GB-T 22186-2016 信息安全技术 具有中央处理器的IC卡芯片安全技术要求.pdf

《GB-T 22186-2016 信息安全技术 具有中央处理器的IC卡芯片安全技术要求.pdf》由会员分享，可在线阅读，更多相关《GB-T 22186-2016 信息安全技术 具有中央处理器的IC卡芯片安全技术要求.pdf（37页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、I C S3 5.0 4 0L8 0中 华 人 民 共 和 国 国 家 标 准G B/T2 2 1 8 62 0 1 6代替G B/T2 2 1 8 62 0 0 8信息安全技术具有中央处理器的I C卡芯片安全技术要求I n f o r m a t i o ns e c u r i t y t e c h n i q u e sS e c u r i t y t e c h n i c a l r e q u i r e m e n t s f o r I Cc a r dc h i pw i t hC P U2 0 1 6-0 8-2 9发布2 0 1 7-0 3-0 1实施中华人民共和国国

2、家质量监督检验检疫总局中 国 国 家 标 准 化 管 理 委 员 会发 布目 次前言引言1 范围12 规范性引用文件13 术语和定义、缩略语1 3.1 术语和定义1 3.2 缩略语24 I C卡芯片描述25 安全问题定义3 5.1 资产3 5.2 威胁3 5.3 组织安全策略4 5.4 假设56 安全目的5 6.1 I C卡芯片安全目的5 6.2 环境安全目的67 扩展组件定义6 7.1 族FMT_L I M定义6 7.2 族F P T_T S T定义78 安全要求8 8.1 安全功能要求8 8.2 安全保障要求1 29 基本原理2 8 9.1 安全目的的基本原理2 8 9.2 安全要求的基本

3、原理2 9 9.3 组件依赖关系基本原理3 1参考文献3 3G B/T2 2 1 8 62 0 1 6前 言 本标准按照G B/T1.12 0 0 9给出的规则起草。本标准代替G B/T2 2 1 8 62 0 0 8 信息安全技术 具有中央处理器的集成电路(I C)卡芯片安全技术要求(评估保证级4增强级)。本标准与G B/T2 2 1 8 62 0 0 8相比,主要变化如下:标准名称变更为 信息安全技术 具有中央处理器的I C卡芯片安全技术要求;第3章对术语进行了更新描述;第4章重新描述了I C卡芯片的结构,并进行了更清晰的TO E范围定义;第5章对安全问题定义进行了整合和精简,共定义了6个

4、威胁,2项组织安全策略和2个假设;第6章根据新的安全问题定义更新了对TO E安全目的的描述;第7章描述了两个扩展族FMT_L I M和F P T_T S T,分别用于处理对TO E的受限可用性以及自检相关的安全功能要求,以便更合理的描述I C卡芯片的安全性;第8章对安全功能要求进行了调整,以细化新的安全目的描述,明确指出了E A L 4+、E A L 5+和E A L 6+分别应满足的安全功能要求;并对安全保证要求进行了调整,增加了E A L 5+和E A L 6+要求的保障组件;第9章对新的安全问题定义与安全目的、安全目的与安全要求之间的对应关系基本原理进行了更新描述,并分析了组件之间的依赖

5、关系。本标准由全国信息安全标准化技术委员会(S A C/T C2 6 0)提出并归口。本标准起草单位:中国信息安全测评中心、北京多思科技工业园股份有限公司、清华大学、吉林信息安全测评中心。本标准主要起草人:杨永生、张翀斌、石竑松、高金萍、王宇航、李贺鑫、贾炜、曹春春、沈敏锋、乌力吉、张向民、唐喜庆、闻明、昌彦伟、方欣。本标准所代替标准的历次版本发布情况为:G B/T2 2 1 8 62 0 0 8。G B/T2 2 1 8 62 0 1 6引 言 I C卡芯片应用范围的扩大和应用环境复杂性的增加,要求I C卡芯片具有更强的保护数据能力。本标准的E A L 4+是在E A L 4的基础上将AVA

6、_VAN.3增强为AVA_VAN.4;E A L 5+是在E A L 5的基础上将A L C_D V S.1增强为A L C_D V S.2,AVA_VAN.4增强为AVA_VAN.5;E A L 6+是在E A L 6的基础上增加A L C_F L R.1。G B/T2 2 1 8 62 0 1 6信息安全技术具有中央处理器的I C卡芯片安全技术要求1 范围本标准规定了对具有中央处理器的集I C卡芯片达到E A L 4+、E A L 5+、E A L 6+所要求的安全功能要求及安全保障要求,涵盖了安全问题定义、安全目的、扩展组件定义、安全要求、基本原理等内容。本标准适用于I C卡芯片产品的测

7、试、评估和采购,也可用于指导该类产品的研制和开发。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。G B/T1 8 3 3 6(所有部分)信息技术 安全技术 信息技术安全评估准则G B/T2 5 0 6 92 0 1 0 信息安全技术 术语3 术语和定义、缩略语3.1 术语和定义G B/T2 5 0 6 92 0 1 0和G B/T1 8 3 3 6.1界定的以及下列术语和定义适用于本文件。3.1.1I C专用软件 I Cd e d i c a t e ds o f t

8、 w a r e由I C卡芯片设计者开发,并存在于I C卡集成电路中的专用软件。这些专用软件通常在生产过程中用于测试,也可以用来提供额外的服务以便于硬件使用,其中专用测试软件的部分功能只限定在特定阶段使用。3.1.2初始化数据 i n i t i a l i z a t i o nd a t a由I C卡芯片制造者定义,用于标识芯片以便追踪生产过程和生命周期阶段的数据,如I C卡芯片的唯一标识号。3.1.3预个人化数据 p r e-p e r s o n a l i z a t i o nd a t a在I C卡芯片制造阶段由制造者写入非易失性存储器中的数据,以便后续生命周期阶段追溯I C卡芯

9、片的制造过程。3.1.4I C卡嵌入式软件 I Cc a r de m b e d d e ds o f t w a r e存放在具有中央处理器的I C卡的非易失性存储器(例如R OM、E E P R OM或F l a s h等)中,并在I C卡芯片内运行的软件。该软件用于管理芯片硬件资源和数据,通过芯片的通信接口与I C卡终端设备交换信息,以响应用户发起的数据加密、数据签名及鉴权认证等应用请求,实现对应用功能的支持。1G B/T2 2 1 8 62 0 1 63.2 缩略语下列缩略语适用于本文件。C P U:中央处理器(C e n t r a lP r o c e s s i n gU n

10、i t)CM:配置管理(C o n f i g u r a t i o nM a n a g e m e n t)E A L:评估保障级(E v a l u a t i o nA s s u r a n c eL e v e l)E E P R OM:电可擦除可编程只读存储器(E l e c t r i c a l l y-E r a s a b l eP r o g r a mm a b l eR e a d-o n l yM e m o r y)I C:集成电路(I n t e g r a t e dC i r c u i t)I/O:输入/输出(I n p u t/O u t p u t

11、)I T:信息技术(I n f o r m a t i o nT e c h n o l o g y)R AM:随机存取存储器(R a n d o m-A c c e s sM e m o r y)R OM:只读存储器(R e a d-O n l yM e m o r y)S T:安全目标(S e c u r i t yT a r g e t)TO E:评估对象(T a r g e to fE v a l u a t i o n)T S F:TO E安全功能(TO ES e c u r i t yF u n c t i o n a l i t y)U S B:通用串行总线(U n i v e

12、r s a lS e r i a lB u s)4 I C卡芯片描述本标准的评估对象(TO E)是指具有中央处理器的I C卡芯片(以下简称I C卡芯片),一般由处理单元、易失性存储器R AM和非易失性存储器R OM/E E P R OM/F l a s h、I/O接口(接触式,非接触式或其他类型接口,如U S B接口)、随机数生成器、密码协处理器和安全措施电路(如用于防止物理探测、环境压力威胁的硬件模块)等电路模块组成。此外,TO E还包括由集成电路设计者/制造者加入的I C专用软件。这些专用软件(也被称为I C固件)通常在生产过程中用于测试,也可以(如以库文件的形式)用来提供额外的服务以便硬

13、件使用。I C卡嵌入式软件是TO E的用户,运行在I C卡芯片中,但不属于TO E的组成部分。I C卡芯片的一般结构和运行环境如图1所示(值得注意的是,根据芯片的实际用途,I C卡芯片也可能不含某些电路模块,如R OM、E E P R OM等)。在此运行环境中,管理员可通过I C卡芯片中的I C专用软件(或直接通过芯片接口或电路)对芯片进行基本配置;另一方面,攻击者可以通过利用I C卡嵌入式软件接口,或探测I C卡芯片电路等方式来实施攻击,以破坏I C卡芯片的敏感数据信息或滥用其安全功能。为此,I C卡芯片应采取防护措施以保障芯片的数据和功能的安全。2G B/T2 2 1 8 62 0 1 6

14、图1 I C卡芯片的一般结构及运行环境5 安全问题定义5.1 资产需要保护的资产:T S F数据(如存储器访问控制寄存器等安全寄存器的配置、访问控制列表和预置密钥等信息);用户数据(如嵌入式软件代码、用户密钥或口令等与用户或具体应用相关的,但不属于T S F安全数据的信息);为嵌入式软件提供的安全服务(如安全算法库、随机数生成能力)。应用说明:S T编写者应根据具体的应用情况细化对资产的描述。5.2 威胁5.2.1 物理操纵(T.P h y s i c a l_M a n i p u l a t i o n)攻击者可利用I C卡芯片失效性分析和半导体逆向工程技术,对I C卡芯片实施物理剖片,以

15、获取3G B/T2 2 1 8 62 0 1 6I C卡芯片的设计信息,进而探测T S F数据和用户数据信息。攻击者也可能对I C卡芯片实施物理更改,以达到获取或改变数据信息或安全功能的目的。I C卡芯片可能会在未上电或已上电状态下受到此类攻击,在遭受攻击后可能会处于无法操作的状态。5.2.2 信息泄漏(T.I n f o_L e a k)攻击者可对I C卡芯片正常使用过程中泄漏的信息加以利用,以猜测T S F数据或用户数据。功耗、电磁辐射、I/O特性、运算频率、时耗等侧信道信息的变化情况都有可能造成信息的泄漏。攻击者可通过采用接触式(如功耗)或非接触式(如电磁辐射和时耗)的信号测量,得到与正

16、在执行的操作有关的信息,进而采用信号处理和统计分析等技术来获得密钥等敏感信息。5.2.3 故障利用(T.F a i l u r e_E x p l o i t a t i o n)攻击者可通过分析I C卡芯片的运行故障以获取敏感数据信息或滥用I C卡芯片的安全功能。这些故障可能是通过改变I C卡芯片的运行环境(如温度、电压、频率等,或通过注入强光等方式)而触发的,也可能是由于I C卡芯片本身的设计缺陷而自发产生的,这些故障可能导致I C卡芯片的代码、系统数据或执行过程发生错误,使I C卡芯片在故障下运行,从而导致敏感数据泄露。5.2.4 生命周期功能滥用(T.L i f e c y c l e

17、_A b u s e)攻击者可利用相关接口,尤其是测试和调试接口来获取T S F数据或用户数据。这些接口在I C卡芯片生命周期的过往阶段是必要的,但在现阶段是被禁止的。例如,若测试命令或调试命令在使用阶段仍可用,则可被攻击者用于显示存储器内容或执行其他功能。5.2.5 逻辑攻击(T.L o g i c a l_A t t a c k)攻击者可利用TO E的逻辑接口,采用暴力猜解、被动侦听或适应性地选择指令输入等方式来绕过芯片的存储器访问控制措施,获取(或修改)用户数据或T S F数据,或者滥用TO E的安全功能。应用说明:逻辑接口是I C卡芯片与智能终端之间的数据交换接口,包括语法上遵循国际标

18、准定义或行业私有定义的指令与响应码。攻击者可能利用I C卡芯片的认证系统或指令系统缺陷,通过分析指令及其响应码,绕过存储器访问控制机制,以非法获得存储器内容、密钥等信息,或达到滥用TO E安全功能等目的。5.2.6 随机数缺陷攻击(T.R N G D e f e c t_A t t a c k)攻击者可利用噪音源的不稳定性和低熵值等缺陷,预测或获取I C卡芯片安全服务中与随机数相关的信息。5.3 组织安全策略5.3.1 密码管理(P.C r y p t o_M a n a g e m e n t)密码的使用必须符合国家标准及行业或组织的信息技术安全标准或规范。5.3.2 标识数据管理(P.I

19、d D a t a_M a n a g e m e n t)I C卡芯片的生产、测试等过程应具备标识TO E的能力。4G B/T2 2 1 8 62 0 1 65.4 假设5.4.1 人员(A.P e r s o n n e l)假设I C卡芯片使用人员(如嵌入式软件的设计和开发人员)遵循一套安全的流程,严格遵照芯片用户指南及安全建议的要求调用芯片的安全规则和安全功能。I C卡芯片开发、测试、生产等各阶段的操作人员均能按安全的流程进行操作。5.4.2 外部数据管理(A.O u t D a t a_M a n a g e m e n t)假设在I C卡芯片之外的数据和密钥以一种安全的方式进行管理

20、。关于I C卡芯片结构、设计信息、开发及测试工具、实现代码及相关文档、初始化数据、所有者身份等敏感信息将被发行者或其他I C卡芯片之外的数据库存储。6 安全目的6.1 I C卡芯片安全目的6.1.1 物理防护(O.P h y s i c a l_P r o t e c t i o n)I C卡芯片应抵抗物理攻击,防止通过诸如剖片探测、电路篡改等手段实施的攻击,或能够提供安全措施显著增加实施此类攻击的困难性。6.1.2 信息泄漏防护(O.I n f o L e a k_P r e v e n t i o n)I C卡芯片必须提供控制和限制信息泄漏的方法,使得通过测量功耗、电磁辐射、时耗等信息的变

21、化情况难以获得敏感信息。6.1.3 故障处理(O.F a i l u r e_H a n d l i n g)I C卡芯片应使得即便暴露在非标准环境中时,也能防止安全信息泄漏,或使芯片进入一种安全的运行状态。这些环境影响因素包括温度、电压、时钟频率或外部能量场。6.1.4 生命周期功能控制(O.L i f e c y c l e_C o n t r o l)I C卡芯片应对自身安全功能的可用性进行生命周期阶段划分,或进行权限控制,以防止攻击者滥用这些功能(如测试模式下的某些功能应在I C卡芯片交付后关闭)。6.1.5 逻辑攻击抵抗(O.L o g A t t a c k_P r e v e n

22、 t i o n)I C卡芯片应能抵抗逻辑攻击,或能够提供安全措施显著增加实施此类攻击的困难性。6.1.6 随机数生成(O.R N D_G e n e r a t i o n)I C卡芯片应确保生成的随机数能满足应用要求的质量指标。例如,随机数应不能被预测,且具有一定的熵值,以防止攻击者猜测通过随机数生成的密钥、挑战值等信息。6.1.7 密码安全(O.C r y p t o_S e c u r i t y)I C卡芯片必须以一个安全的方式支持密码功能,其使用的密码算法必须符合国家、行业或组织要求的密码管理相关标准或规范。5G B/T2 2 1 8 62 0 1 66.1.8 标识数据存储(O.

23、I d D a t a_S t o r a g e)I C卡芯片必须提供在非易失性存储器中存储初始化数据和预个人化数据的手段。6.2 环境安全目的6.2.1 人员(O E.P e r s o n n e l)I C卡芯片的设计、开发、生产和交付等生命周期阶段中涉及的特定人员能严格地遵守安全的操作规程,以保证TO E在生命周期过程中的安全性。6.2.2 芯片使用(O E.C h i p_U s a g e)为了保证I C卡芯片能够被安全地使用,要求嵌入式软件开发人员应严格遵照I C卡芯片的用户指南和安全建议,以一套安全的流程进行嵌入式软件的设计和开发。6.2.3 外部数据管理(O E.O u t

24、 D a t a_M a n a g e m e n t)应对在I C卡芯片外部存储的相关数据(如I C卡芯片的设计信息、开发及测试工具、实现代码及相关文档、初始化数据、管理性密钥等)进行机密性和完整性处理,并采取安全的管理措施。7 扩展组件定义7.1 族F MT_L I M定义7.1.1 族行为为了定义TO E的I T安全功能要求,这里定义FMT类中扩展的FMT_L I M族,以描述TO E安全功能的能力和可用性相关的要求。本族定义了限制能力和功能可用性的要求。值得注意的是,F D P_A C F族规范了对功能的访问限制要求,而本族要求安全功能采纳特定的设计方法,以使其能力和可用性能得到控制

25、。7.1.2 组件层次FMT_L I M.1受限能力要求T S F采用了特定的设计方法,使其仅具备必需的能力(如执行动作,获取信息)。FMT_L I M.2受限可用性要求FMT_L I M.1提及的安全功能的可用性能得到控制,例如TO E某个阶段的特殊安全功能在进入下一阶段后将被删除或禁止,因而在进入新的阶段后将无法使用。7.1.3 F MT_L I M.1,F MT_L I M.2管理尚无预见的管理活动。6G B/T2 2 1 8 62 0 1 67.1.4 F MT_L I M.1,F MT_L I M.2审计尚无预见的审计活动。7.1.5 F MT_L I M.1受限能力从属于:无其他组

26、件。依赖于:FMT_L I M.2受限可用性。7.1.5.1 F MT_L I M.1.1T S F应采取某种能力受限的设计和实现方法,以便可与“受限可用性(FMT_L I M.2)”相结合来实施【赋值:受限能力和可用性策略】。应用说明:方括号【】中的粗体字的内容表示已经完成的操作,粗体斜体字的内容表示还需在安全目标(S T)中确定的赋值及选择项,此约定也适用于后续章节。7.1.6 F MT_L I M.2受限可用性从属于:无其他组件。依赖于:FMT_L I M.1受限能力。7.1.6.1 F MT_L I M.2.1T S F应采取某种可用性受限的设计和实现方法,以便可与“受限能力(FMT_

27、L I M.1)”相结合来实施【赋值:受限能力和可用性策略】。7.2 族F P T_T S T定义7.2.1 族行为F P T_T S T.1组件要求授权用户能验证T S F数据和T S F可执行代码的完整性,对I C卡芯片产品而言这个要求过于严格,因而并不完全适合I C卡芯片产品。另一方面,为了保障I C卡芯片的安全,又需要有安全功能自测能力,因此在族F P T_T S T中扩展了一个新的组件(通过裁剪F P T_T S T.1而得到的),以适于I C卡芯片实施安全功能自检。本族在原族的基础上扩展了一个新的组件,以便于I C卡芯片实施T S F自检功能。7.2.2 组件层次F P T_T S

28、 T.1为F P T_T S T中的原有组件,本标准保持其原始描述,不做任何修改。F P T_T S T.2子集T S F测试具有测试安全功能正确操作的能力。这些测试可以在调用安全算法模块时执行。7G B/T2 2 1 8 62 0 1 67.2.3 F P T_T S T.2管理尚无预见的管理活动。7.2.4 F P T_T S T.2审计尚无预见的审计活动。7.2.5 F P T_T S T.2子集T S F测试从属于:无其他组件。依赖关系:无依赖关系。7.2.5.1 F P T_T S T.2.1I C卡芯片安全功能应在【选择:初始化启动期间、正常工作期间周期性、授权用户要求时、在【赋值

29、:产生自检的条件】条件时】运行一套自检程序以证明【选择:【赋值:T S F的组成部分】、T S F】运行的正确性。8 安全要求8.1 安全功能要求8.1.1 概述表1列出了I C卡芯片安全功能组件,下述各条对各组件给出了详细描述。表1 安全功能组件安全功能类安全功能组件编号备注E A L 4+E A L 5+E A L 6+F C S类:密码支持F C S_C KM.1 密钥生成1F C S_C O P.1 密码运算2F D P类:用户数据保护F D P_A C C.1 子集访问控制3F D P_A C F.1 基于安全属性的访问控制4F D P_I F C.1 子集信息流控制5F D P_I

30、 T T.1 基本内部传送保护6F D P_S D I.1 存储数据完整性监视7N/AF D P_S D I.2 存储数据完整性监视和行动8F I A类:标识和鉴别F I A_UAU.1 鉴别的时机9F I A_A F L.1 鉴别失败处理1 08G B/T2 2 1 8 62 0 1 6表1(续)安全功能类安全功能组件编号备注E A L 4+E A L 5+E A L 6+FMT类:安全管理FMT_L I M.1 受限能力1 1FMT_L I M.2 受限可用性1 2FMT_M S A.1 安全属性的管理1 3FMT_M S A.3 静态属性初始化1 4FMT_MT D.1T S F 数据的

31、管理1 5FMT_S MF.1 管理功能规范1 6FMT_S MR.1 安全角色1 7F P T类:安全功能保护F P T_F L S.1 失效即保持安全状态1 8F P T_I T T.1 内部T S F数据传送的基本保护1 9F P T_P H P.3 物理攻击抵抗2 0F P T_T S T.2 子集T S F测试2 1F R U:资源利用F RU_F L T.2受限容错2 2 注:代表在该保障级下,应选择该组件;代表在该保障级下,可选择该组件;N/A代表在该保障级下,该组件不适用。8.1.2 描述8.1.2.1 密钥生成(F C S_C KM.1)F C S_C KM.1.1 I C卡

32、芯片安全功能应根据符合下列标准【赋值:标准列表】的一个特定的密钥生成算法【赋值:密钥生成算法】和规定的密钥长度【赋值:密钥长度】来生成密钥。应用说明:该组件仅适用于密钥生成功能由I C卡芯片本身完成的情况,此时S T编写者应根据密码算法的具体情况,赋值国家主管部门认可的相关标准及参数。若密钥由外部环境生成,则可以不选择此组件。8.1.2.2 密码运算(F C S_C O P.1)F C S_C O P.1.1 I C卡芯片安全功能应根据符合下列标准【赋值:标准列表】的特定的密码算法【赋值:密码算法】和密钥长度【赋值:密钥长度】来执行【赋值:密码运算列表】。应用说明:S T编写者应根据密码算法的

33、具体情况赋值国家主管部门认可的相关标准及参数。8.1.2.3 子集访问控制(F D P_A C C.1)F D P_A C C.1.1 I C卡芯片安全功能应对【I C卡嵌入式软件、管理员,赋值:其他主体列表】【读、写和执行,赋值:主体和客体之间的其他操作列表】操作【F l a s h,R AM,R OM存储器,及特殊功能寄存器,赋值:其他客体列表】执行【I C卡芯片存储器访问控制策略,赋值:其他I C卡芯片访问控制策略】。应用说明:S T编写者应根据具体情况细化用户数据和操作列表,且根据用户和管理员操作客体和相应控制策略的不同,应在S T中将此组件分为不同的点进行描述,此原则适用于以下各组件

34、的描述情况。9G B/T2 2 1 8 62 0 1 68.1.2.4 基于安全属性的访问控制(F D P_A C F.1)F D P_A C F.1.1 I C卡芯片安全功能应基于【存储器访问控制寄存器的值,赋值:其他安全策略相关的安全属性或安全属性组】对客体执行【I C卡芯片存储器访问控制策略,赋值:其他I C卡芯片访问控制策略】。F D P_A C F.1.2 I C卡芯片安全功能应执行以下规则,以决定在受控主体与受控客体间的一个操作是否被允许:【存储器访问控制寄存器的值是否满足访问要求,赋值:其他在受控主体和受控客体间,通过对受控客体采取受控操作来管理访问的一些规则】。F D P_A

35、C F.1.3 I C卡芯片安全功能应基于以下附加规则:【赋值:基于安全属性的,明确授权主体访问客体的规则】,明确授权主体访问客体。F D P_A C F.1.4 I C卡芯片安全功能应基于【赋值:基于安全属性的,明确拒绝主体访问客体的规则】明确拒绝主体访问客体。应用说明:S T编写者应根据具体应用细化主体、客体和操作列表,并描述相应的访问控制策略。若I C卡芯片没有附加的访问控制策略,可不对F D P_A C F.1.3和F D P_A C F.1.4的相应赋值项赋值。8.1.2.5 子集信息流控制(F D P_I F C.1)F D P_I F C.1.1 I C卡芯片安全功能应对【赋值:

36、I C卡芯片中处理或传输的用户数据,如用户密钥等敏感信息】执行【I C卡芯片数据处理策略】。应用说明:数据处理策略应要求除非I C卡嵌入式软件允许用户数据可通过外部接口访问,否则不能从I C卡芯片中泄露。8.1.2.6 基本内部传送保护(F D P_I T T.1)F D P_I T T.1.1 在I C卡芯片物理上分隔的不同的存储器、C P U与其他I C卡芯片功能模块(如密码协处理器)之间传递用户数据时,I C卡芯片安全功能应执行【I C卡芯片数据处理策略】,以防止用户数据被【选择:泄露,篡改,或无法使用】。8.1.2.7 存储数据完整性监视(F D P_S D I.1)F D P_S D

37、 I.1.1 I C卡芯片安全功能应基于下列属性:【用户数据完整性校验值,赋值:其他用户数据属性】,对所有客体,监视存储在由I C卡芯片安全功能控制的载体内的用户数据的【完整性错误】。应用说明:S T的编写者应对需要完整性监视的用户数据进行细化描述。8.1.2.8 存储数据完整性监视和行动(F D P_S D I.2)F D P_S D I.2.1 I C卡芯片安全功能应基于下列属性:【用户数据完整性校验值,赋值:其他用户数据属性】,对所有客体,监视存储在由I C卡芯片安全功能控制的载体内的用户数据的【完整性错误】。F D P_S D I.2.2 检测到数据完整性错误时,I C卡芯片安全功能应

38、【输出错误状态,赋值:采取的其他动作】。应用说明:S T的编写者应对采取的其他完整性错误处理动作进行细化描述。8.1.2.9 鉴别的时机(F I A_U A U.1)F I A_UAU.1.1 在用户被鉴别前,I C卡芯片安全功能应允许执行代表用户的【赋值:由I C卡芯片安全功能促成的动作列表,如读取I C卡芯片标识信息操作】。F I A_UAU.1.2 只有在用户已被成功鉴别后,才能执行所有其他受I C卡芯片安全功能控制的动作。01G B/T2 2 1 8 62 0 1 6应用说明:此处用户仅指执行I C专用软件相应功能的操作主体,即管理员角色。8.1.2.1 0 鉴别失败处理(F I A_

39、A F L.1)F I A_A F L.1.1 I C卡芯片安全功能应检测当【赋值:次数或数值范围】时,与【I C专用软件的管理员鉴别,赋值:其他鉴别事件列表】相关的未成功鉴别尝试。F I A_A F L.1.2 当【选择:达到,超过】所定义的未成功鉴别尝试次数时,I C卡芯片安全功能应采取的【赋值:动作列表,如永久锁定鉴别功能】。8.1.2.1 1 受限能力(F MT_L I M.1)FMT_L I M.1.1 I C卡芯片安全功能应采取某种能力受限的设计和实现方法,以便可与“受限可用性(FMT_L I M.2)”相结合来实施【赋值:受限的能力和可用性策略】。8.1.2.1 2 受限可用性(

40、F MT_L I M.2)FMT_L I M.2.1 I C卡芯片安全功能应采取某种可用性受限的设计和实现方法,以便可与“受限能力(FMT_L I M.1)”相结合来实施【赋值:受限的能力和可用性策略】。应用说明:S T的编写者应对受限的能力和可用性策略进行细化,以描述实施该策略的两个方面:一方面描述I C卡芯片安全功能在用户环境下可用,但是使其能力受限的规则;而另一方面描述I C卡芯片的安全功能在用户环境中被禁止或删除,从而不可用的方法的规则。8.1.2.1 3 安全属性的管理(F MT_M S A.1)FMT_M S A.1.1 I C卡芯片安全功能应执行【I C卡芯片存储器访问控制策略,

41、赋值:其他I C卡芯片访问控制策略、信息流控制策略】,以仅限于【管理员,赋值:已标识的其他授权角色】能够对安全属性【存储器访问控制寄存器的值,赋值:其他安全属性列表】进行【选择:改变默认值、查询、修改、删除、【赋值:其他操作】。8.1.2.1 4 静态属性初始化(F MT_M S A.3)FMT_M S A.3.1 I C卡芯片安全功能应执行【I C卡芯片存储器访问控制策略,赋值:其他访问控制策略、信息流控制策略】,以便为用于执行I C卡芯片安全功能策略的安全属性提供【选择:受限的、许可的、【赋值:其他特性】默认值。FMT_M S A.3.2 I C卡芯片安全功能应允许【管理员,赋值:已标识的

42、其他授权角色】在创建客体或信息时指定替换性的初始值以代替原来的默认值。8.1.2.1 5 T S F数据的管理(F MT_MT D.1)F MT_MT D.1.1 I C卡芯片安全功能应仅限于【管理员,赋值:已标识的其他授权角色】能够对【I C卡芯片的标识数据,赋值:其他安全功能数据列表】进行【选择:改变默认值、查询、修改、删除、清除、【赋值:其他操作】操作。应用说明:S T编写者应根据具体应用情况细化对管理员角色的描述,使得I C芯片在进入使用阶段后,即便相应的管理员也无法对芯片的标识数据进行修改。8.1.2.1 6 管理功能规范(F MT_S M F.1)FMT_S MF.1.1 I C卡

43、芯片安全功能应能够执行如下管理功能:【生命周期控制功能,赋值:其他I C卡芯片安全功能提供的安全管理功能列表】。11G B/T2 2 1 8 62 0 1 68.1.2.1 7 安全角色(F MT_S MR.1)FMT_S MR.1.1 I C卡芯片安全功能应维护角色【管理员,赋值:已标识的其他授权角色】。FMT_S MR.1.2 I C卡芯片安全功能应能够把用户和角色关联起来。应用说明:S T编写者应根据具体应用情况完善对管理员角色的描述。8.1.2.1 8 失效即保持安全状态(F P T_F L S.1)F P T_F L S.1.1 I C卡芯片安全功能在下列失效发生时应保持一种安全状态

44、:【电压异常、时钟频率异常、温度异常、光异常,赋值:安全功能的其他失败类型列表】。8.1.2.1 9 内部T S F数据传送的基本保护(F P T_I T T.1)F P T_I T T.1.1 I C卡芯片安全功能应保护I C卡芯片安全功能数据在不同的存储器之间、C P U与其他I C卡芯片功能模块之间(如密码协处理器)之间,传送时不被【选择:泄漏,篡改】。8.1.2.2 0 物理攻击抵抗(F P T_P H P.3)F P T_P H P.3.1 I C卡芯片安全功能应通过自动响应以抵抗对I C卡芯片安全功能【密码处理器、随机数生成器,赋值:其他T S F设备/元件列表】的【物理篡改和物理

45、探针攻击,如芯片逆向分析,赋值:其他各种物理侵害】,这样才能满足I C卡芯片安全功能要求。8.1.2.2 1 子集T S F测试(F P T_T S T.2)F P T_T S T.2.1 I C卡芯片安全功能应在【初始启动期间、正常工作期间、授权用户要求时、【赋值:其他产生自检的条件】运行一套自检程序以证明【密码运算功能,【赋值:I C卡芯片的其他安全功能】运转的正确性。8.1.2.2 2 受限容错(F R U_F L T.2)F RU_F L T.2.1 I C卡芯片安全功能应确保当以下失效:【未被失效即保持安全状态(F P T_F L S.1)检测到的电压、时钟频率、温度、光异常,赋值:

46、其他故障类型列表】发生时,所有I C卡芯片能力均能正常发挥。8.2 安全保障要求8.2.1 概述表2列出了安全保障组件。下述各条对各组件给出了详细的描述。21G B/T2 2 1 8 62 0 1 6表2 安全保障组件组件分类安全保障组件编号备注E A L 4+E A L 5+E A L 6+A D V类:开发A D V_A R C.1 安全架构描述1A D V_F S P.4 完备的功能规范2N/AN/AA D V_F S P.5 附加错误信息的完备的半形式化功能规范3N/AA D V_I MP.1 T S F实现表示4N/AA D V_I MP.2 T S F实现表示完全映射5N/AN/A

47、A D V_I N T.2 内部结构合理6N/AN/AA D V_I N T.3 内部复杂度最小化7N/AN/AA D V_S PM.1 形式化TO E安全策略模型8N/AN/AA D V_T D S.3 基础模块设计9N/AN/AA D V_T D S.4 半形式化模块设计1 0N/AN/AA D V_T D S.5 完全半形式化模块设计1 1N/AN/AAG D类:指导性文档A G D_O P E.1 操作用户指南1 2A G D_P R E.1 准备程序1 3A L C类:生命周期支持A L C_CMC.4 生产支持和接受程序及其自动化1 4N/AA L C_CMC.5 高级支持1 5N

48、/AN/AA L C_CM S.4 问题跟踪CM覆盖1 6N/AN/AA L C_CM S.5 开发工具CM覆盖1 7N/AA L C_D E L.1 交付程序1 8A L C_D V S.1 安全措施标识1 9N/AN/AA L C_D V S.2 充分的安全措施2 0N/AA L C_F L R.1 基本的缺陷纠正2 1N/AN/AA L C_L C D.1 开发者定义的生命周期模型2 2A L C_T A T.1 明确定义的开发工具2 3N/AN/AA L C_T A T.2 遵从实现标准2 4N/AN/AA L C_T A T.3 遵从实现标准所有部分2 5N/AN/AA S E类:安

49、全目标评估A S E_C C L.1 符合性声明2 6A S E_E C D.1 扩展组件定义2 7A S E_I N T.1 S T引言2 8A S E_O B J.2 安全目的2 9A S E_R E Q.2 推导出的安全要求3 0A S E_S P D.1 安全问题定义3 1A S E_T S S.1 T O E概要规范3 231G B/T2 2 1 8 62 0 1 6表2(续)组件分类安全保障组件编号备注E A L 4+E A L 5+E A L 6+A T E类:测试A T E_C OV.2 覆盖分析3 3N/AA T E_C OV.3 覆盖的严格分析3 4N/AN/AA T E_

50、D P T.2 测试:安全执行模块3 5N/AN/AA T E_D P T.3 测试:模块设计3 6N/AA T E_F UN.1 功能测试3 7N/AA T E_F UN.2 顺序的功能测试3 8N/AN/AA T E_I N D.2 独立测试抽样3 9AVA类:脆弱性评定AVA_VAN.4 系统的脆弱性分析4 0N/AN/AAVA_VAN.5 高级的系统的脆弱性分析4 1N/A 注1:代表在该保障级下,应选择该组件。N/A代表在该保障级下,该组件不适用。注2:对于安全保障组件的选取,本标准的E A L 4+是在E A L 4的基础上将AVA_VAN.3增强为AVA_VAN.4;E A L