GB-T 20276-2016 信息安全技术 具有中央处理器的IC卡嵌入式软件安全技术要求.pdf

《GB-T 20276-2016 信息安全技术 具有中央处理器的IC卡嵌入式软件安全技术要求.pdf》由会员分享，可在线阅读，更多相关《GB-T 20276-2016 信息安全技术 具有中央处理器的IC卡嵌入式软件安全技术要求.pdf（34页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、I C S3 5.0 4 0L8 0中 华 人 民 共 和 国 国 家 标 准G B/T2 0 2 7 62 0 1 6代替G B/T2 0 2 7 62 0 0 6信息安全技术具有中央处理器的I C卡嵌入式软件安全技术要求I n f o r m a t i o ns e c u r i t y t e c h n o l o g yS e c u r i t yr e q u i r e m e n t s f o r e m b e d d e ds o f t w a r e i nI Cc a r dw i t hC P U2 0 1 6-0 8-2 9发布2 0 1 7-0 3-0

2、1实施中华人民共和国国家质量监督检验检疫总局中 国 国 家 标 准 化 管 理 委 员 会发 布目 次前言引言1 范围12 规范性引用文件13 术语和定义、缩略语1 3.1 术语和定义1 3.2 缩略语14 I C卡嵌入式软件描述25 安全问题定义2 5.1 资产2 5.2 威胁3 5.3 组织安全策略4 5.4 假设46 安全目的5 6.1 TO E安全目的5 6.2 环境安全目的67 安全要求6 7.1 安全功能要求6 7.2 安全保障要求1 18 基本原理2 4 8.1 安全目的基本原理2 4 8.2 安全要求基本原理2 6 8.3 组件依赖关系2 8参考文献3 0G B/T2 0 2

3、7 62 0 1 6前 言 本标准按照G B/T1.12 0 0 9给出的规则起草。本标准代替G B/T2 0 2 7 62 0 0 6 信息安全技术 智能卡嵌入式软件安全技术要求(E A L 4增强级)。本标准与G B/T2 0 2 7 62 0 0 6相比,主要变化如下:将标准名称变更为 信息安全技术 具有中央处理器的I C卡嵌入式软件安全技术要求;第3章对术语进行了更新描述;第4章重新描述了I C卡嵌入式软件的结构和应用环境,并进行了更清晰的TO E范围定义;第5章对安全问题定义进行了整合和精简,共定义了6个威胁,3项组织安全策略和5个假设;第6章根据新的安全问题定义更新了对TO E安全

4、目的的描述;第7章对安全功能要求进行了调整,以细化新的安全目的描述,明确指出了E A L 4+和E A L 5+分别应满足的安全功能要求;并对安全保障要求进行了调整,增加了E A L 5+要求的保障组件;第8章对新的安全问题定义与安全目的、安全目的与安全要求之间的对应关系基本原理重新进行了梳理,还分析了组件之间的依赖关系。本标准由全国信息安全标准化技术委员会(S A C/T C2 6 0)提出并归口。本标准起草单位:中国信息安全测评中心、北京多思科技工业园股份有限公司、天地融科技股份有限公司、北京邮电大学、吉林信息安全测评中心。本标准主要起草人:张翀斌、石竑松、高金萍、杨永生、王宇航、饶华一、

5、王亚楠、陈佳哲、李东声、李明、曹春春、沈敏锋、崔宝江、赵晶玲、唐喜庆、刘占丰、刘丽、邹兆亮。本标准所代替标准的历次版本发布情况为:G B/T2 0 2 7 62 0 0 6。G B/T2 0 2 7 62 0 1 6引 言 I C卡应用范围的扩大和应用环境复杂性的增加,要求I C卡嵌入式软件具有更强的安全保护能力。本标准的E A L 4+是在E A L 4的基础上将AVA_VAN.3增强为AVA_VAN.4;E A L 5+是在E A L 5的基础上将AVA_VAN.4增强为AVA_VAN.5,并将A L C_D V S.1增强为A L C_D V S.2。G B/T2 0 2 7 62 0

6、1 6信息安全技术具有中央处理器的I C卡嵌入式软件安全技术要求1 范围本标准规定了对E A L 4增强级和E A L 5增强级的具有中央处理器的I C卡嵌入式软件进行安全保护所需要的安全技术要求,涵盖了安全问题定义、安全目的、安全要求、基本原理等内容。本标准适用于具有中央处理器的I C卡嵌入式软件产品的测试、评估和采购,也可用于指导该类产品的研制和开发。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。G B/T1 8 3 3 6(所有部分)信息技术 安全技术 信息技术

7、安全评估准则G B/T2 5 0 6 92 0 1 0 信息安全技术 术语3 术语和定义、缩略语3.1 术语和定义G B/T2 5 0 6 92 0 1 0和G B/T1 8 3 3 6.1中界定的以及下列术语和定义适用于本文件。3.1.1个人化数据 P e r s o n a l i z a t i o nd a t a在I C卡嵌入式软件的个人化过程中写入的数据,用于配置与特定应用或用户相关的参数。3.2 缩略语下列缩略语适用于本文件。CM:配置管理(C o n f i g u r a t i o nM a n a g e m e n t)E A L:评估保障级(E v a l u a t

8、 i o nA s s u r a n c eL e v e l)E E P R OM:电可擦除可编程只读存储器(E l e c t r i c a l l y-E r a s a b l eP r o g r a mm a b l eR e a d-o n l yM e m o r y)I C:集成电路(I n t e g r a t e dC i r c u i t)I/O:输入/输出(I n p u t/O u t p u t)R AM:随机存取存储器(R a n d o m-A c c e s sM e m o r y)R OM:只读存储器(R e a d-O n l yM e m o

9、 r y)S T:安全目标(S e c u r i t yT a r g e t)TO E:评估对象(T a r g e to fE v a l u a t i o n)T S F:TO E安全功能(TO ES e c u r i t yF u n c t i o n a l i t y)1G B/T2 0 2 7 62 0 1 64 I C卡嵌入式软件描述具有中央处理器的I C卡嵌入式软件(简称I C卡嵌入式软件)存放在I C卡的非易失性存储器(例如R OM、E E P R OM或F l a s h等)中,并在I C卡芯片内运行。该软件用于管理芯片硬件资源和数据,通过芯片的通信接口与I C卡

10、终端设备交换信息,以响应用户发起的数据加密、数据签名及鉴权认证等应用请求,实现对应用功能的支持。一般情况下,I C卡嵌入式软件由负责处理芯片硬件接口,实现文件管理、安全支撑、通信处理和应用处理等功能的模块组成,其中安全支撑模块提供安全配置、安全事务处理及密码支持等功能,以便为其他模块的安全执行提供支持,以保护I C卡的内部数据及安全功能。文件管理模块和通信处理模块作为基础模块,主要用于实现对应用功能的支持。I C卡嵌入式软件的一般结构及运行环境如图1所示。在嵌入式软件的运行环境中,用户和(TO E开发、个人化及发卡等阶段的)管理员可通过I C卡终端与I C卡嵌入式软件交互,管理员也可能通过操作

11、芯片中的I C专用软件下载嵌入式软件并配置I C卡硬件平台。另一方面,攻击者可以通过发送、监听和篡改通信消息以及探测I C卡芯片电路等方式实施攻击,以获取或破坏敏感数据信息,甚至滥用安全功能。为此,I C卡嵌入式软件应采取防护措施以保障嵌入式软件的数据和功能的安全。图1 I C卡嵌入式软件的一般结构及运行环境5 安全问题定义5.1 资产需要保护的资产:T S F数据(如TO E中的访问控制列表、鉴别状态、安全配置数据、管理性的密钥等信息);用户数据(TO E中不属于T S F数据的信息,如用户身份标识等信息);安全能力(如TO E的签名能力和动态码产生能力等)。应用说明:S T编写者应根据具体

12、的应用情况细化对资产的描述。2G B/T2 0 2 7 62 0 1 65.2 威胁5.2.1 物理操纵(T.P h y s i c a l_M a n i p u l a t i o n)攻击者可利用I C卡芯片失效性分析和半导体逆向工程技术,对I C卡芯片实施物理剖片,以获取I C卡芯片设计信息和嵌入式软件的二进制代码,进而探测T S F数据和用户数据信息。攻击者也可能对I C卡芯片实施物理更改,以达到获取或改变数据信息或安全功能的目的。I C卡芯片可能会在未上电或已上电状态下受到此类攻击,在遭受攻击后可能会处于无法操作的状态。5.2.2 信息泄漏(T.I n f o_L e a k)攻击

13、者可对TO E正常使用过程中泄漏的信息加以利用,以猜测T S F数据或用户数据。功耗、电磁辐射、I/O特性、运算频率、时耗等侧信道信息的变化情况都有可能造成信息的泄漏。攻击者可通过采用接触式(如功耗)或非接触式(如电磁辐射和时耗)的信号测量,得到与正在执行的操作有关的信息,进而采用信号处理和统计分析等技术来获得密钥等敏感信息。5.2.3 故障利用(T.F a i l u r e_E x p l o i t a t i o n)攻击者可通过分析TO E的运行故障以获取T S F数据、用户数据或滥用TO E的安全功能。这些故障可能是通过改变TO E的运行环境(如温度、电压、频率等,或通过注入强光等

14、方式)而触发的,也可能是由于TO E本身的设计缺陷而自发产生的,这些故障可能导致TO E的代码、系统数据或执行过程发生错误,使TO E在故障下运行,从而导致敏感数据泄漏。5.2.4 生命周期功能滥用(T.L i f e c y c l e_M i s u s e)攻击者可利用相关接口,尤其是测试和调试接口来获取T S F数据或用户数据。这些接口在TO E生命周期的过往阶段是必要的,但在现阶段是被禁止的。例如,若测试命令或调试命令在使用阶段仍可用,则可被攻击者用于读取存储器内容或执行其他功能。5.2.5 逻辑攻击(T.L o g i c a l_A t t a c k)攻击者可利用TO E的逻辑

15、接口,采用暴力猜解、被动侦听或适应性地选择指令输入等方式来获取/修改用户数据或T S F数据,或者滥用TO E的安全功能,主要包括以下形式:a)密码攻击:攻击者可利用密码算法或协议的安全缺陷实现攻击,以达到获取密钥、猜测随机数或解密密文等目的。b)重放攻击:攻击者可通过重放历史数据,如重放通过侦听获得的鉴别数据来旁路安全机制,以获取敏感数据信息或滥用TO E的安全功能。c)访问控制措施旁路:攻击者可通过利用TO E对文件及其他数据的访问控制缺陷,绕过访问控制规则,以读取、删除或修改用户数据或T S F数据。d)残余信息利用:攻击者可利用TO E对计算过程中的残留信息的处理缺陷,在TO E执行过

16、程中对未删除的残留信息进行攻击,以获取敏感信息或滥用TO E的安全功能。应用说明:逻辑接口是TO E与智能终端之间的数据交换接口,包括语法上遵循国际标准定义或行业私有定义的指令与响应码。攻击者可能利用认证系统或指令系统缺陷,通过分析指令及其响应码,绕过存储器访问控制机制,以非法获得存储器内容、密钥和P I N等信息,或达到滥用TO E安全功能等目的。S T编写者应根据应用情况完善对逻辑攻击的描述。3G B/T2 0 2 7 62 0 1 65.2.6 非法程序攻击(T.I l l e g a l P r g_A t t a c k)攻击者可通过安装带有恶意代码的应用程序(如木马程序)来获取/修

17、改TO E代码或数据,或滥用TO E的安全功能;在TO E进入使用阶段前,开发者(或配置者)也可能有意地(或无意地,如使用了恶意的编译器)引入非法程序或错误,使TO E在使用阶段泄漏敏感信息或导致安全功能被滥用。应用说明:对于可以下载新应用的嵌入式软件而言,需要在整个生命周期阶段考虑此攻击;对于无法下载新应用的单应用的嵌入式软件,主要在使用阶段前的其他生命周期阶段中考虑此攻击。5.3 组织安全策略5.3.1 密码管理(P.C r y p t o_M a n a g e m e n t)密码的使用必须符合国家制定的相关信息技术安全标准。5.3.2 标识数据管理(P.I d D a t a_M a

18、 n a g e m e n t)I C卡嵌入式软件的初始化、个人化等过程应具备标识TO E的能力。应用说明:I C卡嵌入式软件的初始化、个人化过程可产生多种标识信息,这些信息存储在I C卡内部,可用于向外部发行实体标识TO E,如厂商信息、版本号、激活时间等,以实现对生产情况的回溯查询能力。这些标识信息随嵌入式软件的不同而存在差异,在编写S T文档时应描述具体的标识方法和内容。5.3.3 芯片选型(P.C h i p_S e l e c t i o n)TO E应采用至少通过E A L 4+测评的I C卡芯片。5.4 假设5.4.1 通信信道(A.C o mm_C h a n n e l)假

19、定TO E与I C卡终端之间的通信信道是安全可靠的(如满足私密性和完整性)。应用说明:S T编写者应根据嵌入式软件的具体应用情况解释“安全可靠”的具体含义。5.4.2 应用程序(A.A p p_P r o g r a m)假定在TO E中安装应用程序的流程符合规范,且合法安装的应用程序不包含恶意代码。5.4.3 芯片硬件(A.C h i p_H a r d w a r e)假定TO E运行所依赖的底层芯片具备足以保证TO E安全运行所需的物理安全防护能力。应用说明:TO E的底层芯片必须能够抵抗物理攻击、环境干扰攻击、侧信道攻击等。同时,芯片提供的密码功能可以是由处理器或安全算法库来实现的。5

20、.4.4 外部数据管理(A.O u t D a t a_M a n a g e m e n t)假定存放在TO E之外的数据,如TO E设计信息、初始化数据、管理性密钥等敏感信息,会以一种安全的方式进行管理。5.4.5 人员(A.P e r s o n n e l)假定使用TO E的人员已具备基本的安全防护知识并具有良好的使用习惯,且以安全的方式使用TO E。TO E开发、生产、个人化和发卡各阶段的操作人员均按安全的流程进行操作。4G B/T2 0 2 7 62 0 1 66 安全目的6.1 T O E安全目的6.1.1 标识数据存储(O.I d D a t a_S t o r a g e)T

21、O E应具备在非易失性存储器中存储初始化数据和个人化数据的能力。6.1.2 用户标识(O.U s e r_I d e n t i f i c a t i o n)TO E应明确地标识出可使用各种逻辑接口的用户。6.1.3 用户鉴别(O.U s e r_A u t h e n t i c a t i o n)用户应通过鉴别过程才可访问或使用TO E中的用户数据和安全功能数据。6.1.4 防重放攻击(O.R e p l a y_P r e v e n t i o n)TO E应提供安全机制以抵御重放攻击,如采用只可一次性使用的随机因子等措施。6.1.5 残留信息清除(O.R e s i d u a

22、 l I n f o_C l e a r a n c e)TO E应确保重要的数据在使用完成、或遭受掉电攻击后会被删除或被安全处理,不会留下可被攻击者利用的残留数据信息。6.1.6 信息泄漏防护(O.I n f o L e a k_P r e v e n t i o n)TO E应提供控制或限制信息泄漏的方法,使得通过测量功耗、电磁辐射、时耗等信息的变化情况无法或难以获得用户数据和安全功能数据。6.1.7 数据访问控制(O.D a t a A c c_C o n t r o l)TO E应对在TO E内部的用户数据和安全功能数据实施访问控制措施,防止在未授权情况下被访问、修改或删除。6.1.8

23、 状态恢复(O.S t a t u s_R e c o v e r y)TO E在检测到故障后应将工作状态恢复或调整至安全状态,防止攻击者利用故障实施攻击。6.1.9 生命周期功能控制(O.L i f e c y c l e_C o n t r o l)TO E应对自身安全功能的可用性进行生命周期阶段划分,或进行权限控制,以防止攻击者滥用这些功能(如下载模式下的某些功能应在TO E交付后关闭)。6.1.1 0 密码安全(O.C r y p t o_S e c u r i t y)TO E应以一个安全的方式支持密码功能,其使用的密码算法必须符合国家、行业或组织要求的密码管理相关标准或规范。应用说

24、明:如果TO E所使用的密码算法均由芯片实现,则应将此安全目的移至S T的环境安全目的中。5G B/T2 0 2 7 62 0 1 66.2 环境安全目的6.2.1 人员(O E.P e r s o n n e l)TO E开发、初始化和个人化等生命周期阶段中涉及的特定人员应能严格地遵守安全的操作规程,以保证TO E在生命周期过程中的安全性。6.2.2 通信信道(O E.C o mm_C h a n n e l)TO E与I C卡终端之间的通信路径是可信的,能为通信过程提供保密性和完整性保障。6.2.3 应用程序(O E.A p p_P r o g r a m)安装应用程序到TO E的流程必须

25、规范,且合法安装的应用程序不应包含恶意代码。6.2.4 芯片硬件(O E.C h i p_H a r d w a r e)TO E的底层芯片必须能够抵抗物理攻击、环境干扰攻击和侧信道攻击等。6.2.5 外部数据管理(O E.O u t D a t a_M a n a g e m e n t)应对在I C卡芯片外部存储的相关数据(如TO E的设计信息、开发及测试工具、实现代码及相关文档、初始化数据、管理性密钥等)进行机密性和完整性处理,并采取安全的管理措施。7 安全要求7.1 安全功能要求7.1.1 安全功能要求概述表1列出了I C卡嵌入式软件的安全功能组件,其详细内容将在下面分条描述。在描述过

26、程中,方括号【】中的粗体字内容表示已经完成的操作,粗体斜体字内容表示还需在安全目标(S T)中确定的赋值及选择项。表1 安全功能组件组件分类安全功能组件序号备注E A L 4+E A L 5+F C S类:密码支持F C S_C KM.1密钥生成1F C S_C KM.4密钥销毁2F C S_C O P.1密码运算3F D P类:用户数据保护F D P_A C C.1子集访问控制4F D P_A C F.1基于安全属性的访问控制5F D P_I F C.1子集信息流控制6F D P_I T T.1基本内部传送保护7F D P_R I P.1子集残余信息保护8N/AF D P_R I P.2完全

27、残余信息保护9N/A6G B/T2 0 2 7 62 0 1 6表1(续)组件分类安全功能组件序号备注E A L 4+E A L 5+F I A类:标识和鉴别F I A_A F L.1鉴别失败处理1 0F I A_A T D.1用户属性定义1 1F I A_S O S.1秘密的验证1 2F I A_UAU.1鉴别的时机1 3F I A_UAU.4一次性鉴别机制1 4F I A_UAU.5多重鉴别机制1 5F I A_UAU.6重鉴别1 6F I A_U I D.1标识的时机1 7FMT类:安全管理FMT_MO F.1安全功能行为的管理1 8FMT_M S A.1安全属性的管理1 9FMT_M

28、S A.3静态属性初始化2 0FMT_MT D.1T S F数据的管理2 1FMT_MT D.2T S F数据限值的管理2 2FMT_S MF.1管理功能规范2 3FMT_S MR.1安全角色2 4F P T类:T S F保护F P T_F L S.1失效即保持安全状态2 5F P T_I T T.1内部T S F数据传送的基本保护2 6F P T_R C V.4功能恢复2 7F P T_R P L.1重放检测2 8F P T_T S T.1T S F测试2 9 注:代表在该保障级下应选择该组件;代表在该保障级下可选择该组件;N/A代表在该保障级下该组件不适用。7.1.2 安全功能要求描述7.

29、1.2.1 密钥生成(F C S_C KM.1)F C S_C KM.1.1 I C卡嵌入式软件安全功能应根据符合下列标准【赋值:相关标准】的一个特定的密钥生成算法【赋值:密钥生成算法】和规定的密钥长度【赋值:密钥长度】来生成密钥。应用说明:该组件仅适用于密钥生成功能由嵌入式软件本身完成的情况,此时S T编写者应根据密码算法的具体情况,赋值国家主管部门认可的相关标准及参数。若密钥由外部环境生成,则可以不选择此组件。7.1.2.2 密钥销毁(F C S_C KM.4)F C S_C KM.4.1 I C卡嵌入式软件安全功能应根据符合下列标准【赋值:标准列表】的一个特定的密钥销毁方法【赋值:密钥销

30、毁方法】来销毁密钥。7G B/T2 0 2 7 62 0 1 6应用说明:S T编写者应根据密码算法的具体情况赋值国家主管部门认可的相关标准及密钥销毁方法。7.1.2.3 密码运算(F C S_C O P.1)F C S_C O P.1.1 I C卡嵌入式软件安全功能应根据符合下列标准【赋值:标准列表】的特定的密码算法【赋值:密码算法】和密钥长度【赋值:密钥长度】来行执【赋值:密码运算列表】。应用说明:S T编写者应根据密码算法的具体情况赋值国家主管部门认可的相关标准及参数。7.1.2.4 子集访问控制(F D P_A C C.1)F D P_A C C.1.1 I C卡嵌入式软件安全功能应对

31、【用户,管理员,赋值:其他主体列表】【选择:删除、修改、读取,使用,【赋值:其他具体操作列表】【用户数据,赋值:其他客体列表】执行【I C卡嵌入式软件用户数据访问控制策略】。应用说明:S T编写者应根据具体情况细化用户数据和操作列表,且根据用户和管理员操作客体和相应控制策略的不同,应在S T中将此组件分为不同的点进行描述,此原则适用于以下各组件的描述情况。7.1.2.5 基于安全属性的访问控制(F D P_A C F.1)F D P_A C F.1.1 I C卡嵌入式软件安全功能应基于【用户,管理员,赋值:其他主体列表】的【鉴别状态,赋值:其他安全策略相关的安全属性或属性组】对客体执行【I C

32、卡嵌入式软件用户数据访问控制策略】。F D P_A C F.1.2 I C卡嵌入式软件安全功能应执行以下规则,以决定在受控主体与受控客体间的一个操作是否被允许:【用户鉴别是否通过,管理员鉴别是否通过,赋值:在受控主体和受控客体间,通过对受控客体采取受控操作来管理访问的一些规则】。F D P_A C F.1.3 I C卡嵌入式软件安全功能应基于以下附加规则:【赋值:基于安全属性的,明确授权主体访问客体的规则】,明确授权主体访问客体。F D P_A C F.1.4 I C卡嵌入式软件安全功能应基于【赋值:基于安全属性的,明确拒绝主体访问客体的规则】明确拒绝主体访问客体。应用说明:S T编写者应根据

33、具体应用细化客体和操作列表。若嵌入式软件没有附加访问控制策略,可不对F D P_A C F.1.3和F D P_A C F.1.4的相应赋值项赋值。7.1.2.6 子集信息流控制(F D P_I F C.1)F D P_I F C.1.1 I C卡嵌入式软件安全功能应对【用户数据访问,赋值:其他导致受控信息流入、流出受控主体的操作列表】执行【数据传输过程的保密性处理策略,赋值:其他信息流控制策略】。7.1.2.7 基本内部传送保护(F D P_I T T.1)F D P_I T T.1.1 在I C卡嵌入式软件物理上分隔的部分之间,如不同软件模块之间传递用户数据时,I C卡嵌入式软件安全功能应

34、执行【数据传输过程的保密性处理策略,【赋值:其他信息流控制策略】,以防止用户数据被【选择:泄漏,篡改,或无法使用】。7.1.2.8 子集残余信息保护(F D P_R I P.1)F D P_R I P.1.1 I C卡嵌入式软件安全功能应确保一个资源的任何先前信息内容,在【选择:分配资源到、释放资源自】下列客体:【E E P R OM、F l a s h,赋值:其他客体列表】时不再可用。8G B/T2 0 2 7 62 0 1 67.1.2.9 完全残余信息保护(F D P_R I P.2)F D P_R I P.2.1 I C卡嵌入式软件安全功能应确保一个资源的任何先前信息内容,在【选择:分

35、配资源到、释放资源自】所有客体时不再可用。7.1.2.1 0 鉴别失败处理(F I A_A F L.1)F I A_A F L.1.1 I C卡嵌入式软件安全功能应能检测出当【选择:【赋值:正整数】,管理员可设置的【赋值:可接受数值范围】内的一个正整数】时,与【选择:用户鉴别,管理员鉴别,【赋值:其他鉴别事件列表】相关的未成功鉴别尝试。F I A_A F L.1.2 当【选择:达到,超过】所定义的未成功鉴别尝试次数时,I C卡嵌入式软件安全功能应采取的【赋值:动作列表(如临时锁定鉴别功能至一段时间后再开启,或永久锁定鉴别功能并进入废止阶段)】。7.1.2.1 1 用户属性定义(F I A_A

36、T D.1)F I A_AT D.1.1 I C卡嵌入式软件安全功能应维护属于单个用户的下列安全属性列表:【选择:用户标识、P I N和密钥等鉴别数据、用户角色、【赋值:其他安全属性】。7.1.2.1 2 秘密的验证(F I A_S O S.1)F I A_S O S.1.1 I C卡嵌入式软件安全功能应提供一种机制以验证秘密满足保证鉴别机制安全性的安全要求。应用说明:此安全功能要求中的秘密是指如鉴别密钥、P I N等I C卡嵌入式软件安全功能数据。在E A L 5+的情况下,I C卡嵌入式软件应对保存的秘密的质量进行验证,以加强秘密设置的安全性。7.1.2.1 3 鉴别的时机(F I A_U

37、 A U.1)F I A_UAU.1.1 在用户被鉴别前,I C卡嵌入式软件安全功能应允许执行代表用户的【赋值:I C卡嵌入式软件安全功能仲裁的动作列表(如读取软件标识信息操作)】。F I A_UAU.1.2 在允许执行代表该用户的任何其他由I C卡嵌入式软件安全功能促成的动作前,I C卡嵌入式软件安全功能应要求每个用户都已被成功鉴别。7.1.2.1 4 一次性鉴别机制(F I A_U A U.4)F I A_UAU.4.1 I C卡嵌入式软件安全功能应防止与【用户鉴别,管理员鉴别,赋值:其他确定的鉴别机制】有关的鉴别数据的重用。7.1.2.1 5 多重鉴别机制(F I A_U A U.5)F

38、 I A_UAU.5.1 I C卡嵌入式软件安全功能应提供【赋值:多重鉴别机制列表,如P I N验证和按键确认双重鉴别机制】以支持用户鉴别。F I A_UAU.5.2 I C卡嵌入式软件安全功能应根据【赋值:多重鉴别机制的工作规则】鉴别任何用户所声称的身份。应用说明:在E A L 5+的情况下,I C卡嵌入式软件应要求对重要的安全功能必须进行多重鉴别的能力,以实现基于多重因素的鉴别,如P I N验证和按键确认,或生物特征识别等,S T编写者应细化此功能要求。7.1.2.1 6 重鉴别(F I A_U A U.6)F I A_UAU.6.1 I C卡嵌入式软件安全功能应在【安全状态复位后,赋值:

39、其他需要重鉴别的条件9G B/T2 0 2 7 62 0 1 6列表】条件下重新鉴别用户。7.1.2.1 7 标识的时机(F I A_U I D.1)F I A_U I D.1.1 在用户被识别之前,I C卡嵌入式软件安全功能应允许执行代表用户的【赋值:其他I C卡嵌入式软件安全功能仲裁的动作列表(如读取嵌入式软件的版本信息操作)】。F I A_U I D.1.2 在允许执行代表该用户的任何其他I C卡嵌入式软件安全功能仲裁动作之前,I C卡嵌入式软件安全功能应要求每个用户身份都已被成功识别。7.1.2.1 8 安全功能行为的管理(F MT_MO F.1)FMT_MO F.1.1I C卡嵌入式

40、软件安全功能应仅限于【管理员,赋值:其他已标识的授权角色】对功能【选择:解锁鉴别状态,初始化,【赋值:其他功能列表】具有【选择:确定其行为、终止、激活、修改其行为】的能力。7.1.2.1 9 安全属性的管理(F MT_M S A.1)FMT_M S A.1.1 I C卡嵌入式软件安全功能应执行【I C卡嵌入式软件用户数据访问控制策略,赋值:其他访问控制策略、信息流控制策略】,以仅限于【管理员,赋值:其他已标识的授权角色】能够对安全属性【赋值:安全属性列表】进行【重置,选择:改变默认值、查询、修改、删除、【赋值:其他操作】。7.1.2.2 0 静态属性初始化(F MT_M S A.3)FMT_M

41、 S A.3.1 I C卡嵌入式软件安全功能应执行【I C卡嵌入式软件用户数据访问控制策略,赋值:其他访问控制策略、信息流控制策略】,以便为用于执行I C卡嵌入式软件安全功能的安全属性提供【选择:受限的、许可的、【赋值:其他特性】默认值。FMT_M S A.3.2 I C卡嵌入式软件安全功能应允许【管理员,赋值:已标识的授权角色】在创建客体或信息时指定替换性的初始值以代替原来的默认值。7.1.2.2 1 T S F数据的管理(F MT_MT D.1)FMT_MT D.1.1 I C卡嵌入式软件安全功能应仅限于【管理员,赋值:其他已标识的授权角色】能够对【I C卡嵌入式软件的版本信息、激活时间等

42、标识数据,赋值:其他安全功能数据列表】进行【选择:改变默认值、查询、修改、删除、清除、【赋值:其他操作】操作。应用说明:S T编写者应根据具体应用情况细化对管理员角色的描述,使得嵌入式软件在进入用户使用阶段后,即便相应的管理员也无法对I C卡嵌入式软件的版本信息、激活时间等标识数据进行修改。7.1.2.2 2 T S F数据限值的管理(F MT_MT D.2)FMT_MT D.2.1 I C卡嵌入式软件安全功能应仅限于【管理员,赋值:其他已标识的授权角色】规定【连续鉴别失败尝试次数,赋值:其他安全功能数据列表】的限值。FMT_MT D.2.2 如果I C卡嵌入式软件安全功能数据达到或超过了设定

43、的限值,I C卡嵌入式软件安全功能应采取下面的动作:【赋值:要采取的动作(如锁定所有安全功能,或擦除所有敏感数据信息并进入废止状态)】。7.1.2.2 3 管理功能规范(F MT_S M F.1)FMT_S MF.1.1 I C卡嵌入式软件安全功能应能够执行如下管理功能:【应用初始化,生命周期功能控制等功能,赋值:I C卡嵌入式软件安全功能提供的安全管理功能列表】。01G B/T2 0 2 7 62 0 1 67.1.2.2 4 安全角色(F MT_S MR.1)FMT_S MR.1.1 I C卡嵌入式软件安全功能应维护角色【管理员,用户,赋值:已标识的授权角色】。FMT_S MR.1.2 I

44、 C卡嵌入式软件安全功能应能够把用户和角色关联起来。应用说明:S T编写者应根据具体应用情况完善对管理员角色的描述。7.1.2.2 5 失效即保持安全状态(F P T_F L S.1)F P T_F L S.1.1 I C卡嵌入式软件安全功能在下列失效发生时应保持一种安全状态:【掉电、自检失败,赋值:其他失效类型列表(如存储器空间分配或访问错误)】。7.1.2.2 6 内部T S F数据传送的基本保护(F P T_I T T.1)F P T_I T T.1.1 I C卡嵌入式软件安全功能应保护安全功能数据在物理上的分离部分,如不同的软件功能模块之间传送时不被【选择:泄漏,篡改】。7.1.2.2

45、 7 功能恢复(F P T_R C V.4)F P T_R C V.4.1 I C卡嵌入式软件安全功能应确保在【掉电、自检失败,赋值:其他功能和失效情景列表(如存储器访问错误)】时有如下特性,即功能或者成功完成,或者针对指明的失效情景恢复到一个前后一致的且安全的状态。7.1.2.2 8 重放检测(F P T_R P L.1)F P T_R P L.1.1 I C卡嵌入式软件安全功能应检测对以下实体的重放:【鉴别数据,赋值:其他实体列表】。F P T_R P L.1.2 检测到重放时,I C卡嵌入式软件安全功能应执行【赋值:具体操作列表(如恢复至未鉴别状态,或在检测到连续多次重放后临时锁定安全功

46、能)】。7.1.2.2 9 T S F测试(F P T_T S T.1)F P T_T S T.1.1 I C卡嵌入式软件安全功能应在【上电启动期间、正常工作期间、授权用户要求时,赋值:其他条件】时运行一套自检程序以证明【密码运算功能,【赋值:I C卡嵌入式软件的其他安全功能】运行的正确性。F P T_T S T.1.2 I C卡嵌入式软件安全功能应为授权用户提供验证【选择:T S F数据,【赋值:I C卡嵌入式软件的某些安全功能】完整性的能力。F P T_T S T.1.3 I C卡嵌入式软件安全功能应为授权用户提供验证所存储的T S F可执行代码完整性的能力。应用说明:在E A L 5+的

47、情况下,I C卡嵌入式软件应具有对重要的安全功能及数据进行自测的能力,以排除功能失常和数据被有意或无意篡改的情况发生。S T编写者应根据具体应用情况细化此功能要求。7.2 安全保障要求7.2.1 安全保障要求概述表2列出了I C卡嵌入式软件的安全保障组件。下述各条对各组件给出了详细的描述。11G B/T2 0 2 7 62 0 1 6表2 安全保障组件组件分类安全保障组件序号备注E A L 4+E A L 5+A D V类:开发A D V_A R C.1安全架构描述1A D V_F S P.4完备的功能规范2N/AA D V_F S P.5附加错误信息的完备的半形式化功能规范3N/AA D V

48、_I MP.1T S F实现表示4A D V_I N T.2内部结构合理5N/AA D V_T D S.3基础模块设计6N/AA D V_T D S.4半形式化模块设计7N/AAG D类:指导性文档AG D_O P E.1操作用户指南8AG D_P R E.1准备程序9A L C类:生命周期支持A L C_CMC.4生产支持和接受程序及其自动化1 0A L C_CM S.4问题跟踪CM覆盖1 1N/AA L C_CM S.5开发工具CM覆盖1 2N/AA L C_D E L.1交付程序1 3A L C_D V S.1安全措施标识1 4N/AA L C_D V S.2充分的安全措施1 5N/AA

49、 L C_L C D.1开发者定义的生命周期模型1 6A L C_TA T.1明确定义的开发工具1 7N/AA L C_TA T.2遵从实现标准1 8N/AA S E类:安全目标评估A S E_C C L.1符合性声明1 9A S E_E C D.1扩展组件定义2 0A S E_I N T.1S T引言2 1A S E_O B J.2安全目的2 2A S E_R E Q.2推导出的安全要求2 3A S E_S P D.1安全问题定义2 4A S E_T S S.1T O E概要规范2 5A T E类:测试A T E_C OV.2覆盖分析2 6A T E_D P T.2测试:安全执行模块2 7N

50、/AA T E_D P T.3测试:模块设计2 8N/AA T E_F UN.1功能测试2 9A T E_I N D.2独立测试抽样3 021G B/T2 0 2 7 62 0 1 6表2(续)组件分类安全保障组件序号备注E A L 4+E A L 5+AVA类:脆弱性评定AVA_VAN.4系统的脆弱性分析3 1N/AAVA_VAN.5高级的系统的脆弱性分析3 2N/A 注1:代表在该保障级下,应选择该组件。N/A代表在该保障级下,该组件不适用。注2:对于安全保障组件的选取,本标准在E A L 4的基础上将A V A_V A N.3增强为A V A_V A N.4和A V A_V A N.5,