《信息安全技術(shù) 無線局域網(wǎng)客戶端安全技術(shù)要求（評估保證級2級增強(qiáng)）》

ICS

中華人民共和國國家標(biāo)準(zhǔn)

GB/TXXXXX—XXXX

信息安全技術(shù)無線局域網(wǎng)客戶端安全技

術(shù)要求（評估保證級2級增強(qiáng)）

Informationsecuritytechnology—SecuritytechnologyrequirementsonWireless

LocalAreaNetwork(WLAN)Client（EAL2+）

（征求意見稿）

XXXX-XX-XX發(fā)布XXXX-XX-XX實(shí)施

1GB/TXXXXX—XXXX

前??言

本標(biāo)準(zhǔn)按照GB/T1.1-2009給出的規(guī)則起草。

本標(biāo)準(zhǔn)依據(jù)《GB/T18336-2008信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則》中所規(guī)定的安全技術(shù)

要求（保護(hù)輪廓）的結(jié)構(gòu)形式，參考《GB/Z20283-2006信息安全技術(shù)保護(hù)輪廓和安全目標(biāo)的產(chǎn)生指南》，

制定了無線局域網(wǎng)客戶端安全技術(shù)要求（評估保證級2級增強(qiáng)）。

本標(biāo)準(zhǔn)的某些內(nèi)容可能涉及專利，本標(biāo)準(zhǔn)的發(fā)布機(jī)構(gòu)不承擔(dān)識別這些專利的責(zé)任。

本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會（SAC/TC260）提出并歸口。

本標(biāo)準(zhǔn)主要起草單位：中國信息安全測評中心、北京郵電大學(xué)、中國科學(xué)院研究生院信息安全國家

重點(diǎn)實(shí)驗(yàn)室、西安西電捷通無線網(wǎng)絡(luò)通信有限公司。

本標(biāo)準(zhǔn)主要起草人：郭濤、朱龍華、崔寶江、張翀斌、劉威鵬、張普含、時(shí)志偉、郝永樂、王眉林、

賈依真、胡亞楠。

I

1GB/TXXXXX—XXXX

引??言

本標(biāo)準(zhǔn)詳細(xì)描述了與無線局域網(wǎng)客戶端安全環(huán)境相關(guān)的假設(shè)、威脅、組織安全策略，定義了無線局

域網(wǎng)客戶端及其支撐環(huán)境的安全目的，并由其導(dǎo)出安全功能要求和安全保證要求，通過基本原理論證安

全要求能夠追溯并覆蓋安全目的，安全目的能夠追溯并覆蓋安全環(huán)境相關(guān)的假設(shè)、威脅和組織安全策略。

本標(biāo)準(zhǔn)在GB/T18336-2008中規(guī)定的評估保證級2級安全保證要求組件的基礎(chǔ)上，增加了評估保證級

3級中的ACM_SCP.1（TOECM覆蓋），ALC_FLR.2（缺陷報(bào)告過程）和AVA_MSU.1（指南審查）三

個保證組件。

本標(biāo)準(zhǔn)定義了必須在生產(chǎn)商安全目標(biāo)文檔中包括的安全要求的最小集合，但對無線局域網(wǎng)接入系統(tǒng)

的具體技術(shù)實(shí)現(xiàn)方式、方法等不作要求。

II

2GB/TXXXXX—XXXX

信息安全技術(shù)無線局域網(wǎng)客戶端安全技術(shù)要求

（評估保證級2級增強(qiáng)）

1范圍

本標(biāo)準(zhǔn)規(guī)定了無線局域網(wǎng)客戶端評估保證級2級增強(qiáng)的安全技術(shù)要求，主要包括無線局域網(wǎng)客戶端

的安全假設(shè)、威脅和組織策略等安全環(huán)境，以及安全目的、安全功能要求和安全保證要求。

本標(biāo)準(zhǔn)適用于無線局域網(wǎng)客戶端的研制、開發(fā)、測試、評估和產(chǎn)品的采購。

本標(biāo)準(zhǔn)使用的符號、格式和慣例都與GB/T18336-2008相一致。這里選擇一些描述以幫助本標(biāo)準(zhǔn)的

讀者易于理解。

——假設(shè)：TOE安全環(huán)境假設(shè)的命名以“A.”開始—例如，A.ADMINISTRATION。

——威脅：TOE安全環(huán)境威脅的命名以“T.”開始—例如，T.SIGNAL_DETECT。

——策略：TOE安全環(huán)境策略的命名以“P.”開始—例如，P.GUIDANCE。

——目的：TOE安全目的和IT環(huán)境安全目的的命名分別以“O.”和“OE.”開始—例如，O.ACCESS

和OE.ADMIN。

——擴(kuò)展要求：本標(biāo)準(zhǔn)中使用的部分安全要求并未包括在GB/T18336-2008中，這樣的要求被稱為

“擴(kuò)展要求”。擴(kuò)展要求必須按照GB/T18336-2008中“類/族/組件”模型進(jìn)行定義和標(biāo)識。在本標(biāo)準(zhǔn)中，

擴(kuò)展要求使用“EXP”表示。

GB/T18336-2008允許對功能組件進(jìn)行四種操作：賦值、細(xì)化、選擇和反復(fù)，以執(zhí)行安全功能要求。

本標(biāo)準(zhǔn)按以下方式突出標(biāo)識上述四種操作：

——賦值：允許指定參數(shù)。賦值部分以粗斜體形式表示。

——細(xì)化：允許增加細(xì)節(jié)。細(xì)化部分以下劃線形式表示。

——選擇：允許從一個列表中選定一項(xiàng)或者多項(xiàng)。選擇部分將以粗體形式表示。

——反復(fù)：允許一個組件在不同操作時(shí)被使用超過一次以上。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T18336.1-2008信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則第1部分：簡介和一般模型

GB/T18336.2-2008信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則第2部分：安全功能要求

GB/T18336.3-2008信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則第3部分：安全保證要求

GB/Z20283-2006信息安全技術(shù)保護(hù)輪廓和安全目標(biāo)的產(chǎn)生指南

GB15629.11-2003信息技術(shù)系統(tǒng)間遠(yuǎn)程通信和信息交換局域網(wǎng)和城域網(wǎng)特定要求第11部分：無線

局域網(wǎng)媒體訪問控制和物理層規(guī)范

GB15629.1102-2003信息技術(shù)系統(tǒng)間遠(yuǎn)程通信和信息交換局域網(wǎng)和城域網(wǎng)特定要求第11部分：無

線局域網(wǎng)媒體訪問控制和物理層規(guī)范：2.4GHz頻段較高速物理層擴(kuò)展規(guī)范

GB15629.1104-2006信息技術(shù)系統(tǒng)間遠(yuǎn)程通信和信息交換局域網(wǎng)和城域網(wǎng)特定要求第11部分：無

線局域網(wǎng)媒體訪問控制和物理層規(guī)范：2.4GHz頻段更高數(shù)據(jù)速率擴(kuò)展規(guī)范

GB15629.1101-2006信息技術(shù)系統(tǒng)間遠(yuǎn)程通信和信息交換局域網(wǎng)和城域網(wǎng)特定要求第11部分：無

線局域網(wǎng)媒體訪問控制和物理層規(guī)范：5.8GHz頻段高速物理層擴(kuò)展規(guī)范

1

2GB/TXXXXX—XXXX

GB/T15629.1103-2006信息技術(shù)系統(tǒng)間遠(yuǎn)程通信和信息交換局域網(wǎng)和城域網(wǎng)特定要求第11部分：

無線局域網(wǎng)媒體訪問控制和物理層規(guī)范：附加管理域操作規(guī)范

GB15629.11-2003/XG1-2006信息技術(shù)系統(tǒng)間遠(yuǎn)程通信和信息交換局域網(wǎng)和城域網(wǎng)特定要求第11

部分：無線局域網(wǎng)媒體訪問控制和物理層規(guī)范第1號修改單

GB/T25069-2010信息安全技術(shù)術(shù)語

3術(shù)語、定義

GB/T18336-2008中界定的及以下術(shù)語和定義適用于本標(biāo)準(zhǔn)。

3.1

基本服務(wù)組basicserviceset；BSS

受單個協(xié)調(diào)功能所控制的站集合。

3.2

擴(kuò)展服務(wù)集extendedserviceset;ESS

由一個或多個互聯(lián)的BSS與集成的局域網(wǎng)（LAN）構(gòu)成的集合，對與其中某個BSS站點(diǎn)關(guān)聯(lián)的任

何站的邏輯鏈路控制層而言，它表現(xiàn)為單個的BSS。

3.3

獨(dú)立基本服務(wù)組independentbasicserviceset;IBSS

能夠成一個自包含網(wǎng)絡(luò)且不能訪問DS的BSS。

3.4

泛端口portal

邏輯點(diǎn)，來自非本部分的局域網(wǎng)的MAC服務(wù)數(shù)據(jù)單元在本邏輯點(diǎn)上進(jìn)入ESS中的分布式系統(tǒng)。

3.5

站(點(diǎn))station;STA

包含符合本部分的與無線媒體的MAC和PHY接口的任何設(shè)備。

3.6

無線局域網(wǎng)客戶端WLANaccesssystem;WAS

由能夠?qū)崿F(xiàn)用戶接入無線局域網(wǎng)絡(luò)的設(shè)備構(gòu)成的整體。

4縮略語

BSS基本服務(wù)組（BasicServiceSet）

CM配置管理（ConfigurationManagement）

EAL評估保證級（EvaluationAssuranceLevel）

ESS擴(kuò)展服務(wù)集（ExtendedServiceSet）

IBSS獨(dú)立基本服務(wù)組（IndependentBasicServiceSet）

IT信息技術(shù)（InformationTechnology）

PP保護(hù)輪廓（ProtectionProfile）

SF安全功能（SecurityFunction）

SFP安全功能策略（SecurityFunctionPolicy）

SOF功能強(qiáng)度（StrengthofFunction）

ST安全目標(biāo)（SecurityTarget）

STA站（點(diǎn)）（Station）

2

2GB/TXXXXX—XXXX

TOE評估對象（TargetofEvaluation）

TSCTSF控制范圍（TSFScopeofControl）

TSFTOE安全功能（TOESecurityFunctions）

TSFITSF接口（TSFInterface）

TSPTOE安全策略（TOESecurityPolicy）

WASWLAN接入系統(tǒng)（WLANAccessSystem）

WLAN無線局域網(wǎng)（WirelessLocalAreaNetwork）

5TOE描述

5.1綜述

根據(jù)無線局域網(wǎng)的應(yīng)用和GB15629.11相關(guān)國家標(biāo)準(zhǔn)的定義，典型的無線局域網(wǎng)系統(tǒng)包括IBSS、BSS

和ESS三種結(jié)構(gòu)，如圖1、圖2和圖3所示。本標(biāo)準(zhǔn)的評估對象（TOE）指的是IBSS、BSS以及ESS結(jié)構(gòu)下

的無線局域網(wǎng)客戶端，是STA的一種存在形態(tài)，目前典型的存在形式有PCI、PCMICA、USB接口無線

網(wǎng)卡以及其他嵌入式無線網(wǎng)卡等。TOE是用戶接入WLAN的最終設(shè)備，任何情況下WLAN客戶端與無線

或有線網(wǎng)絡(luò)間的數(shù)據(jù)交互都必須通過無線局域網(wǎng)接入系統(tǒng)（WAS）。

圖1IBSS結(jié)構(gòu)下的TOE圖2BSS結(jié)構(gòu)下的TOE

圖3ESS結(jié)構(gòu)下的TOE

3

2GB/TXXXXX—XXXX

TOE在大多數(shù)情況下組件作為存在于計(jì)算機(jī)或移動設(shè)備中。因此，TOE自身不能提供典型環(huán)境下所

需要的全部安全要求。TOE主要依靠其自身附帶的計(jì)算環(huán)境來執(zhí)行管理任務(wù)。因此需要對于TOEIT環(huán)

境附加一定的安全要求。TOE安全功能要求和IT環(huán)境安全要求能夠緩解威脅和滿足策略。

5.2管理

管理員負(fù)責(zé)安裝、配置和維護(hù)TOE。由于TOE是更大系統(tǒng)的一部分，所以負(fù)責(zé)管理TOEIT環(huán)境的

管理員也應(yīng)負(fù)責(zé)管理TOE。本標(biāo)準(zhǔn)不排除多個單獨(dú)管理的角色，但是要求只有一個TOE管理員。

5.3加密

TOE包括密碼模塊的要求。密碼模塊是提供密碼服務(wù)（例如，加密、鑒別或數(shù)字簽名產(chǎn)生和驗(yàn)證）

的系統(tǒng)或應(yīng)用的一部分。符合本標(biāo)準(zhǔn)的產(chǎn)品和系統(tǒng)應(yīng)使用符合國家標(biāo)準(zhǔn)和國家密碼管理機(jī)構(gòu)相關(guān)標(biāo)準(zhǔn)要

求的密碼模塊。

5.4審計(jì)

TOE是更大系統(tǒng)的一部分，其審計(jì)的職責(zé)僅限于產(chǎn)生審計(jì)事件。TOE的IT環(huán)境可以提供審計(jì)事件存

儲、查閱和恢復(fù)等審計(jì)機(jī)制。

5.5鑒別

TOE在大多數(shù)情況下組件作為存在于計(jì)算機(jī)或移動設(shè)備中，因此，不需要標(biāo)識和鑒別功能。但TOE

的IT環(huán)境可以提供用戶-主體綁定等鑒別機(jī)制。

5.6TOEIT環(huán)境

運(yùn)行TOE所需的操作系統(tǒng)和硬件平臺（例如，PC、筆記本計(jì)算機(jī)）一般不要求作為TOE的一部分。

但是，由于TOE是更大系統(tǒng)的一部分，因此對于TOE所依賴IT環(huán)境增加保護(hù)是必要的。

6TOE安全環(huán)境

6.1假設(shè)

6.1.1A.PHYSICAL

TOEIT環(huán)境應(yīng)提供與TOE及其所包含數(shù)據(jù)的價(jià)值相一致的物理安全。

6.1.2A.NO_EVIL

管理員是可信的，經(jīng)過正式培訓(xùn)且遵循管理員指南。

6.2威脅

6.2.1T.ACCIDENTAL_ADMIN_ERROR

管理員可能不正確安裝或配置TOE，導(dǎo)致無效的安全機(jī)制。

6.2.2T.CRYPTO_COMPROMISE

用戶或進(jìn)程可能引起與密碼功能相關(guān)聯(lián)的關(guān)鍵數(shù)據(jù)或可執(zhí)行代碼被不適當(dāng)?shù)脑L問（查看、修改或刪

除），從而破壞了密碼機(jī)制和受該機(jī)制保護(hù)的數(shù)據(jù)。

4

2GB/TXXXXX—XXXX

6.2.3T.POOR_DESIGN

要求規(guī)范或TOE設(shè)計(jì)中的無意錯誤可能導(dǎo)致可被惡意用戶或進(jìn)程利用的缺陷。

6.2.4T.IMPLEMENTATION

TOE設(shè)計(jì)的實(shí)施中的無意錯誤可能導(dǎo)致惡意用戶或進(jìn)程利用的缺陷。

6.2.5T.POOR_TEST

由于缺乏或?qū)OE安全功能正確運(yùn)行的測試不充分，導(dǎo)致不正確TOE的行為未被發(fā)現(xiàn)，從而存在潛

在的安全脆弱性。

6.2.6T.RESIDUAL_DATA

惡意用戶或進(jìn)程利用重新分配TOE資源來獲取對于資源的未授權(quán)訪問。

6.2.7T.TSF_COMPROMISE

惡意用戶或進(jìn)程通過簡易的攻擊引起TSF數(shù)據(jù)或可執(zhí)行代碼被非法的訪問（查看、修改或刪除）。

6.3組織安全策略

6.3.1P.ACCOUNTABILITY

TOE的授權(quán)用戶對自身在TOE內(nèi)的行為負(fù)責(zé)。

6.3.2P.CRYPTOGRAPHY

僅有國家標(biāo)準(zhǔn)和國家密碼管理機(jī)構(gòu)要求的密碼（方法和實(shí)施）才能用于密鑰管理（例如，密鑰的產(chǎn)

生、訪問、分發(fā)、銷毀、處理和儲存）和密碼服務(wù)（例如，加密、解密、簽名、散列、密鑰交換和隨機(jī)

數(shù)產(chǎn)生服務(wù)）。

7安全目的

7.1TOE安全目的

7.1.1O.ADMIN_GUIDANCE

TOE應(yīng)為安全管理員提供必要的信息以便于安全管理。

7.1.2O.AUDIT_GENERATION

TOE應(yīng)具有檢查和創(chuàng)建與用戶相關(guān)聯(lián)的安全相關(guān)事件記錄的能力。

7.1.3O.CORRECT_TSF_OPERATION

TOE應(yīng)提供測試TSF以確保TSF在客戶站點(diǎn)正確運(yùn)行的能力。

7.1.4O.CRYPTOGRAGHY

TOE應(yīng)使用已獲國家標(biāo)準(zhǔn)和國家密碼管理機(jī)構(gòu)要求的密碼服務(wù)。

5

2GB/TXXXXX—XXXX

7.1.5O.MANAGE

TOE應(yīng)提供支持管理員管理TOE安全所必需的功能和設(shè)施。

7.1.6O.RESIDUAL_INFORMATION

TOE應(yīng)確保資源被重新分配時(shí)TOE控制范圍受保護(hù)資源所包含的任何信息不被泄漏。

7.1.7O.CONFIGURATION_IDENTIFICATION

由于TOE迅速重新分發(fā)，應(yīng)采用一種方式完全標(biāo)識TOE的配置，該方式將允許在實(shí)現(xiàn)時(shí)錯誤能夠被

標(biāo)識和改正。

7.1.8O.DECUMENTED_DESIGN

TOE的設(shè)計(jì)應(yīng)以文檔的形式充分和準(zhǔn)確地記錄。

7.1.9O.PARTIAL_FUNCTIONAL_TESTING

應(yīng)對TOE進(jìn)行安全功能測試以表明TSF滿足它的安全功能要求。

7.1.10O.VULNERABILITY_ANALYSIS

應(yīng)對TOE進(jìn)行脆弱性分析以表明TOE的設(shè)計(jì)和實(shí)施不包含任何明顯的缺陷。

7.2環(huán)境安全目的

7.2.1OE.MANAGE

TOEIT環(huán)境應(yīng)增加TOE的功能和設(shè)施以支撐管理員對于TOE安全的管理，并且要防止這些功能和設(shè)施

被未授權(quán)使用。

7.2.2OE.NO_EVIL

管理員是可信的，經(jīng)過正式培訓(xùn)且遵循管理員指南。

7.2.3OE.PHYSICAL

IT環(huán)境提供與TOE價(jià)值和TOE包含的數(shù)據(jù)相稱的物理安全。

7.2.4OE.RESIDUAL_INFORMATION

TOEIT環(huán)境確保資源被重新分配時(shí)TOE控制范圍內(nèi)保護(hù)資源包含的信息不能被泄漏。

7.2.5OE.SELF_PROTECTION

TOEIT環(huán)境應(yīng)為自身和TOE本身運(yùn)行維護(hù)一個域，該域能夠保護(hù)它們及其資源免受外部干擾或非授

權(quán)暴露。

7.2.6OE.TIME_STAMPS

TOEIT環(huán)境應(yīng)提供可靠的時(shí)間戳并為管理員提供為時(shí)間戳設(shè)置時(shí)間的能力。

7.2.7OE.TOE_ACCESS

TOEIT環(huán)境應(yīng)提供對用戶邏輯訪問TOE進(jìn)行控制的機(jī)制。

6

2GB/TXXXXX—XXXX

8TOE安全要求

8.1TOE安全功能要求

8.1.1概述

本部分給出了符合本標(biāo)準(zhǔn)的TOE必須滿足的安全功能要求，這些要求由GB/T18336.2給出的和擴(kuò)展

的安全功能要求組件組成。表1列出了WLAN客戶端安全功能要求組件，并對各組件給出了詳細(xì)的說明。

TOE安全功能強(qiáng)度聲明：除了密碼功能外，通過概率和排列機(jī)制實(shí)現(xiàn)的TOE安全功能的最小強(qiáng)度為

基本級功能強(qiáng)度。

表1TOE安全功能要求

安全功能要求類安全功能要求組件組件名稱依賴關(guān)系

FAU類:安全審計(jì)FAU_GEN_EXP.1審計(jì)數(shù)據(jù)產(chǎn)生FPT_STM.1

FCS_BCM_EXP.1基準(zhǔn)密碼模塊無

FDP_ITC.1

或

FCS類:密碼支持FCS_COP_EXP.1;

FCS_CKM_EXP.2密鑰建立

FCS_CKM.1;

FCS_CKM.4;

FMT_MSA.2

FDP_ITC.1

或

FDP.ITC.2

FCS_CKM.4密鑰銷毀

或

FCS_CKM.1

FMT_MSA.2

FDP_ITC.1

或

FCS類:密碼支持

FCS_COP_EXP.1隨機(jī)數(shù)產(chǎn)生FCS_CKM.1;

FCS_CKM.4;

FMT_MSA.2

FDP_ITC.1

或

FCS_COP_EXP.2密碼操作（數(shù)據(jù)加解密）FCS_CKM.1;

FCS_CKM.4;

FMT_MSA.2

FDP_IFC.1子集信息流控制FDP_IFF.1

FDP_IFC.1

FDP類:用戶數(shù)據(jù)保護(hù)FDP_IFF.1簡單安全屬性

FMT_MSA.3

FDP_RIP.1子集殘留信息保護(hù)無

ADV_SPM.1

FMT類:安全管理FMT_MSA.2安全的安全屬性

FDP_IFC.1

7

2GB/TXXXXX—XXXX

表1(續(xù))TOE安全功能要求

安全功能要求類安全功能要求組件組件名稱依賴關(guān)系

FMT_MSA.1

FMT_MSA.2安全的安全屬性

FMT_SMR.1

FMT_MSA.1

FMT_MSA.3靜態(tài)屬性初始化

FMT類:安全管理FMT_SMR.1

FMT_SMF.1(1)管理功能規(guī)范（密碼功能）無

FMT_SMF.1(2)管理功能規(guī)范（審計(jì)記錄產(chǎn)生）無

FMT_SMF.1(3)TSF數(shù)據(jù)管理（密碼密鑰數(shù)據(jù)）無

FPT_TST_EXP.1TSF測試無

FPT類:TSF保護(hù)

FPT_TST_EXP.2對密碼模塊進(jìn)行TSF測試無

8.1.2FAU類：安全審計(jì)

8.1.2.1FAU_GEN_EXP.1審計(jì)數(shù)據(jù)產(chǎn)生

FAU_GEN_EXP.1.1TSF應(yīng)能為下述可審計(jì)事件產(chǎn)生審計(jì)記錄：

a）所有表2中列出的審計(jì)事件。

表2審計(jì)事件

要求審計(jì)事件附加的審計(jì)記錄內(nèi)容

FCS_CKM_EXP.2密鑰傳輸過程中的檢測到的錯誤無

FCS_CKM.4密鑰的銷毀無

FDP_IFC.1丟棄不滿足無線客戶端加密策略的數(shù)據(jù)包源和目的設(shè)備的MAC地址

FMT_SMF.1(1)改變TOE加密算法，包括選擇對通信不進(jìn)行加密加密算法選擇（或無）

FMT_SMF.1(3)改變密鑰數(shù)據(jù)無（TOE不應(yīng)在審計(jì)日志中記錄密鑰）

FPT_TSF_EXP.1執(zhí)行自檢自檢成功或失敗

FPT_TSF_EXP.2執(zhí)行自檢自檢成功或失敗

FAU_GEN_EXP.1.2TSF應(yīng)在每個審計(jì)記錄中至少記錄下列信息：

a）事件的日期和時(shí)間，事件的類型，主體身份（如果適用）、事件的結(jié)果（成功或失效）；

b）對每種審計(jì)事件類型，基于PP/ST中功能組件的可審計(jì)事件，表2審計(jì)事件第三列規(guī)定的信息。

應(yīng)用注釋：如果在審計(jì)事件中記錄的數(shù)據(jù)是有意義的，那么“如果適用”指的就是在審計(jì)記錄中應(yīng)

包含的數(shù)據(jù)。對于某些審計(jì)事件而言，如果沒有特別說明，那么“無”審計(jì)記錄也是可以接受的。

8.1.3FCS類：密碼支持

8.1.3.1FCS_BCM_EXP.1基準(zhǔn)密碼模塊

FCS_BCM_EXP.1.1密碼模塊在執(zhí)行密碼功能時(shí)應(yīng)采用國家標(biāo)準(zhǔn)和國家密碼管理機(jī)構(gòu)相關(guān)標(biāo)準(zhǔn)要

求的密碼算法。

FCS_BCM_EXP.1.2對TOE密碼模塊進(jìn)行認(rèn)可的測試應(yīng)該遵循國家標(biāo)準(zhǔn)和國家密碼管理機(jī)構(gòu)相關(guān)

標(biāo)準(zhǔn)。

8

2GB/TXXXXX—XXXX

8.1.3.2FCS_CKM_EXP.2加密密鑰建立

FCS_CKM_EXP.2.1TSF應(yīng)提供以下加密密鑰建立技術(shù)：通過人工裝載建立加密密鑰，[賦值：附

加的加密密鑰建立技術(shù)]。

密碼模塊依據(jù)國家標(biāo)準(zhǔn)和國家密碼管理機(jī)構(gòu)相關(guān)標(biāo)準(zhǔn)規(guī)定的手工加密密鑰分發(fā)方法能在下面的環(huán)

境[賦值：密碼模塊輸出密鑰的環(huán)境]接受密鑰輸入和輸出密鑰。

應(yīng)用注釋：ST作者使用第一個賦值以顯示評估中應(yīng)該包括的附加密鑰生成技術(shù)。如果TOE不包括

附加密鑰生成技術(shù)，那么就賦值為“無”。

應(yīng)用注釋：ST作者使用第二個賦值去詳細(xì)描述密鑰從密碼模塊輸出的條件（例如，僅在某種類型

的密鑰產(chǎn)生活動期間）。

應(yīng)用注釋：這個要求規(guī)定TSF密碼模塊有能力執(zhí)行手工密鑰輸入/輸出，這個能力應(yīng)遵循國家標(biāo)準(zhǔn)和

國家密碼管理機(jī)構(gòu)認(rèn)可的過程。這不排除ST作者規(guī)定額外的密鑰生成技術(shù)。

8.1.3.3FCS_CKM.4密鑰銷毀

FCS_CKM.4.1TSF應(yīng)根據(jù)符合下列條件的密鑰歸零方法來銷毀密鑰：

a）符合國家標(biāo)準(zhǔn)和國家密碼管理機(jī)構(gòu)相關(guān)標(biāo)準(zhǔn)中的密鑰安全管理的密鑰歸零要求

b）對所有私鑰、明文加密密鑰和其它重要的密碼安全參數(shù)進(jìn)行清零是迅速的、完備的

c）通過三次或三次以上交替地覆蓋重要的密碼安全參數(shù)儲存區(qū)執(zhí)行歸零操作

d）一旦將密鑰/CSP傳輸?shù)狡渌胤?，TSF應(yīng)三次或三次以上交替地覆蓋私鑰、明文加密密鑰和其

它重要的密碼安全參數(shù)的中間儲存區(qū)

應(yīng)用注釋：d）適用于密鑰/參數(shù)在處理過程中進(jìn)行復(fù)制時(shí)涉及的位置，而b）c）適用于規(guī)定的存儲

密鑰時(shí)被使用的位置。臨時(shí)位置包括寄存器、物理存儲器位置，甚至頁文件和內(nèi)存轉(zhuǎn)儲區(qū)。

8.1.3.4FCS_COP_EXP.1隨機(jī)數(shù)產(chǎn)生

FCS_COP_EXP.1.1TSF應(yīng)產(chǎn)生TSF密碼功能中所使用的所有隨機(jī)數(shù)。隨機(jī)數(shù)產(chǎn)生器應(yīng)符合國家標(biāo)

準(zhǔn)和國家密碼管理機(jī)構(gòu)相關(guān)標(biāo)準(zhǔn)的要求。

應(yīng)用注釋：無論何時(shí)一個參考標(biāo)準(zhǔn)要求隨機(jī)數(shù)產(chǎn)生功能，這個要求確認(rèn)了可以接受的隨機(jī)數(shù)產(chǎn)生器

的子集。雖然國家標(biāo)準(zhǔn)和國家密碼管理機(jī)構(gòu)認(rèn)可的密碼模塊中要求實(shí)施隨機(jī)數(shù)產(chǎn)生功能，但是在執(zhí)行滿

足FCS_COP_EXP.2的密碼運(yùn)行的密碼模塊中沒有要求實(shí)施隨機(jī)數(shù)產(chǎn)生功能。注意，這個要求沒有要求

隨機(jī)數(shù)產(chǎn)生功能是通用的（例如，通過API的非可信用戶）。

8.1.3.5FCS_COP_EXP.2密碼運(yùn)行

FCS_COP_EXP.2.1遵循無線客戶加密策略，通過使用[賦值：國家標(biāo)準(zhǔn)和國家密碼管理機(jī)構(gòu)認(rèn)可

的算法]運(yùn)行在[賦值：一個或多個國家標(biāo)準(zhǔn)和國家密碼管理機(jī)構(gòu)支持的模式]支持[賦值：一個或多個國

家標(biāo)準(zhǔn)和國家密碼管理機(jī)構(gòu)認(rèn)可的密鑰長度]的密碼模塊執(zhí)行加密和解密。

8.1.4FDP類:用戶數(shù)據(jù)保護(hù)

8.1.4.1FDP_IFC.1子集信息流控制

FDP_IFC.1.1TSF應(yīng)對[主體：客戶端，接入系統(tǒng)；信息：網(wǎng)絡(luò)數(shù)據(jù)包；操作：接收數(shù)據(jù)包和傳輸數(shù)

據(jù)包]執(zhí)行[TOE加密策略]。

9

2GB/TXXXXX—XXXX

8.1.4.2FDP_IFF.1簡單安全屬性

FDP_IFF.1.1TSF應(yīng)基于下列類型的主體和信息安全屬性：[主體：客戶端，接入系統(tǒng)；信息：加

密/加密標(biāo)志；網(wǎng)絡(luò)接口的傳播方向]執(zhí)行[TOE加密策略]。

FDP_IFF.1.2如果支持下列規(guī)則，TSF應(yīng)允許一個受控主體和受控信息之間由受控操作流動：

a）如果加密/解密標(biāo)志沒有顯示TOE應(yīng)該執(zhí)行加密，那么所有數(shù)據(jù)包可能不進(jìn)行任何修改就通過。

b）如果傳輸?shù)姆较蚴菑牟僮飨到y(tǒng)到網(wǎng)絡(luò)接口，且加密/解密標(biāo)志顯示TOE應(yīng)該執(zhí)行加密，那么TOE

必須通過FCS_COP_EXP.2.1加密用戶數(shù)據(jù)。如果成功，通過無線接口傳輸數(shù)據(jù)包。

c）如果傳輸?shù)姆较蚴菑木W(wǎng)絡(luò)接口到操作系統(tǒng)，且加密/解密標(biāo)志顯示TOE應(yīng)該執(zhí)行解密，那么TOE

必須通過FCS_COP_EXP.2.1解密用戶數(shù)據(jù)。如果成功，把信息交給操作系統(tǒng)。

d）[選擇：[賦值：對于每一個TSF將執(zhí)行的操作，主體和信息安全屬性之間支持的基于安全屬性

的關(guān)系]，訪問點(diǎn)/系統(tǒng)策略規(guī)則沒有確定附加的信息流]。

FDP_IFF.1.3TSF應(yīng)執(zhí)行[選擇：[賦值：附加的信息流控制SFP規(guī)則]，“沒有附加的信息流控制SFP

規(guī)則”]

FDP_IFF.1.4TSF應(yīng)提供下列[選擇：[賦值：附加的SFP能力列表]，“沒有附加的SFP能力”]。

FDP_IFF.1.5TSF應(yīng)根據(jù)下列規(guī)則：[選擇：[賦值：基于安全屬性明確授權(quán)信息流的規(guī)則]，“沒有

清晰的授權(quán)規(guī)則”]明確批準(zhǔn)一個信息流。

FDP_IFF.1.6TSF應(yīng)根據(jù)下列規(guī)則：[選擇：[賦值：基于安全屬性明確拒絕信息流的規(guī)則]，“沒

有清晰的拒絕規(guī)則”]明確拒絕一個信息流。

應(yīng)用注釋：加解密標(biāo)志確定對TOE進(jìn)行管理設(shè)置。

應(yīng)用注釋：TOE加密策略使用本標(biāo)準(zhǔn)TOE環(huán)境部分描述的P.WIRELESSENCRYPTIONSFP加密策

略。雖然P.WIRELESSENCRYPTIONSEP描述得非常明確（當(dāng)管理員要求TOE加密/解密無線流量時(shí)，

TOE應(yīng)該遵守這個要求），但是策略具體實(shí)施的過程中要求考慮數(shù)據(jù)流經(jīng)TOE的方向。

8.1.4.3FDP_RIP.1子集殘留信息保護(hù)

FDP_RIP.1.1TSF應(yīng)確保一個資源的任何先前信息內(nèi)容，在[選擇：分配資源到，釋放資源自]客體

[網(wǎng)絡(luò)數(shù)據(jù)包對象]時(shí)不再可用。

應(yīng)用注釋：這個要求保證TOE不允許先前傳輸?shù)臄?shù)據(jù)包數(shù)據(jù)插入到當(dāng)前數(shù)據(jù)包未使用的區(qū)域或填充

區(qū)。相似地，TOE必需確保清除共享存儲區(qū)內(nèi)先前傳輸?shù)臄?shù)據(jù)包內(nèi)容或用于傳輸TOE與安裝TOE的計(jì)算

機(jī)之間數(shù)據(jù)包的機(jī)制（TSC內(nèi)）。

8.1.5FMT類:安全管理

8.1.5.1FMT_MSA.2安全的安全屬性

FMT_MSA.2.1TSF應(yīng)確保安全屬性只接受安全的值。

8.1.5.2FMT_MSA.3靜態(tài)屬性初始化

FMT_MSA.3.1TSF應(yīng)執(zhí)行[無線客戶加密策略]，以便為用于執(zhí)行SFP的安全屬性提供受限的默認(rèn)

值。

FMT_MSA.3.2TSF應(yīng)允許[管理員]在客體或信息被創(chuàng)建時(shí)指定替換性的初始值以代替原來的默

認(rèn)值。

10

2GB/TXXXXX—XXXX

8.1.5.3FMT_SMF.1(1)管理功能規(guī)范（密碼功能）

FMT_SMF.1.1(1)TSF應(yīng)能執(zhí)行下面的安全管理功能：[遵照無線客戶端策略（通過FCS_COP_EXP.

2）對網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行加解密]。

應(yīng)用注釋：這個要求確保負(fù)責(zé)管理TOE的人員能夠?qū)LAN客戶端傳輸?shù)募用?解密數(shù)據(jù)選擇

FCS_COP_EXP.2指定的加密算法或不進(jìn)行加密。

8.1.5.4FMT_SMF.1(2)管理功能規(guī)范（TOE審計(jì)記錄產(chǎn)生）

FMT_SMF.1.1(2)TSF應(yīng)能執(zhí)行下面的管理功能：[打開或關(guān)閉安全審計(jì)（FAU_GEN_EXP.1）]。

應(yīng)用注釋：這個要求確保負(fù)責(zé)管理TOE的人員能夠打開或關(guān)閉TOE審計(jì)記錄產(chǎn)生。

8.1.5.5FMT_SMF.1(3)管理功能規(guī)范（密碼密鑰數(shù)據(jù)）

FMT_SMF.1.1(3)TSF應(yīng)能執(zhí)行下面的安全管理功能：[遵照無線客戶端策略設(shè)置、修改和刪除密

碼密鑰和密鑰數(shù)據(jù)，打開或關(guān)閉密碼密鑰測試驗(yàn)證的功能]。

應(yīng)用注釋：這個要求的目的是提供配置TOE密鑰的能力。配置密鑰數(shù)據(jù)包括：設(shè)置密鑰的生命周期，

設(shè)置密鑰長度等等。

8.1.6FPT類:TSF保護(hù)

8.1.6.1FPT_TST_EXP.1TSF測試

FPT_TST_EXP.1.1TSF應(yīng)在初始啟動或接收到授權(quán)用戶的請求時(shí)將運(yùn)行一套自測工具以顯示TSF

硬件部分的正常運(yùn)行。

FPT_TST_EXP.1.2TSF應(yīng)為授權(quán)用戶提供使用TSF提供的加密功能去驗(yàn)證除審計(jì)數(shù)據(jù)以外所有

TSF數(shù)據(jù)的完整性的能力。

FPT_TST_EXP.1.3TSF應(yīng)能使用TSF提供的加密功能去驗(yàn)證存儲的TSF可執(zhí)行代碼的完整性。

應(yīng)用注釋：FPT_TST_EXP.1.1中，僅有TSF的硬件需要自測，這是因?yàn)橛布S時(shí)間而變化（老化

出現(xiàn)故障），所以這是有意義的；而軟件通常不需要自測。FPT_TST_EXP.1.3解決了TSF軟件完整性。

FPT_TST_EXP.1.2中，ST作者應(yīng)確定不需要完整性驗(yàn)證的TSF數(shù)據(jù)。雖然一些TSF數(shù)據(jù)是動態(tài)的，因此

不應(yīng)該進(jìn)行完整性驗(yàn)證，但是所有需要完整性驗(yàn)證的TSF數(shù)據(jù)被期望遵循這個要求。在元素

FPT_TST_EXP.1.1和FPT_TST_EXP.1.2中，雖然典型的MAC和散列函數(shù)能被用于完整性驗(yàn)證，但是密

碼機(jī)制必須是FCS_COP_EXP.2指定的加密算法。由于本標(biāo)準(zhǔn)沒有明確要求任何MAC或散列函數(shù)，ST作

者可能重復(fù)FCS_COP_EXP.2。

8.1.6.2FPT_TST_EXP.2對密碼模塊進(jìn)行TSF測試

FPT_TST_EXP.2.1TSF應(yīng)在初始啟動或接收到授權(quán)用戶的請求時(shí)將運(yùn)行一套自測工具以顯示TSF

加密組件的正常運(yùn)行。

FPT_TST_EXP.2.2TSF應(yīng)在產(chǎn)生密鑰后立即運(yùn)行一套遵循國家標(biāo)準(zhǔn)和國家密碼管理機(jī)構(gòu)相關(guān)標(biāo)

準(zhǔn)的密碼模塊自測工具。

應(yīng)用注釋：FPT_TST_EXP.2.2元素并沒有強(qiáng)制要求TOE產(chǎn)生密鑰。

8.2TOE安全保證要求

本部分給出了符合本標(biāo)準(zhǔn)的TOE必須滿足的安全保證要求，這些要求由GB/T18336.3-2008中的評

估保證級2級的安全保證要求組件和增強(qiáng)組件組成，表3中用粗體字突出了增強(qiáng)組件。這些保證要求確定

了TOE管理和評估活動，它們對于解決本標(biāo)準(zhǔn)所確定的威脅和策略是必需的。

11

2GB/TXXXXX—XXXX

表3TOE安全保證要求

保證類保證組件組件名稱

ACM_CAP.2配置項(xiàng)

ACM：配置管理

ACM_SCP.1TOECM覆蓋

ADO_DEL.1交付程序

ADO：交付和運(yùn)行

ADO_IGS.1安裝、生成和啟動程序

ADV_FSP.1非形式化功能規(guī)范

ADV：開發(fā)ADV_HLD.1描述性高層設(shè)計(jì)

ADV_RCR.1非形式化對應(yīng)性證實(shí)

AGD_ADM.1管理員指南

AGD：指導(dǎo)性文檔

AGD_USR.1用戶指南

ALD：生命周期支持ALC_FLR.2缺陷報(bào)告程序

ATE_COV.1覆蓋證據(jù)

ATE：測試ATE_FUN.1功能測試

ATE_IND.2獨(dú)立測試－抽樣

AVA_MSU.1指南審查

AVA：脆弱性評定AVA_SOF.1TOE安全功能強(qiáng)度評估

AVA_VLA.1開發(fā)者脆弱性分析

9IT環(huán)境安全要求

9.1概述

本部分給出了符合本標(biāo)準(zhǔn)的TOEIT環(huán)境必須滿足的安全功能要求，這些要求由GB/T18336.2中的安

全功能要求組件組成。表4列出了WLAN客戶端安全功能要求組件，并對各組件給出了詳細(xì)的說明。

表4IT環(huán)境安全要求

安全功能要求類功能組件要求組件組件名稱依賴關(guān)系

FAU_GEN.1

FAU_GEN.2用戶身份關(guān)聯(lián)

FIA_UID.1

FAU_SAA.1潛在侵害分析FAU_GEN.1

FAU_SAR.1審計(jì)查閱FAU_GEN.1

FAU_SAR.2限制審計(jì)查閱FAU_SAR.1

FAU類：安全審計(jì)

FAU_SAR.3可選審計(jì)查閱FAU_SAR.1

FAU_GEN.1

FAU_SEL.1選擇性審計(jì)

FMT_MTD.1

FAU_STG.1受保護(hù)的審計(jì)跡存儲FAU_GEN.1

FAU_STG.3審計(jì)數(shù)據(jù)可能丟失時(shí)的行為FAU_STG.1

FDP類：用戶數(shù)據(jù)保護(hù)FDP_RIP.1子集殘留信息保護(hù)無

FIA類：標(biāo)識與鑒別FIA_USB.1用戶－主體綁定FIA_ATD.1

FMT_SMR.1

FMT類：安全管理FMT_MOF.1安全功能行為的管理

FMT_SMF.1

12

2GB/TXXXXX—XXXX

表4(續(xù))IT環(huán)境安全要求

安全功能要求類功能組件要求組件組件名稱依賴關(guān)系

FMT_SMR.1

FMT_MTD.1TSF數(shù)據(jù)的管理

FMT類：安全管理FMT_SMF.1

FMT_SMR.1安全角色FIA_UID.1

FPT_RVM.1TSP的不可旁路性無

FPT類：TSF保護(hù)FPT_SEP.1TOEIT環(huán)境域分離無

FPT_STM.1可信時(shí)間戳無

應(yīng)用注釋：本標(biāo)準(zhǔn)要求TOEIT環(huán)境提供重要的功能。聲明符合本標(biāo)準(zhǔn)的ST通過包括同樣的要求作

為TOE的一部分，滿足一些或全部IT環(huán)境應(yīng)該實(shí)現(xiàn)的要求也是可以接受的。

9.2FAU類:安全審計(jì)

9.2.1FAU_GEN.2用戶身份關(guān)聯(lián)

FAU_GEN.2.1TOEIT環(huán)境應(yīng)能將每個可審計(jì)事件與引起該審計(jì)事件的用戶身份進(jìn)行關(guān)聯(lián)。

9.2.2FAU_SAA.1潛在侵害分析

FAU_SAA.1.1TOEIT環(huán)境應(yīng)能使用一組規(guī)則去監(jiān)測審計(jì)事件，并基于這些規(guī)則指示出一個對TSP

的潛在侵犯。

FAU_SAA.1.2TOEIT環(huán)境應(yīng)執(zhí)行下列規(guī)則監(jiān)測審計(jì)事件：

a）已知的用來指示潛在安全侵害的可審計(jì)事件的積累或表2中審計(jì)事件的組合

b）無附加的規(guī)則。

9.2.3FAU_SAR.1審計(jì)查閱

FAU_SAR.1.1TOEIT環(huán)境應(yīng)為管理員提供從審計(jì)記錄中讀取所有審計(jì)數(shù)據(jù)的能力。

FAU_SAR.1.2TOEIT環(huán)境應(yīng)以便于管理員理解的方式提供審計(jì)記錄。

應(yīng)用注釋：這個要求確保TOEIT環(huán)境為管理員提供管理員查看TOE產(chǎn)生的審計(jì)記錄所必需的功能。

9.2.4FAU_SAR.2限制審計(jì)查閱

FAU_SAR.2.1除明確準(zhǔn)許讀訪問的用戶外，TOEIT環(huán)境應(yīng)禁止所有用戶對審計(jì)記錄的讀訪問。

應(yīng)用注釋：這個要求確保訪問TOE產(chǎn)生的審計(jì)記錄僅限于那些被授權(quán)查看信息的用戶。

9.2.5FAU_SAR.3可選審計(jì)查閱

FAU_SAR.3.1TOEIT環(huán)境應(yīng)根據(jù)邏輯關(guān)系標(biāo)準(zhǔn)提供對審計(jì)數(shù)據(jù)進(jìn)行分類、搜索、排序的能力。

9.2.6FAU_SEL.1選擇性審計(jì)

FAU_SEL.1.1TOEIT環(huán)境應(yīng)能根據(jù)以下屬性從審計(jì)事件集中包含或排除可審計(jì)事件：

a）[用戶身份，主體身份，主機(jī)身份]

b）[賦值：附加的可選的審計(jì)屬性]

9.2.7FAU_STG.1受保護(hù)的審計(jì)跡存儲

FAU_STG.1.1TOEIT環(huán)境應(yīng)保護(hù)所存儲的審計(jì)記錄，以避免未授權(quán)的刪除。

13

2GB/TXXXXX—XXXX

FAU_STG.1.2TOEIT環(huán)境應(yīng)能防止對審計(jì)跡中所存審計(jì)記錄的未授權(quán)修改。

9.2.8FAU_STG.3審計(jì)數(shù)據(jù)可能丟失時(shí)的行為

FAU_STG.3.1如果審計(jì)跡超過[管理員設(shè)定的存儲容量百分比]，TOEIT環(huán)境應(yīng)采取[通過在本地

控制臺上立即顯示一條信息警告管理員，[選擇：[賦值：采取其它的行動]，“無”]。

應(yīng)用注釋：如果審計(jì)跡設(shè)置被超過，那么ST作者應(yīng)該決定是否采取其它行動。如果采取行動，進(jìn)

行賦值；否則選擇“無”。

9.3FDP類:用戶數(shù)據(jù)保護(hù)

FDP_RIP.1子集殘留信息保護(hù)

FDP_RIP.1.1TOEIT環(huán)境應(yīng)確保一個資源的任何先前信息內(nèi)容，在分配資源到[網(wǎng)絡(luò)數(shù)據(jù)包對象]

時(shí)不再可用。

應(yīng)用注釋：這個要求保證TOEIT環(huán)境不允許先前傳輸?shù)臄?shù)據(jù)包數(shù)據(jù)插入到當(dāng)前數(shù)據(jù)包未使用的區(qū)

域或填充區(qū)。既然IT環(huán)境要求的操作必須完成，因此選擇“資源被分配到”。它包括兩個選項(xiàng)（當(dāng)資源

被釋放時(shí)資源的信息內(nèi)容不可用的系統(tǒng)也可以聲稱滿足資源回收之前資源的內(nèi)容已被釋放的要求）。

9.4FIA類:標(biāo)識與鑒別

FIA_USB.1用戶－主體綁定

FIA_USB.1.1TOEIT環(huán)境應(yīng)將用戶安全屬性：[鑒別憑證]與代表用戶活動的主體相關(guān)聯(lián)。

FIA_USB.1.2TOEIT環(huán)境應(yīng)執(zhí)行[賦值：屬性初始關(guān)聯(lián)規(guī)則]將用戶安全屬性與代表用戶活動的主

體初始關(guān)聯(lián)。

FIA_USB.1.3TOEIT環(huán)境應(yīng)執(zhí)行[賦值：屬性更改規(guī)則]管理與代表用戶活動的主體相關(guān)聯(lián)的用戶

安全屬性的改變。

9.5FMT類:安全管理

9.5.1FMT_MOF.1安全功能行為管理（加密功能）

FMT_MOF.1.1TOEIT環(huán)境應(yīng)僅限于[管理員]對[加密/解密網(wǎng)絡(luò)數(shù)據(jù)包（FMT_SMF.1(1)，

FMT_SMF.1(3)），審計(jì)（FMT_SMF.1(2)）]具有確定其行為的