安全处理器应确保TOE操作系统维护运行的区域的内部内存块的重新分配不会泄漏先前存储的 任何信息和提供存储访问控制方法，包括分配、权限管理、禁止、释放等，来抵抗克隆、残余信息的利用， 确保在存储体内密钥及敏感信息受到保护和对数据提供密码服务。

6.2安全处理器逻辑防护

安全处理器应能够抗逻辑操纵且具备安全弹性设计结构，并能够在主控操作配置下，支持主副 或裁决操作，增强容错能力，以抵抗逻辑攻击，防止通过诸如逻辑探测、命令修改、频谱分析等手具 的攻击，显著增加实施此类攻击的困难性

安全处理器应对安全处理器内部的用户数据和安全功能数据实施访问控制措施，防止 在未授权情 况下被访问、修改或删除。 安全处理器应在受控且经过定义的方式下操作资源或访问数据。 安全处理器应能够对安全处理器的安全功能实施重组配置、副本配置，完成主副本操作，以抵御陷 丁、逻辑炸弹、特洛伊木马、蠕虫、熔断、幽灵、僵户负载等逻辑后门和逻辑漏洞

不锈钢标准6.2.3防缺陷插入（O.DefectInsProtection）

安全处理器应能够防止通过分析重复探测的响应而导致的信息泄漏，以抵御插人缺陷数据重复探 测的攻击。

资源自修复（O.Selfrecove

GB/T40653—2021

操作时，功能执行体或其内部资源遇到异常行为应能实现替换、替代、修复工作，以抵御样本攻击

安全处理器应确保片内拥有两个或两个以 物理随机源，生成的随机数能满足应用要求的质量指 示。例如，随机数不准许被预测，且具有一定的摘值，以防止攻击者猜测通过随机数生成的密钥、挑战值 等信息。随机数质量指标评估，应符合GB/T32915一2016的要求

安全处理器应通过访同控制策略确保提供的逻辑接口安全，诸如不应含有可能旁路安全处理器定 义的安全机制的逻辑接口，且接口中不应含有隐式通道，也不应含有除声明的逻辑接口之外的逻辑 接口。 安全处理器应支持关闭非工作状态的逻辑接口且能够确保支持的各种不同逻辑接口输入输出的密 码算法的运算数据一致，随机数质量指标评估，应符合GB/T32915一2016的要求

6.3安全处理器应用防护

安全处理器应确保启动过程中加 前验证其真实性和完整性 安全处理器应具有安全管理 全策略等应用防护机制，以抵抗各种应用威 胁和应用攻击，或能够提供 的闲雅性

安全处理器应防止固件程序本身不得被任何人获取或套改，保证固件的健壮性和完整性，提供高安 全的权限管理系统，以防止攻击者利用固件可能含有的后门程序，从而使攻击者获得高权限访问系统 获取安全处理器安全功能数据。

安全处理器应对密钥及敏感信息提供以硬件实现的访问控制机制，使得能够正确、有效地存储密钥 和敏感信息且具有主动完成密钥和敏感信息自毁的能力。

安全处理器应对自身安全功能的可用性进 行生命周期阶段划分，或进行权限控制，以防止攻击者滥

密码安全（0.Crypto

安全处理器应以一个动态可变的硬件实现方式支持密码功能。其使用的密码算法应符合国家及行 业要求的密码管理相关标准或规范

安全处理器应提供自动化的安全验证工具，如安全监控，检测配置异常，并评估固件中对安全敏感 的字节，以自动识别错误配置。除了安全监控，还应提供几种安全工具，包括手动测试、可信度量和配置 文件自修复等

安全处理器应确保程序和数据加密分区存储，且具有在非易失性存储器中存储初始化数据和个性

6.4安全处理器环境安全目的

6.4.1人员(OE.Personnel)

以一种安全的方式管理安全处理器之外的人员（角色）。例如，在安全处理器开发过程中 关角色包括安全处理器的开发者、制造者、发行者、管理者和使用者等，角色管理者负责对这些 管理。

所有的设计信息文档，都应建立配置管理系统，且应由专人负责管理

应对在安全处理器： 、实现代码及 档、初始化数据、管理性密 全的管理措施

安全处理器必要时也需通过硬件产品的设计加以强化补充完善，例如：板级电路的封装形式、板卡 形式的自毁和检测。而安全处理器很可能需要系统应用和系统软件的支撑，例如：系统软件和固件的双 可认证 以上给出的安全处理器安全目的相对应的安全威胁定义见附录B，

表1列出了安全处理器安全功能组件，其详细内容将在下面分条描述。在描述过程中，方括号中 的粗体字内容表示已经完成的操作，粗体斜体字内容表示还需在安全目标（ST）中确定的赋值及选 择项

GB/T40653—2021

表1安全功能组件（续）

表1安全功能组件（续）

“/”代表在该保障级下，应选择该组件；“○”代表在该保障级下，可选择该组件；“N/A”代表在该保障级下，该组 不适用。

Z.2 安全告警(FAU ARP.1)

Z3审计数据产生（FAUGEN.1)

GB/T 406532021

7.4潜在侵害分析（FAUSAA.1)

7.5限制审计查阅（FAUSAR.2）

Z.6受保护的审计迹存储（FAUSTG.1)

7.7强制性原发证明(FCONRO.2)

7.8强制性接收证明（FCONRR.2)

Z.10密钥分发(FCS CKM.2)

安全处理器安全功能应根据符合下列标准【赋值：标准列表】的一个特定的密钥分发方法【赋值 分发方法1来分发密钥。 应用说明：密钥分发功能应由一个安全处理器向其他安全处理器加密分发完成，此时ST编写者 据密码算法的具体情况，赋值国家主管部门认可的相关标准及密钥分发方法

Z.11密钥存取（FCSCKM.3）

GB/T 406532021

相关标准及密钥存取方法

7.14子集访问控制（FDPACC.1)

7.16基本数据鉴别(FDP DAU.1)

7.17 带有安全属性的用户数据输出(FDP ETC.

7.18带有安全属性的用户数据输入（FDPITC.2)

7.19子集信息流控制(FDP IFC.1)

7.20基本内部传送保护（FDPITT.1)

焦残余信息保护FDPR

GB/T40653—2021

释放资源自】下列客体：【EEPROM、FLASH、RAM，赋值：其他客体列表】时不再可用。 应用说明：ST编写者应将残留在EEPROM、FLASH、RAM先前信息内容进行清险

7.22存储数据的完整性监视和行动(FDP SD

7.23基本的数据交换机密性（FDPUCT.1)

7.25鉴别失败处理（FIAAFI.1)

7.30受限能力（FMTLIM.1)

Z.31受限可用性（FMTLIM.2）

GB/T 406532021

i）对重放中所采取行为的管理： j）安全处理器自检发生【选择：初始化启动、定期间隔、其他特定条件】时的条件的管理； k）ST中附加（赋值：安全功能列表）的管理。

7.33安全属性的管理（FMTMSA.1)

7.34静态属性初始化（FMTMSA.3）

7.35TSF数据的管理（FMTMTD.1)

36时限授权（FMTSA

7.37管理功能规范（FMTSMF.1

.38承担角色（FMTSI

学士标准规范范本GB/T 406532021

主副本操作或裁决操作，赋值：其他角色】 应用说明：ST编写者应根据具体应用情况完善对不同角色条件的描述

7.39影响不可观察性的信息的分配（FPRUNO

授权用户可观察性（FPR

FPR.UNO.4.1安全处理器安全功能应给【赋值：授权用户集】提供观察【赋值：资源和/或服务列 表】使用情况的能力。 应用说明：ST编写者应确保识别授权用户集

FPR.UNO.4.1安全处理器安全功能应给【赋值：授权用户集】提供观察【赋值：资源和/或服务列 表】使用情况的能力。 应用说明：ST编写者应确保识别授权用户集

环保标准7.42TSF间可用性不超过既定可用性度量（FPI