GM/T 0028-2024 密码模块安全要求

　　ICS35.030

CCS L80

中华人民共和国密码行业标准

GM/T0028—2024

代替GM/T0028—2014

密码模块安全要求

Securityrequirementsforcryptographicmodules

2024-12-27发布2025-07-01实施

国家密码管理局发布

目 次

前言………………………………………………………………………………………………………… Ⅲ

引言………………………………………………………………………………………………………… Ⅴ

1 范围……………………………………………………………………………………………………… 1

2 规范性引用文件………………………………………………………………………………………… 1

3 术语和定义……………………………………………………………………………………………… 1

4 缩略语…………………………………………………………………………………………………… 4

5 密码模块安全等级……………………………………………………………………………………… 4

5.1 概述………………………………………………………………………………………………… 4

5.2 安全一级…………………………………………………………………………………………… 4

5.3 安全二级…………………………………………………………………………………………… 5

5.4 安全三级…………………………………………………………………………………………… 5

5.5 安全四级…………………………………………………………………………………………… 5

6 功能安全目标…………………………………………………………………………………………… 6

7 安全要求………………………………………………………………………………………………… 6

7.1 通用要求…………………………………………………………………………………………… 6

7.2 密码模块规格……………………………………………………………………………………… 8

7.3 密码模块接口……………………………………………………………………………………… 10

7.4 角色、服务和鉴别………………………………………………………………………………… 12

7.5 软件/固件安全…………………………………………………………………………………… 15

7.6 运行环境…………………………………………………………………………………………… 16

7.7 物理安全…………………………………………………………………………………………… 19

7.8 非入侵式安全……………………………………………………………………………………… 24

7.9 敏感安全参数管理………………………………………………………………………………… 25

7.10 自测试…………………………………………………………………………………………… 27

7.11 生命周期保障…………………………………………………………………………………… 30

7.12 对其他攻击的缓解……………………………………………………………………………… 34

附录A (规范性) 文档要求……………………………………………………………………………… 35

A.1 用途……………………………………………………………………………………………… 35

A.2 条款……………………………………………………………………………………………… 35

附录B(规范性) 密码模块安全策略…………………………………………………………………… 40

B.1 用途………………………………………………………………………………………………… 40

B.2 条款………………………………………………………………………………………………… 40

附录C(规范性) 核准的安全功能……………………………………………………………………… 44

Ⅰ

GM/T0028—2024

C.1 用途………………………………………………………………………………………………… 44

C.2 条款………………………………………………………………………………………………… 44

附录D(规范性) 核准的敏感安全参数生成和建立方法……………………………………………… 46

D.1 用途………………………………………………………………………………………………… 46

D.2 条款………………………………………………………………………………………………… 46

附录E(规范性) 核准的鉴别机制……………………………………………………………………… 47

E.1 用途………………………………………………………………………………………………… 47

E.2 鉴别机制…………………………………………………………………………………………… 47

附录F(规范性) 非入侵式攻击及缓解方法检测指标………………………………………………… 48

F.1 用途………………………………………………………………………………………………… 48

F.2 非入侵式攻击……………………………………………………………………………………… 48

F.3 非入侵式攻击缓解方法检测指标………………………………………………………………… 48

参考文献…………………………………………………………………………………………………… 49

Ⅱ

GM/T0028—2024

前 言

本文件按照GB/T1.1—2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》给出的

规定起草。

本文件替代GM/T0028—2014《密码模块安全技术要求》,与GM/T0028—2014相比,除结构调整

和编辑性改动外,主要技术变化如下:

a) 更改了本文件规范性引用的相关标准,用GB/T32907、GB/T33133、GB/T32918、GB/T35276、

GB/T35275、GB/T32905分别代替了GM/T0002、GM/T0001、GM/T0003、GM/T0009、

GM/T0010、GM/T0004(见C.2,2014年版的C.2);

b) 删除了规范性引用的GM/T0015(见2014年版的C.2.3);

c) 增加了相关标准的规范性引用,新增了GB/T36624(见C.2.1)、GB/T38635(见C.2.3)、

GB/T41389(见C.2.3)、GM/T0081(见C.2.3)、GB/T15852.1(见C.2.4)、GB/T15852.2(见

C.2.4)、GM/T0057(见C.2.6)、GM/T0062(见C.2.8)、GM/T0044.3(见D.2.2)、GB/T25069

(见第3章)、GM/T0083(见F.3);

d) 更改了术语证书、关键安全参数、密码边界、密码模块、错误注入、多因素鉴别、非入侵式攻击、

运行环境、公开安全参数、安全功能、拆分知识及其定义(见3.1、3.3~3.5、3.9~3.12、3.14、

3.16、3.18);

e) 删除了术语访问控制列表、管理员指南、核准机构、核准的数据鉴别技术、核准的完整性技术、

核准的工作模式、核准的安全功能、非对称密码技术、旁路能力、破坏、配置管理系统、控制信

息、密码主管、数据路、电磁辐、电子密钥输入、经过加密的密、实体、熵、环境失效保护、环境失

效测、错误检测码、可执行形式、有限状态模型、固件、固件模块、功能规格、功能测试、硬、硬件

模块、硬件模块接口、混合模块、混合固件模块接、混合软件模块接口、输入数据、接口、密钥加

载器、受限制的运行环、底层测试、维护员角色、微码、最小熵、可修改的运行环境、多芯片嵌入

式密码模块、多芯片独立式密码模块、非管理员指南、不可修改的运行环境、非安全相关、正常

工作、不透光、运行状态、操作员、输出数据、钝化、口令、个人身份识别码、物理保护、明文密钥、

端口、产品级、公钥证书、封盖、角色、基于角色的访问控制、种子密钥、自测试、敏感数据、服务、

服务输入、服务输出、简单能量分析、单芯片密码模块、软件、软件模块、软件/固件加载测试、软

件/固件模块接口、状态信息、拆卸检测、拆卸证据、拆卸响应、信任锚、可信信道、用户、厂商、置

零及其定义(见2014年版的3.1~3.9、3.11、3.13、3.14、3.16、3.20~3.50、3.52~3.54、3.56~

3.59、3.61~3.91、3.94~3.100、3.103、3.104);

f) 增加了术语密码模块接口、差分功耗分析及其定义(见3.6、3.8);

g) 更改了缩略语ECB(见第4章,2014年版的第4章);

h) 删除了2014 版文件所列举的部分缩略语,删除了API、CCM、EDC、HDL、HFMI、HMI、

HSMI、HMAC、PROM、SFMI(见2014年版的4);

i) 更改了各类型密码模块的安全域适用性的表述形式(见7.2.2,2014年版的7.2.2);

j) 增加了“降级工作”相关内容(见7.2.4.3);

k) 更改了运行环境的安全二级要求的具体细节及表述形式(见7.6.3,2014年版的7.6.3);

l) 更改了熵的要求的表述形式(见7.9.2,2014年版的7.9.2);

m) 更改了敏感安全参数存储对不同安全等级的安全要求(见7.9.6节,2014年版的7.9.6);

n) 增加了敏感安全参数生成和建立方法,更改了“条款”一节的表述形式,将GM/T0003.3更新

Ⅲ

GM/T0028—2024

为GB/T32918.3,新增了GM/T0044.3(见附录D.2,2014年版的附录D.2);

o) 更改了“鉴别机制”的表述形式,增加了密码模块对操作员所拥有的信息或个人生物特征的鉴

别机制(见附录E.2,2014年版的附录E.2);

p) 更改了“非入侵式攻击”的表述形式(见附录F,2014年版的附录F);

q) 增加了“非入侵式攻击缓解方法检测指标”相关内容(见附录F.3)。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由密码行业标准化技术委员会提出并归口。

本文件起草单位:中国科学院信息工程研究所、中国科学院大学、商用密码检测认证中心、北京数字

认证股份有限公司、北京握奇智能科技有限公司、飞天诚信科技股份有限公司、北京海泰方圆科技股份

有限公司、格尔软件股份有限公司、北京华大智宝电子系统有限公司、北京创原天地科技有限公司、华为

技术有限公司、三未信安科技股份有限公司。

本文件主要起草人:高能、荆继武、屠晨阳、郑昉昱、夏鲁宁、张渊、郑强、朱鹏飞、雷银花、蒋红宇、

马原、章庆隆、兰天、高志权、马存庆、刘丽敏、王跃武、向继、王琼霄、林璟锵、詹榜华、罗鹏、汪雪林、陈国、

张嘉纯、陈跃、张万涛、谭武征、汪婧。

本文件及其所替代文件的历次版本发布情况为:

———2014年首次发布为GM/T0028—2014;

———本次为第一次修订。

Ⅳ

GM/T0028—2024

引 言

在信息技术中,密码技术的使用需求日益增强,比如数据需要密码技术的保护以防止非授权的泄露

或操控。密码技术可以用于提供实体鉴别、加密保护和不可抵赖等安全服务,密码技术的安全性与可靠

性直接取决于实现它们的密码模块。

本文件对密码模块提出了四个递增的、定性的安全要求等级,但不对密码模块的正确应用和安全部

署进行规范。密码模块的操作员在使用或部署密码模块时,有责任确保密码模块提供的安全保护是充

分的,且对信息所有者而言是可接受的,同时任何残余风险要告知信息所有者。密码模块的操作员有责

任选取合适的安全等级的密码模块,使得密码模块能够满足应用的安全需求并适应所处环境的安全

现状。

Ⅴ

GM/T0028—2024

密码模块安全要求

1 范围

本文件确立了密码模块的四个安全等级,并分别规定了四个等级的安全要求。

本文件适用于保护计算机与电信系统内敏感信息的安全系统中密码模块的设计和开发及检测。

2 规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文

件,仅该日期对应的版本适用于本文件。不注日期的引用文件,其最新版本(包括所有的修改单)适用于

本文件。

GB/T15843(所有部分) 信息技术 安全技术 实体鉴别

GB/T15852.1 信息技术 安全技术 消息鉴别码 第1部分:采用分组密码的机制

GB/T15852.2 信息技术 安全技术 消息鉴别码 第2部分:采用专用杂凑函数的机制

GB/T17964 信息安全技术 分组密码算法的工作模式

GB/T25069 信息安全技术 术语

GB/T32905 信息安全技术 SM3密码杂凑算法

GB/T32907 信息安全技术 SM4分组密码算法

GB/T32918(所有部分) 信息安全技术 SM2椭圆曲线公钥密码算法

GB/T33133(所有部分) 信息安全技术 祖冲之序列密码算法

GB/T35275 信息安全技术 SM2密码算法加密签名消息语法规范

GB/T35276 信息安全技术 SM2密码算法使用规范

GB/T36624 信息技术 安全技术 可鉴别的加密机制

GB/T38635(所有部分) 信息安全技术 SM9标识密码算法

GB/T41389 信息安全技术 SM9密码算法使用规范

GM/T0005 随机性检测规范

GM/T0057 基于IBC技术的身份鉴别规范

GM/T0062 密码产品随机数检测要求

GM/T0081 SM9密码算法加密签名消息语法规范

GM/T0083 密码模块非入侵式攻击缓解技术指南

3 术语和定义

GB/T25069界定的以及下列术语和定义适用于本文件。

3.1

证书 certificate

关于实体的一种数据,该数据由认证机构的私钥或秘密密钥签发,并无法伪造。

注:例如,签名证书、加密证书。

[来源:GB/T25069—2022,3.779,有修改]

1

GM/T0028—2024

3.2

条件自测试 conditionalself-test

当规定的测试条件出现时,由密码模块执行的测试。

3.3

关键安全参数 criticalsecurityparameter

与安全相关的秘密信息,这些信息被泄露或被修改后会危及密码模块的安全性。

注:例如,私钥、对称密钥、口令、PIN等鉴别数据。关键安全参数可以是明文形式的也可以是经过加密的。

[来源:GB/T25069—2022,3.226,有修改]

3.4

密码边界 cryptographicboundary

明确定义的边线,该边线建立了密码模块的物理和/或逻辑边界,并包括了密码模块的所有硬件、软

件、和/或固件部件。

[来源:GB/T25069—2022,3.4,有修改]

3.5

密码模块 cryptographicmodule

实现了安全功能的硬件、软件和/或固件的集合,并且被包含在密码边界内。

注:密码模块根据其组成,可分为硬件密码模块、固件密码模块、软件密码模块以及混合密码模块。

[来源:GB/T25069—2022,3.379,有修改]

3.6

密码模块接口 cryptographicmoduleinterface

密码模块的逻辑入口或出口,为逻辑信息流提供进出模块的通道。

3.7

密码模块安全策略 cryptographicmodulesecuritypolicy

密码模块运行应遵从的安全规则的明确说明,其中包含了从本文件的要求导出的规则以及厂商要

求的规则。

3.8

差分功耗分析 differentialpoweranalysis

对密码模块的功耗变化进行分析,并用以获取密码操作相关的信息。

[来源:GB/T25069—2022,3.70,有修改]

3.9

故障注入 faultinduction

通过应用短暂的电压、辐射、激光或时钟偏移技术,导致硬件中的操作行为发生变化的技术。

3.10

多因素鉴别 multi-factorauthentication

至少具有两个独立鉴别因素的鉴别。

注:独立的鉴别因素类别包括:知晓某物,拥有某物,以及具有某属性。

[来源:GB/T25069—2022,3.139,有修改]

3.11

非入侵式攻击 non-invasiveattack

针对密码模块的攻击,该攻击对密码边界内的部件不进行直接的物理接触,且这类攻击不会更改密

码模块所处的状态。

[来源:GB/T25069—2022,3.155,有修改]

2

GM/T0028—2024

3.12

运行环境 operationalenvironment

密码模块安全运行所需要的所有软件、固件和硬件的集合,其中包括操作系统和硬件平台。

注:运行环境分为可修改的运行环境、受限制的运行环境以及不可修改的运行环境。

[来源:GB/T25069—2022,3.761,有修改]

3.13

运行前自测试 pre-operationalself-test

密码模块在上电或实例化(在关闭电源、重置、重启、冷启动、供电中断等之后)至转换到运行状态之

间执行的测试。

3.14

公开安全参数 publicsecurityparameter

与安全性相关的公开信息,一旦被修改,会威胁到密码模块安全。

注:例如,公钥、公钥证书、自签名证书、信任锚。公开安全参数如果不能被修改或者修改后能够被密码模块发现,

此时认为该公开安全参数是受保护的。

[来源:GB/T25069—2022,3.208,有修改]

3.15

运行时环境 runtimeenvironment

一种虚拟机状态,在计算机运行时,为进程和程序提供软件服务。

注:运行时环境可能与操作系统本身,也可能与其下运行的软件有关,其主要目的在于实现“平台无关”的编程

目标。

3.16

安全功能 securityfunction

密码算法及其工作模式。

注:包括:分组密码、序列密码、非对称密码、消息鉴别码、杂凑函数、随机数生成、实体鉴别、密钥管理和随机数生

成等。

[来源:GB/T25069—2022,3.8,有修改]

3.17

敏感安全参数 sensitivesecurityparameters

包括关键安全参数(3.3)和公开安全参数(3.14)。

[来源:GB/T25069—2022,3.421,有修改]

3.18

拆分知识 splitknowledge

密钥被拆分成多个密钥分量,从密码模块输出给多个实体的过程。单个分量不能提供原始密钥的

知识。密钥分量被各个实体输入密码模块能够重新组合成原始密钥,合成密钥可以需要所有分量或一

部分分量来完成。

[来源:GB/T25069—2022,3.73,有修改]

3.19

敏感安全参数建立 sensitivesecurityparameterestablishment

将共享的敏感安全参数提供给一个或多个实体的过程。

注:敏感安全参数建立包括敏感安全参数协商、传输以及输入或输出。

3.20

经审验 validated

经过审验机构审验通过。

3

GM/T0028—2024

3.21

审验机构 validationauthority

审验测试结果是否符合本文件的实体。

4 缩略语

下列缩略语适用于本文件。

CBC:密码分组链接(CipherBlockChaining)

ECB:电码本(ElectronicCodebook)

EFP:环境失效保护(EnvironmentalFailureProtection)

EFT:环境失效测试(EnvironmentalFailureTesting)

FSM:有限状态模型(FiniteStateModel)

IC:集成电路(IntegratedCircuit)

PIN:个人身份识别码(PersonalIdentificationNumber)

5 密码模块安全等级

5.1 概述

密码模块是实现密码运算、密钥管理等安全功能的硬件、软件、固件或者其组合,用于保护计算节点

与信息系统内的敏感信息。

为了保护密码模块和密码模块中包含和控制的敏感安全参数,以及满足众多应用领域的、不同程度

的安全需求,本文件规定了4个要求递增的安全等级,高安全等级在低安全等级的基础上进一步提高了

安全性。本文件中给出的一些常见的例子,是用于阐明如何满足本文件的安全要求,而不是为了约束或

列举所有的情况。下文分别概述了4个安全等级。4个安全等级所涉及的密码技术是相同的。

本文件采用了“应[xx.yy]”方式对标准中的所有安全要求进行标识和顺序编号,其中,xx表示条

款,yy是该条款中的数字索引。如果本文件中的某句话中出现“应[xx.yy]”,即表示该句是本文件的一

项安全要求,编号为[xx.yy]。本文件总共有12个条款,与密码模块的安全通用要求以及11个安全域

相对应,1~12分别代表:通用要求,密码模块规格,密码模块接口,角色、服务和鉴别,软件/固件安全,

运行环境,物理安全,非入侵式安全,敏感安全参数管理,自测试,生命周期保障,以及对其他攻击的缓

解。每个条款中又包含具体的安全要求,每个安全要求从[xx.01]开始按顺序编号。

本文件下文中凡是包含“应[xx.yy]”的句子都被视为密码模块的一项安全要求,这种标识方式可以

被本文件对应的后续检测标准直接引用,也可被密码模块厂商提交的文档引用。

5.2 安全一级

安全一级提供了最低等级的安全要求。安全一级阐明了密码模块的基本安全要求,例如,密码模块

应使用至少一个核准的安全功能或核准的敏感安全参数建立方法。

安全一级的软件或固件密码模块可以运行在不可修改的、受限的或可修改的运行环境中。

安全一级的硬件密码模块除了需要达到产品级部件的基本要求之外,没有其他特殊的物理安全机

制要求。

安全一级的密码模块实现的针对非入侵式攻击或其他攻击的缓解方法需要有文档记录。

当密码模块外部的应用系统已经配置了物理安全、网络安全以及管理过程等控制措施时,安全一级

的密码模块就非常适用。这使得密码模块的使用者可以选择多种密码解决方案来满足安全需求。

安全一级密码模块的实例包括:个人计算机中的硬件加密板卡、运行在手持设备或通用计算机上的

4

GM/T0028—2024

密码工具包。

5.3 安全二级

安全二级在安全一级的基础上增加了拆卸证据的要求,例如使用拆卸存迹的涂层或封条,或者在封

盖或门上加防撬锁等手段以提供拆卸证据。

拆卸存迹的封条或防撬锁应安装在封盖或门上,以防止非授权的物理访问。当物理访问密码模块

内的安全参数时,密码模块上拆卸存迹的涂层或封条就应破碎。

安全二级要求基于角色的鉴别。密码模块需要鉴别并验证操作员的角色,以确定其是否有权执行

对应的服务。

安全二级的软件密码模块可以运行在可修改的环境中,该环境应实现基于角色的访问控制或自主

访问控制,但自主访问控制应能定义新的组,通过访问控制列表分配权限,以及将一个用户分配给多个

组。访问控制措施应防止非授权地执行、修改以及读取实现密码功能的软件。

5.4 安全三级

除了安全二级中要求的拆卸存迹物理安全机制外,安全三级还要求更强的物理安全机制,以进一步

防止对密码模块内敏感安全参数的非授权访问。这些物理安全机制应该能够以很高的概率检测到以下

行为并作出响应,这些行为包括:直接物理访问、密码模块的使用或修改,以及通过通风孔或缝隙对密码

模块的探测。上述物理安全机制可以包括坚固的外壳、拆卸检测装置以及响应电路。当密码模块的封

盖/门被打开时,响应电路应将所有的关键安全参数置零。

安全三级要求基于身份的鉴别机制,以提高安全二级中基于角色的鉴别机制的安全性。密码模块

需要鉴别操作员的身份,并验证经鉴别的操作员是否被授权担任特定角色以及是否能够执行相应的

服务。

安 全三级要求手动建立的明文关键安全参数是经过加密的、使用可信信道或使用拆分知识来输入

或输出。

安全三级的密码模块应有效防止电压、温度超出密码模块正常运行范围对密码模块安全性的破坏。

攻击者可以故意让密码模块的环境参数偏离正常运行范围,从而绕过密码模块的防护措施。密码模块

应设计有环境保护特性,用以检测环境异常并置零关键安全参数,或者能够通过环境失效测试从而提供

一个合理的保障,确保不会因环境异常破坏密码模块的安全性。

安全三级的密码模块应提供非入侵式攻击缓解技术的有效性证据和检测方法。

对于软件密码模块,并没有在本文件的所有条款中给出安全三级的要求。因此,软件密码模块能够

达到的最大整体安全等级限定为安全二级。

安全三级的密码模块增加了生命周期保障的要求,例如自动配置管理、详细设计、底层测试以及基

于厂商所提供的鉴别信息的操作员鉴别。

5.5 安全四级

安全四级是本文件中的最高安全等级。该等级包括较低等级中所有的安全特性,以及一些扩展

特性。

安 全四级的物理安全机制应在密码模块周围提供完整的封套保护,其目的是无论外部电源是否供

电,当密码模块包含敏感安全参数时,检测并响应所有非授权的物理访问。从任何方向穿透密码模块的

外壳都会以很高的概率被检测到,并将导致所有未受保护的敏感安全参数立刻被置零。由于安全四级

的密码模块自身具有较高的安全机制,所以它特别适用于无物理保护的环境。

安全四级要求对操作员进行多因素鉴别。最低限度下,要求使用下列因素中的两个:

———知晓某物,如秘密口令;

5

GM/T0028—2024

———拥有某物,如物理钥匙或令牌;

———具有某属性,如生物特征。

安全四级的密码模块应有效防止电压、温度超出密码模块正常运行范围对密码模块安全性的破坏。

密码模块应设计有环境保护特性,专门用以检测环境异常并置零关键安全参数,从而提供一个合理的保

障,确保不会因环境异常破坏密码模块的安全性。

安全四级的密码模块应接受检测,通过检测密码模块中实现的、7.8中规定的针对非入侵式攻击的

缓解方法,以满足国家相关部门规定的、安全四级的非入侵式攻击缓解检测指标。

安全四级要求密码模块设计应通过一致性验证,即验证前置和后置条件与功能规格之间的一致性。

6 功能安全目标

本文件中规定的安全要求涉及密码模块的安全设计和实现。安全要求从安全目标的最低等级开

始,随着安全目标等级的递增而增加。这些要求源于密码模块的下列功能性安全目标。

———使用并正确实现核准的安全功能,以保护敏感信息。

———防止非授权地操作或使用密码模块。

———防止非授权地泄露密码模块的内容,其中包括关键安全参数。

———防止对密码模块和密码算法进行非授权或检测不到的修改,包括非授权地修改、替换、插入和

删除敏感安全参数。

———提供密码模块运行状态的指示。

———保证密码模块在核准的工作模式下能够正确运行。

———检测出密码模块运行中的错误,防止这些错误非授权地公开、修改、替换或使用关键安全参数,

或者非授权地修改或替换公开安全参数。

———保证正确地设计、分配和实现密码模块。

7 安全要求

7.1 通用要求

符合本文件的密码模块应[01.01]满足的安全要求。这些安全要求涵盖了密码模块的设计、实现、

操作以及废弃相关的域,具体包括:密码模块规格;密码模块接口;角色、服务和鉴别;软件/固件安全;运

行环境;物理安全;非入侵式安全;敏感安全参数管理;自测试;生命周期保障;以及对其他攻击的缓解。

表1总结了每个域的安全要求。

密码模块应[01.02]针对各个域的安全要求进行检测。

密码模块应[01.03]在每个域中独立地进行评级。上述11个安全域中,有些域随着安全等级的递

增,安全要求也相应增加。密码模块在这些域中获得的评级反映了密码模块在该域中所能达到的最高

安全等级,即密码模块应满足该域针对该等级的所有安全要求。另外一些域的安全要求不分安全等级,

那么密码模块在这些域中将获得与整体评级相当的评级。

除了在每个安全域中获得独立的评级之外,密码模块还将获得一个整体评级。整体评级设定为

11个域所获得的最低评级。

本文件要求密码模块提供相关的文档,具体要求应符合附录A 和附录B的规定。待审验或评估的

密码模块应[01.04]提供所有相关文档,包括用户和安装手册、设计说明、生命周期文档等。

附录C、附录D、附录E和附录F规定了核准的安全功能、核准的敏感安全参数生成和建立方法、核

准的鉴别机制以及非入侵式攻击及常用的缓解方法等相关内容。

6

GM/T0028—2024

表1 安全要求总表

安全域安全等级1 安全等级2 安全等级3 安全等级4

1.密码模块规格

———密码模块、密码边界、核准的密码功能以及正常的工作模式的说明

———密码模块的描述,包括所有硬件、软件和固件部件

———所有服务提供状态信息以指示服务何时按照核准的方式使用核准的密码算法、安全功

能或过程

2.密码模块接口

———要求的和可选的接口

———所有接口和所有输入输出数据路径的

说明

可信信道

3.角色、服务和鉴别

要求的角色、服务与

可选的角色、服务逻

辑上相互隔离

基于角色或基于身份

的操作员鉴别

基于身份的鉴别多因素鉴别

4.软件/固件安全

———核准的完整性

技术

———定义的软件或

固件密码模块接口、

混合固件密码模块

接口以及混合软件

固件密码模块接口

———可执行代码

基于核准的数字签

名或消息鉴别码的

完整性测试

基于核准的数字签名的完整性测试

5.运行环境

不可修改的、受限的;对敏感安全参数的控制

可修改的;对敏感安

全参数的控制

可修改的;基于角色

或自主访问控制,审

计机制

6.物理安全产品级部件

———拆卸证据

———不透明的遮盖

物或外壳

———封盖和门上的

拆卸检测与响应电路

———牢固的外壳或

涂层

———防止直接探测

的保护

———EFP或EFT

———拆卸检测和响

应封壳

———EFP

———故障注入的缓解

7.非入侵式安全

能够缓解附录F中规定的非入侵式攻击

文档阐明附录F 中规定的缓解技术和有

效性

提供缓解检测方法缓解检测

8.敏感安全参数管理

随机数生成器、敏感安全参数生成、建立、输入和输出、存储以及置零

自动的敏感安全参数传输或敏感安全参数协商使用核准方法

手动建立的敏感安全参数可以以明文的形

式输入或输出

手动建立的敏感安全参数,可以以加密的形

式、通过可信信道或使用拆分知识过程输入

或输出

7

GM/T0028—2024

表1 安全要求总表(续)

安全域安全等级1 安全等级2 安全等级3 安全等级4

9.自测试

运行前:软件/固件完整性测试、旁路测试以及关键功能测试

条件:密码算法、配对一致性、软件/固件加载、手动输入、条件旁路以及关键功能测试

10.

生

命

周

期

保

障

1)配置管理

密码模块、部件和文档的配置管理系统。每

一项在整个生命周期中都有唯一标识并可

追踪

自动配置管理系统

2)设计密码模块设计成允许对所有提供的安全相关服务进行测试

3)FSM 有限状态模型

4)开发

有注释的源代码、版

图或硬件描述语言

———软件高级语言

———硬件高级描述语言

文档注明密码模块

部件执行的前置条

件,以及当部件执行

完毕时预期为真的

后置条件

5)测试功能测试底层测试

6)配送与操作初始化流程配送流程

使用厂商提供鉴别

信息的操作员鉴别

7)生命终止安全清理密码模块的流程安全销毁密码模块的流程

8)指南文档管理员和非管理员指南

11.对其他攻击的缓解缓解其他攻击的说明,目前对这些攻击还没有可检测要求

验证缓解技术的有

效性

7.2 密码模块规格

7.2.1 密码模块规格通用要求

密码模块应[02.01]是硬件、软件、固件,或它们之间组合的集合,该集合至少使用一个核准的密码

算法、安全功能或过程实现一项密码服务,并且包含在定义的密码边界内。

密码模块文档应[02.02]按照A.2.2中规定的要求编写。

7.2.2 密码模块类型

密码模块应[02.03]定义为下列一种密码模块类型。

———硬件密码模块。硬件密码模块的密码边界为硬件部件划定界线。固件和/或软件,其中还可以

包括操作系统,可以被包含在硬件密码边界内。

———软件密码模块。软件密码模块的密码边界为执行在可修改的运行环境中的纯软件部件(可以

是一个或多个软件部件)划定界线。软件密码模块的运行环境所包含的计算平台和操作系统,

在定义的密码边界之外。

———固件密码模块。固件密码模块的密码边界为执行在受限的或不可修改的运行环境中的纯固件

部件划定界线。固件密码模块的运行环境所包含的计算平台和操作系统,在定义的密码边界

之外,但是与固件密码模块明确绑定。

8

GM/T0028—2024

———混合软件密码模块。混合软件密码模块的密码边界为软件部件和分离的硬件部件(即软件部

件不在硬件密码模块边界中)的集合划定界线。软件运行的环境所包含的计算平台和操作系

统,在定义的混合软件密码模块边界之外。

———混合固件密码模块。混合固件密码模块的密码边界为固件部件和分离的硬件部件(即固件部

件不在硬件密码模块边界中)的集合划定界线。固件运行的环境所包含的计算平台和操作系

统,在定义的混合固件密码模块边界之外,但是与混合固件密码模块明确绑定。

对于硬件和固件密码模块,应[02.04]满足7.7中规定的物理安全和7.8中规定的非入侵式安全的

所有适用要求。

对于运行于可修改环境中的软件密码模块,应[02.05]满足7.8中规定的非入侵式安全中的所有适

用要求;7.7中规定的物理安全要求是可选的。

对于混合密码模块,应[02.06]满足7.5中规定的软件/固件安全、7.6中规定的运行环境、7.7中规

定的物理安全和7.8中规定的非入侵式安全中的所有适用要求。

7.2.3 密码边界

7.2.3.1 密码边界通用要求

密码边界应[02.07]由定义明确的边线(例如,硬件、软件或固件部件的集合)组成,该边线建立了密

码模块所有部件的边界。本文件的要求应[02.08]适用于密码边界内的所有算法、安全功能、过程和部

件。密码边界应[02.09]至少包含密码模块内所有安全相关的算法、安全功能、过程和部件(即本文件范

围内与安全相关的)。非安全相关的算法、安全功能、过程和部件也可以包含在密码边界内。用于核准

工作模式的非安全相关的算法、安全功能、过程和部件的实现应[02.10]不干扰或破坏密码模块核准的

运行。

密 码模块的名称应[02.11]代表密码边界内的部件构成,不应代表大于实际范围的构成或产品。密

码模块应[02.12]至少具有代表每个互不相同的硬件、软件和/或固件部件的特定版本信息。

密码边界内的某些硬件、软件和/或固件部件可以从本文件的要求中排除。被排除的硬件、软件或

固件部件的实现应[02.13]不干扰或破坏密码模块核准的安全运行。应[02.14]阐明被排除的硬件、软

件或固件(附录A)。

7.2.3.2 密码边界的定义

不同类型的密码模块,其密码边界有所差异。

a) 硬件密码模块的密码边界应[02.15]划界并确定。硬件密码模块的密码边界可包括:

———在部件之间提供互联的物理配线的物理结构,包括电路板、基板或其他表面贴装;

———有效电器元件,如半集成、定制集成或通用集成的电路、处理器、内存、电源、转换器等;

———外壳、灌封或封装材料、连接器和接口之类的物理结构;

———固件,可以包含操作系统;

———上面未列出的其他部件类型。

b) 软件密码模块的密码边界应[02.16]划界并确定。软件密码模块的密码边界可包括:

———构成密码模块的可执行文件或文件集;

———保存在内存中并由一个或多个处理器执行的密码模块的实例。

c) 固件密码模块的密码边界应[02.17]划界并确定。固件密码模块的密码边界可包括:

———构成密码模块的可执行文件或文件集;

———保存在内存中并由一个或多个处理器执行的密码模块的实例。

d) 混合密码模块的密码边界应[02.18]划界并确定。混合密码模块的密码边界可包括:

9

GM/T0028—2024

———由密码模块硬件部件的边界以及分离的软件或固件部件的边界构成;

———包含每个部件所有端口和接口的集合。

混合密码模块除了分离的软件或固件部件,密码模块的硬件部件还可以包含嵌入式的软件或固件。

7.2.4 工作模式

7.2.4.1 工作模式通用要求

密码模块可以有核准的工作模式和非核准的工作模式。核准的工作模式是指密码模块在该工作模

式下只能使用核准的安全功能提供安全相关服务。

操作员应[02.19]能够在核准的工作模式下操作密码模块。核准的工作模式应[02.20]定义为一组

服务的集合,其中至少有一个服务使用了核准的密码算法、安全功能或过程。

非核准的密码算法、安全功能和过程或其他未规定于7.4.3中的服务不应[02.21]被操作员用于核

准的工作模式中,除非非核准的密码算法或安全功能是核准的过程的一部分,而且与核准的过程的安全

无关。例如,使用非核准的密码算法或非核准的方式生成的密钥,混淆数据或关键安全参数,结果也被

视为未受保护的明文,且不能提供安全相关功能。

7.2.4.2 正常工作

正常工作是指算法、安全功能、服务或过程的完整集合都是可用的和/或可配置的。

核准的和非核准的服务和工作模式的关键安全参数应[02.22]相互分离,例如,不共享或不相互访

问。核准的随机数生成器的输出可以提供给非核准的算法、安全功能或过程,只要随机数生成器种子无

法在非核准的模式中访问就无需置零种子。

密码模块的安全策略应[02.23]为密码模块所包括的每个工作模式(核准的和非核准的)定义完整

的服务集合。

当服务正在以核准的方式使用核准的密码算法、安全功能或过程,以及其他规定于7.4.3中的服务

或过程的时候,该服务应[02.24]给出相应的状态指示。

7.2.4.3 降级工作

降级工作是指当密码模块进入错误状态后,某些算法、安全功能、服务或过程的操作集合仍然是可

用的和/或可配置的。本文件要求当密码模块出现任何错误,都应[02.25]进入错误状态并停止工作,不

能降级工作。

7.3 密码模块接口

7.3.1 密码模块接口通用要求

所有进出密码模块的逻辑信息流,都应[03.01]只能通过已定义的物理端口和逻辑接口,这些端口

和接口是出入密码边界的入口和出口。密码模块逻辑接口应[03.02]是相互分离的,这些逻辑接口可以

共享一个物理端口(例如,输入数据和输出数据可以使用同一个端口),或者逻辑接口也可以分布在一个

或多个物理端口上(例如,输入数据可以通过串口也可以通过并口)。密码模块软件部件的应用程序接

口可以定义为一个或多个逻辑接口。

密码模块文档应[03.03]按照A.2.3的要求编写。

7.3.2 接口类型

密码模块的接口类型包括下列类型。

———硬件密码模块接口。该接口定义为用于请求硬件密码模块服务的命令全集,请求服务的命令

10

GM/T0028—2024

中包括输入到密码模块或者由密码模块输出的参数。

———软件或固件密码模块接口。该接口定义为用于请求软件或固件密码模块服务的命令全集,请

求服务的命令中包括输入到密码模块或者由密码模块输出的参数。

———混合固件或混合软件密码模块。该接口接口定义为用于请求混合固件或混合软件密码模块服

务的命令全集,请求服务的命令中包括输入到密码模块或者由密码模块输出的参数。

7.3.3 接口定义

密码模块应[03.04]根据实际需要,具备下列接口(“输入”和“输出”是相对于密码模块而言的)。

———数据输入接口。由密码模块处理的所有输入数据(通过“控制输入”接口输入的控制信息除

外),包括明文、密文、敏感安全参数和另一个密码模块的状态信息,应[03.05]通过“数据输入”

接口输入。当密码模块执行7.10中自测试时,密码模块可以通过数据输入接口接收数据。

———数据输出接口。除“状态输出”接口输出的状态信息以及通过“控制输出”接口输出的控制信息

之外,所有从密码模块输出的输出数据,包括明文、密文和敏感安全参数等,应[03.06]通过“数

据输出”接口输出。在执行手动输入、运行前自测试、软件/固件加载和置零的过程中,或者当

密码模块处在错误状态时,应[03.07]禁止通过“数据输出”接口输出数据。

———控制输入接口。所有用于控制密码模块运行的输入命令、信号及控制信息(包括手动控制如开

关、按钮和键盘,以及功能调用)应[03.08]通过“控制输入”接口输入。

———控制输出接口。所有用于控制密码模块运行的输出命令、信号及控制信息(例如,对另一个密

码模块的控制命令)应[03.09]通过“控制输出”接口输出。当密码模块处于错误状态时,应

[03.10]禁止通过“控制输出”接口的控制输出,除非在安全策略中规定了一些例外情况。

———状态输出接口。所有用于指示密码模块状态的输出信号、指示器和状态信息[包括返回码和物

理指示器,例如视觉的(显示器,指示灯),声音的(蜂鸣器提示音,响铃),以及机械的(振动

器)],应[03.11]通过“状态输出”接口输出。状态输出可以是显式的或隐式的。

除软件密码模块以外,所有密码模块还应[03.12]具备下列接口。

———电源接口。输入密码模块的所有外部电能应[03.13]通过电源端口输入。电源端口不是必需

的,当所有能量由密码模块的密码边界内部提供或维持时(例如,通过内部电池),电源接口可

以不存在。

密码模块应[03.14]区分数据、控制信息和电源的输入,以及数据、控制信息、状态信息的输出。密

码模块规格应[03.15]明确规定输入数据以及控制信息的格式,包括对所有可变长度输入的长度限制。

7.3.4 可信信道

可信信道是在密码模块和发送者或接收者之间建立的链路,用于安全传输未受保护的明文密钥分

量、鉴别数据以及其他关键安全参数。明文密钥分量指的是未经加密的密钥分量,或由非核准的方法混

淆的密钥分量。可信信道在密码模块定义的输入或输出端口以及预期的发送者或接收者终端的通信链

路上,可以防止窃听以及来自恶意的操作员/实体、进程或其他设备的物理或逻辑篡改。

a) 安全一级和二级

对于安全一级和二级,没有可信信道要求。

b) 安全三级

对于安全三级,应满足下列要求。

———密码模块应[03.16]实现可信信道,用于在密码模块与发送者或接收者终端之间传输未受

保护的明文密钥分量、鉴别数据以及其他关键安全参数。

———可信信道应[03.17]防止在通信链路上的非授权修改、替换和泄露。

———可信信道使用的物理端口应[03.18]与其他物理端口实现物理隔离;或可信信道使用的逻

11

GM/T0028—2024

辑接口应[03.19]与其他逻辑接口实现逻辑隔离。

———基于身份的鉴别应[03.20]用于所有使用可信信道的服务。

———当可信信道在使用时,应[03.21]提供状态指示器。

c) 安全四级

对于安全四级,除了安全三级的要求以外,基于身份的多因素鉴别应[03.22]用于所有使用可

信信道的服务。

7.4 角色、服务和鉴别

7.4.1 角色、服务和鉴别通用要求

密码模块应[04.01]支持操作员的授权角色以及与每个角色相对应的服务。一个操作员可以担任

多种角色。如果密码模块支持多个操作员同时操作,那么密码模块内部应[04.02]确保各个操作员担任

的角色相互隔离及相应的服务相互隔离。当服务执行不会修改、泄露或替换关键安全参数和公开安全

参数时,例如,显示状态、自测试或者其他不影响密码模块安全的服务,操作员无需担任一个授权角色。

密码模块可能需要鉴别机制,以鉴别操作员对密码模块的访问,以及验证操作员是否被授权担任请

求的角色和执行该角色下的服务。

密码模块文档应[04.03]按照A.2.4中规定的要求编写。

7.4.2 角色

密码模块应[04.04]至少支持密码主管角色。密码主管角色应[04.05]负责执行密码初始化或管理

功能,以及常用的安全服务,例如,密码模块初始化、关键安全参数和公开安全参数的管理以及审计

功能。

密 码模块可以支持用户角色。如果密码模块支持用户角色,那么用户角色应[04.06]负责执行一般

的安全服务,包括密码操作和其他核准的安全功能。

密码模块可以支持维护员角色。维护员角色是指在物理维护服务(例如,打开密码模块封盖)和/或

逻辑维护服务(例如,运行某种诊断如内置的自测试)时担任的角色。当进入或退出维护员角色时,所有

不受保护的敏感安全参数应[04.07]被置零。

除了上述角色以外,密码模块还可支持其他角色。

7.4.3 服务

7.4.3.1 服务通用要求

服务应[04.08]指的是密码模块所能执行的所有服务、操作或功能。服务输入应[04.09]包括密码

模块在启动或获取特定服务、操作或功能时,所使用的所有数据或控制输入。服务输出应[04.10]包括

由服务输入启动或获取的服务、操作或功能,所产生的所有数据和状态输出。每个服务输入应[04.11]

产生一个服务输出。

密码模块应[04.12]为操作员提供下列服务。

a) 显示密码模块版本号。密码模块应[04.13]输出名称或密码模块标识符以及版本信息,这些信

息可以与密码模块的审验记录相关联。

b) 显示状态。密码模块应[04.14]输出当前的状态。其中可以包括响应服务请求的状态指示器

的输出。

c) 执行自测试。密码模块应[04.15]执行初始化和规定于7.10.2中的运行前自测试。

d) 执行核准的安全功能。密码模块应[04.16]至少执行一个在7.2.4中规定的核准的工作模式中

使用的核准的安全功能。

12

GM/T