信息安全技术具有中央处理器的IC卡嵌入式软件安全技术要求(GB-T 20276-2016).pdf
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_05.gif)
《信息安全技术具有中央处理器的IC卡嵌入式软件安全技术要求(GB-T 20276-2016).pdf》由会员分享,可在线阅读,更多相关《信息安全技术具有中央处理器的IC卡嵌入式软件安全技术要求(GB-T 20276-2016).pdf(38页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、ICS 35.040L80中中 华华 人人 民民 共共 和和 国国 国国 家家 标标 准准GB/T 20276XXXX代替 GB/T 20276-2006信息安全技术具有中央处理器的 IC 卡嵌入式软件安全技术要求Information Security technology Security requirements for embedded software in IC card with CPU点击此处添加与国际标准一致性程度的标识(报批稿)在提交反馈意见时,请将您知道的相关专利连同支持性文件一并附上(本稿完成日期:2014.8.28)XXXX-XX-XX 发布XXXX-XX-XX 实施
2、GB/T 20276XXXXI目次前言.II引言.III1范围.12规范性引用文件.13术语、定义和缩略语.13.1术语和定义.13.2缩略语.14IC 卡嵌入式软件描述.24.1概述.25安全问题定义.25.1资产.25.2威胁.35.3组织安全策略.45.4假设.46安全目的.56.1TOE 安全目的.56.2环境安全目的.57安全要求.67.1安全功能要求.67.2安全保障要求.118基本原理.238.1安全目的基本原理.238.2安全要求基本原理.268.3组件依赖关系.29参考文献.32GB/T 20276XXXXII前言本标准按照 GB/T 1.12009 给出的规则起草。本标准是
3、 GB/T 202762006信息安全技术 智能卡嵌入式软件安全技术要求(EAL4 增强级)的修订版。本标准与 GB/T 202762006 相比,主要变化如下:a)将标准名称变更为信息安全技术 具有中央处理器的 IC 卡嵌入式软件安全技术要求;b)第 3 章对术语进行了更新描述;c)第 4 章重新描述了 IC 卡嵌入式软件的结构和应用环境,并进行了更清晰的 TOE 范围定义;d)第 5 章对安全问题定义进行了整合和精简,共定义了 6 个威胁,3 项组织安全策略和 5 个假设;e)第 6 章根据新的安全问题定义更新了对 TOE 安全目的的描述;f)第 7 章对安全功能要求进行了调整,以细化新的
4、安全目的描述,明确指出了 EAL4+和 EAL5+分别应满足的安全功能要求;并对安全保障要求进行了调整,增加了 EAL5+要求的保障组件;g)第 8 章对新的安全问题定义与安全目的、安全目的与安全要求之间的对应关系基本原理重新进行了梳理,还分析了组件之间的依赖关系。本标准自发布之日起代替 GB/T 20276-2006。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准主要起草单位:中国信息安全测评中心、北京多思科技工业园股份有限公司、天地融科技股份有限公司、北京邮电大学、吉林信息安全测评中心本标准主要起草人:张翀斌、石竑松、高金萍、杨永生、王宇航、饶华一、王亚楠、陈
5、佳哲、李东声、李明、曹春春、沈敏锋、崔宝江、赵晶玲、唐喜庆、刘占丰、刘丽、邹兆亮本标准首次于2006年发布。GB/T 20276XXXXIII引言IC 卡应用范围的扩大和应用环境复杂性的增加,要求 IC 卡嵌入式软件具有更强的安全保护能力。本标准的EAL4+是在EAL4的基础上将AVA_VAN.3增强为AVA_VAN.4;EAL5+是在EAL5的基础上将AVA_VAN.4增强为AVA_VAN.5,并将ALC_DVS.1增强为ALC_DVS.2。本标准是按照GB/T 18336-xxxx的规则编写的。GB/T 20276XXXX1信息安全技术 具有中央处理器的 IC 卡嵌入式软件安全技术要求1范
6、围本标准规定了对 EAL4 增强级和 EAL5 增强级的具有中央处理器的 IC 卡嵌入式软件进行安全保护所需要的安全技术要求。本标准适用于具有中央处理器的IC卡嵌入式软件产品的测试、评估和采购,也可用于指导该类产品的研制和开发。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 25069-2010信息安全技术 术语3术语、定义和缩略语3.1术语和定义GB/T 25069及GB/T 18336中界定的以及下列术语和定义适用于本文件。3.1.1个人化数据Persona
7、lization data在IC卡嵌入式软件的个人化过程中写入的数据,用于配置与特定应用或用户相关的参数。3.2缩略语下列缩略语适用于本文件。CM配置管理(Configuration Management)EAL评估保障级(Evaluation Assurance Level)EEPROM电 可 擦 除 可 编 程 只 读 存 储 器(Electrically-Erasable ProgrammableRead-only Memory)IC集成电路(Integrated Circuit)I/O输入/输出(Input/Output)RAM随机存取存储器(Random-Access Memory)
8、ROM只读存储器(Read-Only Memory)ST安全目标(Security Target)TOE评估对象(Target of Evaluation)TSFTOE 安全功能(TOE Security Functionality)GB/T 20276XXXX24IC 卡嵌入式软件描述4.1概述具有中央处理器的 IC 卡嵌入式软件(简称 IC 卡嵌入式软件)存放在 IC 卡的非易失性存储器(例如 ROM、EEPROM 或 Flash 等)中,并在 IC 卡芯片内运行。该软件用于管理芯片硬件资源和数据,通过芯片的通信接口与 IC 卡终端设备交换信息,以响应用户发起的数据加密、数据签名及鉴权认证
9、等应用请求,实现对应用功能的支持。一般情况下,IC 卡嵌入式软件由负责处理芯片硬件接口,实现文件管理、安全支撑、通信处理和应用处理等功能的模块组成,其中安全支撑模块提供安全配置、安全事务处理及密码支持等功能,以便为其他模块的安全执行提供支持,以保护 IC 卡的内部数据及安全功能。文件管理模块和通信处理模块作为基础模块,主要用于实现对应用功能的支持。IC 卡嵌入式软件的一般结构及运行环境如图 1 所示。在嵌入式软件的运行环境中,用户和(TOE 开发、个人化及发卡等阶段的)管理员可通过 IC 卡终端与 IC 卡嵌入式软件交互,管理员也可能通过操作芯片中的 IC 专用软件下载嵌入式软件并配置 IC
10、卡硬件平台。另一方面,攻击者可以通过发送、监听和篡改通信消息以及探测 IC 卡芯片电路等方式实施攻击,以获取或破坏敏感数据信息,甚至滥用安全功能。为此,IC 卡嵌入式软件应采取防护措施以保障嵌入式软件的数据和功能的安全。图 1IC 卡嵌入式软件的一般结构及运行环境5安全问题定义5.1资产需要保护的资产:TSF 数据(如 TOE 中的访问控制列表、鉴别状态、安全配置数据、管理性的密钥等信息);用户数据(TOE 中不属于 TSF 数据的信息,如用户身份标识等信息);安全能力(如 TOE 的签名能力和动态码产生能力等)GB/T 20276XXXX3注:ST编写者应根据具体的应用情况细化对资产的描述。
11、5.2威胁5.2.1物理操纵(T.Physical_Manipulation)攻击者可利用 IC 卡芯片失效性分析和半导体逆向工程技术,对 IC 卡芯片实施物理剖片,以获取IC 卡芯片设计信息和嵌入式软件的二进制代码,进而探测 TSF 数据和用户数据信息。攻击者也可能对 IC 卡芯片实施物理更改,以达到获取或改变数据信息或安全功能的目的。IC卡芯片可能会在未上电或已上电状态下受到此类攻击,在遭受攻击后可能会处于无法操作的状态。5.2.2信息泄露(T.Info_Leak)攻击者可对 TOE 正常使用过程中泄漏的信息加以利用,以猜测 TSF 数据或用户数据。功耗、电磁辐射、I/O 特性、运算频率、
12、时耗等侧信道信息的变化情况都有可能造成信息的泄漏。攻击者可通过采用接触式(如功耗)或非接触式(如电磁辐射和时耗)的信号测量,得到与正在执行的操作有关的信息,进而采用信号处理和统计分析等技术来获得密钥等敏感信息。5.2.3故障利用(T.Failure_Exploitation)攻击者可通过分析 TOE 的运行故障以获取 TSF 数据、用户数据或滥用 TOE 的安全功能。这些故障可能是通过改变 TOE 的运行环境(如温度、电压、频率等,或通过注入强光等方式)而触发的,也可能是由于 TOE 本身的设计缺陷而自发产生的,这些故障可能导致 TOE 的代码、系统数据或执行过程发生错误,使 TOE 在故障下
13、运行,从而导致敏感数据泄露。5.2.4生命周期功能滥用(T.Lifecycle_Misuse)攻击者可利用相关接口,尤其是测试和调试接口来获取 TSF 数据或用户数据。这些接口在 TOE 生命周期的过往阶段是必要的,但在现阶段是被禁止的。例如,若测试命令或调试命令在使用阶段仍可用,则可被攻击者用于读取存储器内容或执行其它功能。5.2.5逻辑攻击(T.Logical_Attack)攻击者可利用 TOE 的逻辑接口,采用暴力猜解、被动侦听或适应性地选择指令输入等方式来获取/修改用户数据或 TSF 数据,或者滥用 TOE 的安全功能,主要包括以下形式:密码攻击:攻击者可利用密码算法或协议的安全缺陷实
14、现攻击,以达到获取密钥、猜测随机数或解密密文等目的。重放攻击:攻击者可通过重放历史数据,如重放通过侦听获得的鉴别数据来旁路安全机制,以获取敏感数据信息或滥用 TOE 的安全功能。访问控制措施旁路:攻击者可通过利用 TOE 对文件及其他数据的访问控制缺陷,绕过访问控制规则,以读取、删除或修改用户数据或 TSF 数据。残余信息利用:攻击者可利用 TOE 对计算过程中的残留信息的处理缺陷,在 TOE 执行过程中对未删除的残留信息进行攻击,以获取敏感信息或滥用 TOE 的安全功能。注:逻辑接口是TOE与智能终端之间的数据交换接口,包括语法上遵循国际标准定义或行业私有定义的指令与响应码。攻击者可能利用认
15、证系统或指令系统缺陷,通过分析指令及其响应码,绕过存储器访问控制机制,以非法获得存储器内容、密钥和PIN等信息,或达到滥用TOE安全功能等目的。ST编写者应根据应用情况完善对逻辑攻击的描述。GB/T 20276XXXX45.2.6非法程序攻击(T.IllegalPrg_Attack)攻击者可通过安装带有恶意代码的应用程序(如木马程序)来获取/修改 TOE 代码或数据,或滥用TOE 的安全功能;在 TOE 进入使用阶段前,开发者(或配置者)也可能有意地(或无意地,如使用了恶意的编译器)引入非法程序或错误,使 TOE 在使用阶段泄露敏感信息或导致安全功能被滥用。注:对于可以下载新应用的嵌入式软件而
16、言,需要在整个生命周期阶段考虑此攻击;对于无法下载新应用的单应用的嵌入式软件,主要在使用阶段前的其他生命周期阶段中考虑此攻击。5.3组织安全策略5.3.1密码管理(P.Crypto_Management)密码的使用必须符合国家制定的相关信息技术安全标准。5.3.2标识数据管理(P.IdData_Management)IC 卡嵌入式软件的初始化、个人化等过程应具备标识 TOE 的能力。注:IC卡嵌入式软件的初始化、个人化过程可产生多种标识信息,这些信息存储在IC卡内部,可用于向外部发行实体标识TOE,如厂商信息、版本号、激活时间等,以实现对生产情况的回溯查询能力。这些标识信息随嵌入式软件的不同而
17、存在差异,在编写ST文档时应描述具体的标识方法和内容。5.3.3芯片选型(P.Chip_Selection)TOE 应采用至少通过 EAL4+测评的 IC 卡芯片。5.4假设5.4.1通信信道(A.Comm_Channel)假定 TOE 与 IC 卡终端之间的通信信道是安全可靠的(如满足私密性和完整性)。注:ST编写者应根据嵌入式软件的具体应用情况解释“安全可靠”的具体含义。5.4.2应用程序(A.App_Program)假定在 TOE 中安装应用程序的流程符合规范,且合法安装的应用程序不包含恶意代码。5.4.3芯片硬件(A.Chip_Hardware)假定 TOE 运行所依赖的底层芯片具备足
18、以保证 TOE 安全运行所需的物理安全防护能力。注:TOE的底层芯片必须能够抵抗物理攻击、环境干扰攻击、侧信道攻击等。同时,芯片提供的密码功能可以是由处理器或安全算法库来实现的。5.4.4外部数据管理(A.OutData_Management)假定存放在TOE之外的数据,如TOE设计信息、初始化数据、管理性密钥等敏感信息,会以一种安全的方式进行管理。5.4.5人员(A.Personnel)假定使用TOE的人员已具备基本的安全防护知识并具有良好的使用习惯,且以安全的方式使用TOE。TOE 开发、生产、个人化和发卡各阶段的操作人员均按安全的流程进行操作。GB/T 20276XXXX56安全目的6.
19、1TOE 安全目的6.1.1标识数据存储(O.IdData_Storage)TOE 必须具备在非易失性存储器中存储初始化数据和个人化数据的能力。6.1.2用户标识(O.User_Identification)TOE 必须明确地标识出可使用各种逻辑接口的用户。6.1.3用户鉴别(O.User_Authentication)用户必须通过鉴别过程才可访问或使用 TOE 中的用户数据和安全功能数据。6.1.4防重放攻击(O.Replay_Prevention)TOE 应提供安全机制以抵御重放攻击,如采用只可一次性使用的随机因子等措施。6.1.5残留信息清除(O.ResidualInfo_Clearan
20、ce)TOE 必须确保重要的数据在使用完成、或遭受掉电攻击后会被删除或被安全处理,不会留下可被攻击者利用的残留数据信息。6.1.6信息泄露防护(O.InfoLeak_Prevention)TOE 必须提供控制或限制信息泄漏的方法,使得通过测量功耗、电磁辐射、时耗等信息的变化情况无法或难以获得用户数据和安全功能数据。6.1.7数据访问控制(O.DataAcc_Control)TOE 必须对在 TOE 内部的用户数据和安全功能数据实施访问控制措施,防止在未授权情况下被访问、修改或删除。6.1.8状态恢复(O.Status_Recovery)TOE 在检测到故障后应将工作状态恢复或调整至安全状态,防
21、止攻击者利用故障实施攻击。6.1.9生命周期功能控制(O.Lifecycle_Control)TOE 应对自身安全功能的可用性进行生命周期阶段划分,或进行权限控制,以防止攻击者滥用这些功能(如下载模式下的某些功能应在 TOE 交付后关闭)。6.1.10密码安全(O.Crypto_Security)TOE 必须以一个安全的方式支持密码功能,其使用的密码算法必须符合国家、行业或组织要求的密码管理相关标准或规范。注:如果 TOE 所使用的密码算法均由芯片实现,则应将此安全目的移至 ST 的环境安全目的中。6.2环境安全目的6.2.1人员(OE.Personnel)GB/T 20276XXXX6TOE
22、 开发、初始化和个人化等生命周期阶段中涉及到的特定人员应能严格地遵守安全的操作规程,以保证 TOE 在生命周期过程中的安全性。6.2.2通信信道(OE.Comm_Channel)TOE 与 IC 卡终端之间的通信路径是可信的,能为通信过程提供保密性和完整性保障。6.2.3应用程序(OE.App_Program)安装应用程序到 TOE 的流程必须规范,且合法安装的应用程序不应包含恶意代码。6.2.4芯片硬件(OE.Chip_Hardware)TOE的底层芯片必须能够抵抗物理攻击、环境干扰攻击和侧信道攻击等。6.2.5外部数据管理(OE.OutData_Management)应对在IC卡芯片外部存
23、储的相关数据(如TOE的设计信息、开发及测试工具、实现代码及相关文档、初始化数据、管理性密钥等)进行机密性和完整性处理,并采取安全的管理措施。7安全要求7.1安全功能要求表 1 列出了 IC 卡嵌入式软件安全功能要求组件,其详细内容将在下面分条描述。在描述过程中,方括号【】中的粗体字粗体字内容表示已经完成的操作,粗体粗体斜体字斜体字内容表示还需在安全目标(ST)中确定的赋值及选择项。表 1安全功能要求组件组件分类组件分类安全功能要求组件安全功能要求组件序号序号备注备注EAL4+EAL5+FCS 类:密码支持FCS_CKM.1 密钥生成1FCS_CKM.4 密钥销毁2FCS_COP.1 密码运算
24、3FDP 类:用户数据保护FDP_ACC.1 子集访问控制4FDP_ACF.1 基于安全属性的访问控制5FDP_IFC.1 子集信息流控制6FDP_ITT.1 基本内部传送保护7FDP_RIP.1 子集残余信息保护8N/AFDP_RIP.2 完全残余信息保护9N/AFIA 类:标识和鉴别FIA_AFL.1 鉴别失败处理10FIA_ATD.1 用户属性定义11GB/T 20276XXXX7表 1(续)组件分类组件分类安全功能要求组件安全功能要求组件序号序号备注备注EAL4+EAL5+FIA 类:标识和鉴别FIA_SOS.1 秘密的验证12FIA_UAU.1 鉴别的时机13FIA_UAU.4 一次
25、性鉴别机制14FIA 类:标识和鉴别FIA_UAU.5 多重鉴别机制15FIA_UAU.6 重鉴别16FIA_UID.1 标识的时机17FMT 类:安全管理FMT_MOF.1 安全功能行为的管理18FMT_MSA.1 安全属性的管理19FMT_MSA.3 静态属性初始化20FMT_MTD.1 TSF 数据的管理21FMT_MTD.2 TSF 数据限值的管理22FMT_SMF.1 管理功能规范23FMT_SMR.1 安全角色24FPT 类:TSF 保护FPT_FLS.1 失效即保持安全状态25FPT_ITT.1 内部 TSF 数据传送的基本保护26FPT_RCV.4 功能恢复27FPT_RPL.
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息安全技术具有中央处理器的IC卡嵌入式软件安全技术要求GB-T 20276-2016 信息 安全技术 具有 中央处理器 IC 嵌入式 软件 要求 GB 20276 2016
![提示](https://www.taowenge.com/images/bang_tan.gif)
链接地址:https://www.taowenge.com/p-96297274.html
限制150内