信息安全技術(shù)　移動終端安全保護(hù)技術(shù)要求

GB/TXXXXX—XXXXIII信息安全技術(shù)移動終端安全保護(hù)技術(shù)要求范圍本標(biāo)準(zhǔn)規(guī)定了移動終端的安全保護(hù)技術(shù)要求，包括安全問題、安全目的、安全功能要求和安全保障要求。本標(biāo)準(zhǔn)適用于移動終端的設(shè)計、開發(fā)、測試和評估。規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T18336.1-2008信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則第1部分：簡介和一般模型NIAP,ProtectionProfileforMobileDeviceFundamentals,Version2.0,17.09.2014術(shù)語、定義和縮略語術(shù)語和定義GB/T18336.1-2008中界定的以及下列術(shù)語、定義和縮略語適用于本文件。移動終端mobiledevice能夠接入移動通信網(wǎng)，提供應(yīng)用軟件開發(fā)接口，并能夠安裝和運行第三方應(yīng)用軟件的移動終端。移動終端用戶mobiledeviceuser使用移動終端，與移動終端進(jìn)行交互并負(fù)責(zé)移動終端的物理控制和操作的對象。用戶數(shù)據(jù)userdata由用戶產(chǎn)生或為用戶服務(wù)的數(shù)據(jù)，包括由用戶在本地生成的數(shù)據(jù)、為用戶在本地生成的數(shù)據(jù)、在用戶許可后由外部進(jìn)入用戶數(shù)據(jù)區(qū)的數(shù)據(jù)等。應(yīng)用軟件applicationsoftware移動終端操作系統(tǒng)之上安裝的，向用戶提供服務(wù)功能的軟件。訪問控制accesscontrol一種保證數(shù)據(jù)處理系統(tǒng)的資源只能由被授權(quán)主體按授權(quán)方式進(jìn)行訪問的手段。授權(quán)authorization在用戶身份經(jīng)過認(rèn)證后，根據(jù)預(yù)先設(shè)置的安全策略，授予用戶相應(yīng)權(quán)限的過程。數(shù)字簽名digitalsignature附在數(shù)據(jù)單元后面的數(shù)據(jù)，或?qū)?shù)據(jù)單元進(jìn)行密碼變換得到的數(shù)據(jù)。允許數(shù)據(jù)的接收者驗證數(shù)據(jù)的來源和完整性，保護(hù)數(shù)據(jù)不被篡改、偽造，并保證數(shù)據(jù)的不可否認(rèn)性。漏洞vulnerability 漏洞是計算機(jī)信息系統(tǒng)在需求、設(shè)計、實現(xiàn)、配置、運行等過程中，有意或無意產(chǎn)生的缺陷。這些缺陷以不同形式存在于計算機(jī)信息系統(tǒng)的各個層次和環(huán)節(jié)之中，一旦被惡意主體所利用，就會對計算機(jī)信息系統(tǒng)的安全造成損害，從而影響計算機(jī)信息系統(tǒng)的正常運行。縮略語下列縮略語適用于本文件。ASLRDEKMDMRBGREKSTTLSTOETSFTSFIWLAN地址空間布局隨機(jī)化數(shù)據(jù)加密密鑰移動終端管理隨機(jī)數(shù)產(chǎn)生根加密密鑰安全目標(biāo)傳輸層安全協(xié)議評估對象TOE安全功能TOE安全功能接口無線局域網(wǎng)AddressspacelayoutrandomizationDataEncryptionKeyMobileDeviceManagementRandomBitGenerationRootEncryptionKeySecurityTargetTransportLayerSecurityTargetofEvaluationTOESecurityFunctionalityTSFInterfaceWirelesslocalareanetwork移動終端概述本標(biāo)準(zhǔn)的評估對象(TOE)是移動終端，由硬件平臺和系統(tǒng)軟件組成。該終端可以提供無線連接，以及可能包括提供安全消息、電子郵件、網(wǎng)絡(luò)、VPN連接、VoIP(IP語音)功能的軟件，用于訪問受保護(hù)的數(shù)據(jù)和應(yīng)用，以及與其他移動終端進(jìn)行通信。移動終端的網(wǎng)絡(luò)環(huán)境如圖1所示。在該標(biāo)準(zhǔn)中，移動終端包括智能手機(jī)、平板電腦和其他具有類似功能的移動終端。圖1移動終端的網(wǎng)絡(luò)環(huán)境移動終端提供必要的服務(wù)，如加密服務(wù)、靜態(tài)數(shù)據(jù)保護(hù)以及密鑰存儲服務(wù)，以支持移動終端上應(yīng)用程序的安全操作。并執(zhí)行額外的安全功能，如安全策略實施、應(yīng)用的強(qiáng)制訪問控制、抗開發(fā)功能、用戶認(rèn)證和軟件完整性保護(hù)，以應(yīng)對安全威脅。該標(biāo)準(zhǔn)描述了由移動終端和服務(wù)器提供的必要安全服務(wù)，作為安全移動架構(gòu)的基礎(chǔ)。該標(biāo)準(zhǔn)描述了由移動終端和服務(wù)器提供的必要安全服務(wù)，作為安全移動架構(gòu)的基礎(chǔ)。如圖2所示，一個典型的架構(gòu)應(yīng)包括第三方或捆綁組件，提供：——數(shù)據(jù)在傳輸過程中的保護(hù)(如VPN客戶端,VoIP客戶端,Web瀏覽器)；——安全策略管理(如MDM系統(tǒng))。無論這些組件是被廠商捆綁作為移動終端的一部分，或是由第三方開發(fā)的，都必須分別按照相關(guān)標(biāo)準(zhǔn)進(jìn)行驗證。圖2可選的額外移動終端組件安全問題假設(shè)配置(A.CONFIG)假設(shè)正確地配置了TOE的安全功能，以確保連接網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)通信都能執(zhí)行TOE的安全策略。通知(A.NOTIFY)假設(shè)如果移動終端被盜或丟失，移動用戶能夠及時通知管理員。預(yù)防措施(A.PRECAUTION)假設(shè)移動用戶執(zhí)行了預(yù)防措施，以減少丟失或失竊的移動終端的風(fēng)險。安全威脅網(wǎng)絡(luò)竊聽（T.EAVESDROP）攻擊者位于無線通信信道或者網(wǎng)絡(luò)中的任何地方處，監(jiān)聽或者截獲移動終端與另一端點進(jìn)行交互的數(shù)據(jù)。網(wǎng)絡(luò)攻擊（T.NETWORK）攻擊者位于無線通信信道或者網(wǎng)絡(luò)中的任何一點處，攻擊者可以借助發(fā)起和移動終端的通信對其進(jìn)行攻擊，或者借助更改移動終端和其他端點之間的通信對其進(jìn)行攻擊。這些攻擊包括將惡意軟件、惡意網(wǎng)頁或者郵件通過網(wǎng)絡(luò)發(fā)送到終端。物理訪問（T.PHYSICAL）移動終端被盜或者丟失后，攻擊者可通過對移動終端的物理接入獲得終端設(shè)備上的數(shù)據(jù)。物理訪問的接入方式包括外部硬件接口、用戶接口，或者直接進(jìn)行破壞性地接入到終端的存儲介質(zhì)。惡意或有缺陷的應(yīng)用（T.FLAWAPP）移動終端上安裝的應(yīng)用程序可能包含惡意代碼或者可利用的代碼。這些代碼可能是被開發(fā)者故意加入的，或者是作為軟件庫的一部分被開發(fā)者無意中加入的。惡意應(yīng)用程序可能會泄露它們已經(jīng)訪問的數(shù)據(jù)。這些惡意或有缺陷的應(yīng)用軟件先攻擊平臺的系統(tǒng)軟件，進(jìn)而獲得額外的權(quán)限來實施進(jìn)一步的惡意行為，這些惡意的行為包括控制終端的傳感器，如GPS，攝像頭，麥克風(fēng)，以便收集用戶的信息，然后將這些信息發(fā)送到網(wǎng)絡(luò)。有缺陷的應(yīng)用軟件可能會給攻擊者進(jìn)行基于網(wǎng)絡(luò)攻擊或者物理攻擊的機(jī)會。持續(xù)攻擊（T.PERSISTENT）移動終端被攻擊者持續(xù)占用意味著該終端已經(jīng)失去了完整性，并且不能恢復(fù)它。移動終端被攻擊者持續(xù)訪問，對移動終端自身構(gòu)造了持續(xù)的威脅。在這種情況下，移動終端以及它上面的數(shù)據(jù)可以被攻擊者控制。安全目的TOE安全目的通信保護(hù)（O.COMMS）為了應(yīng)對網(wǎng)絡(luò)竊聽和網(wǎng)絡(luò)攻擊的威脅，對于在移動終端和遠(yuǎn)程網(wǎng)絡(luò)實體之間通過無線方式傳輸用戶數(shù)據(jù)以及配置數(shù)據(jù)，需使用可信的通信路徑。移動終端將能夠使用下面標(biāo)準(zhǔn)協(xié)議中的一個或多個進(jìn)行通信：IPsec，DTLS，TLS，或HTTPS，實施該要求能提供互通性和抗密碼攻擊。存儲保護(hù)（O.STORAGE）為了應(yīng)對丟失的移動終端中(T.PHYSICAL)用戶數(shù)據(jù)保密性損失的問題，移動終端將使用靜態(tài)數(shù)據(jù)保護(hù)。移動終端能夠?qū)Υ鎯υ诮K端上的數(shù)據(jù)和密鑰進(jìn)行加密，并防止對這些加密數(shù)據(jù)的非授權(quán)訪問。移動終端安全策略配置（O.CONFIG）為了確保移動終端對存儲或處理的用戶數(shù)據(jù)進(jìn)行保護(hù)，移動終端將提供配置和應(yīng)用被用戶和管理者定義的安全策略的能力。如果配置了安全策略，這些安全策略的應(yīng)用必須優(yōu)先于用戶指定的安全策略。授權(quán)和鑒別（O.AUTH）為了應(yīng)對丟失的移動終端中(T.PHYSICAL)用戶數(shù)據(jù)保密性損失的問題，在訪問受保護(hù)的功能和數(shù)據(jù)之前，要求用戶向終端輸入一個鑒別因子。某些非敏感功能(例如，緊急呼叫，文本通知)可以在輸入認(rèn)證因子之前進(jìn)行訪問。在終端丟失或被偷的情況下，將按照配置的非活動周期自動鎖定終端，來確保終端的授權(quán)訪問。對于網(wǎng)絡(luò)接入，要求對可信通信路徑的端點進(jìn)行身份認(rèn)證，以確保攻擊不能建立未授權(quán)的網(wǎng)絡(luò)連接，來破壞終端的完整性。移動終端完整性（O.INTEGRITY）為了確保移動終端的完整性，移動終端將執(zhí)行自測試來確保關(guān)鍵功能、軟件/固件和數(shù)據(jù)的完整性。這些自測試的任何故障都應(yīng)通知用戶。為了應(yīng)對包含惡意或有缺陷代碼的應(yīng)用程序問題(T.FLAWAPP)，在移動終端上安裝/執(zhí)行目標(biāo)程序之前，應(yīng)驗證軟件/固件下載更新的完整性。另外，操作系統(tǒng)應(yīng)限制應(yīng)用程序只能訪問系統(tǒng)服務(wù)和允許它們進(jìn)行交互的數(shù)據(jù)。操作系統(tǒng)將通過隨機(jī)內(nèi)存布局，來進(jìn)一步防止惡意應(yīng)用程序訪問它們沒被授權(quán)的數(shù)據(jù)。環(huán)境安全目的配置()TOE管理員應(yīng)正確配置移動終端安全功能，來創(chuàng)建預(yù)定的安全策略。通知(OE.NOTIFY)如果移動終端丟失或被盜，移動用戶將立即通知管理員。預(yù)防措施(OE.PRECAUTION)移動用戶執(zhí)行預(yù)防措施，以減少移動終端丟失或被盜的風(fēng)險。安全功能要求表1列出了移動終端安全功能要求組件，下述各條對各組件給出了詳細(xì)說明。表1安全功能要求組件安全功能類安全功能要求組件編號FAU類：安全審計FAU_GEN.1審計數(shù)據(jù)產(chǎn)生1FAU_SAR.1審計查閱2FAU_SAR.2有限審計查閱3FAU_SAR.3可選審計查閱4FAU_SEL.1選擇性審計5FAU_STG.1受保護(hù)的審計跡存儲6FAU_STG.4防止審計數(shù)據(jù)丟失7FCS類：密碼支持FCS_CKM.1.1(1)密鑰生成8FCS_CKM.1.1(2)密鑰生成(WLAN)9FCS_CKM.2.1(1)密鑰建立10FCS_CKM.2.1(2)密鑰分發(fā)11FCS_CKM_EXT.1密鑰支持12FCS_CKM_EXT.2數(shù)據(jù)加密密鑰13FCS_CKM_EXT.3密鑰加密密鑰14FCS_CKM_EXT.4密鑰銷毀15161718192021222324252627FDP類：用戶數(shù)據(jù)保護(hù)2829303132FIA類：標(biāo)識和鑒別333435363738394041424344FMT類：安全管理454647FPT類：TSF保護(hù)48495051525354555657585960FTA類：TOE訪問6162FTP類：可信路徑/信道63FAU類：安全審計審計數(shù)據(jù)產(chǎn)生(FAU_GEN.1)FAU_GEN.1.1TSF應(yīng)能為下述可審計事件產(chǎn)生可審計記錄：1）審計功能的啟動和關(guān)閉；2）可審計事件的最小集合；3）[賦值：其他專門定義的可審計事件]。FAU_GEN.1.2TSF應(yīng)在每個審計記錄中至少記錄如下信息：1）事件的日期和事件、事件的類型、事件的主體身份、事件的結(jié)果(成功或失敗)；2)基于安全功能組件中可審計事件定義的[賦值：其他審計相關(guān)信息]審計查閱(FAU_SAR.1)FAU_SAR.1.1TSF應(yīng)為[賦值：授權(quán)用戶，審計管理員]提供從審計記錄中讀取[賦值：審計信息列表]的能力。FAU_SAR.1.2TSF應(yīng)以便于用戶理解的方式提供審計記錄。有限審計查閱(FAU_SAR.2)FAU_SAR.2.1除具有明確讀訪問權(quán)限的用戶外，TSF應(yīng)禁止所有用戶對審計記錄的訪問。可選審計查閱(FAU_SAR.3)FAU_SAR.3.1TSF應(yīng)根據(jù)[賦值：具有邏輯關(guān)系的標(biāo)準(zhǔn)]提供對審計數(shù)據(jù)進(jìn)行[賦值：搜索、分類、排序]的能力。選擇性審計(FAU_SEL.1)FAU_SEL.1.1TSF應(yīng)能根據(jù)以下屬性從審計事件集中包括或排除可審計事件：1）[選擇：用戶身份，事件類型]2）[賦值：審計選擇所依據(jù)的附加屬性表]受保護(hù)的審計跡存儲(FAU_STG.1)FAU_STG.1.1TSF應(yīng)保護(hù)所存儲的審計記錄，以避免未授權(quán)的刪除。FAU_STG.1.2TSF應(yīng)能[選擇，選取一個：防止、檢測]對審計跡中所存儲審計記錄的未授權(quán)修改。防止審計數(shù)據(jù)丟失(FAU_STG.4)FAU_STG.4.1如果審計跡已滿，TSF應(yīng)[選擇，選取一個：“忽略可審計事件”、“阻止可審計事件，除具有特權(quán)的授權(quán)用戶產(chǎn)生的”、“涵蓋所存儲的最早的審計記錄”]和[賦值：審計存儲失效時所采取的其他動作]。FCS類：密碼支持密鑰生成(FCS_CKM.1.1(1))FCS_CKM.1.1(1)移動終端的安全功能應(yīng)根據(jù)符合下列標(biāo)準(zhǔn)[賦值：標(biāo)準(zhǔn)列表]的一個特定的密鑰生成算法[賦值：密鑰生成算法]和規(guī)定的密鑰長度[賦值：密鑰長度]來生成密鑰。密鑰生成(WLAN)(FCS_CKM.1.1(2))FCS_CKM.1.1(2)移動終端的安全功能應(yīng)使用FCS_RBG_EXT.1中規(guī)定的隨機(jī)比特生成器，按照規(guī)定的密鑰生成算法[賦值：密鑰生成算法]和規(guī)定的密鑰大小[賦值：密鑰長度]生成密鑰。密鑰建立(FCS_CKM.2.1(1))FCS_CKM.2.1(1)移動終端的安全功能應(yīng)根據(jù)符合下列標(biāo)準(zhǔn)[賦值：標(biāo)準(zhǔn)列表]中的一個特定的密鑰建立方法[賦值：密鑰建立方法]來執(zhí)行密鑰建立。密鑰分發(fā)(FCS_CKM.2.1(2))FCS_CKM.2.1(2)移動終端的安全功能應(yīng)根據(jù)符合下列標(biāo)準(zhǔn)[賦值：標(biāo)準(zhǔn)列表]中的一個特定的密鑰分發(fā)方法[賦值：密鑰分發(fā)方法]來分發(fā)密鑰。密鑰支持(FCS_CKM_EXT.1)FCS_CKM_EXT.1.1移動終端的安全功能應(yīng)支持[選擇：硬件隔離，硬件保護(hù)]的密鑰大小為[選擇：密鑰長度]的根加密密鑰。FCS_CKM_EXT.1.2移動終端的安全功能上的系統(tǒng)軟件應(yīng)只能通過密鑰請求[選擇：加密/解密，密鑰分發(fā)]，不能夠讀取，導(dǎo)入，導(dǎo)出根加密密鑰。FCS_CKM_EXT.1.3應(yīng)按照FCS_RBG_EXT.1的隨機(jī)位生成器來生成根加密密鑰。數(shù)據(jù)加密密鑰(FCS_CKM_EXT.2)FCS_CKM_EXT.2.1所有的數(shù)據(jù)加密密鑰應(yīng)按照[選擇：密鑰長度]AES密鑰的安全強(qiáng)度對應(yīng)的熵來隨機(jī)生成。密鑰加密密鑰(FCS_CKM_EXT.3)FCS_CKM_EXT.3.1所有密鑰加密密鑰(KEKs)應(yīng)為[賦值：密鑰長度]密鑰，至少相應(yīng)于被KEK加密的密鑰的安全強(qiáng)度。FCS_CKM_EXT.3.2移動終端的安全功能應(yīng)使用以下方法[賦值：方法列表]，從一個口令授權(quán)因子中導(dǎo)出所有密鑰加密密鑰。密鑰銷毀(FCS_CKM_EXT.4)FCS_CKM_EXT.4.1移動終端的安全功能應(yīng)按照規(guī)定的密鑰銷毀方法[選擇：密鑰銷毀方法]銷毀密鑰。FCS_CKM_EXT.4.2移動終端的安全功能應(yīng)銷毀所有不再需要的明文密鑰材料和關(guān)鍵安全參數(shù)。TSF擦除(FCS_CKM_EXT.5)FCS_CKM_EXT.5.1移動終端的安全功能應(yīng)按照規(guī)定的數(shù)據(jù)擦除方法[選擇：數(shù)據(jù)擦除方法]擦除所有受保護(hù)數(shù)據(jù)。FCS_CKM_EXT.5.2移動終端的安全功能應(yīng)在擦拭程序結(jié)束時重新啟動。密碼鹽值生成(FCS_CKM_EXT.6)FCS_CKM_EXT.6.1移動終端的安全功能應(yīng)使用滿足FCS_RBG_EXT.1的RBG生成所有的鹽值。密碼運算(FCS_COP.1)FCS_COP.1.1(1)移動終端的安全功能應(yīng)按照滿足下列標(biāo)準(zhǔn)[賦值：標(biāo)準(zhǔn)列表]規(guī)定的密碼算法[賦值：密碼算法]和密鑰長度[賦值：密鑰長度]執(zhí)行加密/解密。FCS_COP.1.1(2)移動終端的安全功能應(yīng)按照滿足下列標(biāo)準(zhǔn)[賦值：標(biāo)準(zhǔn)列表]規(guī)定的密碼算法[賦值：密碼算法]和密鑰長度[賦值：密鑰長度]來執(zhí)行[賦值：密碼散列]。FCS_COP.1.1(3)移動終端的安全功能應(yīng)按照規(guī)定的密碼算法[賦值：密碼算法]執(zhí)行密碼簽名服務(wù)(生成和驗證)。FCS_COP.1.1(4)移動終端的安全功能應(yīng)按照滿足下列標(biāo)準(zhǔn)[賦值：標(biāo)準(zhǔn)列表]規(guī)定的密碼算法[賦值：密碼算法]和密鑰長度[賦值：密鑰長度]來執(zhí)行散列消息鑒別。FCS_COP.1.1(5)移動終端的安全功能應(yīng)按照下列標(biāo)準(zhǔn)[賦值：標(biāo)準(zhǔn)列表]規(guī)定的密碼算法[賦值：密碼算法]和輸出密鑰長度[賦值：密鑰長度]來執(zhí)行基于口令的密鑰導(dǎo)出算法。HTTPS協(xié)議(FCS_HTTPS_EXT.1)FCS_HTTPS_EXT.1.1移動終端的安全功能應(yīng)執(zhí)行符合標(biāo)準(zhǔn)的HTTPS協(xié)議。FCS_HTTPS_EXT.1.2移動終端的安全功能應(yīng)執(zhí)行使用TLS的HTTPS協(xié)議。FCS_HTTPS_EXT.1.3如果對等證書被視為無效，移動終端的安全功能應(yīng)通知應(yīng)用程序和[選擇：沒有建立連接，請求應(yīng)用程序授權(quán)建立連接，沒有其他的動作]。初始向量生成(FCS_IV_EXT.1)FCS_IV_EXT.1.1移動終端的安全功能應(yīng)按照規(guī)定的加密模式[賦值：加密模式]的要求來生成初始向量。隨機(jī)位生成器(FCS_RBG.1)FCS_RBG_EXT.1.1移動終端的安全功能應(yīng)產(chǎn)生TSF密碼功能中所使用的所有隨機(jī)數(shù)，隨機(jī)數(shù)產(chǎn)生器應(yīng)符合國家標(biāo)準(zhǔn)和國家密碼管理機(jī)構(gòu)相關(guān)標(biāo)準(zhǔn)要求。密碼算法服務(wù)(FCS_SRV_EXT.1)FCS_SRV_EXT.1.1移動終端的安全功能應(yīng)向應(yīng)用提供一種機(jī)制來請求TSF執(zhí)行密碼運算[賦值：密碼運算列表]。密鑰存儲(FCS_STG_EXT.1)FCS_STG_EXT.1.1移動終端的安全功能應(yīng)為非對稱私鑰和[選擇：對稱密鑰，持久秘密，沒有其他密鑰]提供[選擇：硬件，硬件隔離，基于軟件]的安全密鑰存儲。FCS_STG_EXT.1.2移動終端的安全功能應(yīng)能根據(jù)[選擇：用戶，管理員]和[選擇：運行在TSF上的應(yīng)用，無其他項目]請求，將密鑰/秘密導(dǎo)入到安全密鑰存儲中。FCS_STG_EXT.1.3移動終端的安全功能應(yīng)能根據(jù)[選擇：用戶，管理員]的請求，銷毀存儲在安全密鑰存儲中的密鑰/秘密。FCS_STG_EXT.1.4移動終端的安全功能應(yīng)只允許導(dǎo)入了密鑰/秘密的應(yīng)用才能使用密鑰/秘密。例外的情況只能是被[選擇：用戶，管理員，普通應(yīng)用開發(fā)者]明確授權(quán)。FCS_STG_EXT.1.5移動終端的安全功能應(yīng)只允許導(dǎo)入了密鑰/秘密的應(yīng)用才能請求銷毀密鑰/秘密。例外的情況只能是被[選擇：用戶，管理員，普通應(yīng)用開發(fā)者]明確授權(quán)。存儲密鑰的加密(FCS_STG_EXT.2)FCS_STG_EXT.2.1移動終端的安全功能應(yīng)通過KEKs加密所有的DEKs和KEKs和[選擇：長期信任的信道密鑰材料，所有基于軟件的密鑰存儲，沒有其他密鑰]，即是[選擇：通過REK利用[選擇：由REK加密，由鏈接到REK的KEK加密]來保護(hù)，通過REK和口令利用[選擇：由REK和口令派生的KEK加密，由鏈接到REK的KEK和口令派生KEK加密]來保護(hù)].FCS_STG_EXT.2.2應(yīng)使用下列標(biāo)準(zhǔn)[賦值：標(biāo)準(zhǔn)列表]規(guī)定的密碼算法[賦值：密碼算法]對DEKs和KEKs和[選擇：長期信任的信道密鑰材料，所有基于軟件的密鑰存儲，沒有其他密鑰]進(jìn)行加密。存儲密鑰的完整性(FCS_STG_EXT.3)移動終端的安全功能應(yīng)通過以下方式[賦值：方式列表]來保護(hù)DEKs和KEKs和[選擇：長期信任的信道密鑰材料，所有基于軟件的密鑰存儲，沒有其他密鑰]的完整性。在使用密鑰之前，移動終端的安全功能應(yīng)驗證存儲密鑰的[選擇：哈希，數(shù)字簽名，MAC]的完整性。EAP-TLS客戶端協(xié)議(FCS_TLSC_EXT.1)移動終端的安全功能應(yīng)執(zhí)行1.0和TLS1.1TLS1.2沒有其他TLS版本[賦值：密碼套件列表]。移動終端的安全功能服務(wù)器證書提供了鏈接到指定的CAs中的一個，包括可接受的鑒別服務(wù)器證書的指定FQDN]。移動終端的安全功能應(yīng)不建立可信信道。移動終端的安全功能TLS客戶端協(xié)議(FCS_TLSC_EXT.2)移動終端的安全功能應(yīng)執(zhí)行TLS1.2中支持的以下密碼套件：[賦值：密碼套件列表]。移動終端的安全功能應(yīng)驗證給出的標(biāo)識與RFC6125規(guī)定的參考標(biāo)識相匹配。移動終端的安全功能應(yīng)不建立可信信道。移動終端的安全功能FDP類：用戶數(shù)據(jù)保護(hù)訪問控制(FDP_ACF_EXT.1)FDP_ACF_EXT.1.1移動終端的安全功能應(yīng)提供一種機(jī)制來限制應(yīng)用程序訪問系統(tǒng)服務(wù)。FDP_ACF_EXT.1.2移動終端的安全功能應(yīng)提供一種訪問控制策略來防止[選擇：應(yīng)用程序，應(yīng)用程序組]訪問[選擇：應(yīng)用程序，應(yīng)用程序組]存儲的[選擇：全部，隱私]數(shù)據(jù)。例外的只能是被[選擇：用戶，管理員，普通的應(yīng)用程序開發(fā)者]明確授權(quán)用于共享。靜態(tài)數(shù)據(jù)保護(hù)(FDP_DAR_EXT.1)FDP_DAR_EXT.1.1應(yīng)加密所有受保護(hù)數(shù)據(jù)。FDP_DAR_EXT.1.2應(yīng)使用密鑰大小為[選擇:密鑰長度]，模式為[選擇:XTS,CBC,GCM]，密碼算法為[賦值：密碼算法]的DEKs來執(zhí)行加密。子集信息流控制(FDP_IFC_EXT.1)FDP_IFC_EXT.1.2移動終端的安全功能應(yīng)[選擇：向VPN客戶端提供一個接口以確保所有的IP流量(而不是建立VPN連接所需的IP流量)流經(jīng)IPSecVPN客戶端，確保所有的IP流量(而不是建立VPN連接所需的IP流量)流經(jīng)IPSecVPN客戶端]。用戶數(shù)據(jù)存儲(FDP_STG_EXT.1)FDP_STG_EXT.1.1移動終端的安全功能應(yīng)為信任錨數(shù)據(jù)庫提供受保護(hù)的存儲。TSF間用戶數(shù)據(jù)傳輸保護(hù)(FDP_UPC_EXT.1)FDP_UPC_EXT.1.1移動終端的安全功能應(yīng)為運行在TOE上的非TSF應(yīng)用提供一種方式來使用TLS，HTTPS，藍(lán)牙BR/EDR，和[選擇：DTLS，藍(lán)牙LE，其他協(xié)議]，為非TSF應(yīng)用和其他IT產(chǎn)品之間提供受保護(hù)的通信信道，該信道與其他通信信道是邏輯隔離的，提供有保證的終端節(jié)點的鑒別，保護(hù)信道數(shù)據(jù)以免被泄露，并檢測信道數(shù)據(jù)的修改。FDP_UPC_EXT.1.2移動終端的安全功能應(yīng)允許非TSF應(yīng)用通過可信信道發(fā)起通信。FIA類：標(biāo)識和鑒別.鑒別失敗處理(FIA_AFL_EXT.1)FIA_AFL_EXT.1.1移動終端的安全功能應(yīng)檢測何時發(fā)生[賦值：正整數(shù)]次相對于該用戶最后成功鑒別的未成功鑒別嘗試。FIA_AFL_EXT.1.2當(dāng)超過所定義的未成功鑒別嘗試的次數(shù)，移動終端的安全功能應(yīng)擦除所有受保護(hù)的數(shù)據(jù)。FIA_AFL_EXT.1.3移動終端的安全功能應(yīng)在發(fā)生斷電后保持不成功的鑒別嘗試次數(shù)。藍(lán)牙用戶鑒別(FIA_BLT_EXT.1)FIA_BLT_EXT.1.1移動終端的安全功能應(yīng)在與其他藍(lán)牙設(shè)備配對前要求進(jìn)行用戶鑒別。端口訪問實體鑒別(FIA_PAE_EXT.1)FIA_PAE_EXT.1對于“請求”角色中的端口訪問實體，移動終端的安全功能應(yīng)符合IEEE標(biāo)準(zhǔn)802.1X?？诹罟芾?FIA_PMG_EXT.1)TSF應(yīng)支持以下口令鑒別因子：“!”,“#”,“$”,“*”,賦值：其他字符]個鑒別節(jié)流(FIA_TRT_EXT.1)FIA_TRT_EXT.1.1移動終端的安全功能應(yīng)通過[選擇：防止通過外部接口鑒別，在不正確鑒別嘗試之間強(qiáng)加一個時延]來自動限制用戶鑒別嘗試。用戶鑒別嘗試連續(xù)失敗次數(shù)不超過10次，兩次嘗試間隔應(yīng)不小于500毫秒。受保護(hù)的鑒別反饋(FIA_UAU.7)FIA_UAU.7.1對于鑒別正在進(jìn)行的用戶，移動終端的安全功能應(yīng)向終端的提供隱式顯示。加密運算鑒別(FIA_UAU_EXT.1)FIA_UAU_EXT.1.1在啟動時，移動終端的安全功能應(yīng)在解密受保護(hù)數(shù)據(jù)和加密DEKs、KEKs和[選擇：長期可信信道的密鑰材料，所有基于軟件的密鑰存儲，無其他密鑰]之前，要求用戶給出口令鑒別因子。鑒別的時機(jī)(FIA_UAU_EXT.2)FIA_UAU_EXT.2.1在用戶被鑒別之前，移動終端的安全功能應(yīng)允許執(zhí)行代表用戶的[選擇：[賦值：動作列表]，無其他動作]。FIA_UAU_EXT.2.2在允許執(zhí)行代表用戶的任何其他TSF介導(dǎo)之前，移動終端的安全功能應(yīng)要求每個用戶都已被成功鑒別。重鑒別(FIA_UAU_EXT.3)FIA_UAU_EXT.3.1當(dāng)用戶更改口令鑒別因子時，移動終端的安全功能應(yīng)要求用戶輸入正確的口令鑒別因子，并按照TSF和用戶發(fā)起的鎖定過度到解鎖狀態(tài)，和[選擇：[賦值：其他條件]，無其他條件]。證書的驗證(FIA_X509_EXT.1)TSF應(yīng)按照下面的規(guī)則驗證證書：證書路徑必須以信任錨數(shù)據(jù)庫中的證書終止。TSF應(yīng)通過確保basicConstraintsTRUE移動終端的安全功能應(yīng)使用，規(guī)定的證書撤銷列表]來驗證證書的吊銷狀態(tài)。移動終端的安全功能應(yīng)按照以下規(guī)則來驗證extendedKeyUsage域：在域，。如果擴(kuò)展存在以及CA標(biāo)識設(shè)置為TRUE，移動終端的安全功能應(yīng)只把證書當(dāng)作CA證書。X509證書鑒別(FIA_X509_EXT.2)FIA_X509_EXT.2.1移動終端的安全功能應(yīng)使用規(guī)定的證書來支持EAP-TLS交換鑒別，以及[選擇：IPsec,TLS,HTTPS,DTLS]]，和[選擇：系統(tǒng)軟件更新代碼簽名，移動應(yīng)用代碼簽名，完整性驗證代碼簽名，[賦值：其他用途]，沒有其他用途]。FIA_X509_EXT.2.2當(dāng)移動終端的安全功能無法建立連接以確定證書的有效性時，移動終端的安全功能應(yīng)[選擇：允許管理員選擇是否接受這些情況下的證書，允許管理員選擇是否接受這些情況下的證書，接受證書，不接受證書]。證書請求驗證(FIA_X509_EXT.2)FIA_X509_EXT.3.1移動終端的安全功能應(yīng)向應(yīng)用程序提供證書驗證服務(wù)。FIA_X509_EXT.3.2移動終端的安全功能應(yīng)向請求的應(yīng)用程序提供驗證成功或失敗的回應(yīng)。FMT類：安全管理安全功能行為管理(FMT_MOF.1)移動終端的安全功能應(yīng)限制用戶執(zhí)行表2第3列中功能的能力。管理功能規(guī)范(FMT_SMF_EXT.1)移動終端的安全功能應(yīng)能夠執(zhí)行如下管理功能：表2管理功能管理功能狀態(tài)標(biāo)記：M—強(qiáng)制性的O—可選的FMT_SMF_EXT.1FMT_MOF_EXT.1.1管理員FMT_MOF_EXT.1.2口令配置策略：最小口令長度

最小口令復(fù)雜度最大更改口令間隔M-MM鎖定配置策略屏幕鎖的開啟和關(guān)閉屏幕鎖的啟動時間

最大允許解鎖口令輸入錯誤數(shù)M-MM開啟/關(guān)閉VPN保護(hù)策略基于整個設(shè)備進(jìn)行配置[選擇：基于每個應(yīng)用進(jìn)行配置無其他方法]MOOO開啟/關(guān)閉[賦值：無線連接列表]MOOO啟用/禁用[賦值：音頻或視頻采集終端列表]基于整個設(shè)備進(jìn)行配置[選擇：基于每個應(yīng)用進(jìn)行配置無其他方法]M-MM配置安全功能允許連接的特定的無線網(wǎng)絡(luò)(SSIDs)M-MO為每個無線網(wǎng)絡(luò)進(jìn)行安全策略配置:指定設(shè)備接受WLAN認(rèn)證服務(wù)器驗證的CA(s)，或指定可接受WLAN認(rèn)證服務(wù)器驗證的FQDN(s)指定安全類型的能力指定認(rèn)證協(xié)議的能力指定認(rèn)證時客戶端憑證M-MO進(jìn)入鎖定狀態(tài)的策略M-M-受保護(hù)數(shù)據(jù)全擦除策略配置M-M-應(yīng)用安裝策略配置應(yīng)用來源限制策略應(yīng)用白名單[賦值：應(yīng)用屬性]拒絕安裝應(yīng)用M-MM將密鑰/機(jī)密導(dǎo)入安全密鑰存儲策略MOO-銷毀安全密鑰存儲中密鑰/機(jī)密和[選擇：無其他密鑰/機(jī)密，[賦值：其他類密鑰/機(jī)密的列表]]MOO-將數(shù)字證書導(dǎo)入信任錨數(shù)據(jù)庫策略M-MO將信任錨數(shù)據(jù)庫中導(dǎo)入的數(shù)字證書和[選擇：無其他數(shù)字證書，[賦值：其他類數(shù)字證書的列表]]MOO-將TOE加入管理MMO-刪除應(yīng)用策略M-MO系統(tǒng)軟件更新策略M-MO應(yīng)用安裝策略M-MO刪除應(yīng)用策略M-M-配置藍(lán)牙可信信道策略：開啟/關(guān)閉發(fā)現(xiàn)模式(對于BR/EDR)改變藍(lán)牙設(shè)備名稱[選擇：允許/不允許其他無線技術(shù)取代藍(lán)牙開啟/關(guān)閉廣告(對于LE)開啟/關(guān)閉連接模式開啟/關(guān)閉設(shè)備上可用的藍(lán)牙服務(wù)和/或配置為每個配對指定最低的安全水平帶外配對的允許方法配置策略MOOO鎖定狀態(tài)下提示顯示的開啟/關(guān)閉策略Email提示日歷事件提醒聯(lián)系人來電提示短消息提示其他應(yīng)用提示所有提示MOOO開啟/關(guān)閉所有通過[賦值：外部可訪問硬件端口列表]的數(shù)據(jù)信令OOOO開啟/關(guān)閉[賦值：終端作為服務(wù)器的協(xié)議列表]OOOO開啟/關(guān)閉開發(fā)者模式OOOO啟動靜態(tài)數(shù)據(jù)保護(hù)OOOO啟動可移除媒體的靜態(tài)數(shù)據(jù)保護(hù)OOOO開啟/關(guān)閉本地用戶鑒別的繞過OOOO擦除用戶數(shù)據(jù)OOO-準(zhǔn)許由信任錨數(shù)據(jù)庫中數(shù)字證書申請的[選擇：導(dǎo)入，移除]OOOO配置是否建立可信通道，以及在安全功能無法建立用于驗證證書合法性的連接時是否不允許建立可信通道OOOO開啟/關(guān)閉用于連接蜂窩網(wǎng)基站的蜂窩網(wǎng)協(xié)議OOOO讀取由安全功能保存的審計日志OOO-配置用于驗證應(yīng)用程序的數(shù)字簽名的[選擇：證書，公鑰]OOOO批準(zhǔn)例外的被多個應(yīng)用程序共享使用的密鑰/機(jī)密OOOO批準(zhǔn)例外的由沒有導(dǎo)入密鑰/機(jī)密的應(yīng)用銷毀密鑰/機(jī)密OOOO配置解鎖標(biāo)識O-OO配置審計項目O-OO提取TSF-軟件的完整性校驗值OOOO開啟/關(guān)閉[選擇：USB大容量存儲模式用戶身份未驗證下USB數(shù)據(jù)傳輸連接系統(tǒng)身份未驗證下的USB數(shù)據(jù)傳輸]OOOO開啟/關(guān)閉備份到[選擇：本地連接的系統(tǒng)，遠(yuǎn)程系統(tǒng)]OOOO開啟/關(guān)閉[選擇：通過[選擇：預(yù)共享密鑰，口令，無驗證]來認(rèn)證熱點功能通過[選擇：預(yù)共享密鑰，口令，無驗證]來熱證USB綁定OOOO批準(zhǔn)例外的用于[選擇：應(yīng)用程序，應(yīng)用程序簇]之間共享數(shù)據(jù)OOOO基于[賦值：應(yīng)用屬性]將應(yīng)用置于應(yīng)用程序組中OOOO開啟/關(guān)閉本地服務(wù)：基于整個設(shè)備進(jìn)行配置[選擇：基于每個應(yīng)用進(jìn)行配置無其他方法MOOO[賦值：由安全功能提供的其他管理功能列表]OOOO補(bǔ)救行動規(guī)范(FMT_SMF_EXT.1)FMT_SMF_EXT.1移動終端的安全功能應(yīng)向非注冊的終端提供[選擇：擦除受保護(hù)數(shù)據(jù)，擦除敏感數(shù)據(jù)，提醒管理員，移除應(yīng)用，[賦值：其他可用補(bǔ)救行動的列表]]以及[選擇：[賦值：其他管理員配置的觸發(fā)器]，沒有其他觸發(fā)器]。FPT類：TSF保護(hù)抗開發(fā)服務(wù)(位址空間布局隨機(jī)化)(FPT_AEX_EXT.1)FPT_AEX_EXT.1.1移動終端的安全功能應(yīng)向應(yīng)用提供位址空間布局隨機(jī)化。FPT_AEX_EXT.1.2任何用戶空間映射的基地址將包括至少8個不可預(yù)測的位?？归_發(fā)服務(wù)(內(nèi)存頁權(quán)限)(FPT_AEX_EXT.2)FPT_AEX_EXT.2.1移動終端的安全功能應(yīng)能夠執(zhí)行讀取，寫入，和物理內(nèi)存的每個頁面的執(zhí)行權(quán)限?？归_發(fā)服務(wù)(堆棧溢出保護(hù))(FPT_AEX_EXT.3)FPT_AEX_EXT.3.1在應(yīng)用處理器上的非特權(quán)執(zhí)行域執(zhí)行的移動終端安全功能進(jìn)程應(yīng)執(zhí)行基于堆棧的緩沖區(qū)溢出保護(hù)。域隔離(FPT_AEX_EXT.4)FPT_AEX_EXT.4.1移動終端的安全功能應(yīng)保護(hù)自己以免被不可信主體修改。FPT_AEX_EXT.4.2移動終端的安全功能應(yīng)在應(yīng)用之間執(zhí)行地址空間隔離。密鑰存儲(FPT_KST_EXT.1)FPT_KST_EXT.1.1移動終端的安全功能不得在可讀的非易失性存儲器中存儲任何明文密鑰材料。無密鑰傳輸(FPT_KST_EXT.2)FPT_KST_EXT.2.1移動終端的安全功能不應(yīng)在評估對象的安全邊界外傳輸任何明文密鑰材料。無明文密鑰導(dǎo)出(FPT_KST_EXT.3)FPT_KST_EXT.3.1移動終端的安全功能應(yīng)確保評估對象的用戶不可能導(dǎo)出明文密鑰。自檢提示(FPT_NOT_EXT.1)當(dāng)下述類型的錯誤發(fā)生時，移動終端的安全功能應(yīng)過渡到非操作模式，并且]，沒有其他行動：安全功能軟件完整性驗證錯誤可靠的時間戳(FPT_STM.1)FPT_STM.1.1移動終端的安全功能應(yīng)能夠提供可靠的時間戳供它自己使用。安全功能加密功能測試(FPT_TST_EXT.1)FPT_TST_EXT.1.1移動終端的安全功能應(yīng)在初始啟動(啟動電源)期間運行一套自我測試，來證明所有加密功能的正確操作。安全功能完整性測試(FPT_TST_EXT.2)FPT_TST_EXT.2.1移動終端的安全功能應(yīng)通過應(yīng)用處理器操作系統(tǒng)內(nèi)核驗證應(yīng)用處理器啟動鏈和[選擇：存儲在可變的介質(zhì)中的所有的可執(zhí)行代碼，[賦值：其他執(zhí)行代碼的列表]，無其他執(zhí)行代碼]的完整性，在它執(zhí)行之前通過使用[選擇：使用硬件保護(hù)的非對稱密鑰的數(shù)字簽名，硬件保護(hù)的非對稱密鑰，硬件保護(hù)的散列]存儲在可變介質(zhì)中?？尚鸥拢篢SF版本查詢(FPT_TUD_EXT.1)FPT_TUD_EXT.1.1移動終端的安全功能應(yīng)向授權(quán)用戶提供查詢TOE固件/軟件當(dāng)前版本的能力。FPT_TUD_EXT.1.2移動終端的安全功能應(yīng)向授權(quán)用戶提供查詢終端硬件模式的當(dāng)前版本的能力。FPT_TUD_EXT.1.3移動終端的安全功能應(yīng)向授權(quán)用戶提供查詢已安裝的移動應(yīng)用的當(dāng)前版本的能力?？尚鸥碌尿炞C(FPT_TUD_EXT.2)FPT_TUD_EXT.2.1移動終端的安全功能應(yīng)在安裝這些更新之前使用制造商的數(shù)字簽名來驗證更新到應(yīng)用處理器系統(tǒng)軟件和[選擇：[賦值：其他處理器系統(tǒng)軟件]，無其他處理器系統(tǒng)軟件]的軟件。FPT_TUD_EXT.2.2移動終端的安全功能應(yīng)[選擇：從不更新，只被驗證的軟件更新]安全功能啟動的完整性[選擇：密鑰,散列]。FPT_TUD_EXT.2.3移動終端的安全功能應(yīng)驗證數(shù)字簽名驗證密鑰用于TSF更新[選擇:被驗證為信任錨數(shù)據(jù)庫中的公鑰，匹配硬件保護(hù)的公共密鑰]。FPT_TUD_EXT.2.4移動終端的安全功能應(yīng)在安裝之前使用數(shù)字簽名機(jī)制驗證移動應(yīng)用軟件。FTA類：TOE訪問TSF和用戶發(fā)起的鎖定狀態(tài)(FTA_SSL_EXT.1)移動終端的安全功能應(yīng)在一定時間間隔的不活動狀態(tài)后，轉(zhuǎn)變?yōu)殒i定狀態(tài)。移動終端的安全功能應(yīng)在用戶或管理員發(fā)起后，轉(zhuǎn)變?yōu)殒i定狀態(tài)。移動終端的安全功能應(yīng)在轉(zhuǎn)換到鎖定狀態(tài)時執(zhí)行以下操作：在轉(zhuǎn)換到鎖定狀態(tài)下執(zhí)行其他動作]。無線網(wǎng)絡(luò)接入(FTA_WSE_EXT.1)移動終端的安全功能應(yīng)能夠嘗試連接到按照在FMT_SMF_EXT.1中被管理員配置的指定為可接受網(wǎng)絡(luò)的無線網(wǎng)絡(luò)。FTP類：可信路徑/信道可信通道通信(FTP_ITC_EXT.1)移動終端的安全功能應(yīng)為它自己和另一可信IT產(chǎn)品提供一條通信信道，該信道在邏輯上與其他通信信道不同，并且向其端點提供確定的標(biāo)識，保護(hù)信道中數(shù)據(jù)免遭泄露，并且能夠檢測信道數(shù)據(jù)的篡改。接和[選擇：OTA更新，無其他連接]。安全保障要求表3列出了安全保障要求組件。下述各條對各組件給出了詳細(xì)的說明。表3安全保障要求組件ADV_FSP.1基本功能規(guī)范1AGD_OPE.1用戶操作指南2AGD_PRE.1ALC_CMC.1TOE標(biāo)簽4ALC_CMS.1TOE5ALC_TSU_EXT及時的安全更新6ASE類：安全目標(biāo)評估ASE_CCL.1符合性聲明7ASE_ECD.1擴(kuò)展組件定義8ASE_INT.1ST引言9ASE_OBJ.1安全目的10ASE_REQ.1安全要求導(dǎo)出11ASE_SPD.1安全問題定義12ASE_TSS.1TOE概要規(guī)范13ATE類：測試ATE_IND.1—AVA類：脆弱性評估AVA_VAN.1脆弱性評估15ADV類：開發(fā)基本功能規(guī)范(ADV_FSP.1)開發(fā)者行為元素：ADV_FSP.1.1D開發(fā)者應(yīng)提供功能規(guī)范。ADV_FSP.1.2D開發(fā)者應(yīng)提供功能規(guī)范到安全功能要求的追溯。內(nèi)容和形式元素ADV_FSP.1.1C功能規(guī)范應(yīng)描述所有TSFI的目的和使用方法。ADV_FSP.1.2C功能規(guī)范應(yīng)標(biāo)識和描述與每個TSFI關(guān)聯(lián)的所有參數(shù)。ADV_FSP.1.3C功能規(guī)范應(yīng)為作為SFR互不干擾接口的隱分類提供基本原理。ADV_FSP.1.4C功能規(guī)范應(yīng)論證安全功能要求到TSFI的追溯。評估者行為元素：ADV_FSP.1.1E評估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。ADV_FSP.1.2E評估者應(yīng)確定功能規(guī)范是安全功能要求的一個準(zhǔn)確和完整的具體例證說明。AGD類：指導(dǎo)性文檔用戶操作指南(AGD_OPE.1)開發(fā)者行為元素：AGD_OPE.1.1D開發(fā)者應(yīng)提供用戶操作指南。內(nèi)容和形式元素AGD_OPE.1.1C用戶操作指南應(yīng)對每個用戶角色進(jìn)行描述，在安全處理環(huán)境中應(yīng)被控制的用戶可訪問的功能和特權(quán)，包含適當(dāng)?shù)木拘畔?。AGD_OPE.1.2C用戶操作指南應(yīng)對每個用戶角色進(jìn)行描述，怎樣以安全的方式使用TOE提供的可用接口。AGD_OPE.1.3C用戶操作指南應(yīng)對每個用戶角色進(jìn)行描述，可用功能和接口，尤其是受用戶控制的所有安全參數(shù)，適當(dāng)時應(yīng)指明安全值。AGD_OPE.1.4C用戶操作指南應(yīng)對每一種用戶角色明確說明，與需要執(zhí)行的用戶可訪問功能有關(guān)的每一種安全相關(guān)事件，包括改變TSF所控制實體的安全特性。AGD_OPE.1.5C用戶操作指南應(yīng)標(biāo)示TOE運行的所有可能狀態(tài)(包括操作導(dǎo)致的失敗或操作性錯誤)，它們與維持安全運行之間的因果關(guān)系和聯(lián)系A(chǔ)GD_OPE.1.6C用戶操作指南應(yīng)對每一種用戶角色進(jìn)行描述，為了充分實現(xiàn)ST中描述的運行環(huán)境安全目的所必須執(zhí)行的安全策略。AGD_OPE.1.7C用戶操作指南應(yīng)是明確和合理的。評估者行為元素：AGD_OPE.1.1E評估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。準(zhǔn)備程序(AGD_PRE)開發(fā)者行為元素：AGD_PRE.1.1D開發(fā)者應(yīng)提供TOE，包括它的準(zhǔn)備過程。內(nèi)容和形式元素：AGD_PRE.1.1C準(zhǔn)備過程應(yīng)描述按照開發(fā)者交付程序安全接收TOE必要的全部步驟。AGD_PRE.1.2C準(zhǔn)備過程應(yīng)描述安全安裝TOE以及依據(jù)ST中描述的運行環(huán)境安全目的安全準(zhǔn)備操作環(huán)境必要的全部步驟。評估者行為元素：AGD_PRE.1.1E評估者應(yīng)確認(rèn)提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。AGD_PRE.1.2E評估者應(yīng)運用準(zhǔn)備過程確認(rèn)TOE能為操作做好安全準(zhǔn)備。ALC類：生命周期支持TOE標(biāo)簽(ALC_CMC.1)開發(fā)者行為元素：ALC_CMC.1.1D開發(fā)者應(yīng)提供TOE及其參照號。內(nèi)容和形式元素：ALC_CMC.1.1C應(yīng)給TOE標(biāo)記唯一的參照號。評估者行為元素：ALC_CMC.2.1E評估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。TOE配置管理覆蓋部分(ALC_CMS.2)開發(fā)者行為元素：ALC_CMS.2.1D開發(fā)者應(yīng)提供TOE配置列表。內(nèi)容和形式元素：ALC_CMS.2.1C配置列表應(yīng)包括下列內(nèi)容：TOE本身，安全保障要求所要求的評估證據(jù)。ALC_CMS.2.2C配置列表應(yīng)唯一標(biāo)識配置項。評估者行為元素：ALC_CMS.2.1E評估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。及時的安全更新(ALC_TSU_EXT)開發(fā)者行為元素：ALC_TSU_EXT.1.1D開發(fā)者應(yīng)提供在TSS中及時安全更新是如何給TOE的描述。內(nèi)容和形式元素：ALC_TSU_EXT.1.1C該描述應(yīng)包括TOE軟件/固件的安全更新的創(chuàng)建和部署過程。ALC_TSU_EXT.1.2C該描述應(yīng)給出漏洞公開披露和TOE安全更新公開可用之間的時間窗的時間長度，以天為單位。ALC_TSU_EXT.1.3C該描述應(yīng)包括涉及TOE的安全問題報告的公開可用的機(jī)制。評估者行為元素：ALC_TSU_EXT.2.1E評估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。ASE類：安全目標(biāo)評估符合性聲明(ASE_CCL.1)開發(fā)者行為元素：ASE_CCL.1.1D開發(fā)者應(yīng)提供符合性聲明。ASE_CCL.1.2D開發(fā)者應(yīng)提供符合性聲明的基本原理。內(nèi)容和形式元素：ASE_CCL.1.1C符合性聲明應(yīng)說明ST及TOE所遵從的標(biāo)準(zhǔn)。ASE_CCL.1.2C符合性聲明應(yīng)論證TOE類型與其遵從的標(biāo)準(zhǔn)中的TOE類型是一致的。ASE_CCL.1.3C符合性聲明應(yīng)論證安全問題定義與其遵從的標(biāo)準(zhǔn)中安全問題定義是一致的。ASE_CCL.1.4C符合性聲明應(yīng)論證安全目的與其遵從的標(biāo)準(zhǔn)中的安全目的是一致的。ASE_CCL.1.5C符合性聲明應(yīng)論證其安全要求與其遵從的標(biāo)準(zhǔn)中的安全要求是一致的。評估者行為元素ASE_CCL.1.1E評估者應(yīng)能確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。擴(kuò)展組件定義(ASE_ECD.1)開發(fā)者行為元素：ASE_ECD.1.1D開發(fā)者應(yīng)提供安全要求的陳述。ASE_ECD.1.2D開發(fā)者應(yīng)提供擴(kuò)展組件定義。內(nèi)容和形式元素：ASE_ECD.1.1C安全要求的陳述應(yīng)標(biāo)明所有擴(kuò)展的安全要求。ASE_ECD.1.2C擴(kuò)展組件定義應(yīng)為每一個擴(kuò)展的安全要求定義一個擴(kuò)展組件。ASE_ECD.1.3C擴(kuò)展組件定義應(yīng)為描述每一個擴(kuò)展組件與標(biāo)準(zhǔn)現(xiàn)有組件、族、類的關(guān)系。ASE_ECD.1.4C擴(kuò)展組件定義應(yīng)使用標(biāo)準(zhǔn)現(xiàn)有組件、族、類及方法作為表達(dá)形式。ASE_ECD.1.5C擴(kuò)展組件應(yīng)由可度量的和客觀的組件組成，以便于論證是否遵從這些組件。評估者行為元素ASE_ECD.1.1E評估者應(yīng)能確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。ASE_ECD.1.2E評估者應(yīng)確認(rèn)已有組件無法明確表示擴(kuò)展組件。ST引言(ASE_INT.1)開發(fā)者行為元素：ASE_INT.1.1D開發(fā)者應(yīng)提供ST引言。內(nèi)容和形式元素：ASE_INT.1.1CST引言應(yīng)包含ST實例、TOE實例、TOE概述及TOE描述。ASE_INT.1.2CST實例應(yīng)唯一標(biāo)識ST。ASE_INT.1.3CTOE實例應(yīng)唯一標(biāo)識TOE。ASE_INT.1.4CTOE概述應(yīng)簡述TOE用途和主要安全特征。ASE_INT.1.5CTOE概述應(yīng)標(biāo)識TOE類型。ASE_INT.1.6CTOE概述應(yīng)標(biāo)識不屬于TOE但TOE需要的任何硬件、軟件及固件。ASE_INT.1.7CTOE應(yīng)陳述TOE的物理范圍。ASE_INT.1.8CTOE的描述應(yīng)陳述TOE的邏輯范圍。評估者行為元素ASE_INT.1.1E評估者應(yīng)能確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。ASE_INT.1.2E評估者應(yīng)確認(rèn)TOE實例、TOE概述及TOE描述之間的一致性。安全目的(ASE_OBJ.1)開發(fā)者行為元素：ASE_OBJ.1.1D開發(fā)者應(yīng)陳述安全目的。ASE_OBJ.1.2D開發(fā)者應(yīng)提供安全目的原理。內(nèi)容和形式元素：ASE_OBJ.1.1C安全目的應(yīng)描述TOE安全目的和操作環(huán)境安全目的。ASE_OBJ.1.2C安全目的原理應(yīng)追溯每一個TOE的安全目的所對應(yīng)的威脅和要求實施的組織安全策略。ASE_OBJ.1.3C安全目的原理應(yīng)追溯每一個操作環(huán)境的安全目的所對應(yīng)的威脅和要求實施的組織安全策略，及其支持的假設(shè)。ASE_OBJ.1.4C安全目的的原理應(yīng)證明安全目的應(yīng)對了所有的威脅。ASE_OBJ.1.5C安全目的原理應(yīng)證明安全目的實施了所有的組織安全策略。ASE_OBJ.1.6C安全目的原理應(yīng)證明操作環(huán)境的安全目的支持了所有的假設(shè)。評估者行為元素ASE_OBJ.1.1E評估者應(yīng)能確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。安全要求導(dǎo)出(ASE_REQ.1)開發(fā)者行為元素：ASE_REQ.1.1D開發(fā)者應(yīng)陳述安全要求。ASE_REQ.1.2D開發(fā)者應(yīng)提供安全要求原理。內(nèi)容和形式元素：ASE_REQ.1.1C安全要求應(yīng)描述安全功能要求和安全保障要求。ASE_REQ.1.2C應(yīng)對安全功能要求和安全保障要求中的所有主體、客體、操作、安全屬性、外部實體及其他項目進(jìn)行定義。ASE_REQ.1.3C安全要求陳述應(yīng)標(biāo)明安全要求的所有操作。ASE_REQ.1.4C應(yīng)正確執(zhí)行所有操作。ASE_REQ.1.5C應(yīng)滿足安全要求見的依賴關(guān)系，或者在安全要求原理中說明不滿足的理由。ASE_REQ.1.6C安全要求原理應(yīng)追溯每一安全要求到所對應(yīng)的TOE的安全目的。ASE_REQ.1.7C安全要求原理應(yīng)論證安全要求組件實現(xiàn)了所有的TOE安全目的。ASE_REQ.1.8C安全要求原理應(yīng)解釋選擇安全保障要求組件的原因。ASE_REQ.1.9C安全要求的陳述應(yīng)是內(nèi)部一致的。評估者行為元素ASE_REQ.1.1E評估者應(yīng)能確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。安全問題定義(ASE_SPD.1)開發(fā)者行為元素：ASE_SPD.1.1D開發(fā)者應(yīng)提供安全問題定義。內(nèi)容和形式元素：ASE_SPD.1.1C安全問題定義應(yīng)描述威脅。ASE_SPD.1.2C所有威脅應(yīng)按照威脅主體、資產(chǎn)及攻擊行為進(jìn)行描述。ASE_SPD.1.3C安全問題定義應(yīng)描述組織安全策略。ASE_SPD.1.4C安全問題定義應(yīng)描述有關(guān)有關(guān)TOE操作環(huán)境的建設(shè)。評估者行為元素ASE_SPD.1.1E評估者應(yīng)能確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。TOE概要規(guī)范(ASE_TSS.1)開發(fā)者行為元素：ASE_TSS.1.1D開發(fā)者應(yīng)提供TOE概要規(guī)范。內(nèi)容和形式元素：ASE_TSS.1.1CTOE概要規(guī)范應(yīng)描述TOE如何滿足每一個安全功能要求。評估者行為元素ASE_TSS.1.1E評估者應(yīng)能確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。ASE_TSS.1.2E評估者應(yīng)確認(rèn)TOE概要規(guī)范與TOE概述和TOE描述一致。ATE類：測試獨立測試-一致性(ATE_IND)開發(fā)者行為元素：ATE_IND.1.1D開發(fā)者應(yīng)提供用于測試的TOE。內(nèi)容和形式元素ATE_IND.1.1CTOE應(yīng)適合測試。評估者行為元素：ATE_IND.1.1E評估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。ATE_IND.1.2E評估者應(yīng)測試TSF的一個子集以確認(rèn)TSF按照規(guī)定運行。AVA類：脆弱性評估脆弱性評估(AVA_VAN.1)開發(fā)者行為元素：AVA_VAN.1.1D開發(fā)者應(yīng)提供用于測試的TOE。內(nèi)容和形式元素：AVA_VAN.1.1CTOE應(yīng)適合測試。評估者行為元素：AVA_VAN.1.1E評估者應(yīng)確認(rèn)所提供的信息滿足證據(jù)的內(nèi)容和形式的所有要求。AVA_VAN.1.2E評估者應(yīng)執(zhí)行公共領(lǐng)域的調(diào)查以標(biāo)識TOE的潛在脆弱性。AVA_VAN.1.3E評估者應(yīng)基于已標(biāo)識的潛在的脆弱性實施穿透性測試，確認(rèn)TOE能抵抗具有基本攻擊潛力的攻擊者的攻擊?；驹戆踩康幕驹肀?描述了移動終端的安全目的能應(yīng)對所有可能的威脅、假設(shè)和組織安全策略。每一種威脅、組織安全策略和假設(shè)都至少有一個或一個以上安全目的與其對應(yīng)，因此是完備的。表4威脅與安全目的序號威脅或假設(shè)安全目的1配置（A.CONFIG）配置（OE.CONFIG）2通知（A.NOTIFY）通知（OE.NOTIFY）3預(yù)防措施（A.PRECAUTION）預(yù)防措施（OE.PRECAUTION）4網(wǎng)絡(luò)竊聽（T.EAVESDROP）通信保護(hù)（O.COMMS）移動終端配置（O.CONFIG）授權(quán)和鑒別（O.AUTH）5網(wǎng)絡(luò)攻擊（T.NETWORK）通信保護(hù)（O.COMMS）移動終端配置（O.CONFIG）授權(quán)和鑒別（O.AUTH）6物理訪問（T.PHYSICAL）存儲保護(hù)（O.STORAGE）授權(quán)和鑒別（O.AUTH）7惡意或有缺陷的應(yīng)用（T.FLAWAPP）通信保護(hù)（O.COMMS）移動終端配置（O.CONFIG）授權(quán)和鑒別（O.AUTH）移動終端的完整性（O.INTEGRITY）8持續(xù)訪問（T.PERSISTENT）移動終端的完整性（O.INTEGRITY）安全要求基本原理表5描述了針對每一個安全目的所對應(yīng)的安全功能要求或安全保障要求，以說明安全目的得到正確實施。表5安全要求原理表序號安全目的安全功能要求(SFRs)1通信保護(hù)（O.COMMS）為應(yīng)對網(wǎng)絡(luò)竊聽和網(wǎng)絡(luò)攻擊的威脅，利用密碼支持類(FCS類)、用戶數(shù)據(jù)保護(hù)類(FDP類)、標(biāo)示和鑒別類(FIA類)、TSF保護(hù)類(FPT類)、TOE訪問類(FTA類)和可信路徑/信道類(FTP類)相關(guān)組件建立可信的通信路徑，通過可信路徑在移動終端和遠(yuǎn)程網(wǎng)絡(luò)實體之間傳輸用戶數(shù)據(jù)和配置數(shù)據(jù)。FCS_CKM.1(*),FCS_CKM.2(*),FCS_CKM_EXT.7,FCS_COP.1(*),FCS_DTLS_EXT.1,FCS_HTTPS_EXT.1,FCS_RBG_EXT.1,FCS_SRV_EXT.1,FCS_TLSC_EXT.1,FCS_TLSC_EXT.2,FDP_BLT_EXT.1,FDP_IFC_EXT.1,FDP_STG_EXT.1,FDP_UPC_EXT.1,FIA_BLT_EXT.1,FIA_BLT_EXT.2,FIA_PAE_EXT.1,FIA_X509_EXT.1,FIA_X509_EXT.2,FIA_X509_EXT.3,FIA_X509_EXT.4,FPT_BLT_EXT.1,FTA_WSE_EXT.1,FTP_ITC_EXT.12存儲保護(hù)（O.STORAGE）移動終端利用利用密