(高清版)GBT 33565-2024 網(wǎng)絡安全技術 無線局域網(wǎng)接入系統(tǒng)安全技術要求

代替GB/T33565—2017網(wǎng)絡安全技術無線局域網(wǎng)接入系統(tǒng)安全技術要求2024-04-25發(fā)布國家市場監(jiān)督管理總局國家標準化管理委員會IGB/T33565—2024 V l2規(guī)范性引用文件 1 14縮略語 25無線局域網(wǎng)接入系統(tǒng) 2 2 36安全問題 36.1威脅 36.1.1未授權管理(T.UNAUTHORIZED_MANAGEMENT) 36.1.2未授權訪問(T.UNAUTHORIZED_ACCESS) 36.1.3加密破解(T.CRYPTOGRAPHY_COMPROMISE) 46.1.4管理口令破解(T.ADMINISTRATOR_PASSWORD_CRACKING) 46.1.5弱終端認證(T.WEAK_AUTHENTICATION_ENDPOINTS) 46.1.6安全憑證受損(T.SECURITY_CREDENTIAL_COMPROMISE) 46.1.7更新受損(T.UPDATE_COMPROMISE) 46.1.8網(wǎng)絡暴露(T.NETWORK_DISCLOSURE) 46.1.9安全功能失效(T.SECURITY_FUNCTIONALITY_FAILURE) 46.1.10不可信信道(T.UNTRUSTED_COMMUNICATION_CHANNELS) 46.1.11重放攻擊(T.REPLAY_ATTACK) 46.1.12未知活動(T.UNDETECTED_ACTIVITY) 46.1.13殘留信息利用(T.RESIDUAL_DATA_EXPLOIT) 56.1.14資源消耗(T.RESOURCE_EXHAUSTION) 56.1.15網(wǎng)絡劫持(T.HIJACK_ATTACK) 56.2組織安全策略 56.2.1接入告知(P.ACCESS_BANNER) 56.2.2密碼管理(P.CRYPTOGRAPHY_MANAGEMENT) 56.2.3認證應用(P.AUTHENTICATION_USAGE) 56.3假設 56.3.1物理保護(A.PHYSICAL_PROTECTION) 56.3.2有限功能(A.LIMITED_FUNCTIONALITY) 56.3.3連接(A.CONNECTION) 5ⅡGB/T33565—20246.3.4可信管理員(A.TRUSTED_ADMINISTRATOR) 56.3.5定期更新(A.REGULAR_UPDATES) 6.3.6管理員憑證安全(A.ADMINISTRATOR_CREDENTIALS_SECURE) 66.3.7組件正常運行(A.COMPONENTS_RUNNING) 66.3.8無遺留信息(A.NO_REMAINING_INFORMATION) 67安全目的 6 7.1.1加密功能(O.CRYPTOGRAPHIC_FUNCTIONS) 7.1.2身份驗證(O.AUTHENTICATION) 6 67.1.4系統(tǒng)監(jiān)測(O.SYSTEM_MONITORING) 7.1.5TOE管理員(O.TOE_ADMINISTRATOR) 67.1.6可信信道(O.TRUSTED_CHANNEL) 67.1.7資源管理(O.RESOURCE_MANAGEMENT) 67.1.8殘留信息清除(OE.RESIDUAL_INFORMATION_ERASE) 77.1.9可信更新(O.TRUSTED_UPDATE) 77.1.10分布式管理(O.DISTRIBUTED_MANAGEMENT) 77.1.11訪問控制(O.ACCESS_CONTROL) 7.2環(huán)境安全目的 77.2.1物理(OE.PHYSICAL) 77.2.2非通用功能(OE.NO_GENERAL_PURPOSE) 77.2.3管理員可信(OE.ADMINISTRATOR_TRUSTED) 7.2.4更新機制(OE.UPDATE_MECHANISM) 7.2.5管理員憑證安全(OE.ADMINISTRATOR_CREDENTIALS_SECURE) 7.2.6組件可用性(OE.COMPONENTS_SERVICEABILITY) 7.2.7遺留信息清除(OE.REMAINING_INFORMATION_ERASE) 87.2.8連接(OE.CONNECTIONS) 87.2.9可信時間(OE.TIME) 88安全要求 88.1安全功能要求 8.1.1安全功能要求分級 88.1.2安全審計(FAU) 8.1.3密碼支持(FCS) 8.1.4用戶數(shù)據(jù)保護(FDP) 8.1.5標識和鑒別(FIA) 8.1.6安全管理(FMT) 8.1.7TSF保護(FPT) ⅢGB/T33565—20248.1.8TOE訪問(FTA) 8.1.9可信路徑/信道(FTP) 8.1.10資源利用(FRU)和通信(FCO) 8.2安全保障要求 9基本原理 9.1安全目的基本原理 9.2安全要求基本原理 9.3組件依賴關系基本原理 附錄A(規(guī)范性)分布式無線局域網(wǎng)接入系統(tǒng)組件安全功能要求分配關系 附錄B(規(guī)范性)無線局域網(wǎng)接入系統(tǒng)安全功能要求對應的可審計事件 參考文獻 V本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定起草。本文件代替GB/T33565—2017《信息安全技術無線局域網(wǎng)接入系統(tǒng)安全技術要求(評估保障級2級增強)》,與GB/T33565—2017相比，除結構調(diào)整和編輯性改動外，主要技術變化如下：a)更改了TOE范圍(見第5章，2017年版的第6章);b)更改了無線局域網(wǎng)接入系統(tǒng)面臨的威脅，包括15類威脅、3項組織安全策略和8個假設(見第6章，2017年版的第7章);c)更改了“TOE安全目的”和“環(huán)境安全目的”,包括11項TOE的安全目的，9項環(huán)境安全目的(見第7章，2017年版的第8章);d)更改了無線局域網(wǎng)接入系統(tǒng)安全功能要求，包括10類81項安全功能要求(見8.1,2017年版的第9章、第10章);e)根據(jù)無線局域網(wǎng)接入系統(tǒng)技術發(fā)展，更改了最新安全保障要求(見8.2,2017年版的9.2);f)增加了“基本原理”,包括安全問題與安全目的、安全目的與安全要求間的對應關系和組件間的依賴關系(見第9章)。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構不承擔識別專利的責任。本文件由全國網(wǎng)絡安全標準化技術委員會(SAC/TC260)提出并歸口。本文件起草單位：中國信息安全測評中心，中國科學院信息工程研究所、中車工業(yè)研究院有限公司、北京交通大學、華為技術有限公司、西安西電捷通無線網(wǎng)絡通信股份有限公司、公安部第一研究所、中國電子技術標準化研究院、北京天融信網(wǎng)絡安全技術有限公司、深信服科技股份有限公司、鄭州信大捷安信息技術股份有限公司、長揚科技(北京)股份有限公司、深圳市信銳網(wǎng)科技術有限公司、北京路云天網(wǎng)絡安全技術研究院有限公司、西安交大捷普網(wǎng)絡科技有限公司、中孚信息股份有限公司、國網(wǎng)區(qū)塊鏈科技(北京)有限公司、中國網(wǎng)絡安全審查技術與認證中心、新華三技術有限公司、中國電力科學研究院有限公司。王海翔。本文件及其所代替文件的歷次版本發(fā)布情況為：——2017年首次發(fā)布為GB/T33565—2017;——本次為第一次修訂。1網(wǎng)絡安全技術無線局域網(wǎng)接入系統(tǒng)安全技術要求1范圍本文件規(guī)定了無線局域網(wǎng)接入系統(tǒng)的安全功能要求和安全保障要求，給出了無線局域網(wǎng)接入系統(tǒng)面臨安全問題的說明。本文件適用于無線局域網(wǎng)接入系統(tǒng)的測試、評估和采購，以及指導該類產(chǎn)品的研制和開發(fā)。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB15629.11信息技術系統(tǒng)間遠程通信和信息交換局域網(wǎng)和城域網(wǎng)特定要求第11部分：無線局域網(wǎng)媒體訪問控制和物理層規(guī)范GB/T18336.1—2024網(wǎng)絡安全技術信息技術安全性評估準則第1部分：簡介和一般模型GB/T18336.2—2024網(wǎng)絡安全技術信息技術安全性評估準則第2部分：安全功能要求GB/T18336.3—2024網(wǎng)絡安全技術信息技術安全性評估準則第3部分：安全保障要求GB/T25069—2022信息安全技術術語GB/T32213—2015信息安全技術公鑰基礎設施遠程口令鑒別與密鑰建立規(guī)范GB/T32915—2016信息安全技術二元序列隨機性檢測方法GB/T32918.3—2016信息安全技術SM2橢圓曲線公鑰密碼算法第3部分：密鑰交換協(xié)議GB/T35276—2017信息安全技術SM2密碼算法使用規(guī)范GB/T39786—2021信息安全技術信息系統(tǒng)密碼應用基本要求3術語和定義GB/T25069—2022和GB/T18336.1—2024界定的以及下列術語和定義適用于本文件。無線局域網(wǎng)接入系統(tǒng)wirelesslocalareanetworkaccesssystem;WLANaccesssystem能實現(xiàn)無線局域網(wǎng)客戶端接入無線局域網(wǎng)絡的，由軟件和硬件構成的設備或者系統(tǒng)。接入控制器accesscontroller實現(xiàn)無線局域網(wǎng)客戶端接入無線局域網(wǎng)絡的控制設備。一種提供無線局域網(wǎng)客戶端與有線網(wǎng)絡之間的訪問，在無線網(wǎng)絡和有線網(wǎng)絡之間轉(zhuǎn)發(fā)幀的網(wǎng)絡接2下列縮略語適用于本文件。AC:接入控制器(AccessController)AP:訪問點(AccessPoint)EAL:評估保障級(EvaluationAssuranceLevel)PP:保護輪廓(ProtectionProfile)SFP:安全功能策略(SecurityFunctionPolicy)SFR:安全功能要求(SecurityFunctionalRequirement)TOE:評估對象(TargetofEvaluation)TSF:評估對象安全功能(TOESecurityFunctions)TSP:評估對象安全策略(TOESecurityPolicy)WAPI:無線局域網(wǎng)鑒別與保密基礎結構(WLANAuthenticationandPrivacyInfrastructure)WAS:無線局域網(wǎng)接入系統(tǒng)(WLANAccessSystem)WLAN:無線局域網(wǎng)(WirelessLocalAreaNetwork)5無線局域網(wǎng)接入系統(tǒng)無線局域網(wǎng)接入系統(tǒng)是一種基于IEEE802.11和GB15629.11系列標準中協(xié)議族構建的由軟件和硬件構成的設備或者系統(tǒng)，通常由一個接入控制器AC和一個或多個訪問點AP構成，位于被接入網(wǎng)絡邊緣，服務于無線局域網(wǎng)客戶端與被接入網(wǎng)絡間的安全通信。無線局域網(wǎng)接入系統(tǒng)支持管理、認證、加密以及保護和處理通信數(shù)據(jù)等安全功能，在無線局域網(wǎng)客戶端和被接入網(wǎng)絡之間提供安全通信，保護一個典型的無線局域網(wǎng)接入系統(tǒng)的運行環(huán)境如圖1所示。3ACAC無線局域網(wǎng)客戶端無線局域網(wǎng)接入系統(tǒng)被接入網(wǎng)絡圖1典型無線局域網(wǎng)接入系統(tǒng)運行環(huán)境WAS安全技術要求分為3個等級?！狤AL2+:同時符合EAL2+級安全功能要求和EAL2級安全保障要求，主要應用于家庭、個人用戶和有限商業(yè)?！狤AL3:同時符合EAL3級安全功能要求和EAL3級安全保障要求，主要應用于組織、個人用戶和一般商業(yè)。—EAL4:同時符合EAL4級安全功能要求和EAL4級安全保障要求，主要應用于專有的高安全等級領域。本文件適用于遵循IEEE802.11系列標準中協(xié)議的一個或多個AP、AC及其中運行的管理應用程序。在物理組件層面它們或分布存在，或集成為單一設備。本文件的TOE僅含遠程管理路徑保護，本地和遠程登錄認證，安全相關事件審計，加密驗證更新來源以及防護常見的網(wǎng)絡攻擊等基礎安全功能。其他安全功能不在本文件的評估范圍內(nèi)。6安全問題6.1.1未授權管理(T.UNAUTHORIZED_MANAGEMENT)威脅主體通過假冒管理員、重放管理會話或中間人攻擊等手段獲取管理權限，或者通過提供錯誤的管理信息，實現(xiàn)對管理會話或不同設備之間會話的訪問干預。威脅主體在獲取管理員權限后會危害設備及所在網(wǎng)絡的安全功能，例如損害TOE安全特性更新、修改設備安全配置、修改權限信息等。6.1.2未授權訪問(T.UNAUTHORIZED_ACCESS)威脅主體試圖訪問位于受保護網(wǎng)絡上的服務，這些服務僅能從受保護網(wǎng)絡內(nèi)部訪問，或者只能通過受保護網(wǎng)絡認證過的途徑訪問。46.1.3加密破解(T.CRYPTOGRAPHY_COMPROMISE)威脅主體嘗試破解弱的加密算法或者窮舉密鑰空間。加密算法、模式和密鑰長度的不當選擇，使得威脅主體能以最小代價破解加密算法或暴力耗盡密鑰空間，實現(xiàn)未授權訪問，從而危害網(wǎng)絡設備及信息安全。6.1.4管理口令破解(T.ADMINISTRATOR_PASSWORD_CRACKING)威脅主體破解管理員弱口令獲得系統(tǒng)超級權限，從而不受約束地訪問網(wǎng)絡，獲取數(shù)據(jù)，在網(wǎng)絡中偽裝成可信主體，損害網(wǎng)絡信息安全。6.1.5弱終端認證(T.WEAK_AUTHENTICATION_ENDPOINTS)威脅主體利用弱終端認證方法，例如弱口令等，偽裝成管理員或其他設備實施中間人攻擊，導致關鍵網(wǎng)絡流量暴露，破壞數(shù)據(jù)傳輸?shù)臋C密性和完整性，甚至破壞TOE安全。6.1.6安全憑證受損(T.SECURITY_CREDENTIAL_COMPROMISE)威脅主體通過篡改證書等方法持續(xù)訪問TOE及關鍵數(shù)據(jù)。例如將原證書替換為非法證書，修改已有證書或者直接盜用管理員或設備的證書。6.1.7更新受損(T.UPDATE_COMPROMISE)威脅主體通過篡改軟件或固件的更新，來破壞TOE的安全功能，而未經(jīng)驗證或使用不安全方法驗6.1.8網(wǎng)絡暴露(T.NETWORK_DISCLOSURE)威脅主體對受保護網(wǎng)絡上的設備進行未經(jīng)授權的活動。如果惡意的外部設備能與受保護網(wǎng)絡上的設備通信，或者受保護網(wǎng)絡上的設備能與這些外部設備建立通信，則這些內(nèi)部設備極易遭受未授權的信息暴露。6.1.9安全功能失效(T.SECURITY_FUNCTIONALITY_FAILURE)威脅主體利用安全功能失效，在未認證的情況下使用或濫用安全功能，以訪問和修改設備數(shù)據(jù)、關鍵網(wǎng)絡流量或者安全功能配置。TOE的安全機制通常是從受信任的初始機制構建出來的復雜機制集合，初始機制的失效影響復雜機制的運行，從而導致安全功能失效。威脅主體竊聽、入侵沒有使用標準化的安全傳輸通道協(xié)議來保護關鍵網(wǎng)絡信息傳輸?shù)木W(wǎng)絡主體，實施如中間人攻擊、重放攻擊等，獲得無線局域網(wǎng)接入系統(tǒng)與其他設備交互的數(shù)據(jù)，進而破壞數(shù)據(jù)傳輸?shù)臋C密性和完整性，甚至破壞TOE安全。6.1.11重放攻擊(T.REPLAY_ATTACK)威脅主體通過截獲有效通信數(shù)據(jù)包后重新發(fā)送，以混淆正常通信或者攻擊TOE,影響其安全工作。6.1.12未知活動(T.UNDETECTED_ACTIVITY)威脅主體在不被覺察的情況下試圖訪問、修改TOE的安全功能(例如利用錯誤配置、產(chǎn)品缺陷),這將導致管理員無法發(fā)現(xiàn)設備已受損。威脅主體采取未知的攻擊行為攻擊TOE及所在網(wǎng)絡，對56.1.13殘留信息利用(T.RESIDUAL_DATA_EXPLOIT)威脅主體利用殘留信息的處理缺陷，在執(zhí)行過程中對未刪除的殘留信息進行利用，以獲取敏感信息或濫用安全功能，危害TOE安全。6.1.14資源消耗(T.RESOURCE_EXHAUSTION)威脅主體通過大量消耗TOE關鍵資源使得系統(tǒng)崩潰或超時拒絕服務。威脅主體通過壓制合法網(wǎng)絡信號并偽裝成原接入系統(tǒng)，與待接入設備進行交互，從而獲取TSF數(shù)據(jù)或用戶數(shù)據(jù)，威脅TOE安全。6.2組織安全策略6.2.1接入告知(P.ACCESS_BANNER)TOE顯示一個描述使用限制、法律協(xié)議或其他需要用戶同意的初始告知。6.2.2密碼管理(P.CRYPTOGRAPHY_MANAGEMENT)密碼的使用是按照相關國家標準進行的。6.2.3認證應用(P.AUTHENTICATION_USAGE)管理員為無線局域網(wǎng)接入系統(tǒng)選擇符合應用需求的認證方式。6.3.1物理保護(A.PHYSICAL_PROTECTION)假定TOE在其運行環(huán)境中受到物理保護，不會受到危及設備安全、干擾設備物理互連和影響正確操作的物理攻擊。假定這種保護足以保護設備及其包含的數(shù)據(jù)。因此，本文件不包括任何關于物理篡改保護或其他緩解物理攻擊的要求。6.3.2有限功能(A.LIMITED_FUNCTIONALITY)假定TOE以提供無線網(wǎng)絡接入功能為核心，不提供通用計算功能或服務。假定運行環(huán)境涉及范圍中，TOE連接于一個確定的網(wǎng)絡，其用戶與被接入網(wǎng)絡之間的信息傳遞保證經(jīng)過TOE,并保證安全策略能強制執(zhí)行。6.3.4可信管理員(A.TRUSTED_ADMINISTRATOR)假定管理員可信，能確保密碼或憑據(jù)具有足夠的強度和復雜度，且管理設備時沒有惡意。不要求TOE能防御惡意管理員的破壞。對于支持X.509v3證書驗證的TOE,管理員需要保證加載的TOE根證書庫可信。6.3.5定期更新(A.REGULAR_UPDATES)假定管理員會定期且及時進行固件或軟件的更新，以響應產(chǎn)品升級或漏洞修補。66.3.6管理員憑證安全(A.ADMINISTRATOR_CREDENTIALS_SECURE)假定用于訪問TOE的管理員憑據(jù)(私鑰)受其所在平臺的保護。6.3.7組件正常運行(A.COMPONENTS_RUNNING)假定TOE的各組件都在正常工作，沒有單個組件功能失效。假定管理員能確保移出運行環(huán)境的TOE設備上，遺留的敏感信息(例如加密密鑰、pin碼、密碼等)不會被未授權的實體訪問或獲取。7安全目的7.1TOE安全目的無線局域網(wǎng)接入系統(tǒng)應使用符合國家標準管理機構和國家密碼管理機構要求的加解密機制，保證無線局域網(wǎng)接入系統(tǒng)能對其保護的數(shù)據(jù)采取加密措施，以保持其機密性、完整性。7.1.2身份驗證(O.AUTHENTICATION)無線局域網(wǎng)接入系統(tǒng)應使用符合標準管理機構要求的身份驗證機制，以確保用戶正在與授權的外無線局域網(wǎng)接入系統(tǒng)應提供測試其安全功能的相關機制，在初次啟動以及系統(tǒng)運行過程中執(zhí)行自檢，以確保其安全功能的完整性，并將自檢結果通知管理員。若啟動時自檢失敗，則無線局域網(wǎng)接入系統(tǒng)應進入安全狀態(tài)，確保不遵守TOE安全策略的數(shù)據(jù)無法傳遞。7.1.4系統(tǒng)監(jiān)測(O.SYSTEM_MONITORING)無線局域網(wǎng)接入系統(tǒng)應提供監(jiān)測WLAN功能和安全相關事件的能力，并能對記錄的事件進行保護，對監(jiān)測結果進行安全性分析，將分析結果展示或發(fā)送至有授權的相關管理實體。無線局域網(wǎng)接入系統(tǒng)應提供管理員用于管理系統(tǒng)安全所必需的功能，包括對管理員的管理權限進行分級與限制的功能、管理會話鎖定功能、處理遠程管理員身份驗證失敗嘗試等功能。7.1.6可信信道(O.TRUSTED_CHANNEL)無線局域網(wǎng)接入系統(tǒng)應提供通信信道管理、選擇和發(fā)現(xiàn)信道異常的能力，能識別偽裝的接入系統(tǒng)與偽裝的授權用戶，并提供受保護的安全數(shù)據(jù)傳輸通道，供管理員或授權用戶使用，確保用戶沒有與偽裝的接入系統(tǒng)或授權用戶通信。7.1.7資源管理(O.RESOURCE_MANAGEMENT)無線局域網(wǎng)接入系統(tǒng)應提供系統(tǒng)資源管理功能，減少可能耗盡系統(tǒng)資源的風險，防止惡意用戶或惡7意程序大量消耗系統(tǒng)資源。7.1.8殘留信息清除(OE.RESIDUAL_INFORMATION_ERASE)無線局域網(wǎng)接入系統(tǒng)應保證重要敏感數(shù)據(jù)在使用完成后會被刪除或被安全處理，保證受保護資源被重新分配時不會留下可被攻擊者利用的殘留數(shù)據(jù)信息。7.1.9可信更新(O.TRUSTED_UPDATE)無線局域網(wǎng)接入系統(tǒng)應提供測試其升級的相關機制，確保升級所用的固件、軟件來源可信，內(nèi)容未被篡改。7.1.10分布式管理(O.DISTRIBUTED_MANAGEMENT)無線局域網(wǎng)接入系統(tǒng)應提供分布式管理相關機制，對于分布式系統(tǒng)提供組件注冊、組件間安全通信、統(tǒng)籌系統(tǒng)級審計相關功能。7.1.11訪問控制(O.ACCESS_CONTROL)無線局域網(wǎng)接入系統(tǒng)應提供訪問控制機制，區(qū)分訪問實體的權限，并可限制實體到無線網(wǎng)絡或無線局域網(wǎng)接入系統(tǒng)的連接，防止無線局域網(wǎng)接入系統(tǒng)所在的網(wǎng)絡、無線局域網(wǎng)接入系統(tǒng)的管理后臺、重要數(shù)據(jù)、進程及資源等在未授權情況下被訪問、修改或刪除。7.2環(huán)境安全目的無線局域網(wǎng)接入系統(tǒng)運行環(huán)境可提供其運行所需的物理安全保護。除了無線局域網(wǎng)接入系統(tǒng)的操作、管理和支持所必需的服務外，無線局域網(wǎng)接入系統(tǒng)上不提供通用計算功能或服務(例如，編譯器或用戶應用程序)。7.2.3管理員可信(OE.ADMINISTRATOR_TRUSTED)管理員是可信的，經(jīng)過充分的培訓，并以一種受信任的方式遵循和應用所有指導文檔。對于支持X.509v3證書驗證的TOE,管理員需要保證加載的TOE根證書庫可信。7.2.4更新機制(OE.UPDATE_MECHANISM)無線局域網(wǎng)接入系統(tǒng)的固件或軟件會由管理員及時依據(jù)產(chǎn)品發(fā)布更新進行升級。7.2.5管理員憑證安全(OE.ADMINISTRATOR_CREDENTIALS_SECURE)用于訪問TOE的管理員憑據(jù)(如私鑰)應在其駐留的任何其他平臺上受到合理保護。7.2.6組件可用性(OE.COMPONENTS_SERVICEABILITY)對于分布式無線局域網(wǎng)接入系統(tǒng)，管理員應定期檢查分布式各組件的可用性，以降低因未檢測引發(fā)的部分組件失效或受攻擊的風險。管理員還應定期檢查分布式各組件的審計功能模塊，以確保各組件審計功能的正常運行。87.2.7遺留信息清除(OE.REMAINING_INFORMATION_ERASE)管理員應確保當無線局域網(wǎng)接入系統(tǒng)被丟棄或移除時，物理設備上的敏感遺留信息(例如加密密鑰、pin碼、密碼等)不會受到未經(jīng)授權的訪問或獲取。管理員應確保無線局域網(wǎng)接入系統(tǒng)采用合適的安裝方式，能保證對受監(jiān)控網(wǎng)絡的網(wǎng)絡流量有效地實施策略。無線局域網(wǎng)接入系統(tǒng)運行環(huán)境應提供設置或獲取可信時間的功能，保證系統(tǒng)時間是由授權用戶設定或者是從可靠的時鐘源同步獲得的。8安全要求8.1安全功能要求8.1.1安全功能要求分級無線局域網(wǎng)接入系統(tǒng)的安全功能要求應由GB/T18336.2—2024規(guī)定的安全功能組件構成，無線局域網(wǎng)接入系統(tǒng)的安全功能要求見表1,8.1.2～8.1.9對各安全功能組件進行了說明。若需要評估的無線局域網(wǎng)接入系統(tǒng)為分布式的系統(tǒng)，系統(tǒng)整體及組件需要滿足的安全功能要求按照附錄A。表1安全功能要求分級安全功能類安全功能組件EAL2+EAL3EAL4安全審計(FAU)FAU_GEN.1√√√FAU_GEN.2√√√FAU_ARP.1√√√FAU_SAA.1/√√FAU_SAA.2//√FAU_SAA.3//√FAU_SAR.1√√√FAU_SAR.2√√√FAU_SAR.3√√√FAU_SEL.1√√√FAU_STG.1√√√FAU_STG.2/√√FAU_STG.3√√√FAU_STG.4√√√FAU_STG.5√√√FAU_STG_EXT.1/√√9表1安全功能要求分級(續(xù))安全功能類安全功能組件EAL2+EAL3EAL4密碼支持(FCS)FCS_CKM.1√√√FCS_CKM.2√√√FCS_CKM.3√√√FCS_CKM.5/√√FCS_CKM.6√√√FCS_COP.1√√√FCS_RBG.1√√√FCS_RNG.1√√√FCS_TLSS_EXT.1/√√FCS_TLSS_EXT.2//√用戶數(shù)據(jù)保護(FDP)FDP_ACC.1√√√FDP_ACF.1√√√FDP_RIP.1√√√FDP_RIP.2√√√FDP_SDC.1√√√FDP_SDI.1√√√標識和鑒別(FIA)FIA_AFL.1√√√FIA_ATD.1√√√FIA_UAU.1√√√FIA_UAU.3√√√FIA_UAU.5//√FIA_UAU.6√√√FIA_UAU.7/√√FIA_UAU_EXT.1/√√FIA_UID.1√√√FIA_UID.2√√√FIA_USB.1√√√FIA_8021X_EXT.1//√FIA_PMG_EXT.1√√√FIA_PSK_EXT.1//√安全管理(FMT)FMT_MOF.1√√√FMT_MSA.1√√√FMT_MSA.2√√√FMTMSA.3√√√表1安全功能要求分級(續(xù))安全功能類安全功能組件EAL2+EAL3EAL4安全管理(FMT)FMT_MTD.1√√√FMT_MTD.2√√√FMT_MTD.3√√√FMT_SMF.1√√√FMT_SMR.1√√√FMT_SMR.2/√√FMT_SMR_EXT.1√√√TSF保護(FPT)FPT_FLS.1√√√FPT_ITC.1/√√FPT_RCV.4√√√FPT_RPL.1//√FPT_STM.1√√√FPT_TST.1√√√FPT_ITT.1/√√FPT_INI.1√√√FPT_SKP_EXT.1√√√FPT_TUD_EXT.1√√√FPT_TUD_EXT.2/√√FTA_SSL.1√√√FTA_SSL.3√√√FTA_SSL.4√√√FTA_TSE.1√√√FTA_TAB.1/√√可信路徑/信道(FTP)FTP_ITC.1√√√FTP_ITC.1/Client√√√FTP_PRO.1√√√FTP_PRO.2√√√FTP_PRO.3√√√FTP_TRP.1√√√資源利用(FRU)FRU_RSA.1√√√通信(FCO)FCO_CPC_EXT.1/√√注：“√”為必備滿足的項，“/”為可選滿足的項。FAUGEN.1.1TSF應能為下述可審計事件產(chǎn)生審計記錄：——審計功能的開啟和關閉；——有關[選擇：最小級、基本級、詳細級、未規(guī)定]審計級別的所有可審計事件；——需要記錄的審計事件，包括且不限于：●登錄和注銷(如管理員需要個人用戶賬戶，應記錄用戶賬戶的名稱);●與配置變更相關的TSF數(shù)據(jù)變更(除了發(fā)生變更的信息外，還應記錄變更前的信息);·生成/導入、更改或刪除加密密鑰(除操作本身外，還應記錄唯一的密鑰名稱或密鑰引用);·重置密碼(需記錄相關用戶賬號名);·無線傳感器通信失??；●對于分布式TOE,每個組件都需要生成自己的審計記錄，審計數(shù)據(jù)包括且不限于：TOE組件列表，TOE為分布式TOE,存儲外部為以下TOE組件提供的審計數(shù)據(jù)：沒有在本地存儲審計數(shù)據(jù)的TOE組件，以及向其傳輸其生成的審計數(shù)據(jù)的其他TOE組件列表；·其他可審計事件，可審計事件按照附錄B。FAU_GEN.1.2TSF應在每個審計記錄中至少記錄下列信息：——可審計事件的日期和時間、事件類型、主體身份(如果適用)、事件的結果(成功或失敗);——對每種審計事件類型，基于PP、PP-模塊、功能包或ST中功能組件的可審計事件的定義，表B.1第三列“附加審計記錄”中指定的信息。TSF應能將每個可審計事件與導致事件的用戶的身份相關聯(lián)。當檢測到潛在的安全侵害時，TSF應進行相應操作。FAU_SAA.1.1TSF應能使用一組規(guī)則去監(jiān)測審計事件，并根據(jù)這些規(guī)則指示出對實施SFR的潛在侵害。TSF應執(zhí)行下列規(guī)則監(jiān)測審計事件：——已知的用來指示潛在安全侵害的已定義的可審計事件的子集的累積或組合；——任何其他規(guī)則。FAU_SAA.2.1TSF應能維護系統(tǒng)使用輪廓。在這里單個輪廓代表由輪廓目標組成員完成的歷史使用模式。TSF應維護一個與每個用戶相對應的置疑等級，這些用戶的活動已記錄在輪廓中。在這里，置疑等級代表用戶當前活動與輪廓中已建立的使用模式不一致的程度。FAU_SAA.2.3當用戶的置疑等級超過閾值條件TSF報告異?；顒拥臈l件時，TSF應能指出對SFR實施的可能侵害即將發(fā)生。對預示可能違反SFR實施的下列特征事件系統(tǒng)事件的一個子集，TSF應能維護一個內(nèi)部表示。TSF應能對照特征事件比對系統(tǒng)活動記錄，系統(tǒng)活動可通過檢查確定系統(tǒng)活動的信息辨別出來。FAU_SAA.3.3當發(fā)現(xiàn)一個系統(tǒng)事件與一個預示可能潛在違反SFR實施的特征事件匹配時，TSF應能指出潛在違反SFR實施的事件即將發(fā)生。FAU_SAR.1.1TSF應為授權用戶提供從審計記錄中讀取審計信息列表的能力。FAUSAR.1.2TSF應以便于用戶理解的方式提供審計記錄。除明確準許讀訪問的用戶外，TSF應禁止所有用戶讀取審計記錄。TSF應根據(jù)邏輯關系提供對審計數(shù)據(jù)進行選擇和(或)排序的能力。TSF應能根據(jù)以下屬性從所有審計事件集合中選擇可審計的事件：——審計選擇所依據(jù)的附件屬性表。1審計數(shù)據(jù)存儲位置(FAU_STG.1)FAU_STG.1.1TSF應能將生成的審計數(shù)據(jù)存儲在[選擇：TOE本身，根據(jù)FTP_ITC使用可信信道將生成的審計數(shù)據(jù)傳輸?shù)酵獠縄T實體，其他存儲位置]。2受保護的審計數(shù)據(jù)存儲(FAU_STG.2)FAU_STG.2.1TSF應保護所存儲的審計記錄，以避免未授權的刪除。FAU_STG.2.2TSF應能[選擇：防止、檢測]對審計中所存審計記錄的未授權修改。FAU_STG.3.1TSF應保護所存儲的審計記錄，以避免未授權的刪除。FAU_STG.3.2TSF應能[選擇：防止、檢測]對審計數(shù)據(jù)中所存審計記錄的未授權修改。FAU_STG.3.3當下列情況發(fā)生時：[選擇：審計存儲耗盡、失效、受攻擊],TSF應確保保存審計記錄的度量內(nèi)的審計記錄維持有效。4審計數(shù)據(jù)可能丟失時的行為(FAU_STG.4)如果審計數(shù)據(jù)存儲超過預定的限度，TSF應在審計記錄超過預定的限度之前發(fā)出警告，通知管理員，并[選擇：刪除新的審計數(shù)據(jù)，按照覆蓋以前的審計記錄的規(guī)則覆蓋以前的審計記錄]。如果審計數(shù)據(jù)存儲已滿，TSF應[選擇：“忽略可審計事件”,“阻止可審計事件，具有特權的授權用戶產(chǎn)生的事件除外”,“覆蓋所存儲的最早的審計記錄”],提供關于[選擇：刪除，覆蓋，其他信息操作]審計記錄數(shù)量的信息審計存儲失效時所采取的其他動作。6分布式TOE審計事件存儲(FAU_STG_EXT.1)FAUSTGEXT.1.1對于分布式TOE,每個TOE組件都需要適當?shù)乇Ｗo自己的審計記錄。FAUSTGEXT.1.2對于非本地存儲的TOE組件，TSF應在數(shù)據(jù)傳輸至其他可傳輸或轉(zhuǎn)發(fā)它的TOE地緩沖安全機制。TOE組件之間的審計記錄傳輸根據(jù)[選擇：FPT_ITT.1,FTP_ITC.1]可信信道。組件前，具有本使用受保護的對稱密鑰：[選擇：WAPI,WPA2,WAP3]加密密鑰生成，TSF應根據(jù)下列標準[選擇：GB15629.11,IEEE802.11—2020,IEEE802.11ax—2021,無其他標準]的一個特定的密鑰生成算法[選擇：PRF-128,PRF-256,PRF-384,PRF-512,PRF-704,無其他算法]和規(guī)定的密鑰長度[選擇：128位，192位，256位，無其他密鑰大小]FCS_RNG.1來生成對稱加密密鑰。非對稱密鑰：TSF應根據(jù)下列標準[選擇：GB/T35276—2017、GB/T32213—2015、GB/T32918.3—2016]的一個特定的密鑰生成算法[選擇：SM2密碼算法，RSA方案]和規(guī)定的密鑰長度[選擇：256位或以上，2048或以上]來生成密鑰。對稱密鑰：TSF應根據(jù)下列標準[選擇：GB15629.11]的一個特定的密鑰分發(fā)方法[選擇：WAPI加密密鑰分發(fā)，GTK密鑰分發(fā)，PMK密鑰分發(fā)]來分發(fā)密鑰。非對稱密鑰：TSF應根據(jù)下列標準[選擇：IEEE802.11—2020、GB/T35276—2017、GB/T32213—2015、GB/T32918.3—2016]的一個特定的密鑰分發(fā)方法[選擇：基于RSA的密鑰建立方案，基于橢圓曲線的密鑰建立方案，基于有限域的密鑰建立方案]來分發(fā)密鑰。TSF應根據(jù)下列標準[選擇：IEEE802.11—2020,GB/T39786—2021]的一個特定的密鑰存取方法[選擇：磁條卡密鑰、智能卡密鑰、ROM密鑰等]來執(zhí)行[選擇：密鑰存儲、密鑰讀取、密鑰備份等]。密碼派生(FCS_CKM.5)TSF應根據(jù)下列標準[選擇：RFC8018,GM/T0091—2020]的一個特定的密鑰派生算法[選擇：PBKDF2、Scrypt]和規(guī)定的密鑰長度從輸入?yún)?shù)中派生出指定類型的密鑰。密鑰銷毀的時間和事件(FCS_CKM.6)FCSCKM.6.1當[選擇：不再需要，密鑰或密鑰材料銷毀的其他情況]時，TSF銷毀密鑰(包括密鑰材料)列表。FCSCKM.6.2TSF應根據(jù)以下方法來銷毀FCS_CKM.6.1中規(guī)定的密鑰和密鑰材料：——對于易失性存儲中的明文密鑰，銷毀應使用TSF的隨機數(shù)產(chǎn)生器(RBG)的偽隨機模式、全0或全1、一個新的密鑰、不包含任何關鍵安全參數(shù)(CSP)的靜態(tài)或動態(tài)值實現(xiàn)，并銷毀對密鑰的引用，然后請求垃圾收集?！獙τ诜且资源鎯χ械拿魑拿荑€，銷毀應通過調(diào)用TSF提供的接口執(zhí)行[選擇：●邏輯上處理密鑰的存儲位置，可選擇下列方法之一進行覆蓋，如使用TSF的RBG的偽隨機模式、全0或全1、一個新的密鑰、不包含任何CSP的靜態(tài)或動態(tài)值等；●調(diào)用TSF銷毀對密鑰的引用。]密碼運算(FCS_COP.1)TSF應根據(jù)下列標準的特定的密碼算法和密鑰長度來執(zhí)行：對于數(shù)據(jù)加密，TSF應根據(jù)下列標準[選擇：GB15629.11]的特定的密碼算法[選擇：SM4或高級加密標準(AES),密碼輸出反饋(OFB)或密碼分組鏈接(CBC)、CCM模式(CCMP)或計數(shù)器模式等]和密鑰長度[選擇：不低于128位]來執(zhí)行[選擇：加密/解密]。對于密碼操作(簽名生成與驗證),TSF應根據(jù)下列標準[選擇：GB15629.11]的特定的密碼算法執(zhí)行加密簽名服務[選擇：——ECDSA數(shù)字簽名算法，且密鑰長度應為192位或以上，——SM2數(shù)字簽名算法，且密鑰長度應為256位或以上，——RSA數(shù)字簽名算法，且密鑰長度應為2048位或以上，——橢圓曲線數(shù)字簽名算法，且密鑰長度應為256位或以上。]對于哈希操作，TSF應當根據(jù)下列標準[選擇：GB15629.11]的特定的密碼算法[選擇：SM3、SHA-256、SHA-384、SHA-512等]和密鑰長度[選擇：不低于256位]來執(zhí)行[選擇：加密/解密]。對于密鑰哈希操作，TSF應當根據(jù)下列標準[選擇：GB15629.11]的特定的密碼算法[選擇：HMAC-SM3、HMAC-SHA-256、HMAC-SHA-384和HMAC-SHA-512等]和密鑰長度[選擇：不低于256位]來執(zhí)行[選擇：加密/解密]。對于預共享密鑰，TSF應根據(jù)下列標準[選擇：IEEE802.11—2020]的特定密碼算法[選擇：RADI-US、IPsec、WPA3-SAE、WPA3-SAE-PK、WPA2-PSK,其他算法]和密鑰長度[選擇：低于64字符]來執(zhí)行[選擇：加密/解密]。隨機比特生成(FCS_RBG.1)FCS_RBG.1.1當種子初始化之后，TSF應根據(jù)[GB/T32915—2016]他算法]執(zhí)行確定性隨機比特生成服務。用[選擇：Hash_DRBG、HMAC_DRBG或其FCS_RBG.1.2TSF應使用[選擇：TSF噪聲源[選擇：基于軟件的噪聲源，基于平臺的噪聲源],TSF用于設定種子的接口]進行種子初始化。FCS_RBG.1.3TSF應根據(jù)以下不同情況：[選擇：從不，按需，在特定條件下，在一定加載種子，非實例化和重新實例化]使用一個[選擇：TSF噪聲源[選擇：基于軟件的噪聲源，基于平臺的噪聲源],TSF用于設定種子的接口]更新RBG狀態(tài)，以保持與[GB/T32915—2016]的一致。FCS_RNG.1.1TSF應提供一個[選擇：物理、非物安全能力列表。FCS_RNG.1.2TOE安全功能TSF應提供滿足定義的質(zhì)量指標的[選擇：位、八位字節(jié)、數(shù)字或其他數(shù)字的格式]。TLS加密協(xié)議-S/無相互身份驗證的TLS服務器協(xié)議(FCS_TLSS_EXT.1)WAS安全功能應執(zhí)行[選擇：TLS1.2、TLS1.1],并設置不接受其他TLS和SSL版本。TLS實現(xiàn)將支持以下密碼套件：[選擇：受支持的密碼套件],而不支持其他密碼套件。FCSTLSSEXT.1.2WAS安全功能應能拒絕來自SSL2.0、SSL3.0、TLS1.0和[選擇：TLS1.1、TLS1.2]的客戶端的請求連接。FCS_TLSS_EXT.1.3WAS安全功能進行TLS建立時，應使用[選擇：密鑰長度不低于2048位的RSA算法，密鑰長度不低于256位的SM2算法，符合國家密碼主管部門要求的其他算法]。FCS_TLSS_EXT.1.4WAS安全功能應支持[選擇：不允許會話恢復或會話通知，根據(jù)TLS1.1或TLS1.2的會話ID恢復會話，根據(jù)RFC5077的恢復會話]。0TLS加密協(xié)議-SX509/TLS服務器支持相互身份驗證(可選)(FCS_TLSS_EXT.2)FCSTLSSEXT.2.1WAS安全功能支持TLS通信，支持使用X.509v3證書的TLS客戶端相互認證。FCSTLSSEXT.2.2建立信任通道時，如果客戶端證書無效，默認情況下TSF不能建立信任通道。TSF需[選擇：——不實現(xiàn)任何管理員覆蓋機制；——如果TSF不能[選擇：匹配引用標識符，驗證證書路徑，驗證過期日期，確定吊銷狀態(tài)],則需要管理員授權建立連接。]FCSTLSSEXT.2.3如果證書中包含的標識符與客戶端期望的標識符不匹配，則TSF不能建立可信通道。如果標識符是一個完全合格域名(FQDN),那么TSF將根據(jù)RFC6125匹配標識符，否則TSF將從證書中解析標識符，并將標識符與TSS中描述的客戶端預期標識符進行匹配。8.1.4用戶數(shù)據(jù)保護(FDP)TSF應對[選擇：主體、客體及SFP所涵蓋主體和客體之間的操作列表]執(zhí)行訪問控制SFP?；诎踩珜傩缘脑L問控制(FDP_AFDPACF.1.1TSF應基于[選擇：指定SFP控制下的主體和客體列表，以及每個對應的SFP的相關安全屬性或SFP相關的已命名安全屬性組]對客體執(zhí)行訪問控制SFP。FDPACF.1.2TSF應執(zhí)行在受控主體和受控客體間，通過對受控客體采取受控操作來管理訪問的一些規(guī)則，以確定在受控主體與受控客體間的一個操作是否被允許。FDP_ACF.1.3TSF應基于安全屬性，明確授權主體訪問客體的規(guī)則等附加規(guī)則，明確授權主體訪問客體。FDPACF.1.4TSF應基于安全屬性，明確禁止主體訪問客體的規(guī)則等附加規(guī)則明確禁止主體訪問客體。TSF應確保一個資源的任何先前信息內(nèi)容，在[選擇：分配資源到、釋放資源自]指定客體列表時不再可用。完全殘余信息保護(FDP_RIP.2)TSF應確保一個資源的任何先前信息內(nèi)容，在[選擇：分配資源到、釋放資源自]所有客體時不存儲數(shù)據(jù)的機密性(FDP_SDC.1)TSF應確保[選擇：所有用戶數(shù)據(jù)，指定用戶數(shù)據(jù)列表]存儲在[選擇：臨時內(nèi)存，持久內(nèi)存，任意內(nèi)存]中的機密性。存儲數(shù)據(jù)完整性監(jiān)視(FDP_SDI.1)TSF應基于用戶數(shù)據(jù)屬性，對所有客體，監(jiān)視存儲在由TSF控制的載體內(nèi)的用戶數(shù)據(jù)是否存在完整性錯誤。8.1.5標識和鑒別(FIA)鑒別失敗處理(FIA_AFL.1)FIA_AFL.1.1TSF應檢測當[選擇：正整數(shù)，管理員設置的可接受數(shù)值范圍內(nèi)的一個正整數(shù)]時，與鑒別事件列表相關的未成功鑒別嘗試。FIA_AFL.1.2當[選擇：達到，超過]所定義的未成功鑒別嘗試次數(shù)時，TSF應采取[選擇：阻止違規(guī)管理員使用任何涉及密碼的認證方法成功建立遠程會話，直到管理員采取解鎖操作；防止違規(guī)管理員使用任何涉及密碼的身份驗證方法成功建立遠程會話，直到管理員定義的時間段過去]。TSF應維護屬于單個用戶的下列安全屬性列表：安全屬性列表。FIAUAU.1.1在用戶被鑒別前，TSF應執(zhí)行代表用戶的下列動作：——按照FTA_TAB.1顯示警告信息；——[選擇：無其他操作，自動生成密碼密鑰，服務列表，TSF響應非TOE請求執(zhí)行的操作];——TSF促成的其他動作列表。FIAUAU.1.2在允許執(zhí)行代表該用戶的任何其他由TSF促成的功能前，TSF應要求每個用戶都已被成功鑒別。不可偽造的鑒別(FIA_UAU.3)FIA_UAU.3.1TSF應[選擇：檢測、防止]由任何TSF用戶偽造的鑒別數(shù)據(jù)的使用。FIA_UAU.3.2TSF應[選擇：檢測、防止]從任何其他的TSF用戶處拷貝的鑒別數(shù)據(jù)的使用。FIAUAU.5.1TSF應提供多重鑒別機制列表以支持用戶鑒別。FIAUAU.5.2TSF應根據(jù)提供鑒別的規(guī)則鑒別任何用戶所聲稱的身份。TSF應提供當用戶更改密碼時、當TSF發(fā)起會話鎖定時、其他需要鑒別的條件下重新鑒別用戶。受保護的鑒別反饋(FIA_UAU.7)鑒別進行時，TSF應僅向用戶提供模糊的反饋列表?；诿艽a的認證機制(FIA_UAU_EXT.1)TSF應提供[選擇：基于密碼、基于SSH公鑰、基于證書、其他認證機制]認證機制來執(zhí)行管理用戶認證。FIAUID.1.1在用戶被識別之前，TSF應執(zhí)行代表用戶的TSF促成的動作列表。FIAUID.1.2在允許執(zhí)行代表該用戶的任何其他TSF促成的動作之前，TSF應要求每個用戶都已被成功識別。在允許執(zhí)行代表該用戶的任何其他TSF促成的動作之前，TSF應要求每個用戶都已被成功識別。FIA_USB.1.1TSF應將用戶安全屬性列表與代表用戶活動的主體相關聯(lián)。FIAUSB.1.2TSF應對用戶安全屬性與代表用戶活動的主體初始關聯(lián)關系執(zhí)行屬性初始關聯(lián)規(guī)則。FIA_USB.1.3TSF應執(zhí)行屬性更改規(guī)則管理用戶安全屬性與代表用戶活動的主體間的關聯(lián)關系的變化。2端口接入實體(認證者)鑒權(FIA_802.1X_EXT.1)FIA_802.1X_EXT.1.1端口認證TSF應在“驗證者”角色中符合IEEE802.1X中端口訪問實體(PAE)的要求。FIA_802.1X_EXT.1.2TSF應支持與符合RFC2865和RFC3579的RADIUS認證服務器的通信。FIA802.1XEXT.1.3TSF應確保在此認證交換成功完成之前，沒有向無線局域網(wǎng)客戶端提供對其IEEE802.1X中規(guī)定的控制端口的訪問。TSF應為管理密碼提供以下密碼管理功能：——密碼應由大寫字母、小寫字母、數(shù)字和以下特殊字符的任意組合組成：[選擇：“!”“@”“#""$”——密碼的最小長度可設置在TOE支持的最小字符數(shù)和大于或等于15個字符數(shù)之間。4預共享密鑰組合(FIA_PSK_EXT.1)FIAPSKEXT.1.1TSF應能為以下協(xié)議使用預共享密鑰[選擇：TLS(RadSec)上的RADIUS、IPsec、WPA3-SAE、WPA3-SAE-PK、IEEE802.11WPA2-PSK,使用預共享密鑰的其他協(xié)議]。FIAPSKEXT.1.2TSF應能接受基于文本的預共享密鑰：——22個字符和[選擇：其他支持的長度，沒有其他長度];——由大小寫字母、數(shù)字和特殊字符(包括：“!”“@”"#""$""%""""&.""*""("和")")的任意組合組成。FIAPSKEXT.1.3TSF應能[選擇：使用FCS_RNG.1中指定的隨機位生成器接受、生成]基于位的預共享密鑰。TSF應僅限于已標識的授權角色對功能自動更新檢查，自動更新、將審計數(shù)據(jù)傳送給外部IT實激活、修改其行為、手動更新、啟動和停止提供服務]的能力。TSF應執(zhí)行訪問控制SFP,信息流控制SFP,以僅限于已標識的授權角色能對安全屬性安全屬性TSF應確保安全屬性列表只接受安全的值。FMT_MSA.3.1TSF應執(zhí)行訪問控制SFP、信息流控制SFP,以便為用于執(zhí)行SFP的安全屬性提供[選擇：受限的、許可的、其他特性]默認值。FMT_MSA.3.2TSP應允許已標識的授權角色在創(chuàng)建客體或信息時指定替換性的初始值以代替原來的默認值。TSF應僅限于已標識的授權角色能對TSF他操作]。FMT_MSA.2.1TSF應僅限于已標識的授權角色規(guī)定TSF數(shù)據(jù)列表的限值。FMT_MSA.2.2如果TSF數(shù)據(jù)達到或超過了指明的限值，TSF應采取要采取的動作。安全的TSF數(shù)據(jù)(FMT_MTD.3)TSF應確保TSF數(shù)據(jù)列表只接受安全的值。TSF應執(zhí)行如下安全管理功能：具備本地和遠程管理TOE的能力；能配置訪問提示語；能配置會話終止或鎖定之前的會話不活動時間；能更新TOE,在安裝更新前，能驗證更新使用[選擇：數(shù)字簽名，哈希比較]的能力；能配置FIA_AFL.1的認證失敗參數(shù)；——啟動和停止服務的能力； 能配置審計行為(例如更改審計存儲位置；本地審計存儲空間已滿時的行為更改):——能修改向外部IT實體傳輸審計數(shù)據(jù)的行為；——能在實體被識別和驗證之前配置toe提供的可用服務列表；——能管理密鑰；——能配置密碼功能；——配置SSH密鑰更新閾值的能力；——配置IPsecSAs生命周期的能力；——能配置TOE組件之間的交互；——能啟用或禁用自動檢查更新或自動更新；——能重新啟用管理員賬戶；——能設置用于時間戳的時間； 為端點配置引用標識符的能力：——能管理TOE的信任存儲和指定X509.V3證書作為可信錨；——能導入X.509v3證書到TOE的信任存儲；配置無線網(wǎng)絡的安全策略，包括：·用于認證服務的客戶端憑據(jù)；·傳輸能力級別?！獰o其他能力]。TSF應維護角色已標識的授權角色。TSF應能把用戶和角色關聯(lián)起來。FMT_SMR.2.1TSF應維護角色安全管理員。FMT_SMR.2.2TSF應能把用戶和角色關聯(lián)起來。FMT_SMR.2.3TSF應確保以下條件滿足：——安全管理員角色應能本地管理TOE;——安全管理員角色應能遠程管理TOE。TSF應確保從無線局域網(wǎng)客戶端遠程管理TOE的能力在默認情況下是禁用的。失效即保持安全狀態(tài)(FPT_FLS.1)TSF在下列失效發(fā)生時應保持一種安全狀態(tài)：自檢失敗或其他失效情況。傳送過程中TSF間的機密性(FPTITC.1)TSF應保護所有從TSF傳送到另一個可信IT產(chǎn)品的TSF數(shù)據(jù)在傳送過程中不會被未授權泄漏。TSF應確保功能和失效情景列表有如下特征，即功能要么成功完成，要么針對指明的失效情景恢復到一個前后一致的且安全的狀態(tài)。FPTRPL.1.1TSF應檢測對以下實體的重放：已識別實體列表。FPTRPL.1.2檢測到重放時，TSF應執(zhí)行具體操作列表。TSF應能提供可靠的時間戳。TSF應在[選擇：初始化啟動期間、正常工作期間周期性地、授權用戶要求時、在產(chǎn)生自檢的條件時]運行一套自檢程序以證實[選擇：TSF的組成部分、TSF]能正確運行和演示正確的TSF的操作。TSF應為授權用戶提供驗證[選擇：部分TSF數(shù)據(jù)、TSF數(shù)據(jù)]完整性的能力。FPT_TST.1.3TSF應為授權用戶提供驗證[選擇：部分TSF、TSF]完整性的能力。內(nèi)部TSF數(shù)據(jù)傳送的基本保護(可選)(FPT_ITT.1)TSF應保護TSF數(shù)據(jù)在TOE不同部分間傳送時不被[選擇：泄露、篡改]。FPT_INI.1.1TOE應提供對完整性和真實性有自保護能力的初始化功能。TOE初始化功能應確保在安全初始狀態(tài)下建立TSF之前，某些屬性在某些元素上保持不變，如表2所述。表2屬性元素序號特性元素1[屬性，例如真實性、完整性、正確版本][TSF/用戶固件、軟件或數(shù)據(jù)的列表]…FPTINI.1.3TOE初始化功能應檢測并響應初始化期間的錯誤和失敗，以便TOE[選擇：中止，在[選擇：功能減少，發(fā)送錯誤狀態(tài)信號，其他動作列表]情況下成功完成初始化]。TOE初始化功能只能在初始化過程中的定義的方法中與TSF交互。FPTSKPEXT.1.1TSF應以非明文形式存儲管理密碼。TSF應使安全管理員能查詢當前正在執(zhí)行的TOE固件/軟件版本和[選擇：最近安裝的TOE固件/軟件版本；沒有其他TOE固件/軟件版本]。FPT_TUD_EXT.1.2TSF應使安全管理員能手動啟動對TOE固件/軟件的更新，并且[選擇：支持自動檢查更新，支持TSF應在安裝這些更新之前提供使用[選擇：X.509證書、數(shù)字簽名、發(fā)布散列]對TOE的固件/軟件更新進行認證的方法。在安裝每次更新之前，WAS安全功能應檢查代碼簽署證書的有效性。如果信任鏈中的證書沒有被指定為信任錨的可信證書可撤銷信息，則WAS安全功能應[選擇：不安裝更新，允許管理員在這些情況下選擇是否接受證書]。如果證書因已過期而被認為無效，則WAS安全功能應[選擇：允許管理員在這些情況下選擇是否如果證書因過期或撤銷信息不可用以外的原因被認為無效，則WAS安全功能不得安裝更新。TSF應在達到用戶不活動的時間間隔后，終止會話或通過以下方法鎖定一個交互式會話：——除了會話解鎖活動之外，終止用戶數(shù)據(jù)存取/顯示設備的任何活動，并要求管理員在解鎖會話之前向TSF重新進行身份驗證。TSF應要求在解鎖會話之前發(fā)生以下事件：發(fā)生事件列表。TSF應在達到用戶不活動的時間間隔之后終止一個交互式會話。TSF應允許用戶終止自己的交互式會話。在建立用戶會話前，TSF、TOE平臺應顯示安全管理員指定的關于使用TOE的咨詢通知和同意警TSF應能使用[選擇：IPsec、SSH、TLS、DTLS、HTTPS]在自身和授權的IT實體之間提供一個可邏輯上與其他通信信道截然不同，其端點具有保障標識，且能保護信道中數(shù)據(jù)免遭篡改或泄露。FTP_ITC.1.2TSF應允許[選擇：TSF、另一個可信IT產(chǎn)品]經(jīng)由可信通道發(fā)起通信。FTP_ITC.1.3對于需要可信信道的功能列表，TSF應經(jīng)由可信信道發(fā)起通信。FTP_ITC.1.1/ClientWAS安全功能應能使用IEEE802.11—2020定義的WPA3-Enterprise、WPA2-Enterprise和[選擇：WPA3-SAE,WPA3-SAE-PK,WPA2-PSK,無其他模式]在自身和WLAN客戶端之間提供一個與其他通信信道邏輯上不同的可信通信信道，并為其端點提供可靠的標識，保護信道數(shù)據(jù)不被泄露和FTP_ITC.1.2/ClientWAS安全功能應允許[選擇：授權的IT實體]經(jīng)由可信信道發(fā)起通信。FTP_ITC.1.3/ClientWAS安全功能應經(jīng)由無服務的可信信道發(fā)起通信。FTP_PR?.1.1FTPPR0.1.2FTPPR0.1.3FTPPR0.1.4TSF應為可信信道執(zhí)行以下規(guī)則：對于無相互身份驗證的TLS服務器協(xié)議，TSF應拒絕來自SSL2.0、SSL3.0、TLS1.0和[選擇：TLS1.1、TLS1.2]的客戶端的請求連接。FTP_PR0.1.5對于無相互身份驗證的TLS服務器協(xié)議，TSF應強制執(zhí)行以下靜態(tài)協(xié)議選項：[選擇：TLS1.2、TLS1.1],并設置不接受其他TLS和SSL版本，TLS實現(xiàn)將支持受支持的密碼套件，而不支持其他密碼FTP_PR0.1.6支持TLS通信，支持使用X.509v3證書的TLS客戶端相互認證。FTPPR0.2.1TSF應使用以下機制之一與其對等方建立共享秘密：[選擇：對于無相互身份驗證的TLS服務器協(xié)議：——WAS安全功能進行TLS鍵建立時，使用[選擇：密鑰長度不低于2048位的RSA算法，密鑰長度不低于256位的SM2算法，符合國家密碼主管部門要求的其他算法];——WAS安全功能應支持[選擇：不允許會話恢復或會話通知，根據(jù)TLS1.1或TLS1.2的會話ID恢復會話，根據(jù)RFC5077的恢復會話]。對于TLS服務器支持相互身份驗證的協(xié)議，應實現(xiàn)——建立信任通道時，如果客戶端證書無效，默認情況下TSF不能建立信任通道。TSF需[選擇：不實現(xiàn)任何管理員覆蓋機制；如果TSF不能[選擇：匹配引用標識符，驗證證書路徑，驗證過期日期，確定吊銷狀態(tài)],則需要管理員授權建立連接]?！绻C書中包含的標識符與客戶端期望的標識符不匹配，則TSF不能建立可信通道。如果標識符是一個完全合格域名(FQDN),那么TSF將根據(jù)RFC6125匹配標識符，否則TSF將從證書中解析標識符，并將標識符與TSS中描述的客戶端預期標識符進行匹配]。FTP_PR0.2.2TSF應使用以下機制之一：[選擇：驗證機制列表，其他機制],并根據(jù)進行驗證的規(guī)則列表對[選擇：其對等方，自身對其對等方]進行驗證?？尚判诺罃?shù)據(jù)保護(FTP_PRO.3)FTPPR0.3.1對于無相互身份驗證的TLS服務器協(xié)議，TSF應使用以下機制之一保護傳輸中的數(shù)據(jù)不被未經(jīng)授權的披露：[選擇：密鑰長度不低于2048位的RSA算法，密鑰長度不低于256位的SM2算法，符合國家密碼主管部門要求的其他算法]。FTP_PRO.3.2TSF應使用以下機制之一保護傳輸中的數(shù)據(jù)不受[選擇：修改、刪除、插入、重放、其他]的影響：[選擇：AEAD(具有關聯(lián)數(shù)據(jù)的加密認證),其他完整性保護機制列表]。FTPTRP.1.1TSF應能使用[選擇：DTLS,IPsec,SSH,TLS,HTTPS],在自身與連接組件和[選擇：遠程、本地]用戶之間提供一條通信路徑，此路徑在邏輯上與其他通信路徑截然不同，并對其[選擇：TSF端點，包括連接組件和TSF端點]端點進行了有保障的標識，并能保護通信數(shù)據(jù)免遭[選擇：修改、泄露、其他類型的完整性或機密性違背]。FTP_TRP.1.2TSF應允許[選擇：TSF,連接組件，本地用戶，遠程用戶]經(jīng)由可信路徑發(fā)起通信。FTP_TRP.1.3對于[選擇：啟動用戶鑒別、初始管理員身份驗證、所有遠程管理操作、其他需要可信路徑的服務],TSF應要求使用可信路徑。TSF應對以下資源：受控資源列表分配最高配額，以便[選擇：單個用戶、預定義用戶組、主體]能[選擇：同時、在規(guī)定的時間間隔內(nèi)]使用。組件注冊通道定義(FCO_CPC_EXT.1)FCOCPCEXT.1.1TSF應確保在進行任何一對TOE組件之間的通信之前，安全管理員總是需要啟用這些通信。FCOCPCEXT.1.2TSF應確保每個組件建立和使用一個通信通道，該通道需要使用安全通道，或者不需要通道。8.2安全保障要求無線局域網(wǎng)接入系統(tǒng)的安全保障要求按照GB/T18336.3—2024規(guī)定的EAL2、EAL3、EAL4級安全保障要求執(zhí)行。9基本原理9.1安全目的基本原理無線局域網(wǎng)接入系統(tǒng)安全目的能應對所有可能的威脅、組織安全策略和假設，即每一種威脅、組織安全策略和假設都至少有一個或一個以上安全目的與其對應，是完備的。每一個安全目的都有相應的威脅、組織安全策略和假設與之對應，這證明每個安全目的都是必要的；每一個威脅、組織安全策略和假設都有相應的一個或多個安全目的與之對應，說明了安全目的是充分的。表3說明了無線局域網(wǎng)接入系統(tǒng)的安全目的能應對所有可能的威脅、組織安全策略和假設。表3威脅、組織安全策略、假設與安全目的的對應關系關系加密功能身份驗證自檢系統(tǒng)監(jiān)測FOH管理員FOH可信信道資源管理殘留信息清除可信更新分布式管理訪問控制物理非通用功能管理員可信更新機制管理員(憑證安全組件可用性遺留信息清除連接可信時間未授權管理/√/√//////√/////////加密破解√///////////////////不可信信道/////√///√//////////關系加密功能身份驗證自檢管理員可信信道可信更新分布式(管理物理非通用功能管理員(憑證安全遺留信息清除連接弱終端認證√////√//////////////重放攻擊/√/√√///////////////網(wǎng)絡暴露/√/////√/√√/////////未授權訪問/√/√//////√/////////更新受損////////√///////////未知活動///√/////√//////////安全憑證受損/√√√////////////////殘留信息利用///////√////////////管理口令破解√///√///////////////安全功能失效//√√////////////////資源消耗//////√/////////////網(wǎng)絡劫持/√//////////////////接入告知√√/√/√//////////////密碼管理√//////////////////√認證應用/√/////////////////√物理保護///////////√////////有限功能////////////√///////連接//////////////////√/可信管理員/////////////√//////定期更新//////////////√/////管理員憑證安全///////////////√////組件正常運行////////////////√///無遺留信息/////////////////√//9.2安全要求基本原理表4說明了安全要求的充分必要性合理性，即每個安全目的都至少有一個安全要求組件與其對應，每個安全要求都至少解決了一個安全目的，安全要求對安全目的而言是充分和必要的。表4安全要求與安全目的的對應關系安全功能要求加密功能身份驗證自檢系統(tǒng)監(jiān)測TOE管理員可信信道資源管理殘留信息清除可信更新分布式管訪問控制FAU_GEN.1///√///////FAU_GEN.2///√///////FAU_ARP.1//√√///////FAU_SAA.1√√/√//√////FAU_SAA.2√√/√//√////FAU_SAA.3√√/√//√////FAU_SAR.1///√//////√FAU_SAR.2///√//////√FAU_SAR.3///√//////√FAU_SEL..1///√///////FAU_STG.1///√/////√/FAU_STG.2/√/√///////FAU_STG.3/√/√///////FAU_STG.4///√///////FAU_STG.5///√///////FAU_STG_EXT.1///√/////√/FCS_CKM.1√√/////////FCS_CKM.2√√/////////FCS_CKM.3√√/////////FCS_CKM.5√√/////////FCS_CKM.6√√/////////FCS_COP.1√√/////////FCS_RBG.1√//////////FCS_RNG.1√//////////FCS_TLSS_EXT.1/////√/////FCS_TLSS_EXT.2/////√/////FDP_ACC.1/√////////√FDP_ACF.1/√////////√FDP_RIP.1/√/////√///FDP_RIP.2/√/////√///FDP_SDC.1√√/////////FDP_SDI.1√√√√///////表4安全要求與安全目的的對應關系(續(xù))安全功能要求加密功能身份驗證自檢系統(tǒng)監(jiān)測TOE管理員可信信道資源管理殘留信息清除可信更新分布式管訪問控制F