(高清版)GBT 40653-2021 信息安全技术 安全处理器技术要求

信息安全技术安全处理器技术要求2021-10-11发布国家标准化管理委员会GB/T40653—2021前言 I 2规范性引用文件 3术语和定义 4缩略语 25安全处理器一般结构 26安全目的 47安全功能要求 78安全保障要求 附录A(资料性)生命周期阶段及工作状态描述 附录B(资料性)资产及安全问题定义 附录C(规范性)组件依赖关系 I本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本文件起草单位：北京多思科技工业园股份有限公司、中国信息安全测评中心、国家密码管理局商用密码检测中心、华北电力大学、公安部第三研究所、网神信息技术(北京)股份有限公司、中国电子信息产业发展研究院、杭州华澜微电子股份有限公司、杭州安恒信息技术股份有限公司、中国人民解放军战略支援部队信息工程大学、珠海复旦创新研究院、北京多思安全芯片科技有限公司。1信息安全技术安全处理器技术要求本文件规定了安全处理器的安全功能要求和安全保障要求。本文件适用于安全处理器设计、生产和应用。2规范性引用文件下列文件中的内容通过文中规范性引用而构成本文件中必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件，不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。GB/T18336(所有部分)信息技术安全技术信息技术安全评估准则GB/T25069信息安全技术术语GB/T32915—2016信息安全技术二元序列随机性检测方法3术语和定义GB/T25069界定的以及下列术语和定义适用于本文件。安全处理器securityprocessor由固件和硬件实体组成，具备物理防护、逻辑防护、应用防护能力，能够达到一定安全强度和安全等级的处理器。注：安全处理器实现技术包括密码技术、物理防护技术、数据编码技术、可重组逻辑技术等。采用攻击防护的设计、攻击检测的方法、利用检测与处理功能，监测处理器工作环境，并能支持异常行为应答审计处理，阻止物理威胁的安全能力。链接物理防护的功能，具有对程序和数据的保护能力、运行态检测和监控能力、资源调度和配置控制能力、安全通信能力，并能支持异常行为应答审计处理，阻止应用威胁的安全能力。注：保护能力包括利用同态计算、密码技术应用对程序和数据处理能力，资源调度和配置控制包括安全存储、控制管理、安全配置等措施，安全通信包括加密传输、可信根传递的运用、身份认证等措施。逻辑防护logicprotection依据物理防护和应用防护的安全功能，通过资源配置、操作配置、运行态控制等方式，调整安全策略，使逻辑结构和控制具备对未知攻击更强的安全强度和弹性，阻止逻辑威胁的安全能力。安全处理器运行状态。2实施安全处理器在原始态和运行态下的控制管理。在安全处理器运行态中，实施对硬件实体的物理检测、应用检测和逻辑检测，并完成检测后的应答审计处理。安全处理器在原始态和初始态下，依据安全需求进行功能配置的方法。注：配置包括冗余配置、重组配置、操作配置和安全策略配置。在安全处理器内，通过安全策略表、应答审计处理表、资实现数据交换功能的逻辑和控制。在安全处理器内，由硬件逻辑和固件共同管理控制下，供应用程序使用的安全存储实体。4缩略语下列缩略语适用于本文件。CM:配置管理(ConfigurationManagement)EAL:评估保障级(EvaluationAssuranceLevel)EEPROM:电可擦除可编程只读存储器(EIP:知识产权(IntellectualProperty)IT:信息技术(InformationTechnology)PIN:个人识别码(PersonalIdentificationNumber)PP:保护轮廓(ProtectionProfile)RAM:随机存取存储器(Random-accessMemory)ROM:只读存储器(Read-onlyMemory)SFP:安全功能策略(SecurityFunctionPolicy)SFR:安全功能要求(SecurityFunctionalRequirement)ST:安全目标(SecurityTarget)TOE:评估对象(TargetOfEvaluation)TSF:TOE安全功能(TOESecurityFunctionality)TSFI:TSF接口(TSFInterface)5安全处理器一般结构安全处理器在处理器功能和结构中实现了物理防护、逻辑防护和应用防护设计，提供了安全的事务3处理能力，保障了处理器的自身安全和服务安全，由固件和硬件实体组成。固件的安全功能通过控制、管理、调度硬件实体的资源和数据，有效防止敏感信息泄漏，实现攻击检测、数据加密、运行态监控等物理防护功能；通过对硬件实体资源的安全配置和安全策略设计，增强逻辑防护能力；通过自身安全管理和实施安全监控，实现原始态和运行态下的数据安全、存储安全、接口安全等应用防护安全。硬件实体包括支撑固件实施数据与接口保护的功能(如密码算法的电路逻辑)、检测与处理的功能(如工作环境和状态检测，应答审计处理),以及提供安全支撑与服务的功能(如导引加载、物理随机源、安全配置、安全策略服务)。硬件实体还包括自身安全防护设计(如版图屏蔽保护、金属网防护),防止信息泄漏和克隆，实现物理防护的能力。其中，逻辑防护功能是通过硬件的冗余配置、重组配置、操作配置的定义，提高安全强度和容错设计能力，达到逻辑防护的目的。注：安全功能的实现可能包含多种方式，主要包括通过硬件实体实现，如功能部件群组；通过固件实现，如应用协议的控制；通过硬件实体和固件共同实现，如配置操作；部分应用功能转换成硬件实体功能实现，如应用流程的安全控制等。5.2安全处理器结构安全处理器结构特征主要表现在TOE中，其固件通过I/O接口支持应用与系统集成的加载和运行，硬件实体通过I/O接口支持物理设备集成的设计。管理者通过I/O接口使用固件链接硬件实体的控制，实现TOE的功能(如原始注入、安全配置、安全策略),同时用户也可通过I/O接口在TOE的基础上依据安全需求实现安全设计和应用链接。TOE结构及运行环境见图1。应用与系统集成应用与系统集成TOF;安全处理器主控单元模块固件数据管理模块[/O接口用户安全设计安全临控模块用户硬件实体接口逻辑部件功能部件群组存储逻辑部件安全支撑逻辑部件检测处理逻辑部件物理设备集成通信处理模块应用管理模块安全支撑模块控制迎辑部件管理者图1安全处理器结构示意图及运行环境固件功能模块结构包含内容如下。a)主控单元模块：实现加载和初始化配置，调度其他模块实现固件安全功能，以及工作状态应答审计处理。4b)数据管理模块：依据存储逻辑部件实现敏感信息、程序与数据、运行状态与标识等数据的标记、c)通信处理模块：实现对专用接口和通用接口以及接口初始化配置、通信协议和流程的控制、驱动程序管理以及异常状态的监测，保障数据接收与发送、数据控制等数据通信安全。d)应用管理模块：链接用户在应用中需求的安全功能设计，实现对应用程序的流程控制、数据和资源使用以及操作的管理。配置的定义并通过安全策略的分配与实施，提供安全容错处理能力。f)安全监控模块：实现对原始态和运行态中的数据、程序和资源的检测、监测和感知等功能，以配合主控单元模块实施调度、控制和响应。硬件实体逻辑部件包含的内容如下。a)控制逻辑部件：执行固件及其应用程序加载和运行的硬件实体核心部件。主要负责乱序指令编码的译码器及其调度管理其他部件控制逻辑实现安全管理；存储器、寄存器、I/O的控制访问能力；安全支撑实现计算控制能力；冗余配置、重组配置、操作配置的调整能力；安全监控的调度能力。b)接口逻辑部件：实现物理接口部件和逻辑接口部件及数据缓存的数据传输控制，如接口协议控制、数据接口标识等。主要负责TOE和应用与系统集成、物理设备集成及用户安全设计之间的数据交换。c)功能部件群组：硬件实体的公共资源部件，包括实现密码及数据处理的算法部件，以及为安全配置和安全策略实施提供支持的冗余部件。d)存储逻辑部件：包括冗余的易失性和非易失性存储器以及访问控制逻辑，还包括队列、堆栈、寄存器堆等结构及使用控制逻辑，并将其运行状态纳入到安全监控。主要负责存储、备份加密信息(如敏感信息、安全应答矢量、标识表、资源配置表)、存储区域存取访问控制等。e)安全支撑逻辑部件：实现导引加载、异常响应及应答处理、物理随机源等逻辑部件，为随机数生成和密钥生成以及对称和非对称密码功能提供支持。f)检测处理逻辑部件：包括物理检测、逻辑检测、应用检测等逻辑部件，以及应答审计处理逻辑部件(如中断矢量的管理和控制逻辑)。主要负责原始态和运行态的监测和异常处理。注1:控制逻辑部件能够对硬件实体中其他逻辑部件实施控制及反馈响应，并通过支持固件的运行，完成安全策略、安全配置、安全管理等功能，提供安全事务处理和安全防护的能力。注2:I/O接口包括专用接口和通用接口，专用接口主要是管理员对处理器进行初次配置的时候使用，使用后功能被禁止。通用接口主要包括输入或输出点，该点为信息流提供了输入或输出芯片的入口或出口，包括物理接口和逻辑接口。6安全目的6.1安全处理器物理防护安全处理器应抵抗物理攻击，防止通过诸如剖片、电路篡改、探针探测等手段实施的攻击，或能够提供安全措施显著增加实施此类攻击的困难性。6.1.2克隆防护(O.Clone_Protection)安全处理器应提供控制和限制克隆的方法，使得安全处理器的安全功能或敏感数据不会被复制，防止硬件盗版、芯片伪造和物理攻击。56.1.3信息泄漏防护(O.InfoLeak_Protection)安全处理器应提供控制和限制信息泄漏的方法，使得攻击者无法通过分析诸如功耗等因素的变化来获取操作过程的信息或其他安全信息，有用信息不会通过电源、时钟、复位、I/O线而泄漏。安全处理器应使得即便暴露在非标准环境中时，也能够发现这些工作条件的改变，且采取相应的防护措施，防止安全信息泄漏，或使芯片进入一种安全的运行状态。这些环境影响因素包括温度、电压、时钟频率或外部能量场。6.1.5资源自隐藏(O.Resource_Hidden)安全处理器应具备资源自修复、资源替换和安全策略的配置等能力，抵抗资源攻击。安全处理器应在受控且经过定义的方式下操作资源或访问数据。6.1.6物理接口安全(O.Phyinterface_Security)安全处理器应确保提供的物理接口安全，诸如不应含有可能旁路安全处理器定义的安全机制的物理接口，且物理接口中不应含有隐式通道，也不应含有除声明的物理接口之外的物理接口。安全处理器应支持关闭非工作状态的物理接口且能够确保支持的各种不同物理接口输入输出的密码算法的运算数据应一致，随机数质量指标评估，应符合GB/T32915—2016的要求。安全处理器应确保TOE操作系统维护运行的区域的内部内存块的重新分配不会泄漏先前存储的任何信息和提供存储访问控制方法，包括分配、权限管理、禁止、释放等，来抵抗克隆、残余信息的利用，确保在存储体内密钥及敏感信息受到保护和对数据提供密码服务。6.2安全处理器逻辑防护6.2.1逻辑保护(O.Logical_Protection)安全处理器应能够抗逻辑操纵且具备安全弹性设计结构，并能够在主控操作配置下，支持主副本操作或裁决操作，增强容错能力，以抵抗逻辑攻击，防止通过诸如逻辑探测、命令修改、频谱分析等手段实施的攻击，显著增加实施此类攻击的困难性。安全处理器应对安全处理器内部的用户数据和安全功能数据实施访问控制措施，防止在未授权情安全处理器应在受控且经过定义的方式下操作资源或访问数据。安全处理器应能够对安全处理器的安全功能实施重组配置、副本配置，完成主副本操作，以抵御陷6.2.3防缺陷插入(0.DefectIns_Protection)安全处理器应能够防止通过分析重复探测的响应而导致的信息泄漏，以抵御插入缺陷数据重复探测的攻击。安全处理器应提供功能部件群组，包含两个或两个以上相同的功能部件，在执行主副本操作或裁决6操作时，功能执行体或其内部资源遇到异常行为应能实现替换、替代、修复工作，以抵御样本攻击。6.2.5随机数生成(O.RND_Generation)安全处理器应确保片内拥有两个或两个以上物理随机源，生成的随机数能满足应用要求的质量指标。例如，随机数不准许被预测，且具有一定的熵值，以防止攻击者猜测通过随机数生成的密钥、挑战值等信息。随机数质量指标评估，应符合GB/T32915—2016的要求。6.2.6逻辑接口安全(O.Loginterface_Security)安全处理器应通过访问控制策略确保提供的逻辑接口安全，诸如不应含有可能旁路安全处理器定义的安全机制的逻辑接口，且接口中不应含有隐式通道，也不应含有除声明的逻辑接口之外的逻辑接口。安全处理器应支持关闭非工作状态的逻辑接口且能够确保支持的各种不同逻辑接口输入输出的密码算法的运算数据一致，随机数质量指标评估，应符合GB/T32915—2016的要求。6.3安全处理器应用防护6.3.1应用保护(0.Application_Protection)安全处理器应确保启动过程中加载的授权软件在执行之前验证其真实性和完整性。安全处理器应具有安全管理、安全监控、安全通讯和安全策略等应用防护机制，以抵抗各种应用威胁和应用攻击，或能够提供安全措施显著增加实施此类攻击的困难性。6.3.2固件安全(O.Firmware_Security)安全处理器应防止固件程序本身不得被任何人获取或篡改，保证固件的健壮性和完整性，提供高安全的权限管理系统，以防止攻击者利用固件可能含有的后门程序，从而使攻击者获得高权限访问系统，获取安全处理器安全功能数据。6.3.3密钥及敏感信息防护(0.KeySensitivelnfo_Protection)安全处理器应对密钥及敏感信息提供以硬件实现的访问控制机制，使得能够正确、有效地存储密钥和敏感信息且具有主动完成密钥和敏感信息自毁的能力。安全处理器应对自身安全功能的可用性进行生命周期阶段划分，或进行权限控制，以防止攻击者滥用这些功能(如测试模式下的某些功能应在安全处理器芯片交付后关闭)。安全处理器应以一个动态可变的硬件实现方式支持密码功能。其使用的密码算法应符合国家及行业要求的密码管理相关标准或规范。6.3.6配置安全(O.Configuration_Security)安全处理器应提供自动化的安全验证工具，如安全监控，检测配置异常，并评估固件中对安全敏感的字节，以自动识别错误配置。除了安全监控，还应提供几种安全工具，包括手动测试、可信度量和配置文件自修复等。安全处理器应确保程序和数据加密分区存储，且具有在非易失性存储器中存储初始化数据和个性7化数据的能力。6.4安全处理器环境安全目的以一种安全的方式管理安全处理器之外的人员(角色)。例如，在安全处理器开发过程中建立的相关角色包括安全处理器的开发者、制造者、发行者、管理者和使用者等，角色管理者负责对这些角色进行管理。6.4.2管理规范(OE.Management_Specification)所有的设计信息文档，都应建立配置管理系统，且应由专人负责管理。6.4.3外部数据管理(OE.ExtData_Management)应对在安全处理器外部存储的相关数据(如TOE的设计信息、开发及测试工具、实现代码及相关文档、初始化数据、管理性密钥等)进行保密性和完整性处理，并采取安全的管理措施。安全处理器与安全处理器之间的通信路径应是可信的，应能为通信过程提供保密性和完整性保障。6.4.5应用环境(OE.Application_Environment)安全处理器必要时也需通过硬件产品的设计加以强化补充完善，例如：板级电路的封装形式、板卡形式的自毁和检测。而安全处理器很可能需要系统应用和系统软件的支撑，例如：系统软件和固件的双向认证。以上给出的安全处理器安全目的相对应的安全威胁定义见附录B。7安全功能要求7.1概述表1列出了安全处理器安全功能组件，其详细内容将在下面分条描述。在描述过程中，方括号【】中的粗体字内容表示已经完成的操作，粗体斜体字内容表示还需在安全目标(ST)中确定的赋值及选择项。表1安全功能组件安全功能类安全功能组件编号备注EAL5EAL6EAL7FAU类：安全审计FAU_ARP.1安全告警1√√√FAU_GEN.1审计数据产生2√√√FAU_SAA.1潜在侵害分析3√√√FAU_SAR.2限制审计查阅4√√√FAU_STG.1受保护的审计迹存储5√√√8表1安全功能组件(续)安全功能类安全功能组件编号备注EAL5EAL6EAL7FCO类：通信FCO_NRO.2强制性原发证明6√√√FCO_NRR.2强制性接收证明7√√√FCS类：密码支持FCS_CKM.1密钥生成8√√√FCS_CKM.2密钥分发9√√√FCS_CKM.3密钥存取√√√FCS_CKM.4密钥销毁○√√FCS_COP.1密码运算√√√FDP类：用户数据保护FDP_ACC.1子集访问控制√√√FDP_ACF.1基于安全属性的访问控制√√√FDP_DAU.1基本数据鉴别√√√FDP_ETC.2带有安全属性的用户数据输出√√√FDP_ITC.2带有安全属性的用户数据输入√√√FDP_IFC.1子集信息流控制√√√FDP_ITT.1基本内部传送保护√√√FDP_RIP.1子集残余信息保护√√FDP_SDI.2存储数据的完整性监视和行动√√√FDP_UCT.1基本的数据交换机密性√√√FDP_UIT.1数据交换完整性√√√FIA类：标识和鉴别FIA_AFL.1鉴别失败处理√√√FIA_ATD.1用户属性定义√√√FIA_SOS.2TSF生成秘密√√√FIA_UAU.1鉴别的时机√√√FIA_UID.1标识的时机√√FMT类：安全管理FMT_LIM.1受限能力√√√FMT_LIM.2受限可用性√√√FMT_MOF.1安全功能行为的管理√√√FMT_MSA.1安全属性的管理√√√FMT_MSA.3静态属性初始化√√√FMT_MTD.1TSF数据的管理○√√FMT_SAE.1时限授权√√√FMT_SMF.1管理功能规范√√√FMT_SMR.3承担角色√√√9表1安全功能组件(续)安全功能类安全功能组件编号备注EAL5EAL6EAL7FPR类：隐私FPR_UNO.2影响不可观察性的信息的分配√√√FPR_UNO.4授权用户可观察性√√√FPT类：TSF保护FPT_FLS.1失效即保持安全状态√√√FPT_ITA.1TSF间可用性不超过既定可用性度量√√√FPT_ITC.1传送过程中TSF间的机密性√√√FPT_ITI.2TSF间篡改的检测与纠正√√√FPT_ITT.1内部TSF数据传送的基本保护√√√FPT_PHP.3物理攻击抵抗√√√FPT_RCV.4功能恢复O√√FPT_RPL..1重放检测√√√FPT_SSP.2相互可信回执√√√FPT_STM.1可靠的时间戳√√√FPT_TST.1TSF检测√√√FRU类：资源利用FRU_FLT.2受限容错○√√FRU_RSA.1最高配额N/A√√FTA类：TOE访问FTA_SSL.3TSF原发会话终止√√√FTA_TSE.1TOE会话建立√√√FTP类：可信路径/信道FTP_ITC.1TSF间可信信道√√FTP_TRP.1可信路径O√√“√”代表在该保障级下，应选择该组件；“〇”代表在该保障级下，可选择该组件；“N/A”代表在该保障级下，该组件不适用。7.2安全告警(FAU_ARP.1)FAU_ARP.1.1安全处理器当检测到潜在的安全侵害时，安全处理器安全功能应采取的【赋值：动应用说明：已定义的动作列表，ST编写者详见表A.3～表A.5。7.3审计数据产生(FAU_GEN.1)FAU_GEN.1.1安全处理器安全功能应能为下述可审计事件产生审计记录：a)审计功能的开启和关闭；审计级别的所有可审计事件；c)对于表2中相关的SFR,为其审计等级(如果规约了的话)所定义的每一可审计事件；【赋值：其FAU_GEN.1.2安全处理器安全功能应在每个审计记录中至少记录下列信息：a)事件的日期和时间、事件类型、主体身份(如果适用)、事件的结果(成功或失效);b)对每种审计事件类型，基于PP/ST中功能组件的可审计事件的定义，为表2中所列的每一相关SFR:(1)由审计等级(如果规定了一个等级的话)所定义的信息；(2)所有附加信息(如果是应用说明1:如果ST编写者规约了通用准则中定义的一个审计等级(最小，基本，或详细),那么就有可能在审计等级需求和表2中所列的需求之间存在一些冲突。为此，ST应规约范围更大的那些需求。应用说明2:除了表2和FAU_GEN.1.1中规约的任一审计等级所要求的那些可审计事件之外，表3列出了一些附加的可审计事件，它们是在考虑FAU_GEN.1.1的基础上而建议的。表2审计数据需求可审计事件相关SFR审计等级附加信息任务完成FDP_ACF.1没有规约任务类型鉴别机制的成功使用和不成功使用FIA_UAU.1基本没有要求标识机制的成功使用和不成功使用FIA_UID.1基本有企图的用户身份管理功能的使用FMT_SMF.1最小没有要求对一组用户的修改，他们作为角色的一部分FMT_SMR.3最小没有要求对时间的改变FPT_STM.1最小没有要求通过会话关闭机制，关闭交互的会话FTA_SSL.3最小没有要求应用说明：除了表3和FAU_GEN.1.1中规约的任意审计等级所要求的那些信息之外，表3所列出了附加的审计信息，它们是在考虑FAU_GEN.1.2的基础上而建议的。表3审计数据建议可审计事件审计等级附加信息任务启动FDP_ACF.1没有规定任务类型异常行为FPT_TST.1基本没有要求7.4潜在侵害分析(FAU_SAA.1)FAU_SAA.1.1安全处理器安全功能应能使用一组规则去监测审计事件，并根据这些规则指示出对实施安全处理器安全策略的潜在侵害。FAU_SAA.1.2安全处理器安全功能应执行下列规则来监测审计事件：a)已知的用来指示潜在安全侵害的【赋值：已定义的可审计事件子集】的累积或组合；编写者详见表2和表3及表A.5。7.5限制审计查阅(FAU_SAR.2)FAU_SAR.2.1除明确准许读访问的用户外，安全处理器安全功能应禁止所有用户对审计记录的读访问。应用说明：安全处理器安全功能应针对审计查阅提供权限管理。7.6受保护的审计迹存储(FAU_STG.1)FAU_STG.1.1安全处理器安全功能应保护审计迹中存储的审计记录，以避免未授权的删除。FAU_STG.1.2安全处理器安全功能应能【选择，选取一个：防止、检测】对审计迹中所存审计记录的未授权修改。应用说明：ST编写者应根据具体情况细化受保护审计迹。7.7强制性原发证明(FCO_NRO.2)FCO_NRO.2.1安全处理器安全功能在任何时候都应对所传送的【赋值：信息类型列表】强制产生原发证据。FCO_NRO.2.2安全处理器安全功能应能将信息原发者的【赋值：属性列表】和信息的【赋值：信息FCO_NRO.2.3给定【赋值：原发证据的限制条件】,安全处理器安全功能应能为【选择：原发者、接提供验证信息原发证据的能力。应用说明：安全处理器信息类型列表应包括程序列表和数据列表。7.8强制性接收证明(FCO_NRR.2)FCO_NRR.2.1安全处理器安全功能在任何时候都应对接收到的【赋值：信息类型列表】强制产生接收证据。FCO_NRR.2.2安全处理器安全功能应能将信息接收者的【赋值：属性列表】和信息的【赋值：信息域列表】与证据相关联。FCO_NRR.2.3给定【赋值：接收证据的限制条件】,安全处理器安全功能应能为【选择：原发者、接提供验证信息接收证据的能力。应用说明：安全处理器信息类型列表应包括资源配置表、安全策略表、应答审计处理表、程序列表和数据列表。7.9密钥生成(FCS_CKM.1)FCS_CKM.1.1安全处理器安全功能应根据符合下列标准【赋值：标准列表】的一个特定的密钥生应用说明：密钥生成功能应由安全处理器安全支撑逻辑部件完成，此时ST编写者应根据密码算法的具体情况，赋值国家主管部门认可的相关标准及参数。7.10密钥分发(FCS_CKM.2)安全处理器安全功能应根据符合下列标准【赋值：标准列表】的一个特定的密钥分发方法【赋值：密应用说明：密钥分发功能应由一个安全处理器向其他安全处理器加密分发完成，此时ST编写者应根据密码算法的具体情况，赋值国家主管部门认可的相关标准及密钥分发方法。7.11密钥存取(FCS_CKM.3)FCS_CKM.3.1安全处理器安全功能应根据符合下列标准【赋值：标准列表】的一个特定的密钥存应用说明：密钥存储应以密文形式随机进行分布式存储在安全处理器的指定空间内；密钥读取应由安全处理器安全机制进行保障；此时ST编写者应根据密码算法的具体情况，赋值国家主管部门认可的相关标准及密钥存取方法。7.12密钥销毁(FCS_CKM.4)FCS_CKM.4.1安全处理器安全功能应根据符合下列标准【赋值：标准列表】的一个特定的密钥销应用说明：ST编写者应根据密码算法的具体情况赋值国家主管部门认可的相关标准及密钥销毁方法。7.13密码运算(FCS_COP.1)FCS_COP.1.1安全处理器安全功能应根据符合下列标准【赋值：标准列表】的特定的密码算法【赋应用说明：ST编写者应根据密码算法的具体情况赋值国家主管部门认可的相关标准及参数，在运算过程中实现一次一密。7.14子集访问控制(FDP_ACC.1)应用说明：ST编写者应根据具体情况细化用户数据和操作列表，且根据用户和管理员操作客体和相应控制策略的不同，应在ST中将此组件分为不同的点进行描述。7.15基于安全属性的访问控制(FDP_ACF.1)FDP_ACF.1.1安全处理器安全功能应基于FDP_ACF.1.2安全处理器安全功能应执行以下规则，以决定在受控主体与受控客体间的一个操作是否被允许：【用户鉴别是否通过，管理员鉴别是否通过，存储器访问控制寄存器的值是否满足访问要FDP_ACF.1.3安全处理器安全功能应基于以下附加规则：【赋值：基于安全属性的，明确授权主体访问客体的规则】,明确授权主体访问客体。FDP_ACF.1.4安全处理器安全功能应基于【赋值：基于安全属性的，明确拒绝主体访问客体的规则】明确拒绝主体访问客体。应用说明：ST编写者应根据具体应用细化主体、客体和操作列表，并描述相应的访问控制策略。若安全处理器没有附加的访问控制策略，可不对FDP_ACF.1.3和FDP_ACF.1.4的相应赋值项赋值。安全属性可能简单地是一个赋予每一用户的访问表，指出允许用户使用的功能；或是赋予每一功能的访问表，指出使用这一功能所允许的用户。7.16基本数据鉴别(FDP_DAU.1)FDP_DAU.1.1安全处理器安全功能应提供一种能力，以生成能用来作为【程序列表、数据列表，赋值：客体或其他信息类型列表】有效性担保的证据。定信息有效的证据。应用说明：ST编写者应根据具体应用细化主体、客体和信息类型列表，并描述相应的数据鉴别策略。7.17带有安全属性的用户数据输出(FDP_ETC.2)FDP_ETC.2.1在安全功能策略控制下将用户数据输出到TOE之外时，安全处理器安全功能应执FDP_ETC.2.2安全处理器安全功能应输出用户数据且带有用户数据关联的安全属性。FDP_ETC.2.3安全处理器安全功能应确保输出安全属性到TOE之外时，与所输出的用户数据关联。FDP_ETC.2.4当从TOE输出用户数据时，安全处理器安全功能应执行下列规则【数据度量、数据应用说明：ST编写者应根据具体应用描述安全处理器接口，并描述相应的访问控制策略或信息流控制策略及其他附加的输出控制规则。7.18带有安全属性的用户数据输入(FDP_ITC.2)FDP_ITC.2.1在安全功能策略控制下从TOE之外输入用户数据时，安全处理器安全功能应执行【赋值：访问控制SFP和/或信息流控制SFP】。FDP_ITC.2.2安全处理器安全功能应使用与所输入数据相关的安全属性。FDP_ITC.2.3安全处理器安全功能应确保所使用的协议在安全属性和接收到的用户数据之间进行了明确的关联。FDP_ITC.2.4安全处理器安全功能应确保对输入用户数据的安全属性的解释与用户源数据所预期的安全属性是一样的。FDP_ITC.2.5当在安全功能策略控制下从TOE之外输入用户数据时，安全处理器安全功能应执应用说明：ST编写者应根据具体应用描述安全处理器接口，并描述相应的访问控制策略或信息流控制策略及其他附加的输入控制规则如原始注入接口完成原始注入后该接口将被禁止或销毁，所有接口数据清零。FDP_IFC.1.1安全处理器安全功能应对【安全处理器中处理或传输的用户数据，如用户密钥等敏感其他信息流控制SFP】。应用说明：数据处理策略应要求除安全处理器允许用户数据可通过外部接口访问，否则不能从安全处理器中泄漏。7.20基本内部传送保护(FDP_ITT.1)FDP_ITT.1.1在安全处理器物理上分隔的不同的存储器、功能模块(如固件模块间、硬件实体功能执行体间)之间传递用户数据时，安全处理器安全功能应执行【选择：安全处理器访问控制策略，安全处应用说明：ST编写者应根据具体应用细化不同的存储器、逻辑部件、功能模块，并描述相应的访问控制策略和信息流控制策略。7.21子集残余信息保护(FDP_RIP.1)FDP_RIP.1.1安全处理器安全功能应确保一个资源的任何先前信息内容，在【选择：分配资源到、应用说明：ST编写者应将残留在EEPROM、FLASH、RAM先前信息内容进行清除。7.22存储数据的完整性监视和行动(FDP_SDI.2)FDP_SDI.2.1安全处理器安全功能应基于下列属性：【用户数据完整性校验值，赋值：其他用户数据属性】,对所有客体，监视存储在有安全处理器安全功能控制的载体内的用户数据是否存在【赋值：完整FDP_SDI.2.2检测到数据完整性错误时，安全处理器安全功能应【输出错误状态，赋值：采取的其他应用说明：ST编写者应对采用的其他完整性错误处理动作进行细化描述，如检测到数据完整性错7.23基本的数据交换机密性(FDP_UCT.1)FDP_UCT.1.1安全处理器安全功能应执行【赋值：访问控制安全功能策略和/或信息流控制安全应用说明：ST编写者应使用国家主管部门规定算法，采取不定期更换密钥的措施对用户数据加密。7.24数据交换完整性(FDP_UIT.1)FDP_UIT.1.1安全处理器安全功能应执行【赋值：访问控制安全功能策略和/或信息流控制安全功FDP_UIT.1.2安全处理器安全功能应能确定在用户数据的接收过程中是否发生了【选择：篡改、删应用说明：ST编写者应根据具体应用细化不同的用户数据，并描述相应的访问控制策略和信息流控制策略。7.25鉴别失败处理(FIA_AFI.1)FIA_AFI.1.1安全处理器安全功能应检测当【选择：次数、数值范围，赋值【正整数】,管理员可设置列表】相关的未成功鉴别尝试。所定义的未成功鉴别尝试次数时，安全处理器安全功能应采取的【赋值：动作列表，如临时锁定鉴别功能至一定时间后再开启或永久锁定鉴别功能并进入废止阶段】。应用说明：ST编写者应根据具体应用细化成功鉴别尝试次数和动作列表。7.26用户属性定义(FIA_ATD.FIA_ATD.1.1安全处理器安全功能应维护属于单个用户的下列安全属性列表：【选择：用户标识、应用说明：ST编写者应详细定义单个用户的安全属性。7.27TSF生成秘密(FIA_SOS.2)FIA_SOS.2.1安全处理器安全功能应提供一种机制以产生满足鉴别机制安全性要求的秘密。FIA_SOS.2.2安全处理器安全功能应能够为【赋值：安全处理器安全功能功能列表】使用安全处理器安全功能产生的秘密。应用说明：此安全功能中要求的秘密是指鉴别密钥、PIN等安全处理器安全功能数据，ST编写者应对生成的秘密的质量进行验证，以加强秘密生成的安全性。7.28鉴别的时机(FIA_UAU.1)FIA_UAU.1.1在用户鉴别前，安全处理器安全功能应允许执行代表用户的【赋值：由安全处理器FIA_UAU.1.2在允许执行代表该用户的任何其他由安全处理器安全功能促成的动作前，安全处理器安全功能应要求每个用户都已被成功鉴别。应用说明：ST编写者应根据具体应用细化安全功能促成的动作列表。7.29标识的时机(FIA_UID.1)FIA_UID.1.1在用户被识别之前，安全处理器安全功能应允许执行代表用户的【赋值：安全处理器FIA_UID.1.2在允许执行代表该用户的任何其他由安全处理器安全功能促成的动作前，安全处理器安全功能应要求每个用户都已被成功识别。应用说明：ST编写者应根据具体应用细化安全功能促成的动作列表。7.30受限能力(FMT_LIM.1)FMT_LIM.1.1TSF应采取某种能力受限的设计和实现方法，以便可与“受限可用性(FMT_LIM.应用说明：要求TSF采用了特定的设计方法，使其仅具备必需的能力(如执行动作、获取信息)。7.31受限可用性(FMT_LIM.2)FMT_LIM.2.1TSF应采取某种可用性受限的设计和实现方法，以便可与“受限能力(FMT_LIM.应用说明：要求FMT_LIM.1提及的安全功能的可用性能得到控制，例如TOE某个阶段的特殊安全功能在进入下一阶段后将被删除或禁止，因而在进入新的阶段后将无法使用。7.32安全功能行为的管理(FMT_MOF.1)FMT_MOF.1.1安全处理器安全功能应仅限于【管理员，赋值：其他已标识的授权角色】对功能【选能力。应用说明：此安全功能中要求的管理员或其他已标识的授权角色对功能列表进行确定其行为、终止、激活等操作的能力，因此ST编写者应细化已标识的授权角色和功能列表：a)管理数据访问级别，该级别一旦确定，不能变更；b)在安全告警事件中要执行行为的管理；c)通过在规则集中增加、修改或删除规则，来维护违规分析规则；e)在鉴别失败事件中要采取行为的管理；f)在用户成功被鉴别之前所能采取行为的管理；g)授权管理员如果能改变用户被识别之前所能采取的行为列表，应对授权管理员的此种行为进行管理；h)对撤消规则的管理；i)对重放中所采取行为的管理；j)安全处理器自检发生【选择：初始化启动、定期间隔、其他特定条件】时的条件的管理；7.33安全属性的管理(FMT_MSA.1)FMT_MSA.1.1安全处理器安全功能应执行【安全处理器存储访问控制策略，赋值：其他处理器访应用说明：此安全功能没有定义任何强制性的安全属性，但有些属性可由SFR包定义或由ST编写者定义。ST编写者应定义如何管理安全属性。7.34静态属性初始化(FMT_MSA.3)FMT_MSA.3.1安全处理器安全功能应执行【安全处理器存储访问控制策略，赋值：其他访问控制策略、信息流控制策略】,以便为执行安全处理器安全功能策略的安全属性提供【选择，从中选取一个：FMT_MSA.3.2安全处理器应允许【管理员，赋值：已标识的其他授权角色】在创建客体或信息时指定替换性的初始值以代替原来的默认值。应用说明：此安全功能要求静态属性初始化以密文形式存储在安全存储器中，并允许管理员对其进行访问控制。7.35TSF数据的管理(FMT_MTD.1)FMT_MTD.1.1安全处理器安全功能应仅限于【管理员，赋值：已标识的其他授权角色】能够对【安应用说明：ST编写者应根据具体应用情况细化对管理员角色及权限的描述，使得固件进入用户使用阶段后，即便相应的管理员也无法对固件的版本信息、激活时间等标识数据进行修改。7.36时限授权(FMT_SAE.1)FMT_SAE.1.1安全处理器安全功能应仅限于【管理员，赋值：已标识的其他授权角色】能够为【赋FMT_SAE.1.2对每个这样的安全属性，在超过指定的安全属性的有效期后，安全处理器安全功能对每个安全属性将要采取的动作列表(如锁定所有安全功能或擦除所有敏感信息并进入应用说明：ST编写者应根据具体应用细化支持有效期的安全属性列表。7.37管理功能规范(FMT_SMF.1)FMT_SMF.1.1安全处理器安全功能应能够执行如下管理功能：【初始化、检测、监控、生命周期功能控制等功能，赋值：其他处理器安全功能提供的应用说明：ST编写者应根据具体应用细化安全管理功能列表。7.38承担角色(FMT_SMR.3)FMT_SMR.3.1安全处理器安全功能应要求提供一个明确请求以承担下列角色【主控操作配置下应用说明：ST编写者应根据具体应用情况完善对不同角色条件的描述。7.39影响不可观察性的信息的分配(FPR_UNO.2)FPR_UNO.2.1安全处理器安全功能应确保【赋值：用户和/主体列表】不能观察到由【赋值：受保护FPR_UNO.2.2应在TOE的不同部分中分配【赋值：不可观察性相关信息】,使得下列条件在信息应用说明：ST编写者应确保一个用户可以使用一个资源或者服务，而其他人，特别是第三人，不能观察到该资源或者服务正被使用。7.40授权用户可观察性(FPR_UNO.4)FPR.UNO.4.1安全处理器安全功能应给【赋值：授权用户集】提供观察【赋值：资源和/或服务列应用说明：ST编写者应确保识别授权用户集。7.41失效即保持安全状态(FPT_FLS.1)FPT_FLS.1.1安全处理器安全功能在下列失效发生时应保持一种安全状态：【掉电、自检失败、随应用说明：ST编写者应根据具体异常情况对相应的安全状态进行处理描述，详见A.2.4。7.42TSF间可用性不超过既定可用性度量(FPT_ITA.1)FPT_ITA.1.1在【可信认证，赋值：其他确保可用性的条件】条件下，安全处理器安全功能应确保提供给另一个可信IT产品的【有效证书，赋值：其他安全处理器数据类型列表】的可用性不会超过【证书应用说明：此安全功能要求ST编写者应给出并描述安全处理器既定可用性度量。7.43传送过程中TSF间的机密性(FPT_ITC.1)FPT_ITC.1.1安全处理器安全功能应保护所有从安全处理器安全功能传送到另一个可信IT产品的安全处理器安全功能数据在传送过程中不会被未授权泄漏。应用说明：此安全功能要求安全处理器传送数据应采用国家批准的密码算法进行加密传输。7.44TSF间篡改的检测与纠正(FPT_ITI.2)FPT_ITI.2.1安全处理器安全功能应提供能力，以检测在下列度量下：【程序校验值、数据校验值，赋值：一个其他既定的修改度量】安全处理器安全功能与另一个可信IT产品间所传送的所有安全处理器安全功能数据被修改。FPT_ITI.2.2安全处理器安全功能应提供能力，以验证安全处理器安全功能与另一个可信IT产品间所传送的所有安全处理器安全功能数据的完整性，以及如果检测到修改将执行FPT_ITI.2.3安全处理器安全功能应提供能力，以纠正安全处理器安全功能与另一个可信IT产品间所传送的所有安全处理器安全功能数据的【数据属性(如可用状态、机密状态),赋值：其他修改应用说明：ST编写者应根据检测度量，细化应采取的行动和修改类型。7.45内部TSF数据传送的基本保护(FPT_ITT.1)FPT_ITT.1.1安全处理器安全功能应保护安全处理器安全功能数据在不同的存储器之间、安全处理器功能模块之间(如固件与硬件实体间、固件内部模块间、功能执行体之间),传送时不被【选择：泄应用说明：此安全功能要求安全处理器功能模块间传送数据以密文形式。7.46物理攻击抵抗(FPT_PHP.3)FPT_PHP.3.1安全处理器安全功能应通过自动响应以抵抗对安全处理器安全功能【固件功能模析，赋值：其他各种物理侵害】,这样才能满足安全处理器安全功能要求。应用说明：TSF将实现适当的机制，以持续对抗物理操作和物理探测。由于这些攻击(特别是操纵)的性质，TSF无法检测到对其所有元素的攻击。因此，需要针对这些攻击提供永久性保护，如安全布局布线、硅胶封装等形式，以确保强制执行安全功能要求。因此，“自动响应”在这里是指(1)假设在任何时候可能有攻击，(2)在任何时候提供反措施。如检测与处理。7.47功能恢复(FPT_RCV.4)失效情景列表(如存储器访问错误)】时有如下特性，即功能或者成功完成，或者针对指明的失效情景恢复到一个前后一致的且安全的状态。应用说明：ST编写者应根据此功能要求完善功能自恢复设计。7.48重放检测(FPT_RPL.1)FPT_RPL.1.1安全处理器安全功能应检测对以下实体的重放FPT_RPL.1.2检测到重放时，安全处理器安全功能应执行【选择：恢复至未鉴别状态、锁定安全功应用说明：ST编写者应根据具体应用细化实体列表和操作列表。7.49相互可信回执(FPT_SSP.2)FPT_SSP.2.1当安全处理器安全功能的另一部分发出请求时，安全处理器安全功能应承认接收到一个未经修改的安全处理器安全功能数据传送。FPT_SSP.2.2安全处理器安全功能应通过使用回执，确保安全处理器安全功能的有关部分知道在不同部分间所传送数据处于正确状态。应用说明：此安全功能要求安全处理器具备相互认证功能，完成传送数据的信息确认。7.50可靠的时间戳(FPT_STM.1)FPT_STM.1.1安全处理器安全功能应有能力提供可靠的时间戳。应用说明：不论可靠时间戳在TOE内部产生还是在外部产生，这一PP认为均满足FPT_STM.1。如果可靠时间戳在TOE外部产生，ST编写者应考虑包括附加的SFRs,以确保其可靠性(例如，源时间戳的鉴别、时间戳交付的完整性保护、时间戳服务的检查)。如果一个产品可以使用内部或外部的时间戳源，那么ST编写者就按不同的操作模式来表达它们，致使每个都可予以评估。FPT_TST.1.1安全处理器安全功能应在【选择：初始化启动期间、正常工作期间周期性地、授权用FPT_TST.1.2安全处理器安全功能应为授权用户提供验证【选择：【赋值：安全处理器安全功能的FPT_TST.1.3安全处理器安全功能应为授权用户提供验证所存储的安全处理器安全功能可执行代码完整性的能力。应用说明：安全处理器应具有对重要的安全功能及数据进行自测的能力，以排除功能失常和数据被有意或无意篡改的情况发生。ST编写者应根据具体应用情况细化此功能要求。7.52受限容错(FRU_FLT.2)FRU_FLT.2.1安全处理器安全功能应确保当以下失效：【未被失效即保持安全状态(FPT_FLS.1)应用说明：此安全功能要求安全处理器应具备重组配置和冗余配置功能，ST编写者应根据具体细化失效类型列表，如A.2.4异常态描述。7.53最高配额(FRU_RSA.1)FRU_RSA.1.1安全处理器安全功能应对以下资源：【资源配置表，赋值：其他受控资源】分配最高应用说明：ST编写者应根据应用需求针对资源配置表进行配置以达到使用目的。7.54TSF原发会话终止(FTA_SSL.3)FTA_SSL.3.1TSF应在达到【赋值：用户不活动的时间间隔】之后终止一个交互式会话。应用说明：FTA_SSL.3是实现O.DataAcc_Control一个基本SFR。7.55TOE会话建立(FTA_TSE.1)安全处理器安全功能应能基于【赋值：属性】拒绝会话的建立。应用说明：ST编写者应对属性说明，如访问位置或接口、用户安全属性(如用户身份、许可级别、完FTP_ITC.1.1安全处理器安全功能应在它自己和另一个可信IT产品之间提供一条通信信道，此信道上逻辑上与其他通信信道截然不同，并对其端点进行了有保障的标识，且能保护信道中数据免遭修改或泄漏。FTP_ITC.1.2安全处理器安全功能应允许【选择：安全处理器安全功能、另一个可信IT产品】经由可信信道发起通信。FTP_ITC.1.3对于【安全功能数据、用户数据、敏感数据、设计信息，赋值：其他需要可信信道的功能列表】,安全处理器安全功能应经由可信信道发起通信。应用说明：ST编写者应根据具体应用细化需要可信信道的功能列表。7.57可信路径(FTP_TRP.1)FTP_TRP.1.1安全处理器安全功能应在它自己和【选择：远程、本地】用户之间提供一条通信路径，此路径在逻辑上与其他通信路径截然不同，并对其端点进行了有保障的标识，并能保护通信数据免遭FTP_TRP.1.2安全处理器应允许【选择：安全处理器安发起通信。能应要求使用可信路径。应用说明：此安全功能要求安全处理器间通信应首先确定发起者，然后建立可信的通信路径，确保8安全保障要求8.1通则表4列出了安全处理器安全保障组件，组件的依赖关系应符合附录C,下述各条对各组件给出了详细描述。表4安全保障组件安全保障类安全保障组件编号备注ADV类：开发ADV_ARC.1安全架构描述1√√√ADV_FSP.5附加错误信息的完备的半形式化功能规范2√√N/AADV_FSP.6附加形式化描述的完备的半形式化功能规范3N/AN/A√ADV_IMP.1TSF实现表示4√N/AN/AADV_IMP.2TSF实现表示完全映射5N/A√√ADV_INT.2内部结构合理6√N/AN/AADV_INT.3内部复杂度最小化7N/A√√ADV_SPM.1形式化TOE安全策略模型8N/AN/A√ADV_TDS.4半形式化模块设计9√N/AN/AADV_TDS.5完全半形式化模块设计N/A√N/AADV_TDS.6带形式化高层设计表示的完全半形式化模块设计N/AN/A√AGD类：指导性文档AGD_OPE.1操作用户指南√√√AGD_PRE.1准备程序√√√表4安全保障组件(续)安全保障类安全保障组件编号备注EAL5EAL6EAL7ALC类：生命周期支持ALC_CMC.4生产支持和接受程序及其自动化√N/AN/AALC_CMC.5高级支持N/A√√ALC_CMS.5开发工具CM覆盖√√√ALC_DEL.1交付程序√√√ALC_DVS.1安全措施标识√N/AN/AALC_DVS.2充分的安全措施N/A√√ALC_LCD.1开发者定义的生命周期模型√√√ALC_LCD.2可测量的生命周期模型N/AN/A√ALC_TAT.2遵从实现标准√N/AN/AALC_TAT.3遵从实现标准——所有部分N/A√√ASE类：安全目标评估ASE_CCL.1符合性声明√√√ASE_ECD.1扩展组件定义√√√ASE_INT.1引言√√√ASE_OBJ.2安全目的√√√ASE_REQ.2推导出的安全要求√√√ASE_SPD.1安全问题定义√√√ASE_TSS.1TOE概要规范√√√ATE类：测试ATE_COV.2覆盖分析√N/AN/AATE_COV.3严格覆盖分析N/A√√ATE_DPT.3测试：模块设计√√N/AATE_DPT.4测试：实现表示N/AN/A√ATE_FUN.1功能测试√N/AN/AATE_FUN.2顺序的功能测试N/A√√ATE_IND.2独立测试——抽样√√N/AATE_IND.3独立测试——完全N/AN/A√AVA类：脆弱性评定AVA_VAN.4系统的脆弱性分析√N/AN/AAVA_VAN.5高级的系统的脆弱性分析N/A√√“√”代表在该保障级下，应选择该组件。“N/A”代表在该保障级下，该组件不适用。开发者行为元素：——ADV_ARC.1.1D——ADV_ARC.1.2D开发者应设计并实现TOE,确保TSF的安全特性不可旁路；开发者应设计并实现TSF,以防止不可信主体的破坏；——ADV_ARC.1.3D开发者应提供TSF安全架构的描述。内容和形式元素：——ADV_ARC.1.1C安全架构的描述应与在TOE设计文档中对SFR-执行的抽象描述的级别一致；——ADV_ARC.1.2C安全架构的描述应描述与安全功能要求一致的TSF安全域；——ADV_ARC.1.3C安全架构的描述应描述TSF初始化过程为何是安全的；——ADV_ARC.1.4C安全架构的描述应证实TSF可防止被破坏；——ADV_ARC.1.5C安全架构的描述应证实TSF可防止SFR-执行的功能被旁路。评估者行为因素：——ADV_ARC.1.1E评估者应确认提供的信息符合证据的内容和形式要求。8.3附加错误信息的完备的半形式化功能规范(ADV_FSP.5)开发者行为元素：——ADV_FSP.5.1D开发者应提供一个功能规范；——ADV_FSP.5.2D开发者应提供功能规范到安全功能要求的追溯。内容和形式元素：——ADV_FSP.5.1C功能规范应完全描述TSF;——ADV_FSP.5.2C功能规范应使用半形式化方式描述TSFI;——ADV_FSP.5.3C功.能规范应描述所有的TSFI的目的和使用方法；——ADV_FSP.5.4C功能规范应识别和描述每个TSFI相关的所有参数；——ADV_FSP.5.5C功能规范应描述每个TSFI相关的所有行为；——ADV_FSP.5.6C功能规范应描述可能由每个TSFI的调用引起的所有直接错误信息；——ADV_FSP.5.7C功能规范应描述不是由TSFI调用而引起的所有错误信息；——ADV_FSP.5.8C功能规范应为每个包含在TSF实现中但不是由TSFI调用而引起的错误消息提供基本原理；——ADV_FSP.5.9C功能规范应证实安全功能要求到TSFI的追溯。评估者行为元素：——ADV_FSP.5.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求；——ADV_FSP.5.2E评估者应确定功能规范是安全功能要求的一个准确且完备的实例化。8.4附加形式化描述的完备的半形式化功能规范(ADV_FSP.6)开发者行为元素：——ADV_FSP.6.1D开发者应提供一个功能规范；——ADV_FSP.6.2D开发者应提供TSF功能规范的形式化描述；——ADV_FSP.6.3D内容和形式元素：开发者应提供功能规范到安全功能要求的追溯。——ADV_FSP.6.1C功能规范应完全描述TSF;——ADV_FSP.6.2C功能规范应使用形式化方式描述TSFI;——ADV_FSP.6.3C功能规范应描述所有的TSFI的目的和使用方法；——ADV_FSP.6.4C功能规范应识别和描述每个TSFI相关的所有参数；——ADV_FSP.6.5C功能规范应描述每个TSFI相关的所有行为；——ADV_FSP.6.6C功能规范应描述可能由每个TSFI的调用引起的所有直接错误信息；——ADV_FSP.6.7C功能规范应描述包含在TSF实现表示中的所有错误信息；——ADV_FSP.6.8C功能规范应为每个包含在TSF实现中但不是由TSFI调用而引起的错误消息提供基本原理，以论证这些错误信息为何与TSFI无关；——ADV_FSP.6.9CTSF功能规范的形式化描述应使用形式化方式来描述TSF,并且TSFI通过适当的非形式化解释性文字来支持；——ADV_FSP.6.10C评估者行为元素：——ADV_FSP.6.1E——ADV_FSP.6.2E功能规范应证实安全功能要求到TSFI的追溯。评估者应确认所提供的信息满足证据的内容和形式的所有要求；评估者应确定功能规范是安全功能要求的一个准确且完备的实例化。8.5TSF实现表示(ADV_IMP.1)开发者行为元素：——ADV_IMP.1.1D开发者应为全部TSF提供实现表示；——ADV_IMP.1.2D开发者应提供TOE设计描述与实现表示实例之间的映射。内容和形式元素：——ADV_IMP.1.1C实现表示应按详细级别定义TSF,且详细程度达到无须进一步设计就能生——ADV_IMP.1.2C实现表示应以开发人员使用的形式提供；——ADV_IMP.1.3CTOE设计描述与实现表示示例之间的映射应能证实它们的一致性。评估者行为元素：——ADV_IMP.1.1E对于选取的实现表示示例，评估者应确认提供的信息满足证据的内容和形式的所有要求。8.6TSF实现表示完全映射(ADV_IMP.2)开发者行为元素：——ADV_IMP.2.1D开发者应为全部TSF提供实现表示；——ADV_IMP.2.2D开发者应提供TOE设计描述与全部实现表示之间的映射。内容和形式元素：—ADV_IMP.2.1C实现表示应按纤细级别定义TSF,且详细程度达到无须进一步设计就能生成TSF的程度；——ADV_IMP.2.2C实现表示应以开发人员使用的形式提供；——ADV_IMP.2.3CTOE设计描述与全部实现表示之间的映射应证实它们的一致性。评估者行为元素：——ADV_IMP.2.1E评估者应确认提供的信息满足证据的内容和形式的所有要求。8.7内部结构合理(ADV_INT.2)开发者行为元素：——ADV_INT.2.1D开发者应设计和实现整个TSF,使内部结构合理；——ADV_INT.2.2D内容和形式元素：开发者应提供内部描述和论证过程。——ADV_INT.2.1C论证过程应解释描述用于判定“结构合理”的含义的特性；——ADV_INT.2.2C评估者行为元素：TSF内部描述应证实指定的整个TSF结构合理。——ADV_INT.2.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求；——ADV_INT.2.2E评估者应执行指定的TSF子集内部分析。8.8内部复杂度最小化(ADV_INT.3)开发者行为元素：——ADV_INT.3.1D开发者应设计和实现整个TSF,使内部结构合理；——ADV_INT.3.2D内容和形式元素：开发者应提供内部描述和论证过程。——ADV_INT.3.1C论证过程应解释描述用于判定“结构合理”及复杂性的含义的特性；——ADV_INT.3.2C评估者行为元素：TSF内部描述应证实指定的整个TSF结构合理且不过于复杂。——ADV_INT.3.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求；——ADV_INT.3.2E评估者应执行整个TSF的内部分析。8.9形式化TOE安全策略模型(ADV_SPM.1)开发者行为元素：——ADV_SPM.1.1D开发者应提供一个形式化的安全策略模型【赋值：被形式化模型化的策略——ADV_SPM.1.2D对于形式化的安全策略模型覆盖的每个策略，该模型应标识构成这一策略的安全功能要求声明的有关部分；——ADV_SPM.1.3D——ADV_SPM.1.4D内容和形式元素：——ADV_SPM.1.1C——ADV_SPM.1.2C开发者应提供该模型与形式化功能规范的对应性的形式化声明；开发者应提供该模型与功能规范的对应性的论证。该模型是形式化的，必要时辅以解释性的文字，并且标识模型化的对于所有被模型化的策略，模型定义该TOE的安全，提供该TOE不能达到非安全状态的形式化证明；——ADV_SPM.1.3C——ADV_SPM.1.4C ADV_SPM.1.5C该模型与功能规范的一致性应采用正确的形式化级别进行论述；该对应性表明功能规范相对该模型是一致的和完备的；该对应性论证应表明功能规范中描述的接口相对于ADV_SPM.1.1D中赋值的策略是一致的和完备的。评估者行为元素：——ADV_SPM.1.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求。8.10半形式化模块设计(ADV_TDS.4)开发者行为元素：——ADV_TDS.4.1D——ADV_TDS.4.2D映射。内容和形式元素：——ADV_TDS.4.1C——ADV_TDS.4.2C个模块；——ADV_TDS.4.3C开发者应提供TOE的设计；开发者应提供从功能规范的TSFI到TOE设计中获取到的最低层分解的设计应根据子系统描述TOE的结构；设计应根据模块描述TSF,以SFR-执行、SFR-支撑或SFR-无关标出每一设计应标识TSF的所有子系统；——ADV_TDS.4.4C解释性的描述；——ADV_TDS.4.5C——ADV_TDS.4.6C——ADV_TDS.4.7C设计应提供每一个TSF子系统的半形式化描述，适当时配以非形式化的、设计应描述TSF所有子系统间的相互作用；设计应提供TSF子系统到TSF模块间的映射关系；设计应描述每一个SFR-执行和SFR-支撑模块，包括它的目的及与其他模块间的相互作用；——ADV_TDS.4.8C设计应描述每一个SFR-执行和SFR-支撑模块，包括它的安全功能要求相关接口、其他接口的返回值、与其他模块间的相互作用及调用的接口；——ADV_TDS.4.9C设计应描述每一个SFR-支撑和SFR-无关模块，包括它的目的及与其他模块间的相互作用；——ADV_TDS.4.10C评估者行为元素：——ADV_TDS.4.1E——ADV_TDS.4.2E映射关系应证实TOE设计中描述的所有行为能够映射到调用它的TSFI。评估者应确认提供的信息满足证据的内容和形式的所有要求。评估者应确定设计是所有安全功能要求的正确且完全的实例。8.11完全半形式化模块设计(ADV_TDS.5)开发者行为元素：——ADV_TDS.5.1D——ADV_TDS.5.2D映射。内容和形式元素：——ADV_TDS.5.1C——ADV_TDS.5.2CSFR-无关；——ADV_TDS.5.3C——ADV_TDS.5.4C解释性的描述；——ADV_TDS.5.5C——ADV_TDS.5.6C——ADV_TDS.5.7C开发者应提供TOE的设计；开发者应提供从功能规范的TSFI到TOE设计中获取到的最低层分解的设计应根据子系统描述TOE的结构；设计应从模块的角度描述TSF,把每个模块指定为SFR-执行、SFR-支撑或设计应标识TSF的所有子系统；设计应提供每一个TSF子系统的半形式化描述，适当时配以非形式化的、设计应描述TSF所有子系统间的相互作用；设计应提供TSF子系统到TSF模块间的映射关系；设计应为每一个模块提供一个半形式化描述，包括它的目的、相互作用、接口、其他接口的返回值、被其他模块调用的接口，适当时配以非形式化的、解释性的描述；——ADV_TDS.5.8C评估者行为元素：——ADV_TDS.5.1E——ADV_TDS.5.2E映射关系应证明TOE设计中描述的所有行为能够映射到调用它的TSFI。评估者应确认提供的信息满足证据的内容和形式的所有要求；评估者应确认设计是所有安全功能要求的正确且完备的实例。8.12带形式化高层设计表示的完全半形式化模块设计(ADV_TDS.6)开发者行为元素：——ADV_TDS.6.1D——ADV_TDS.6.2D——ADV_TDS.6.3D——ADV_TDS.6.4D开发者应提供TOE的设计；开发者应提供一个从功能规范的TSFI到TOE设计所描述的最低层分解开发者应提供TSF子系统的形式化说明；开发者应提供TSF子系统和功能规范的形式化说明间的一致性论证。内容和形式元素：——ADV_TDS.6.1C设计应根据子系统描述TOE的结构；——ADV_TDS.6.2C设计应从模块的角度描述TSF,把每个模块指定为SFR-执行、SFR-支撑或——ADV_TDS.6.3C设计应标识TSF的所有子系统；——ADV_TDS.6.4C解释性的描述；设计应提供每一个TSF子系统的半形式化描述，适当时配以非形式化的、——ADV_TDS.6.5C设计应描述TSF所有子系统间的相互作用；——ADV_TDS.6.6C设计应提供TSF子系统到TSF模块间的映射关系；——ADV_TDS.6.7C设计应以半形式化方式描述每一个模块，包括它的目的、相互作用、接口、其他接口的返回值、被其他模块调用的接口，适当时用非形式化的、解释性的文字进行支撑；——ADV_TDS.6.8CTSF子系统的形式化说明应以形式化方式描述TSF,适当时配以非形式化——ADV_TDS.6.9C映射关系应证实TOE设计中描述的所有行为能够映射到调用它的TSFI;——ADV_TDS.6.10CTSF子系统和功能规范的形式化说明间的一致性证明应证实TOE设计中描述的所有行为都是调用它的TSFI的正确且完备的精炼。评估者行为元素：——ADV_TDS.6.1E评估者应确认提供的信息满足证据的内容与形式的所有要求；——ADV_TDS.6.2E评估者应确认设计是所有安全功能要求的正确且完备的实例。开发者行为描述：——AGD_OPE.1.1D开发者应提供操作用户指南。内容和形式元素：——AGD_OPE.1.1C操作用户指南应对每一种用户角色进行描述，在安全处理环境中应被控制的用户可访问的功能和特权，包含适当的警示信息；——AGD_OPE.1.2C操作用户指南应对每一种用户角色进行描述，怎样以安全的方式使用TOE提供的可用接口；——AGD_OPE.1.3C操作用户指南应对每一种用户角色进行描述，可用功能和接口，尤其是受用户控制的所有安全参数，适当时应指明安全值；——AGD_OPE.1.4C操作用户指南应对每一种用户角色明确说明，与需要执行的用户可访问功能有关的每一种安全相关事件，包括改变TSF所控制实体的安全特性；——AGD_OPE.1.5C操作用户指南应描述TOE运行的所有可能状态(包括操作导致的失败或者操作性错误),它们与维持安全运行之间的因果关系和联系；—AGD_OPE.1.6C操作用户指南应对每一种用户角色进行描述，为了充分实现ST中