《信息安全技术移动终端安全保护技术要求》.pdf

信息安全技术移动终端安全保护技术要求

1范围

本标准规定了移动终端的安全保护技术要求，包括安全问题、安全目的、安全功能要求和安全保障

要求。

本标准适用于移动终端的设计、开发、测试和评估。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T18336.1-2008信息技术安全技术信息技术安全性评估准则第1部分：简介和一般模型

NIAP,ProtectionProfileforMobileDeviceFundamentals,Version2.0,17.09.2014

3术语、定义和缩略语

3.1术语和定义

GB/T18336.1-2008中界定的以及下列术语、定义和缩略语适用于本文件。

3.1.1

移动终端mobiledevice

能够接入移动通信网，提供应用软件开发接口，并能够安装和运行第三方应用软件的移动终端。

3.1.2

移动终端用户mobiledeviceuser

使用移动终端，与移动终端进行交互并负责移动终端的物理控制和操作的对象。

3.1.3

用户数据userdata

由用户产生或为用户服务的数据，包括由用户在本地生成的数据、为用户在本地生成的数据、在用

户许可后由外部进入用户数据区的数据等。

3.1.4

应用软件applicationsoftware

移动终端操作系统之上安装的，向用户提供服务功能的软件。

1

3.1.5

访问控制accesscontrol

3.1.6

在用户身份经过认证后，根据预先设置的安全策略，授予用户相应权限的过程。

3.1.7

数字签名digitalsignature

附在数据单元后面的数据，或对数据单元进行密码变换得到的数据。允许数据的接收者验证数据的

3.1.8

漏洞vulnerability

漏洞是计算机信息系统在需求、设计、实现、配置、运行等过程中，有意或无意产生的缺陷。这些

缺陷以不同形式存在于计算机信息系统的各个层次和环节之中，一旦被恶意主体所利用，就会对计算机

信息系统的安全造成损害，从而影响计算机信息系统的正常运行。

3.2缩略语

下列缩略语适用于本文件。

ASLR地址空间布局随机化Addressspacelayoutrandomization

DEK数据加密密钥DataEncryptionKey

MDM移动终端管理MobileDeviceManagement

RBG随机数产生RandomBitGeneration

REK根加密密钥RootEncryptionKey

ST安全目标SecurityTarget

TLS传输层安全协议TransportLayerSecurity

TOE评估对象TargetofEvaluation

TSFTOE安全功能TOESecurityFunctionality

TSFITOE安全功能接口TSFInterface

WLAN无线局域网Wirelesslocalareanetwork

4移动终端概述

本标准的评估对象(TOE)是移动终端，由硬件平台和系统软件组成。该终端可以提供无线连接，以

及可能包括提供安全消息、电子邮件、网络、VPN连接、VoIP(IP语音)功能的软件，用于访问受保护的

数据和应用，以及与其他移动终端进行通信。移动终端的网络环境如图1所示。在该标准中，移动终端

包括智能手机、平板电脑和其他具有类似功能的移动终端。

2

图1移动终端的网络环境

移动终端提供必要的服务，如加密服务、静态数据保护以及密钥存储服务，以支持移动终端上应用

程序的安全操作。并执行额外的安全功能，如安全策略实施、应用的强制访问控制、抗开发功能、用户

认证和软件完整性保护，以应对安全威胁。该标准描述了由移动终端和服务器提供的必要安全服务，作

为安全移动架构的基础。

该标准描述了由移动终端和服务器提供的必要安全服务，作为安全移动架构的基础。如图2所示，

一个典型的架构应包括第三方或捆绑组件，提供：

——数据在传输过程中的保护(如VPN客户端,VoIP客户端,Web浏览器)；

——安全策略管理(如MDM系统)。

准进行验证。

图2可选的额外移动终端组件

5安全问题

5.1假设

5.1.1配置(A.CONFIG)

假设正确地配置了TOE的安全功能，以确保连接网络之间的所有网络通信都能执行TOE的安全策

略。

5.1.2通知(A.NOTIFY)

假设如果移动终端被盗或丢失，移动用户能够及时通知管理员。

5.1.3预防措施(A.PRECAUTION)

假设移动用户执行了预防措施，以减少丢失或失窃的移动终端的风险。

5.2安全威胁

5.2.1网络窃听（T.EAVESDROP）

攻击者位于无线通信信道或者网络中的任何地方处，监听或者截获移动终端与另一端点进行交互的

数据。

5.2.2网络攻击（T.NETWORK）

攻击者位于无线通信信道或者网络中的任何一点处，攻击者可以借助发起和移动终端的通信对其进

行攻击，或者借助更改移动终端和其他端点之间的通信对其进行攻击。这些攻击包括将恶意软件、恶意

网页或者邮件通过网络发送到终端。

5.2.3物理访问（T.PHYSICAL）

移动终端被盗或者丢失后，攻击者可通过对移动终端的物理接入获得终端设备上的数据。物理访问

的接入方式包括外部硬件接口、用户接口，或者直接进行破坏性地接入到终端的存储介质。

5.2.4恶意或有缺陷的应用（T.FLAWAPP）

移动终端上安装的应用程序可能包含恶意代码或者可利用的代码。这些代码可能是被开发者故意加

入的，或者是作为软件库的一部分被开发者无意中加入的。恶意应用程序可能会泄露它们已经访问的数

据。这些恶意或有缺陷的应用软件先攻击平台的系统软件，进而获得额外的权限来实施进一步的恶意行

为，这些恶意的行为包括控制终端的传感器，如GPS，摄像头，麦克风，以便收集用户的信息，然后将

这些信息发送到网络。有缺陷的应用软件可能会给攻击者进行基于网络攻击或者物理攻击的机会。

5.2.5持续攻击（T.PERSISTENT）

移动终端被攻击者持续占用意味着该终端已经失去了完整性，并且不能恢复它。移动终端被攻击者

持续访问，对移动终端自身构造了持续的威胁。在这种情况下，移动终端以及它上面的数据可以被攻击

者控制。

6安全目的

6.1TOE安全目的

6.1.1通信保护（O.COMMS）

为了应对网络窃听和网络攻击的威胁，对于在移动终端和远程网络实体之间通过无线方式传输用户

数据以及配置数据，需使用可信的通信路径。移动终端将能够使用下面标准协议中的一个或多个进行通

3

信：IPsec，DTLS，TLS，或HTTPS，实施该要求能提供互通性和抗密码攻击。

6.1.2存储保护（O.STORAGE）

为了应对丢失的移动终端中(T.PHYSICAL)用户数据保密性损失的问题，移动终端将使用静态数据

6.1.3移动终端安全策略配置（O.CONFIG）

为了确保移动终端对存储或处理的用户数据进行保护，移动终端将提供配置和应用被用户和管理者

定义的安全策略的能力。如果配置了安全策略，这些安全策略的应用必须优先于用户指定的安全策略。

为了应对丢失的移动终端中(T.PHYSICAL)用户数据保密性损失的问题，在访问受保护的功能和数

据之前，要求用户向终端输入一个鉴别因子。某些非敏感功能(例如，紧急呼叫，文本通知)可以在输入

认证因子之前进行访问。在终端丢失或被偷的情况下，将按照配置的非活动周期自动锁定终端，来确保

权的网络连接，来破坏终端的完整性。

6.1.5移动终端完整性（O.INTEGRITY）

为了确保移动终端的完整性，移动终端将执行自测试来确保关键功能、软件/固件和数据的完整性。

这些自测试的任何故障都应通知用户。为了应对包含恶意或有缺陷代码的应用程序问题(T.FLAWAPP)，

在移动终端上安装/执行目标程序之前，应验证软件/固件下载更新的完整性。另外，操作系统应限制应

用程序只能访问系统服务和允许它们进行交互的数据。操作系统将通过随机内存布局，来进一步防止恶

6.2环境安全目的

6.2.1配置(OE.CONFIG)

TOE管理员应正确配置移动终端安全功能，来创建预定的安全策略。

6.2.2通知(OE.NOTIFY)

如果移动终端丢失或被盗，移动用户将立即通知管理员。

6.2.3预防措施(OE.PRECAUTION)

移动用户执行预防措施，以减少移动终端丢失或被盗的风险。

7安全功能要求

表1列出了移动终端安全功能要求组件，下述各条对各组件给出了详细说明。

表1安全功能要求组件

安全功能类安全功能要求组件编号

FAU_GEN.1审计数据产生1

FAU_SAR.1审计查阅2

FAU类：安全审计

FAU_SAR.2有限审计查阅3

FAU_SAR.3可选审计查阅4

4

FAU_SEL.1选择性审计5

FAU_STG.1受保护的审计迹存储6

FAU_STG.4防止审计数据丢失7

FCS_CKM.1.1(1)密钥生成8

FCS_CKM.1.1(2)密钥生成(WLAN)9

FCS_CKM.2.1(1)密钥建立10

FCS_CKM.2.1(2)密钥分发11

FCS_CKM_EXT.1密钥支持12

FCS_CKM_EXT.2数据加密密钥13

FCS_CKM_EXT.3密钥加密密钥14

FCS_CKM_EXT.4密钥销毁15

FCS_CKM_EXT.5TSF擦除16

FCS_CKM_EXT.6密码盐值生成17

FCS类：密码支持

FCS_COP.1密码运算18

FCS_HTTPS_EXT.1HTTPS协议19

FCS_IV_EXT.1初始向量生成20

FCS_RBG_EXT.1随机位生成器21

FCS_SRV_EXT.1密码算法服务22

FCS_STG_EXT.1密钥存储23

FCS_STG_EXT.2存储密钥的加密24

FCS_STG_EXT.3存储密钥的完整性25

FCS_TLSC_EXT.1EAP-TLS客户端协议26

FCS_TLSC_EXT.1TLS客户端协议27

FDP_ACF_EXT.1访问控制28

FDP_DAR_EXT.1静态数据保护29

FDP类：用户数据保护FDP_IFC_EXT.1子集信息流控制30

FDP_STG_EXT.1用户数据存储31

FDP_UPC_EXT.1TSF间用户数据传输保护32

FIA_AFL_EXT.1鉴别失败处理33

FIA_BLT_EXT.1蓝牙用户鉴别34

FIA_PAE_EXT.1端口访问实体鉴别35

FIA_PMG_EXT.1口令管理36

FIA_TRT_EXT.1鉴别节流37

FIA_UAU.7受保护的鉴别反馈38

FIA类：标识和鉴别

FIA_UAU_EXT.1加密运算的鉴别39

FIA_UAU_EXT.2鉴别的时机40

FIA_UAU_EXT.3重鉴别41

FIA_X509_EXT.1证书的验证42

FIA_X509_EXT.2证书鉴别43

FIA_X509_EXT.3证书的请求验证44

FMT类：安全管理FMT_MOF.1安全功能行为管理45

5

FMT_SMF.1管理功能规范46

FMT_SMF_EXT.1补救行为规范47

FPT_AEX_EXT.1抗开发服务(位址空间布局随机化)48

FPT_AEX_EXT.2抗开发服务(存储页权限)49

FPT_AEX_EXT.3抗开发服务(堆栈溢出保护)50

FPT_AEX_EXT.4域隔离51

FPT_KST_EXT.1密钥存储52

FPT_KST_EXT.2无密钥传输53

FPT类：TSF保护FPT_KST_EXT.3无明文密钥导出54

FPT_NOT_EXT.1自检提示55

FPT_TST_EXT.1TSF加密功能测试57

FPT_TST_EXT.2TSF完整性测试58

FPT_TUD_EXT.1可信更新：TSF版本查询59

FPT_TUD_EXT.2可信更新的验证60

FTA_SSL_EXT.1TSF和用户发起的锁定状态61

FTA类：TOE访问

FTA_WSE_EXT.1无线网络接入62

FTP类：可信路径/信道FTP_ITC_EXT.1可信通道通信63

7.1FAU类：安全审计

7.1.1审计数据产生(FAU_GEN.1)

FAU_GEN.1.1TSF应能为下述可审计事件产生可审计记录：

1）审计功能的启动和关闭；

2）可审计事件的最小集合；

3）[赋值：其他专门定义的可审计事件]。

FAU_GEN.1.2TSF应在每个审计记录中至少记录如下信息：

1）事件的日期和事件、事件的类型、事件的主体身份、事件的结果(成功或失败)；

7.1.2审计查阅(FAU_SAR.1)

表]的能力。

FAU_SAR.1.2TSF应以便于用户理解的方式提供审计记录。

7.1.3有限审计查阅(FAU_SAR.2)

FAU_SAR.2.1除具有明确读访问权限的用户外，TSF应禁止所有用户对审计记录的访问。

7.1.4可选审计查阅(FAU_SAR.3)

FAU_SAR.3.1TSF应根据[赋值：具有逻辑关系的标准]提供对审计数据进行[赋值：搜索、分类、

排序]的能力。

6

7.1.5选择性审计(FAU_SEL.1)

FAU_SEL.1.1TSF应能根据以下属性从审计事件集中包括或排除可审计事件：

1）[选择：用户身份，事件类型]

2）[赋值：审计选择所依据的附加属性表]

7.1.6受保护的审计迹存储(FAU_STG.1)

7.1.7防止审计数据丢失(FAU_STG.4)

FAU_STG.4.1如果审计迹已满，TSF应[选择，选取一个：“忽略可审计事件”、“阻止可审计事件，

存储失效时所采取的其他动作]。

7.2FCS类：密码支持

7.2.1密钥生成(FCS_CKM.1.1(1))

FCS_CKM.1.1(1)移动终端的安全功能应根据符合下列标准[赋值：标准列表]的一个特定的密钥生

成算法[赋值：密钥生成算法]和规定的密钥长度[赋值：密钥长度]来生成密钥。

7.2.2密钥生成(WLAN)(FCS_CKM.1.1(2))

FCS_CKM.1.1(2)移动终端的安全功能应使用FCS_RBG_EXT.1中规定的随机比特生成器，按照规

定的密钥生成算法[赋值：密钥生成算法]和规定的密钥大小[赋值：密钥长度]生

成密钥。

7.2.3密钥建立(FCS_CKM.2.1(1))

FCS_CKM.2.1(1)移动终端的安全功能应根据符合下列标准[赋值：标准列表]中的一个特定的密钥

建立方法[赋值：密钥建立方法]来执行密钥建立。

7.2.4密钥分发(FCS_CKM.2.1(2))

FCS_CKM.2.1(2)移动终端的安全功能应根据符合下列标准[赋值：标准列表]中的一个特定的密钥

分发方法[赋值：密钥分发方法]来分发密钥。

7.2.5密钥支持(FCS_CKM_EXT.1)

FCS_CKM_EXT.1.1移动终端的安全功能应支持[选择：硬件隔离，硬件保护]的密钥大小为[选择：

密钥长度]的根加密密钥。

FCS_CKM_EXT.1.2移动终端的安全功能上的系统软件应只能通过密钥请求[选择：加密/解密，密

钥分发]，不能够读取，导入，导出根加密密钥。

FCS_CKM_EXT.1.3应按照FCS_RBG_EXT.1的随机位生成器来生成根加密密钥。

7.2.6数据加密密钥(FCS_CKM_EXT.2)

FCS_CKM_EXT.2.1所有的数据加密密钥应按照[选择：密钥长度]AES密钥的安全强度对应的熵来

随机生成。

7

7.2.7密钥加密密钥(FCS_CKM_EXT.3)

FCS_CKM_EXT.3.1所有密钥加密密钥(KEKs)应为[赋值：密钥长度]密钥，至少相应于被KEK加密

的密钥的安全强度。

中导出所有密钥加密密钥。

7.2.8密钥销毁(FCS_CKM_EXT.4)

FCS_CKM_EXT.4.1移动终端的安全功能应按照规定的密钥销毁方法[选择：密钥销毁方法]销毁

密钥。

FCS_CKM_EXT.4.2移动终端的安全功能应销毁所有不再需要的明文密钥材料和关键安全参数。

7.2.9TSF擦除(FCS_CKM_EXT.5)

FCS_CKM_EXT.5.1移动终端的安全功能应按照规定的数据擦除方法[选择：数据擦除方法]擦除所

有受保护数据。

FCS_CKM_EXT.5.2移动终端的安全功能应在擦拭程序结束时重新启动。

7.2.10密码盐值生成(FCS_CKM_EXT.6)

FCS_CKM_EXT.6.1移动终端的安全功能应使用满足FCS_RBG_EXT.1的RBG生成所有的盐值。

7.2.11密码运算(FCS_COP.1)

FCS_COP.1.1(1)移动终端的安全功能应按照满足下列标准[赋值：标准列表]规定的密码算法[赋值：

密码算法]和密钥长度[赋值：密钥长度]执行加密/解密。

FCS_COP.1.1(2)移动终端的安全功能应按照满足下列标准[赋值：标准列表]规定的密码算法[赋值：

密码算法]和密钥长度[赋值：密钥长度]来执行[赋值：密码散列]。

FCS_COP.1.1(3)移动终端的安全功能应按照规定的密码算法[赋值：密码算法]执行密码签名服务

(生成和验证)。

FCS_COP.1.1(4)移动终端的安全功能应按照满足下列标准[赋值：标准列表]规定的密码算法[赋值：

密码算法]和密钥长度[赋值：密钥长度]来执行散列消息鉴别。

FCS_COP.1.1(5)移动终端的安全功能应按照下列标准[赋值：标准列表]规定的密码算法[赋值：密

码算法]和输出密钥长度[赋值：密钥长度]来执行基于口令的密钥导出算法。

7.2.12HTTPS协议(FCS_HTTPS_EXT.1)

FCS_HTTPS_EXT.1.1移动终端的安全功能应执行符合标准的HTTPS协议。

FCS_HTTPS_EXT.1.2移动终端的安全功能应执行使用TLS的HTTPS协议。

FCS_HTTPS_EXT.1.3如果对等证书被视为无效，移动终端的安全功能应通知应用程序和[选择：

7.2.13初始向量生成(FCS_IV_EXT.1)

FCS_IV_EXT.1.1移动终端的安全功能应按照规定的加密模式[赋值：加密模式]的要求来生成初始

向量。

7.2.14随机位生成器(FCS_RBG.1)

8

FCS_RBG_EXT.1.1移动终端的安全功能应产生TSF密码功能中所使用的所有随机数，随机数产生

7.2.15密码算法服务(FCS_SRV_EXT.1)

FCS_SRV_EXT.1.1移动终端的安全功能应向应用提供一种机制来请求TSF执行密码运算[赋值：密

码运算列表]。

7.2.16密钥存储(FCS_STG_EXT.1)

FCS_STG_EXT.1.1移动终端的安全功能应为非对称私钥和[选择：对称密钥，持久秘密，没有其他

密钥]提供[选择：硬件，硬件隔离，基于软件]的安全密钥存储。

FCS_STG_EXT.1.2移动终端的安全功能应能根据[选择：用户，管理员]和[选择：运行在TSF上的

应用，无其他项目]请求，将密钥/秘密导入到安全密钥存储中。

FCS_STG_EXT.1.3移动终端的安全功能应能根据[选择：用户，管理员]的请求，销毁存储在安全

密钥存储中的密钥/秘密。

FCS_STG_EXT.1.4移动终端的安全功能应只允许导入了密钥/秘密的应用才能使用密钥/秘密。例

FCS_STG_EXT.1.5移动终端的安全功能应只允许导入了密钥/秘密的应用才能请求销毁密钥/秘

7.2.17存储密钥的加密(FCS_STG_EXT.2)

FCS_STG_EXT.2.1移动终端的安全功能应通过KEKs加密所有的DEKs和KEKs和[选择：长期信任

的信道密钥材料，所有基于软件的密钥存储，没有其他密钥]，即是[选择：通

过REK利用[选择：由REK加密，由链接到REK的KEK加密]来保护，通过REK

和口令利用[选择：由REK和口令派生的KEK加密，由链接到REK的KEK和口令

派生KEK加密]来保护].

FCS_STG_EXT.2.2应使用下列标准[赋值：标准列表]规定的密码算法[赋值：密码算法]对DEKs和

KEKs和[选择：长期信任的信道密钥材料，所有基于软件的密钥存储，没有其

他密钥]进行加密。

7.2.18存储密钥的完整性(FCS_STG_EXT.3)

FCS_STG_EXT.3.1移动终端的安全功能应通过以下方式[赋值：方式列表]来保护DEKs和KEKs

和[选择：长期信任的信道密钥材料，所有基于软件的密钥存储，没有其他密

钥]的完整性。

FCS_STG_EXT.3.2在使用密钥之前，移动终端的安全功能应验证存储密钥的[选择：哈希，数字签

名，MAC]的完整性。

7.2.19EAP-TLS客户端协议(FCS_TLSC_EXT.1)

FCS_TLSC_EXT.1.1移动终端的安全功能应执行TLS1.0和[选择：TLS1.1,TLS1.2,没有其他TLS

版本]中支持的以下密码套件：[赋值：密码套件列表]。

FCS_TLSC_EXT.1.2移动终端的安全功能应验证服务器证书为EAP-TLS提供了[选择：链接到

指定的CAs中的一个，包括可接受的鉴别服务器证书的指定FQDN]。

FCS_TLSC_EXT.1.3如果对方的证书是无效的，移动终端的安全功能应不建立可信信道。

FCS_TLSC_EXT.1.4移动终端的安全功能应支持使用规定的证书来进行相互验证。

9

7.2.20TLS客户端协议(FCS_TLSC_EXT.2)

FCS_TLSC_EXT.2.1移动终端的安全功能应执行TLS1.2中支持的以下密码套件：[赋值：密码套件

列表]。

FCS_TLSC_EXT.2.1移动终端的安全功能应验证给出的标识与RFC6125规定的参考标识相匹配。

FCS_TLSC_EXT.2.3如果对方的证书是无效的，移动终端的安全功能应不建立可信信道。

FCS_TLSC_EXT.2.4移动终端的安全功能应支持使用规定的证书来进行相互验证。

7.3FDP类：用户数据保护

7.3.1访问控制(FDP_ACF_EXT.1)

FDP_ACF_EXT.1.1移动终端的安全功能应提供一种机制来限制应用程序访问系统服务。

FDP_ACF_EXT.1.2移动终端的安全功能应提供一种访问控制策略来防止[选择：应用程序，应用

程序组]访问[选择：应用程序，应用程序组]存储的[选择：全部，隐私]数据。

共享。

7.3.2静态数据保护(FDP_DAR_EXT.1)

FDP_DAR_EXT.1.1应加密所有受保护数据。

FDP_DAR_EXT.1.2应使用密钥大小为[选择:密钥长度]，模式为[选择:XTS,CBC,GCM]，密码算

法为[赋值：密码算法]的DEKs来执行加密。

7.3.3子集信息流控制(FDP_IFC_EXT.1)

FDP_IFC_EXT.1.2移动终端的安全功能应[选择：向VPN客户端提供一个接口以确保所有的IP流量

(而不是建立VPN连接所需的IP流量)流经IPSecVPN客户端，确保所有的IP流量

(而不是建立VPN连接所需的IP流量)流经IPSecVPN客户端]。

7.3.4用户数据存储(FDP_STG_EXT.1)

FDP_STG_EXT.1.1移动终端的安全功能应为信任锚数据库提供受保护的存储。

7.3.5TSF间用户数据传输保护(FDP_UPC_EXT.1)

FDP_UPC_EXT.1.1移动终端的安全功能应为运行在TOE上的非TSF应用提供一种方式来使用

TLS，HTTPS，蓝牙BR/EDR，和[选择：DTLS，蓝牙LE，其他协议]，为非TSF

应用和其他IT产品之间提供受保护的通信信道，该信道与其他通信信道是逻辑

隔离的，提供有保证的终端节点的鉴别，保护信道数据以免被泄露，并检测信

道数据的修改。

FDP_UPC_EXT.1.2移动终端的安全功能应允许非TSF应用通过可信信道发起通信。

7.4FIA类：标识和鉴别.

7.4.1鉴别失败处理(FIA_AFL_EXT.1)

FIA_AFL_EXT.1.1移动终端的安全功能应检测何时发生[赋值：正整数]次相对于该用户最后成功

鉴别的未成功鉴别尝试。

10

FIA_AFL_EXT.1.2当超过所定义的未成功鉴别尝试的次数，移动终端的安全功能应擦除所有受保

护的数据。

FIA_AFL_EXT.1.3移动终端的安全功能应在发生断电后保持不成功的鉴别尝试次数。

7.4.2蓝牙用户鉴别(FIA_BLT_EXT.1)

FIA_BLT_EXT.1.1移动终端的安全功能应在与其他蓝牙设备配对前要求进行用户鉴别。

7.4.3端口访问实体鉴别(FIA_PAE_EXT.1)

FIA_PAE_EXT.1对于“请求”角色中的端口访问实体，移动终端的安全功能应符合IEEE标准

802.1X。

7.4.4口令管理(FIA_PMG_EXT.1)

FIA_PMG_EXT.1.1TSF应支持以下口令鉴别因子：

1.口令应能够由[选择:大写和小写字母，[赋值：至少52个字母集合]]，数字

和特殊字符[选择：“!”,“@”,“#”,“$”,“%”,“^”,“&”,“*”,“(“,“)”,赋值：

其他字符]的任意组合来构成；

2.口令的长度应支持[赋值：大于等于14的整数]个字符。

7.4.5鉴别节流(FIA_TRT_EXT.1)

FIA_TRT_EXT.1.1移动终端的安全功能应通过[选择：防止通过外部接口鉴别，在不正确鉴别尝试

之间强加一个时延]来自动限制用户鉴别尝试。用户鉴别尝试连续失败次数不超

过10次，两次尝试间隔应不小于500毫秒。

7.4.6受保护的鉴别反馈(FIA_UAU.7)

FIA_UAU.7.1对于鉴别正在进行的用户，移动终端的安全功能应向终端的提供隐式显示。

7.4.7加密运算鉴别(FIA_UAU_EXT.1)

FIA_UAU_EXT.1.1在启动时，移动终端的安全功能应在解密受保护数据和加密DEKs、KEKs和[选

择：长期可信信道的密钥材料，所有基于软件的密钥存储，无其他密钥]之前，

要求用户给出口令鉴别因子。

7.4.8鉴别的时机(FIA_UAU_EXT.2)

FIA_UAU_EXT.2.1在用户被鉴别之前，移动终端的安全功能应允许执行代表用户的[选择：[赋值：

动作列表]，无其他动作]。

FIA_UAU_EXT.2.2在允许执行代表用户的任何其他TSF介导之前，移动终端的安全功能应要求每

个用户都已被成功鉴别。

7.4.9重鉴别(FIA_UAU_EXT.3)

FIA_UAU_EXT.3.1当用户更改口令鉴别因子时，移动终端的安全功能应要求用户输入正确的口令

鉴别因子，并按照TSF和用户发起的锁定过度到解锁状态，和[选择：[赋值：

其他条件]，无其他条件]。

11

7.4.10证书的验证(FIA_X509_EXT.1)

FIA_X509_EXT.1.1TSF应按照下面的规则验证证书：

国家标准或国际标准规定的证书验证和证书路径验证。

证书路径必须以信任锚数据库中的证书终止。

对于所有CA证书，TSF应通过确保basicConstraints扩展的存在和将CA

标志设置为TRUE来验证一个证书的路径。

移动终端的安全功能应使用[选择：规定的在线证书状态协议，规定的证

书撤销列表]来验证证书的吊销状态。

移动终端的安全功能应按照以下规则来验证extendedKeyUsage域：

o用于可信更新和执行代码完整性验证的证书应在extendedKeyUsage

域具有代码签名用途。

o在extendedKeyUsage域，提交给TLS的服务器证书应具有服务器验

证用途。

FIA_X509_EXT.1.2如果basicConstraints扩展存在以及CA标识设置为TRUE，移动终端的安全

功能应只把证书当作CA证书。

7.4.11X509证书鉴别(FIA_X509_EXT.2)

FIA_X509_EXT.2.1移动终端的安全功能应使用规定的证书来支持EAP-TLS交换鉴别，以及[选

择：IPsec,TLS,HTTPS,DTLS]]，和[选择：系统软件更新代码签名，移动应

用代码签名，完整性验证代码签名，[赋值：其他用途]，没有其他用途]。

FIA_X509_EXT.2.2当移动终端的安全功能无法建立连接以确定证书的有效性时，移动终端的安全

功能应[选择：允许管理员选择是否接受这些情况下的证书，允许管理员选择

是否接受这些情况下的证书，接受证书，不接受证书]。

7.4.12证书请求验证(FIA_X509_EXT.2)

FIA_X509_EXT.3.1移动终端的安全功能应向应用程序提供证书验证服务。

FIA_X509_EXT.3.2移动终端的安全功能应向请求的应用程序提供验证成功或失败的回应。

7.5FMT类：安全管理

7.5.1安全功能行为管理(FMT_MOF.1)

FMT_MOF.1.1移动终端的安全功能应限制用户执行表2第3列中功能的能力。

FMT_MOF.1.2当设备已注册并根据管理员的配置策略，移动终端的安全功能应限制管理员执行表

2第5列中功能的能力。

7.5.2管理功能规范(FMT_SMF_EXT.1)

FMT_SMF_EXT.1.1移动终端的安全功能应能够执行如下管理功能：

表2管理功能

12

..

.

TT

T

XX

X

EE

E

__

_

FF

F

OO

M

SMM

__GB/TXXXXX_XXXX

TT—T

MMM

FF管F

管理功能理

员

状态标记：

M—强制性的

O—可选的

1.口令配置策略：M-MM

a.最小口令长度

b.最小口令复杂度

c.最大更改口令间隔

2.锁定配置策略M-MM

a.屏幕锁的开启和关闭

c.最大允许解锁口令输入错误数

MOOO

3.开启/关闭VPN保护策略

a.基于整个设备进行配置

[选择：

b.基于每个应用进行配置

c.无其他方法]

4.开启/关闭[赋值：无线连接列表]

5.启用/禁用[赋值：音频或视频采集终端列表]M-MM

M-MO

6.配置安全功能允许连接的特定的无线网络(SSIDs)

7.为每个无线网络进行安全策略配置:M-MO

a.指定设备接受WLAN认证服务器验证的CA(s)，或指定可接受

WLAN认证服务器验证的FQDN(s)

b.指定安全类型的能力

c.指定认证协议的能力

d.指定认证时客户端凭证

M-M-

8.进入锁定状态的策略

9.受保护数据全擦除策略配置

10.应用安装策略配置M-MM

b.应用白名单[赋值：应用属性]

13

c.拒绝安装应用

11.将密钥/机密导入安全密钥存储策略MOO-

12.销毁安全密钥存储中密钥/机密和[选择：无其他密钥/机密，[赋值：MOO-

其他类密钥/机密的列表]]

13.将数字证书导入信任锚数据库策略

14.将信任锚数据库中导入的数字证书和[选择：无其他数字证书，[赋MOO-

值：其他类数字证书的列表]]

MMO-

15.将TOE加入管理

16.删除应用策略

17.系统软件更新策略

18.应用安装策略

19.删除应用策略

20.配置蓝牙可信信道策略：MOOO

a.开启/关闭发现模式(对于BR/EDR)

b.改变蓝牙设备名称

c.允许/不允许其他无线技术取代蓝牙

e.开启/关闭连接模式

f.开启/关闭设备上可用的蓝牙服务和/或配置

g.为每个配对指定最低的安全水平

h.带外配对的允许方法配置策略

21.锁定状态下提示显示的开启/关闭策略MOOO

a.Email提示

b.日历事件提醒

c.联系人来电提示

d.短消息提示

e.其他应用提示

f.所有提示

OOOO

22.开启/关闭所有通过[赋值：外部可访问硬件端口列表]的数据信令