GM-T 0039-2015 清晰版 密碼模塊安全檢測要求

ICS35.040L80備案號：49738—2015中華人民共和國密碼行業(yè)標準密碼模塊安全檢測要求國家密碼管理局發(fā)布ⅠGM／T0039—2015前言 2規(guī)范性引用文件 3術(shù)語和定義 4縮略語 5文檔結(jié)構(gòu) 5.2條款和安全要求 5.3引用條款說明 6安全檢測要求 6.2密碼模塊規(guī)格 6.3密碼模塊接口 6.8非入侵式安全 6.9敏感安全參數(shù)管理 6.11生命周期保障 6.12對其他攻擊的緩解 6.13A-文檔要求 6.14B-密碼模塊安全策略 6.15C-核準的安全功能 6.16D-核準的敏感安全參數(shù)生成和建立方法 6.17E-核準的鑒別機制 6.18F-非入侵式攻擊及常用的緩解方法 附錄A（資料性附錄）安全等級對應表 ⅢGM／T0039—2015本標準按照GB/T1.1—2009給出的規(guī)則起草。本標準使用重新起草法參考ISO/IEC24759:2014《信息技術(shù)安全技術(shù)密碼模塊檢測要求》編制，與ISO/IEC24759:2014的一致性程度為非等效。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔識別這些專利的責任。本標準由密碼行業(yè)標準化技術(shù)委員會提出并歸口。本標準的主要起草單位：北京握奇智能科技有限公司、飛天誠信科技股份有限公司、北京華大智寶電子系統(tǒng)有限公司、北京海泰方圓科技有限公司、國家密碼管理局商用密碼檢測中心、中國科學院數(shù)據(jù)與通信保護研究教育中心、北京創(chuàng)原天地科技有限公司、上海格爾軟件股份有限公司。1GM／T0039—2015密碼模塊安全檢測要求本標準依據(jù)GM/T0028—2014的要求，規(guī)定了密碼模塊的一系列檢測規(guī)程、檢測方法和對應的送檢文檔要求。本標準適用于密碼模塊的檢測。2規(guī)范性引用文件下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GM/T0028—2014密碼模塊安全技術(shù)要求GM/Z4001密碼術(shù)語3術(shù)語和定義GM/T0028—2014和GM/Z4001所界定的術(shù)語和定義適用于本文件。4縮略語下列縮略語適用于本文件。應用程序接口(密碼分組鏈接(關(guān)鍵安全參數(shù)(錯誤檢測碼(環(huán)境失效保護(環(huán)境失效測試(有限狀態(tài)模型(硬件描述語言(集成電路(個人身份識別碼(可編程只讀存儲器(公開安全參數(shù)(隨機存取存儲器(隨機比特生成器(只讀存儲器(敏感安全參數(shù)(2GM／T0039—20155文檔結(jié)構(gòu)本標準第6章詳細說明了一系列供檢測機構(gòu)使用的規(guī)程、方法以及對送檢單位提交給檢測機構(gòu)文檔的要求第章包括其中為通用要求對應于中的個安全域和附錄A~附錄F。5.2條款和安全要求在第6章的每條中，GM／T0028—2014中的相應安全要求被分成了一系列條款集，全部內(nèi)容直接引用GM／T0028—2014，用宋體加粗字體表示。各條款的格式為：AY＜要求編號條款序列編號＞1~12和A~F“條款序列編號”是條內(nèi)的序列標示符。在條款的編號后面，該條款所對應的安全等級列在圓括號內(nèi)。每個條款之后是對所需的送檢文檔的要求。這些要求描述了送檢單位的文檔類型或詳細材料，以便于檢測人員核實（文檔或材料）與給定條款的符合性。這些要求的格式如下：CY＜要求編號條款序列編號序列編號＞其中，“CY”表示對送檢單位提交文檔的要求，這里的“要求編號”和“條款序列編號”與對應安全要求中的“要求編號”和“條款序列編號”相同，“序列編號”是對送檢單位要求條款內(nèi)的序列標識符。所需的送檢文檔之后是對所需的檢測規(guī)程的要求。這些要求指導檢測人員在檢測密碼模塊的某個給定條款時，他／她應該如何執(zhí)行檢測。這些要求的格式如下：JY＜要求編號條款序列編號序列編號＞其中，“JY”表示對檢測規(guī)程和方法的要求，這里的“要求編號”和“條款序列編號”與對應安全要求中的“要求編號”和“條款序列編號”相同，“序列編號”是對檢測人員要求條款內(nèi)的序列標識符。5.3引用條款說明為了語句的連貫，本標準對直接引用GM／T0028—2014的某些條款，增加了補充語句，這些語句此外，本標準所需的送檢文檔的要求和所需的檢測規(guī)程的要求中采用的“應”與直接引用GM／T0028—6安全檢測要求注：本條聲明了以滿足第6章其他條的條款的通用要求。安全級別本條規(guī)定了符合本標準的密碼模塊應當滿足的安全要求。注：本條款不單獨進行檢測。3GM／T0039—2015安全級別密碼模塊應當按照各個域的要求進行測試。注1：檢測機構(gòu)可以以下面一個或多個方式對密碼模塊的安全性進行測試：a)檢測人員使用檢測機構(gòu)的設(shè)備進行測試。b)檢測人員使用送檢單位的設(shè)備進行測試。c)檢測人員監(jiān)督送檢單位使用送檢單位的設(shè)備進行測試。在此種情況下，檢測機構(gòu)需：1)解釋己方不能進行測試的理由；2)制定所需的測試計劃和測試任務；3)直接觀察測試的執(zhí)行情況。如果任一條款的測試不成功，則此條款不通過。注2：本條款不單獨進行檢測。安全級別密碼模塊應當在每個域中獨立地進行評級。注：本條款不單獨進行檢測。安全級別待審驗或評估的密碼模塊應當提供所有相關(guān)文檔，包括用戶和安裝手冊、設(shè)計說明、生命周期文檔等。注：本條款不單獨進行檢測。6.2密碼模塊規(guī)格6.2.1密碼模塊規(guī)格通用要求安全級別密碼模塊應當是硬件、軟件、固件，或其中組合的集合，該集合至少使用一個核準的密碼算法、安全功能或過程實現(xiàn)一項密碼服務，并且包含在明確的密碼邊界內(nèi)。注1：本條款不單獨進行檢測。注2:GM/T0028—2014的附錄C列出了核準的安全功能。安全級別｛密碼模塊規(guī)格｝文檔應當按照｛GM／T0028—2014附錄｝中規(guī)定的要求編寫。注：本條款作為AYA.01的一部分進行檢測。安全級別密碼模塊應當定義為下列一種模塊類型：—硬件模塊；—軟件模塊；—固件模塊；—混合軟件模塊；—混合固件模塊。所需的送檢文檔CY02.03.01：送檢單位的文檔中應描述密碼模塊類型，并解釋選擇這一類型的依據(jù)。CY02.03.02：送檢單位應提供密碼模塊的規(guī)格，以標識所有密碼模塊的硬件、軟件和／或固件部件。所需的檢測規(guī)程檢測人員應核實送檢單位的文檔中標識了AY02.03中定義的一種模塊類型。檢測人員應通過審查送檢單位提供的規(guī)格文檔，并識別所有硬件、軟件和／或固件部件，核實該密碼模塊與AY02.03中定義的密碼模塊類型一致。4GM／T0039—2015安全級別定的非入侵式安全要求應當適用。注：本條款不單獨進行檢測。安全級別對于混合模塊，軟件和固件部件應當滿足｛GM／T0028—2014}7.5中規(guī)定的軟件／固件安全和｛GM／T0028—2014}7.6中規(guī)定的運行環(huán)境中的所有適用要求。注：本條款不單獨進行檢測。安全級別｛對于混合模塊硬件部件應當滿足｛GM／T0028—2014}7.7中規(guī)定的物理安全和｛GM／T0028—2014}7.8中規(guī)定的非入侵式安全中的所有適用要求。注：本條款不單獨進行檢測。安全級別密碼邊界應當由定義明確的邊線（例如：硬件、軟件或固件部件的集合）組成，該邊線建立了密碼模塊所有部件的邊界。所需的送檢文檔CY02.07.01：送檢單位的文檔中應詳細說明密碼邊界內(nèi)的所有部件。所需的檢測規(guī)程檢測人員應通過文檔審查和模塊檢查核實所有部件在密碼邊界內(nèi)。檢測人員應通過文檔審查和模塊檢查核實沒有未標識的部件在密碼邊界內(nèi)。安全級別標準｛GM／T0028—2014}的要求應當適用于模塊密碼邊界內(nèi)的所有算法、安全功能、過程和部件。注：本條款不單獨進行檢測。安全級別｛GM／T0028—2014}范圍內(nèi)與安全相關(guān)的）。所需的送檢文檔CY02.09.01：送檢單位應提供密碼邊界內(nèi)所有與安全相關(guān)的算法、安全功能、過程和部件的清單，安全功能包括但不限于：—分組密碼；—流密碼；—非對稱密碼算法和技術(shù)；—消息鑒別碼；—雜湊函數(shù)；—實體鑒別；—密鑰管理；—隨機比特生成器。所需的檢測規(guī)程檢測人員應核實送檢單位的文檔中明確標識和列出密碼邊界內(nèi)所有與安全相關(guān)的算法、安全功能、過程和部件。5GM／T0039—2015安全級別用于核準的工作模式的非安全相關(guān)的算法、安全功能、過程和部件的實現(xiàn)應當不干擾或破壞密碼模塊核準的工作模式的運行。所需的送檢文檔CY02.10.01：送檢單位的文檔中應列出用于核準的工作模式的非安全相關(guān)的算法、安全功能、過程和部件，并且證明它們不干擾或破壞密碼模塊核準的工作模式的運行。所需的檢測規(guī)程檢測人員應通過文檔審查和模塊檢查核實非安全相關(guān)的算法、安全功能、過程和部件的實現(xiàn)不干擾或破壞密碼模塊核準的工作模式的運行。檢測人員應核實送檢單位提供的不干擾或破壞的任何理由的正確性。舉證責任在送檢單位，如果有任何不確定性或模糊性，檢測人員應要求送檢單位出示所需的進一步信息。安全級別密碼模塊的名稱應當代表密碼邊界內(nèi)的部件構(gòu)成，不應代表大于原有范圍的構(gòu)成或產(chǎn)品。所需的送檢文檔CY02.11.01：送檢單位的文檔中應提供密碼模塊的名稱。所需的檢測規(guī)程檢測人員應核實送檢單位提供的密碼模塊的名稱與密碼邊界內(nèi)的部件構(gòu)成一致。檢測人員應核實密碼模塊的名稱并未代表與密碼邊界內(nèi)的部件構(gòu)成不一致的部件或功能構(gòu)成。安全級別密碼模塊應當至少具有代表每個互不相同的硬件、軟件和／或固件部件的特定版本信息。所需的送檢文檔CY02.12.01：送檢單位應提供密碼模塊每個互不相同的硬件、軟件和／或固件部件的特定版本信息。所需的檢測規(guī)程檢測人員應核實送檢單位為密碼模塊的每個互不相同的硬件、軟件和／或固件部件提供了特定版本信息。安全級別｛密碼邊界內(nèi)的某些硬件、軟件和／或固件部件可以從標準｛GM／T0028—2014}的要求中排除。｝被排除的硬件、軟件或固件部件的實現(xiàn)應當不干擾或破壞密碼模塊核準的安全功能的運行。注：本條款作為AY02.14的一部分進行檢測。安全級別｛密碼模塊規(guī)格的文檔中｝應當闡明被排除的硬件、軟件或固件部件。所需的送檢文檔CY02.14.01：所有被排除在GM/T0028—2014安全要求之外的硬件、軟件和／或固件部件都應在送檢單位的文檔中明確列出。CY02.14.02：送檢單位的文檔中應提供每個部件被排除的理由。送檢單位應表明即使發(fā)生故障或誤用，每個部件也不會干擾或破壞密碼模塊核準的安全功能的運行。所需的檢測規(guī)程檢測人員應核實送檢單位是否表明模塊的某些部件排除在GM/T0028—2014的安全要求之外。如果送檢單位已經(jīng)表明模塊的某些組件從GM/T0028—2014中排除，檢測人員應核實每個排除的理由均被提供。這些理由必須表明即使部件出現(xiàn)故障，也不會造成CSP、明文數(shù)據(jù)或其他一旦誤用就可能導致危險的信息的泄露。如有以下證據(jù)的支持，這些理由將被視為可接受的：6GM／T0039—2015—該組件不處理CSP、明文數(shù)據(jù)或其他一旦被誤用就可能導致危險的信息；—該部件不與模塊中允許以不恰當方式傳遞CSP、明文數(shù)據(jù)或其他一旦被誤用就可能導致危險的信息的安全相關(guān)部件連接；—所有由部件處理的信息必須嚴格供模塊內(nèi)部使用，并不能以任何方式影響到與模塊連接的設(shè)備。檢測人員應核實送檢單位提供的所有排除理由的正確性。舉證責任在送檢單位；如存在任何不確定性或模糊性，檢測人員應要求送檢單位出示所需的進一步信息。安全級別硬件密碼模塊的密碼邊界應當劃界并確定：—在部件之間提供互聯(lián)的物理配線的物理結(jié)構(gòu)，包括電路板、基板或其他表面貼裝；—有效電器元件，如半集成、定制集成或通用集成的電路、處理器、內(nèi)存、電源、轉(zhuǎn)換器等；—封套、灌封或封裝材料、連接器和接口之類的物理結(jié)構(gòu)；—固件，可能包含操作系統(tǒng)；—上面未列出的其他部件類型。所需的送檢文檔CY02.15.01：送檢單位的文檔中應標識硬件密碼模塊的所有硬件部件，并提供部件清單。CY02.15.02：送檢單位的文檔中應標明模塊的內(nèi)部布局和安裝方式（例如固定件和安裝件包括近似比例的圖紙。CY02.15.03：送檢單位的文檔中應描述模塊的主要物理參數(shù)，包括對外殼、接入點、電路板、電源位置、電路接線、冷卻系統(tǒng)以及其他關(guān)鍵參數(shù)的說明。CY02.15.04：送檢單位的文檔應包括表示模塊邊界和其硬件部件相互關(guān)系的框圖。所需的檢測規(guī)程檢測人員應核實送檢單位的文檔中包括部件清單，該部件清單包括密碼模塊的所有硬件部件。檢測人員應識別密碼模塊的所有硬件部件，并核實部件清單包括以下所有出現(xiàn)類型的部件，但不包括未在模塊中使用的部件類型：—處理器，包括微處理器、數(shù)字信號處理器、定制處理器、微控制器、或任何其他類型的處理器；—存儲程序的可執(zhí)行代碼和數(shù)據(jù)的ROM集成電路，這可能包括掩膜編程ROM、可編程ROM如紫外線可擦除電可擦除或存儲器；—隨機訪問存儲器(RAM)或其他用于臨時數(shù)據(jù)存儲的集成電路；—半定制、專用集成電路，如門陣列、可編程邏輯陣列、現(xiàn)場可編程門陣列或其他可編程邏輯元件；—全定制、專用集成電路，包括任何自定義的密碼集成電路；—其他的有源電子電路元件（如果無源電路元件作為密碼模塊的一部分但不提供相關(guān)安全功能，送檢單位就不必將其列出，如上拉／下拉電阻或旁路電容這樣的元件—電源部件，包括電源、電壓轉(zhuǎn)換模塊（例如，交流—直流或直流—直流模塊）、變壓器、輸入電源連接器和輸出電源連接器；—電路板或其他表面貼裝；—外殼，包括任何門或封蓋；—加密模塊外部設(shè)備或任何主要的獨立子模塊之間的物理連接器；—軟件和／或固件部件；7GM／T0039—2015—其他上面未列出的部件類型。檢測人員應核實部件清單和其他條款提供的資料一致，其定義如下：—AY02.07中要求的密碼模塊的邊界規(guī)格。核實所有在密碼邊界內(nèi)的部件已包含在部件清單內(nèi)，所有密碼模塊邊界外的部件沒有被列為密碼模塊部件；—GM/T0028—2014附錄AYA.01要求的框圖規(guī)格。核實框圖中的所有個體部件（如微處理器，存儲器）也在部件清單中都有列出；—AY02.14條款規(guī)定被從GM/T0028—2014安全要求排除的部件。核實這些部件仍然在部件清單中列出。檢測人員應核實密碼邊界是物理連續(xù)的，以保證沒有任何漏洞可以讓非受控的輸入、輸出或其他接口進入密碼模塊。（物理和拆卸保護的要求在GM/T0028—2014中的7.7有說明。）模塊設(shè)計還必須確保密碼模塊沒有不受控的輸入輸出接口，這些接口可能泄露CSP、明文數(shù)據(jù)或其他一旦被誤用就可能導致破壞的信息。檢測人員應核實密碼邊界包括了在AYA.01要求的框圖中標識的所有輸入、輸出或CSP處理、明文或其他一旦被誤用就可能導致破壞的信息部件。GM/T0028—2014的要求中排除某些特定部件。送檢單位可以與處理排除在密碼邊界之外的部件一樣有效的處理上述部件。這種情況下，檢測人員應核實被排除部件和其他模塊之間的所有接口或物理連接，不允許不受控的泄露CSP、明文數(shù)據(jù)，或其他一旦被誤用就可能導致破壞的信息。檢測人員應核實送檢單位的文檔中包含近似比例的圖紙，其中展示了模塊的內(nèi)部布局，包括主要可識別部件的位置和大致尺寸。檢測人員應核實送檢單位的文檔中顯示了模塊的主要物理部件以及它們是如何安裝或插入到模塊中的。檢測人員應核實送檢單位的文檔中描述了模塊的主要物理參數(shù)。這至少包括以下—外殼的形狀和大致尺寸，包括所有的門或封蓋；—電路板大致尺寸，布局和內(nèi)部連接；—電源，電源轉(zhuǎn)換器和電源輸入及輸出的位置；—電路接線：通路和端子；—冷卻系統(tǒng)，如導板、冷卻氣流、換熱器、散熱片、風扇或其他散熱安排；—其他上面未列出的部件類型。檢測人員應核實送檢單位提供的框圖能夠表示模塊邊界和其硬件部件相互關(guān)系。安全級別軟件密碼模塊的密碼邊界應當劃界并確定：—構(gòu)成密碼模塊的可執(zhí)行文件或文件集；—保存在內(nèi)存中并由一個或多個處理器執(zhí)行的密碼模塊的實例。所需的送檢文檔CY02.16.01：送檢單位的文檔中應標識軟件密碼模塊的所有軟件部件，并提供部件清單。CY02.16.02：送檢單位的文檔中應表明內(nèi)部軟件架構(gòu)，包括軟件部件是如何交互的。CY02.16.03：送檢單位的文檔中應說明密碼模塊所運行的軟件環(huán)境（例如操作系統(tǒng)，運行時庫等）。所需的檢測規(guī)程檢測人員應核實送檢單位的文檔中包括部件清單，該部件清單包括密碼模塊的所有軟件部件。檢測人員應核實部件清單包括以下所有出現(xiàn)類型的部件，但不包括未在模塊中使用的8GM／T0039—2015部件類型：—構(gòu)成密碼模塊的可執(zhí)行文件或文件集；—保存在內(nèi)存中并由一個或多個處理器執(zhí)行的密碼模塊的實例。檢測人員應核實送檢單位的文檔描繪的軟件部件交互的內(nèi)部軟件架構(gòu)準確。還應核實模塊內(nèi)的重要信息流和在密碼模塊內(nèi)執(zhí)行的過程，以及所有輸入或輸出到密碼模塊邊界外的信息的清單。檢測人員應核實送檢單位的文檔中說明的密碼模塊所運行的軟件環(huán)境（例如，操作系安全級別固件密碼模塊的密碼邊界應當劃界并確定：—構(gòu)成密碼模塊的可執(zhí)行文件或文件集；—保存在內(nèi)存中并由一個或多個處理器執(zhí)行的密碼模塊的實例。所需的送檢文檔CY02.17.01：送檢單位的文檔中應標識固件密碼模塊的所有固件部件，并提供部件清單。CY02.17.02：送檢單位的文檔中應表明內(nèi)部固件架構(gòu)，包括固件部件是如何交互的。CY02.17.03：送檢單位的文檔中應說明密碼模塊所運行的固件環(huán)境（例如，操作系統(tǒng)，運行時庫等）。所需的檢測規(guī)程檢測人員應核實送檢單位的文檔中包括部件清單，該部件清單包括密碼模塊的所有固件部件。檢測人員應核實部件清單包括以下所有出現(xiàn)類型的部件，但不包括未在模塊中使用的部件類型：—構(gòu)成密碼模塊的可執(zhí)行文件或文件集；—保存在內(nèi)存中并由一個或多個處理器執(zhí)行的密碼模塊的實例。檢測人員應核實送檢單位的文檔描繪的固件部件交互的內(nèi)部軟件架構(gòu)準確。還應核實模塊內(nèi)的重要信息流和在密碼模塊內(nèi)執(zhí)行的過程，以及所有輸入或輸出到密碼模塊邊界外的信息的清單。檢測人員應核實送檢單位的文檔說明的密碼模塊所運行的固件環(huán)境。安全級別混合密碼模塊的密碼邊界應當：—由模塊硬件部件的邊界以及分離的軟件或固件部件的邊界構(gòu)成；—包含每個部件所有端口和接口的集合。所需的送檢文檔CY02.18.01：送檢單位的文檔中應標識密碼模塊的類型是混合軟件模塊還是混合固件模塊。的要求的要求所需的檢測規(guī)程檢測人員應核實送檢單位的文檔中標識了密碼模塊的類型是混合軟件模塊還是混合固件模塊。和的要求和的要求安全級別操作員應當能夠在核準的工作模式下操作模塊。9GM／T0039—2015所需的送檢文檔CY02.19.01：送檢單位的文檔中應說明密碼模塊核準的工作模式。CY02.19.02：送檢單位的文檔中應描述如何啟用核準的工作模式及方法。所需的檢測規(guī)程檢測人員應核實送檢單位的文檔包含了對核準的工作模式的描述。檢測人員應核實可以按照送檢單位的文檔中描述的方法啟用核準的工作模式。檢測人員應核實操作員可以在核準的工作模式下操作密碼模塊。安全級別核準的工作模式應當定義為一組服務的集合，其中至少有一個服務使用了核準的密碼算法、安全功能或過程。所需的送檢文檔CY02.20.01：送檢單位的文檔中應說明密碼模塊核準的工作模式所使用的核準的密碼算法、安全功能或過程以及那些規(guī)定于GM/T0028—2014的7.4.3中的服務。CY02.20.02：送檢單位應提供一份所有核準的密碼算法、安全功能或過程的驗證證書。所需的檢測規(guī)程檢測人員應核實文檔中所描述的核準的工作模式，至少有一個服務使用了核準的密碼算法、安全功能或過程以及那些規(guī)定于GM/T0028—2014的7.4.3中的服務或過程。檢測人員應核實送檢單位提供的核準的密碼算法、安全功能或過程的驗證證書。檢測人員應核實文檔中所描述的核準的工作模式，使用的安全功能符合GM/T0028—安全級別除非非核準的密碼算法或安全功能是核準的過程的一部分，而且與核準的過程的安全無關(guān)，否則非核準的密碼算法、安全功能和過程或其他未在｛GM／T0028—2014}中規(guī)定的服務不應當被操作員用于核準的工作模式中（例如，非核準的密碼算法或非核準的密鑰生成方式可能被用來混淆數(shù)據(jù)或但是結(jié)果被視為未受保護的明文，且只能提供非安全相關(guān)功能）。所需的送檢文檔CY02.21.01：送檢單位應提供一份所有非核準的密碼算法、安全功能和過程的清單。CY02.21.02：送檢單位的文檔中應說明核準的工作模式中未使用非核準的密碼算法、安全功能和過程或其他未規(guī)定于GM/T0028—2014的7.4.3中的服務。CY02.21.03：如果核準的工作模式中使用了非核準的密碼算法或安全功能，送檢單位需提供文檔中應說明非核準的密碼算法或安全功能是核準的過程的一部分，而且與核準的過程的安全無關(guān)，并且不干擾或破壞密碼模塊核準的工作模式的運行。CY02.21.04：送檢單位的文檔應解釋為什么使用的非核準的密碼算法、安全功能和過程與核準的過程操作非安全相關(guān)。所需的檢測規(guī)程檢測人員應核實送檢單位提供的所有非核準的密碼算法、安全功能和過程的清單。檢測人員應核實密碼模塊核準的工作模式中未使用非核準的密碼算法、安全功能和過程或其他未規(guī)定于GM/T0028—2014的7.4.3中的服務。如果核準的工作模式中使用了非核準的密碼算法或安全功能，檢測人員應核實非核準的密碼算法或安全功能與核準的過程的安全無關(guān)、并且不干擾或破壞密碼模塊核準的工作模式的運行。檢測人員應核實送檢單位文檔中上述解釋的有效性。舉證責任在送檢單位；如存在任何不確定性或模糊性，檢測人員應要求送檢單位出示所需的進一步信息。GM／T0039—2015安全級別核準的和非核準的服務和工作模式的應當相互分離。所需的送檢文檔CY02.22.01：送檢單位的文檔應提供完整的模塊CSP清單，并說明它們在核準的和非核準的服務及工作模式中的作用。CY02.22.02：送檢單位的文檔中應描述核準的和非核準的服務和工作模式的操作方式，并說明CSP是如何分離的。所需的檢測規(guī)程檢測人員應核實送檢單位的文檔說明了各個CSP在核準的和非核準的工作模式中的作用。檢測人員應核實核準的和非核準的服務和工作模式的CSP相互分離。安全級別模塊的安全策略應當為模塊所包括的每個工作模式（核準的和非核準的）定義完整的服務集合。所需的送檢文檔CY02.23.01：送檢單位的安全策略文檔中應為模塊所包括的每個工作模式（核準的和非核準的）定義完整的服務集合。所需的檢測規(guī)程檢測人員應核實安全策略文檔為每個工作模式（核準的和非核準的）定義了服務集合，并核實服務集合完整和準確。安全級別當服務正在以核準的方式使用核準的密碼算法、安全功能或過程以及其他規(guī)定于｛GM／T0028—2014}中的服務或過程的時候，該服務應當給出相應的狀態(tài)指示。所需的送檢文檔CY02.24.01：送檢單位應給出當服務以核準的方式使用核準的密碼算法、安全功能或過程以及其他規(guī)定于GM/T0028—2014的7.4.3中的服務或過程時的狀態(tài)指示方式。所需的檢測規(guī)程檢測人員應核實狀態(tài)指示方式的合理性和有效性。6.3密碼模塊接口6.3.1密碼模塊接口通用要求安全級別所有進出密碼模塊的邏輯信息流，都應當只能通過已定義的物理端口和邏輯接口，這些端口和接口是出入模塊的密碼邊界的入口和出口。所需的送檢文檔CY03.01.01：送檢單位的文檔中應說明密碼模塊的每個物理端口和邏輯接口，包括：—物理端口和引腳分配；—物理封蓋，門或開口；—邏輯接口（如，API和所有其他的數(shù)據(jù)／控制／狀態(tài)信號）、信號名稱和功能；—用于物理控制輸入的手動控制（如，按鈕或開關(guān)—用于物理狀態(tài)輸出的物理狀態(tài)指示儀（如，指示燈或顯示器GM／T0039—2015—邏輯接口到物理端口、手動控制和模塊物理狀態(tài)顯示之間的映射；—上述端口和接口的物理的，邏輯的和電氣的特性。CY03.01.02：送檢單位文檔中應通過GM／T0028—2014附錄A.2.2和附錄B.2.2要求提供的框圖、設(shè)計規(guī)格、源代碼以及原理圖，說明密碼模塊的信息流和物理接入點。同時還需提供其他有助于明確說明信息流、物理接入點和物理端口、邏輯接口的關(guān)系的文檔。CY03.01.03：對于密碼模塊的每一個物理或邏輯的輸入，以及物理或邏輯的輸出，送檢單位的文檔中應明確邏輯接口所對應的物理輸入或輸出。所需的檢測規(guī)程檢測人員應核實送檢單位的文檔說明了密碼模塊的每個物理端口和邏輯接口。所需的說明應包括：—所有的物理輸入和輸出端口，包括它們引腳排列，模塊內(nèi)的物理位置，經(jīng)過每個端口的邏輯信號的總覽，以及兩個或多個信號共享同一個物理引腳時的信號流的時序；—所有的物理封蓋，門或開口，包括它們在模塊內(nèi)的物理位置，以及通過每個封蓋／門／開口可訪問和／或修改的部件或功能；—所有的邏輯輸入和輸出接口（例如，API和所有其他的數(shù)據(jù)／控制／狀態(tài)信號包括列寫或注釋的所有邏輯數(shù)據(jù)和控制輸入以及數(shù)據(jù)和狀態(tài)輸入的框圖，以及信號名稱和功能的清單和描述；—所有用于物理輸入控制信號的手動控制，如開關(guān)或按鈕，包括它們在密碼模塊內(nèi)的位置，以及可手動輸入的控制信號的描述和清單；—所有的物理狀態(tài)指示，包括它們在模塊內(nèi)的物理位置和物理輸出狀態(tài)指示信號的清單和描述；—邏輯輸入輸出接口到物理輸入輸出端口、手動控制以及密碼模塊物理狀態(tài)指示之間的映射；—上述物理端口和接口的物理，邏輯和電氣特性，包括引腳分配總覽，加載到每個端口的邏輯信檢測人員應通過檢查附錄和附錄要求提供的框圖設(shè)計規(guī)格、源代碼以及原理圖，以核實送檢單位的文檔說明了密碼模塊的所有信息流和物理接入點信息。文檔還應說明密碼模塊信息流和物理訪問點與密碼模塊邏輯接口和物理端口之間的關(guān)系。檢測人員應核實對于每個密碼模塊的物理或邏輯輸入，以及物理或邏輯輸出，送檢單位的文檔明確邏輯接口所對應的物理輸入或輸出。檢測人員應通過檢查密碼模塊，核實送檢單位文檔中的說明與密碼模塊的實際設(shè)計一致。安全級別密碼模塊邏輯接口應當是相互分離的，這些邏輯接口可以共享一個物理端口（例如：輸入數(shù)據(jù)和輸出數(shù)據(jù)可以使用同一個端口或者邏輯接口也可以分布在一個或多個物理端口上（例如：輸入數(shù)據(jù)可以通過串口也可以通過并口）。所需的送檢文檔CY03.02.01：送檢單位的設(shè)計應根據(jù)AY03.04所列的類別將模塊的接口分成邏輯上不同和相互分離的類別，并且如果適用，AY03.12亦可作為依據(jù)。這些信息應符合AY03.01描述的邏輯接口和物理端口的規(guī)格。CY03.02.02：送檢單位的文檔中應提供每類邏輯接口到密碼模塊的物理端口的之間的映射。邏輯接口可以在物理上分布在多個物理端口上，或兩個或多個邏輯接口可以共享一個物理端口。如果兩個或多個邏輯接口共享同一物理端口，送檢單位的文檔中應說明這些不同類別接口的信息流是如何在邏輯上相互分離的。所需的檢測規(guī)程檢測人員應通過分析送檢單位的文檔和檢查密碼模塊來核實，模塊的接口從邏輯上可GM／T0039—2015分成不同的和相互獨立的類別（如AY03.04和AY03.12所述）。所有這些信息應符合AY03.01規(guī)定的邏輯接口和物理端口設(shè)計規(guī)范和規(guī)格。檢測人員應核實送檢單位的文檔中提供了每個類別的密碼模塊的邏輯接口到物理端口的映射。邏輯接口可以在物理上分布在一個或多個物理端口，或者兩個或更多的邏輯接口可以共享一個物理端口。如果兩個或多個接口共享相同的物理端口，檢測人員應核查送檢單位的文檔中說明了輸入、輸出、控制和狀態(tài)接口上的信息流在邏輯上是如何相互分離的。安全級別｛密碼模塊接口｝文檔應當按照｛GM／T0028—2014}的要求編寫。所需的送檢文檔CY03.03.01：送檢單位的文檔中密碼模塊接口部分應按照GM/T0028—2014附錄A.2.3的要求編寫。所需的檢測規(guī)程檢測人員應核實文檔中密碼模塊接口部分符合附錄的要求。—硬件模塊接口（定義為用于請求硬件模塊服務的命令全集，請求服務的命令中包括輸入到密碼模塊或者由密碼模塊輸出的參數(shù)?！浖蚬碳K接口（定義為用于請求軟件或固件模塊服務的命令全集，請求服務的命令中包括輸入到密碼模塊或者由密碼模塊輸出的參數(shù)?！旌宪浖蚧旌瞎碳K接口（或定義為用于請求混合固件模塊服務的命令全集，請求服務的命令中包括輸入到密碼模塊或者由密碼模塊輸出的參數(shù)。注：本條沒有應檢測的條款。安全級別密碼模塊應當具備下列5種接口（“輸入”和“輸出”是相對于模塊而言的—數(shù)據(jù)輸入接口；—數(shù)據(jù)輸出接口；—控制輸入接口；—控制輸出接口；—狀態(tài)輸出接口。注：本條款不單獨進行檢測。安全級別由密碼模塊處理的所有輸入數(shù)據(jù)（通過“控制輸入”接口輸入的控制數(shù)據(jù)除外包括明文、密文、一和另個模塊的狀態(tài)信息，應當通過“數(shù)據(jù)輸入”接口輸入。一所需的送檢文檔CY03.05.01：密碼模塊應有數(shù)據(jù)輸入接口。所有輸入到模塊和由模塊處理的數(shù)據(jù)（除通過控制輸入接口輸入的控制數(shù)據(jù)）應通過數(shù)據(jù)輸入接口進入，包括：—明文數(shù)據(jù)；—密文或簽名數(shù)據(jù)；—加密密鑰和其他密鑰管理數(shù)據(jù)（明文或密文—認證數(shù)據(jù)（明文或加密的GM／T0039—2015—來自外部的狀態(tài)信息；—其他輸入數(shù)據(jù)。CY03.05.02：若適用，送檢單位的文檔中應說明所有與密碼模塊同時使用的外部輸入設(shè)備，此設(shè)備用于輸入數(shù)據(jù)到數(shù)據(jù)輸入接口，如智能卡、令牌、鍵盤、密鑰加載器和／或生物識別設(shè)備。所需的檢測規(guī)程檢測人員應通過檢查，核實密碼模塊包括數(shù)據(jù)輸入接口，并且其功能如前所述。檢測人員應核實所有輸入到模塊和由密碼模塊處理的（除控制數(shù)據(jù)通過控制輸入接口進入外）數(shù)據(jù)經(jīng)數(shù)據(jù)輸入接口進入，包括：—待加密或簽名的明文數(shù)據(jù)；—用于由模塊解密或驗證的密文及簽名數(shù)據(jù)；—輸入到模塊或由模塊使用的明文或加密密鑰以及其他密鑰管理，包括數(shù)據(jù)和向量初始化，分片密鑰信息，和／或密鑰核算信息（其他密鑰管理要求包含在GM/T0028—2014的7.9中—輸入到密碼模塊的明文或加密認證數(shù)據(jù)，包括登錄口令，PIN,和／或生物識別設(shè)備；—自外部渠道的狀態(tài)信息（如，其他密碼模塊或設(shè)備—除AY03.08中涵蓋的控制信息外，任何其他輸入到密碼模塊中用于處理或存儲的信息。注：對于安全等級1和2,物理端口或用于CSP明文輸入的端口可能與密碼模塊的其他物理端口共享（安全等級34對應的要求分散在中檢測人員應核實送檢單位的文檔中是否說明了任何與密碼模塊一起使用并用于輸入數(shù)據(jù)到數(shù)據(jù)輸入接口的外部輸入設(shè)備，如智能卡、令牌、鍵盤、密鑰加載器和或生物識別設(shè)備。檢測人員應使用外部輸入設(shè)備輸入數(shù)據(jù)到數(shù)據(jù)輸入接口，并使用該外部輸入設(shè)備核實該輸入數(shù)據(jù)。安全級別除“狀態(tài)輸出”接口輸出的狀態(tài)數(shù)據(jù)以及通過“控制輸出”接口輸出的控制數(shù)據(jù)之外，所有從密碼模塊輸出的輸出數(shù)據(jù)，包括明文、密文和ssp等，應當通過“數(shù)據(jù)所需的送檢文檔CY03.06.01：密碼模塊應具有數(shù)據(jù)輸出接口。所有已被處理以及由密碼模塊輸出的數(shù)據(jù)（除通過狀態(tài)輸出接口輸出的狀態(tài)字外包括：—明文數(shù)據(jù)；—密文數(shù)據(jù)和數(shù)字簽名；—加密密鑰和其他密鑰管理數(shù)據(jù)（明文或加密的—對外部目標的控制信息；—經(jīng)過處理或存儲后從密碼模塊輸出的其他信息。注：對于安全等級1和2,物理端口和用于明文加密密鑰和其他明文CSP輸出的端口可能與密碼模塊的其他物理端口共享。（安全等級3和4對應的要求分散在AY03.16~AY03.22中）。CY03.06.02：若適用，送檢單位的文檔中應說明所有和密碼模塊同時使用并用于從數(shù)據(jù)輸出接口輸出數(shù)據(jù)的外部輸出設(shè)備，如智能卡、令牌、顯示器、和／或其他存儲設(shè)備。所需的檢測規(guī)程檢測人員應通過檢查，核實密碼模塊具有如前所述的數(shù)據(jù)輸出接口和數(shù)據(jù)輸出接口功能。檢測人員應核實所有被密碼模塊處理的和由模塊輸出的數(shù)據(jù)（除通過狀態(tài)數(shù)據(jù)輸出接口輸出的狀態(tài)數(shù)據(jù)外包括：—已由密碼模塊解密的明文數(shù)據(jù)；—已加密的密文數(shù)據(jù)，和由密碼模塊生成的數(shù)字簽名；—在內(nèi)部產(chǎn)生并由模塊輸出的明文或加密密鑰以及其他密鑰管理數(shù)據(jù)，包括初始化數(shù)據(jù)和向量，分片密鑰信息，和／或密鑰統(tǒng)計信息（其他的密鑰管理要求在GM/T0028—2014的7.9中GM／T0039—2015—密碼模塊輸出外部目標的控制信息（如，另一個密碼模塊或設(shè)備—其他由密碼模塊處理或存儲后輸出的信息，AY03.11中說明的狀態(tài)信息例外。注：對于安全等級1和2,物理端口和用于輸出明文CSP的端口可能與其他密碼模塊的物理端口共享。對于安全等級3和4,檢測人員應分別檢測AY03.18和AY03.19小節(jié)中的相應要求。檢測人員應核實送檢文檔是否說明了任何與密碼模塊同時使用并用于從數(shù)據(jù)輸出接口輸出數(shù)據(jù)的外部輸出設(shè)備，如智能卡、令牌、顯示器和／或其他存儲設(shè)備。檢測人員應使用外部輸出設(shè)備從外部輸出接口輸出數(shù)據(jù)，并使用該外部輸出設(shè)備核實該輸出數(shù)據(jù)。安全級別在執(zhí)行手動輸入、運行前自測試、軟件／固件加載和置零的過程中，或者當密碼模塊處在錯誤狀態(tài)時，應當禁止通過“數(shù)據(jù)輸出”接口輸出數(shù)據(jù)。所需的送檢文檔CY03.07.01：送檢單位的文檔中應說明密碼模塊如何確保模塊處在錯誤狀態(tài)時，數(shù)據(jù)輸出接口禁止輸出所有數(shù)據(jù)（錯誤狀態(tài)在GM/T0028—2014的7.11.4中說明）。只要不含CSP,明文數(shù)據(jù)或其他濫用可能造成安全威脅的信息，狀態(tài)信息可從狀態(tài)輸出接口輸出以確定錯誤的類型。CY03.07.02：送檢單位的文檔中應說明密碼模塊的設(shè)計如何能確保模塊在自測試時，數(shù)據(jù)輸出接口禁止輸出所有數(shù)據(jù)（自測試在GM/T0028—2014的7.10中說明）。只要不含CSP,明文數(shù)據(jù)或其他濫用可能造成安全威脅的信息，顯示自測試的狀態(tài)信息可從狀態(tài)輸出接口輸出以確定錯誤類型。所需的檢測規(guī)程檢測人員應核實送檢單位的文檔說明了在錯誤狀態(tài)時，數(shù)據(jù)輸出接口禁止輸出所有數(shù)據(jù)。檢測人員應通過送檢單位的文檔核實一旦探測到錯誤條件并進入錯誤狀態(tài)，數(shù)據(jù)輸出接口應禁止輸出所有數(shù)據(jù)，直到從錯誤中恢復過來。只要檢測人員核實不含CSP,明文數(shù)據(jù)或其他濫用可能造成安全威脅的信息，用來確定錯誤的類型的狀態(tài)信息可允許從狀態(tài)輸出接口輸出。檢測人員應使密碼模塊進入每個指定的錯誤狀態(tài)，并驗證此時數(shù)據(jù)輸出接口禁止輸出所有數(shù)據(jù)。如果狀態(tài)信息是從狀態(tài)輸出接口輸出以確定錯誤類型，檢測人員應驗證這些輸出信息為非敏感信息。下面的操作可使密碼模塊進入錯誤狀態(tài)，即：打開防篡改封蓋或門，輸入非正確格式的命令、密鑰或參數(shù)，降低輸入電壓和／或其他任何引起錯誤的操作。如果檢測人員不能使模塊產(chǎn)生錯誤，送檢單位應對檢測人員提供該檢測不能進行的合理解釋。檢測人員應核實送檢單位的文檔說明了密碼模塊處于自測試模式時，數(shù)據(jù)輸出接口禁止輸出所有數(shù)據(jù)。檢測人員應通過送檢單位的文檔核實模塊一旦執(zhí)行自測試，數(shù)據(jù)輸出接口禁止輸出所有數(shù)據(jù)，直至自測試結(jié)束。只要檢測人員核實不含CSP,明文數(shù)據(jù)或其他濫用可能造成安全威脅的信息，用來顯示自測試結(jié)果的狀態(tài)信息可允許從狀態(tài)輸出接口輸出。檢測人員應使模塊執(zhí)行自測試并核實數(shù)據(jù)輸出接口禁止所有數(shù)據(jù)的輸出。如果狀態(tài)信息從狀態(tài)輸出接口輸出用以顯示自測試結(jié)果，檢測人員應核實其不含CSP,明文數(shù)據(jù)或其他濫用可能造成安全威脅的信息。如果檢測人員不能使模塊產(chǎn)生錯誤，送檢單位應對檢測人員提供該檢測不能進行的合理解釋。檢測人員應核實送檢單位的文檔說明了密碼模塊如何確保在自測試或錯誤模式下數(shù)據(jù)輸出接口禁止輸出所有數(shù)據(jù)。檢測人員還應通過檢查，核實密碼模塊的設(shè)計，即數(shù)據(jù)輸出接口無論是在邏輯上還是物理上在上述情況下是禁用的。安全級別所有用于控制密碼模塊操作的輸入命令、信號（例如，時鐘輸入）及控制數(shù)據(jù)（包括手動控制如開關(guān)、按鈕和鍵盤，以及功能調(diào)用）應當通過“控制輸入”接口輸入。所需的送檢文檔CY03.08.01：密碼模塊應具有控制輸入接口。用于控制密碼模塊操作的所有命令，信號和控制數(shù)GM／T0039—2015據(jù)（除經(jīng)數(shù)據(jù)輸入接口輸入的數(shù)據(jù)）須經(jīng)控制輸入接口進入，包括：—命令輸入，邏輯上通過API輸入（如，軟件和密碼模塊的固件—信號輸入，邏輯或物理上通過一個或多個的物理端口（如，密碼模塊的硬件部件—手動控制輸入（如，使用開關(guān)、按鈕或鍵盤—其他輸入控制數(shù)據(jù)。CY03.08.02：若適用，送檢單位的文檔中應說明所有與密碼模塊一起使用并用于向控制輸入接口輸入命令，信號和控制數(shù)據(jù)的外部輸入設(shè)備，如智能卡、令牌或鍵盤。所需的檢測規(guī)程檢測人員應通過檢查，核實密碼模塊包括了控制輸入接口，并且控制輸入接口如前所述。檢測人員應檢查用于控制密碼模塊操作的所有命令，信號，和控制數(shù)據(jù)（除通過數(shù)據(jù)輸入接口輸入的數(shù)據(jù)）都應通過控制輸入接口輸入，包括：—命令輸入，邏輯上通過API輸入，如調(diào)用軟件庫或智能卡的函數(shù)；—信號輸入，邏輯或物理上通過一個或多個物理端口輸入的信號，如通過串行端口或PC卡下發(fā)的命令或信號；—手動控制輸入（如，使用開關(guān)、按鈕或鍵盤—其他輸入控制數(shù)據(jù)。檢測人員應核實送檢單位的文檔中是否說明了用于向控制輸入接口輸入命令，信號和控制數(shù)據(jù)的所有外部輸入設(shè)備，如智能卡、令牌或鍵盤。檢測人員應使用外部輸入設(shè)備輸入命令到控制輸入接口，并使用該外部輸入設(shè)備核實該輸入命令。安全級別所有用于控制密碼模塊運行的輸出命令、信號及控制數(shù)據(jù)（例如，對另一個模塊的控制命令）應當通所需的送檢文檔CY03.09.01：密碼模塊應具有控制輸出接口。用于控制密碼模塊操作的輸出命令，信號和控制數(shù)據(jù)須經(jīng)控制輸出接口輸出。CY03.09.02：若適用，送檢單位的文檔中應說明所有和密碼模塊同時使用并用于從控制輸出接口輸出控制數(shù)據(jù)的外部設(shè)備，如智能卡、令牌、顯示器和／或其他存儲設(shè)備。所需的檢測規(guī)程檢測人員應核實用于控制密碼模塊操作的輸出命令，信號和控制數(shù)據(jù)經(jīng)控制輸出接口輸出。檢測人員應核實送檢單位的文檔中是否說明了任何與密碼模塊同時使用并用于從控制輸出接口輸出控制數(shù)據(jù)的外部設(shè)備，如智能卡，令牌，顯示器和／或其他存儲設(shè)備。安全級別當密碼模塊處于錯誤狀態(tài)時，應當禁止通過“控制輸出”接口的控制輸出，除非在安全策略中規(guī)定了一些例外情況。所需的送檢文檔CY03.10.01：送檢單位的文檔中應說明密碼模塊處于錯誤狀態(tài)時，采用什么策略來禁止密碼模塊通過“控制輸出”接口來輸出。CY03.10.02：送檢單位文檔應詳細描述當密碼模塊處于自檢狀態(tài)時，密碼模塊的設(shè)計是如何保證控制輸出接口禁止控制輸出。所需的檢測規(guī)程檢測人員應核實當密碼模塊處于錯誤狀態(tài)時，禁止通過“控制輸出”接口輸出。檢測人員應核實當密碼模塊處于自檢狀態(tài)時，禁止通過“控制輸出”接口輸出。GM／T0039—2015安全級別所有用于指示密碼模塊狀態(tài)的輸出信號、指示器（例如，錯誤指示器）和狀態(tài)數(shù)據(jù)［包括返回碼和物理指示器，比如視覺的（顯示器，指示燈聲音的（蜂鳴器，提示音，響鈴以及機械的（振動器應當通所需的送檢文檔CY03.11.01：密碼模塊應具有狀態(tài)輸出接口。所有用于顯示或指示模塊狀態(tài)的狀態(tài)信息，信號，邏輯指示以及物理指示儀應通過狀態(tài)輸出接口輸出，包括：—狀態(tài)信息輸出，邏輯上通過API輸出；—信號輸出，邏輯或物理上通過一個或多個物理端口輸入的信號，如通過串行端口或PC卡下發(fā)的命令或信號；—其他輸出狀態(tài)信息。CY03.11.02：若適用，送檢單位的文檔中應說明所有的外部輸出設(shè)備，該類設(shè)備用于通過狀態(tài)輸出接口輸出狀態(tài)信息，信號，邏輯指示和物理指示，如智能卡、令牌、顯示器和／或其他存儲設(shè)備。所需的檢測規(guī)程檢測人員應通過檢查，核實密碼模塊包括了狀態(tài)輸出接口，且狀態(tài)輸出接口功能如前所述。檢測人員應檢查所有用于指示或顯示模塊狀態(tài)的狀態(tài)信息，信號，邏輯指示，和物理指示儀應通過狀態(tài)輸出接口輸出，包括：—狀態(tài)信息輸出，邏輯上通過API輸出，如調(diào)用軟件庫或智能卡的函數(shù)；—信號輸出，邏輯或物理上通過一個或多個物理端口輸入的信號，如通過串行端口或PC卡下發(fā)的狀態(tài)信息；—手動狀態(tài)輸出（如，使用LED、蜂鳴器或顯示器—其他輸出狀態(tài)信息。檢測人員應核實送檢單位的文檔中說明了所有的外部輸出設(shè)備（若適用該類設(shè)備用于通過狀態(tài)輸出接口輸出狀態(tài)信息，信號，邏輯指示和物理指示，如智能卡、令牌、顯示器和／或其他存儲設(shè)備。安全級別除軟件密碼模塊以外，所有模塊還應當具備下列接口。注：本條款不單獨進行檢測。安全級別電源接口：輸入密碼模塊的所有外部電能應當通過電源接口輸入。注：當所有電能由密碼模塊內(nèi)部提供或維持時，則電源接口是不需要的，內(nèi)部電池的替換被認為是物理維護行為，應符合GM/T0028—2014中的7.7中指定的要求。所需的送檢文檔CY03.13.01：如果密碼模塊需要向密碼邊界外的其他元件提供電能，或從密碼邊界外的其他元件獲取電能（例如，電源或外部電池送檢文檔中應指定電源接口及相關(guān)的物理端口。CY03.13.02：所有從密碼邊界外的其他元件輸入到密碼模塊或從密碼模塊輸出到密碼邊界外的其他元件的電能應通過指定電源接口。所需的檢測規(guī)程檢測人員應核實送檢單位的文檔中說明密碼模塊是否需要從密碼邊界外的其他元件獲取電能，或者是否向密碼邊界外的其他元件提供電能（例如，電源、電源線、電源插口／插座，或外部電池）。檢測人員還應核實送檢單位的文檔中指定的電源接口和相應的物理端口。通過檢查密碼模塊，檢測人員應核實從密碼模塊輸入或輸出到密碼邊界外的其他元件GM／T0039—2015的電能通過指定的電源接口。安全級別密碼模塊應當區(qū)分數(shù)據(jù)、控制信息和電源輸入，以及數(shù)據(jù)、控制信息和狀態(tài)信息輸出。所需的送檢文檔CY03.14.01：送檢單位的文檔中應說明密碼模塊是如何區(qū)分數(shù)據(jù)、控制信息和電源輸入，以及數(shù)據(jù)、控制信息和狀態(tài)信息輸出。通過密碼模塊輸入接口輸入數(shù)據(jù)和控制信息的物理和邏輯路徑，在物理上和邏輯上是如何與通過密碼模塊輸出接口輸出數(shù)據(jù)、控制信息和狀態(tài)信息的物理和邏輯路徑區(qū)分開來的。CY03.14.02：送檢單位的文檔中應說明用于輸入數(shù)據(jù)和控制信息的物理邏輯路徑如何在物理上和邏輯上與用于輸出數(shù)據(jù)、控制信息和狀態(tài)信息的物理邏輯路徑區(qū)分開來。如果用于輸入數(shù)據(jù)和控制信息的物理邏輯路徑與用于輸出數(shù)據(jù)、控制信息和狀態(tài)信息的物理邏輯路徑是物理共享的，送檢單位的文檔中應說明密碼模塊是如何強制實現(xiàn)邏輯分離。CY03.14.03：送檢單位文檔應具有一致性，應說明密碼模塊區(qū)分數(shù)據(jù)、輸入控制和數(shù)據(jù)控制、輸出控制和輸出狀態(tài)，應說明通過密碼模塊可用的輸入接口輸入數(shù)據(jù)和狀態(tài)信息的物理和邏輯路徑，在物理上和邏輯上與通過密碼模塊可用的輸出接口輸出數(shù)據(jù)和狀態(tài)信息的物理和邏輯路徑是相分離的。所需的檢測規(guī)程檢測人員應核實送檢單位的文檔中說明了密碼模塊如何區(qū)分輸入數(shù)據(jù)、控制數(shù)據(jù)以及輸出數(shù)據(jù)、輸出狀態(tài)。數(shù)據(jù)輸入接口輸入數(shù)據(jù)，控制輸入接口輸入控制信息，這些數(shù)據(jù)應在邏輯上或物理上與輸出數(shù)據(jù)接口的輸出數(shù)據(jù)和狀態(tài)輸出接口的狀態(tài)信息區(qū)分開。檢測人員應核實送檢單位的文檔中說明了輸入數(shù)據(jù)和控制信息的物理邏輯路徑如何與輸出數(shù)據(jù)和狀態(tài)信息的物理邏輯路徑如何在物理上和邏輯上分開。如果用于輸入數(shù)據(jù)和控制信息的物理邏輯路徑與用于輸出數(shù)據(jù)和狀態(tài)信息的物理邏輯路徑是物理共享的，檢測人員應核實送檢單位的文檔說明了密碼模塊是如何強制實現(xiàn)邏輯分離的。檢測人員應核實送檢單位文檔的一致性，核實密碼模塊區(qū)分數(shù)據(jù)、輸入控制和數(shù)據(jù)控制、輸出控制和輸出狀態(tài)，以及通過可用的輸入接口輸入數(shù)據(jù)和狀態(tài)信息的物理和邏輯路徑，與通過可用的輸出接口輸出數(shù)據(jù)和狀態(tài)信息的物理和邏輯路徑在物理上和邏輯上是相分離的。安全級別密碼模塊規(guī)格應當明確規(guī)定輸入數(shù)據(jù)以及控制信息的格式，包括對所有可變長度輸入的長度限制。所需的送檢文檔CY03.15.01：送檢單位的文檔中密碼模塊規(guī)格部分應明確規(guī)定密碼模塊輸入數(shù)據(jù)以及控制信息的格式，包括對所有可變長度輸入的限制。所需的檢測規(guī)程檢測人員應核實文檔中密碼模塊規(guī)格部分明確規(guī)定了密碼模塊輸入數(shù)據(jù)以及控制信息的格式，包括對所有可變長度輸入的長度限制。安全級別密碼模塊應當實現(xiàn)可信信道，用于在密碼模塊與發(fā)送者或接收者終端之間傳輸未受保護的明文密鑰分量以及鑒別數(shù)據(jù)。所需的送檢文檔CY03.16.01：送檢單位的文檔中應說明實現(xiàn)了可信信道，并描述可信信道的實現(xiàn)方式。所需的檢測規(guī)程檢測人員應核實密碼模塊實現(xiàn)了可信信道，并核實該可信信道可以保證在密碼模塊與GM／T0039—2015發(fā)送者或接收者終端之間傳輸未受保護的明文CSP、密鑰分量以及鑒別數(shù)據(jù)的安全性。安全級別可信信道應當防止在通信鏈路上的非授權(quán)修改、替換和泄露。所需的送檢文檔CY03.17.01：送檢單位的文檔中應說明可信信道可以防止在通信鏈路上的非授權(quán)修改、替換和泄露。所需的檢測規(guī)程檢測人員未授權(quán)修改可信信道上傳輸?shù)臄?shù)據(jù)，應該不被接受。檢測人員替換可信信道上傳輸?shù)臄?shù)據(jù)，應該不被接受。檢測人員應無法偵聽獲取到可信信道上傳輸?shù)臄?shù)據(jù)。安全級別可信信道使用的物理端口應當與其他物理端口實現(xiàn)物理隔離。所需的送檢文檔CY03.18.01：送檢單位的文檔中應說明可信信道所使用的物理端口，并描述其如何與其他物理端口實現(xiàn)物理隔離。所需的檢測規(guī)程檢測人員應核實文檔中說明了可信信道所使用的物理端口，并描述了如何與其他物理端口實現(xiàn)物理隔離。檢測人員應核實可信信道所采用的物理端口與其他物理接口物理上隔離。安全級別可信信道使用的邏輯接口應當與其他邏輯接口實現(xiàn)邏輯隔離。所需的送檢文檔CY03.19.01：送檢單位的文檔中應說明可信信道所使用的邏輯接口，并描述其如何與其他邏輯接口隔離。所需的檢測規(guī)程送檢單位的文檔中應說明可信信道所使用的邏輯端口，并描述其如何與其他邏輯端口實現(xiàn)邏輯隔離。檢測人員應核實可信信道所采用的邏輯接口與其他邏輯接口邏輯上隔離。安全級別基于身份的鑒別應當用于所有使用可信信道的服務。所需的送檢文檔CY03.20.01：送檢單位的文檔中應列舉所有使用可信信道的服務。CY03.20.02：送檢單位的文檔中應說明所有使用可信信道的服務采用了基于身份的鑒別，并描述實現(xiàn)方式。所需的檢測規(guī)程檢測人員應核實送檢單位的文檔中列舉了所有使用可信信道的服務。檢測人員應核實所有使用可信信道的服務采用了基于身份的鑒別，并核實實現(xiàn)方式的安全性。安全級別當可信信道在使用時，應當提供狀態(tài)指示器。所需的送檢文檔CY03.21.01：送檢單位的文檔中應說明使用可信信道的狀態(tài)指示器和狀態(tài)信息。GM／T0039—2015所需的檢測規(guī)程檢測人員應核實密碼模塊具有可信信道使用狀態(tài)指示器。檢測人員應核實可信信道在使用時，狀態(tài)指示器正確指示狀態(tài)。安全級別基于身份的多因素鑒別應當用于所有使用可信信道的服務。所需的送檢文檔CY03.22.01：送檢單位的文檔中應說明所有使用可信信道的服務采用了基于身份的多因素鑒別，并描述實現(xiàn)方式。所需的檢測規(guī)程檢測人員應核實所有使用可信信道的服務采用了基于身份的多因素鑒別，并核實實現(xiàn)方式的安全性。安全級別密碼模塊應當支持操作員的授權(quán)角色以及與每個角色相對應的服務。注：本條款不單獨進行檢測。安全級別如果密碼模塊支持多個操作員同時操作，那么模塊內(nèi)部應當確保各個操作員擔任的角色相隔離及相應的服務相隔離。所需的送檢文檔CY04.02.01：送檢單位的文檔中應說明是否支持多個操作員同時操作。CY04.02.02：如果密碼模塊支持多個操作員同時操作，送檢單位應描述怎樣實現(xiàn)每一個操作員擔任角色相隔離及相應服務相隔離的方法。CY04.02.03：送檢單位的文檔還應描述對多個操作員的限制（例如，不允許一個操作員既是維護員角色又是用戶角色）。所需的檢測規(guī)程檢測人員應核實送檢單位的文檔中如實描述密碼模塊實現(xiàn)的多個操作員角色與服務強制相隔離的方法。檢測人員應擔任兩個獨立操作員的身份：操作員1和操作員2。操作員應賦予不同的角色。檢測人員應核實，每個角色只執(zhí)行分配于其角色的服務。對于每一個操作員，檢測人員應測試其可否執(zhí)行其他操作員擔任角色的服務，以此來核實不同操作員角色與服務的分離。如果送檢單位的文檔給出關(guān)于多個操作員行為的限制條件，檢測人員應嘗試以獨立操作員身份并行地擔任受限角色，嘗試違反限制條件，以此核實模塊通過阻止第二操作員擔任角色，強制執(zhí)行這些約束。安全級別｛角色、服務和鑒別｝文檔應當按照｛GM／T0028—2014}附錄中規(guī)定的要求編寫。所需的送檢文檔CY04.03.01：送檢單位的文檔中角色、服務和鑒別部分應按照GM/T0028—2014附錄A.2.4中規(guī)定的要求編寫。所需的檢測規(guī)程檢測人員應核實文檔中角色、服務和鑒別部分按照GM/T0028—2014附錄A.2.4中GM／T0039—2015規(guī)定的要求編寫。安全級別密碼模塊應當至少支持密碼主管角色。所需的送檢文檔CY04.04.01：送檢單位的密碼模塊產(chǎn)品應包括至少一個密碼主管角色。所需的檢測規(guī)程檢測人員應核實送檢單位的文檔中定義了至少一個密碼主管角色。安全級別密碼主管角色應當負責執(zhí)行密碼初始化或管理功能，以及常用的安全服務，例如，模塊初始化、和PSP的管理以及審計功能。所需的送檢文檔CY04.05.01：送檢單位的文檔中應描述密碼主管角色的功能，包括：執(zhí)行密碼初始化或管理功能，以及常用的安全服務，例如，模塊初始化、CSP和PSP的管理以及審計功能。所需的檢測規(guī)程檢測人員應核實送檢單位的文檔中描述了密碼主管角色的功能。檢測人員應核實給出的密碼主管角色名和許可服務與AY04.05說明相符。注：擔任角色應按進行檢測。安全級別如果密碼模塊支持用戶角色，那么用戶角色應當負責執(zhí)行一般的安全服務，包括密碼操作和其他核準的安全功能。所需的送檢文檔CY04.06.01：如果密碼模塊支持用戶角色，送檢單位的文檔中應說明用戶角色負責執(zhí)行的安全服務。所需的檢測規(guī)程檢測人員應核實送檢單位的文檔中描述了用戶角色的功能。檢測人員應核實給出的用戶角色名和許可服務與AY04.06說明相符。注：擔任角色應按進行檢測。安全級別當進入或退出維護員角色時，所有不受保護的SSP應當被置零。所需的送檢文檔CY04.07.01：送檢單位的文檔中應說明當維護員角色登錄或退出時，模塊的SSP是怎樣動態(tài)清零的。所需的檢測規(guī)程如果送檢單位的文檔說明密碼模塊實現(xiàn)了維護員角色，檢測人員應核實送檢單位的文檔說明當進入或退出維護員角色時，清零所有未經(jīng)加密的SSP的方法。在非維護員角色狀態(tài)下，檢測人員應為所有未經(jīng)加密的SSP加載非零值。進入維護員角色后，檢測人員應核實清零已被執(zhí)行。在維護員角色狀態(tài)下，檢測人員應為所有未經(jīng)加密的SSP加載非零值，從維護員角色退出后，檢測人員應核實清零已被執(zhí)行。GM／T0039—2015安全級別服務應當指的是密碼模塊所能執(zhí)行的所有服務、操作或功能。注：本條款不單獨進行檢測。安全級別服務輸入應當包括密碼模塊在啟動或獲取特定服務、操作或功能時，所使用的所有數(shù)據(jù)或控制輸入。注：本條款不單獨進行檢測。安全級別服務輸出應當包括由服務輸入啟動或獲取的服務、操作或功能，所產(chǎn)生的所有數(shù)據(jù)和狀態(tài)輸出。注：本條款不單獨進行檢測。安全級別每個服務輸入應當產(chǎn)生一個服務輸出。注：本條款不單獨進行檢測。安全級別密碼模塊應當為操作員提供下列服務：—顯示模塊版本號；—顯示狀態(tài)；—執(zhí)行自測試；—執(zhí)行核準的安全功能；—執(zhí)行置零。本條款在安全級別密碼模塊應當輸出名稱或模塊標識符以及版本信息，這些信息可以與模塊的審驗記錄相關(guān)聯(lián)。所需的送檢文檔CY04.13.01：送檢單位的文檔中應說明密碼模塊具有輸出名稱或模塊標識符以及版本信息的服務，并描述具體操作步驟和方法。CY04.13.02：送檢單位的文檔中應說明密碼模塊輸出的名稱或模塊標識符以及版本信息的定義規(guī)則，并說明這些信息是否與模塊的審驗記錄相關(guān)聯(lián)。所需的檢測規(guī)程檢測人員應核實送檢單位的文檔中說明了密碼模塊具有輸出名稱或模塊標識符以及版本信息的功能服務，并描述了具體操作步驟和方法。檢測人員應核實密碼模塊輸出的名稱或模塊標識符以及版本信息的定義規(guī)則與文檔中定義的規(guī)則符合。如果密碼模塊輸出的名稱或模塊標識符以及版本信息與模塊的審驗記錄相關(guān)聯(lián)，檢測人員應核實。安全級別密碼模塊應當輸出當前的狀態(tài)。所需的送檢文檔CY04.14.01：送檢單位的文檔中應說明密碼模塊具有輸出當前狀態(tài)的服務。GM／T0039—2015所需的檢測規(guī)程檢測人員應核實送檢單位的文檔中說明了密碼模塊具有輸出當前狀態(tài)的服務。檢測人員應核實密碼模塊具有輸出當前狀態(tài)的服務。安全級別密碼模塊應當執(zhí)行初始化和規(guī)定于｛GM／T0028—2014}7.中的運行前自測試。所需的送檢文檔CY04.15.01：送檢單位的文檔中應說明密碼模塊具有初始化和運行前自測試服務。所需的檢測規(guī)程檢測人員應核實送檢單位的文檔中說明了密碼模塊具有初始化和運行前自測試服務。檢測人員應核實密碼模塊的初始化和運行前自測試服務。安全級別密碼模塊應當至少執(zhí)行一個在｛GM／T0028—2014}中規(guī)定的核準的工作模式中使用的核準的安全功能。所需的送檢文檔CY04.16.01：送檢單位的文檔中應說明密碼模塊核準的工作模式中使用的核準的安全功能。所需的檢測規(guī)程檢測人員應核實送檢單位的文檔中說明的密碼模塊核準的工作模式中使用的核準的安全功能。安全級別密碼應當按照｛GM／T0028—2014}中的規(guī)定執(zhí)行參數(shù)置零。所需的送檢文檔CY04.17.01：送檢單位的文檔中應說明密碼模塊支持密碼參數(shù)置零的服務。所需的檢測規(guī)程檢測人員應核實送檢單位的文檔中說明了密碼模塊支持密碼參數(shù)置零的服務。安全級別如果密碼模塊輸出的數(shù)據(jù)是受到密碼技術(shù)保護的（例如，經(jīng)過加密但是通過更改密碼模塊的配置或者由于操作員的干預，密碼模塊能夠?qū)?shù)據(jù)直接輸出（例如，不再經(jīng)過加密此時，應當定義該模塊具有旁路能力。注：本條款不單獨進行檢測。安全級別在開啟密碼模塊的旁路功能之前，操作員應當擔任相應的授權(quán)角色。所需的送檢文檔CY04.19.01：如果模塊實現(xiàn)旁路能力，送檢單位的文檔中應描述這個旁路服務。CY04.19.02：送檢單位的文檔應說明在開啟密碼模塊的旁路功能之前，操作員應擔任相應的授權(quán)角色。所需的檢測規(guī)程如果模塊實現(xiàn)旁路能力，檢測人員應核實送檢單位的文檔中描述了這個旁路服務。檢測人員應核實送檢單位的文檔中說明了在開啟密碼模塊的旁路功能之前，操作員應擔任相應的授權(quán)角色。檢測人員應核實操作員被授權(quán)相應角色后才可以開啟密碼模塊的旁路功能。安全級別應當使用兩個獨立的內(nèi)部操作來激活旁路能力，以防止單個錯誤造成不經(jīng)意地輸出明文數(shù)據(jù)。注：本條款作為AY04.21的一部分進行檢測。GM／T0039—2015安全級別｛應當使用兩個獨立的內(nèi)部操作來激活旁路能力這兩個獨立的內(nèi)部操作應當能夠改變用于控制旁路能力的軟件和／或硬件配置（例如，設(shè)置兩個不同的軟件或硬件標志位，其中一個可以由用戶發(fā)起）。所需的送檢文檔CY04.21.01：送檢單位的文檔應說明使用兩個獨立的內(nèi)部操作來激活旁路能力。CY04.21.02：送檢單位的文檔中應說明兩個獨立的內(nèi)部操作能夠改變用于控制旁路能力的軟件和／或硬件配置，并描述這兩個獨立的內(nèi)部操作。所需的檢測規(guī)程檢測人員應核實送檢單位的文檔說明了需要使用兩個獨立的內(nèi)部操作來激活旁路能力。檢測人員應核實密碼模塊需要兩個獨立的內(nèi)部操作才能激活旁路功能。檢測人員應核實送檢單位的文檔說明了兩個獨立的內(nèi)部操作能夠改變用于控制旁路能力的軟件和／或硬件配置。檢測人員應核實兩個獨立的內(nèi)部操作能夠改變用于控制旁路能力的軟件和／或硬件配置。安全級別｛接AY04.20}對于安全四級模塊，上述兩個獨立的內(nèi)部操作應當由兩個不同的操作員完成。所需的送檢文檔CY04.22.01：送檢單位的文檔中應描述如何由兩個不同的操作員共同完成兩個獨立的內(nèi)部操作才能激活旁路能力。所需的檢測規(guī)程檢測人員應核實激活旁路能力的內(nèi)部操作和步驟。檢測人員應擔任兩個獨立操作員的身份：操作員1和操作員2。操作員1和操作員2分別完成兩個獨立的內(nèi)部操作，來核實可以激活旁路能力。然后由操作員1完成兩個獨立的內(nèi)部操作，來核實不能激活旁路能力。安全級別模塊應當顯示其狀態(tài)以指示旁路能力是否：—未被激活，表明模塊此時只提供使用密碼功能的服務（例如，明文數(shù)據(jù)經(jīng)過加密之后輸出模塊—被激活，表明模塊此時只提供沒有使用密碼功能的服務（例如，明文數(shù)據(jù)未經(jīng)過加密就輸出模塊—同時存在被激活和未被激活，表明模塊此時提供的某些服務是使用了密碼功能，而某些服務沒有使用密碼功能（例如，對于擁有多個通信信道的模塊，明文數(shù)據(jù)是否被加密取決于每個信道所需的送檢文檔CY04.23.01：送檢單位的文檔中應描述如何指示旁路能力是否被激活的狀態(tài)。所需的檢測規(guī)程檢測人員應核實密碼模塊具備狀態(tài)指示，可以明確表示旁路功能是否被激活的狀態(tài)。安全級別自啟動密碼服務能力應當由密碼主管配置，而且該配置可能在模塊經(jīng)過重置、重啟或開關(guān)電源之后可以保留下來。GM／T0039—2015所需的送檢文檔CY04.24.01：如果密碼模塊支持自啟動密碼服務能力，送檢單位的文檔中應說明該功能只能由密碼主管配置，在模塊重置、重啟或開關(guān)電源之后可以保留下來。所需的檢測規(guī)程檢測人員應核實密碼模塊自啟動能力必須由密碼主管配置。檢測人員應核實密碼模塊自啟動配置成功后，在模塊重置、重啟或開關(guān)電源后，可以保留下來。安全級別｛如果密碼模塊實現(xiàn)了自啟動密碼服務能力，那么｝應當需要兩個獨立的內(nèi)部操作來激活該能力，以防止單個錯誤造成不經(jīng)意的輸出。所需的送檢文檔CY04.25.01：送檢單位應定義兩個獨立的內(nèi)部操作來激活自啟動密碼服務能力。CY04.25.02：送檢單位應提供文檔詳細說明兩個獨立的內(nèi)部操作是如何改變控制自啟動輸出密碼能力的軟件和／或硬件的行為。CY04.25.03：送檢單位應提供文檔詳細說明兩個獨立的內(nèi)部操作是如何防止單個錯誤造成不經(jīng)意的輸出。所需的檢測規(guī)程檢測人員應確定密碼模塊是否實現(xiàn)了自啟動密碼服務能力。檢測人員應核實送檢單位文檔詳細說明了在執(zhí)行自啟動密碼服務能力前，密碼模塊執(zhí)行了兩個獨立的內(nèi)部操作。同時檢測人員應核實送檢單位文檔詳細說明了這兩個獨立的內(nèi)部操作是如何防止單個錯誤造成的不經(jīng)意的輸出。檢測人員應激活自啟動密碼服務能力，確認兩個獨立的內(nèi)部操作如上所述。如果在激活過程中執(zhí)行了任何一個軟件或固件的組件，檢測人員應審查源代碼，以確保在激活自啟動密碼服務能力前，該軟件或固件組件支持兩個獨立內(nèi)部操作的要求。檢測人員應核實當自啟動密碼模塊能力被激活時，有一個狀態(tài)指示器來顯示該事件。安全級別｛接AY04.25}這兩個獨立的內(nèi)部操作應當能夠改變用于控制該能力的軟件和／或硬件配置（例如，設(shè)置兩個不同的軟件或硬件標志位，其中一個可以由用戶發(fā)起）。所需的送檢文檔CY04.26.01：送檢單位的文檔中應描述內(nèi)部操作如何改變用于控制旁路能力的軟件和／或硬件配置。所需的檢測規(guī)程檢測人員應核實如果改變用于控制自啟動密碼服務能力的軟件和／或硬件的配置需要兩個獨立的內(nèi)部操作。安全級別｛接AY04.25}對于安全四級模塊，上述兩個獨立的內(nèi)部操作應當由兩個不同的操作員完成。所需的送檢文檔CY04.27.01：送檢單位的文檔中應描述如何由兩個不同的操作員共同完成兩個獨立的內(nèi)部操作才能激活自啟動密碼服務能力。所需的檢測規(guī)程檢測人員應核實激活自啟動密碼服務能力的內(nèi)部操作和步驟。檢測人員應擔任兩個獨立操作員的身份：操作員1和操作員2。操作員1和操作員2分別完成兩個獨立的內(nèi)部操作，來核實可以激活自啟動密碼服務能力。然后由操作員1完成兩個獨立的內(nèi)部操作，來核實不能激活自啟動密碼服務能力。GM／T0039—2015安全級別｛如果密碼模塊實現(xiàn)了自啟動密碼服務能力，那么｝模塊應當顯示其狀態(tài)以指示自啟動密碼服務能力是否被激活。所需的送檢文檔CY04.28.01：送檢單位的文檔應描述如何指示自啟動密碼服務能力是否被激活的狀態(tài)。所需的檢測規(guī)程檢測人員應核實密碼模塊具備狀態(tài)指示，可以明確表示自啟動密碼服務能力是否被激活的狀態(tài)。安全級別如果密碼模塊具有加載外部軟件或固件的能力，那么應當滿足下列要求｛注：本條款不單獨進行檢測。安全級別加載的軟件或固件應當在加載之前經(jīng)過審驗機構(gòu)的審驗，以維持審驗效力。所需的送檢文檔CY04.30.01：送檢單位提供加載的軟件或固件的文件清單和說明。CY04.30.02：送檢單位應提供審驗機構(gòu)提供的審驗報告或證明。所需的檢測規(guī)程檢測人員應核實清單中所包含的軟件和固件，具有審驗機構(gòu)的審驗報告。安全級別應當禁止通過數(shù)據(jù)輸出接口輸出數(shù)據(jù)，直到軟件／固件加載完成以及加載測試成功通過。所需的送檢文檔CY04.31.01：送檢單位的文檔中應描述在加載及加載測試過程中禁止數(shù)據(jù)輸出的過程。所需的檢測規(guī)程檢測人員應核實在軟件／固件加載以及加載測試成功通過前，密碼模塊的數(shù)據(jù)輸出接口禁止輸出數(shù)據(jù)。安全級別在運行加載的代碼之前應當執(zhí)行｛GM／T0028—2014}7.中規(guī)定的軟件／固件加載條件自測試。所需的送檢文檔CY04.32.01：送檢單位的文檔中應描述運行加載的軟件／固件的操作步驟和方法。CY04.32.02：送檢單位的文檔中應說明在運行加載的代碼之前執(zhí)行了GM/T0028—2014的7.10.3.4中規(guī)定的軟件／固件加載條件自測試，并描述操作步驟和方法。所需的檢測規(guī)程檢測人員應核實在軟件／固件加載條件自測試成功通過前，加載的代碼應不能運行；條件自測試成功通過后，加載的代碼應可以運行。安全級別密碼模塊應當拒絕運行任何已經(jīng)加載的或已被修改的核準的安全功能，直到成功執(zhí)行｛GM／T0028—2014}中規(guī)定的運行前自測試。所需的送檢文檔CY04.33.01：送檢單位提供的文檔中應說明任何已經(jīng)加載的或已被修改的核準的安全功能在運行之前，應該成功執(zhí)行GM/T0028—2014的7.10.2中規(guī)定的運行前自測試。GM／T0039—2015CY04.33.02：送檢單位的文檔中應描述運行前自測試的方法和步驟。所需的檢測規(guī)程檢測人員應核實在軟件／固件運行前自測試成功通過前，任何已經(jīng)加載的或已被修改的核準的安全功能應不能運行。安全級別應當修改模塊的版本信息，以表示增加和／或更新了最新加載的｛GM／T0028—2014}中的軟件或固件。所需的送檢文檔CY04.34.01：送檢單位的文檔中應描述運行加載的軟件／固件的版本信息。CY04.34.02：送檢單位的文檔中應描述獲取模塊版本信息的方法和步驟。所需的檢測規(guī)程檢測人員在軟件或固件加載前后，分別獲取模塊的版本信息，核實密碼模塊的版本信息按照GM/T0028—2014的7.4.3中規(guī)定進行了增加和／或更新。安全級別如果新軟件或固件的加載是鏡像的完全替換，它應當構(gòu)成一個全新的模塊，需要由審