(高清版)GBT 33563-2024 網絡安全技術 無線局域網客戶端安全技術要求

代替GB/T33563—2017網絡安全技術無線局域網客戶端安全技術要求2024-04-25發(fā)布國家標準化管理委員會IGB/T33563—2024前言 l2規(guī)范性引用文件 13術語和定義 14縮略語 25無線局域網客戶端描述 26安全問題 36.1威脅 36.1.1未授權訪問(T.UNAUTHORIZED_ACCESS) 36.1.2安全功能失效(T.SECURITY_FUNCTIONALITY_FAILURE) 36.1.3殘留信息利用(T.RESIDUAL_DATA_EXPLOIT) 46.1.4邏輯接口攻擊(T.LOGICAL_INTERFACE_ATTACK) 46.1.5網絡竊聽(T.NETWORK_EAVESDROP) 46.1.6網絡攻擊(T.NETWORK_ATTACK) 46.1.7未檢測的行為(T.UNDETECTED_ACTIONS) 46.2組織安全策略 46.2.1密碼管理(P.CRYPTO_MANAGEMENT) 46.2.2認證管理(P.AUTH_MANAGEMENT) 46.3假設 46.3.1可信的人員(A.TRUSTED_PERSON) 46.3.2正確的連接(A.NO_TOE_BYPASS) 46.3.3可靠的平臺(A.TRUSTED_PLATFORM) 46.3.4正確的配置(A.SPECIFICATIONCONFIGURATION) 57安全目的 57.1無線局域網客戶端安全目的 57.1.1經認證的通信(O.AUTH_COMM) 57.1.2加密功能(O.CRYPTOGRAPHIC_FUNCTIONS) 57.1.3自檢(O.SELF_T 57.1.4系統(tǒng)監(jiān)控(O.SYSTEM_MONITORING) 57.1.5TOE管理(O.TOE_ADMINISTRATION) 57.1.6無線AP連接(O.WIRELESS_ACCESS_POINT_CONNECTION) 57.1.7可信信道(O.TRUSTED_CHANNEL) 57.1.8訪問控制(O.ACCESS_CONTROL) 5ⅡGB/T33563—20247.1.9邏輯攻擊抵抗(O.LOGICATTACK_PREVENTION) 57.2環(huán)境安全目的 67.2.1可信人員(OE.TRUSTED_PERSON) 67.2.2TOE不可繞過(OE.NO_TOE_BYPASS) 7.2.3平臺(OE.PLATFORM) 67.2.4配置(OE.CONFIG) 68安全要求 68.1安全功能要求 68.1.1安全功能要求分級 68.1.2安全審計(FAU) 8.1.3密碼支持(FCS) 88.1.4標識與鑒別(FIA) 98.1.5安全管理(FMT) 8.1.6TSF保護(FPT) 8.1.7TOE訪問(FTA)和可信路徑/信道(FTP) 8.1.8用戶數(shù)據保護(FDP) 8.2安全保障要求 9基本原理 9.1安全目的基本原理 9.2安全要求基本原理 9.3組件依賴關系基本原理 參考文獻 Ⅲ本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定起草。本文件代替GB/T33563—2017《信息安全技術無線局域網客戶端安全技術要求(評估保障級2級增強)》,與GB/T33563—2017相比，除結構調整和編輯性改動外，主要技術變化如下：a)更改了TOE范圍(見第5章，2017年版的第6章);b)更改了無線局域網客戶端面臨的威脅，包括7類威脅、2項組織安全策略和4個假設(見第6章，2017年版的第7章);c)更改了“TOE安全目的”和“環(huán)境安全目的”,包括9項TOE的安全目的，4項環(huán)境安全目的(見第7章，2017年版的第8章);d)更改了無線局域網客戶端安全功能要求，包括8類33項安全功能要求(見8.1,2017年版的第9章、第10章);e)更改了無線局域網客戶端安全保障要求(見8.2,2017年版的9.2);f)增加了“基本原理”,包括安全問題與安全目的、安全目的與安全要求間的對應關系和組件間的依賴關系(見第9章)。請注意本文件的某些內容可能涉及專利。本文件的發(fā)布機構不承擔識別專利的責任。本文件由全國網絡安全標準化技術委員會(SAC/TC260)提出并歸口。本文件起草單位：中國信息安全測評中心、中國科學院信息工程研究所、北京交通大學、中車工業(yè)研究院有限公司、西安西電捷通無線網絡通信股份有限公司、公安部第一研究所、中國電子技術標準化研究院、北京天融信網絡安全技術有限公司、深信服科技股份有限公司、鄭州信大捷安信息技術股份有限公司、長揚科技(北京)股份有限公司、深圳市信銳網科技術有限公司、北京路云天網絡安全技術研究院有限公司、西安交大捷普網絡科技有限公司、中孚信息股份有限公司、國網區(qū)塊鏈科技(北京)有限公司、中國網絡安全審查技術與認證中心、新華三技術有限公司、中國電力科學研究院有限公司。本文件及其所代替文件的歷次版本發(fā)布情況為：——2017年首次發(fā)布為GB/T33563—2017;——本次為第一次修訂。1網絡安全技術無線局域網客戶端安全技術要求本文件規(guī)定了無線局域網客戶端的安全功能要求和安全保障要求，給出了無線局域網客戶端面臨安全問題的說明。本文件適用于無線局域網客戶端產品的測試、評估和采購，以及指導該類產品的研制和開發(fā)。2規(guī)范性引用文件下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB15629.11信息技術系統(tǒng)間遠程通信和信息交換局域網和城域網特定要求第11部分：無線局域網媒體訪問控制和物理層規(guī)范GB/T18336.1—2024網絡安全技術信息技術安全性評估準則第1部分：簡介和一般模型GB/T18336.2—2024網絡安全技術信息技術安全性評估準則第2部分：安全功能要求GB/T18336.3—2024網絡安全技術信息技術安全性評估準則第3部分：安全保障要求GB/T25069—2022信息安全技術術語GB/T32915—2016信息安全技術二元序列隨機性檢測方法GB/T39786—2021信息安全技術信息系統(tǒng)密碼應用基本要求3術語和定義GB15629.11、GB/T18336.1—2024、GB/T25069—2022界定的以及下列術語和定義適用于本文件。一種提供無線局域網客戶端與有線網絡之間的訪問，在無線網絡和有線網絡之間轉發(fā)幀的網絡接口設備。認證服務器authenticationserver無線局域網接入系統(tǒng)中用于身份認證的組件。實現(xiàn)遠程用戶使用客戶端機器與被接入網絡建立無線通信的執(zhí)行組件。24縮略語下列縮略語適用于本文件。EAL:評估保障級(EvaluationAssuranceLevel)TOE:評估對象(TargetofEvaluation)TSF:評估對象安全功能(TOESecurityFunctions)WAPI:無線局域網鑒別與保密基礎結構(WLANAuthenticationandPrivacyInfrastructure)WLAN:無線局域網(WirelessLocalAreaNetwork)5無線局域網客戶端描述本文件描述的無線局域網客戶端，是指基于IEEE802.11協(xié)議族的無線局域網客戶端設備(通用計算機或者無線移動終端)中用于連接無線局域網接入系統(tǒng)或其他設備，進行安全數(shù)據傳輸?shù)慕M件。無線局域網客戶端可通過無線局域網接入系統(tǒng)建立的被接入網絡與用戶設備之間的安全連接，與無線局域網接入系統(tǒng)一起保護所傳輸數(shù)據的完整性和機密性，實現(xiàn)身份驗證與WLAN訪問接入。一個典型的無線局域網客戶端的運行環(huán)境如圖1所示。圖1無線局域網客戶端示意圖本文件的TOE僅包含通用操作系統(tǒng)或者移動設備中遵循IEEE802.11協(xié)議規(guī)定的控制客戶端設備實現(xiàn)WLAN接入流程的應用組件，其部分功能可依賴于底層設備功能實現(xiàn)。TOE提供管理通道和數(shù)據通道，管理通道主要用于身份驗證和訪問控制，數(shù)據通道負責數(shù)據傳輸。TOE提供的安全特性包括連接管理、協(xié)議合規(guī)、加密保護、審計生成。無線局域網客戶端評估范圍如圖2所示。3主設備管理調用接π數(shù)據應用網絡服務與接口管理應用認證邏輯加密管理服務與接山IEEF.802.11MAC硬件驅動IEEE802.1IPIIYTOE的評估通常需要與其主設備一起進行，考慮合并至其主設備進行評估。本文件規(guī)定客戶端安全技術要求分為三個等級。——EAL2+:同時符合EAL2+級安全功能要求和EAL2級安全保障要求，主要應用于家庭、個人用戶和有限商業(yè)應用?！狤AL3:同時符合EAL3級安全功能要求和EAL3級安全保障要求，主要應用于組織、個人用戶和一般商業(yè)?！狤AL4:同時符合EAL4級安全功能要求和EAL4級安全保障要求，主要應用于專有的高安全等級領域。6安全問題6.1威脅6.1.1未授權訪問(T.UNAUTHORIZED_ACCESS)威脅主體偽裝成授權實體或通過授權用戶跳板以獲得對無線局域網客戶端數(shù)據及其驅動、應用等可執(zhí)行代碼的未授權訪問。6.1.2安全功能失效(T.SECURITY_FUNCTIONALITY_FAILURE)威脅主體利用安全功能失效，在未認證的情況下使用或濫用安全功能，以訪問和修改設備數(shù)據、關鍵網絡流量或者安全功能配置。TOE的安全機制通常是從受信任的初始機制構建出來的復雜機制集合，初始機制的失效影響復雜機制的運行，從而導致安全功能失效。4威脅主體利用無線局域網客戶端殘留信息的處理缺陷在執(zhí)行過程中對未刪除的殘留信息進行利用，以獲取敏感信息或濫用無線局域網客戶端的安全功能。6.1.4邏輯接口攻擊(T.LOGICAL_INTERFACE_ATTACK)威脅主體通過攻擊無線局域網客戶端邏輯接口，非法地瀏覽、修改或刪除TSF數(shù)據、配置信息、用戶數(shù)據或可執(zhí)行代碼等，導致TOE的安全功能無法正常工作。6.1.5網絡竊聽(T.NETWORK_EAVESDROP)威脅主體對無線網絡通信進行監(jiān)聽，獲得無線局域網客戶端與其他設備交互的數(shù)據，并可利用獲取數(shù)據猜測TSF數(shù)據或用戶數(shù)據。6.1.6網絡攻擊(T.NETWORK_ATTACK)威脅主體位于通信通道或網絡基礎設施的其他位置，基于設備的客戶端會啟動與TOE的通信或更改TOE與其他端點之間的通信，基于操作系統(tǒng)的客戶端與運行在操作系統(tǒng)或操作系統(tǒng)的一部分上的應用程序和服務進行通信，進行攻擊，更改現(xiàn)有的合法通信。例如威脅主體通過壓制合法網絡信號并模擬原接入系統(tǒng)，使客戶端接入假冒的接入系統(tǒng)，從而獲取TSF數(shù)據或用戶數(shù)據。6.1.7未檢測的行為(T.UNDETECTED_ACTIONS)威脅主體采取未知的攻擊行為攻擊TOE網絡安全，對網絡的機密性、完整性、可用性造成損害。6.2組織安全策略6.2.1密碼管理(P.CRYPTO_MANAGEMENT)密碼的使用是按照相關國家標準進行的。6.2.2認證管理(P.AUTH_MANAGEMENT)認證的過程是按照相關國家標準進行的。6.3假設假設無線局域網客戶端設計、開發(fā)、測試、生產等各階段的合法操作人員遵循一套安全的流程，且遵守人員指導進行操作，且無線局域網客戶端管理員可信，會以可靠的方法遵從和應用所有的管理操作指南。假設運行環(huán)境在涉及范圍中，無線局域網客戶端用戶與內部被接入網絡之間的信息傳遞應經過無線局域網客戶端。6.3.3可靠的平臺(A.TRUSTED_PLATFORM)假設運行環(huán)境提供與無線局域網客戶端及其傳輸處理的數(shù)據價值相匹配的物理安全性。通用操作系統(tǒng)或者無線設備平臺作為無線局域網客戶端運行環(huán)境部分的基本安全性是可靠的。5假設正確地配置了TOE的安全功能，以確保在連接的網絡之間流動的所有適用的網絡流量上執(zhí)行TOE安全策略。7安全目的7.1無線局域網客戶端安全目的7.1.1經認證的通信(O.AUTH_COMM)TOE將提供一種手段來確保它正在與授權接入點進行通信，而不是與其他偽裝成授權接入點的實體進行通信。7.1.2加密功能(O.CRYPTOGRAPHIC_FUNCTIONS)無線局域網客戶端應使用符合國家標準和國家密碼管理機構規(guī)定的加解密機制并應提供符合相應的功能支持，保證無線局域網客戶端能對其保護的數(shù)據采取加密措施，保證數(shù)據的機密性。無線局域網客戶端應提供測試其安全功能及安全功能子集的相關機制，在初次啟動以及系統(tǒng)運行過程中執(zhí)行自檢，以確保其安全功能的完整性，并將自檢結果通知平臺。7.1.4系統(tǒng)監(jiān)控(O.SYSTEM_MONITORING)無線局域網客戶端應記錄安全相關的事件，應對記錄的事件進行保護且只允許授權用戶查看，還應提供審計相關功能。無線局域網客戶端應提供允許管理員配置TOE的機制和功能。7.1.6無線AP連接(O.WIRELESS_ACCESS_POINT_CONNECTION)無線局域網客戶端應提供訪問控制機制，限制其能連接的無線AP。無線局域網客戶端應提供通信信道管理選擇機制，通過可信信道與外部通信并有能力識別信道異常，也可提供受保護的網絡通道供用戶使用。7.1.8訪問控制(O.ACCESS_CONTROL)無線局域網客戶端應提供訪問控制機制，防止無線局域網客戶端重要數(shù)據、進程及資源等在未授權情況下被訪問、修改或刪除。7.1.9邏輯攻擊抵抗(O.LOGICATTACK_PREVENTION)無線局域網客戶端應能抵抗邏輯攻擊，或至少提供必要的安全措施以顯著增加實施此類攻擊的困難性。67.2環(huán)境安全目的7.2.1可信人員(OE.TRUSTED_PERSON)TOE用戶是被信任的，且遵守指導進行操作，并在符合企業(yè)應用的安全策略范圍內使用該客戶端。7.2.2TOE不可繞過(OE.NO_TOE_BYPASS)如果不通過無線局域網客戶端，信息不應通過其他渠道在無線局域網客戶端用戶和外部網絡之間流動。運行環(huán)境可提供與無線局域網客戶端及其傳輸處理的數(shù)據價值相匹配的物理安全性。通用操作系統(tǒng)或者無線設備平臺作為無線局域網客戶端運行環(huán)境部分的基本安全性是可靠的。管理員能正確配置TOF安全功能，以創(chuàng)建預期的安全策略。8安全要求8.1安全功能要求8.1.1安全功能要求分級無線局域網客戶端的安全功能要求應由GB/T18336.2—2024規(guī)定的功能組件構成，無線局域網客戶端的安全功能要求組件見表1,8.1.2～8.1.8對各組件進行了說明。表1安全功能要求組件安全功能類安全功能組件EAL2十EAL3EAL4安全審計(FAU)FAU_GEN.1審計數(shù)據產生√√√FAU_STG.2受保護的審計數(shù)據存儲√√√FAU_STG.5防止審計數(shù)據丟失/√√密碼支持(FCS)FCS_CKM.1密鑰生成-對稱密鑰//√FCS_CKM.2密鑰分發(fā)//√FCS_CKM.6密鑰銷毀的時間和事件//√標識與鑒別(FIA)FIA_UAU.1鑒別的時機√√√FIA_PAE_EXT.1端口接入實體認證√√√FIA_X509_EXT.1X.509證書驗證√√√安全管理(FMT)FMT_SMF.1安全功能規(guī)范√√√TSF保護(FPT)FPT_FLS.1失效即保持安全狀態(tài)√√√FPT_TST_.1TST自測√√√FPT_TUD_EXT.1信任的更新/√√TOE訪問(FTA)FTA_TSE.1TOE會話建立√√√7表1安全功能要求組件(續(xù))安全功能類安全功能組件EAL2+EAL3EAL4可信路徑/信道(FTP)FTP_ITC.1TSF間可信信道/√√用戶數(shù)據保護(FDP)FDP_ACF.1基于安全屬性的訪問控制/√√FDP_SDC.1存儲數(shù)據的機密性√√√FDP_SDC.2使用專用方法的存儲數(shù)據的機密性/√√FDP_RIP.1子集殘余信息保護/√√FDP_RIP.1完全殘余信息保護/√√FAU_GEN.1.1TSF應能[選擇：調用平臺的功能，實現(xiàn)的功能]產生以下審計事件記錄：a)審計功能的開啟和關閉；b)有關[選擇：最小級，基本級，詳細級，未規(guī)定]審計級別的所有可審計事件；c)強制性SFR和可選的SFR的所有可審計事件，如表2所示。表2包括FPT_TST.1的可審計事件。如果TOE沒有執(zhí)行自己的自測(即在FPT_TST.1中選擇“TOE平臺”),對此的審計記錄事件也可能由TOE平臺生成。FAU_GEN.1.2TSF至少應記錄下列信息：a)可審計事件的日期和時間、事件類型、主體身份(如果適用)、事件的結果(成功或失敗);b)對每種審計事件類型，基于PP、PP-模塊、功能包或ST中功能組件的可審計事件定義，附加審計記錄內容如表2所示。表2可審計事件表序號功能可審計事件附加審計記錄1FAU_GEN.1無無2FCS_CKM.1無無33FCS_CKM.2無無44FIA_PAE_EXT.1無無5FIA_X509_EXT.1驗證X.509v3證書失敗失效原因6FMT_SMF.1無無7FPT_TST.11)執(zhí)行TSF自檢；2)發(fā)現(xiàn)違反完整性；1)無；2)導致完整性違反的TSF代碼文件；3)若失敗記錄問題8序號功能可審計事件附加審計記錄8FTA_TSE.1所有連接接入點的嘗試每個接入點記錄MAC地址關于[選擇：配置MAC地址和SSID,證書信息核對，和不少于2個整數(shù)字節(jié)數(shù)的成功/失敗狀態(tài)9FTP_ITC.1所有建立可信通道的嘗試非TOR節(jié)點通道識別TSF應保護所存儲的審計記錄，以避免未授權的刪除。TSF應能[選擇：防止、檢測]對審計數(shù)據中所存審計記錄的未授權修改。審計數(shù)據可能丟失時的行為(FAU_STG.4)如果審計數(shù)據存儲超過預定的限度，TSF應在審計記錄超過預定的限度之前發(fā)出警告，通知管理員，并[選擇：刪除新的審計數(shù)據，按照覆蓋以前的審計記錄的規(guī)則覆蓋以前的審計記錄]。如果審計數(shù)據存儲已滿，TSF應[選擇：“忽略可審計事件”“阻止可審計事件，具產生的事件除外”“覆蓋所存儲的最早的審計記錄”],提供關錄數(shù)量的信息審計存儲失效時所采取的其他動作。[選擇：WAPI,WPA2,WAP3]加密密鑰生成，TSF應根據符合下列標準[選擇：GB15629.11,IEEE802.11—2020,IEEE802.1lax—2021,無其他標準]的一個特定的密鑰生成算法[選擇：PRF-128,PRF-256,PRF-384,PRF-512,PRF-704,無其他算法]和規(guī)定的密鑰長度[選擇：128位、192位、256位、無其他密鑰大小]FCS_RNG.1來生成對稱加密密鑰。TSF應根據符合下列標準[選擇：GB15629.11]的一個特定的密鑰分發(fā)方法[選擇：WAPI加密密鑰分發(fā)、GTK密鑰分發(fā)、PMK密鑰分發(fā)]來分發(fā)密鑰。TSF應根據符合下列標準[選擇：IEEE802.11—2020,GB/T39786—2021]的一個特定的密鑰存取FCSCKM.6.1當操作系統(tǒng)[選擇：不再需要，密鑰或密鑰材料銷毀的其他情況]時，TSF銷毀所有密鑰和密鑰9GB/T33563—2024材料。FCS_CKM.6.2TSF應根據以下方法來銷毀FCS_CKM.6.1中規(guī)定的密鑰和密鑰材料：[選擇：對于易失性內存，銷毀應由[選擇：單一覆蓋包括[使用TSF的隨機數(shù)產生器(RBG)含任何關鍵安全參數(shù)(CSP)的靜態(tài)或動態(tài)值],銷毀對密鑰的引用，然后直接請求垃圾收集]。對于非易失性存儲中的明文密鑰，銷毀應通過調用TSF的一部分提供的接口執(zhí)行[選擇：邏輯上處理密鑰的存儲位置，并執(zhí)行[選擇：單一，通過的數(shù)量-pass]覆蓋，包括[選擇：使用TSF的RBG的偽隨機模式，0,1,一個新的密鑰值，一個不包含任何CSP的靜態(tài)或動態(tài)值];指示TSF的一部分銷毀表示密鑰的抽象]]。隨機比特生成(FCS_RBG.1)FCS_RBG.1.1當種子初始化之后，TSF應根據[GB/T32915—2016]使用[選擇：Hash_DRBG、HMAC_DRBG或其他算法]執(zhí)行確定性隨機比特生成服務。FCSRBG.1.2TSF應使用[選擇：TSF噪聲源[選擇：基于軟件的噪聲源，基于平臺的噪聲源],TSF用于設定種子的接口]進行種子初始化。FCS_RBG.1.3TSF應根據以下不同情況：[選擇：從不，按需，在特定條件下，在一定時間之后]將通過[選擇：重新加載種子，非實例化和重新實例化]使用一個[選擇：TSF噪聲源[選擇：基于軟件的噪聲源，基于平臺的噪聲源],TSF用于設定種子的接口]更新RBG狀態(tài)，以保持與[GB/T32915—2016]的一致。隨機數(shù)生成(FCS_RNG.1)FCSRNG.1.1TSF應提供一個[選擇：物理、非物理真、確定性、混合物理、混合確定性]隨機數(shù)生成器，它能實現(xiàn)：安全能力列表。FCSRNG.1.2TOE安全功能TSF應提供滿足定義的質量指標的[選擇：位、八位字節(jié)、數(shù)字或其他數(shù)字的格式]。8.1.4標識與鑒別(FIA)鑒別的時機(FIA_UAU.1)FIAUAU.1.1在用戶被鑒別前，TSF應執(zhí)行代表用戶的TSF促成的動作列表。FIA_UAU.1.2在允許執(zhí)行代表該用戶的任何其他由TSF促成的動作[包括且不限于：解密保護數(shù)據、數(shù)據加密密鑰、密鑰加密密鑰，以及[選擇：長期信任的信道密鑰，所有的基于軟件的密鑰存儲，沒有其他密鑰]]前，TSF應要求每個用戶都已被成功鑒別。不可偽造的鑒別(FIAUAU.3)FIA_UAU.3.1TSF應[選擇：檢測、防止]由任何TSF用戶偽造的鑒別數(shù)據的使用。FIA_UAU.3.2FIA_UID.1.1在用戶被識別之前，TSF應執(zhí)行代表用戶的TSF促成的動作列表。在允許執(zhí)行代表該用戶的任何其他TSF促成的動作之前，TSF應要求每個用戶都已被成功識別。FIAX509EXT.1.1a)RFC5280證書驗證和證書路徑驗證；b)證書路徑以信任錨數(shù)據庫中的證書終止；c)TSF通過保證基本約束擴展的存在來驗證證書路徑，并為所有CA證書設置CA標志為d)TSF按照以下規(guī)則對擴展密鑰用途(KeyUsage)字段進行驗證：1)為TLS提供的服務器證書在擴展密鑰用途(KeyUsage)字段中具有服務器認證目的；2)為TLS提供的客戶端證書在擴展密鑰用途(KeyUsage)字段中具有客戶端認證目的。FIAX509EXT.1.2如果存在基本約束擴展并將CA標志設置為TRUE,TSF只應將證書視為CA證書。TSF應執(zhí)行訪問控制SFP,信息流控制SFP,以僅限于已標識的授權角色能對安全屬性列表進行TSF應確保安全屬性列表只接受安全的值。FMT_MSA.3.1TSF應執(zhí)行訪問控制SFP、信息流控制SFP,以便為用于執(zhí)行SFP的安全屬性提供[選擇：受限的、FMTMSA.3.2TSP應允許已標識的授權角色在創(chuàng)建客體或信息時指定替換性的初始值以代替原來的默認值。TSF應維護角色已標識的授權角色。FMT_SMR.1.2TSF應能把用戶和角色關聯(lián)起來。TSF應能執(zhí)行如表3所示管理功能。表3安全管理功能表編號管理功能執(zhí)行力管理員用戶配置各無線網絡的安全策略：a)[選擇：指定TSF接受WLAN認證服務器證書的CA(s),指定可接受WLAN認證服務器證書的完全合格域名(FQDNs),其他認證方式];b)安全類型；c)認證協(xié)議；d)要用于身份驗證的客戶端憑據。設置無線頻段為[選擇：2.4GHz,5GHz,6GHz]MMO2指定TSF可能鏈接的無線網絡(SSID)MMO3啟用/禁用[選擇：預共享密鑰，密碼，無認證]認證的無線網絡橋接能力(例如，在WLAN和蜂窩電臺之間架起連接，起到熱點作用)MMO4啟用/禁用證書撤銷列表檢查OMO5禁用無線端到端adhoc連接功能OOO6禁止漫游功能OOO7啟用/禁用IEEE802.1X預認證OOO8將X.509證書加載到TOEOOO9撤銷加載到TOE的X.509證書OOO啟用/禁用并配置PMK緩存：a)設置PMK條目緩存的時間(以分鐘計);b)設置可緩存的最大PMK條目數(shù)OOO注：M——必備；O——可選。TSF在下列失效發(fā)生時應保持一種安全狀態(tài)：自檢失敗或其他失效情況。FPT_INI.1.1TOE應提供對完整性和真實性有自保護能力的初始化功能。FPT_INI.1.2TOE初始化功能應確保在安全初始狀態(tài)下建立TSF之前，某些屬性在某些元素上保持不變，如表4所述：表4屬性元素序號特性元素1[屬性，例如真實性、完整性、正確版本][TSF/用戶固件、軟件或數(shù)據的列表]…FPT_INI.1.3TOE初始化功能應檢測并響應初始化期間的錯誤和失敗，以便TOE[選擇：中止，在[選擇：功能減少，發(fā)送錯誤狀態(tài)信號，其他動作列表]情況下成功完成初始化]。TOE初始化功能只能在初始化過程中的定義的方法中與TSF交互。FPT_TST.1.1[選擇：TOE,TOE平臺]應在[選擇：初始化啟動期間、正常工作期間周期性地、授權用戶要求時、在產生自檢的條件時]運行一套自檢程序以證實[選擇：TSF的組成部分、TSF]能正確運行和演示正確FPT_TST.1.2TSF應為授權用戶提供驗證[選擇：部分TSF數(shù)據、TSF數(shù)據]完整性的能力。FPTTST.1.3TSF應為授權用戶提供驗證[選擇：部分TSF、TSF]完整性的能力。FPT_STM.1.1TSF應能提供可靠的時間戳。FPTTUDEXT.1.1TOE應提供檢測更新系統(tǒng)軟件的能力。FPT_TUD_EXT.1.2系統(tǒng)應在安裝之前使用數(shù)字簽名驗證更新。8.1.7TOE訪問(FTA)和可信路徑/信道(FTP)TSF應能基于管理員配置的可信網絡(此要求允許管理員限制TOE能連接的無線網絡)拒絕會話的建立。FTP_ITC.1.1TSF應在自身和無線接入點之間提供一個可信的通信信道，該信道在邏輯上與其他通信信道截然不同，其端點具有保障標識，且能保護信道中數(shù)據免遭篡改或泄露。FTP_ITC.1.2TSF應允許[選擇：TSF、另一個可信IT產品]經由可信信道發(fā)起通信。FTP_ITC.1.3對于需要可信信道的功能列表，TSF應通過無線接入點連接的可信信道發(fā)起通信?；诎踩珜傩缘脑L問控制(FDP_ACF.1)FDP_ACF.1.1TSF應基于[選擇：指定SFP控制下的主體和客體列表，以及每個對應的SFP的相關安全屬性或SFP相關的已命名安全屬性組]對客體執(zhí)行訪問控制SFP。FDP_ACF.1.2TSF應執(zhí)行在受控主體和受控客體間，通過對受控客體采取受控操作來管理訪問的一些規(guī)則，以確定在受控主體與受控客體間的一個操作是否被允許。FDPACF.1.3TSF應基于安全屬性，明確授權主體訪問客體的規(guī)則等附加規(guī)則，明確授權主體訪問客體。FDPACF.1.4TSF應基于安全屬性，明確拒絕主體訪問客體的規(guī)則等附加規(guī)則，明確拒絕主體訪問客體。存儲數(shù)據的機密性(FDP_SDC.1)TSF應確保[選擇：所有用戶數(shù)據，指定用戶數(shù)據列表]存儲在[選擇：臨時內存，持久內存，任意內存]中的機密性。使用專用方法的存儲數(shù)據的機密性(FDP_SDC.2)TSF應確保在TSF控制下存儲的[選擇：所有用戶數(shù)據，用戶數(shù)據列表中用戶數(shù)據]根據數(shù)據特征的機密性。FDP_SDC.2.2TSF應確保FDP_SDC.2.1中規(guī)定的用戶數(shù)據的機密性，無需用戶干預。存儲數(shù)據完整性監(jiān)視(FDP_SDI.1)TSF應基于用戶數(shù)據屬性，對所有客體，監(jiān)視存儲在由TSF控制的載體內的用戶數(shù)據是否存在完整性錯誤。子集殘余信息保護(FDP_RIP.1)TSF應確保一個資源的任何先前信息內容，在[選擇：分配資源到、釋放資源自]指定客體列表時不再可用。完全殘余信息保護(FDP_RIP.2)TSF應確保一個資源的任何先前信息內容，在[選擇：分配資源到、釋放資源自]所有客體時不可用。8.2安全保障要求無線局域網客戶端的安全保障要求按照GB/T18336.3—2024保障要求執(zhí)行。規(guī)定的EAL2、EAL3、EAL4級安全9基本原理9.1安全目的基本原理無線局域網客戶端安全目的能應對所有可能的威脅、組織安全策略和假設，即每一種威脅、組織安全策略和假設都至少有一個或一個以上安全目的與其對應，因此是充分的；每一個安全目的都有相應的威脅、組織安全策略和假設與之對應，這證明每個安全目的都是必要的。表5說明了無線局域網客戶端的安全目的能應對所有可能的威脅、組織安全策略和假設。表5威脅、組織安全策略、假設與安全目的的對應關系對應關系安全功能失效殘余信息利用未授權訪問邏輯接口攻擊網絡竊聽網絡攻擊未檢測的行為密碼管理認證管理可信的人員正確的連接可靠的平臺正確的配置認證的通信//√/////√/√//加密功能//√/√//√√////自檢√////////////系統(tǒng)監(jiān)控√√√√√√√√√////√///////√////無線AP連接///√/////////可信信道////√////////訪問控制//√√//√/√////邏輯接口抵抗///√//√//////人員////////√√///TOE不可繞過//////////√//平臺///////////√/配置////////////√注：“√”為必備滿足的項；“/”為可選滿足的9.2安全要求基本原理表6說明了安全要求的充分必要性合理性，即每個安全目的都至少有一個安全要求組件與其對應，每個安全要求都至少解決了一個安全目的，因此安全要求對安全目的而言是充分和必要的。表6給出了TOE安全目的與安全功能要求之間的對應關系。表6安全要求與安全目的的對應關系對應關系認證的通信加密功能自檢系統(tǒng)監(jiān)控管理無線AP連接可信信道訪問控制邏輯接口抵抗審計數(shù)據產生(FAU_GEN.1)///√/////審計數(shù)據保護(FAU_STG.2)///√///√/審計數(shù)據可能丟失時的行為///√///√/防止審計數(shù)據丟失(FAU_///√///√/密鑰生成-對稱密鑰(FCS_CKM.1)/√//√/√//密鑰分發(fā)(FCS_CKM.2)/√//√////密鑰存取(FCS_CKM.3)/√//√////密鑰銷毀的時間和事件(FCS_CKM.6)/√///////隨機比特生成(FCS_RBG.1)/√///////隨機數(shù)生成(FCS_RNG.1)/√///////鑒別的時機(FIA_UAU.1)√√///////不可偽造的鑒別(FIA_UAU.3)√////////標識的時機(FIA_UID.1)√//////√/端口接入實體認證(FIA_PAE_EXT.1)√√//√/√√√X.509證書驗證(FIA_X509_EXT.1)√/////√√安全屬性管理(FMT_MSA.1)///√///√/安全的安全屬性(FMT_MSA.2)///√/////靜態(tài)屬性初始化(FMT_MSA.3)///√///√/安全角色(FMT_SMR.1)√//√///√/管理功能規(guī)范(FMT_SMF.1)///√////√失效即保持安全狀態(tài)(FPT_FLS.1)//√//////TSF初始化(FPT_INI.1)//√/√////TST自測(FPT_TST.1)√√√//////可靠的時間戳(FPT_STM.1)//√//////信任的更新(FPT_TUD_EXT.1)//√//////表6安全要求與安全目的的對應關系(續(xù))對應關系認證的通信加密功能自檢系統(tǒng)監(jiān)控管理無線AP連接可信信道訪問控制邏輯接口抵抗TOE會話建立(FTA_TSE.1)//////√√/TSF間可信信道(FTP_ITC.1)//////√//基于安全屬性的訪問控制(FDP_ACF.1)√////√/√/存儲數(shù)據的機密性(FDP_/√///////使用專用方法的存儲數(shù)據的機密性(FDP_SDC.2)/√///////存儲數(shù)據完整性監(jiān)視(FDP_///√/////子集殘余信息保護(FDP_RIP.1)√//√/////完全殘余信息保護(FDP_RIP.1)///√/////9.3組件依賴關系基本原理選取組件時，應符合所選組件之間的相互依賴關系。表7列出了所選安全功能組件的內部依賴關系。表7安全功能組件依賴關系表序號安全功能要求安全功能要求依賴1FAU_GEN.1審計數(shù)據產生FPT_STM.1可靠的時間截2FAU_STG.2受保護的審計數(shù)據存儲FAU_GEN.1審計數(shù)據產生3FAU_STG.4審計數(shù)據可能丟失時的行為FAU_STG.2受保護的審計數(shù)據存儲4FAU_STG.5防止審計數(shù)據丟失FAU_STG.2受保護的審計數(shù)據存儲、FAU_GEN.1審計數(shù)據產生5FCS_CKM.1密鑰生成FCS_CKM.2密鑰分發(fā)、FCS_CKM.3密鑰存取、[FCS_RBG.1隨機比特生成，或FCS_RNG.1隨機數(shù)生成]、FCS_CKM.6密鑰銷毀的時間和事件6FCS_CKM.2密鑰分發(fā)FCS_CKM.1密鑰生成、FCS_CKM.3密鑰存取7FCS_CKM.3密鑰存取FCS_CKM.1密鑰生成8FCS_CKM.6密鑰銷毀的時間和事件FCS_CKM.1密鑰生成9FCS_RBG.1隨機比特生成FPT_FLS.1失效即保持安全狀態(tài)、FPT_TST.1TSF自檢表7安全功能組件依賴關系表(續(xù))序號安全功能要求安全功能要求依賴FCS_RNG.1隨機數(shù)生成無依賴關系FIA_UAU.1鑒別的時機無依賴關系FIA_UAU.3不可偽造的鑒別無依賴關系FIA_UID.1標識的時機無依賴關系FIA_PAE_EXT.1端口接入實體認證FIA_X509_EXT.1X.509證書驗證FIA_X509_EXT.1X.509證書驗證無依賴關系FMT_MSA.1安全屬性管理[FDP__ACC.1子集訪問控制];FMT__SMR.1安全角色、FMT_SMF.1管理功能規(guī)范FMT_MSA.2安全屬性管理[FDP_ACC.1子集訪問控制];FMT_MSA.1安全屬性管理；FMT_SMR.1安全角色FMT_MSA.3靜態(tài)屬性初始化FMT_MSA.1安全屬性管理、FMT_SMR.1安全角色FMT_SMR.1安全角色FIA_UID.1標識的時機FMT_SMF.1管理功能規(guī)范無依賴關系FPT_FLS.1失效即保持安全狀態(tài)無依賴關系FPT_INI.1TSF初始化無依賴關系FPT_TST.1TST自測無依賴關系FPT_STM.1可靠的時間戳無依賴關系FPT_TUD_EXT.1信任的更新無依賴關系FTA_TSE.1TOE會話建立無依賴關系FTP_ITC.1TSF間可信信道無依賴關系FDP_ACF.1基于安全屬性的訪問控制無依賴關系FDP_SDC.1存儲數(shù)據的機密性無依賴關系FDP_SDC.2使用專用方法的存儲數(shù)據的機密性無依賴關系FDP_SDI.1存儲數(shù)據完整性監(jiān)視無依賴關系FDP_RIP.1子集殘余信息保護無依賴關系FDP_RIP.1完全殘余信息保護無依賴關系[1]GB15629.1101—2006信息技術系統(tǒng)間遠程通信和信息交換局域網和城域網特定要求第11部分：無線局域網媒體訪問控制和物理層規(guī)范：5.8GHz頻段高速物理層擴展規(guī)范[2]GB15629.1102—2003信息技術系統(tǒng)間遠程通信和信息交換局域網和城域網特定要求第11部分：無線局域網媒體訪問控制和物理層規(guī)范：2.4GHz頻段較高速物理層擴展規(guī)范[3]GB/T15629.1103—2006信息技術系統(tǒng)間遠程通信和S信息交換局域網和城域網特定要求第11部分：無線局域網媒體訪問控制和物理層規(guī)范：附加管理域操作規(guī)范[4]GB15629.1104—2006信息技術系統(tǒng)間遠程通信和信息交換局域網和城域網特定要求第11部分：無線局域網媒體訪問控制和物理層規(guī)范：2.4GHz頻段更高數(shù)據速率擴展規(guī)范[5]GB/Z20283—2020信息安全技術保護輪廓和安全目標的產生指南[6]GB/T32907—2016信息安全技術SM4分組密碼算法[7]GB/T38636—2020信息安全技術傳輸層密碼協(xié)議(TLCP)[8]IEEE802.11TelecommunicationsandInformationExchangebetweenSystems—Loc