GM-T 0039-2015 清晰版 密碼模塊安全檢測(cè)要求

ICS35.040L80備案號(hào)：49738—2015中華人民共和國(guó)密碼行業(yè)標(biāo)準(zhǔn)密碼模塊安全檢測(cè)要求國(guó)家密碼管理局發(fā)布ⅠGM／T0039—2015前言 2規(guī)范性引用文件 3術(shù)語(yǔ)和定義 4縮略語(yǔ) 5文檔結(jié)構(gòu) 5.2條款和安全要求 5.3引用條款說(shuō)明 6安全檢測(cè)要求 6.2密碼模塊規(guī)格 6.3密碼模塊接口 6.8非入侵式安全 6.9敏感安全參數(shù)管理 6.11生命周期保障 6.12對(duì)其他攻擊的緩解 6.13A-文檔要求 6.14B-密碼模塊安全策略 6.15C-核準(zhǔn)的安全功能 6.16D-核準(zhǔn)的敏感安全參數(shù)生成和建立方法 6.17E-核準(zhǔn)的鑒別機(jī)制 6.18F-非入侵式攻擊及常用的緩解方法 附錄A（資料性附錄）安全等級(jí)對(duì)應(yīng)表 ⅢGM／T0039—2015本標(biāo)準(zhǔn)按照GB/T1.1—2009給出的規(guī)則起草。本標(biāo)準(zhǔn)使用重新起草法參考ISO/IEC24759:2014《信息技術(shù)安全技術(shù)密碼模塊檢測(cè)要求》編制，與ISO/IEC24759:2014的一致性程度為非等效。請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專利的責(zé)任。本標(biāo)準(zhǔn)由密碼行業(yè)標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口。本標(biāo)準(zhǔn)的主要起草單位：北京握奇智能科技有限公司、飛天誠(chéng)信科技股份有限公司、北京華大智寶電子系統(tǒng)有限公司、北京海泰方圓科技有限公司、國(guó)家密碼管理局商用密碼檢測(cè)中心、中國(guó)科學(xué)院數(shù)據(jù)與通信保護(hù)研究教育中心、北京創(chuàng)原天地科技有限公司、上海格爾軟件股份有限公司。1GM／T0039—2015密碼模塊安全檢測(cè)要求本標(biāo)準(zhǔn)依據(jù)GM/T0028—2014的要求，規(guī)定了密碼模塊的一系列檢測(cè)規(guī)程、檢測(cè)方法和對(duì)應(yīng)的送檢文檔要求。本標(biāo)準(zhǔn)適用于密碼模塊的檢測(cè)。2規(guī)范性引用文件下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GM/T0028—2014密碼模塊安全技術(shù)要求GM/Z4001密碼術(shù)語(yǔ)3術(shù)語(yǔ)和定義GM/T0028—2014和GM/Z4001所界定的術(shù)語(yǔ)和定義適用于本文件。4縮略語(yǔ)下列縮略語(yǔ)適用于本文件。應(yīng)用程序接口(密碼分組鏈接(關(guān)鍵安全參數(shù)(錯(cuò)誤檢測(cè)碼(環(huán)境失效保護(hù)(環(huán)境失效測(cè)試(有限狀態(tài)模型(硬件描述語(yǔ)言(集成電路(個(gè)人身份識(shí)別碼(可編程只讀存儲(chǔ)器(公開安全參數(shù)(隨機(jī)存取存儲(chǔ)器(隨機(jī)比特生成器(只讀存儲(chǔ)器(敏感安全參數(shù)(2GM／T0039—20155文檔結(jié)構(gòu)本標(biāo)準(zhǔn)第6章詳細(xì)說(shuō)明了一系列供檢測(cè)機(jī)構(gòu)使用的規(guī)程、方法以及對(duì)送檢單位提交給檢測(cè)機(jī)構(gòu)文檔的要求第章包括其中為通用要求對(duì)應(yīng)于中的個(gè)安全域和附錄A~附錄F。5.2條款和安全要求在第6章的每條中，GM／T0028—2014中的相應(yīng)安全要求被分成了一系列條款集，全部?jī)?nèi)容直接引用GM／T0028—2014，用宋體加粗字體表示。各條款的格式為：AY＜要求編號(hào)條款序列編號(hào)＞1~12和A~F“條款序列編號(hào)”是條內(nèi)的序列標(biāo)示符。在條款的編號(hào)后面，該條款所對(duì)應(yīng)的安全等級(jí)列在圓括號(hào)內(nèi)。每個(gè)條款之后是對(duì)所需的送檢文檔的要求。這些要求描述了送檢單位的文檔類型或詳細(xì)材料，以便于檢測(cè)人員核實(shí)（文檔或材料）與給定條款的符合性。這些要求的格式如下：CY＜要求編號(hào)條款序列編號(hào)序列編號(hào)＞其中，“CY”表示對(duì)送檢單位提交文檔的要求，這里的“要求編號(hào)”和“條款序列編號(hào)”與對(duì)應(yīng)安全要求中的“要求編號(hào)”和“條款序列編號(hào)”相同，“序列編號(hào)”是對(duì)送檢單位要求條款內(nèi)的序列標(biāo)識(shí)符。所需的送檢文檔之后是對(duì)所需的檢測(cè)規(guī)程的要求。這些要求指導(dǎo)檢測(cè)人員在檢測(cè)密碼模塊的某個(gè)給定條款時(shí)，他／她應(yīng)該如何執(zhí)行檢測(cè)。這些要求的格式如下：JY＜要求編號(hào)條款序列編號(hào)序列編號(hào)＞其中，“JY”表示對(duì)檢測(cè)規(guī)程和方法的要求，這里的“要求編號(hào)”和“條款序列編號(hào)”與對(duì)應(yīng)安全要求中的“要求編號(hào)”和“條款序列編號(hào)”相同，“序列編號(hào)”是對(duì)檢測(cè)人員要求條款內(nèi)的序列標(biāo)識(shí)符。5.3引用條款說(shuō)明為了語(yǔ)句的連貫，本標(biāo)準(zhǔn)對(duì)直接引用GM／T0028—2014的某些條款，增加了補(bǔ)充語(yǔ)句，這些語(yǔ)句此外，本標(biāo)準(zhǔn)所需的送檢文檔的要求和所需的檢測(cè)規(guī)程的要求中采用的“應(yīng)”與直接引用GM／T0028—6安全檢測(cè)要求注：本條聲明了以滿足第6章其他條的條款的通用要求。安全級(jí)別本條規(guī)定了符合本標(biāo)準(zhǔn)的密碼模塊應(yīng)當(dāng)滿足的安全要求。注：本條款不單獨(dú)進(jìn)行檢測(cè)。3GM／T0039—2015安全級(jí)別密碼模塊應(yīng)當(dāng)按照各個(gè)域的要求進(jìn)行測(cè)試。注1：檢測(cè)機(jī)構(gòu)可以以下面一個(gè)或多個(gè)方式對(duì)密碼模塊的安全性進(jìn)行測(cè)試：a)檢測(cè)人員使用檢測(cè)機(jī)構(gòu)的設(shè)備進(jìn)行測(cè)試。b)檢測(cè)人員使用送檢單位的設(shè)備進(jìn)行測(cè)試。c)檢測(cè)人員監(jiān)督送檢單位使用送檢單位的設(shè)備進(jìn)行測(cè)試。在此種情況下，檢測(cè)機(jī)構(gòu)需：1)解釋己方不能進(jìn)行測(cè)試的理由；2)制定所需的測(cè)試計(jì)劃和測(cè)試任務(wù)；3)直接觀察測(cè)試的執(zhí)行情況。如果任一條款的測(cè)試不成功，則此條款不通過(guò)。注2：本條款不單獨(dú)進(jìn)行檢測(cè)。安全級(jí)別密碼模塊應(yīng)當(dāng)在每個(gè)域中獨(dú)立地進(jìn)行評(píng)級(jí)。注：本條款不單獨(dú)進(jìn)行檢測(cè)。安全級(jí)別待審驗(yàn)或評(píng)估的密碼模塊應(yīng)當(dāng)提供所有相關(guān)文檔，包括用戶和安裝手冊(cè)、設(shè)計(jì)說(shuō)明、生命周期文檔等。注：本條款不單獨(dú)進(jìn)行檢測(cè)。6.2密碼模塊規(guī)格6.2.1密碼模塊規(guī)格通用要求安全級(jí)別密碼模塊應(yīng)當(dāng)是硬件、軟件、固件，或其中組合的集合，該集合至少使用一個(gè)核準(zhǔn)的密碼算法、安全功能或過(guò)程實(shí)現(xiàn)一項(xiàng)密碼服務(wù)，并且包含在明確的密碼邊界內(nèi)。注1：本條款不單獨(dú)進(jìn)行檢測(cè)。注2:GM/T0028—2014的附錄C列出了核準(zhǔn)的安全功能。安全級(jí)別｛密碼模塊規(guī)格｝文檔應(yīng)當(dāng)按照｛GM／T0028—2014附錄｝中規(guī)定的要求編寫。注：本條款作為AYA.01的一部分進(jìn)行檢測(cè)。安全級(jí)別密碼模塊應(yīng)當(dāng)定義為下列一種模塊類型：—硬件模塊；—軟件模塊；—固件模塊；—混合軟件模塊；—混合固件模塊。所需的送檢文檔CY02.03.01：送檢單位的文檔中應(yīng)描述密碼模塊類型，并解釋選擇這一類型的依據(jù)。CY02.03.02：送檢單位應(yīng)提供密碼模塊的規(guī)格，以標(biāo)識(shí)所有密碼模塊的硬件、軟件和／或固件部件。所需的檢測(cè)規(guī)程檢測(cè)人員應(yīng)核實(shí)送檢單位的文檔中標(biāo)識(shí)了AY02.03中定義的一種模塊類型。檢測(cè)人員應(yīng)通過(guò)審查送檢單位提供的規(guī)格文檔，并識(shí)別所有硬件、軟件和／或固件部件，核實(shí)該密碼模塊與AY02.03中定義的密碼模塊類型一致。4GM／T0039—2015安全級(jí)別定的非入侵式安全要求應(yīng)當(dāng)適用。注：本條款不單獨(dú)進(jìn)行檢測(cè)。安全級(jí)別對(duì)于混合模塊，軟件和固件部件應(yīng)當(dāng)滿足｛GM／T0028—2014}7.5中規(guī)定的軟件／固件安全和｛GM／T0028—2014}7.6中規(guī)定的運(yùn)行環(huán)境中的所有適用要求。注：本條款不單獨(dú)進(jìn)行檢測(cè)。安全級(jí)別｛對(duì)于混合模塊硬件部件應(yīng)當(dāng)滿足｛GM／T0028—2014}7.7中規(guī)定的物理安全和｛GM／T0028—2014}7.8中規(guī)定的非入侵式安全中的所有適用要求。注：本條款不單獨(dú)進(jìn)行檢測(cè)。安全級(jí)別密碼邊界應(yīng)當(dāng)由定義明確的邊線（例如：硬件、軟件或固件部件的集合）組成，該邊線建立了密碼模塊所有部件的邊界。所需的送檢文檔CY02.07.01：送檢單位的文檔中應(yīng)詳細(xì)說(shuō)明密碼邊界內(nèi)的所有部件。所需的檢測(cè)規(guī)程檢測(cè)人員應(yīng)通過(guò)文檔審查和模塊檢查核實(shí)所有部件在密碼邊界內(nèi)。檢測(cè)人員應(yīng)通過(guò)文檔審查和模塊檢查核實(shí)沒(méi)有未標(biāo)識(shí)的部件在密碼邊界內(nèi)。安全級(jí)別標(biāo)準(zhǔn)｛GM／T0028—2014}的要求應(yīng)當(dāng)適用于模塊密碼邊界內(nèi)的所有算法、安全功能、過(guò)程和部件。注：本條款不單獨(dú)進(jìn)行檢測(cè)。安全級(jí)別｛GM／T0028—2014}范圍內(nèi)與安全相關(guān)的）。所需的送檢文檔CY02.09.01：送檢單位應(yīng)提供密碼邊界內(nèi)所有與安全相關(guān)的算法、安全功能、過(guò)程和部件的清單，安全功能包括但不限于：—分組密碼；—流密碼；—非對(duì)稱密碼算法和技術(shù)；—消息鑒別碼；—雜湊函數(shù)；—實(shí)體鑒別；—密鑰管理；—隨機(jī)比特生成器。所需的檢測(cè)規(guī)程檢測(cè)人員應(yīng)核實(shí)送檢單位的文檔中明確標(biāo)識(shí)和列出密碼邊界內(nèi)所有與安全相關(guān)的算法、安全功能、過(guò)程和部件。5GM／T0039—2015安全級(jí)別用于核準(zhǔn)的工作模式的非安全相關(guān)的算法、安全功能、過(guò)程和部件的實(shí)現(xiàn)應(yīng)當(dāng)不干擾或破壞密碼模塊核準(zhǔn)的工作模式的運(yùn)行。所需的送檢文檔CY02.10.01：送檢單位的文檔中應(yīng)列出用于核準(zhǔn)的工作模式的非安全相關(guān)的算法、安全功能、過(guò)程和部件，并且證明它們不干擾或破壞密碼模塊核準(zhǔn)的工作模式的運(yùn)行。所需的檢測(cè)規(guī)程檢測(cè)人員應(yīng)通過(guò)文檔審查和模塊檢查核實(shí)非安全相關(guān)的算法、安全功能、過(guò)程和部件的實(shí)現(xiàn)不干擾或破壞密碼模塊核準(zhǔn)的工作模式的運(yùn)行。檢測(cè)人員應(yīng)核實(shí)送檢單位提供的不干擾或破壞的任何理由的正確性。舉證責(zé)任在送檢單位，如果有任何不確定性或模糊性，檢測(cè)人員應(yīng)要求送檢單位出示所需的進(jìn)一步信息。安全級(jí)別密碼模塊的名稱應(yīng)當(dāng)代表密碼邊界內(nèi)的部件構(gòu)成，不應(yīng)代表大于原有范圍的構(gòu)成或產(chǎn)品。所需的送檢文檔CY02.11.01：送檢單位的文檔中應(yīng)提供密碼模塊的名稱。所需的檢測(cè)規(guī)程檢測(cè)人員應(yīng)核實(shí)送檢單位提供的密碼模塊的名稱與密碼邊界內(nèi)的部件構(gòu)成一致。檢測(cè)人員應(yīng)核實(shí)密碼模塊的名稱并未代表與密碼邊界內(nèi)的部件構(gòu)成不一致的部件或功能構(gòu)成。安全級(jí)別密碼模塊應(yīng)當(dāng)至少具有代表每個(gè)互不相同的硬件、軟件和／或固件部件的特定版本信息。所需的送檢文檔CY02.12.01：送檢單位應(yīng)提供密碼模塊每個(gè)互不相同的硬件、軟件和／或固件部件的特定版本信息。所需的檢測(cè)規(guī)程檢測(cè)人員應(yīng)核實(shí)送檢單位為密碼模塊的每個(gè)互不相同的硬件、軟件和／或固件部件提供了特定版本信息。安全級(jí)別｛密碼邊界內(nèi)的某些硬件、軟件和／或固件部件可以從標(biāo)準(zhǔn)｛GM／T0028—2014}的要求中排除。｝被排除的硬件、軟件或固件部件的實(shí)現(xiàn)應(yīng)當(dāng)不干擾或破壞密碼模塊核準(zhǔn)的安全功能的運(yùn)行。注：本條款作為AY02.14的一部分進(jìn)行檢測(cè)。安全級(jí)別｛密碼模塊規(guī)格的文檔中｝應(yīng)當(dāng)闡明被排除的硬件、軟件或固件部件。所需的送檢文檔CY02.14.01：所有被排除在GM/T0028—2014安全要求之外的硬件、軟件和／或固件部件都應(yīng)在送檢單位的文檔中明確列出。CY02.14.02：送檢單位的文檔中應(yīng)提供每個(gè)部件被排除的理由。送檢單位應(yīng)表明即使發(fā)生故障或誤用，每個(gè)部件也不會(huì)干擾或破壞密碼模塊核準(zhǔn)的安全功能的運(yùn)行。所需的檢測(cè)規(guī)程檢測(cè)人員應(yīng)核實(shí)送檢單位是否表明模塊的某些部件排除在GM/T0028—2014的安全要求之外。如果送檢單位已經(jīng)表明模塊的某些組件從GM/T0028—2014中排除，檢測(cè)人員應(yīng)核實(shí)每個(gè)排除的理由均被提供。這些理由必須表明即使部件出現(xiàn)故障，也不會(huì)造成CSP、明文數(shù)據(jù)或其他一旦誤用就可能導(dǎo)致危險(xiǎn)的信息的泄露。如有以下證據(jù)的支持，這些理由將被視為可接受的：6GM／T0039—2015—該組件不處理CSP、明文數(shù)據(jù)或其他一旦被誤用就可能導(dǎo)致危險(xiǎn)的信息；—該部件不與模塊中允許以不恰當(dāng)方式傳遞CSP、明文數(shù)據(jù)或其他一旦被誤用就可能導(dǎo)致危險(xiǎn)的信息的安全相關(guān)部件連接；—所有由部件處理的信息必須嚴(yán)格供模塊內(nèi)部使用，并不能以任何方式影響到與模塊連接的設(shè)備。檢測(cè)人員應(yīng)核實(shí)送檢單位提供的所有排除理由的正確性。舉證責(zé)任在送檢單位；如存在任何不確定性或模糊性，檢測(cè)人員應(yīng)要求送檢單位出示所需的進(jìn)一步信息。安全級(jí)別硬件密碼模塊的密碼邊界應(yīng)當(dāng)劃界并確定：—在部件之間提供互聯(lián)的物理配線的物理結(jié)構(gòu)，包括電路板、基板或其他表面貼裝；—有效電器元件，如半集成、定制集成或通用集成的電路、處理器、內(nèi)存、電源、轉(zhuǎn)換器等；—封套、灌封或封裝材料、連接器和接口之類的物理結(jié)構(gòu)；—固件，可能包含操作系統(tǒng)；—上面未列出的其他部件類型。所需的送檢文檔CY02.15.01：送檢單位的文檔中應(yīng)標(biāo)識(shí)硬件密碼模塊的所有硬件部件，并提供部件清單。CY02.15.02：送檢單位的文檔中應(yīng)標(biāo)明模塊的內(nèi)部布局和安裝方式（例如固定件和安裝件包括近似比例的圖紙。CY02.15.03：送檢單位的文檔中應(yīng)描述模塊的主要物理參數(shù)，包括對(duì)外殼、接入點(diǎn)、電路板、電源位置、電路接線、冷卻系統(tǒng)以及其他關(guān)鍵參數(shù)的說(shuō)明。CY02.15.04：送檢單位的文檔應(yīng)包括表示模塊邊界和其硬件部件相互關(guān)系的框圖。所需的檢測(cè)規(guī)程檢測(cè)人員應(yīng)核實(shí)送檢單位的文檔中包括部件清單，該部件清單包括密碼模塊的所有硬件部件。檢測(cè)人員應(yīng)識(shí)別密碼模塊的所有硬件部件，并核實(shí)部件清單包括以下所有出現(xiàn)類型的部件，但不包括未在模塊中使用的部件類型：—處理器，包括微處理器、數(shù)字信號(hào)處理器、定制處理器、微控制器、或任何其他類型的處理器；—存儲(chǔ)程序的可執(zhí)行代碼和數(shù)據(jù)的ROM集成電路，這可能包括掩膜編程ROM、可編程ROM如紫外線可擦除電可擦除或存儲(chǔ)器；—隨機(jī)訪問(wèn)存儲(chǔ)器(RAM)或其他用于臨時(shí)數(shù)據(jù)存儲(chǔ)的集成電路；—半定制、專用集成電路，如門陣列、可編程邏輯陣列、現(xiàn)場(chǎng)可編程門陣列或其他可編程邏輯元件；—全定制、專用集成電路，包括任何自定義的密碼集成電路；—其他的有源電子電路元件（如果無(wú)源電路元件作為密碼模塊的一部分但不提供相關(guān)安全功能，送檢單位就不必將其列出，如上拉／下拉電阻或旁路電容這樣的元件—電源部件，包括電源、電壓轉(zhuǎn)換模塊（例如，交流—直流或直流—直流模塊）、變壓器、輸入電源連接器和輸出電源連接器；—電路板或其他表面貼裝；—外殼，包括任何門或封蓋；—加密模塊外部設(shè)備或任何主要的獨(dú)立子模塊之間的物理連接器；—軟件和／或固件部件；7GM／T0039—2015—其他上面未列出的部件類型。檢測(cè)人員應(yīng)核實(shí)部件清單和其他條款提供的資料一致，其定義如下：—AY02.07中要求的密碼模塊的邊界規(guī)格。核實(shí)所有在密碼邊界內(nèi)的部件已包含在部件清單內(nèi)，所有密碼模塊邊界外的部件沒(méi)有被列為密碼模塊部件；—GM/T0028—2014附錄AYA.01要求的框圖規(guī)格。核實(shí)框圖中的所有個(gè)體部件（如微處理器，存儲(chǔ)器）也在部件清單中都有列出；—AY02.14條款規(guī)定被從GM/T0028—2014安全要求排除的部件。核實(shí)這些部件仍然在部件清單中列出。檢測(cè)人員應(yīng)核實(shí)密碼邊界是物理連續(xù)的，以保證沒(méi)有任何漏洞可以讓非受控的輸入、輸出或其他接口進(jìn)入密碼模塊。（物理和拆卸保護(hù)的要求在GM/T0028—2014中的7.7有說(shuō)明。）模塊設(shè)計(jì)還必須確保密碼模塊沒(méi)有不受控的輸入輸出接口，這些接口可能泄露CSP、明文數(shù)據(jù)或其他一旦被誤用就可能導(dǎo)致破壞的信息。檢測(cè)人員應(yīng)核實(shí)密碼邊界包括了在AYA.01要求的框圖中標(biāo)識(shí)的所有輸入、輸出或CSP處理、明文或其他一旦被誤用就可能導(dǎo)致破壞的信息部件。GM/T0028—2014的要求中排除某些特定部件。送檢單位可以與處理排除在密碼邊界之外的部件一樣有效的處理上述部件。這種情況下，檢測(cè)人員應(yīng)核實(shí)被排除部件和其他模塊之間的所有接口或物理連接，不允許不受控的泄露CSP、明文數(shù)據(jù)，或其他一旦被誤用就可能導(dǎo)致破壞的信息。檢測(cè)人員應(yīng)核實(shí)送檢單位的文檔中包含近似比例的圖紙，其中展示了模塊的內(nèi)部布局，包括主要可識(shí)別部件的位置和大致尺寸。檢測(cè)人員應(yīng)核實(shí)送檢單位的文檔中顯示了模塊的主要物理部件以及它們是如何安裝或插入到模塊中的。檢測(cè)人員應(yīng)核實(shí)送檢單位的文檔中描述了模塊的主要物理參數(shù)。這至少包括以下—外殼的形狀和大致尺寸，包括所有的門或封蓋；—電路板大致尺寸，布局和內(nèi)部連接；—電源，電源轉(zhuǎn)換器和電源輸入及輸出的位置；—電路接線：通路和端子；—冷卻系統(tǒng)，如導(dǎo)板、冷卻氣流、換熱器、散熱片、風(fēng)扇或其他散熱安排；—其他上面未列出的部件類型。檢測(cè)人員應(yīng)核實(shí)送檢單位提供的框圖能夠表示模塊邊界和其硬件部件相互關(guān)系。安全級(jí)別軟件密碼模塊的密碼邊界應(yīng)當(dāng)劃界并確定：—構(gòu)成密碼模塊的可執(zhí)行文件或文件集；—保存在內(nèi)存中并由一個(gè)或多個(gè)處理器執(zhí)行的密碼模塊的實(shí)例。所需的送檢文檔CY02.16.01：送檢單位的文檔中應(yīng)標(biāo)識(shí)軟件密碼模塊的所有軟件部件，并提供部件清單。CY02.16.02：送檢單位的文檔中應(yīng)表明內(nèi)部軟件架構(gòu)，包括軟件部件是如何交互的。CY02.16.03：送檢單位的文檔中應(yīng)說(shuō)明密碼模塊所運(yùn)行的軟件環(huán)境（例如操作系統(tǒng)，運(yùn)行時(shí)庫(kù)等）。所需的檢測(cè)規(guī)程檢測(cè)人員應(yīng)核實(shí)送檢單位的文檔中包括部件清單，該部件清單包括密碼模塊的所有軟件部件。檢測(cè)人員應(yīng)核實(shí)部件清單包括以下所有出現(xiàn)類型的部件，但不包括未在模塊中使用的8GM／T0039—2015部件類型：—構(gòu)成密碼模塊的可執(zhí)行文件或文件集；—保存在內(nèi)存中并由一個(gè)或多個(gè)處理器執(zhí)行的密碼模塊的實(shí)例。檢測(cè)人員應(yīng)核實(shí)送檢單位的文檔描繪的軟件部件交互的內(nèi)部軟件架構(gòu)準(zhǔn)確。還應(yīng)核實(shí)模塊內(nèi)的重要信息流和在密碼模塊內(nèi)執(zhí)行的過(guò)程，以及所有輸入或輸出到密碼模塊邊界外的信息的清單。檢測(cè)人員應(yīng)核實(shí)送檢單位的文檔中說(shuō)明的密碼模塊所運(yùn)行的軟件環(huán)境（例如，操作系安全級(jí)別固件密碼模塊的密碼邊界應(yīng)當(dāng)劃界并確定：—構(gòu)成密碼模塊的可執(zhí)行文件或文件集；—保存在內(nèi)存中并由一個(gè)或多個(gè)處理器執(zhí)行的密碼模塊的實(shí)例。所需的送檢文檔CY02.17.01：送檢單位的文檔中應(yīng)標(biāo)識(shí)固件密碼模塊的所有固件部件，并提供部件清單。CY02.17.02：送檢單位的文檔中應(yīng)表明內(nèi)部固件架構(gòu)，包括固件部件是如何交互的。CY02.17.03：送檢單位的文檔中應(yīng)說(shuō)明密碼模塊所運(yùn)行的固件環(huán)境（例如，操作系統(tǒng)，運(yùn)行時(shí)庫(kù)等）。所需的檢測(cè)規(guī)程檢測(cè)人員應(yīng)核實(shí)送檢單位的文檔中包括部件清單，該部件清單包括密碼模塊的所有固件部件。檢測(cè)人員應(yīng)核實(shí)部件清單包括以下所有出現(xiàn)類型的部件，但不包括未在模塊中使用的部件類型：—構(gòu)成密碼模塊的可執(zhí)行文件或文件集；—保存在內(nèi)存中并由一個(gè)或多個(gè)處理器執(zhí)行的密碼模塊的實(shí)例。檢測(cè)人員應(yīng)核實(shí)送檢單位的文檔描繪的固件部件交互的內(nèi)部軟件架構(gòu)準(zhǔn)確。還應(yīng)核實(shí)模塊內(nèi)的重要信息流和在密碼模塊內(nèi)執(zhí)行的過(guò)程，以及所有輸入或輸出到密碼模塊邊界外的信息的清單。檢測(cè)人員應(yīng)核實(shí)送檢單位的文檔說(shuō)明的密碼模塊所運(yùn)行的固件環(huán)境。安全級(jí)別混合密碼模塊的密碼邊界應(yīng)當(dāng)：—由模塊硬件部件的邊界以及分離的軟件或固件部件的邊界構(gòu)成；—包含每個(gè)部件所有端口和接口的集合。所需的送檢文檔CY02.18.01：送檢單位的文檔中應(yīng)標(biāo)識(shí)密碼模塊的類型是混合軟件模塊還是混合固件模塊。的要求的要求所需的檢測(cè)規(guī)程檢測(cè)人員應(yīng)核實(shí)送檢單位的文檔中標(biāo)識(shí)了密碼模塊的類型是混合軟件模塊還是混合固件模塊。和的要求和的要求安全級(jí)別操作員應(yīng)當(dāng)能夠在核準(zhǔn)的工作模式下操作模塊。9GM／T0039—2015所需的送檢文檔CY02.19.01：送檢單位的文檔中應(yīng)說(shuō)明密碼模塊核準(zhǔn)的工作模式。CY02.19.02：送檢單位的文檔中應(yīng)描述如何啟用核準(zhǔn)的工作模式及方法。所需的檢測(cè)規(guī)程檢測(cè)人員應(yīng)核實(shí)送檢單位的文檔包含了對(duì)核準(zhǔn)的工作模式的描述。檢測(cè)人員應(yīng)核實(shí)可以按照送檢單位的文檔中描述的方法啟用核準(zhǔn)的工作模式。檢測(cè)人員應(yīng)核實(shí)操作員可以在核準(zhǔn)的工作模式下操作密碼模塊。安全級(jí)別核準(zhǔn)的工作模式應(yīng)當(dāng)定義為一組服務(wù)的集合，其中至少有一個(gè)服務(wù)使用了核準(zhǔn)的密碼算法、安全功能或過(guò)程。所需的送檢文檔CY02.20.01：送檢單位的文檔中應(yīng)說(shuō)明密碼模塊核準(zhǔn)的工作模式所使用的核準(zhǔn)的密碼算法、安全功能或過(guò)程以及那些規(guī)定于GM/T0028—2014的7.4.3中的服務(wù)。CY02.20.02：送檢單位應(yīng)提供一份所有核準(zhǔn)的密碼算法、安全功能或過(guò)程的驗(yàn)證證書。所需的檢測(cè)規(guī)程檢測(cè)人員應(yīng)核實(shí)文檔中所描述的核準(zhǔn)的工作模式，至少有一個(gè)服務(wù)使用了核準(zhǔn)的密碼算法、安全功能或過(guò)程以及那些規(guī)定于GM/T0028—2014的7.4.3中的服務(wù)或過(guò)程。檢測(cè)人員應(yīng)核實(shí)送檢單位提供的核準(zhǔn)的密碼算法、安全功能或過(guò)程的驗(yàn)證證書。檢測(cè)人員應(yīng)核實(shí)文檔中所描述的核準(zhǔn)的工作模式，使用的安全功能符合GM/T0028—安全級(jí)別除非非核準(zhǔn)的密碼算法或安全功能是核準(zhǔn)的過(guò)程的一部分，而且與核準(zhǔn)的過(guò)程的安全無(wú)關(guān)，否則非核準(zhǔn)的密碼算法、安全功能和過(guò)程或其他未在｛GM／T0028—2014}中規(guī)定的服務(wù)不應(yīng)當(dāng)被操作員用于核準(zhǔn)的工作模式中（例如，非核準(zhǔn)的密碼算法或非核準(zhǔn)的密鑰生成方式可能被用來(lái)混淆數(shù)據(jù)或但是結(jié)果被視為未受保護(hù)的明文，且只能提供非安全相關(guān)功能）。所需的送檢文檔CY02.21.01：送檢單位應(yīng)提供一份所有非核準(zhǔn)的密碼算法、安全功能和過(guò)程的清單。CY02.21.02：送檢單位的文檔中應(yīng)說(shuō)明核準(zhǔn)的工作模式中未使用非核準(zhǔn)的密碼算法、安全功能和過(guò)程或其他未規(guī)定于GM/T0028—2014的7.4.3中的服務(wù)。CY02.21.03：如果核準(zhǔn)的工作模式中使用了非核準(zhǔn)的密碼算法或安全功能，送檢單位需提供文檔中應(yīng)說(shuō)明非核準(zhǔn)的密碼算法或安全功能是核準(zhǔn)的過(guò)程的一部分，而且與核準(zhǔn)的過(guò)程的安全無(wú)關(guān)，并且不干擾或破壞密碼模塊核準(zhǔn)的工作模式的運(yùn)行。CY02.21.04：送檢單位的文檔應(yīng)解釋為什么使用的非核準(zhǔn)的密碼算法、安全功能和過(guò)程與核準(zhǔn)的過(guò)程操作非安全相關(guān)。所需的檢測(cè)規(guī)程檢測(cè)人員應(yīng)核實(shí)送檢單位提供的所有非核準(zhǔn)的密碼算法、安全功能和過(guò)程的清單。檢測(cè)人員應(yīng)核實(shí)密碼模塊核準(zhǔn)的工作模式中未使用非核準(zhǔn)的密碼算法、安全功能和過(guò)程或其他未規(guī)定于GM/T0028—2014的7.4.3中的服務(wù)。如果核準(zhǔn)的工作模式中使用了非核準(zhǔn)的密碼算法或安全功能，檢測(cè)人員應(yīng)核實(shí)非核準(zhǔn)的密碼算法或安全功能與核準(zhǔn)的過(guò)程的安全無(wú)關(guān)、并且不干擾或破壞密碼模塊核準(zhǔn)的工作模式的運(yùn)行。檢測(cè)人員應(yīng)核實(shí)送檢單位文檔中上述解釋的有效性。舉證責(zé)任在送檢單位；如存在任何不確定性或模糊性，檢測(cè)人員應(yīng)要求送檢單位出示所需的進(jìn)一步信息。GM／T0039—2015安全級(jí)別核準(zhǔn)的和非核準(zhǔn)的服務(wù)和工作模式的應(yīng)當(dāng)相互分離。所需的送檢文檔CY02.22.01：送檢單位的文檔應(yīng)提供完整的模塊CSP清單，并說(shuō)明它們?cè)诤藴?zhǔn)的和非核準(zhǔn)的服務(wù)及工作模式中的作用。CY02.22.02：送檢單位的文檔中應(yīng)描述核準(zhǔn)的和非核準(zhǔn)的服務(wù)和工作模式的操作方式，并說(shuō)明CSP是如何分離的。所需的檢測(cè)規(guī)程檢測(cè)人員應(yīng)核實(shí)送檢單位的文檔說(shuō)明了各個(gè)CSP在核準(zhǔn)的和非核準(zhǔn)的工作模式中的作用。檢測(cè)人員應(yīng)核實(shí)核準(zhǔn)的和非核準(zhǔn)的服務(wù)和工作模式的CSP相互分離。安全級(jí)別模塊的安全策略應(yīng)當(dāng)為模塊所包括的每個(gè)工作模式（核準(zhǔn)的和非核準(zhǔn)的）定義完整的服務(wù)集合。所需的送檢文檔CY02.23.01：送檢單位的安全策略文檔中應(yīng)為模塊所包括的每個(gè)工作模式（核準(zhǔn)的和非核準(zhǔn)的）定義完整的服務(wù)集合。所需的檢測(cè)規(guī)程檢測(cè)人員應(yīng)核實(shí)安全策略文檔為每個(gè)工作模式（核準(zhǔn)的和非核準(zhǔn)的）定義了服務(wù)集合，并核實(shí)服務(wù)集合完整和準(zhǔn)確。安全級(jí)別當(dāng)服務(wù)正在以核準(zhǔn)的方式使用核準(zhǔn)的密碼算法、安全功能或過(guò)程以及其他規(guī)定于｛GM／T0028—2014}中的服務(wù)或過(guò)程的時(shí)候，該服務(wù)應(yīng)當(dāng)給出相應(yīng)的狀態(tài)指示。所需的送檢文檔CY02.24.01：送檢單位應(yīng)給出當(dāng)服務(wù)以核準(zhǔn)的方式使用核準(zhǔn)的密碼算法、安全功能或過(guò)程以及其他規(guī)定于GM/T0028—2014的7.4.3中的服務(wù)或過(guò)程時(shí)的狀態(tài)指示方式。所需的檢測(cè)規(guī)程檢測(cè)人員應(yīng)核實(shí)狀態(tài)指示方式的合理性和有效性。6.3密碼模塊接口6.3.1密碼模塊接口通用要求安全級(jí)別所有進(jìn)出密碼模塊的邏輯信息流，都應(yīng)當(dāng)只能通過(guò)已定義的物理端口和邏輯接口，這些端口和接口是出入模塊的密碼邊界的入口和出口。所需的送檢文檔CY03.01.01：送檢單位的文檔中應(yīng)說(shuō)明密碼模塊的每個(gè)物理端口和邏輯接口，包括：—物理端口和引腳分配；—物理封蓋，門或開口；—邏輯接口（如，API和所有其他的數(shù)據(jù)／控制／狀態(tài)信號(hào)）、信號(hào)名稱和功能；—用于物理控制輸入的手動(dòng)控制（如，按鈕或開關(guān)—用于物理狀態(tài)輸出的物理狀態(tài)指示儀（如，指示燈或顯示器GM／T0039—2015—邏輯接口到物理端口、手動(dòng)控制和模塊物理狀態(tài)顯示之間的映射；—上述端口和接口的物理的，邏輯的和電氣的特性。CY03.01.02：送檢單位文檔中應(yīng)通過(guò)GM／T0028—2014附錄A.2.2和附錄B.2.2要求提供的框圖、設(shè)計(jì)規(guī)格、源代碼以及原理圖，說(shuō)明密碼模塊的信息流和物理接入點(diǎn)。同時(shí)還需提供其他有助于明確說(shuō)明信息流、物理接入點(diǎn)和物理端口、邏輯接口的關(guān)系的文檔。CY03.01.03：對(duì)于密碼模塊的每一個(gè)物理或邏輯的輸入，以及物理或邏輯的輸出，送檢單位的文檔中應(yīng)明確邏輯接口所對(duì)應(yīng)的物理輸入或輸出。所需的檢測(cè)規(guī)程檢測(cè)人員應(yīng)核實(shí)送檢單位的文檔說(shuō)明了密碼模塊的每個(gè)物理端口和邏輯接口。所需的說(shuō)明應(yīng)包括：—所有的物理輸入和輸出端口，包括它們引腳排列，模塊內(nèi)的物理位置，經(jīng)過(guò)每個(gè)端口的邏輯信號(hào)的總覽，以及兩個(gè)或多個(gè)信號(hào)共享同一個(gè)物理引腳時(shí)的信號(hào)流的時(shí)序；—所有的物理封蓋，門或開口，包括它們?cè)谀K內(nèi)的物理位置，以及通過(guò)每個(gè)封蓋／門／開口可訪問(wèn)和／或修改的部件或功能；—所有的邏輯輸入和輸出接口（例如，API和所有其他的數(shù)據(jù)／控制／狀態(tài)信號(hào)包括列寫或注釋的所有邏輯數(shù)據(jù)和控制輸入以及數(shù)據(jù)和狀態(tài)輸入的框圖，以及信號(hào)名稱和功能的清單和描述；—所有用于物理輸入控制信號(hào)的手動(dòng)控制，如開關(guān)或按鈕，包括它們?cè)诿艽a模塊內(nèi)的位置，以及可手動(dòng)輸入的控制信號(hào)的描述和清單；—所有的物理狀態(tài)指示，包括它們?cè)谀K內(nèi)的物理位置和物理輸出狀態(tài)指示信號(hào)的清單和描述；—邏輯輸入輸出接口到物理輸入輸出端口、手動(dòng)控制以及密碼模塊物理狀態(tài)指示之間的映射；—上述物理端口和接口的物理，邏輯和電氣特性，包括引腳分配總覽，加載到每個(gè)端口的邏輯信檢測(cè)人員應(yīng)通過(guò)檢查附錄和附錄要求提供的框圖設(shè)計(jì)規(guī)格、源代碼以及原理圖，以核實(shí)送檢單位的文檔說(shuō)明了密碼模塊的所有信息流和物理接入點(diǎn)信息。文檔還應(yīng)說(shuō)明密碼模塊信息流和物理訪問(wèn)點(diǎn)與密碼模塊邏輯接口和物理端口之間的關(guān)系。檢測(cè)人員應(yīng)核實(shí)對(duì)于每個(gè)密碼模塊的物理或邏輯輸入，以及物理或邏輯輸出，送檢單位的文檔明確邏輯接口所對(duì)應(yīng)的物理輸入或輸出。檢測(cè)人員應(yīng)通過(guò)檢查密碼模塊，核實(shí)送檢單位文檔中的說(shuō)明與密碼模塊的實(shí)際設(shè)計(jì)一致。安全級(jí)別密碼模塊邏輯接口應(yīng)當(dāng)是相互分離的，這些邏輯接口可以共享一個(gè)物理端口（例如：輸入數(shù)據(jù)和輸出數(shù)據(jù)可以使用同一個(gè)端口或者邏輯接口也可以分布在一個(gè)或多個(gè)物理端口上（例如：輸入數(shù)據(jù)可以通過(guò)串口也可以通過(guò)并口）。所需的送檢文檔CY03.02.01：送檢單位的設(shè)計(jì)應(yīng)根據(jù)AY03.04所列的類別將模塊的接口分成邏輯上不同和相互分離的類別，并且如果適用，AY03.12亦可作為依據(jù)。這些信息應(yīng)符合AY03.01描述的邏輯接口和物理端口的規(guī)格。CY03.02.02：送檢單位的文檔中應(yīng)提供每類邏輯接口到密碼模塊的物理端口的之間的映射。邏輯接口可以在物理上分布在多個(gè)物理端口上，或兩個(gè)或多個(gè)邏輯接口可以共享一個(gè)物理端口。如果兩個(gè)或多個(gè)邏輯接口共享同一物理端口，送檢單位的文檔中應(yīng)說(shuō)明這些不同類別接口的信息流是如何在邏輯上相互分離的。所需的檢測(cè)規(guī)程檢測(cè)人員應(yīng)通過(guò)分析送檢單位的文檔和檢查密碼模塊來(lái)核實(shí)，模塊的接口從邏輯上可GM／T0039—2015分成不同的和相互獨(dú)立的類別（如AY03.04和AY03.12所述）。所有這些信息應(yīng)符合AY03.01規(guī)定的邏輯接口和物理端口設(shè)計(jì)規(guī)范和規(guī)格。檢測(cè)人員應(yīng)核實(shí)送檢單位的文檔中提供了每個(gè)類別的密碼模塊的邏輯接口到物理端口的映射。邏輯接口可以在物理上分布在一個(gè)或多個(gè)物理端口，或者兩個(gè)或更多的邏輯接口可以共享一個(gè)物理端口。如果兩個(gè)或多個(gè)接口共享相同的物理端口，檢測(cè)人員應(yīng)核查送檢單位的文檔中說(shuō)明了輸入、輸出、控制和狀態(tài)接口上的信息流在邏輯上是如何相互分離的。安全級(jí)別｛密碼模塊接口｝文檔應(yīng)當(dāng)按照｛GM／T0028—2014}的要求編寫。所需的送檢文檔CY03.03.01：送檢單位的文檔中密碼模塊接口部分應(yīng)按照GM/T0028—2014附錄A.2.3的要求編寫。所需的檢測(cè)規(guī)程檢測(cè)人員應(yīng)核實(shí)文檔中密碼模塊接口部分符合附錄的要求?！布K接口（定義為用于請(qǐng)求硬件模塊服務(wù)的命令全集，請(qǐng)求服務(wù)的命令中包括輸入到密碼模塊或者由密碼模塊輸出的參數(shù)?！浖蚬碳K接口（定義為用于請(qǐng)求軟件或固件模塊服務(wù)的命令全集，請(qǐng)求服務(wù)的命令中包括輸入到密碼模塊或者由密碼模塊輸出的參數(shù)?！旌宪浖蚧旌瞎碳K接口（或定義為用于請(qǐng)求混合固件模塊服務(wù)的命令全集，請(qǐng)求服務(wù)的命令中包括輸入到密碼模塊或者由密碼模塊輸出的參數(shù)。注：本條沒(méi)有應(yīng)檢測(cè)的條款。安全級(jí)別密碼模塊應(yīng)當(dāng)具備下列5種接口（“輸入”和“輸出”是相對(duì)于模塊而言的—數(shù)據(jù)輸入接口；—數(shù)據(jù)輸出接口；—控制輸入接口；—控制輸出接口；—狀態(tài)輸出接口。注：本條款不單獨(dú)進(jìn)行檢測(cè)。安全級(jí)別由密碼模塊處理的所有輸入數(shù)據(jù)（通過(guò)“控制輸入”接口輸入的控制數(shù)據(jù)除外包括明文、密文、一和另個(gè)模塊的狀態(tài)信息，應(yīng)當(dāng)通過(guò)“數(shù)據(jù)輸入”接口輸入。一所需的送檢文檔CY03.05.01：密碼模塊應(yīng)有數(shù)據(jù)輸入接口。所有輸入到模塊和由模塊處理的數(shù)據(jù)（除通過(guò)控制輸入接口輸入的控制數(shù)據(jù)）應(yīng)通過(guò)數(shù)據(jù)輸入接口進(jìn)入，包括：—明文數(shù)據(jù)；—密文或簽名數(shù)據(jù)；—加密密鑰和其他密鑰管理數(shù)據(jù)（明文或密文—認(rèn)證數(shù)據(jù)（明文或加密的GM／T0039—2015—來(lái)自外部的狀態(tài)信息；—其他輸入數(shù)據(jù)。CY03.05.02：若適用，送檢單位的文檔中應(yīng)說(shuō)明所有與密碼模塊同時(shí)使用的外部輸入設(shè)備，此設(shè)備用于輸入數(shù)據(jù)到數(shù)據(jù)輸入接口，如智能卡、令牌、鍵盤、密鑰加載器和／或生物識(shí)別設(shè)備。所需的檢測(cè)規(guī)程檢測(cè)人員應(yīng)通過(guò)檢查，核實(shí)密碼模塊包括數(shù)據(jù)輸入接口，并且其功能如前所述。檢測(cè)人員應(yīng)核實(shí)所有輸入到模塊和由密碼模塊處理的（除控制數(shù)據(jù)通過(guò)控制輸入接口進(jìn)入外）數(shù)據(jù)經(jīng)數(shù)據(jù)輸入接口進(jìn)入，包括：—待加密或簽名的明文數(shù)據(jù)；—用于由模塊解密或驗(yàn)證的密文及簽名數(shù)據(jù)；—輸入到模塊或由模塊使用的明文或加密密鑰以及其他密鑰管理，包括數(shù)據(jù)和向量初始化，分片密鑰信息，和／或密鑰核算信息（其他密鑰管理要求包含在GM/T0028—2014的7.9中—輸入到密碼模塊的明文或加密認(rèn)證數(shù)據(jù)，包括登錄口令，PIN,和／或生物識(shí)別設(shè)備；—自外部渠道的狀態(tài)信息（如，其他密碼模塊或設(shè)備—除AY03.08中涵蓋的控制信息外，任何其他輸入到密碼模塊中用于處理或存儲(chǔ)的信息。注：對(duì)于安全等級(jí)1和2,物理端口或用于CSP明文輸入的端口可能與密碼模塊的其他物理端口共享（安全等級(jí)34對(duì)應(yīng)的要求分散在中檢測(cè)人員應(yīng)核實(shí)送檢單位的文檔中是否說(shuō)明了任何與密碼模塊一起使用并用于輸入數(shù)據(jù)到數(shù)據(jù)輸入接口的外部輸入設(shè)備，如智能卡、令牌、鍵盤、密鑰加載器和或生物識(shí)別設(shè)備。檢測(cè)人員應(yīng)使用外部輸入設(shè)備輸入數(shù)據(jù)到數(shù)據(jù)輸入接口，并使用該外部輸入設(shè)備核實(shí)該輸入數(shù)據(jù)。安全級(jí)別除“狀態(tài)輸出”接口輸出的狀態(tài)數(shù)據(jù)以及通過(guò)“控制輸出”接口輸出的控制數(shù)據(jù)之外，所有從密碼模塊輸出的輸出數(shù)據(jù)，包括明文、密文和ssp等，應(yīng)當(dāng)通過(guò)“數(shù)據(jù)所需的送檢文檔CY03.06.01：密碼模塊應(yīng)具有數(shù)據(jù)輸出接口。所有已被處理以及由密碼模塊輸出的數(shù)據(jù)（除通過(guò)狀態(tài)輸出接口輸出的狀態(tài)字外包括：—明文數(shù)據(jù)；—密文數(shù)據(jù)和數(shù)字簽名；—加密密鑰和其他密鑰管理數(shù)據(jù)（明文或加密的—對(duì)外部目標(biāo)的控制信息；—經(jīng)過(guò)處理或存儲(chǔ)后從密碼模塊輸出的其他信息。注：對(duì)于安全等級(jí)1和2,物理端口和用于明文加密密鑰和其他明文CSP輸出的端口可能與密碼模塊的其他物理端口共享。（安全等級(jí)3和4對(duì)應(yīng)的要求分散在AY03.16~AY03.22中）。CY03.06.02：若適用，送檢單位的文檔中應(yīng)說(shuō)明所有和密碼模塊同時(shí)使用并用于從數(shù)據(jù)輸出接口輸出數(shù)據(jù)的外部輸出設(shè)備，如智能卡、令牌、顯示器、和／或其他存儲(chǔ)設(shè)備。所需的檢測(cè)規(guī)程檢測(cè)人員應(yīng)通過(guò)檢查，核實(shí)密碼模塊具有如前所述的數(shù)據(jù)輸出接口和數(shù)據(jù)輸出接口功能。檢測(cè)人員應(yīng)核實(shí)所有被密碼模塊處理的和由模塊輸出的數(shù)據(jù)（除通過(guò)狀態(tài)數(shù)據(jù)輸出接口輸出的狀態(tài)數(shù)據(jù)外包括：—已由密碼模塊解密的明文數(shù)據(jù)；—已加密的密文數(shù)據(jù)，和由密碼模塊生成的數(shù)字簽名；—在內(nèi)部產(chǎn)生并由模塊輸出的明文或加密密鑰以及其他密鑰管理數(shù)據(jù)，包括初始化數(shù)據(jù)和向量，分片密鑰信息，和／或密鑰統(tǒng)計(jì)信息（其他的密鑰管理要求在GM/T0028—2014的7.9中GM／T0039—2015—密碼模塊輸出外部目標(biāo)的控制信息（如，另一個(gè)密碼模塊或設(shè)備—其他由密碼模塊處理或存儲(chǔ)后輸出的信息，AY03.11中說(shuō)明的狀態(tài)信息例外。注：對(duì)于安全等級(jí)1和2,物理端口和用于輸出明文CSP的端口可能與其他密碼模塊的物理端口共享。對(duì)于安全等級(jí)3和4,檢測(cè)人員應(yīng)分別檢測(cè)AY03.18和AY03.19小節(jié)中的相應(yīng)要求。檢測(cè)人員應(yīng)核實(shí)送檢文檔是否說(shuō)明了任何與密碼模塊同時(shí)使用并用于從數(shù)據(jù)輸出接口輸出數(shù)據(jù)的外部輸出設(shè)備，如智能卡、令牌、顯示器和／或其他存儲(chǔ)設(shè)備。檢測(cè)人員應(yīng)使用外部輸出設(shè)備從外部輸出接口輸出數(shù)據(jù)，并使用該外部輸出設(shè)備核實(shí)該輸出數(shù)據(jù)。安全級(jí)別在執(zhí)行手動(dòng)輸入、運(yùn)行前自測(cè)試、軟件／固件加載和置零的過(guò)程中，或者當(dāng)密碼模塊處在錯(cuò)誤狀態(tài)時(shí)，應(yīng)當(dāng)禁止通過(guò)“數(shù)據(jù)輸出”接口輸出數(shù)據(jù)。所需的送檢文檔CY03.07.01：送檢單位的文檔中應(yīng)說(shuō)明密碼模塊如何確保模塊處在錯(cuò)誤狀態(tài)時(shí)，數(shù)據(jù)輸出接口禁止輸出所有數(shù)據(jù)（錯(cuò)誤狀態(tài)在GM/T0028—2014的7.11.4中說(shuō)明）。只要不含CSP,明文數(shù)據(jù)或其他濫用可能造成安全威脅的信息，狀態(tài)信息可從狀態(tài)輸出接口輸出以確定錯(cuò)誤的類型。CY03.07.02：送檢單位的文檔中應(yīng)說(shuō)明密碼模塊的設(shè)計(jì)如何能確保模塊在自測(cè)試時(shí)，數(shù)據(jù)輸出接口禁止輸出所有數(shù)據(jù)（自測(cè)試在GM/T0028—2014的7.10中說(shuō)明）。只要不含CSP,明文數(shù)據(jù)或其他濫用可能造成安全威脅的信息，顯示自測(cè)試的狀態(tài)信息可從狀態(tài)輸出接口輸出以確定錯(cuò)誤類型。所需的檢測(cè)規(guī)程檢測(cè)人員應(yīng)核實(shí)送檢單位的文檔說(shuō)明了在錯(cuò)誤狀態(tài)時(shí)，數(shù)據(jù)輸出接口禁止輸出所有數(shù)據(jù)。檢測(cè)人員應(yīng)通過(guò)送檢單位的文檔核實(shí)一旦探測(cè)到錯(cuò)誤條件并進(jìn)入錯(cuò)誤狀態(tài)，數(shù)據(jù)輸出接口應(yīng)禁止輸出所有數(shù)據(jù)，直到從錯(cuò)誤中恢復(fù)過(guò)來(lái)。只要檢測(cè)人員核實(shí)不含CSP,明文數(shù)據(jù)或其他濫用可能造成安全威脅的信息，用來(lái)確定錯(cuò)誤的類型的狀態(tài)信息可允許從狀態(tài)輸出接口輸出。檢測(cè)人員應(yīng)使密碼模塊進(jìn)入每個(gè)指定的錯(cuò)誤狀態(tài)，并驗(yàn)證此時(shí)數(shù)據(jù)輸出接口禁止輸出所有數(shù)據(jù)。如果狀態(tài)信息是從狀態(tài)輸出接口輸出以確定錯(cuò)誤類型，檢測(cè)人員應(yīng)驗(yàn)證這些輸出信息為非敏感信息。下面的操作可使密碼模塊進(jìn)入錯(cuò)誤狀態(tài)，即：打開防篡改封蓋或門，輸入非正確格式的命令、密鑰或參數(shù)，降低輸入電壓和／或其他任何引起錯(cuò)誤的操作。如果檢測(cè)人員不能使模塊產(chǎn)生錯(cuò)誤，送檢單位應(yīng)對(duì)檢測(cè)人員提供該檢測(cè)不能進(jìn)行的合理解釋。檢測(cè)人員應(yīng)核實(shí)送檢單位的文檔說(shuō)明了密碼模塊處于自測(cè)試模式時(shí)，數(shù)據(jù)輸出接口禁止輸出所有數(shù)據(jù)。檢測(cè)人員應(yīng)通過(guò)送檢單位的文檔核實(shí)模塊一旦執(zhí)行自測(cè)試，數(shù)據(jù)輸出接口禁止輸出所有數(shù)據(jù)，直至自測(cè)試結(jié)束。只要檢測(cè)人員核實(shí)不含CSP,明文數(shù)據(jù)或其他濫用可能造成安全威脅的信息，用來(lái)顯示自測(cè)試結(jié)果的狀態(tài)信息可允許從狀態(tài)輸出接口輸出。檢測(cè)人員應(yīng)使模塊執(zhí)行自測(cè)試并核實(shí)數(shù)據(jù)輸出接口禁止所有數(shù)據(jù)的輸出。如果狀態(tài)信息從狀態(tài)輸出接口輸出用以顯示自測(cè)試結(jié)果，檢測(cè)人員應(yīng)核實(shí)其不含CSP,明文數(shù)據(jù)或其他濫用可能造成安全威脅的信息。如果檢測(cè)人員不能使模塊產(chǎn)生錯(cuò)誤，送檢單位應(yīng)對(duì)檢測(cè)人員提供該檢測(cè)不能進(jìn)行的合理解釋。檢測(cè)人員應(yīng)核實(shí)送檢單位的文檔說(shuō)明了密碼模塊如何確保在自測(cè)試或錯(cuò)誤模式下數(shù)據(jù)輸出接口禁止輸出所有數(shù)據(jù)。檢測(cè)人員還應(yīng)通過(guò)檢查，核實(shí)密碼模塊的設(shè)計(jì)，即數(shù)據(jù)輸出接口無(wú)論是在邏輯上還是物理上在上述情況下是禁用的。安全級(jí)別所有用于控制密碼模塊操作的輸入命令、信號(hào)（例如，時(shí)鐘輸入）及控制數(shù)據(jù)（包括手動(dòng)控制如開關(guān)、按鈕和鍵盤，以及功能調(diào)用）應(yīng)當(dāng)通過(guò)“控制輸入”接口輸入。所需的送檢文檔CY03.08.01：密碼模塊應(yīng)具有控制輸入接口。用于控制密碼模塊操作的所有命令，信號(hào)和控制數(shù)GM／T0039—2015據(jù)（除經(jīng)數(shù)據(jù)輸入接口輸入的數(shù)據(jù)）須經(jīng)控制輸入接口進(jìn)入，包括：—命令輸入，邏輯上通過(guò)API輸入（如，軟件和密碼模塊的固件—信號(hào)輸入，邏輯或物理上通過(guò)一個(gè)或多個(gè)的物理端口（如，密碼模塊的硬件部件—手動(dòng)控制輸入（如，使用開關(guān)、按鈕或鍵盤—其他輸入控制數(shù)據(jù)。CY03.08.02：若適用，送檢單位的文檔中應(yīng)說(shuō)明所有與密碼模塊一起使用并用于向控制輸入接口輸入命令，信號(hào)和控制數(shù)據(jù)的外部輸入設(shè)備，如智能卡、令牌或鍵盤。所需的檢測(cè)規(guī)程檢測(cè)人員應(yīng)通過(guò)檢查，核實(shí)密碼模塊包括了控制輸入接口，并且控制輸入接口如前所述。檢測(cè)人員應(yīng)檢查用于控制密碼模塊操作的所有命令，信號(hào)，和控制數(shù)據(jù)（除通過(guò)數(shù)據(jù)輸入接口輸入的數(shù)據(jù)）都應(yīng)通過(guò)控制輸入接口輸入，包括：—命令輸入，邏輯上通過(guò)API輸入，如調(diào)用軟件庫(kù)或智能卡的函數(shù)；—信號(hào)輸入，邏輯或物理上通過(guò)一個(gè)或多個(gè)物理端口輸入的信號(hào)，如通過(guò)串行端口或PC卡下發(fā)的命令或信號(hào)；—手動(dòng)控制輸入（如，使用開關(guān)、按鈕或鍵盤—其他輸入控制數(shù)據(jù)。檢測(cè)人員應(yīng)核實(shí)送檢單位的文檔中是否說(shuō)明了用于向控制輸入接口輸入命令，信號(hào)和控制數(shù)據(jù)的所有外部輸入設(shè)備，如智能卡、令牌或鍵盤。檢測(cè)人員應(yīng)使用外部輸入設(shè)備輸入命令到控制輸入接口，并使用該外部輸入設(shè)備核實(shí)該輸入命令。安全級(jí)別所有用于控制密碼模塊運(yùn)行的輸出命令、信號(hào)及控制數(shù)據(jù)（例如，對(duì)另一個(gè)模塊的控制命令）應(yīng)當(dāng)通所需的送檢文檔CY03.09.01：密碼模塊應(yīng)具有控制輸出接口。用于控制密碼模塊操作的輸出命令，信號(hào)和控制數(shù)據(jù)須經(jīng)控制輸出接口輸出。CY03.09.02：若適用，送檢單位的文檔中應(yīng)說(shuō)明所有和密碼模塊同時(shí)使用并用于從控制輸出接口輸出控制數(shù)據(jù)的外部設(shè)備，如智能卡、令牌、顯示器和／或其他存儲(chǔ)設(shè)備。所需的檢測(cè)規(guī)程檢測(cè)人員應(yīng)核實(shí)用于控制密碼模塊操作的輸出命令，信號(hào)和控制數(shù)據(jù)經(jīng)控制輸出接口輸出。檢測(cè)人員應(yīng)核實(shí)送檢單位的文檔中是否說(shuō)明了任何與密碼模塊同時(shí)使用并用于從控制輸出接口輸出控制數(shù)據(jù)的外部設(shè)備，如智能卡，令牌，顯示器和／或其他存儲(chǔ)設(shè)備。安全級(jí)別當(dāng)密碼模塊處于錯(cuò)誤狀態(tài)時(shí)，應(yīng)當(dāng)禁止通過(guò)“控制輸出”接口的控制輸出，除非在安全策略中規(guī)定了一些例外情況。所需的送檢文檔CY03.10.01：送檢單位的文檔中應(yīng)說(shuō)明密碼模塊處于錯(cuò)誤狀態(tài)時(shí)，采用什么策略來(lái)禁止密碼模塊通過(guò)“控制輸出”接口來(lái)輸出。CY03.10.02：送檢單位文檔應(yīng)詳細(xì)描述當(dāng)密碼模塊處于自檢狀態(tài)時(shí)，密碼模塊的設(shè)計(jì)是如何保證控制輸出接口禁止控制輸出。所需的檢測(cè)規(guī)程檢測(cè)人員應(yīng)核實(shí)當(dāng)密碼模塊處于錯(cuò)誤狀態(tài)時(shí)，禁止通過(guò)“控制輸出”接口輸出。檢測(cè)人員應(yīng)核實(shí)當(dāng)密碼模塊處于自檢狀態(tài)時(shí)，禁止通過(guò)“控制輸出”接口輸出。GM／T0039—2015安全級(jí)別所有用于指示密碼模塊狀態(tài)的輸出信號(hào)、指示器（例如，錯(cuò)誤指示器）和狀態(tài)數(shù)據(jù)［包括返回碼和物理指示器，比如視覺(jué)的（顯示器，指示燈聲音的（蜂鳴器，提示音，響鈴以及機(jī)械的（振動(dòng)器應(yīng)當(dāng)通所需的送檢文檔CY03.11.01：密碼模塊應(yīng)具有狀態(tài)輸出接口。所有用于顯示或指示模塊狀態(tài)的狀態(tài)信息，信號(hào)，邏輯指示以及物理指示儀應(yīng)通過(guò)狀態(tài)輸出接口輸出，包括：—狀態(tài)信息輸出，邏輯上通過(guò)API輸出；—信號(hào)輸出，邏輯或物理上通過(guò)一個(gè)或多個(gè)物理端口輸入的信號(hào)，如通過(guò)串行端口或PC卡下發(fā)的命令或信號(hào)；—其他輸出狀態(tài)信息。CY03.11.02：若適用，送檢單位的文檔中應(yīng)說(shuō)明所有的外部輸出設(shè)備，該類設(shè)備用于通過(guò)狀態(tài)輸出接口輸出狀態(tài)信息，信號(hào)，邏輯指示和物理指示，如智能卡、令牌、顯示器和／或其他存儲(chǔ)設(shè)備。所需的檢測(cè)規(guī)程檢測(cè)人員應(yīng)通過(guò)檢查，核實(shí)密碼模塊包括了狀態(tài)輸出接口，且狀態(tài)輸出接口功能如前所述。檢測(cè)人員應(yīng)檢查所有用于指示或顯示模塊狀態(tài)的狀態(tài)信息，信號(hào)，邏輯指示，和物理指示儀應(yīng)通過(guò)狀態(tài)輸出接口輸出，包括：—狀態(tài)信息輸出，邏輯上通過(guò)API輸出，如調(diào)用軟件庫(kù)或智能卡的函數(shù)；—信號(hào)輸出，邏輯或物理上通過(guò)一個(gè)或多個(gè)物理端口輸入的信號(hào)，如通過(guò)串行端口或PC卡下發(fā)的狀態(tài)信息；—手動(dòng)狀態(tài)輸出（如，使用LED、蜂鳴器或顯示器—其他輸出狀態(tài)信息。檢測(cè)人員應(yīng)核實(shí)送檢單位的文檔中說(shuō)明了所有的外部輸出設(shè)備（若適用該類設(shè)備用于通過(guò)狀態(tài)輸出接口輸出狀態(tài)信息，信號(hào)，邏輯指示和物理指示，如智能卡、令牌、顯示器和／或其他存儲(chǔ)設(shè)備。安全級(jí)別除軟件密碼模塊以外，所有模塊還應(yīng)當(dāng)具備下列接口。注：本條款不單獨(dú)進(jìn)行檢測(cè)。安全級(jí)別電源接口：輸入密碼模塊的所有外部電能應(yīng)當(dāng)通過(guò)電源接口輸入。注：當(dāng)所有電能由密碼模塊內(nèi)部提供或維持時(shí)，則電源接口是不需要的，內(nèi)部電池的替換被認(rèn)為是物理維護(hù)行為，應(yīng)符合GM/T0028—2014中的7.7中指定的要求。所需的送檢文檔CY03.13.01：如果密碼模塊需要向密碼邊界外的其他元件提供電能，或從密碼邊界外的其他元件獲取電能（例如，電源或外部電池送檢文檔中應(yīng)指定電源接口及相關(guān)的物理端口。CY03.13.02：所有從密碼邊界外的其他元件輸入到密碼模塊或從密碼模塊輸出到密碼邊界外的其他元件的電能應(yīng)通過(guò)指定電源接口。所需的檢測(cè)規(guī)程檢測(cè)人員應(yīng)核實(shí)送檢單位的文檔中說(shuō)明密碼模塊是否需要從密碼邊界外的其他元件獲取電能，或者是否向密碼邊界外的其他元件提供電能（例如，電源、電源線、電源插口／插座，或外部電池）。檢測(cè)人員還應(yīng)核實(shí)送檢單位的文檔中指定的電源接口和相應(yīng)的物理端口。通過(guò)檢查密碼模塊，檢測(cè)人員應(yīng)核實(shí)從密碼模塊輸入或輸出到密碼邊界外的其他元件GM／T0039—2015的電能通過(guò)指定的電源接口。安全級(jí)別密碼模塊應(yīng)當(dāng)區(qū)分?jǐn)?shù)據(jù)、控制信息和電源輸入，以及數(shù)據(jù)、控制信息和狀態(tài)信息輸出。所需的送檢文檔CY03.14.01：送檢單位的文檔中應(yīng)說(shuō)明密碼模塊是如何區(qū)分?jǐn)?shù)據(jù)、控制信息和電源輸入，以及數(shù)據(jù)、控制信息和狀態(tài)信息輸出。通過(guò)密碼模塊輸入接口輸入數(shù)據(jù)和控制信息的物理和邏輯路徑，在物理上和邏輯上是如何與通過(guò)密碼模塊輸出接口輸出數(shù)據(jù)、控制信息和狀態(tài)信息的物理和邏輯路徑區(qū)分開來(lái)的。CY03.14.02：送檢單位的文檔中應(yīng)說(shuō)明用于輸入數(shù)據(jù)和控制信息的物理邏輯路徑如何在物理上和邏輯上與用于輸出數(shù)據(jù)、控制信息和狀態(tài)信息的物理邏輯路徑區(qū)分開來(lái)。如果用于輸入數(shù)據(jù)和控制信息的物理邏輯路徑與用于輸出數(shù)據(jù)、控制信息和狀態(tài)信息的物理邏輯路徑是物理共享的，送檢單位的文檔中應(yīng)說(shuō)明密碼模塊是如何強(qiáng)制實(shí)現(xiàn)邏輯分離。CY03.14.03：送檢單位文檔應(yīng)具有一致性，應(yīng)說(shuō)明密碼模塊區(qū)分?jǐn)?shù)據(jù)、輸入控制和數(shù)據(jù)控制、輸出控制和輸出狀態(tài)，應(yīng)說(shuō)明通過(guò)密碼模塊可用的輸入接口輸入數(shù)據(jù)和狀態(tài)信息的物理和邏輯路徑，在物理上和邏輯上與通過(guò)密碼模塊可用的輸出接口輸出數(shù)據(jù)和狀態(tài)信息的物理和邏輯路徑是相分離的。所需的檢測(cè)規(guī)程檢測(cè)人員應(yīng)核實(shí)送檢單位的文檔中說(shuō)明了密碼模塊如何區(qū)分輸入數(shù)據(jù)、控制數(shù)據(jù)以及輸出數(shù)據(jù)、輸出狀態(tài)。數(shù)據(jù)輸入接口輸入數(shù)據(jù)，控制輸入接口輸入控制信息，這些數(shù)據(jù)應(yīng)在邏輯上或物理上與輸出數(shù)據(jù)接口的輸出數(shù)據(jù)和狀態(tài)輸出接口的狀態(tài)信息區(qū)分開。檢測(cè)人員應(yīng)核實(shí)送檢單位的文檔中說(shuō)明了輸入數(shù)據(jù)和控制信息的物理邏輯路徑如何與輸出數(shù)據(jù)和狀態(tài)信息的物理邏輯路徑如何在物理上和邏輯上分開。如果用于輸入數(shù)據(jù)和控制信息的物理邏輯路徑與用于輸出數(shù)據(jù)和狀態(tài)信息的物理邏輯路徑是物理共享的，檢測(cè)人員應(yīng)核實(shí)送檢單位的文檔說(shuō)明了密碼模塊是如何強(qiáng)制實(shí)現(xiàn)邏輯分離的。檢測(cè)人員應(yīng)核實(shí)送檢單位文檔的一致性，核實(shí)密碼模塊區(qū)分?jǐn)?shù)據(jù)、輸入控制和數(shù)據(jù)控制、輸出控制和輸出狀態(tài)，以及通過(guò)可用的輸入接口輸入數(shù)據(jù)和狀態(tài)信息的物理和邏輯路徑，與通過(guò)可用的輸出接口輸出數(shù)據(jù)和狀態(tài)信息的物理和邏輯路徑在物理上和邏輯上是相分離的。安全級(jí)別密碼模塊規(guī)格應(yīng)當(dāng)明確規(guī)定輸入數(shù)據(jù)以及控制信息的格式，包括對(duì)所有可變長(zhǎng)度輸入的長(zhǎng)度限制。所需的送檢文檔CY03.15.01：送檢單位的文檔中密碼模塊規(guī)格部分應(yīng)明確規(guī)定密碼模塊輸入數(shù)據(jù)以及控制信息的格式，包括對(duì)所有可變長(zhǎng)度輸入的限制。所需的檢測(cè)規(guī)程檢測(cè)人員應(yīng)核實(shí)文檔中密碼模塊規(guī)格部分明確規(guī)定了密碼模塊輸入數(shù)據(jù)以及控制信息的格式，包括對(duì)所有可變長(zhǎng)度輸入的長(zhǎng)度限制。安全級(jí)別密碼模塊應(yīng)當(dāng)實(shí)現(xiàn)可信信道，用于在密碼模塊與發(fā)送者或接收者終端之間傳輸未受保護(hù)的明文密鑰分量以及鑒別數(shù)據(jù)。所需的送檢文檔CY03.16.01：送檢單位的文檔中應(yīng)說(shuō)明實(shí)現(xiàn)了可信信道，并描述可信信道的實(shí)現(xiàn)方式。所需的檢測(cè)規(guī)程檢測(cè)人員應(yīng)核實(shí)密碼模塊實(shí)現(xiàn)了可信信道，并核實(shí)該可信信道可以保證在密碼模塊與GM／T0039—2015發(fā)送者或接收者終端之間傳輸未受保護(hù)的明文CSP、密鑰分量以及鑒別數(shù)據(jù)的安全性。安全級(jí)別可信信道應(yīng)當(dāng)防止在通信鏈路上的非授權(quán)修改、替換和泄露。所需的送檢文檔CY03.17.01：送檢單位的文檔中應(yīng)說(shuō)明可信信道可以防止在通信鏈路上的非授權(quán)修改、替換和泄露。所需的檢測(cè)規(guī)程檢測(cè)人員未授權(quán)修改可信信道上傳輸?shù)臄?shù)據(jù)，應(yīng)該不被接受。檢測(cè)人員替換可信信道上傳輸?shù)臄?shù)據(jù)，應(yīng)該不被接受。檢測(cè)人員應(yīng)無(wú)法偵聽獲取到可信信道上傳輸?shù)臄?shù)據(jù)。安全級(jí)別可信信道使用的物理端口應(yīng)當(dāng)與其他物理端口實(shí)現(xiàn)物理隔離。所需的送檢文檔CY03.18.01：送檢單位的文檔中應(yīng)說(shuō)明可信信道所使用的物理端口，并描述其如何與其他物理端口實(shí)現(xiàn)物理隔離。所需的檢測(cè)規(guī)程檢測(cè)人員應(yīng)核實(shí)文檔中說(shuō)明了可信信道所使用的物理端口，并描述了如何與其他物理端口實(shí)現(xiàn)物理隔離。檢測(cè)人員應(yīng)核實(shí)可信信道所采用的物理端口與其他物理接口物理上隔離。安全級(jí)別可信信道使用的邏輯接口應(yīng)當(dāng)與其他邏輯接口實(shí)現(xiàn)邏輯隔離。所需的送檢文檔CY03.19.01：送檢單位的文檔中應(yīng)說(shuō)明可信信道所使用的邏輯接口，并描述其如何與其他邏輯接口隔離。所需的檢測(cè)規(guī)程送檢單位的文檔中應(yīng)說(shuō)明可信信道所使用的邏輯端口，并描述其如何與其他邏輯端口實(shí)現(xiàn)邏輯隔離。檢測(cè)人員應(yīng)核實(shí)可信信道所采用的邏輯接口與其他邏輯接口邏輯上隔離。安全級(jí)別基于身份的鑒別應(yīng)當(dāng)用于所有使用可信信道的服務(wù)。所需的送檢文檔CY03.20.01：送檢單位的文檔中應(yīng)列舉所有使用可信信道的服務(wù)。CY03.20.02：送檢單位的文檔中應(yīng)說(shuō)明所有使用可信信道的服務(wù)采用了基于身份的鑒別，并描述實(shí)現(xiàn)方式。所需的檢測(cè)規(guī)程檢測(cè)人員應(yīng)核實(shí)送檢單位的文檔中列舉了所有使用可信信道的服務(wù)。檢測(cè)人員應(yīng)核實(shí)所有使用可信信道的服務(wù)采用了基于身份的鑒別，并核實(shí)實(shí)現(xiàn)方式的安全性。安全級(jí)別當(dāng)可信信道在使用時(shí)，應(yīng)當(dāng)提供狀態(tài)指示器。所需的送檢文檔CY03.21.01：送檢單位的文檔中應(yīng)說(shuō)明使用可信信道的狀態(tài)指示器和狀態(tài)信息。GM／T0039—2015所需的檢測(cè)規(guī)程檢測(cè)人員應(yīng)核實(shí)密碼模塊具有可信信道使用狀態(tài)指示器。檢測(cè)人員應(yīng)核實(shí)可信信道在使用時(shí)，狀態(tài)指示器正確指示狀態(tài)。安全級(jí)別基于身份的多因素鑒別應(yīng)當(dāng)用于所有使用可信信道的服務(wù)。所需的送檢文檔CY03.22.01：送檢單位的文檔中應(yīng)說(shuō)明所有使用可信信道的服務(wù)采用了基于身份的多因素鑒別，并描述實(shí)現(xiàn)方式。所需的檢測(cè)規(guī)程檢測(cè)人員應(yīng)核實(shí)所有使用可信信道的服務(wù)采用了基于身份的多因素鑒別，并核實(shí)實(shí)現(xiàn)方式的安全性。安全級(jí)別密碼模塊應(yīng)當(dāng)支持操作員的授權(quán)角色以及與每個(gè)角色相對(duì)應(yīng)的服務(wù)。注：本條款不單獨(dú)進(jìn)行檢測(cè)。安全級(jí)別如果密碼模塊支持多個(gè)操作員同時(shí)操作，那么模塊內(nèi)部應(yīng)當(dāng)確保各個(gè)操作員擔(dān)任的角色相隔離及相應(yīng)的服務(wù)相隔離。所需的送檢文檔CY04.02.01：送檢單位的文檔中應(yīng)說(shuō)明是否支持多個(gè)操作員同時(shí)操作。CY04.02.02：如果密碼模塊支持多個(gè)操作員同時(shí)操作，送檢單位應(yīng)描述怎樣實(shí)現(xiàn)每一個(gè)操作員擔(dān)任角色相隔離及相應(yīng)服務(wù)相隔離的方法。CY04.02.03：送檢單位的文檔還應(yīng)描述對(duì)多個(gè)操作員的限制（例如，不允許一個(gè)操作員既是維護(hù)員角色又是用戶角色）。所需的檢測(cè)規(guī)程檢測(cè)人員應(yīng)核實(shí)送檢單位的文檔中如實(shí)描述密碼模塊實(shí)現(xiàn)的多個(gè)操作員角色與服務(wù)強(qiáng)制相隔離的方法。檢測(cè)人員應(yīng)擔(dān)任兩個(gè)獨(dú)立操作員的身份：操作員1和操作員2。操作員應(yīng)賦予不同的角色。檢測(cè)人員應(yīng)核實(shí)，每個(gè)角色只執(zhí)行分配于其角色的服務(wù)。對(duì)于每一個(gè)操作員，檢測(cè)人員應(yīng)測(cè)試其可否執(zhí)行其他操作員擔(dān)任角色的服務(wù)，以此來(lái)核實(shí)不同操作員角色與服務(wù)的分離。如果送檢單位的文檔給出關(guān)于多個(gè)操作員行為的限制條件，檢測(cè)人員應(yīng)嘗試以獨(dú)立操作員身份并行地?fù)?dān)任受限角色，嘗試違反限制條件，以此核實(shí)模塊通過(guò)阻止第二操作員擔(dān)任角色，強(qiáng)制執(zhí)行這些約束。安全級(jí)別｛角色、服務(wù)和鑒別｝文檔應(yīng)當(dāng)按照｛GM／T0028—2014}附錄中規(guī)定的要求編寫。所需的送檢文檔CY04.03.01：送檢單位的文檔中角色、服務(wù)和鑒別部分應(yīng)按照GM/T0028—2014附錄A.2.4中規(guī)定的要求編寫。所需的檢測(cè)規(guī)程檢測(cè)人員應(yīng)核實(shí)文檔中角色、服務(wù)和鑒別部分按照GM/T0028—2014附錄A.2.4中GM／T0039—2015規(guī)定的要求編寫。安全級(jí)別密碼模塊應(yīng)當(dāng)至少支持密碼主管角色。所需的送檢文檔CY04.04.01：送檢單位的密碼模塊產(chǎn)品應(yīng)包括至少一個(gè)密碼主管角色。所需的檢測(cè)規(guī)程檢測(cè)人員應(yīng)核實(shí)送檢單位的文檔中定義了至少一個(gè)密碼主管角色。安全級(jí)別密碼主管角色應(yīng)當(dāng)負(fù)責(zé)執(zhí)行密碼初始化或管理功能，以及常用的安全服務(wù)，例如，模塊初始化、和PSP的管理以及審計(jì)功能。所需的送檢文檔CY04.05.01：送檢單位的文檔中應(yīng)描述密碼主管角色的功能，包括：執(zhí)行密碼初始化或管理功能，以及常用的安全服務(wù)，例如，模塊初始化、CSP和PSP的管理以及審計(jì)功能。所需的檢測(cè)規(guī)程檢測(cè)人員應(yīng)核實(shí)送檢單位的文檔中描述了密碼主管角色的功能。檢測(cè)人員應(yīng)核實(shí)給出的密碼主管角色名和許可服務(wù)與AY04.05說(shuō)明相符。注：擔(dān)任角色應(yīng)按進(jìn)行檢測(cè)。安全級(jí)別如果密碼模塊支持用戶角色，那么用戶角色應(yīng)當(dāng)負(fù)責(zé)執(zhí)行一般的安全服務(wù)，包括密碼操作和其他核準(zhǔn)的安全功能。所需的送檢文檔CY04.06.01：如果密碼模塊支持用戶角色，送檢單位的文檔中應(yīng)說(shuō)明用戶角色負(fù)責(zé)執(zhí)行的安全服務(wù)。所需的檢測(cè)規(guī)程檢測(cè)人員應(yīng)核實(shí)送檢單位的文檔中描述了用戶角色的功能。檢測(cè)人員應(yīng)核實(shí)給出的用戶角色名和許可服務(wù)與AY04.06說(shuō)明相符。注：擔(dān)任角色應(yīng)按進(jìn)行檢測(cè)。安全級(jí)別當(dāng)進(jìn)入或退出維護(hù)員角色時(shí)，所有不受保護(hù)的SSP應(yīng)當(dāng)被置零。所需的送檢文檔CY04.07.01：送檢單位的文檔中應(yīng)說(shuō)明當(dāng)維護(hù)員角色登錄或退出時(shí)，模塊的SSP是怎樣動(dòng)態(tài)清零的。所需的檢測(cè)規(guī)程如果送檢單位的文檔說(shuō)明密碼模塊實(shí)現(xiàn)了維護(hù)員角色，檢測(cè)人員應(yīng)核實(shí)送檢單位的文檔說(shuō)明當(dāng)進(jìn)入或退出維護(hù)員角色時(shí)，清零所有未經(jīng)加密的SSP的方法。在非維護(hù)員角色狀態(tài)下，檢測(cè)人員應(yīng)為所有未經(jīng)加密的SSP加載非零值。進(jìn)入維護(hù)員角色后，檢測(cè)人員應(yīng)核實(shí)清零已被執(zhí)行。在維護(hù)員角色狀態(tài)下，檢測(cè)人員應(yīng)為所有未經(jīng)加密的SSP加載非零值，從維護(hù)員角色退出后，檢測(cè)人員應(yīng)核實(shí)清零已被執(zhí)行。GM／T0039—2015安全級(jí)別服務(wù)應(yīng)當(dāng)指的是密碼模塊所能執(zhí)行的所有服務(wù)、操作或功能。注：本條款不單獨(dú)進(jìn)行檢測(cè)。安全級(jí)別服務(wù)輸入應(yīng)當(dāng)包括密碼模塊在啟動(dòng)或獲取特定服務(wù)、操作或功能時(shí)，所使用的所有數(shù)據(jù)或控制輸入。注：本條款不單獨(dú)進(jìn)行檢測(cè)。安全級(jí)別服務(wù)輸出應(yīng)當(dāng)包括由服務(wù)輸入啟動(dòng)或獲取的服務(wù)、操作或功能，所產(chǎn)生的所有數(shù)據(jù)和狀態(tài)輸出。注：本條款不單獨(dú)進(jìn)行檢測(cè)。安全級(jí)別每個(gè)服務(wù)輸入應(yīng)當(dāng)產(chǎn)生一個(gè)服務(wù)輸出。注：本條款不單獨(dú)進(jìn)行檢測(cè)。安全級(jí)別密碼模塊應(yīng)當(dāng)為操作員提供下列服務(wù)：—顯示模塊版本號(hào)；—顯示狀態(tài)；—執(zhí)行自測(cè)試；—執(zhí)行核準(zhǔn)的安全功能；—執(zhí)行置零。本條款在安全級(jí)別密碼模塊應(yīng)當(dāng)輸出名稱或模塊標(biāo)識(shí)符以及版本信息，這些信息可以與模塊的審驗(yàn)記錄相關(guān)聯(lián)。所需的送檢文檔CY04.13.01：送檢單位的文檔中應(yīng)說(shuō)明密碼模塊具有輸出名稱或模塊標(biāo)識(shí)符以及版本信息的服務(wù)，并描述具體操作步驟和方法。CY04.13.02：送檢單位的文檔中應(yīng)說(shuō)明密碼模塊輸出的名稱或模塊標(biāo)識(shí)符以及版本信息的定義規(guī)則，并說(shuō)明這些信息是否與模塊的審驗(yàn)記錄相關(guān)聯(lián)。所需的檢測(cè)規(guī)程檢測(cè)人員應(yīng)核實(shí)送檢單位的文檔中說(shuō)明了密碼模塊具有輸出名稱或模塊標(biāo)識(shí)符以及版本信息的功能服務(wù)，并描述了具體操作步驟和方法。檢測(cè)人員應(yīng)核實(shí)密碼模塊輸出的名稱或模塊標(biāo)識(shí)符以及版本信息的定義規(guī)則與文檔中定義的規(guī)則符合。如果密碼模塊輸出的名稱或模塊標(biāo)識(shí)符以及版本信息與模塊的審驗(yàn)記錄相關(guān)聯(lián)，檢測(cè)人員應(yīng)核實(shí)。安全級(jí)別密碼模塊應(yīng)當(dāng)輸出當(dāng)前的狀態(tài)。所需的送檢文檔CY04.14.01：送檢單位的文檔中應(yīng)說(shuō)明密碼模塊具有輸出當(dāng)前狀態(tài)的服務(wù)。GM／T0039—2015所需的檢測(cè)規(guī)程檢測(cè)人員應(yīng)核實(shí)送檢單位的文檔中說(shuō)明了密碼模塊具有輸出當(dāng)前狀態(tài)的服務(wù)。檢測(cè)人員應(yīng)核實(shí)密碼模塊具有輸出當(dāng)前狀態(tài)的服務(wù)。安全級(jí)別密碼模塊應(yīng)當(dāng)執(zhí)行初始化和規(guī)定于｛GM／T0028—2014}7.中的運(yùn)行前自測(cè)試。所需的送檢文檔CY04.15.01：送檢單位的文檔中應(yīng)說(shuō)明密碼模塊具有初始化和運(yùn)行前自測(cè)試服務(wù)。所需的檢測(cè)規(guī)程檢測(cè)人員應(yīng)核實(shí)送檢單位的文檔中說(shuō)明了密碼模塊具有初始化和運(yùn)行前自測(cè)試服務(wù)。檢測(cè)人員應(yīng)核實(shí)密碼模塊的初始化和運(yùn)行前自測(cè)試服務(wù)。安全級(jí)別密碼模塊應(yīng)當(dāng)至少執(zhí)行一個(gè)在｛GM／T0028—2014}中規(guī)定的核準(zhǔn)的工作模式中使用的核準(zhǔn)的安全功能。所需的送檢文檔CY04.16.01：送檢單位的文檔中應(yīng)說(shuō)明密碼模塊核準(zhǔn)的工作模式中使用的核準(zhǔn)的安全功能。所需的檢測(cè)規(guī)程檢測(cè)人員應(yīng)核實(shí)送檢單位的文檔中說(shuō)明的密碼模塊核準(zhǔn)的工作模式中使用的核準(zhǔn)的安全功能。安全級(jí)別密碼應(yīng)當(dāng)按照｛GM／T0028—2014}中的規(guī)定執(zhí)行參數(shù)置零。所需的送檢文檔CY04.17.01：送檢單位的文檔中應(yīng)說(shuō)明密碼模塊支持密碼參數(shù)置零的服務(wù)。所需的檢測(cè)規(guī)程檢測(cè)人員應(yīng)核實(shí)送檢單位的文檔中說(shuō)明了密碼模塊支持密碼參數(shù)置零的服務(wù)。安全級(jí)別如果密碼模塊輸出的數(shù)據(jù)是受到密碼技術(shù)保護(hù)的（例如，經(jīng)過(guò)加密但是通過(guò)更改密碼模塊的配置或者由于操作員的干預(yù)，密碼模塊能夠?qū)?shù)據(jù)直接輸出（例如，不再經(jīng)過(guò)加密此時(shí)，應(yīng)當(dāng)定義該模塊具有旁路能力。注：本條款不單獨(dú)進(jìn)行檢測(cè)。安全級(jí)別在開啟密碼模塊的旁路功能之前，操作員應(yīng)當(dāng)擔(dān)任相應(yīng)的授權(quán)角色。所需的送檢文檔CY04.19.01：如果模塊實(shí)現(xiàn)旁路能力，送檢單位的文檔中應(yīng)描述這個(gè)旁路服務(wù)。CY04.19.02：送檢單位的文檔應(yīng)說(shuō)明在開啟密碼模塊的旁路功能之前，操作員應(yīng)擔(dān)任相應(yīng)的授權(quán)角色。所需的檢測(cè)規(guī)程如果模塊實(shí)現(xiàn)旁路能力，檢測(cè)人員應(yīng)核實(shí)送檢單位的文檔中描述了這個(gè)旁路服務(wù)。檢測(cè)人員應(yīng)核實(shí)送檢單位的文檔中說(shuō)明了在開啟密碼模塊的旁路功能之前，操作員應(yīng)擔(dān)任相應(yīng)的授權(quán)角色。檢測(cè)人員應(yīng)核實(shí)操作員被授權(quán)相應(yīng)角色后才可以開啟密碼模塊的旁路功能。安全級(jí)別應(yīng)當(dāng)使用兩個(gè)獨(dú)立的內(nèi)部操作來(lái)激活旁路能力，以防止單個(gè)錯(cuò)誤造成不經(jīng)意地輸出明文數(shù)據(jù)。注：本條款作為AY04.21的一部分進(jìn)行檢測(cè)。GM／T0039—2015安全級(jí)別｛應(yīng)當(dāng)使用兩個(gè)獨(dú)立的內(nèi)部操作來(lái)激活旁路能力這兩個(gè)獨(dú)立的內(nèi)部操作應(yīng)當(dāng)能夠改變用于控制旁路能力的軟件和／或硬件配置（例如，設(shè)置兩個(gè)不同的軟件或硬件標(biāo)志位，其中一個(gè)可以由用戶發(fā)起）。所需的送檢文檔CY04.21.01：送檢單位的文檔應(yīng)說(shuō)明使用兩個(gè)獨(dú)立的內(nèi)部操作來(lái)激活旁路能力。CY04.21.02：送檢單位的文檔中應(yīng)說(shuō)明兩個(gè)獨(dú)立的內(nèi)部操作能夠改變用于控制旁路能力的軟件和／或硬件配置，并描述這兩個(gè)獨(dú)立的內(nèi)部操作。所需的檢測(cè)規(guī)程檢測(cè)人員應(yīng)核實(shí)送檢單位的文檔說(shuō)明了需要使用兩個(gè)獨(dú)立的內(nèi)部操作來(lái)激活旁路能力。檢測(cè)人員應(yīng)核實(shí)密碼模塊需要兩個(gè)獨(dú)立的內(nèi)部操作才能激活旁路功能。檢測(cè)人員應(yīng)核實(shí)送檢單位的文檔說(shuō)明了兩個(gè)獨(dú)立的內(nèi)部操作能夠改變用于控制旁路能力的軟件和／或硬件配置。檢測(cè)人員應(yīng)核實(shí)兩個(gè)獨(dú)立的內(nèi)部操作能夠改變用于控制旁路能力的軟件和／或硬件配置。安全級(jí)別｛接AY04.20}對(duì)于安全四級(jí)模塊，上述兩個(gè)獨(dú)立的內(nèi)部操作應(yīng)當(dāng)由兩個(gè)不同的操作員完成。所需的送檢文檔CY04.22.01：送檢單位的文檔中應(yīng)描述如何由兩個(gè)不同的操作員共同完成兩個(gè)獨(dú)立的內(nèi)部操作才能激活旁路能力。所需的檢測(cè)規(guī)程檢測(cè)人員應(yīng)核實(shí)激活旁路能力的內(nèi)部操作和步驟。檢測(cè)人員應(yīng)擔(dān)任兩個(gè)獨(dú)立操作員的身份：操作員1和操作員2。操作員1和操作員2分別完成兩個(gè)獨(dú)立的內(nèi)部操作，來(lái)核實(shí)可以激活旁路能力。然后由操作員1完成兩個(gè)獨(dú)立的內(nèi)部操作，來(lái)核實(shí)不能激活旁路能力。安全級(jí)別模塊應(yīng)當(dāng)顯示其狀態(tài)以指示旁路能力是否：—未被激活，表明模塊此時(shí)只提供使用密碼功能的服務(wù)（例如，明文數(shù)據(jù)經(jīng)過(guò)加密之后輸出模塊—被激活，表明模塊此時(shí)只提供沒(méi)有使用密碼功能的服務(wù)（例如，明文數(shù)據(jù)未經(jīng)過(guò)加密就輸出模塊—同時(shí)存在被激活和未被激活，表明模塊此時(shí)提供的某些服務(wù)是使用了密碼功能，而某些服務(wù)沒(méi)有使用密碼功能（例如，對(duì)于擁有多個(gè)通信信道的模塊，明文數(shù)據(jù)是否被加密取決于每個(gè)信道所需的送檢文檔CY04.23.01：送檢單位的文檔中應(yīng)描述如何指示旁路能力是否被激活的狀態(tài)。所需的檢測(cè)規(guī)程檢測(cè)人員應(yīng)核實(shí)密碼模塊具備狀態(tài)指示，可以明確表示旁路功能是否被激活的狀態(tài)。安全級(jí)別自啟動(dòng)密碼服務(wù)能力應(yīng)當(dāng)由密碼主管配置，而且該配置可能在模塊經(jīng)過(guò)重置、重啟或開關(guān)電源之后可以保留下來(lái)。GM／T0039—2015所需的送檢文檔CY04.24.01：如果密碼模塊支持自啟動(dòng)密碼服務(wù)能力，送檢單位的文檔中應(yīng)說(shuō)明該功能只能由密碼主管配置，在模塊重置、重啟或開關(guān)電源之后可以保留下來(lái)。所需的檢測(cè)規(guī)程檢測(cè)人員應(yīng)核實(shí)密碼模塊自啟動(dòng)能力必須由密碼主管配置。檢測(cè)人員應(yīng)核實(shí)密碼模塊自啟動(dòng)配置成功后，在模塊重置、重啟或開關(guān)電源后，可以保留下來(lái)。安全級(jí)別｛如果密碼模塊實(shí)現(xiàn)了自啟動(dòng)密碼服務(wù)能力，那么｝應(yīng)當(dāng)需要兩個(gè)獨(dú)立的內(nèi)部操作來(lái)激活該能力，以防止單個(gè)錯(cuò)誤造成不經(jīng)意的輸出。所需的送檢文檔CY04.25.01：送檢單位應(yīng)定義兩個(gè)獨(dú)立的內(nèi)部操作來(lái)激活自啟動(dòng)密碼服務(wù)能力。CY04.25.02：送檢單位應(yīng)提供文檔詳細(xì)說(shuō)明兩個(gè)獨(dú)立的內(nèi)部操作是如何改變控制自啟動(dòng)輸出密碼能力的軟件和／或硬件的行為。CY04.25.03：送檢單位應(yīng)提供文檔詳細(xì)說(shuō)明兩個(gè)獨(dú)立的內(nèi)部操作是如何防止單個(gè)錯(cuò)誤造成不經(jīng)意的輸出。所需的檢測(cè)規(guī)程檢測(cè)人員應(yīng)確定密碼模塊是否實(shí)現(xiàn)了自啟動(dòng)密碼服務(wù)能力。檢測(cè)人員應(yīng)核實(shí)送檢單位文檔詳細(xì)說(shuō)明了在執(zhí)行自啟動(dòng)密碼服務(wù)能力前，密碼模塊執(zhí)行了兩個(gè)獨(dú)立的內(nèi)部操作。同時(shí)檢測(cè)人員應(yīng)核實(shí)送檢單位文檔詳細(xì)說(shuō)明了這兩個(gè)獨(dú)立的內(nèi)部操作是如何防止單個(gè)錯(cuò)誤造成的不經(jīng)意的輸出。檢測(cè)人員應(yīng)激活自啟動(dòng)密碼服務(wù)能力，確認(rèn)兩個(gè)獨(dú)立的內(nèi)部操作如上所述。如果在激活過(guò)程中執(zhí)行了任何一個(gè)軟件或固件的組件，檢測(cè)人員應(yīng)審查源代碼，以確保在激活自啟動(dòng)密碼服務(wù)能力前，該軟件或固件組件支持兩個(gè)獨(dú)立內(nèi)部操作的要求。檢測(cè)人員應(yīng)核實(shí)當(dāng)自啟動(dòng)密碼模塊能力被激活時(shí)，有一個(gè)狀態(tài)指示器來(lái)顯示該事件。安全級(jí)別｛接AY04.25}這兩個(gè)獨(dú)立的內(nèi)部操作應(yīng)當(dāng)能夠改變用于控制該能力的軟件和／或硬件配置（例如，設(shè)置兩個(gè)不同的軟件或硬件標(biāo)志位，其中一個(gè)可以由用戶發(fā)起）。所需的送檢文檔CY04.26.01：送檢單位的文檔中應(yīng)描述內(nèi)部操作如何改變用于控制旁路能力的軟件和／或硬件配置。所需的檢測(cè)規(guī)程檢測(cè)人員應(yīng)核實(shí)如果改變用于控制自啟動(dòng)密碼服務(wù)能力的軟件和／或硬件的配置需要兩個(gè)獨(dú)立的內(nèi)部操作。安全級(jí)別｛接AY04.25}對(duì)于安全四級(jí)模塊，上述兩個(gè)獨(dú)立的內(nèi)部操作應(yīng)當(dāng)由兩個(gè)不同的操作員完成。所需的送檢文檔CY04.27.01：送檢單位的文檔中應(yīng)描述如何由兩個(gè)不同的操作員共同完成兩個(gè)獨(dú)立的內(nèi)部操作才能激活自啟動(dòng)密碼服務(wù)能力。所需的檢測(cè)規(guī)程檢測(cè)人員應(yīng)核實(shí)激活自啟動(dòng)密碼服務(wù)能力的內(nèi)部操作和步驟。檢測(cè)人員應(yīng)擔(dān)任兩個(gè)獨(dú)立操作員的身份：操作員1和操作員2。操作員1和操作員2分別完成兩個(gè)獨(dú)立的內(nèi)部操作，來(lái)核實(shí)可以激活自啟動(dòng)密碼服務(wù)能力。然后由操作員1完成兩個(gè)獨(dú)立的內(nèi)部操作，來(lái)核實(shí)不能激活自啟動(dòng)密碼服務(wù)能力。GM／T0039—2015安全級(jí)別｛如果密碼模塊實(shí)現(xiàn)了自啟動(dòng)密碼服務(wù)能力，那么｝模塊應(yīng)當(dāng)顯示其狀態(tài)以指示自啟動(dòng)密碼服務(wù)能力是否被激活。所需的送檢文檔CY04.28.01：送檢單位的文檔應(yīng)描述如何指示自啟動(dòng)密碼服務(wù)能力是否被激活的狀態(tài)。所需的檢測(cè)規(guī)程檢測(cè)人員應(yīng)核實(shí)密碼模塊具備狀態(tài)指示，可以明確表示自啟動(dòng)密碼服務(wù)能力是否被激活的狀態(tài)。安全級(jí)別如果密碼模塊具有加載外部軟件或固件的能力，那么應(yīng)當(dāng)滿足下列要求｛注：本條款不單獨(dú)進(jìn)行檢測(cè)。安全級(jí)別加載的軟件或固件應(yīng)當(dāng)在加載之前經(jīng)過(guò)審驗(yàn)機(jī)構(gòu)的審驗(yàn)，以維持審驗(yàn)效力。所需的送檢文檔CY04.30.01：送檢單位提供加載的軟件或固件的文件清單和說(shuō)明。CY04.30.02：送檢單位應(yīng)提供審驗(yàn)機(jī)構(gòu)提供的審驗(yàn)報(bào)告或證明。所需的檢測(cè)規(guī)程檢測(cè)人員應(yīng)核實(shí)清單中所包含的軟件和固件，具有審驗(yàn)機(jī)構(gòu)的審驗(yàn)報(bào)告。安全級(jí)別應(yīng)當(dāng)禁止通過(guò)數(shù)據(jù)輸出接口輸出數(shù)據(jù)，直到軟件／固件加載完成以及加載測(cè)試成功通過(guò)。所需的送檢文檔CY04.31.01：送檢單位的文檔中應(yīng)描述在加載及加載測(cè)試過(guò)程中禁止數(shù)據(jù)輸出的過(guò)程。所需的檢測(cè)規(guī)程檢測(cè)人員應(yīng)核實(shí)在軟件／固件加載以及加載測(cè)試成功通過(guò)前，密碼模塊的數(shù)據(jù)輸出接口禁止輸出數(shù)據(jù)。安全級(jí)別在運(yùn)行加載的代碼之前應(yīng)當(dāng)執(zhí)行｛GM／T0028—2014}7.中規(guī)定的軟件／固件加載條件自測(cè)試。所需的送檢文檔CY04.32.01：送檢單位的文檔中應(yīng)描述運(yùn)行加載的軟件／固件的操作步驟和方法。CY04.32.02：送檢單位的文檔中應(yīng)說(shuō)明在運(yùn)行加載的代碼之前執(zhí)行了GM/T0028—2014的7.10.3.4中規(guī)定的軟件／固件加載條件自測(cè)試，并描述操作步驟和方法。所需的檢測(cè)規(guī)程檢測(cè)人員應(yīng)核實(shí)在軟件／固件加載條件自測(cè)試成功通過(guò)前，加載的代碼應(yīng)不能運(yùn)行；條件自測(cè)試成功通過(guò)后，加載的代碼應(yīng)可以運(yùn)行。安全級(jí)別密碼模塊應(yīng)當(dāng)拒絕運(yùn)行任何已經(jīng)加載的或已被修改的核準(zhǔn)的安全功能，直到成功執(zhí)行｛GM／T0028—2014}中規(guī)定的運(yùn)行前自測(cè)試。所需的送檢文檔CY04.33.01：送檢單位提供的文檔中應(yīng)說(shuō)明任何已經(jīng)加載的或已被修改的核準(zhǔn)的安全功能在運(yùn)行之前，應(yīng)該成功執(zhí)行GM/T0028—2014的7.10.2中規(guī)定的運(yùn)行前自測(cè)試。GM／T0039—2015CY04.33.02：送檢單位的文檔中應(yīng)描述運(yùn)行前自測(cè)試的方法和步驟。所需的檢測(cè)規(guī)程檢測(cè)人員應(yīng)核實(shí)在軟件／固件運(yùn)行前自測(cè)試成功通過(guò)前，任何已經(jīng)加載的或已被修改的核準(zhǔn)的安全功能應(yīng)不能運(yùn)行。安全級(jí)別應(yīng)當(dāng)修改模塊的版本信息，以表示增加和／或更新了最新加載的｛GM／T0028—2014}中的軟件或固件。所需的送檢文檔CY04.34.01：送檢單位的文檔中應(yīng)描述運(yùn)行加載的軟件／固件的版本信息。CY04.34.02：送檢單位的文檔中應(yīng)描述獲取模塊版本信息的方法和步驟。所需的檢測(cè)規(guī)程檢測(cè)人員在軟件或固件加載前后，分別獲取模塊的版本信息，核實(shí)密碼模塊的版本信息按照GM/T0028—2014的7.4.3中規(guī)定進(jìn)行了增加和／或更新。安全級(jí)別如果新軟件或固件的加載是鏡像的完全替換，它應(yīng)當(dāng)構(gòu)成一個(gè)全新的模塊，需要由審