GB/T 33563-2024 网络安全技术 无线局域网客户端安全技术要求

ICS35030

CCSL.80

中华人民共和国国家标准

GB/T33563—2024

代替GB/T33563—2017

网络安全技术

无线局域网客户端安全技术要求

Cybersecuritytechnology—

Securitytechnologyrequirementsforwirelesslocalareanetworkclient

2024-04-25发布2024-11-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T33563—2024

目次

前言

…………………………Ⅲ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

………………

31

缩略语

4……………………2

无线局域网客户端描述

5…………………2

安全问题

6…………………3

威胁

6.1…………………3

未授权访问

6.1.1(T.UNAUTHORIZED_ACCESS)………………3

安全功能失效

(__)…………

6.1.2T.SECURITYFUNCTIONALITYFAILURE3

残留信息利用

6.1.3(T.RESIDUAL_DATA_EXPLOIT)…………4

逻辑接口攻击

6.1.4(T.LOGICAL_INTERFACE_ATTACK)…………………4

网络窃听

(_)…………………

6.1.5T.NETWORKEAVESDROP4

网络攻击

6.1.6(T.NETWORK_ATTACK)………4

未检测的行为

6.1.7(T.UNDETECTED_ACTIONS)……………4

组织安全策略

………………………

6.24

密码管理

6.2.1(P.CRYPTO_MANAGEMENT)…………………4

认证管理

6.2.2(P.AUTH_MANAGEMENT)……………………4

假设

…………………

6.34

可信的人员

6.3.1(A.TRUSTED_PERSON)………4

正确的连接

6.3.2(A.NO_TOE_BYPASS)…………4

可靠的平台

(_)…………………

6.3.3A.TRUSTEDPLATFORM4

正确的配置

6.3.4(A.SPECIFICATIONCONFIGURATION)…………………5

安全目的

7…………………5

无线局域网客户端安全目的

7.1………………………5

经认证的通信

7.1.1(O.AUTH_COMM)…………5

加密功能

7.1.2(O.CRYPTOGRAPHIC_FUNCTIONS)…………5

自检

7.1.3(O.SELF_TEST)…………5

系统监控

7.1.4(O.SYSTEM_MONITORING)……………………5

管理

7.1.5TOE(O.TOE_ADMINISTRATION)…………………5

无线连接

7.1.6AP(O.WIRELESS_ACCESS_POINT_CONNECTION)………5

可信信道

7.1.7(O.TRUSTED_CHANNEL)………5

访问控制

7.1.8(O.ACCESS_CONTROL)…………5

Ⅰ

GB/T33563—2024

逻辑攻击抵抗

7.1.9(O.LOGICATTACK_PREVENTION)……5

环境安全目的

7.2………………………6

可信人员

7.2.1(OE.TRUSTED_PERSON)………6

不可绕过

7.2.2TOE(OE.NO_TOE_BYPASS)……………………6

平台

7.2.3(OE.PLATFORM)………………………6

配置

7.2.4(OE.CONFIG)……………6

安全要求

8…………………6

安全功能要求

………………………

8.16

安全功能要求分级

8.1.1……………6

安全审计

8.1.2(FAU)………………7

密码支持

8.1.3(FCS)…………………8

标识与鉴别

8.1.4(FIA)………………9

安全管理

8.1.5(FMT)………………10

保护

()………………

8.1.6TSFFPT11

访问和可信路径信道

8.1.7TOE(FTA)/(FTP)…………………12

用户数据保护

8.1.8(FDP)…………13

安全保障要求

………………………

8.214

基本原理

9…………………14

安全目的基本原理

9.1…………………14

安全要求基本原理

…………………

9.214

组件依赖关系基本原理

9.3……………16

参考文献

……………………18

Ⅱ

GB/T33563—2024

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

。

本文件代替信息安全技术无线局域网客户端安全技术要求评估保障级

GB/T33563—2017《(2

级增强与相比除结构调整和编辑性改动外主要技术变化如下

)》,GB/T33563—2017,,:

更改了范围见第章年版的第章

a)TOE(5,20176);

更改了无线局域网客户端面临的威胁包括类威胁项组织安全策略和个假设见第

b),7、24(6

章年版的第章

,);

20177

更改了安全目的和环境安全目的包括项的安全目的项环境安全目的

c)“TOE”“”,9TOE,4

见第章年版的第章

(7,20178);

更改了无线局域网客户端安全功能要求包括类项安全功能要求见年版的第

d),833(8.1,2017

章第章

9、10);

更改了无线局域网客户端安全保障要求见年版的

e)(8.2,20179.2);

增加了基本原理包括安全问题与安全目的安全目的与安全要求间的对应关系和组件间的

f)“”,、

依赖关系见第章

()。

9

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由全国网络安全标准化技术委员会提出并归口

(SAC/TC260)。

本文件起草单位中国信息安全测评中心中国科学院信息工程研究所北京交通大学中车工业研

:、、、

究院有限公司西安西电捷通无线网络通信股份有限公司公安部第一研究所中国电子技术标准化研

、、、

究院北京天融信网络安全技术有限公司深信服科技股份有限公司郑州信大捷安信息技术股份有限

、、、

公司长扬科技北京股份有限公司深圳市信锐网科技术有限公司北京路云天网络安全技术研究院

、()、、

有限公司西安交大捷普网络科技有限公司中孚信息股份有限公司国网区块链科技北京有限公司

、、、()、

中国网络安全审查技术与认证中心新华三技术有限公司中国电力科学研究院有限公司

、、。

本文件主要起草人陈冬青张亮韩继登郭涛邵帅吴润浦李美聪刘琦樊玉明王伟刘吉强

:、、、、、、、、、、、

王剑唐海川王俊勇张变玲朱振荣张东举寇增杰安高峰鲍旭华叶润国马红丽韩秀德赵华

、、、、、、、、、、、、、

赖国强何建锋朱大立范伟弥宝鑫龙刚高金萍孙鹏科侯梦云杨珂申永波万晓兰王海翔

、、、、、、、、、、、、。

本文件及其所代替文件的历次版本发布情况为

:

年首次发布为

———2017GB/T33563—2017;

本次为第一次修订

———。

Ⅲ

GB/T33563—2024

网络安全技术

无线局域网客户端安全技术要求

1范围

本文件规定了无线局域网客户端的安全功能要求和安全保障要求给出了无线局域网客户端面临

,

安全问题的说明

。

本文件适用于无线局域网客户端产品的测试评估和采购以及指导该类产品的研制和开发

、,。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

。,

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

,;,()

本文件

。

信息技术系统间远程通信和信息交换局域网和城域网特定要求第部

GB15629.1111

分无线局域网媒体访问控制和物理层规范

:

网络安全技术信息技术安全性评估准则第部分简介和一般模型

GB/T18336.1—20241:

网络安全技术信息技术安全性评估准则第部分安全功能要求

/—:

GBT18336.220242

网络安全技术信息技术安全性评估准则第部分安全保障要求

GB/T18336.3—20243:

信息安全技术术语

GB/T25069—2022

信息安全技术二元序列随机性检测方法

/—

GBT329152016

信息安全技术信息系统密码应用基本要求

GB/T39786—2021

3术语和定义

界定的以及下列术语和定义适用于本

GB15629.11、GB/T18336.1—2024、GB/T25069—2022

文件

。

31

.

访问点accesspointAP

:

一种提供无线局域网客户端与有线网络之间的访问在无线网络和有线网络之间转发帧的网络接

,

口设备

。

32

.

认证服务器authenticationserver

无线局域网接入系统中用于身份认证的组件

。

33

.

无线局域网客户端wirelesslocalareanetworkclient

实现远程用户使用客户端机器与被接入网络建立无线通信的执行组件

。

1

GB/T33563—2024

4缩略语

下列缩略语适用于本文件

。

评估保障级

EAL:(EvaluationAssuranceLevel)

评估对象

TOE:(TargetofEvaluation)

评估对象安全功能

TSF:(TOESecurityFunctions)

无线局域网鉴别与保密基础结构

WAPI:(WLANAuthenticationandPrivacyInfrastructure)

无线局域网

WLAN:(WirelessLocalAreaNetwork)

5无线局域网客户端描述

本文件描述的无线局域网客户端是指基于协议族的无线局域网客户端设备通用计

,(

IEEE802.11

算机或者无线移动终端中用于连接无线局域网接入系统或其他设备进行安全数据传输的组件无线

),。

局域网客户端可通过无线局域网接入系统建立的被接入网络与用户设备之间的安全连接与无线局域

,

网接入系统一起保护所传输数据的完整性和机密性实现身份验证与访问接入

,WLAN。

一个典型的无线局域网客户端的运行环境如图所示

1。

图1无线局域网客户端示意图

本文件的仅包含通用操作系统或者移动设备中遵循协议规定的控制客户端设

TOEIEEE802.11

备实现接入流程的应用组件其部分功能可依赖于底层设备功能实现提供管理通道和

WLAN,。TOE

数据通道管理通道主要用于身份验证和访问控制数据通道负责数据传输提供的安全特性包

,,。TOE

括连接管理协议合规加密保护审计生成无线局域网客户端评估范围如图所示

、、、。2。

2

GB/T33563—2024

图2TOE评估范围

的评估通常需要与其主设备一起进行考虑合并至其主设备进行评估

TOE,。

本文件规定客户端安全技术要求分为三个等级

。

同时符合级安全功能要求和级安全保障要求主要应用于家庭个人

———:,、

EAL2+EAL2+EAL2

用户和有限商业应用

。

同时符合级安全功能要求和级安全保障要求主要应用于组织个人用

———EAL3:EAL3EAL3,、

户和一般商业

。

同时符合级安全功能要求和级安全保障要求主要应用于专有的高安全

———EAL4:EAL4EAL4,

等级领域

。

6安全问题

61威胁

.

611未授权访问T.UNAUTHORIZED_ACCESS

..()

威胁主体伪装成授权实体或通过授权用户跳板以获得对无线局域网客户端数据及其驱动应用等

、

可执行代码的未授权访问

。

612安全功能失效T.SECURITY_FUNCTIONALITY_FAILURE

..()

威胁主体利用安全功能失效在未认证的情况下使用或滥用安全功能以访问和修改设备数据关

,,、

键网络流量或者安全功能配置的安全机制通常是从受信任的初始机制构建出来的复杂机制集

。TOE

合初始机制的失效影响复杂机制的运行从而导致安全功能失效

,,。

3

GB/T33563—2024

613残留信息利用T.RESIDUAL_DATA_EXPLOIT

..()

威胁主体利用无线局域网客户端残留信息的处理缺陷在执行过程中对未删除的残留信息进行利

用以获取敏感信息或滥用无线局域网客户端的安全功能

,。

614逻辑接口攻击T.LOGICAL_INTERFACE_ATTACK

..()

威胁主体通过攻击无线局域网客户端逻辑接口非法地浏览修改或删除数据配置信息用

,、TSF、、

户数据或可执行代码等导致的安全功能无法正常工作

,TOE。

615网络窃听T.NETWORK_EAVESDROP

()

..

威胁主体对无线网络通信进行监听获得无线局域网客户端与其他设备交互的数据并可利用获取

,,

数据猜测数据或用户数据

TSF。

616网络攻击T.NETWORK_ATTACK

..()

威胁主体位于通信通道或网络基础设施的其他位置基于设备的客户端会启动与的通信或

,TOE

更改与其他端点之间的通信基于操作系统的客户端与运行在操作系统