下使用或滥用安全功能，以访问和修改设备数据、关键网络流量或者安全功能配置。TOE的安全机制通常是从受信任的初始机制构建出来的复杂机制集合，初始机制的失效影响复杂机制的运行，从而导致安全功能失效。威胁主体窃听、入侵没有使用标准化的安全传输通道协议来保护关键网络信息传输的网络主体，实施如中间人攻击、重放攻击等，获得无线局域网接入系统与其他设备交互的数据，进而破坏数据传输的机密性和完整性，甚至破坏TOE安全。6.1.11重放攻击(T.REPLAY_ATTACK)威胁主体通过截获有效通信数据包后重新发送，以混淆正常通信或者攻击TOE,影响其安全工作。6.1.12未知活动(T.UNDETECTED_ACTIVITY)威胁主体在不被觉察的情况下试图访问、修改TOE的安全功能(例如利用错误配置、产品缺陷),这将导致管理员无法发现设备已受损。威胁主体采取未知的攻击行为攻击TOE及所在网络，对56.1.13残留信息利用(T.RESIDUAL_DATA_EXPLOIT)威胁主体利用残留信息的处理缺陷，在执行过程中对未删除的残留信息进行利用，以获取敏感信息或滥用安全功能，危害TOE安全。6.1.14资源消耗(T.RESOURCE_EXHAUSTION)威胁主体通过大量消耗TOE关键资源使得系统崩溃或超时拒绝服务。威胁主体通过压制合法网络信号并伪装成原接入系统，与待接入设备进行交互，从而获取TSF数据或用户数据，威胁TOE安全。6.2组织安全策略6.2.1接入告知(P.ACCESS_BANNER)TOE显示一个描述使用限制、法律协议或其他需要用户同意的初始告知。6.2.2密码管理(P.CRYPTOGRAPHY_MANAGEMENT)密码的使用是按照相关国家标准进行的。6.2.3认证应用(P.AUTHENTICATION_USAGE)管理员为无线局域网接入系统选择符合应用需求的认证方式。6.3.1物理保护(A.PHYSICAL_PROTECTION)假定TOE在其运行环境中受到物理保护，不会受到危及设备安全、干扰设备物理互连和影响正确操作的物理攻击。假定这种保护足以保护设备及其包含的数据。因此，本文件不包括任何关于物理篡改保护或其他缓解物理攻击的要求。6.3.2有限功能(A.LIMITED_FUNCTIONALITY)假定TOE以提供无线网络接入功能为核心，不提供通用计算功能或服务。假定运行环境涉及范围中，TOE连接于一个确定的网络，其用户与被接入网络之间的信息传递保证经过TOE,并保证安全策略能强制执行。6.3.4可信管理员(A.TRUSTED_ADMINISTRATOR)假定管理员可信，能确保密码或凭据具有足够的强度和复杂度，且管理设备时没有恶意。不要求TOE能防御恶意管理员的破坏。对于支持X.509v3证书验证的TOE,管理员需要保证加载的TOE根证书库可信。6.3.5定期更新(A.REGULAR_UPDATES)假定管理员会定期且及时进行固件或软件的更新，以响应产品升级或漏洞修补。66.3.6管理员凭证安全(A.ADMINISTRATOR_CREDENTIALS_SECURE)假定用于访问TOE的管理员凭据(私钥)受其所在平台的保护。6.3.7组件正常运行(A.COMPONENTS_RUNNING)假定TOE的各组件都在正常工作，没有单个组件功能失效。假定管理员能确保移出运行环境的TOE设备上，遗留的敏感信息(例如加密密钥、pin码、密码等)不会被未授权的实体访问或获取。7安全目的7.1TOE安全目的无线局域网接入系统应使用符合国家标准管理机构和国家密码管理机构要求的加解密机制，保证无线局域网接入系统能对其保护的数据采取加密措施，以保持其机密性、完整性。7.1.2身份验证(O.AUTHENTICATION)无线局域网接入系统应使用符合标准管理机构要求的身份验证机制，以确保用户正在与授权的外无线局域网接入系统应提供测试其安全功能的相关机制，在初次启动以及系统运行过程中执行自检，以确保其安全功能的完整性，并将自检结果通知管理员。若启动时自检失败，则无线局域网接入系统应进入安全状态，确保不遵守TOE安全策略的数据无法传递。7.1.4系统监测(O.SYSTEM_MONITORING)无线局域网接入系统应提供监测WLAN功能和安全相关事件的能力，并能对记录的事件进行保护，对监测结果进行安全性分析，将分析结果展示或发送至有授权的相关管理实体。无线局域网接入系统应提供管理员用于管理系统安全所必需的功能，包括对管理员的管理权限进行分级与限制的功能、管理会话锁定功能、处理远程管理员身份验证失败尝试等功能。7.1.6可信信道(O.TRUSTED_CHANNEL)无线局域网接入系统应提供通信信道管理、选择和发现信道异常的能力，能识别伪装的接入系统与伪装的授权用户，并提供受保护的安全数据传输通道，供管理员或授权用户使用，确保用户没有与伪装的接入系统或授权用户通信。7.1.7资源管理(O.RESOURCE_MANAGEMENT)无线局域网接入系统应提供系统资源管理功能，减少可能耗尽系统资源的风险，防止恶意用户或恶7意程序大量消耗系统资源。7.1.8残留信息清除(OE.RESIDUAL_INFORMATION_ERASE)无线局域网接入系统应保证重要敏感数据在使用完成后会被删除或被安全处理，保证受保护资源被重新分配时不会留下可被攻击者利用的残留数据信息。7.1.9可信更新(O.TRUSTED_UPDATE)无线局域网接入系统应提供测试其升级的相关机制，确保升级所用的固件、软件来源可信，内容未被篡改。7.1.10分布式管理(O.DISTRIBUTED_MANAGEMENT)无线局域网接入系统应提供分布式管理相关机制，对于分布式系统提供组件注册、组件间安全通信、统筹系统级审计相关功能。7.1.11访问控制(O.ACCESS_CONTROL)无线局域网接入系统应提供访问控制机制，区分访问实体的权限，并可限制实体到无线网络或无线局域网接入系统的连接，防止无线局域网接入系统所在的网络、无线局域网接入系统的管理后台、重要数据、进程及资源等在未授权情况下被访问、修改或删除。7.2环境安全目的无线局域网接入系统运行环境可提供其运行所需的物理安全保护。除了无线局域网接入系统的操作、管理和支持所必需的服务外，无线局域网接入系统上不提供通用计算功能或服务(例如，编译器或用户应用程序)。7.2.3管理员可信(OE.ADMINISTRATOR_TRUSTED)管理员是可信的，经过充分的培训，并以一种受信任的方式遵循和应用所有指导文档。对于支持X.509v3证书验证的TOE,管理员需要保证加载的TOE根证书库可信。7.2.4更新机制(OE.UPDATE_MECHANISM)无线局域网接入系统的固件或软件会由管理员及时依据产品发布更新进行升级。7.2.5管理员凭证安全(OE.ADMINISTRATOR_CREDENTIALS_SECURE)用于访问TOE的管理员凭据(如私钥)应在其驻留的任何其他平台上受到合理保护。7.2.6组件可用性(OE.COMPONENTS_SERVICEABILITY)对于分布式无线局域网接入系统，管理员应定期检查分布式各组件的可用性，以降低因未检测引发的部分组件失效或受攻击的风险。管理员还应定期检查分布式各组件的审计功能模块，以确保各组件审计功能的正常运行。87.2.7遗留信息清除(OE.REMAINING_INFORMATION_ERASE)管理员应确保当无线局域网接入系统被丢弃或移除时，物理设备上的敏感遗留信息(例如加密密钥、pin码、密码等)不会受到未经授权的访问或获取。管理员应确保无线局域网接入系统采用合适的安装方式，能保证对受监控网络的网络流量有效地实施策略。无线局域网接入系统运行环境应提供设置或获取可信时间的功能，保证系统时间是由授权用户设定或者是从可靠的时钟源同步获得的。8安全要求8.1安全功能要求8.1.1安全功能要求分级无线局域网接入系统的安全功能要求应由GB/T18336.2—2024规定的安全功能组件构成，无线局域网接入系统的安全功能要求见表1,8.1.2～8.1.9对各安全功能组件进行了说明。若需要评估的无线局域网接入系统为分布式的系统，系统整体及组件需要满足的安全功能要求按照附录A。表1安全功能要求分级安全功能类安全功能组件EAL2+EAL3EAL4安全审计(FAU)FAU_GEN.1√√√FAU_GEN.2√√√FAU_ARP.1√√√FAU_SAA.1/√√FAU_SAA.2//√FAU_SAA.3//√FAU_SAR.1√√√FAU_SAR.2√√√FAU_SAR.3√√√FAU_SEL.1√√√FAU_STG.1√√√FAU_STG.2/√√FAU_STG.3√√√FAU_STG.4√√√FAU_STG.5√√√FAU_STG_EXT.1/√√9表1安全功能要求分级(续)安全功能类安全功能组件EAL2+EAL3EAL4密码支持(FCS)FCS_CKM.1√√√FCS_CKM.2√√√FCS_CKM.3√√√FCS_CKM.5/√√FCS_CKM.6√√√FCS_COP.1√√√FCS_RBG.1√√√FCS_RNG.1√√√FCS_TLSS_EXT.1/√√FCS_TLSS_EXT.2//√用户数据保护(FDP)FDP_ACC.1√√√FDP_ACF.1√√√FDP_RIP.1√√√FDP_RIP.2√√√FDP_SDC.1√√√FDP_SDI.1√√√标识和鉴别(FIA)FIA_AFL.1√√√FIA_ATD.1√√√FIA_UAU.1√√√FIA_UAU.3√√√FIA_UAU.5//√FIA_UAU.6√√√FIA_UAU.7/√√FIA_UAU_EXT.1/√√FIA_UID.1√√√FIA_UID.2√√√FIA_USB.1√√√FIA_8021X_EXT.1//√FIA_PMG_EXT.1√√√FIA_PSK_EXT.1//√安全管理(FMT)FMT_MOF.1√√√FMT_MSA.1√√√FMT_MSA.2√√√FMTMSA.3√√√表1安全功能要求分级(续)安全功能类安全功能组件EAL2+EAL3EAL4安全管理(FMT)FMT_MTD.1√√√FMT_MTD.2√√√FMT_MTD.3√√√FMT_SMF.1√√√FMT_SMR.1√√√FMT_SMR.2/√√FMT_SMR_EXT.1√√√TSF保护(FPT)FPT_FLS.1√√√FPT_ITC.1/√√FPT_RCV.4√√√FPT_RPL.1//√FPT_STM.1√√√FPT_TST.1√√√FPT_ITT.1/√√FPT_INI.1√√√FPT_SKP_EXT.1√√√FPT_TUD_EXT.1√√√FPT_TUD_EXT.2/√√FTA_SSL.1√√√FTA_SSL.3√√√FTA_SSL.4√√√FTA_TSE.1√√√FTA_TAB.1/√√可信路径/信道(FTP)FTP_ITC.1√√√FTP_ITC.1/Client√√√FTP_PRO.1√√√FTP_PRO.2√√√FTP_PRO.3√√√FTP_TRP.1√√√资源利用(FRU)FRU_RSA.1√√√通信(FCO)FCO_CPC_EXT.1/√√注：“√”为必备满足的项，“/”为可选满足的项。FAUGEN.1.1TSF应能为下述可审计事件产生审计记录：——审计功能的开启和关闭；——有关[选择：最小级、基本级、详细级、未规定]审计级别的所有可审计事件；——需要记录的审计事件，包括且不限于：●登录和注销(如管理员需要个人用户账户，应记录用户账户的名称);●与配置变更相关的TSF数据变更(除了发生变更的信息外，还应记录变更前的信息);·生成/导入、更改或删除加密密钥(除操作本身外，还应记录唯一的密钥名称或密钥引用);·重置密码(需记录相关用户账号名);·无线传感器通信失败；●对于分布式TOE,每个组件都需要生成自己的审计记录，审计数据包括且不限于：TOE组件列表，TOE为分布式TOE,存储外部为以下TOE组件提供的审计数据：没有在本地存储审计数据的TOE组件，以及向其传输其生成的审计数据的其他TOE组件列表；·其他可审计事件，可审计事件按照附录B。FAU_GEN.1.2TSF应在每个审计记录中至少记录下列信息：——可审计事件的日期和时间、事件类型、主体身份(如果适用)、事件的结果(成功或失败);——对每种审计事件类型，基于PP、PP-模块、功能包或ST中功能组件的可审计事件的定义，表B.1第三列“附加审计记录”中指定的信息。TSF应能将每个可审计事件与导致事件的用户的身份相关联。当检测到潜在的安全侵害时，TSF应进行相应操作。FAU_SAA.1.1TSF应能使用一组规则去监测审计事件，并根据这些规则指示出对实施SFR的潜在侵害。TSF应执行下列规则监测审计事件：——已知的用来指示潜在安全侵害的已定义的可审计事件的子集的累积或组合；——任何其他规则。FAU_SAA.2.1TSF应能维护系统使用轮廓。在这里单个轮廓代表由轮廓目标组成员完成的历史使用模式。TSF应维护一个与每个用户相对应的置疑等级，这些用户的活动已记录在轮廓中。在这里，置疑等级代表用户当前活动与轮廓中已建立的使用模式不一致的程度。FAU_SAA.2.3当用户的置疑等级超过阈值条件TSF报告异常活动的条件时，TSF应能指出对SFR实施的可能侵害即将发生。对预示可能违反SFR实施的下列特征事件系统事件的一个子集，TSF应能维护一个内部表示。TSF应能对照特征事件比对系统活动记录，系统活动可通过检查确定系统活动的信息辨别出来。FAU_SAA.3.3当发现一个系统事件与一个预示可能潜在违反SFR实施的特征事件匹配时，TSF应能指出潜在违反SFR实施的事件即将发生。FAU_SAR.1.1TSF应为授权用户提供从审计记录中读取审计信息列表的能力。FAUSAR.1.2TSF应以便于用户理解的方式提供审计记录。除明确准许读访问的用户外，TSF应禁止所有用户读取审计记录。TSF应根据逻辑关系提供对审计数据进行选择和(或)排序的能力。TSF应能根据以下属性从所有审计事件集合中选择可审计的事件：——审计选择所依据的附件属性表。1审计数据存储位置(FAU_STG.1)FAU_STG.1.1TSF应能将生成的审计数据存储在[选择：TOE本身，根据FTP_ITC使用可信信道将生成的审计数据传输到外部IT实体，其他存储位置]。2受保护的审计数据存储(FAU_STG.2)FAU_STG.2.1TSF应保护所存储的审计记录，以避免未授权的删除。FAU_STG.2.2TSF应能[选择：防止、检测]对审计中所存审计记录的未授权修改。FAU_STG.3.1TSF应保护所存储的审计记录，以避免未授权的删除。FAU_STG.3.2TSF应能[选择：防止、检测]对审计数据中所存审计记录的未授权修改。FAU_STG.3.3当下列情况发生时：[选择：审计存储耗尽、失效、受攻击],TSF应确保保存审计记录的度量内的审计记录维持有效。4审计数据可能丢失时的行为(FAU_STG.4)如果审计数据存储超过预定的限度，TSF应在审计记录超过预定的限度之前发出警告，通知管理员，并[选择：删除新的审计数据，按照覆盖以前的审计记录的规则覆盖以前的审计记录]。如果审计数据存储已满，TSF应[选择：“忽略可审计事件”,“阻止可审计事件，具有特权的授权用户产生的事件除外”,“覆盖所存储的最早的审计记录”],提供关于[选择：删除，覆盖，其他信息操作]审计记录数量的信息审计存储失效时所采取的其他动作。6分布式TOE审计事件存储(FAU_STG_EXT.1)FAUSTGEXT.1.1对于分布式TOE,每个TOE组件都需要适当地保护自己的审计记录。FAUSTGEXT.1.2对于非本地存储的TOE组件，TSF应在数据传输至其他可传输或转发它的TOE地缓冲安全机制。TOE组件之间的审计记录传输根据[选择：FPT_ITT.1,FTP_ITC.1]可信信道。组件前，具有本使用受保护的对称密钥：[选择：WAPI,WPA2,WAP3]加密密钥生成，TSF应根据下列标准[选择：GB15629.11,IEEE802.11—2020,IEEE802.11ax—2021,无其他标准]的一个特定的密钥生成算法[选择：PRF-128,PRF-256,PRF-384,PRF-512,PRF-704,无其他算法]和规定的密钥长度[选择：128位，192位，256位，无其他密钥大小]FCS_RNG.1来生成对称加密密钥。非对称密钥：TSF应根据下列标准[选择：GB/T35276—2017、GB/T32213—2015、GB/T32918.3—2016]的一个特定的密钥生成算法[选择：SM2密码算法，RSA方案]和规定的密钥长度[选择：256位或以上，2048或以上]来生成密钥。对称密钥：TSF应根据下列标准[选择：GB15629.11]的一个特定的密钥分发方法[选择：WAPI加密密钥分发，GTK密钥分发，PMK密钥分发]来分发密钥。非对称密钥：TSF应根据下列标准[选择：IEEE802.11—2020、GB/T35276—2017、GB/T32213—2015、GB/T32918.3—2016]的一个特定的密钥分发方法[选择：基于RSA的密钥建立方案，基于椭圆曲线的密钥建立方案，基于有限域的密钥建立方案]来分发密钥。TSF应根据下列标准[选择：IEEE802.11—2020,GB/T39786—2021]的一个特定的密钥存取方法[选择：磁条卡密钥、智能卡密钥、ROM密钥等]来执行[选择：密钥存储、密钥读取、密钥备份等]。密码派生(FCS_CKM.5)TSF应根据下列标准[选择：RFC8018,GM/T0091—2020]的一个特定的密钥派生算法[选择：PBKDF2、Scrypt]和规定的密钥长度从输入参数中派生出指定类型的密钥。密钥销毁的时间和事件(FCS_CKM.6)FCSCKM.6.1当[选择：不再需要，密钥或密钥材料销毁的其他情况]时，TSF销毁密钥(包括密钥材料)列表。FCSCKM.6.2TSF应根据以下方法来销毁FCS_CKM.6.1中规定的密钥和密钥材料：——对于易失性存储中的明文密钥，销毁应使用TSF的随机数产生器(RBG)的伪随机模式、全0或全1、一个新的密钥、不包含任何关键安全参数(CSP)的静态或动态值实现，并销毁对密钥的引用，然后请求垃圾收集。—对于非易失性存储中的明文密钥，销毁应通过调用TSF提供的接口执行[选择：●逻辑上处理密钥的存储位置，可选择下列方法之一进行覆盖，如使用TSF的RBG的伪随机模式、全0或全1、一个新的密钥、不包含任何CSP的静态或动态值等；●调用TSF销毁对密钥的引用。]密码运算(FCS_COP.1)TSF应根据下列标准的特定的密码算法和密钥长度来执行：对于数据加密，TSF应根据下列标准[选择：GB15629.11]的特定的密码算法[选择：SM4或高级加密标准(AES),密码输出反馈(OFB)或密码分组链接(CBC)、CCM模式(CCMP)或计数器模式等]和密钥长度[选择：不低于128位]来执行[选择：加密/解密]。对于密码操作(签名生成与验证),TSF应根据下列标准[选择：GB15629.11]的特定的密码算法执行加密签名服务[选择：——ECDSA数字签名算法，且密钥长度应为192位或以上，——SM2数字签名算法，且密钥长度应为256位或以上，——RSA数字签名算法，且密钥长度应为2048位或以上，——椭圆曲线数字签名算法，且密钥长度应为256位或以上。]对于哈希操作，TSF应当根据下列标准[选择：GB15629.11]的特定的密码算法[选择：SM3、SHA-256、SHA-384、SHA-512等]和密钥长度[选择：不低于256位]来执行[选择：加密/解密]。对于密钥哈希操作，TSF应当根据下列标准[选择：GB15629.11]的特定的密码算法[选择：HMAC-SM3、HMAC-SHA-256、HMAC-SHA-384和HMAC-SHA-512等]和密钥长度[选择：不低于256位]来执行[选择：加密/解密]。对于预共享密钥，TSF应根据下列标准[选择：IEEE802.11—2020]的特定密码算法[选择：RADI-US、IPsec、WPA3-SAE、WPA3-SAE-PK、WPA2-PSK,其他算法]和密钥长度[选择：低于64字符]来执行[选择：加密/解密]。随机比特生成(FCS_RBG.1)FCS_RBG.1.1当种子初始化之后，TSF应根据[GB/T32915—2016]他算法]执行确定性随机比特生成服务。用[选择：Hash_DRBG、HMAC_DRBG或其FCS_RBG.1.2TSF应使用[选择：TSF噪声源[选择：基于软件的噪声源，基于平台的噪声源],TSF用于设定种子的接口]进行种子初始化。FCS_RBG.1.3TSF应根据以下不同情况：[选择：从不，按需，在特定条件下，在一定加载种子，非实例化和重新实例化]使用一个[选择：TSF噪声源[选择：基于软件的噪声源，基于平台的噪声源],TSF用于设定种子的接口]更新RBG状态，以保持与[GB/T32915—2016]的一致。FCS_RNG.1.1TSF应提供一个[选择：物理、非物安全能力列表。FCS_RNG.1.2TOE安全功能TSF应提供满足定义的质量指标的[选择：位、八位字节、数字或其他数字的格式]。TLS加密协议-S/无相互身份验证的TLS服务器协议(FCS_TLSS_EXT.1)WAS安全功能应执行[选择：TLS1.2、TLS1.1],并设置不接受其他TLS和SSL版本。TLS实现将支持以下密码套件：[选择：受支持的密码套件],而不支持其他密码套件。FCSTLSSEXT.1.2WAS安全功能应能拒绝来自SSL2.0、SSL3.0、TLS1.0和[选择：TLS1.1、TLS1.2]的客户端的请求连接。FCS_TLSS_EXT.1.3WAS安全功能进行TLS建立时，应使用[选择：密钥长度不低于2048位的RSA算法，密钥长度不低于256位的SM2算法，符合国家密码主管部门要求的其他算法]。FCS_TLSS_EXT.1.4WAS安全功能应支持[选择：不允许会话恢复或会话通知，根据TLS1.1或TLS1.2的会话ID恢复会话，根据RFC5077的恢复会话]。0TLS加密协议-SX509/TLS服务器支持相互身份验证(可选)(FCS_TLSS_EXT.2)FCSTLSSEXT.2.1WAS安全功能支持TLS通信，支持使用X.509v3证书的TLS客户端相互认证。FCSTLSSEXT.2.2建立信任通道时，如果客户端证书无效，默认情况下TSF不能建立信任通道。TSF需[选择：——不实现任何管理员覆盖机制；——如果TSF不能[选择：匹配引用标识符，验证证书路径，验证过期日期，确定吊销状态],则需要管理员授权建立连接。]FCSTLSSEXT.2.3如果证书中包含的标识符与客户端期望的标识符不匹配，则TSF不能建立可信通道。如果标识符是一个完全合格域名(FQDN),那么TSF将根据RFC6125匹配标识符，否则TSF将从证书中解析标识符，并将标识符与TSS中描述的客户端预期标识符进行匹配。8.1.4用户数据保护(FDP)TSF应对[选择：主体、客体及SFP所涵盖主体和客体之间的操作列表]执行访问控制SFP。基于安全属性的访问控制(FDP_AFDPACF.1.1TSF应基于[选择：指定SFP控制下的主体和客体列表，以及每个对应的SFP的相关安全属性或SFP相关的已命名安全属性组]对客体执行访问控制SFP。FDPACF.1.2TSF应执行在受控主体和受控客体间，通过对受控客体采取受控操作来管理访问的一些规则，以确定在受控主体与受控客体间的一个操作是否被允许。FDP_ACF.1.3TSF应基于安全属性，明确授权主体访问客体的规则等附加规则，明确授权主体访问客体。FDPACF.1.4TSF应基于安全属性，明确禁止主体访问客体的规则等附加规则明确禁止主体访问客体。TSF应确保一个资源的任何先前信息内容，在[选择：分配资源到、释放资源自]指定客体列表时不再可用。完全残余信息保护(FDP_RIP.2)TSF应确保一个资源的任何先前信息内容，在[选择：分配资源到、释放资源自]所有客体时不存储数据的机密性(FDP_SDC.1)TSF应确保[选择：所有用户数据，指定用户数据列表]存储在[选择：临时内存，持久内存，任意内存]中的机密性。存储数据完整性监视(FDP_SDI.1)TSF应基于用户数据属性，对所有客体，监视存储在由TSF控制的载体内的用户数据是否存在完整性错误。8.1.5标识和鉴别(FIA)鉴别失败处理(FIA_AFL.1)FIA_AFL.1.1TSF应检测当[选择：正整数，管理员设置的可接受数值范围内的一个正整数]时，与鉴别事件列表相关的未成功鉴别尝试。FIA_AFL.1.2当[选择：达到，超过]所定义的未成功鉴别尝试次数时，TSF应采取[选择：阻止违规管理员使用任何涉及密码的认证方法成功建立远程会话，直到管理员采取解锁操作；防止违规管理员使用任何涉及密码的身份验证方法成功建立远程会话，直到管理员定义的时间段过去]。TSF应维护属于单个用户的下列安全属性列表：安全属性列表。FIAUAU.1.1在用户被鉴别前，TSF应执行代表用户的下列动作：——按照FTA_TAB.1显示警告信息；——[选择：无其他操作，自动生成密码密钥，服务列表，TSF响应非TOE请求执行的操作];——TSF促成的其他动作列表。FIAUAU.1.2在允许执行代表该用户的任何其他由TSF促成的功能前，TSF应要求每个用户都已被成功鉴别。不可伪造的鉴别(FIA_UAU.3)FIA_UAU.3.1TSF应[选择：检测、防止]由任何TSF用户伪造的鉴别数据的使用。FIA_UAU.3.2TSF应[选择：检测、防止]从任何其他的TSF用户处拷贝的鉴别数据的使用。FIAUAU.5.1TSF应提供多重鉴别机制列表以支持用户鉴别。FIAUAU.5.2TSF应根据提供鉴别的规则鉴别任何用户所声称的身份。TSF应提供当用户更改密码时、当TSF发起会话锁定时、其他需要鉴别的条件下重新鉴别用户。受保护的鉴别反馈(FIA_UAU.7)鉴别进行时，TSF应仅向用户提供模糊的反馈列表。基于密码的认证机制(FIA_UAU_EXT.1)TSF应提供[选择：基于密码、基于SSH公钥、基于证书、其他认证机制]认证机制来执行管理用户认证。FIAUID.1.1在用户被识别之前，TSF应执行代表用户的TSF促成的动作列表。FIAUID.1.2在允许执行代表该用户的任何其他TSF促成的动作之前，TSF应要求每个用户都已被成功识别。在允许执行代表该用户的任何其他TSF促成的动作之前，TSF应要求每个用户都已被成功识别。FIA_USB.1.1TSF应将用户安全属性列表与代表用户活动的主体相关联。FIAUSB.1.2TSF应对用户安全属性与代表用户活动的主体初始关联关系执行属性初始关联规则。FIA_USB.1.3TSF应执行属性更改规则管理用户安全属性与代表用户活动的主体间的关联关系的变化。2端口接入实体(认证者)鉴权(FIA_802.1X_EXT.1)FIA_802.1X_EXT.1.1端口认证TSF应在“验证者”角色中符合IEEE802.1X中端口访问实体(PAE)的要求。FIA_802.1X_EXT.1.2TSF应支持与符合RFC2865和RFC3579的RADIUS认证服务器的通信。FIA802.1XEXT.1.3TSF应确保在此认证交换成功完成之前，没有向无线局域网客户端提供对其IEEE802.1X中规定的控制端口的访问。TSF应为管理密码提供以下密码管理功能：——密码应由大写字母、小写字母、数字和以下特殊字符的任意组合组成：[选择：“!”“@”“#""$”——密码的最小长度可设置在TOE支持的最小字符数和大于或等于15个字符数之间。4预共享密钥组合(FIA_PSK_EXT.1)FIAPSKEXT.1.1TSF应能为以下协议使用预共享密钥[选择：TLS(RadSec)上的RADIUS、IPsec、WPA3-SAE、WPA3-SAE-PK、IEEE802.11WPA2-PSK,使用预共享密钥的其他协议]。FIAPSKEXT.1.2TSF应能接受基于文本的预共享密钥：——22个字符和[选择：其他支持的长度，没有其他长度];——由大小写字母、数字和特殊字符(包括：“!”“@”"#""$""%""""&.""*""("和")")的任意组合组成。FIAPSKEXT.1.3TSF应能[选择：使用FCS_RNG.1中指定的随机位生成器接受、生成]基于位的预共享密钥。TSF应仅限于已标识的授权角色对功能自动更新检查，自动更新、将审计数据传送给外部IT实激活、修改其行为、手动更新、启动和停止提供服务]的能力。TSF应执行访问控制SFP,信息流控制SFP,以仅限于已标识的授权角色能对安全属性安全属性TSF应确保安全属性列表只接受安全的值。FMT_MSA.3.1TSF应执行访问控制SFP、信息流控制SFP,以便为用于执行SFP的安全属性提供[选择：受限的、许可的、其他特性]默认值。FMT_MSA.3.2TSP应允许已标识的授权角色在创建客体或信息时指定替换性的初始值以代替原来的默认值。TSF应仅限于已标识的授权角色能对TSF他操作]。FMT_MSA.2.1TSF应仅限于已标识的授权角色规定TSF数据列表的限值。FMT_MSA.2.2如果TSF数据达到或超过了指明的限值，TSF应采取要采取的动作。安全的TSF数据(FMT_MTD.3)TSF应确保TSF数据列表只接受安全的值。TSF应执行如下安全管理功能：具备本地和远程管理TOE的能力；能配置访问提示语；能配置会话终止或锁定之前的会话不活动时间；能更新TOE,在安装更新前，能验证更新使用[选择：数字签名，哈希比较]的能力；能配置FIA_AFL.1的认证失败参数；——启动和停止服务的能力； 能配置审计行为(例如更改审计存储位置；本地审计存储空间已满时的行为更改):——能修改向外部IT实体传输审计数据的行为；——能在实体被识别和验证之前配置toe提供的可用服务列表；——能管理密钥；——能配置密码功能；——配置SSH密钥更新阈值的能力；——配置IPsecSAs生命周期的能力；——能配置TOE组件之间的交互；——能启用或禁用自动检查更新或自动更新；——能重新启用管理员账户；——能设置用于时间戳的时间； 为端点配置引用标识符的能力：——能管理TOE的信任存储和指定X509.V3证书作为可信锚；——能导入X.509v3证书到TOE的信任存储；配置无线网络的安全策略，包括：·用于认证服务的客户端凭据；·传输能力级别。——无其他能力]。TSF应维护角色已标识的授权角色。TSF应能把用户和角色关联起来。FMT_SMR.2.1TSF应维护角色安全管理员。FMT_SMR.2.2TSF应能把用户和角色关联起来。FMT_SMR.2.3TSF应确保以下条件满足：——安全管理员角色应能本地管理TOE;——安全管理员角色应能远程管理TOE。TSF应确保从无线局域网客户端远程管理TOE的能力在默认情况下是禁用的。失效即保持安全状态(FPT_FLS.1)TSF在下列失效发生时应保持一种安全状态：自检失败或其他失效情况。传送过程中TSF间的机密性(FPTITC.1)TSF应保护所有从TSF传送到另一个可信IT产品的TSF数据在传送过程中不会被未授权泄漏。TSF应确保功能和失效情景列表有如下特征，即功能要么成功完成，要么针对指明的失效情景恢复到一个前后一致的且安全的状态。FPTRPL.1.1TSF应检测对以下实体的重放：已识别实体列表。FPTRPL.1.2检测到重放时，TSF应执行具体操作列表。TSF应能提供可靠的时间戳。TSF应在[选择：初始化启动期间、正常工作期间周期性地、授权用户要求时、在产生自检的条件时]运行一套自检程序以证实[选择：TSF的组成部分、TSF]能正确运行和演示正确的TSF的操作。TSF应为授权用户提供验证[选择：部分TSF数据、TSF数据]完整性的能力。FPT_TST.1.3TSF应为授权用户提供验证[选择：部分TSF、TSF]完整性的能力。内部TSF数据传送的基本保护(可选)(FPT_ITT.1)TSF应保护TSF数据在TOE不同部分间传送时不被[选择：泄露、篡改]。FPT_INI.1.1TOE应提供对完整性和真实性有自保护能力的初始化功能。TOE初始化功能应确保在安全初始状态下建立TSF之前，某些属性在某些元素上保持不变，如表2所述。表2属性元素序号特性元素1[属性，例如真实性、完整性、正确版本][TSF/用户固件、软件或数据的列表]…FPTINI.1.3TOE初始化功能应检测并响应初始化期间的错误和失败，以便TOE[选择：中止，在[选择：功能减少，发送错误状态信号，其他动作列表]情况下成功完成初始化]。TOE初始化功能只能在初始化过程中的定义的方法中与TSF交互。FPTSKPEXT.1.1TSF应以非明文形式存储管理密码。TSF应使安全管理员能查询当前正在执行的TOE固件/软件版本和[选择：最近安装的TOE固件/软件版本；没有其他TOE固件/软件版本]。FPT_TUD_EXT.1.2TSF应使安全管理员能手动启动对TOE固件/软件的更新，并且[选择：支持自动检查更新，支持TSF应在安装这些更新之前提供使用[选择：X.509证书、数字签名、发布散列]对TOE的固件/软件更新进行认证的方法。在安装每次更新之前，WAS安全功能应检查代码签署证书的有效性。如果信任链中的证书没有被指定为信任锚的可信证书可撤销信息，则WAS安全功能应[选择：不安装更新，允许管理员在这些情况下选择是否接受证书]。如果证书因已过期而被认为无效，则WAS安全功能应[选择：允许管理员在这些情况下选择是否如果证书因过期或撤销信息不可用以外的原因被认为无效，则WAS安全功能不得安装更新。TSF应在达到用户不活动的时间间隔后，终止会话或通过以下方法锁定一个交互式会话：——除了会话解锁活动之外，终止用户数据存取/显示设备的任何活动，并要求管理员在解锁会话之前向TSF重新进行身份验证。TSF应要求在解锁会话之前发生以下事件：发生事件列表。TSF应在达到用户不活动的时间间隔之后终止一个交互式会话。TSF应允许用户终止自己的交互式会话。在建立用户会话前，TSF、TOE平台应显示安全管理员指定的关于使用TOE的咨询通知和同意警TSF应能使用[选择：IPsec、SSH、TLS、DTLS、HTTPS]在自身和授权的IT实体之间提供一个可逻辑上与其他通信信道截然不同，其端点具有保障标识，且能保护信道中数据免遭篡改或泄露。FTP_ITC.1.2TSF应允许[选择：TSF、另一个可信IT产品]经由可信通道发起通信。FTP_ITC.1.3对于需要可信信道的功能列表，TSF应经由可信信道发起通信。FTP_ITC.1.1/ClientWAS安全功能应能使用IEEE802.11—2020定义的WPA3-Enterprise、WPA2-Enterprise和[选择：WPA3-SAE,WPA3-SAE-PK,WPA2-PSK,无其他模式]在自身和WLAN客户端之间提供一个与其他通信信道逻辑上不同的可信通信信道，并为其端点提供可靠的标识，保护信道数据不被泄露和FTP_ITC.1.2/ClientWAS安全功能应允许[选择：授权的IT实体]经由可信信道发起通信。FTP_ITC.1.3/ClientWAS安全功能应经由无服务的可信信道发起通信。FTP_PR₀.1.1FTPPR0.1.2FTPPR0.1.3FTPPR0.1.4TSF应为可信信道执行以下规则：对于无相互身份验证的TLS服务器协议，TSF应拒绝来自SSL2.0、SSL3.0、TLS1.0和[选择：TLS1.1、TLS1.2]的客户端的请求连接。FTP_PR0.1.5对于无相互身份验证的TLS服务器协议，TSF应强制执行以下静态协议选项：[选择：TLS1.2、TLS1.1],并设置不接受其他TLS和SSL版本，TLS实现将支持受支持的密码套件，而不支持其他密码FTP_PR0.1.6支持TLS通信，支持使用X.509v3证书的TLS客户端相互认证。FTPPR0.2.1TSF应使用以下机制之一与其对等方建立共享秘密：[选择：对于无相互身份验证的TLS服务器协议：——WAS安全功能进行TLS键建立时，使用[选择：密钥长度不低于2048位的RSA算法，密钥长度不低于256位的SM2算法，符合国家密码主管部门要求的其他算法];——WAS安全功能应支持[选择：不允许会话恢复或会话通知，根据TLS1.1或TLS1.2的会话ID恢复会话，根据RFC5077的恢复会话]。对于TLS服务器支持相互身份验证的协议，应实现——建立信任通道时，如果客户端证书无效，默认情况下TSF不能建立信任通道。TSF需[选择：不实现任何管理员覆盖机制；如果TSF不能[选择：匹配引用标识符，验证证书路径，验证过期日期，确定吊销状态],则需要管理员授权建立连接]。——如果证书中包含的标识符与客户端期望的标识符不匹配，则TSF不能建立可信通道。如果标识符是一个完全合格域名(FQDN),那么TSF将根据RFC6125匹配标识符，否则TSF将从证书中解析标识符，并将标识符与TSS中描述的客户端预期标识符进行匹配]。FTP_PR0.2.2TSF应使用以下机制之一：[选择：验证机制列表，其他机制],并根据进行验证的规则列表对[选择：其对等方，自身对其对等方]进行验证。可信信道数据保护(FTP_PRO.3)FTPPR0.3.1对于无相互身份验证的TLS服务器协议，TSF应使用以下机制之一保护传输中的数据不被未经授权的披露：[选择：密钥长度不低于2048位的RSA算法，密钥长度不低于256位的SM2算法，符合国家密码主管部门要求的其他算法]。FTP_PRO.3.2TSF应使用以下机制之一保护传输中的数据不受[选择：修改、删除、插入、重放、其他]的影响：[选择：AEAD(具有关联数据的加密认证),其他完整性保护机制列表]。FTPTRP.1.1TSF应能使用[选择：DTLS,IPsec,SSH,TLS,HTTPS],在自身与连接组件和[选择：远程、本地]用户之间提供一条通信路径，此路径在逻辑上与其他通信路径截然不同，并对其[选择：TSF端点，包括连接组件和TSF端点]端点进行了有保障的标识，并能保护通信数据免遭[选择：修改、泄露、其他类型的完整性或机密性违背]。FTP_TRP.1.2TSF应允许[选择：TSF,连接组件，本地用户，远程用户]经由可信路径发起通信。FTP_TRP.1.3对于[选择：启动用户鉴别、初始管理员身份验证、所有远程管理操作、其他需要可信路径的服务],TSF应要求使用可信路径。TSF应对以下资源：受控资源列表分配最高配额，以便[选择：单个用户、预定义用户组、主体]能[选择：同时、在规定的时间间隔内]使用。组件注册通道定义(FCO_CPC_EXT.1)FCOCPCEXT.1.1TSF应确保在进行任何一对TOE组件之间的通信之前，安全管理员总是需要启用这些通信。FCOCPCEXT.1.2TSF应确保每个组件建立和使用一个通信通道，该通道需要使用安全通道，或者不需要通道。8.2安全保障要求无线局域网接入系统的安全保障要求按照GB/T18336.3—2024规定的EAL2、EAL3、EAL4级安全保障要求执行。9基本原理9.1安全目的基本原理无线局域网接入系统安全目的能应对所有可能的威胁、组织安全策略和假设，即每一种威胁、组织安全策略和假设都至少有一个或一个以上安全目的与其对应，是完备的。每一个安全目的都有相应的威胁、组织安全策略和假设与之对应，这证明每个安全目的都是必要的；每一个威胁、组织安全策略和假设都有相应的一个或多个安全目的与之对应，说明了安全目的是充分的。表3说明了无线局域网接入系统的安全目的能应对所有可能的威胁、组织安全策略和假设。表3威胁、组织安全策略、假设与安全目的的对应关系关系加密功能身份验证自检系统监测FOH管理员FOH可信信道资源管理残留信息清除可信更新分布式管理访问控制物理非通用功能管理员可信更新机制管理员(凭证安全组件可用性遗留信息清除连接可信时间未授权管理/√/√//////√/////////加密破解√///////////////////不可信信道/////√///√//////////关系加密功能身份验证自检管理员可信信道可信更新分布式(管理物理非通用功能管理员(凭证安全遗留信息清除连接弱终端认证√////√//////////////重放攻击/√/√√///////////////网络暴露/√/////√/√√/////////未授权访问/√/√//////√/////////更新受损////////√///////////未知活动///√/////√//////////安全凭证受损/√√√////////////////残留信息利用///////√////////////管理口令破解√///√///////////////安全功能失效//√√////////////////资源消耗//////√/////////////网络劫持/√//////////////////接入告知√√/√/√//////////////密码管理√//////////////////√认证应用/√/////////////////√物理保护///////////√////////有限功能////////////√///////连接//////////////////√/可信管理员/////////////√//////定期更新//////////////√/////管理员凭证安全///////////////√////组件正常运行////////////////√///无遗留信息/////////////////√//9.2安全要求基本原理表4说明了安全要求的充分必要性合理性，即每个安全目的都至少有一个安全要求组件与其对应，每个安全要求都至少解决了一个安全目的，安全要求对安全目的而言是充分和必要的。表4安全要求与安全目的的对应关系安全功能要求加密功能身份验证自检系统监测TOE管理员可信信道资源管理残留信息清除可信更新分布式管访问控制FAU_GEN.1///√///////FAU_GEN.2///√///////FAU_ARP.1//√√///////FAU_SAA.1√√/√//√////FAU_SAA.2√√/√//√////FAU_SAA.3√√/√//√////FAU_SAR.1///√//////√FAU_SAR.2///√//////√FAU_SAR.3///√//////√FAU_SEL..1///√///////FAU_STG.1///√/////√/FAU_STG.2/√/√///////FAU_STG.3/√/√///////FAU_STG.4///√///////FAU_STG.5///√///////FAU_STG_EXT.1///√/////√/FCS_CKM.1√√/////////FCS_CKM.2√√/////////FCS_CKM.3√√/////////FCS_CKM.5√√/////////FCS_CKM.6√√/////////FCS_COP.1√√/////////FCS_RBG.1√//////////FCS_RNG.1√//////////FCS_TLSS_EXT.1/////√/////FCS_TLSS_EXT.2/////√/////FDP_ACC.1/√////////√FDP_ACF.1/√////////√FDP_RIP.1/√/////√///FDP_RIP.2/√/////√///FDP_SDC.1√√/////////FDP_SDI.1√√√√///////表4安全要求与安全目的的对应关系(续)安全功能要求加密功能身份验证自检系统监测TOE管理员可信信道资源管理残留信息清除可信更新分布式管访问控制F