我们一起来学习CC认证之GP TEE PP保护轮廓(一)

前面介绍过CC认证相关,请查看:

跟我来了解CC认证!(全球最顶级的产品安全认证标准)

PP,也就是protect profile。

所谓安全保护轮廓(PP),具体来说,就是为了满足一系列的安全目标而提出的一整套相对应的功能和保证需求。PP是ST的纲领性文件,是后续工作的总纲。本文以及后续文章将以可信执行环境TEE为例进行说明。

PP描述了实际的安全方法,为开发者提供了一套开发的基础标准,并且以安全评估方法学的方式描述了一些很好的安全配置方法,为安全测试评估者提供了评估的标准。PP是后续工作的基础。也就是说TEE的架构系统设计之前必须按照PP定义的来进行,这一点恐怕都不现实,只有后期按照设计来补文档,按照要来补设计啦!这是最关键的一个文档。

因为,所有用户,包括测试人员、认证专家、开发者都必须基于此文档来,而且只需要参考这个基础文档来进行ST文档描述。所以必须保证文档语义的准确性。必须明确描述安全保护的原理。

PP需要定义评估对象(TOE),满足了TOE的安全需求,也就意味着满足了安全的需求,因此必须明确定义TOE。

对于TEE PP来说,TOE是一个执行环境,与其他环境是隔离的,包括通常所说的REE以及之上的应用。TOE控制着一系列TA,提供一系列全面的安全服务包括:执行的完整性,与REE端CA运行的安全通信,可信存储,秘钥管理,加解密算法,时间管理和大数运算等API。

“用户能够不参考任何特定的TOE去构造或引用一个PP来描述他们自己的IT安全需要”这句话的理解是,测试系统的安全性不应参考特定的测试模型案例,也就是说不能测试某些特定案例就说明系统是安全的。

PP可以是由用户来制定,也可以是由产品研发方来制定,同时也可以由任何其它对此感兴趣的机构来制定。PP给予了用户一种查阅特殊安全需求的方式,同时也使将来对这些需求进行评估变得简单易行。例如我们TEE行业里的PP文档目前是GP来制定的。

在完成PP后,下一个文档就是ST,安全目标ST是PP中所描述的TOE的安全需求的细化,而且必须一致。

下图中PP的结构图是一般框图。

具体到TEE PP来说,我们需要定义描述TOE,也就是TEE的描述,以及对于安全问题的定义,安全目标的描述。

原文发布于微信公众号 - 安智客(china_safer)

原文发表时间:2017-09-15

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏带你撸出一手好代码

做游戏与web的区别 - 服务器篇【1】

在一间游戏公司的两个部门待过, 前一个部门以做web开发为主,后一个部门做游戏开发,我在两边都是做后端的。

2472
来自专栏我是攻城师

20件程序员必须知道的事

3677
来自专栏Java帮帮-微信公众号-技术文章全总结

测试与测试用例【面试+工作】

软件测试的流程可分为:需求分析,测试计划,测试用例设计,测试用例执行,BUG提交分析,测试报告的编写。

2682
来自专栏斑斓

如何在咨询项目开展Inception

本文通过我在咨询工作中的真实案例讲解了如何将敏捷开发的Inception与可视化咨询手段结合。2014初,我作为咨询师为客户提供咨询服务,负责一个新项目的敏捷咨...

3224
来自专栏全华班

微信公众号、小程序、接口统一集成开发平台框架

RhaPHP微信平台管理系统,支持多公众号管理,小程序开发,APP接口开发、几乎集合微信功能,简洁、快速上手、快速开发微信各种各样应用。简洁、好用、快速、项目开...

5612
来自专栏云计算D1net

影响云计算性能因素剖析

如今出现了很多基于云计算技术的各种云服务,可是如何去衡量一个云服务的好与差,并没有很清晰的标准。其实,对于云服务,一定程度上是由云计算技术的性能所决定的。说到性...

3236
来自专栏流柯技术学院

性能测试之吞吐量

我们每天的生活中都在用水用电,我只会关心自己的水管是否有水,水压是否稳定,如果我们把水龙头拧到最大,还是一滴一滴的流水。那我们就要愤怒了,直接找房东问明情况。我...

4584
来自专栏PPV课数据科学社区

【译文】怎样学习R(上)

有奖转发活动 回复“抽奖”参与《2015年数据分析/数据挖掘工具大调查》有奖活动。 ? 何品言翻译,广东科技学院大学生,喜欢R语言和数据科学。 王陆勤审核,从事...

3556
来自专栏Python中文社区

Django开发之简书推荐作者可视化

專 欄 ❈ 罗罗攀,Python中文社区专栏作者 专栏地址: http://www.jianshu.com/u/9104ebf5e177 ❈ 折腾了几天,终...

2858
来自专栏Kirito的技术分享

以Dubbo为例,聊聊如何为开源项目做贡献

Github 上有众多优秀的开源项目,大多数 IT 从业者将其当做了予取予求的工具库,遇到什么需求,先去 Github 搜一把,但有没有想过有一天自己也可以给开...

1403

扫码关注云+社区

领取腾讯云代金券