6.2.2.3测评单元[02.0

6.2.2.4测评单元02.05

对于运行于可修改环境中的软件密码模块，应满足GB/T37092一2018中7.8规定的非入侵式安全 中的所有适用要求；GB/T37092一2018中7.7规定的物理安全要求是可选的。 送检材料要求： 本条不单独提供材料。 检测程序要求： 本条不单独进行检测。

排水标准规范范本6.2.2.5测评单元[02.06

GB/T386252020

安全要求： 对于混合密码模块，应满足GB/T37092一2018中7.5规定的软件/固件安全、7.6规定的运行环境、 7.7规定的物理安全和7.8规定的非人侵式安全中的所有适用要求。 送检材料要求： 本条不单独提供材料。 检测程序要求： 本条不单独进行检测

安全要求： 对于混合密码模块，应满足GB/T37092一2018中7.5规定的软件/固件安全、7.6规定的运行环境、 7.7规定的物理安全和7.8规定的非人侵式安全中的所有适用要求。 送检材料要求： 本条不单独提供材料。 检测程序要求： 本条不单独进行检测

6.2.3.1密码边界通用要求

6.2.3.1.1检测且的

密码边界通用要求检测包括8个测评单元，检测送检厂商定义的密码边界是否明确，与安全相关 法、安全功能、过程和部件是否位于边界内，被排除的硬件、软件或固件部件是否与安全相关，并检 码模块的名称是否能代表密码边界内的部件构成。

6.2.3.1.2测评单元[02.07

密码边界应由定义明确的边线（例如，硬件、软件或固件部件的集合）组成，该边线建立了密码模块 所有部件的边界。 送检材料要求： 送检厂商的文档中应详细说明密码边界内的所有部件。 检测程序要求： a）检测人员应通过文档审查和模块检查核实所有部件在密码边界内。 b）检测人员应通过文档审查和模块检查核实没有未标识的部件在密码边界内。

2.3.1.3测评单元[02.0

GB/T37092一2018的要求应适用于密码边界内的所有算法、安全功能、过程和部件。 送检材料要求： 本条不单独提供材料。 检测程序要求： 本条不单独进行检测

6.2.3.1.4测评单元[02.09

安全要求： 密码边界应至少包含密码模块内所有安全相关的算法、安全功能、过程和部件（即GB/T37092 2018范围内与安全相关的）。 送检材料要求： 送检厂商应提供密码边界内所有与安全相关的算法、安全功能、过程和部件的清单，安全功能包招

安全要求： 密码边界应至少包含密码模块内所有安全相关的算法、安全功能、过程和部件（即GB/T37092 2018范围内与安全相关的）。 送检材料要求： 送检厂商应提供密码边界内所有与安全相关的算法、安全功能、过程和部件的清单，安全功能包招

租不限于： 分组密码； 流密码； 非对称密码算法和技术； 消息鉴别码； 杂漆函数； 实体鉴别； 密钥管理； 随机数生成器。 检测程序要求： 检测人员应核实送检厂商的文档中明确标识和列出密码边界内所有与安全相关的算法、安全功能 过程和部件。

但不限于： 分组密码； 流密码； 非对称密码算法和技术； 消息鉴别码； 杂凑函数； 实体鉴别； 密钥管理； 随机数生成器。 检测程序要求： 检测人员应核实送检厂商的文

6.2.3.1.5测评单元[02.10

3.1.5测评单元[02.10

用于核准工作模式的非安全相关的算法、安全功能、过程和部件的实现应不干扰或破坏密码模块核 准的运行。 送检材料要求： 送检厂商的文档中应列出用于核准的工作模式的非安全相关的算法、安全功能、过程和部件，并且 证明它们不干扰或破坏密码模块核准的运行。 检测程序要求： a）检测人员应通过文档审查和模块检查核实非安全相关的算法、安全功能、过程和部件的实现不 干扰或破坏密码模块核准的运行。 检测人员应核实送检厂商提供的不干扰或破坏的任何理由的正确性。举证责任在送检厂商 如果有任何不确定性或模糊性，检测人员应要求送检厂商出示所需的进一步信息

用于核准工作模式的非安全相关的算法、安全功能、过程和部件的实现应不干扰或破坏密码模块核 准的运行。 送检材料要求： 送检厂商的文档中应列出用于核准的工作模式的非安全相关的算法、安全功能、过程和部件，并且 证明它们不干扰或破坏密码模块核准的运行。 检测程序要求： a）检测人员应通过文档审查和模块检查核实非安全相关的算法、安全功能、过程和部件的实现不 干扰或破坏密码模块核准的运行。 b） 检测人员应核实送检厂商提供的不干扰或破坏的任何理由的正确性。举证责任在送检厂商， 如果有任何不确定性或模糊性，检测人员应要求送检厂商出示所需的进一步信息

6.2.3.1.6测评单元[02.11

安全要求： 密码模块的名称应代表密码边界内的部件构成，不应代表大于实际范围的构成或产品。 送检材料要求： 送检厂商的文档中应提供密码模块的名称。 检测程序要求： a）检测人员应核实送检厂商提供的密码模块的名称与密码边界内的部件构成一致。 b）检测人员应核实密码模块的名称并未代表与密码边界内的部件构成不一致的部件或功能 构成。

安全要求： 密码模块的名称应代表密码边界内的部件构成，不应代表大于实际范围的构成或产品。 送检材料要求： 送检厂商的文档中应提供密码模块的名称。 检测程序要求： a）检测人员应核实送检厂商提供的密码模块的名称与密码边界内的部件构成一致。 b）检测人员应核实密码模块的名称并未代表与密码边界内的部件构成不一致的部件或功能 构成

6.2.3.1.7测评单元[02.12

安全要求： 密码模块应至少具有代表每个互不相同的硬件、软件和/或固件部件的特定版本信息 送检材料要求： 送检厂商应提供密码模块每个互不相同的硬件、软件和/或固件部件的特定版本信息

GB/T386252020

检测程序要求： 检测人员应核实送检厂商为密码模块的每个互不相同的硬件、软件和/或固件部件提供了特定版本 信息。 6.2.3.1.8测评单元[02.13] 安全要求： 密码边界内的某些硬件、软件和/或固件部件可以从GB/T37092一2018的要求中排除。被排除的 硬件、软件或固件部件的实现应不干扰或破坏密码模块核准的安全运行。 送检材料要求： 本条不单独提供材料。 检测程序要求： 本条作为测评单元[02.14]的一部分进行检测。 6.2.3.1.9测评单元[02.14] 安全要求： 密码模块规格的文档中应阐明被排除的硬件、软件或固件。 送检材料要求： a）所有被排除在GB/T37092一2018安全要求之外的硬件、软件和/或固件部件都应在送检厂商 的文档中明确列出。 b）送检厂商的文档中应提供每个部件被排除的理由。送检厂商应表明即使发生故障或误用，每 个部件也不会干扰或破坏密码模块核准的安全功能的运行。 检测程序要求： a）检测人员应核实送检厂商是否表明模块的某些部件排除在GB/T37092一2018的安全要求 之外。 b） 如果送检厂商已经表明模块的某些组件从GB/T37092一2018中排除，检测人员应核实每个 排除的理由均被提供。这些理由应表明即使部件出现故障，也不会造成关键安全参数、明文数 据或其他一旦误用就可能导致危险的信息的泄露。如有以下证据的支持，这些理由将被视为 可接受的： 一该组件不处理关键安全参数、明文数据或其他一旦误用就可能导致危险的信息； 一该部件不与模块中允许以不恰当方式传递关键安全参数、明文数据或其他一旦被误用就 可能导致危险的信息的安全相关部件连接； 所有由部件处理的信息应严格供模块内部使用，并不能以任何方式影响到与模块连接的 设备。 c）检测人员应核实由送检厂商提供的所有排除理由的正确性。举证责任在送检厂商；如果有任 何不确定性或模糊性，检测人员应要求送检厂商出示所需的进一步信息

检测性序要求 检测人员应核实送检厂商为密码模块的每个互不相同的硬件、软件和/或固件部件提供了特定版本 信息。 6.2.3.1.8测评单元[02.13] 安全要求： 密码边界内的某些硬件、软件和/或固件部件可以从GB/T37092一2018的要求中排除。被排除的 硬件、软件或固件部件的实现应不干扰或破坏密码模块核准的安全运行。 送检材料要求： 本条不单独提供材料。 检测程序要求： 本条作为测评单元[02.14]的一部分进行检测。 6.2.3.1.9测评单元[02.14] 安全要求： 密码模块规格的文档中应阐明被排除的硬件、软件或固件。 送检材料要求： a）所有被排除在GB/T37092一2018安全要求之外的硬件、软件和/或固件部件都应在送检厂商 的文档中明确列出。 b）送检厂商的文档中应提供每个部件被排除的理由。送检厂商应表明即使发生故障或误用，每 个部件也不会干扰或破坏密码模块核准的安全功能的运行。 检测程序要求： a）检测人员应核实送检厂商是否表明模块的某些部件排除在GB/T37092一2018的安全要求 之外。 b） 如果送检厂商已经表明模块的某些组件从GB/T37092一2018中排除，检测人员应核实每个 排除的理由均被提供。这些理由应表明即使部件出现故障，也不会造成关键安全参数、明文数 据或其他一旦误用就可能导致危险的信息的泄露。如有以下证据的支持，这些理由将被视为 可接受的： 一该组件不处理关键安全参数、明文数据或其他一旦误用就可能导致危险的信息； 一该部件不与模块中允许以不恰当方式传递关键安全参数、明文数据或其他一旦被误用就 可能导致危险的信息的安全相关部件连接： 所有由部件处理的信息应严格供模块内部使用，并不能以任何方式影响到与模块连接的 设备。 c）检测人员应核实由送检厂商提供的所有排除理由的正确性。举证责任在送检厂商；如果有任 何不确定性或模糊性，检测人员应要求送检厂商出示所需的进一步信息

6.2.3.2密码边界的定义

6.2.3.2.1检测目的

密码边界的定义检测包括4个测评单元，检测送检的密码模块的密码边界的划界是否与 块类型相匹配。

GB/T 386252020

6.2.3.2.2测评单元[02.15]

6.2.3.2.2测评单元[02

硬件密码模块的密码边界应划界并确定： 硬件部件集合，可包括： 在部件之间提供互联的物理配线的物理结构，包括电路板、基板或其他表面贴装； 有效电器元件，如半集成、定制集成或通用集成的电路、处理器、内存、电源、转换器等； 外壳、灌封或封装材料、连接器和接口之类的物理结构； 固件，可以包含操作系统； 上面未列出的其他部件类型

送检厂商的文档中应标识硬件密码模块的所有硬件部件，并提供部件清单。 送检厂商的文档中应标明模块的内部布局和安装方式（例如，固定件和安装件），包括近似比例 的图纸。 送检厂商的文档中应描述模块的主要物理参数，包括对外壳、接人点、电路板、电源位置、电路 接线、冷却系统以及其他关键参数的说明。 送检厂商的文档应包括表示模块边界和其硬件部件相互关系的框图。 序要求： 检测人员应核实送检厂商的文档中包括部件清单，该部件清单包括密码模块的所有硬件部件。 检测人员应识别密码模块的所有硬件部件，并核实部件清单包括以下所有出现类型的部件，但 不包括未在模块中使用的部件类型： 处理器，包括微处理器、数字信号处理器、定制处理器、微控制器、或任何其他类型的处 理器； 存储程序的可执行代码和数据的ROM集成电路，这可能包括掩膜编程ROM、可编程 ROM(PROM)如紫外线可擦除PROMEPROM）、电可擦除PROM(EEPROM)或Flash 存储器； RAM或其他用于临时数据存储的集成电路； 半定制、专用集成电路，如门阵列、可编程逻辑阵列、现场可编程门阵列或其他可编程逻辑 元件； 全定制、专用集成电路，包括任何自定义的密码集成电路； 其他的有源电子电路元件（如果无源电路元件作为密码模块的一部分但不提供相关安全 功能，送检厂商就不必将其列出，如上拉/下拉电阻或旁路电容这样的元件）； 电源部件，包括电源、电压转换模块（例如，交流一直流或直流一直流模块）、变压器、输入 电源连接器和输出电源连接器； 电路板或其他表面贴装； 外壳，包括任何门或封盖； 加密模块外部设备或任何主要的独立子模块之间的物理连接器； 软件和/或固件部件； 其他上面未列出的部件类型。 检测人员应核实部件清单和其他条的条款提供的材料一致，其定义如下： 安全要求02.07中要求的密码模块的边界规格。核实所有在密码边界内的部件已包含

GB/T386252020

在部件清单内，所有密码模块边界外的部件没有被列为密码模块部件。 安全要求[A.01要求的框图规格。核实框图中的所有个体部件（如微处理器、存储器）也 在部件清单中都有列出。 一安全要求[02.14]规定的被从GB/T37092一2018安全要求排除的部件。核实这些部件 仍然在部件清单中列出。 d）检测人员应核实密码边界是物理连续的，以保证没有任何漏洞可以让非受控的输人、输出或其 他接口进入密码模块。（物理和拆卸保护的要求在GB/T37092一2018中7.7有说明。）模块设 计还应确保密码模块没有不受控的输入输出接口，这些接口可能泄漏关键安全参数、明文数据 或其他一且被误用就可能导致破坏的信息。 e 检测人员应核实密码边界包括了在安全要求A.01要求的框图中标识的所有输人、输出或关 键安全参数处理、明文或其他一且被误用就可能导致破坏的信息部件。 作为上述要求的一个部分特例，送检厂商可在满足安全要求[02.13」的要求后被充许从 GB/T37092一2018的要求中排除某些特定部件。送检厂商可以与处理排除在密码边界之外 的部件一样有效的处理上述部件。这种情况下，检测人员应核实被排除部件和其他模块之间 的所有接口或物理连接，不准许不受控的泄露关键安全参数、明文数据，或其他一旦被误用就 可能导致破坏的信息。 g 检测人员应核实送检厂商的文档中包含近似比例的图纸，其中展示了模块的内部布局，包括主 要可识别部件的位置和大致尺寸。 h 检测人员应核实送检厂商的文档中显示了模块的主要物理部件以及它们是如何安装或插入到 模块中的。 1 检测人员应核实送检厂商的文档中描述了模块的主要物理参数。这至少包括以下内容： 外壳的形状和大致尺寸，包括所有的门或封盖； 电路板大致尺寸，布局和内部连接； 电源，电源转换器和电源输人及输出的位置； 电路接线：通路和端子； 冷却系统，如导板、冷却气流、换热器、散热片、风扇或其他散热安排； 其他上面未列出的部件类型。 i）检测人员应核实送检厂商提供的框图能够表示模块边界和其硬件部件相互关系

6.2.3.2.3测评单元[02.16

6.2.3.2.3测评单元[02.16

安全要求： 软件密码模块的密码边界应划界并确定： 构成密码模块的可执行文件或文件集； 保存在内存中并由一个或多个处理器执行的密码模块的实例。 送检材料要求： a）送检厂商的文档中应标识软件密码模块的所有软件部件，并提供部件清单。 b）送检厂商的文档中应表明内部软件架构，包括软件部件是如何交互的。 C 送检厂商的文档中应说明密码模块所运行的软件环境（例如，操作系统、运行时库等）。 检测程序要求： a 检测人员应核实送检厂商的文档中包括部件清单，该部件清单包括密码模块的所有软件部件

GB/T 386252020

类型： 构成密码模块的可执行文件或文件集； 保存在内存中并由一个或多个处理器执行的密码模块的实例。 C 检测人员应核实送检厂商的文档描绘的软件部件交互的内部软件架构准确。还应核实模块内 的重要信息流和在密码模块内执行的过程，以及所有输人或输出到密码模块边界外的信息的 清单。 d 检测人员应核实送检厂商的文档中说明的密码模块所运行的软件环境（例如，操作系统、运行 时库等）

6.2.3.2.4测评单元[02.17]

固件密码模块的密码边界应划界并确定： 构成密码模块的可执行文件或文件集； 保存在内存中并由一个或多个处理器执行的密码模块的实例。 送检材料要求： a）送检厂商的文档中应标识固件密码模块的所有固件部件，并提供部件清单。 b）送检厂商的文档中应表明内部固件架构，包括固件部件是如何交互的。 送检厂商的文档中应说明密码模块所运行的固件环境（例如，操作系统、运行时库等）。 检测程序要求： a） 检测人员应核实送检厂商的文档中包括部件清单，该部件清单包括密码模块的所有固件部件。 b） 检测人员应核实部件清单包括以下所有出现类型的部件，但不包括未在模块中使用的部件 类型： 构成密码模块的可执行文件或文件集； 保存在内存中并由一个或多个处理器执行的密码模块的实例。 c）检测人员应核实送检厂商的文档中描绘的固件部件交互的内部软件架构准确。还应核实模块 内的重要信息流和在密码模块内执行的过程，以及所有输人或输出到密码模块边界外的信息 的清单。 d）检测人员应核实送检厂商的文档中说明的密码模块所运行的固件环境，

6.2.3.2.5测评单元[02.18

混合密码模块的密码边界应： 由密码模块硬件部件的边界以及分离的软件或固件部件的边界构成； 包含每个部件所有端口和接口的集合。 注：混合密码模块除了分离的软件或固件部件，密码模块的硬件部件还可以包含嵌人式的软件或固件。 送检材料要求： a）送检厂商的文档中应标识密码模块的类型是混合软件模块还是混合固件模块： 混合软件模块应满足送检材料要求L02.15|a）～送检材料要求L02.15|d)和送检材料要求 [02.16]a～送检材料要求[02.16]c)的要求； 混合固件模块应满足送检材料要求[02.15]a)～送检材料要求[02.15]d)和送检材料要求 [02.17a)～送检材料要求[02.17]c)的要求

GB/T386252020

a 检测人员应核实送检厂商的文档中标识了密码模块的类型是混合软件模块还是混合固件 模块： 混合软件模块应满足检测程序要求L02.15」a）～检测程序要求L02.15]j)和检测程序要求 [02.16]a)～检测程序要求[02.16]d)的要求； 混合固件模块应满足检测程序要求L02.15」a）～检测程序要求L02.15]j)和检测程序要求 [02.17]a)～检测程序要求[02.17]d)的要求。

检测人员应核实送检厂商的文档中标识了密码模块的类型是混合软件模块还是混合固 模块： 混合软件模块应满足检测程序要求[02.15]a检测程序要求[02.15]j)和检测程序要 [02.16]a)～检测程序要求[02.16]d)的要求； 混合固件模块应满足检测程序要求[02.15]a）～检测程序要求[02.15]j)和检测程序要 02.17la）～检测程序要求[02.171d)的要求

6.2.4.1工作模式通用要求

6.2.4.1.1检测目的

工作模式通用要求检测包括3个测评单元，检测送检的密码模块的工作模式是否满足GB/T3 2018规定的通用要求。 6.2.4.1.2测评单元[02.19] 安全要求： 操作员应能够在核准的工作模式下操作密码模块。 送检材料要求： a）送检厂商的文档中应说明密码模块核准的工作模式。 b）送检厂商的文档中应描述如何启用核准的工作模式及方法 检测程序要求： a）检测人员应核实送检厂商的文档中包含了对核准的工作模式的描述。 b 检测人员应核实可以按照送检厂商的文档中描述的方法启用核准的工作模式。 检测人员应核实操作员可以在核准的工作模式下操作密码模块

6,2.4. 1,2 测评单元[02

6.2.4.1.3测评单元[02.20

核准的工作模式应定义为一组服务的集合，其中至少有一个服务使用了核准的密码算法、安全功能 或过程。 送检材料要求： a）送检厂商的文档中应说明密码模块核准的工作模式所使用的核准的密码算法、安全功能或过 程、以及那些规定于GB/T37092一2018中7.4.3的服务。 b）送检厂商应提供一份所有核准的密码算法、安全功能或过程的确认证书。 检测程序要求： a 检测人员应核实文档中所描述的核准的工作模式，至少有一个服务使用了核准的密码算法、安 全功能或过程，以及那些规定于GB/T37092一2018中7.4.3的服务或过程。 b） 检测人员应核实送检厂商提供的核准的密码算法、安全功能或过程的确认证书， ） 检测人员应核实文档中所描述的核准的工作模式，使用的安全功能符合GB/T37092一2018 中附录C的规定，

GB/T 386252020

6.2.4.1.4测评单元[02.21]

安全要求： 非核准的密码算法、安全功能和过程或其他未规定于GB/T37092一2018中7.4.3的服务不应被操 作员用于核准的工作模式中，除非非核准的密码算法或安全功能是核准的过程的一部分，而且与核准的 过程的安全无关（例如，使用非核准的密码算法或非核准的方式生成的密钥，混淆数据或关键安全参数， 结果也被视为未受保护的明文，且不能提供安全相关功能）。 送检材料要求： a）送检厂商应提供一份所有非核准的密码算法、安全功能和过程的清单。 b） 送检厂商的文档中应说明核准的工作模式中未使用非核准的密码算法、安全功能和过程或其 他未规定于GB/T370922018中7.4.3的服务。 c） 如果核准的工作模式中使用了非核准的密码算法或安全功能，送检厂商提供的文档中应说明 非核准的密码算法或安全功能是核准的过程的一部分，而且与核准的过程的安全无关，并且不 干扰或破坏密码模块核准的工作模式的运行。 d）送检厂商的文档中应解释为什么使用的非核准的密码算法、安全功能和进程与核准的进程操 作非安全相关。 检测程序要求： a） 检测人员应核实送检厂商提供的所有非核准的密码算法、安全功能和过程的清单。 b 检测人员应核实密码模块核准的工作模式中未使用非核准的密码算法、安全功能和过程或其 他未规定于GB/T37092一2018中7.4.3的服务， c 如果核准的工作模式中使用了非核准的密码算法或安全功能，检测人员应核实非核准的密码 算法或安全功能与核准的过程的安全无关、并且不干扰或破坏密码模块核准的工作模式的 运行。 d） 检测人员应核实送检厂商文档中上述解释的有效性。举证责任在送检厂商；如果有任何不确 定性或模糊性，检测人员应要求送检厂商出示所需的进一步信息

6.2.4.2正常工作

6.2.4.2.1检测且的

正常工作检测包括3个测评单元，检测送检的密码模块的正常工作是否满足GE 规定的安全要求。

正常工作检测包括3个测评单元，检测送检的密码模块的正常工作是否满足GB/T37092一2 定的安全要求。

6.2.4.2.2测评单元[02.22]

安全要求： 核准的和非核准的服务和工作模式的关键安全参数应相互分离（例如，不共享或不相互访问）。 送检材料要求： a）送检厂商的文档应提供完整的模块关键安全参数清单，并说明它们在核准的和非核准的服务 及工作模式中的作用。 b） 送检厂商的文档中应描述核准的和非核准的服务和工作模式的操作方式，并说明关键安全参 数是如何分离的。 验测程序要求： a） 检测人员应核实送检厂商的文档说明了各个关键安全参数在核准的和非核准的工作模式中的 作用。

安全要求： 核准的和非核准的服务和工作模式的关键安全参数应相互分离（例如，不共享或不相互访问）。 送检材料要求： a）送检厂商的文档应提供完整的模块关键安全参数清单，并说明它们在核准的和非核准的服务 及工作模式中的作用。 b） 送检厂商的文档中应描述核准的和非核准的服务和工作模式的操作方式，并说明关键安全参 数是如何分离的。 验测程序要求： a) 检测人员应核实送检厂商的文档说明了各个关键安全参数在核准的和非核准的工作模式中的 作用。

6.2.4.2.3测评单元[02.23

6.2.4.2.3测评单元[02.23

GB/T386252020

密码模块的安全策略应为密码模块所包括的每个工作模式（核准的和非核准的）定义完整的服务 集合。 送检材料要求： 送检厂商的安全策略文档中应为模块所包括的每个工作模式（核准的和非核准的）定义完整的服务 集合。 检测程序要求： 检测人员应核实安全策略文档为每个工作模式（核准的和非核准的）定义了服务集合，并核实服务 集合完整和准确。

6.2.4.2.4测评单元[02.24

6.2.4.3降级工作

6.2.4,3. 1检测且的

降级工作检测包括1个测评单元，检测送检的密码模块未提供降级工作功能。 2 4 3 2 测评,单 元 [ 2 25 7

6.2.4.3.2测评单元[02.25

安全要求： 本标准要求当密码模块出现任何错误，都应进人错误状态并停止工作，不能降级工作。 送检材料要求： 送检厂商的文档中应说明当密码模块出现任何错误，都进入错误状态并停止工作，不能降级工作 检测程序要求： a）检测人员应尝试密码模块出现错误，并确认密码模块是否进入错误状态。 b 检测人员应核实当密码模块进入错误状态后，算法、安全功能、服务或过程的操作集合不可用 和不可配置。

安全要求： 本标准要求当密码模块出现任何错误，都应进人错误状态并停止工作，不能降级工作。 送检材料要求： 送检厂商的文档中应说明当密码模块出现任何错误，都进入错误状态并停止工作，不能降级工作 检测程序要求： a）检测人员应尝试密码模块出现错误，并确认密码模块是否进入错误状态。 b 检测人员应核实当密码模块进人错误状态后，算法、安全功能、服务或过程的操作集合不可用 和不可配置。

6.3.1密码模块接口通用要求

6.3.1.1检测目的

密码模块接口通用要求检测包括3个测评单元，检测送检的密码模块是否满足GB/T370

口通用要求检测包括3个测评单元，检测送检的密码模块是否满足GB/T37092一2018

GB/T 386252020

规定的物理端口和逻辑接口要求，以及密码模块接口文档是否按照GB/T37092一2018规定的要求 编写。

6.3.1.2测评单元[03.0

所有进出密码模块的逻辑信息流，都应只能通过已定义的物理端口和逻辑接口，这些端口和接口是 人密码边界的人口和出口。 送检材料要求： a）送检厂商的文档中应说明密码模块的每个物理端口和逻辑接口，包括： 物理端口和引脚分配； 物理封盖，门或开口； 逻辑接口（如，API和所有其他的数据/控制/状态信号）、信号名称和功能； 用于物理控制输入的手动控制（如，按钮或开关）； 用于物理状态输出的物理状态指示仪（如，指示灯或显示器）； 逻辑接口到物理端口、手动控制和模块物理状态显示之间的映射； 一上述端口和接口的物理的，逻辑的和电气的特性。 b）送检厂商文档中应通过GB/T37092一2018中A.2.2和B.2.2要求提供的框图、设计规格、源 代码以及原理图，说明密码模块的信息流和物理接人点。同时还需提供其他有助于明确说明 信息流、物理接人点和物理端口、逻辑接口的关系的文档。 C） 对于密码模块的每一个物理或逻辑的输入，以及物理或逻辑的输出，送检厂商的文档中应明确 逻辑接口所对应的物理输入或输出

a）检测人员应核实送检厂商的文档说明了密码模块的每个物理端口和逻辑接口。所需的说明应 包： 所有的物理输入和输出端口，包括它们引脚排列，模块内的物理位置，经过每个端口的逻 辑信号的总览，以及两个或多个信号共享同一个物理引脚时的信号流的时序； 所有的物理封盖，门或开口，包括它们在模块内的物理位置，以及通过每个封盖/门/开口 可访问和/或修改的部件或功能； 所有的逻辑输入和输出接口（如，API和所有其他的数据/控制/状态信号），包括列写或注 释的所有逻辑数据和控制输入以及数据和状态输人的框图，以及信号名称和功能的清单 和描述； 所有用于物理输入控制信号的手动控制，如开关或按钮，包括它们在密码模块内的位置 以及可手动输入的控制信号的描述和清单： 所有的物理状态指示，包括它们在模块内的物理位置和物理输出状态指示信号的清单和 描述； 逻辑输人输出接口到物理输人输出端口、手动控制、以及密码模块物理状态指示之间的 映射； 上述物理端口和接口的物理，逻辑和电气特性，包括引脚分配总览，加载到每个端口的逻 辑信号，电压幅值及它们的逻辑含义（如，高或低电平代表逻辑“0”“1”或其他意思）和信号 的时序。 b）检测人员应通过检查GB/T37092一2018中A.2.2和B.2.2要求提供的框图、设计规格、源代

GB/T386252020

码以及原理图，以核实送检厂商的文档说明了密码模块的所有信息流和物理接人点信息。文 档还应说明密码模块信息流和物理访问点与密码模块逻辑接口和物理端口之间的关系。 检测人员应核实对于每个密码模块的物理或逻辑输人，以及物理或逻辑输出，送检厂商的文档 明确逻辑接口所对应的物理输人或输出。 检测人员应通过检查密码模块，核实送检厂商文档中的说明与密码模块的实际设计一致。

6.3.1.3测评单元[03.02

密码模块逻辑接口应是相互分离的，这些逻辑接口可以共享一个物理端口（例如，输入数据和输出 数据可以使用同一个端口），或者逻辑接口也可以分布在一个或多个物理端口上（例如，输入数据可以通 过串口也可以通过并口）。 注：密码模块软件部件的API可以定义为一个或多个逻辑接口。 送检材料要求： a）送检厂商的设计应根据安全要求[03.04]所列的类别将模块的接口分成逻辑上不同和相互分 离的类别，并且如果适用，安全要求[03.12]亦可作为依据。这些信息应符合安全要求[03.01] 描述的逻辑接口和物理端口的规格。 b）送检厂商的文档中应提供每类逻辑接口到密码模块的物理端口的之间的映射。逻辑接口可以 在物理上分布在多个物理端口上，或两个或多个逻辑接口可以共享一个物理端口。如果两个 或多个逻辑接口共享同一物理端口，送检厂商的文档中应说明这些不同类别接口的信息流是 如何在逻辑上相互分离的。 验测程序要求： a）检测人员应通过分析送检厂商的文档和检查密码模块来核实，模块的接口从逻辑上可分成不 同的和相互独立的类别（如安全要求[03.04]和安全要求[03.12]所述）。所有这些信息应符合 安全要求[03.01］规定的逻辑接口和物理端口设计规范和规格。 检测人员应核实送检厂商的文档中提供了每个类别的密码模块的逻辑接口到物理端口的映 射。逻辑接口可以在物理上分布在一个或多个物理端口，或者两个或更多的逻辑接口可以共 享一个物理端口。如果两个或多个接口共享相同的物理端口，检测人员应核实送检厂商的文 档中说明了输入、输出、控制和状态接口上的信息流在逻辑上是如何相互分离的

6.3.1.4测评单元[03.03

密码模块接口文档应按照GB/T37092一2018中A.2.3的要求编写 送检材料要求： 送检厂商的文档中密码模块接口部分应按照GB/T37092一2018中A.2.3的要求编写。 检测程序要求： 检测人员应核实文档中密码模块接口部分满足GB/T37092一2018中A.2.3的要求

密码模块的接口类型包括： 硬件密码模块接口定义为用于请求硬件密码模块服务的命令全集，请求服务的命令中包括输 人到密码模块或者由密码模块输出的参数。 软件或固件密码模块接口定义为用于请求软件或固件密码模块服务的命令全集，请求服务的

GB/T 386252020

命令中包括输人到密码模块或者由密码模块输出的参数。 混合固件或混合软件密码模块接口定义为用于请求混合固件或混合软件密码模块服务的命令 全集，请求服务的命令中包括输入到密码模块或者由密码模块输出的参数。 注：本条没有应检测的条款。

6.3.3. 1 检测且目的

密码模块接口定义检测包括12个测 码模块是否具备GB/T37092一2018规 定的5种接口：数据输入接口、数据输出接口、控制输人接口、控制输出接口和状态输出接口，以及对于 非软件密码模块是否具备电源接口，并检测是否满足针对每种接口规定的安全要求。

6.3.3.2测评单元[03.04

密模块应具备下列5种按 和“撤出是相对于密码模块而言的）： 数据输人接口； 数据输出接口； 控制输人接口； 控制输出接口； 状态输出接口，

送检厂商的文档中应通过以下5个不同定义的逻辑接口（“输人”和“输出”是从模块的角度表示)将 密码模块接口分成逻辑上不同且隔离的类别： 数据输入接口（作为AS03.05中规定的数据输入）： 数据输出接口（作为AS03.06和AS03.07中规定的数据输出）； 控制输人接口（作为AS03.08中规定的命令输人）； 控制输出接口（作为AS03.09和AS03.10中规定的命令输出）； 状态输出接口（作为AS03.11中规定的状态信息输出）。 检测程序要求： 检测人员应核实送检厂商的文档中说明了送检材料要求[03.04]列出的5个逻辑接口已在密码模 块内设计。如果是，则核实密码模块内的逻辑接口应按安全要求[03.05]安全要求[03.11]中的功能 实现。

6.3.3.3测评单元[03.05

安全要求： 由密码模块处理的所有输人数据（通过“控制输入”接口输人的控制数据除外），包括明文、密文、敏 感安全参数和另一个密码模块的状态信息，应通过“数据输人”接口输人。 送检材料要求： a）密码模块应有数据输入接口。所有输入到模块和由模块处理的数据（除通过控制输人接口输 人的控制数据）应通过数据输人接口进人，包括： 明文数据； 密文或签名数据：

GB/T386252020

加密密钥和其他密钥管理数据（明文或密文）； 认证数据（明文或加密的）； 一来自外部源的状态信息； 一其他输人数据。 b）若适用，送检厂商的文档中应说明所有与密码模块同时使用的外部输人设备，此设备用于输人 数据到数据输人接口，如智能卡、令牌、键盘、密钥加载器和/或生物识别设备。 则程序要求： a）检测人员应通过检查，核实密码模块包括数据输入接口，并且其功能如前所述。检测人员应核 实所有输人到模块和由密码模块处理的（除控制数据通过控制输人接口进人外）数据经数据输 人接口进人，包： 待加密或签名的明文数据； 用于由模块解密或验证的密文及签名数据： 输人到模块或由模块使用的明文或加密密钥以及其他密钥管理，包括数据和向量初始化 分片密钥信息，和/或密钥核算信息（其他密钥管理要求包含在GB/T37092一2018的 7.9中）； 一输人到密码模块的明文或加密认证数据，包括登录口令，PIN，和/或生物识别设备； 来自外部源的状态信息（如，其他密码模块或设备）； 除安全要求03.08」中涵盖的控制信息外，任何其他输人到密码模块中用于处理或存储的 信息。 b）检测人员应核实送检厂商的文档中是否说明了任何与密码模块一起使用并用于输入数据到数 据输人接口的外部输入设备，如智能卡、令牌、键盘、密钥加载器和或生物识别设备。检测人员 应使用外部输入设备输入数据到数据输入接口，并使用该外部输入设备核实该输入数据。

6.3.3.4测评单元[03.0

安全要求： 除“状态输出”接口输出的状态数据以及通过“控制输出”接口输出的控制数据之外，所有从密码模 快输出的输出数据，包括明文、密文和敏感安全参数等，应通过“数据输出”接口输出。 送检材料要求： a） 密码模块应具有数据输出接口。所有已被处理以及由密码模块输出的数据（除通过状态输出 接口输出的状态字外），包括： 明文数据； 一密文数据和数字签名； 一加密密钥和其他密钥管理数据（明文或加密的）； 一对外部目标的控制信息； 经过处理或存储后从密码模块输出的其他信息 若适用，送检厂商的文档中应说明所有和密码模块同时使用并用于从数据输出接口输出数据 的外部输出设备，如智能卡、令牌、显示器、和/或其他存储设备。 验测程序要求： a）检测人员应通过检查，核实密码模块具有如前所述的数据输出接口和数据输出接口功能。检 测人员应核实所有被密码模块处理的和由模块输出的数据（除通过状态数据输出接口输出的 状态数据外），包括：

GB/T 386252020

已由密码模块解密的明文数据； 已加密的密文数据，和由密码模块生成的数字签名； 在内部产生并由模块输出的明文或加密密钥以及其他密钥管理数据，包括初始化数据和 向量，分片密钥信息，和/或密钥统计信息（其他的密钥管理要求在GB/T37092一2018的 7.9中）； 密码模块输出外部目标的控制信息（如，另一个密码模块或设备）： 其他由密码模块处理或存储后输出的信息，安全要求L03.11中说明的状态信息例外。 检测人员应核实送检文档中是否说明了任何与密码模块同时使用并用于从数据输出接口输出 数据的外部输出设备，如智能卡、令牌、显示器和/或其他存储设备。检测人员应使用外部输出 设备从外部输出接口输出数据，并使用该外部输出设备核实该输出数据，

6.3.3.5测评单元[03.0

在执行手动输入、运行前自测试、软件/固件加载和置零的过程中，或者当密码模块处在错误状态 应禁止通过“数据输出”接口输出数据。 材料要求： a）送检厂商的文档中应说明在执行手动输入、运行前自测试、软件/固件加载和置零的过程中，或 者当密码模块处在错误状态时，密码模块如何禁止数据输出 送检厂商的文档中应说明密码模块的设计如何能确保在执行手动输人、运行前自测试、软件/ 固件加载和置零的过程中，或者当密码模块处在错误状态时，数据输出接口禁止输出所有 数据。 程序要求： a）检测人员应核实送检厂商的文档说明了数据输出接口禁止输出所有数据： 在执行手动输人、运行前自测试、软件/固件加载和置零的过程中； 或者当密码模块处在错误状态时。 该检测程序可以重述如下： 检测人员应从送检文档中核实一且以下的每一个服务启动：手动输入、运行前自测试、软 件/固件加载或置零，从数据输出接口禁止输出所有数据，直到服务成功完成； 检测人员应从送检文档中核实一旦检测到一个错误条件或进人了错误状态，从数据输出 接口禁止输出所有数据，直到错误恢复发生。 b）检测人员应使密码模块进入以下的每个状态，并验证此时数据输出接口禁止输出所有数据： 执行手动输人敏感安全参数状态； 执行运行前自测试的状态； 执行软件/固件加载状态； 执行置零状态； 错误状态。 如果检测人员不能使模块产生错误，送检厂商应对检测人员提供该检测不能进行的合理解释， 在这种情况下，检测人员应遵循确认机构允许的替代程序以确保从数据输出接口禁止输出所 有数据。 示例1：检测适用的源代码。 检测人员应核实送检厂商的文档说明了密码模块处于自测试模式时，数据输出接口禁止输出

GB/T386252020

所有数据。检测人员应通过送检厂商的文档核实模块一且执行自测试，数据输出接口禁止输 出所有数据，直至自测试结束。用来显示自测试结果的状态信息可允许从状态输出接口输出。 d 检测人员应使模块执行自测试并核实数据输出接口禁止所有数据的输出。如果状态信息从状 态输出接口输出用以显示自测试结果，检测人员应核实其不含关键安全参数，明文数据或其他 滥用可能造成安全威胁的信息。如果检测人员不能在指定的自检状态下尝试数据输出，送检 厂商应对检测人员提供该检测不能进行的合理解释。在这种情况下天然气标准，检测人员应遵循确认机 构允许的替代程序以确保从数据输出接口禁止输出所有数据。 示例2：检测适用的源代码。 示例3：使用模拟器。 示例4：使用调试器。 ） 检测人员应核实送检厂商的文档说明了密码模块如何确保在自测试或错误模式下数据输出接 口禁止输出所有数据。检测人员还应通过检查，核实密码模块的设计，即数据输出接口无论是 在逻辑上还是物理上在上述情况下是禁用的

6.3.3.6测评单元[03.08

所有用于控制密码模块运行的输入命令、信号（例如，时钟输入）及控制数据（包括手动控制如开关 安钮和键盘，以及功能调用）应通过“控制输人”接口输人。 送检材料要求： a）密码模块应具有控制输人接口。用于控制密码模块操作的所有命令，信号和控制数据（除经数 据输人接口输人的数据）应经控制输人接口进入，包括： 命令输入，逻辑上通过API输入（例如，软件和密码模块的固件）； 一信号输入，逻辑或物理上通过一个或多个的物理端口（例如，密码模块的硬件部件）； 一手动控制输入（例如，使用开关、按钮或键盘）； 一其他输人控制数据。 b）若适用，送检厂商的文档中应说明所有与密码模块一起使用并用于向控制输人接口输人命令， 信号和控制数据的外部输人设备，如智能卡、令牌或键盘。 验测程序要求： a）检测人员应通过检查，核实密码模块包括了控制输入接口，并且控制输人接口如前所述。检测 人员应检查用于控制密码模块操作的所有命令，信号，和控制数据（除通过数据输人接口输人 的数据）都应通过控制输人接口输人，包括 命令输入，逻辑上通过API输人，如调用软件库或智能卡的函数； 一信号输入，逻辑或物理上通过一个或多个物理端口输入的信号，如通过串行端口或PC卡 下发的命令或信号； 手动控制输入（例如，使用开关、按钮或键盘）； 其他输人控制数据。 b）检测人员应核实送检厂商的文档中是否说明了用于向控制输人接口输人命令，信号和控制数 据的所有外部输入设备，如智能卡、令牌或键盘。检测人员应使用外部输入设备输入命令到控 制输人接口，并使用该外部输人设备核实该输入命令

6.3.3.7测评单元[03.09

所有用于控制密码模块运行的输出命令、信号及控制数据（例如 旅游标准，对另一个密码模块的控制命令

GB/T 386252020