国家标准项目《信息安全技术 密码模块安全检测要求》由 TC260（全国网络安全标准化技术委员会）归口 ，主管部门为国家标准委。

主要起草单位 北京握奇智能科技有限公司 、飞天诚信科技股份有限公司 、北京华大智宝电子系统有限公司 、北京海泰方圆科技有限公司 、国家密码管理局商用密码检测中心 、中国科学院数据与通信保护研究教育中心 、北京创原天地科技有限公司 、上海格尔软件股份有限公司 。

1.主要研究范围 密码模块检测要求标准的建设，就是为了形成密码模块统一的检测和测评标准，促使密码模块技术要求标准得到正确的执行，确保各家厂商在设计、研制密码模块时均按照可遵循的标准来实施。 检测标准内容主要包括模块端口与接口检测，角色、服务与认证检测，有限状态模型检测，物理安全检测，运行环境检测、密钥管理检测，自检检测，设计保证检测，攻击缓解检测九大类，标准需对以上各个方面的安全要求进行分级定义和精确描述： 1）端口与接口检测 检测内容包括物理接口和逻辑接口检测。 2）角色、服务与认证检测 3）有限状态模型检测 4）物理安全检测 对密码模块物理安全进行检测，检验密码模块能够限制非授权的物理入侵和阻止对密码模块非授权的使用或修改，应具备完善、可靠的物理安全机制。 密码模块具备防拆、防撬的结构设计，开壳留痕的功能。 5）运行环境检测 检测平台对密码模块操作系统进行检测，检验密码模块自身操作系统是否具有安全性保护措施。 6）密钥管理检测 检测密码模块整个生命周期所使用的关键安全参数与公共安全参数的安全性，包括随机数与密钥的生成、密钥建立、密钥分发、密钥导入/导出、密钥存储及密钥清零等。 7）自检检测 对密码模块固件、软件的完整性，关键算法的正确性和可用性的自检功能进行检测。 8）设计保证检测 对密码模块的设计、部署及运行期间的流程进行检测。 9）攻击缓解检测 对密码模块进行外来攻击检测，外来攻击包括SPA \DPA，SEMA\DEMA等侧信道攻击手段以及各种侵入式攻击手段，检验密码模块是否能够承受当前各种外来攻击的方式，确保密码模块在各种外来攻击下能够正常对外提供密码服务。 2.主要技术内容 遵循的原则 在制定密码模块检测要求标准时, 不能随心所欲, 随意性太强, 应跟工程开发一样, 不仅需要自顶而下地缜密考虑, 还要考虑该标准在整个行业标准体系中与其他标准之间的相互关系, 主要遵循以下三个原则: 该标准要相对独立。与其他标准（如某一应用领域中的具体标准）之间的内容不要相互重叠, 以免出现相互矛盾和重复测试的情况,这是保证标准一致性的必要条件; 标准本身需具有一定抽象层次和较强的描述能力，能够对各种不同形态的密码模块的通用安全要求进行精确描述，并能够适用于不同行业应用中的各种密码模块的安全需求； 明确本标准与其他标准之间的相互依赖关系。标准之间可能会出现相互调用, 如不明确, 容易产生混乱, 与第一个原则相抵触。 标准需涵盖的内容 密码模块检测要求应覆盖与密码模块的安全设计、实现和运行相关的所有领域, 这些内容构成了密码模块完整的防护体系。与密码模块有关但跟安全性无关的因素, 可以排除出去密码模块安全性要求。标准要严格制定, 充分反映出我国当前对密码模块进行保护和分析的最新成果, 从而达到高标准地检测我国密码模块的设计、实现水平。至少应包括密码模块以下各个方面的检测要求，即模块端口与接口，角色、服务与认证，有限状态模型，物理安全，密钥管理，自检，设计保障，攻击缓解，标准需对以上各个方面的检测要求进行分级定义和精确描述。 需要解决的关键问题 1）多样性的检测方法和平台 2）国产密码算法正确性和安全性保证 3）检测平台的自动化 4）外部攻击的检测能力