鉴于要保护敏感数据的价值不一样及应用环境的多样性,密码模块在安全方面的要求也有很大差异。为了满足不同等级敏感信息和不同应用环境的安全需求,FIPS 140将密码模块的安全级别分为4级,由低到高依次为Level 1、Level 2、Level 3、Level 4。
1.Level 1
Level 1提供最低级别的安全性。在Level 1中,基本没有产品级元器件之外的安全控制功能。Level 1允许一个密码模块的软件与固件成分,在一般用途的计算系统上运行(操作系统可能未经安全验证)。Level 1密码设备适合一些低安全要求的应用,此时诸如物理安全、网络安全、管理程序安全限制等安全控制手段很有限或根本不存在。
2.Level 2
Level 2加强了Level 1密码模块在物理结构上的安全要求,通过提供能够识别的入侵证据,以防止明显的破坏。这些可以识别的入侵证据包括:可识别入侵的涂层或密封、在可移动的盖子或门上加锁等,并且只有破坏涂层、密封等物理防护手段,才能从物理上进入密码模块组件内部,从而获取密钥明文等关键参数。
Level 2要求至少基于角色的验证机制。通过该验证机制,密码模块可验证操作员的角色与权限。
3.Level 3
Level 3除了要求Level 2的物理结构外,还要求防止对密码模块内部所控制的关键安全参数过程的攻击。对企图通过物理登陆、使用或篡改密码模块的攻击活动,密码模块能检测并及时做出反应,当可移动的门或盖子被非法打开时能清除密码模块中的明文关键安全参数。
Level 3要求基于身份识别的验证机制,通过此验证机制,密码模块可验证操作员的身份、角色与权限。
Level 3要求明文关键参数的输入和输出时,所使用的端口必须与其他端口物理上分开,或用其他可信的方式进行逻辑分离。关键安全参数可以以密文的方式从密码模块输入或输出。
4.Level 4
Level 4是最高级别的安全要求。在此级别上,物理安全机制需要一个完整的保护封装。与Level 3相比, Level 4对物理入侵的要求更为严格,对贯穿封装的任意方向攻击进行高灵敏度的检测,并能立即清除全部在密码模块中的明文关键参数。
Level 4的密码模块可以在物理上无防护的环境中操作使用。这要求密码模块既能够适应正常的操作范围环境需求(如温度、电压),又能检测具有风险的环境波动并清除关键安全参数。