学习GB/T 20273-2019（六）FIA功能类：标识和鉴别

（一）学习方法
（二）FAU功能类：安全审计
（三）FCO功能类：通信
（四）FCS功能类：密码支持
（五）FDP功能类：用户数据保护

（六）FIA功能类：标识和鉴别

GB18336.2中，FIA功能类描述关于建立和验证所声称的用户身份的功能要求。需要通过标识和鉴别确保用户与正确的安全属性（如身份、组、角色、安全性或完整性等级）相关联。授权用户的明确标识以及安全属性与用户和主体的正确关联是实施预定安全策略的关键。FIA功能类负责确认和验证用户身份、确认他们与TOE交互的权限以及每个授权用户安全属性的正确关联。其他功能类（如FDP“用户数据保护”功能类、FAU“安全审计”功能类）的有效性都是建立在对用户的正确标识和鉴别的基础上的。

FIA功能类包括6个功能族。

1、FIA_AFL功能族：鉴别失败

包含为不成功的鉴别尝试次数定义数值和鉴别尝试失败时TOE安全功能应采取的动作等方面的要求。参数包括但不限于，失败的鉴别尝试次数和次数临界值。

FIA_AFL功能族包括1个功能组件。

（1）FIA_AFL.1功能组件：鉴别失败处理

要求TOE安全功能能够在用户鉴别尝试失败达到指定的次数后，终止会话建立进程。此外，它还要求会话建立进程终止后，TOE安全功能能够使进行尝试的用户账号或登录点（如工作站）无效，直到满足管理员定义的条件才再次激活。

GB20273 EAL2有此功能组件。
GB20273 EAL3有此功能组件。
GB20273 EAL4有此功能组件。

2、FIA_ATD功能族：用户属性定义

所有授权用户可能都有一组除用户身份外的安全属性用来执行安全功能要求。FIA_ATD功能族定义关联用户属性和用户的要求，为TOE安全功能做安全决策时提供支持。

FIA_ATD功能族包括1个功能组件。

（1）FIA_ATD.1功能组件：用户属性定义

允许对每个用户的用户安全属性分别加以维护。

GB20273 EAL2有此功能组件。
GB20273 EAL3有此功能组件。
GB20273 EAL4有此功能组件。

3、FIA_SOS功能族：秘密的规范

定义秘密应满足规定的质量度量，并生成秘密以满足所定义的度量机制的要求。

FIA_SOS功能族包括2个功能组件。

（1）FIA_SOS.1功能组件：秘密的验证

要求TOE安全功能验证秘密满足规定的质量度量要求。

GB20273 EAL2无此功能组件。
GB20273 EAL3有此功能组件。
GB20273 EAL4有此功能组件。

（2）FIA_SOS.2功能组件：TOE安全功能生成秘密

GB20273 EAL2无此功能组件。
GB20273 EAL3无此功能组件。
GB20273 EAL4无此功能组件。

4、FIA_UAU功能族：用户鉴别

定义TOE安全功能所支持的用户鉴别机制的类型，也定义用户鉴别机制所依赖的必要属性。

FIA_UAU功能族包括7个功能组件。

（1）FIA_UAU.1功能组件：鉴别的时机

允许用户在其身份被鉴别前执行某些动作。

GB20273 EAL2有此功能组件。
GB20273 EAL3有此功能组件。
GB20273 EAL4有此功能组件。

（2）FIA_UAU.2功能组件：任何动作前的用户鉴别

GB20273 EAL2无此功能组件。
GB20273 EAL3无此功能组件。
GB20273 EAL4无此功能组件。

（3）FIA_UAU.3功能组件：不可伪造的鉴别

GB20273 EAL2无此功能组件。
GB20273 EAL3无此功能组件。
GB20273 EAL4无此功能组件。

（4）FIA_UAU.4功能组件：一次性鉴别机制

GB20273 EAL2无此功能组件。
GB20273 EAL3无此功能组件。
GB20273 EAL4无此功能组件。

（5）FIA_UAU.5功能组件：多重鉴别机制

要求提供和使用不同的鉴别机制，为特定的事件鉴别用户的身份。

GB20273 EAL2无此功能组件。
GB20273 EAL3有此功能组件。
GB20273 EAL4有此功能组件。

（6）FIA_UAU.6功能组件：重新鉴别

GB20273 EAL2无此功能组件。
GB20273 EAL3无此功能组件。
GB20273 EAL4无此功能组件。

（7）FIA_UAU.7功能组件：受保护的鉴别反馈

要求在鉴别期间，只提供用户有限的反馈信息。

GB20273 EAL2有此功能组件。
GB20273 EAL3有此功能组件。
GB20273 EAL4有此功能组件。

5、FIA_UID功能族：用户标识

定义在执行任何其他由TOE安全功能促成的、且需要用户标识的动作前，要求用户标识其身份的条件。

FIA_UID功能族包括2个功能组件。

（1）FIA_UID.1功能组件：标识的时机

允许用户在被TOE安全功能识别前，执行某些动作。

GB20273 EAL2有此功能组件。
GB20273 EAL3有此功能组件。
GB20273 EAL4有此功能组件。

（2）FIA_UID.2功能组件：任何动作前的用户标识

GB20273 EAL2无此功能组件。
GB20273 EAL3无此功能组件。
GB20273 EAL4无此功能组件。

6、FIA_USB功能族：用户-主体绑定

为了使用TOE，已成功鉴别的用户一般先激活一个主体。用户的安全属性（全部或部分地）与该主体相关联。FIA_USB功能族定义建立和维护用户安全属性与代表该用户的主体间关联关系的要求。

FIA_USB功能族包括1个功能组件。

（1）FIA_USB.1功能组件：用户-主体绑定

要求对用户属性及其映入的主体属性之间的关联关系的管理规则进行规范。

GB20273 EAL2有此功能组件。
GB20273 EAL3有此功能组件。
GB20273 EAL4有此功能组件。