信息安全技术具有中央处理器的IC卡嵌入式软件安全技术要求(GB-T 20276-2016).pdf

ICS 35.040L80中中 华华 人人 民民 共共 和和 国国 国国 家家 标标 准准GB/T 20276XXXX代替 GB/T 20276-2006信息安全技术具有中央处理器的 IC 卡嵌入式软件安全技术要求Information Security technology Security requirements for embedded software in IC card with CPU点击此处添加与国际标准一致性程度的标识（报批稿）在提交反馈意见时，请将您知道的相关专利连同支持性文件一并附上（本稿完成日期：2014.8.28）XXXX-XX-XX 发布XXXX-XX-XX 实施GB/T 20276XXXXI目次前言.II引言.III1范围.12规范性引用文件.13术语、定义和缩略语.13.1术语和定义.13.2缩略语.14IC 卡嵌入式软件描述.24.1概述.25安全问题定义.25.1资产.25.2威胁.35.3组织安全策略.45.4假设.46安全目的.56.1TOE 安全目的.56.2环境安全目的.57安全要求.67.1安全功能要求.67.2安全保障要求.118基本原理.238.1安全目的基本原理.238.2安全要求基本原理.268.3组件依赖关系.29参考文献.32GB/T 20276XXXXII前言本标准按照 GB/T 1.12009 给出的规则起草。本标准是 GB/T 202762006信息安全技术 智能卡嵌入式软件安全技术要求（EAL4 增强级）的修订版。本标准与 GB/T 202762006 相比，主要变化如下：a)将标准名称变更为信息安全技术 具有中央处理器的 IC 卡嵌入式软件安全技术要求；b)第 3 章对术语进行了更新描述；c)第 4 章重新描述了 IC 卡嵌入式软件的结构和应用环境，并进行了更清晰的 TOE 范围定义；d)第 5 章对安全问题定义进行了整合和精简，共定义了 6 个威胁，3 项组织安全策略和 5 个假设；e)第 6 章根据新的安全问题定义更新了对 TOE 安全目的的描述；f)第 7 章对安全功能要求进行了调整，以细化新的安全目的描述，明确指出了 EAL4+和 EAL5+分别应满足的安全功能要求；并对安全保障要求进行了调整，增加了 EAL5+要求的保障组件；g)第 8 章对新的安全问题定义与安全目的、安全目的与安全要求之间的对应关系基本原理重新进行了梳理，还分析了组件之间的依赖关系。本标准自发布之日起代替 GB/T 20276-2006。本标准由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。本标准主要起草单位：中国信息安全测评中心、北京多思科技工业园股份有限公司、天地融科技股份有限公司、北京邮电大学、吉林信息安全测评中心本标准主要起草人：张翀斌、石竑松、高金萍、杨永生、王宇航、饶华一、王亚楠、陈佳哲、李东声、李明、曹春春、沈敏锋、崔宝江、赵晶玲、唐喜庆、刘占丰、刘丽、邹兆亮本标准首次于2006年发布。GB/T 20276XXXXIII引言IC 卡应用范围的扩大和应用环境复杂性的增加，要求 IC 卡嵌入式软件具有更强的安全保护能力。本标准的EAL4+是在EAL4的基础上将AVA_VAN.3增强为AVA_VAN.4；EAL5+是在EAL5的基础上将AVA_VAN.4增强为AVA_VAN.5，并将ALC_DVS.1增强为ALC_DVS.2。本标准是按照GB/T 18336-xxxx的规则编写的。GB/T 20276XXXX1信息安全技术 具有中央处理器的 IC 卡嵌入式软件安全技术要求1范围本标准规定了对 EAL4 增强级和 EAL5 增强级的具有中央处理器的 IC 卡嵌入式软件进行安全保护所需要的安全技术要求。本标准适用于具有中央处理器的IC卡嵌入式软件产品的测试、评估和采购，也可用于指导该类产品的研制和开发。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 25069-2010信息安全技术 术语3术语、定义和缩略语3.1术语和定义GB/T 25069及GB/T 18336中界定的以及下列术语和定义适用于本文件。3.1.1个人化数据Personalization data在IC卡嵌入式软件的个人化过程中写入的数据，用于配置与特定应用或用户相关的参数。3.2缩略语下列缩略语适用于本文件。CM配置管理（Configuration Management）EAL评估保障级（Evaluation Assurance Level）EEPROM电 可 擦 除 可 编 程 只 读 存 储 器（Electrically-Erasable ProgrammableRead-only Memory）IC集成电路（Integrated Circuit）I/O输入/输出（Input/Output）RAM随机存取存储器（Random-Access Memory）ROM只读存储器（Read-Only Memory）ST安全目标（Security Target）TOE评估对象（Target of Evaluation）TSFTOE 安全功能（TOE Security Functionality）GB/T 20276XXXX24IC 卡嵌入式软件描述4.1概述具有中央处理器的 IC 卡嵌入式软件（简称 IC 卡嵌入式软件）存放在 IC 卡的非易失性存储器（例如 ROM、EEPROM 或 Flash 等）中，并在 IC 卡芯片内运行。该软件用于管理芯片硬件资源和数据，通过芯片的通信接口与 IC 卡终端设备交换信息，以响应用户发起的数据加密、数据签名及鉴权认证等应用请求，实现对应用功能的支持。一般情况下，IC 卡嵌入式软件由负责处理芯片硬件接口，实现文件管理、安全支撑、通信处理和应用处理等功能的模块组成，其中安全支撑模块提供安全配置、安全事务处理及密码支持等功能，以便为其他模块的安全执行提供支持，以保护 IC 卡的内部数据及安全功能。文件管理模块和通信处理模块作为基础模块，主要用于实现对应用功能的支持。IC 卡嵌入式软件的一般结构及运行环境如图 1 所示。在嵌入式软件的运行环境中，用户和（TOE 开发、个人化及发卡等阶段的）管理员可通过 IC 卡终端与 IC 卡嵌入式软件交互，管理员也可能通过操作芯片中的 IC 专用软件下载嵌入式软件并配置 IC 卡硬件平台。另一方面，攻击者可以通过发送、监听和篡改通信消息以及探测 IC 卡芯片电路等方式实施攻击，以获取或破坏敏感数据信息，甚至滥用安全功能。为此，IC 卡嵌入式软件应采取防护措施以保障嵌入式软件的数据和功能的安全。图 1IC 卡嵌入式软件的一般结构及运行环境5安全问题定义5.1资产需要保护的资产：TSF 数据（如 TOE 中的访问控制列表、鉴别状态、安全配置数据、管理性的密钥等信息）；用户数据（TOE 中不属于 TSF 数据的信息，如用户身份标识等信息）；安全能力（如 TOE 的签名能力和动态码产生能力等）GB/T 20276XXXX3注：ST编写者应根据具体的应用情况细化对资产的描述。5.2威胁5.2.1物理操纵（T.Physical_Manipulation）攻击者可利用 IC 卡芯片失效性分析和半导体逆向工程技术，对 IC 卡芯片实施物理剖片，以获取IC 卡芯片设计信息和嵌入式软件的二进制代码，进而探测 TSF 数据和用户数据信息。攻击者也可能对 IC 卡芯片实施物理更改，以达到获取或改变数据信息或安全功能的目的。IC卡芯片可能会在未上电或已上电状态下受到此类攻击，在遭受攻击后可能会处于无法操作的状态。5.2.2信息泄露（T.Info_Leak）攻击者可对 TOE 正常使用过程中泄漏的信息加以利用，以猜测 TSF 数据或用户数据。功耗、电磁辐射、I/O 特性、运算频率、时耗等侧信道信息的变化情况都有可能造成信息的泄漏。攻击者可通过采用接触式（如功耗）或非接触式（如电磁辐射和时耗）的信号测量，得到与正在执行的操作有关的信息，进而采用信号处理和统计分析等技术来获得密钥等敏感信息。5.2.3故障利用（T.Failure_Exploitation）攻击者可通过分析 TOE 的运行故障以获取 TSF 数据、用户数据或滥用 TOE 的安全功能。这些故障可能是通过改变 TOE 的运行环境（如温度、电压、频率等，或通过注入强光等方式）而触发的，也可能是由于 TOE 本身的设计缺陷而自发产生的，这些故障可能导致 TOE 的代码、系统数据或执行过程发生错误，使 TOE 在故障下运行，从而导致敏感数据泄露。5.2.4生命周期功能滥用（T.Lifecycle_Misuse）攻击者可利用相关接口，尤其是测试和调试接口来获取 TSF 数据或用户数据。这些接口在 TOE 生命周期的过往阶段是必要的，但在现阶段是被禁止的。例如，若测试命令或调试命令在使用阶段仍可用，则可被攻击者用于读取存储器内容或执行其它功能。5.2.5逻辑攻击（T.Logical_Attack）攻击者可利用 TOE 的逻辑接口，采用暴力猜解、被动侦听或适应性地选择指令输入等方式来获取/修改用户数据或 TSF 数据，或者滥用 TOE 的安全功能，主要包括以下形式：密码攻击：攻击者可利用密码算法或协议的安全缺陷实现攻击，以达到获取密钥、猜测随机数或解密密文等目的。重放攻击：攻击者可通过重放历史数据，如重放通过侦听获得的鉴别数据来旁路安全机制，以获取敏感数据信息或滥用 TOE 的安全功能。访问控制措施旁路：攻击者可通过利用 TOE 对文件及其他数据的访问控制缺陷，绕过访问控制规则，以读取、删除或修改用户数据或 TSF 数据。残余信息利用：攻击者可利用 TOE 对计算过程中的残留信息的处理缺陷，在 TOE 执行过程中对未删除的残留信息进行攻击，以获取敏感信息或滥用 TOE 的安全功能。注：逻辑接口是TOE与智能终端之间的数据交换接口，包括语法上遵循国际标准定义或行业私有定义的指令与响应码。攻击者可能利用认证系统或指令系统缺陷，通过分析指令及其响应码，绕过存储器访问控制机制，以非法获得存储器内容、密钥和PIN等信息，或达到滥用TOE安全功能等目的。ST编写者应根据应用情况完善对逻辑攻击的描述。GB/T 20276XXXX45.2.6非法程序攻击（T.IllegalPrg_Attack）攻击者可通过安装带有恶意代码的应用程序（如木马程序）来获取/修改 TOE 代码或数据，或滥用TOE 的安全功能；在 TOE 进入使用阶段前，开发者（或配置者）也可能有意地（或无意地，如使用了恶意的编译器）引入非法程序或错误，使 TOE 在使用阶段泄露敏感信息或导致安全功能被滥用。注：对于可以下载新应用的嵌入式软件而言，需要在整个生命周期阶段考虑此攻击；对于无法下载新应用的单应用的嵌入式软件，主要在使用阶段前的其他生命周期阶段中考虑此攻击。5.3组织安全策略5.3.1密码管理（P.Crypto_Management）密码的使用必须符合国家制定的相关信息技术安全标准。5.3.2标识数据管理（P.IdData_Management）IC 卡嵌入式软件的初始化、个人化等过程应具备标识 TOE 的能力。注：IC卡嵌入式软件的初始化、个人化过程可产生多种标识信息，这些信息存储在IC卡内部，可用于向外部发行实体标识TOE，如厂商信息、版本号、激活时间等，以实现对生产情况的回溯查询能力。这些标识信息随嵌入式软件的不同而存在差异，在编写ST文档时应描述具体的标识方法和内容。5.3.3芯片选型（P.Chip_Selection）TOE 应采用至少通过 EAL4+测评的 IC 卡芯片。5.4假设5.4.1通信信道（A.Comm_Channel）假定 TOE 与 IC 卡终端之间的通信信道是安全可靠的（如满足私密性和完整性）。注：ST编写者应根据嵌入式软件的具体应用情况解释“安全可靠”的具体含义。5.4.2应用程序（A.App_Program）假定在 TOE 中安装应用程序的流程符合规范，且合法安装的应用程序不包含恶意代码。5.4.3芯片硬件（A.Chip_Hardware）假定 TOE 运行所依赖的底层芯片具备足以保证 TOE 安全运行所需的物理安全防护能力。注：TOE的底层芯片必须能够抵抗物理攻击、环境干扰攻击、侧信道攻击等。同时，芯片提供的密码功能可以是由处理器或安全算法库来实现的。5.4.4外部数据管理（A.OutData_Management）假定存放在TOE之外的数据，如TOE设计信息、初始化数据、管理性密钥等敏感信息，会以一种安全的方式进行管理。5.4.5人员（A.Personnel）假定使用TOE的人员已具备基本的安全防护知识并具有良好的使用习惯，且以安全的方式使用TOE。TOE 开发、生产、个人化和发卡各阶段的操作人员均按安全的流程进行操作。GB/T 20276XXXX56安全目的6.1TOE 安全目的6.1.1标识数据存储（O.IdData_Storage）TOE 必须具备在非易失性存储器中存储初始化数据和个人化数据的能力。6.1.2用户标识（O.User_Identification）TOE 必须明确地标识出可使用各种逻辑接口的用户。6.1.3用户鉴别（O.User_Authentication）用户必须通过鉴别过程才可访问或使用 TOE 中的用户数据和安全功能数据。6.1.4防重放攻击（O.Replay_Prevention）TOE 应提供安全机制以抵御重放攻击，如采用只可一次性使用的随机因子等措施。6.1.5残留信息清除（O.ResidualInfo_Clearance）TOE 必须确保重要的数据在使用完成、或遭受掉电攻击后会被删除或被安全处理，不会留下可被攻击者利用的残留数据信息。6.1.6信息泄露防护（O.InfoLeak_Prevention）TOE 必须提供控制或限制信息泄漏的方法，使得通过测量功耗、电磁辐射、时耗等信息的变化情况无法或难以获得用户数据和安全功能数据。6.1.7数据访问控制（O.DataAcc_Control）TOE 必须对在 TOE 内部的用户数据和安全功能数据实施访问控制措施，防止在未授权情况下被访问、修改或删除。6.1.8状态恢复（O.Status_Recovery）TOE 在检测到故障后应将工作状态恢复或调整至安全状态，防止攻击者利用故障实施攻击。6.1.9生命周期功能控制（O.Lifecycle_Control）TOE 应对自身安全功能的可用性进行生命周期阶段划分，或进行权限控制，以防止攻击者滥用这些功能（如下载模式下的某些功能应在 TOE 交付后关闭）。6.1.10密码安全（O.Crypto_Security）TOE 必须以一个安全的方式支持密码功能，其使用的密码算法必须符合国家、行业或组织要求的密码管理相关标准或规范。注：如果 TOE 所使用的密码算法均由芯片实现，则应将此安全目的移至 ST 的环境安全目的中。6.2环境安全目的6.2.1人员（OE.Personnel）GB/T 20276XXXX6TOE 开发、初始化和个人化等生命周期阶段中涉及到的特定人员应能严格地遵守安全的操作规程，以保证 TOE 在生命周期过程中的安全性。6.2.2通信信道（OE.Comm_Channel）TOE 与 IC 卡终端之间的通信路径是可信的，能为通信过程提供保密性和完整性保障。6.2.3应用程序（OE.App_Program）安装应用程序到 TOE 的流程必须规范，且合法安装的应用程序不应包含恶意代码。6.2.4芯片硬件（OE.Chip_Hardware）TOE的底层芯片必须能够抵抗物理攻击、环境干扰攻击和侧信道攻击等。6.2.5外部数据管理（OE.OutData_Management）应对在IC卡芯片外部存储的相关数据（如TOE的设计信息、开发及测试工具、实现代码及相关文档、初始化数据、管理性密钥等）进行机密性和完整性处理，并采取安全的管理措施。7安全要求7.1安全功能要求表 1 列出了 IC 卡嵌入式软件安全功能要求组件，其详细内容将在下面分条描述。在描述过程中，方括号【】中的粗体字粗体字内容表示已经完成的操作，粗体粗体斜体字斜体字内容表示还需在安全目标（ST）中确定的赋值及选择项。表 1安全功能要求组件组件分类组件分类安全功能要求组件安全功能要求组件序号序号备注备注EAL4+EAL5+FCS 类：密码支持FCS_CKM.1 密钥生成1FCS_CKM.4 密钥销毁2FCS_COP.1 密码运算3FDP 类：用户数据保护FDP_ACC.1 子集访问控制4FDP_ACF.1 基于安全属性的访问控制5FDP_IFC.1 子集信息流控制6FDP_ITT.1 基本内部传送保护7FDP_RIP.1 子集残余信息保护8N/AFDP_RIP.2 完全残余信息保护9N/AFIA 类：标识和鉴别FIA_AFL.1 鉴别失败处理10FIA_ATD.1 用户属性定义11GB/T 20276XXXX7表 1（续）组件分类组件分类安全功能要求组件安全功能要求组件序号序号备注备注EAL4+EAL5+FIA 类：标识和鉴别FIA_SOS.1 秘密的验证12FIA_UAU.1 鉴别的时机13FIA_UAU.4 一次性鉴别机制14FIA 类：标识和鉴别FIA_UAU.5 多重鉴别机制15FIA_UAU.6 重鉴别16FIA_UID.1 标识的时机17FMT 类：安全管理FMT_MOF.1 安全功能行为的管理18FMT_MSA.1 安全属性的管理19FMT_MSA.3 静态属性初始化20FMT_MTD.1 TSF 数据的管理21FMT_MTD.2 TSF 数据限值的管理22FMT_SMF.1 管理功能规范23FMT_SMR.1 安全角色24FPT 类：TSF 保护FPT_FLS.1 失效即保持安全状态25FPT_ITT.1 内部 TSF 数据传送的基本保护26FPT_RCV.4 功能恢复27FPT_RPL.1 重放检测28FPT_TST.1 TSF 测试29注：代表在该保障级下应选择该组件；代表在该保障级下可选择该组件；N/A代表在该保障级下该组件不适用。7.1.1密钥生成（FCS_CKM.1）FCS_CKM.1.1 IC 卡嵌入式软件安全功能应根据符合下列标准【赋值：相关标准相关标准】的一个特定的密钥生成算法【赋值：密钥生成算法密钥生成算法】和规定的密钥长度【赋值：密钥长度密钥长度】来生成密钥。注1：该组件仅适用于密钥生成功能由嵌入式软件本身完成的情况，此时ST编写者应根据密码算法的具体情况，赋值国家主管部门认可的相关标准及参数。注2：若密钥由外部环境生成，则可以不选择此组件。7.1.2密钥销毁（FCS_CKM.4）GB/T 20276XXXX8FCS_CKM.4.1 IC 卡嵌入式软件安全功能应根据符合下列标准【赋值：标准列表标准列表】的一个特定的密钥销毁方法【赋值：密钥销毁方法密钥销毁方法】来销毁密钥。注：ST编写者应根据密码算法的具体情况赋值国家主管部门认可的相关标准及密钥销毁方法。7.1.3密码运算（FCS_COP.1）FCS_COP.1.1IC 卡嵌入式软件安全功能应根据符合下列标准【赋值：标准标准列表列表】的特定的密码算法【赋值：密码算法密码算法】和密钥长度【赋值：密钥长度密钥长度】来行执【赋值：密码运算密码运算列列表表】。注：ST编写者应根据密码算法的具体情况赋值国家主管部门认可的相关标准及参数。7.1.4子集访问控制（FDP_ACC.1）FDP_ACC.1.1 IC 卡嵌入式软件安全功能应对【用户用户，管理员管理员，赋值：其他主体列表其他主体列表】【选择：删除删除、修改、读取，使用修改、读取，使用，【赋值：其他具体操作列表其他具体操作列表】【用户数据，用户数据，赋值：其他客体列其他客体列表表】执行【IC 卡嵌入式软件卡嵌入式软件用户数据用户数据访问控制策略访问控制策略】。注：ST编写者应根据具体情况细化用户数据和操作列表，且根据用户和管理员操作客体和相应控制策略的不同，应在ST中将此组件分为不同的点进行描述，此原则适用于以下各组件的描述情况。7.1.5基于安全属性的访问控制（FDP_ACF.1）FDP_ACF.1.1 IC 卡嵌入式软件安全功能应基于【用户，管理员，用户，管理员，赋值：其他主体列表其他主体列表】的【鉴别鉴别状态状态，赋值：其他安全策略相关的安全属性或属性组其他安全策略相关的安全属性或属性组】对客体执行【IC 卡嵌入式软卡嵌入式软件件用户数据用户数据访问控制策略访问控制策略】。FDP_ACF.1.2 IC 卡嵌入式软件安全功能应执行以下规则，以决定在受控主体与受控客体间的一个操作是否被允许：【用户鉴别是否通过，管理员鉴别是否通过，用户鉴别是否通过，管理员鉴别是否通过，赋值：在受控主体在受控主体和受控客体间，通过对受控客体采取受控操作来管理访问的一些规则和受控客体间，通过对受控客体采取受控操作来管理访问的一些规则】。FDP_ACF.1.3 IC 卡嵌入式软件安全功能应基于以下附加规则：【赋值：基于安全属性的基于安全属性的，明确授权明确授权主体访问客体的规则主体访问客体的规则】，明确授权主体访问客体。FDP_ACF.1.4 IC 卡嵌入式软件安全功能应基于【赋值：基于安全属性的，明确拒绝主体访问客体基于安全属性的，明确拒绝主体访问客体的规则的规则】明确拒绝主体访问客体。注1:ST编写者应根据具体应用细化客体和操作列表；注2:若嵌入式软件没有附加访问控制策略，可不对FDP_ACF.1.3和FDP_ACF.1.4的相应赋值项赋值。7.1.6子集信息流控制（FDP_IFC.1）FDP_IFC.1.1 IC 卡嵌入式软件安全功能应对【用户数据访问用户数据访问，赋值：其他其他导致受控信息流入导致受控信息流入、流出流出受控主体的操作列表受控主体的操作列表】执行【数据传输过程的保密性处理策略数据传输过程的保密性处理策略，赋值：其他信息流其他信息流控制策略控制策略】。7.1.7基本内部传送保护（FDP_ITT.1）FDP_ITT.1.1 在 IC 卡嵌入式软件物理上分隔的部分间，如不同软件模块之间传递用户数据时，IC卡嵌入式软件安全功能应执行【数据传输过程的保密性处理策略数据传输过程的保密性处理策略，【赋值：其他信其他信息流控制策略息流控制策略】，以防止用户数据被【选择：泄露，篡改，或无法使用泄露，篡改，或无法使用】。7.1.8子集残余信息保护（FDP_RIP.1）FDP_RIP.1.1 IC 卡嵌入式软件安全功能应确保一个资源的任何先前信息内容，在【选择：分配资源分配资源GB/T 20276XXXX9到到、释放资源自释放资源自】下列客体：【EEPROMEEPROM、FlashFlash，赋值：其他其他客体列表客体列表】时不再可用。7.1.9完全残余信息保护（FDP_RIP.2）FDP_RIP.2.1 IC 卡嵌入式软件安全功能应确保一个资源的任何先前信息内容，在【选择：分配资源分配资源到、释放资源自到、释放资源自】所有客体时不再可用。7.1.10鉴别失败处理（FIA_AFL.1）FIA_AFL.1.1 IC 卡嵌入式软件安全功能应能检测出当【选择：【赋值：正整数正整数】，管理员可设置的管理员可设置的【赋值：可接受数值范围】内的一个正整数可接受数值范围】内的一个正整数】时，与【选择：用户鉴别，管理员鉴别用户鉴别，管理员鉴别，【赋值：其他鉴别事件列表其他鉴别事件列表】相关的未成功鉴别尝试。FIA_AFL.1.2 当【选择：达到达到，超过超过】所定义的未成功鉴别尝试次数时，IC 卡嵌入式软件安全功能应采取的【赋值：动作动作列表列表（如临时锁定鉴别功能至一段时间后再开启，或永久锁定鉴别功能并进入废止阶段）】。7.1.11用户属性定义（FIA_ATD.1）FIA_ATD.1.1 IC 卡嵌入式软件安全功能应维护属于单个用户的下列安全属性列表：【选择：用户标识、PIN 和密钥等鉴别数据、用户角色、【赋值：其他安全属性其他安全属性】。7.1.12秘密的验证（FIA_SOS.1）FIA_SOS.1.1 IC 卡嵌入式软件安全功能应提供一种机制以验证秘密满足保证鉴别机制安全性的安全要求。注：此安全功能要求中的秘密是指如鉴别密钥、PIN等IC卡嵌入式软件安全功能数据。在EAL5+的情况下，IC卡嵌入式软件应对保存的秘密的质量进行验证，以加强秘密设置的安全性。7.1.13鉴别的时机（FIA_UAU.1）FIA_UAU.1.1 在用户被鉴别前，IC 卡嵌入式软件安全功能应允许执行代表用户的【赋值：IC卡嵌卡嵌入式软件安全功能入式软件安全功能仲裁的仲裁的动作动作列表列表（如读取软件标识信息操作）】。FIA_UAU.1.2 在允许执行代表该用户的任何其它由 IC 卡嵌入式软件安全功能促成的动作前，IC卡嵌入式软件安全功能应要求每个用户都已被成功鉴别。7.1.14一次性鉴别机制（FIA_UAU.4）FIA_UAU.4.1 IC 卡嵌入式软件安全功能应防止与【用户鉴别，管理员鉴别，用户鉴别，管理员鉴别，赋值：其他确定的鉴其他确定的鉴别机制别机制】有关的鉴别数据的重用。7.1.15多重鉴别机制（FIA_UAU.5）FIA_UAU.5.1 IC 卡嵌入式软件安全功能应提供【赋值：多重鉴别机制列表，多重鉴别机制列表，如PIN验证和按键确认双重鉴别机制】以支持用户鉴别。FIA_UAU.5.2 IC 卡嵌入式软件安全功能应根据【赋值：多重鉴别机制的工作规则多重鉴别机制的工作规则】鉴别任何用户所声称的身份。注：在EAL5+的情况下，IC卡嵌入式软件应要求对重要的安全功能必须进行多重鉴别的能力，以实现基于多重因素的鉴别，如PIN验证和按键确认，或生物特征识别等，ST的编写者应细化此功能要求。7.1.16重鉴别（FIA_UAU.6）GB/T 20276XXXX10FIA_UAU.6.1 IC 卡嵌入式软件安全功能应在【安全状态复位后，安全状态复位后，赋值：其他需要重鉴别的条件列其他需要重鉴别的条件列表表】条件下重新鉴别用户。7.1.17标识的时机（FIA_UID.1）FIA_UID.1.1在用户被识别之前，IC 卡嵌入式软件安全功能应允许执行代表用户的【赋值：其其他他IC卡嵌入式软件安全功能卡嵌入式软件安全功能仲裁的动作列表仲裁的动作列表（如读取嵌入式软件的版本信息操作）】。FIA_UID.1.2在允许执行代表该用户的任何其它 IC 卡嵌入式软件安全功能仲裁动作之前，IC 卡嵌入式软件安全功能应要求每个用户身份都已被成功识别。7.1.18安全功能行为的管理（FMT_MOF.1）FMT_MOF.1.1 IC 卡嵌入式软件安全功能应仅限于【管理员管理员，赋值：其他其他已标识的授权角色已标识的授权角色】对功能【选择：解锁鉴别状态解锁鉴别状态，初始化初始化，【赋值：其他其他功能列表功能列表】具有【选择：确定其确定其行为、终止、激活、修改其行为行为、终止、激活、修改其行为】的能力。7.1.19安全属性的管理（FMT_MSA.1）FMT_MSA.1.1 IC 卡嵌入式软件安全功能应执行【IC 卡嵌入式软件卡嵌入式软件用户数据用户数据访问控制策略访问控制策略，赋值：其他访问控制策略、信息流控制策略其他访问控制策略、信息流控制策略】，以仅限于【管理员，管理员，赋值：其他已标识的其他已标识的授权角色授权角色】能够对安全属性【赋值：安全属性列表安全属性列表】进行【重置重置，选择：改变默认改变默认值、查询、修改、删除值、查询、修改、删除、【赋值：其他操作其他操作】。7.1.20静态属性初始化（FMT_MSA.3）FMT_MSA.3.1 IC 卡嵌入式软件安全功能应执行【IC 卡嵌入式软件卡嵌入式软件用户数据用户数据访问控制策略访问控制策略,赋值：其他访问控制策略其他访问控制策略、信息流控制策略信息流控制策略】，以便为用于执行 IC 卡嵌入式软件安全功能的安全属性提供【选择：受限的、许可的受限的、许可的、【赋值：其他特性其他特性】默认值。FMT_MSA.3.2 IC 卡嵌入式软件安全功能应允许【管理员管理员，赋值：已标识的授权角色已标识的授权角色】在创建客体或信息时指定替换性的初始值以代替原来的默认值。7.1.21TSF 数据的管理（FMT_MTD.1）FMT_MTD.1.1IC 卡嵌入式软件安全功能应仅限于【管理员管理员，赋值：其他已标识的授权角色其他已标识的授权角色】能够对【IC 卡嵌入式软件的版本信息卡嵌入式软件的版本信息、激活时间等标识数据激活时间等标识数据，赋值：其他其他安全功能安全功能数据数据列表列表】进行【选择：改变默认值、查询、修改、删除、清除改变默认值、查询、修改、删除、清除、【赋值：其他操作【赋值：其他操作】操作。注：ST编写者应根据具体应用情况细化对管理员角色的描述，使得嵌入式软件在进入用户使用阶段后，即便相应的管理员也无法对IC卡嵌入式软件的版本信息、激活时间等标识数据进行修改。7.1.22TSF 数据限值的管理（FMT_MTD.2）FMT_MTD.2.1 IC 卡嵌入式软件安全功能应仅限于【管理员管理员，赋值：其他已其他已标识标识的授权角色的授权角色】规定【连续连续鉴别失败尝试次数鉴别失败尝试次数，赋值：其他其他安全功能安全功能数据列表数据列表，】的限值。FMT_MTD.2.2 如果 IC 卡嵌入式软件安全功能数据达到或超过了设定的限值，IC 卡嵌入式软件安全功能应采取下面的动作：【赋值：要采取的动作要采取的动作（如锁定所有安全功能，或擦除所有敏感数据信息并进入废止状态）】。7.1.23管理功能规范（FMT_SMF.1）GB/T 20276XXXX11FMT_SMF.1.1 IC 卡嵌入式软件安全功能应能够执行如下管理功能：【应用初始化应用初始化，生命周期功能控生命周期功能控制等功能，制等功能，赋值：IC卡嵌入式软件安全功能卡嵌入式软件安全功能提供的安全管理功能列表提供的安全管理功能列表】。7.1.24安全角色（FMT_SMR.1）FMT_SMR.1.1 IC 卡嵌入式软件安全功能应维护角色【管理员管理员，用户用户，赋值：已标识的授权角色已标识的授权角色】。FMT_SMR.1.2 IC 卡嵌入式软件安全功能应能够把用户和角色关联起来。应能够把用户和角色关联起来。注：ST编写者应根据具体应用情况完善对管理员角色的描述。7.1.25失效即保持安全状态（FPT_FLS.1）FPT_FLS.1.1IC 卡嵌入式软件安全功能在下列失效发生时应保持一种安全状态：【掉电、自检失掉电、自检失败败，赋值：其他失效类型列表其他失效类型列表（如存储器空间分配或访问错误）】。7.1.26内部 TSF 数据传送的基本保护（FPT_ITT.1）FPT_ITT.1.1 IC 卡嵌入式软件安全功能应保护安全功能数据在物理上的分离部分，如不同的软件功能模块之间传送时不被【选择：泄漏，篡改泄漏，篡改】。7.1.27功能恢复（FPT_RCV.4）FPT_RCV.4.1 IC 卡嵌入式软件安全功能应确保在【掉电、自检失败掉电、自检失败，赋值：其他功能和失效情景其他功能和失效情景列表列表（如存储器访问错误）】时有如下特性，即功能或者成功完成，或者针对指明的失效情景恢复到一个前后一致的且安全的状态。7.1.28重放检测（FPT_RPL.1）FPT_RPL.1.1 IC 卡嵌入式软件安全功能应检测对以下实体的重放：【鉴别数据鉴别数据，赋值：其他实体列其他实体列表表】。FPT_RPL.1.2 检测到重放时，IC 卡嵌入式软件安全功能应执行【赋值：具体操作列表具体操作列表（如恢复至未鉴别状态，或在检测到连续多次重放后临时锁定安全功能）】。7.1.29TSF 测试（FPT_TST.1）FPT_TST.1.1 IC 卡嵌入式软件安全功能应在【上电启动期间、正常工作期间、授权用户要求时，上电启动期间、正常工作期间、授权用户要求时，赋值：其他其他条件条件】时运行一套自检程序以证明【密码运算功能密码运算功能，【赋值：ICIC 卡嵌入式卡嵌入式软件软件的其他的其他安全功能安全功能】运行的正确性。FPT_TST.1.2 IC 卡嵌入式软件安全功能应为授权用户提供验证【选择：TSFTSF 数据数据，【赋值：ICIC 卡嵌卡嵌入式软件入式软件的某些安全功能的某些安全功能】完整性的能力。FPT_TST.1.3 IC 卡嵌入式软件安全功能应为授权用户提供验证所存储的 TSF 可执行代码完整性的能力。注：在EAL5+的情况下，IC卡嵌入式软件应具有对重要的安全功能及数据进行自测的能力，以排除功能失常和数据被有意或无意篡改的情况发生。ST的编写者应根据具体的应用情况细化此功能要求。7.2安全保障要求表 2 列出了 IC 卡嵌入式软件安全保障要求组件。下述各条对各组件给出了详细的说明。GB/T 20276XXXX12表 2安全保障要求组件组件分类组件分类安全保障要求组件安全保障要求组件序号序号备注备注EAL4+EAL5+ADV 类：开发ADV_ARC.1 安全架构描述1ADV_FSP.4 完备的功能规范2N/AADV_FSP.5 附加错误信息的完备的半形式化功能规范3N/AADV_IMP.1 TSF 实现表示4ADV_INT.2 内部结构合理5N/AADV_TDS.3 基础模块设计6N/AADV_TDS.4 半形式化模块设计7N/AAGD 类：指导性文档AGD_OPE.1 操作用户指南8AGD_PRE.1 准备程序9ALC 类：生命周期支持ALC_CMC.4 生产支持和接受程序及其自动化10ALC_CMS.4 问题跟踪 CM 覆盖11N/AALC_CMS.5 开发工具 CM 覆盖12N/AALC_DEL.1 交付程序13ALC_DVS.1 安全措施标识14N/AALC_DVS.2 充分的安全措施15N/AALC_LCD.1 开发者定义的生命周期模型16ALC_TAT.1 明确定义的开发工具17N/AALC_TAT.2 遵从实现标准18N/AASE 类：安全目标评估ASE_CCL.1 符合性声明19ASE_ECD.1 扩展组件定义20ASE_INT.1 ST 引言21ASE_OBJ.2 安全目的22ASE_REQ.2 推导出的安全要求23ASE_SPD.1 安全问题定义24ASE_TSS.1 TOE 概要规范25ATE 类：测试ATE_COV.2 覆盖分析26ATE_DPT.2 测试：安全执行模块27N/AGB/T 20276XXXX13表2（续）组件分类组件分类安全保障要求组件安全保障要求组件序号序号备注备注EAL4+EAL5+ATE 类：测试ATE_DPT.3 测试：模块设计28N/AATE_FUN.1 功能测试29ATE_IND.2 独立测试抽样30AVA 类：脆弱性评定AVA_VAN.4 系统的脆弱性分析31N/AAVA_VAN.5 高级的系统的脆弱性分析32N/A注：（1）代表在该保障级下，应选择该组件。N/A代表在该保障级下，该组件不适用。（2）对于安全保障要求组件的选取，本标准在EAL4的基础上将AVA_VAN.3增强为AVA_VAN.4和AVA_VAN.5，以分别对应EAL4+和EAL5+的测评要求。此外，EAL5+还在EAL5的基础上将ALC_DVS.1升级为ALC_DVS.2。7.2.1安全架构描述（ADV_ARC.1）开发者行为元素：ADV_ARC.1.1D 开发者应设计并实现 TOE,确保 TSF 的安全特性不可旁路。ADV_ARC.1.2D 开发者应设计并实现 TSF，以防止不可信主体的破坏。ADV_ARC.1.3D 开发者应提供 TSF 安全架构的描述。内容和形式元素：ADV_ARC.1.1C 安全架构的描述应与在 TOE 设计文档中对 SFR-执行的抽象描述的级别一致。ADV_ARC.1.2C 安全架构的描述应描述与安全功能要求一致的 TSF 安全域。ADV_ARC.1.3C 安全架构的描述应描述 TSF 初始化过程为何是安全的。ADV_ARC.1.4C 安全架构的描述应论证 TSF 可防止被