GB/T 33565-2024 网络安全技术 无线局域网接入系统安全技术要求

ICS35030

CCSL.80

中华人民共和国国家标准

GB/T33565—2024

代替GB/T33565—2017

网络安全技术无线局域网接入系统

安全技术要求

Cybersecuritytechnology—Securitytechnologyrequirementsfor

wirelesslocalareanetworkaccesssystem

2024-04-25发布2024-11-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T33565—2024

目次

前言

…………………………Ⅴ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

………………

31

缩略语

4……………………2

无线局域网接入系统

5……………………2

概述

5.1…………………2

边界

5.2TOE……………3

安全问题

6…………………3

威胁

…………………

6.13

未授权管理

6.1.1(T.UNAUTHORIZED_MANAGEMENT)……3

未授权访问

6.1.2(T.UNAUTHORIZED_ACCESS)……………3

加密破解

(_)………

6.1.3T.CRYPTOGRAPHYCOMPROMISE4

管理口令破解

6.1.4(T.ADMINISTRATOR_PASSWORD_CRACKING)………4

弱终端认证

6.1.5(T.WEAK_AUTHENTICATION_ENDPOINTS)……………4

安全凭证受损

(__)…………

6.1.6T.SECURITYCREDENTIALCOMPROMISE4

更新受损

6.1.7(T.UPDATE_COMPROMISE)……………………4

网络暴露

6.1.8(T.NETWORK_DISCLOSURE)…………………4

安全功能失效

(__)…………

6.1.9T.SECURITYFUNCTIONALITYFAILURE4

不可信信道

6.1.10(T.UNTRUSTED_COMMUNICATION_CHANNELS)……4

重放攻击

6.1.11(T.REPLAY_ATTACK)…………4

未知活动

(_)………………

6.1.12T.UNDETECTEDACTIVITY4

残留信息利用

6.1.13(T.RESIDUAL_DATA_EXPLOIT)………5

资源消耗

6.1.14(T.RESOURCE_EXHAUSTION)………………5

网络劫持

6.1.15(T.HIJACK_ATTACK)…………5

组织安全策略

6.2………………………5

接入告知

6.2.1(P.ACCESS_BANNER)……………5

密码管理

6.2.2(P.CRYPTOGRAPHY_MANAGEMENT)………5

认证应用

6.2.3(P.AUTHENTICATION_USAGE)………………5

假设

6.3…………………5

物理保护

6.3.1(A.PHYSICAL_PROTECTION)…………………5

有限功能

6.3.2(A.LIMITED_FUNCTIONALITY)………………5

连接

6.3.3(A.CONNECTION)……………………5

Ⅰ

GB/T33565—2024

可信管理员

6.3.4(A.TRUSTED_ADMINISTRATOR)…………5

定期更新

6.3.5(A.REGULAR_UPDATES)………5

管理员凭证安全

6.3.6(A.ADMINISTRATOR_CREDENTIALS_SECURE)…6

组件正常运行

6.3.7(A.COMPONENTS_RUNNING)……………6

无遗留信息

6.3.8(A.NO_REMAINING_INFORMATION)……6

安全目的

7…………………6

安全目的

7.1TOE………………………6

加密功能

(_)…………

7.1.1O.CRYPTOGRAPHICFUNCTIONS6

身份验证

7.1.2(O.AUTHENTICATION)…………6

自检

7.1.3(O.SELF_TEST)…………6

系统监测

7.1.4(O.SYSTEM_MONITORING)……………………6

管理员

7.1.5TOE(O.TOE_ADMINISTRATOR)………………6

可信信道

7.1.6(O.TRUSTED_CHANNEL)………6

资源管理

(_)………………

7.1.7O.RESOURCEMANAGEMENT6

残留信息清除

7.1.8(OE.RESIDUAL_INFORMATION_ERASE)………………7

可信更新

7.1.9(O.TRUSTED_UPDATE)…………7

分布式管理

(_)………

7.1.10O.DISTRIBUTEDMANAGEMENT7

访问控制

7.1.11(O.ACCESS_CONTROL)………7

环境安全目的

7.2………………………7

物理

()………………………

7.2.1OE.PHYSICAL7

非通用功能

7.2.2(OE.NO_GENERAL_PURPOSE)……………7

管理员可信

7.2.3(OE.ADMINISTRATOR_TRUSTED)………7

更新机制

(_)…………………

7.2.4OE.UPDATEMECHANISM7

管理员凭证安全

7.2.5(OE.ADMINISTRATOR_CREDENTIALS_SECURE)…7

组件可用性

7.2.6(OE.COMPONENTS_SERVICEABILITY)…………………7

遗留信息清除

(__)……………

7.2.7OE.REMAININGINFORMATIONERASE8

连接

7.2.8(OE.CONNECTIONS)…………………8

可信时间

7.2.9(OE.TIME)…………8

安全要求

8…………………8

安全功能要求

8.1………………………8

安全功能要求分级

8.1.1……………8

安全审计

8.1.2(FAU)………………11

密码支持

8.1.3(FCS)………………13

用户数据保护

8.1.4(FDP)…………15

标识和鉴别

8.1.5(FIA)……………16

安全管理

8.1.6(FMT)………………18

保护

8.1.7TSF(FPT)………………20

Ⅱ

GB/T33565—2024

访问

8.1.8TOE(FTA)……………22

可信路径信道

8.1.9/(FTP)………………………23

资源利用和通信

8.1.10(FRU)(FCO)……………25

安全保障要求

8.2………………………25

基本原理

9…………………25

安全目的基本原理

9.1…………………25

安全要求基本原理

9.2…………………26

组件依赖关系基本原理

……………

9.329

附录规范性分布式无线局域网接入系统组件安全功能要求分配关系

A()…………33

附录规范性无线局域网接入系统安全功能要求对应的可审计事件

B()……………36

参考文献

……………………38

Ⅲ

GB/T33565—2024

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

。

本文件代替信息安全技术无线局域网接入系统安全技术要求评估保障级

GB/T33565—2017《(

级增强与相比除结构调整和编辑性改动外主要技术变化如下

2)》,GB/T33565—2017,,:

更改了范围见第章年版的第章

a)TOE(5,20176);

更改了无线局域网接入系统面临的威胁包括类威胁项组织安全策略和个假设见第

b),15、38(

章年版的第章

,);

620177

更改了安全目的和环境安全目的包括项的安全目的项环境安全目的

c)“TOE”“”,11TOE,9

见第章年版的第章

(7,20178);

更改了无线局域网接入系统安全功能要求包括类项安全功能要求见年版

d),1081(8.1,2017

的第章第章

9、10);

根据无线局域网接入系统技术发展更改了最新安全保障要求见年版的

e),(8.2,20179.2);

增加了基本原理包括安全问题与安全目的安全目的与安全要求间的对应关系和组件间的

f)“”,、

依赖关系见第章

()。

9

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由全国网络安全标准化技术委员会提出并归口

(SAC/TC260)。

本文件起草单位中国信息安全测评中心中国科学院信息工程研究所中车工业研究院有限公司

:,、、

北京交通大学华为技术有限公司西安西电捷通无线网络通信股份有限公司公安部第一研究所中国

、、、、

电子技术标准化研究院北京天融信网络安全技术有限公司深信服科技股份有限公司郑州信大捷安

、、、

信息技术股份有限公司长扬科技北京股份有限公司深圳市信锐网科技术有限公司北京路云天网

、()、、

络安全技术研究院有限公司西安交大捷普网络科技有限公司中孚信息股份有限公司国网区块链科

、、、

技北京有限公司中国网络安全审查技术与认证中心新华三技术有限公司中国电力科学研究院有

()、、、

限公司

。

本文件主要起草人吴润浦李美聪龙刚郭涛陈冬青邵帅樊玉明刘琦刘吉强王伟田寅

:、、、、、、、、、、、

王剑王俊勇季晨荷张变玲朱振荣张东举寇增杰安高峰鲍旭华叶润国马红丽韩秀德赵华

、、、、、、、、、、、、、

赖国强何建锋范伟弥宝鑫朱大立张亮韩继登高金萍孙鹏科侯梦云杨珂申永波万晓兰

、、、、、、、、、、、、、

王海翔

。

本文件及其所代替文件的历次版本发布情况为

:

年首次发布为

———2017GB/T33565—2017;

本次为第一次修订

———。

Ⅴ

GB/T33565—2024

网络安全技术无线局域网接入系统

安全技术要求

1范围

本文件规定了无线局域网接入系统的安全功能要求和安全保障要求给出了无线局域网接入系统

,

面临安全问题的说明

。

本文件适用于无线局域网接入系统的测试评估和采购以及指导该类产品的研制和开发

、,。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

。,

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

,;,()

本文件

。

信息技术系统间远程通信和信息交换局域网和城域网特定要求第部

GB15629.1111

分无线局域网媒体访问控制和物理层规范

:

网络安全技术信息技术安全性评估准则第部分简介和一般模型

GB/T18336.1—20241:

网络安全技术信息技术安全性评估准则第部分安全功能要求

/—:

GBT18336.220242

网络安全技术信息技术安全性评估准则第部分安全保障要求

GB/T18336.3—20243:

信息安全技术术语

GB/T25069—2022

信息安全技术公钥基础设施远程口令鉴别与密钥建立规范

/—

GBT322132015

信息安全技术二元序列随机性检测方法

GB/T32915—2016

信息安全技术椭圆曲线公钥密码算法第部分密钥交换协议

GB/T32918.3—2016SM23:

信息安全技术密码算法使用规范

GB/T35276—2017SM2

信息安全技术信息系统密码应用基本要求

GB/T39786—2021

3术语和定义

和界定的以及下列术语和定义适用于本文件

GB/T25069—2022GB/T18336.1—2024。

31

.

无线局域网接入系统wirelesslocalareanetworkaccesssystemWLANaccesssystem

;

能实现无线局域网客户端接入无线局域网络的由软件和硬件构成的设备或者系统

,。

32

.

接入控制器accesscontroller

实现无线局域网客户端接入无线局域网络的控制设备

。

33

.

访问点accesspoint

一种提供无线局域网客户端与有线网络之间的访问在无线网络和有线网络之间转发帧的网络接

,

1

GB/T33565—2024

口设备

。

4缩略语

下列缩略语适用于本文件

。

接入控制器

AC:(AccessController)

访问点

AP:(AccessPoint)

评估保障级

EAL:(EvaluationAssuranceLevel)

保护轮廓

PP:(ProtectionProfile)

安全功能策略

SFP:(SecurityFunctionPolicy)

安全功能要求

:()

SFRSecurityFunctionalRequirement

评估对象

TOE:(TargetofEvaluation)

评估对象安全功能

:()

TSFTOESecurityFunctions

评估对象安全策略

TSP:(TOESecurityPolicy)

无线局域网鉴别与保密基础结构

WAPI:(WLANAuthenticationandPrivacyInfrastructure)

无线局域网接入系统

WAS:(WLANAccessSystem)

无线局域网

WLAN:(WirelessLocalAreaNetwork)

5无线局域网接入系统

51概述

.

无线局域网接入系统是一种基于和系列标准中协议族构建的由软件和

IEEE802.11GB15629.11

硬件构成的设备或者系统