国家标准 GB/T35101一2017 信息安全技术智能卡读写机具安全技术要求(EAL4增强 nformationseeuritytechnology一Smartcardreaderseeuritytechnology reguirements(EAL4十 2017-11-01发布 2018-05-01实施中华人民共利国国家质量监督检验检疙总局发布国家标准化管理委员会国家标准
GB/T35101一2017 8.1.2.3密码运算(FCS_COP) 8.1.3FDP类;用户数据保护 8.1.3.l FDP类分解 8.1.3.2数据鉴别(FDP_DAU 8.1.4FIA类:标识和鉴别 8.1.4.1FFIA类分解 8.1.4.2鉴别失败(FIA_AFL) 8.1.4.3用户鉴别(FIAUAU) 8.l.4.4用户标识(FIA_UID 8.1.5FMT类:安全管理 8.1.5.1FMT类分解 8.1.5.2FMT类的管理活动 8.1.5.3TSF中功能的管理(FMT_MOF 12 12 8.1.5.4TSF数据的管理(FMT_MTD) 12 8.1.5.5安全管理角色(FMT_SMR 8.1.6FPT类:TSF保护 13 13 8.1.6.1 FPT类分解 8.1.6.2失败保护(FPT_FLs) 13 8.1.6.3TOE内TSF数据的传送(FPT_IrT) 13 8.1.6.4TsF物理保护(FPT_PHP) 13 8.1.6.5可信恢复(FPTRC) 13 8.l.6.6TsF自检(FPT_TsT) 14 8.2ToE安全保障组件 14 8.2.1综述 14 8.2.2安全架构描述(ADV_ARC.1 15 8.2.3完备的功能规范(ADV_FSP.4) 15 8.2.4TSF安全功能实现表示的子集(ADV_IMP.1 15 基础模块设计(ADV_TDS.3) 16 8.2.5 8.2.6结构合理的TSF内部子集(ADVv_INT.1) l7 8.2.7操作用户指南(AGD_OPE.1) 1T 8.2.8准备程序(AGD_PRE.1 l7 8.2.9生产支持和接受程序及其自动化(Alc_CMC.4) 18 8.2.10问题跟踪CM覆盖(ALc_CMS.4 18 8.2.11交付程序(ALc_DEL.1 18 8.2.12安全措施标识(ALC_DVS.1 I 8.2.13开发者定义的生命周期模型(ALC_LCD.1 I 8.2.14明确定义的开发工具(ALC_TAT.1 I 19 8.2.15符合性声明(ASE_CCL.1 8.2.16扩展组件定义(ASE_EECD.1 20 8.2.17ST引言(ASE_INT.1) 20 8.2.18安全目的(ASE_OB.2 21 8.2.19推导出的安全要求(ASEREQ.2) 21 21 8.2.20安全问题定义AsSE_SPD.1)
GB/35101一2017 22 8.2.21TOE概要规范(ASE_TSS.1 8.2.22 覆盖分析ATE_cOV.2) 22 22 8.2.23安全执行模块ATE_DPT.2) 22 8.2.24功能测试(ATE_FUN.1) 23 8.2.25独立测试一抽样(ATE_IND.2) 23 8.2.26系统的脆弱性分析(AVA_VAN.4 .. 23 基本原理 23 9.1安全目的基本原理 27 9.2安全要求基本原理 30 9.3安全功能组件的依赖关系 31 参考文献
GB/35101一2017 前言本标准按照GB/T1.1一2009给出的规则起草请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口本标准起草单位:信息安全测评中心、工业和信息化部电子工业标准化研究院、北京邮电大学北京理工大学,浙江工业大学,武汉大学,河南科技大学本标准主要起草人:伊胜伟、彭勇、高洋将谢丰、张普含、马洋洋、戴忠华、张舒、杨永生、张珈斌、芦效峰、黄永刚、陈铁明,赵波、孙士保、熊琦、邸丽清、许玉娜、陈冬青、高海辉、霍杏梅、王婷、张亮、向憧、韩雪峰
GB/35101一2017 信息安全技术智能卡读写机具安全技术要求(EAL4增强范围本标准规定了EAL4增强级智能卡读写机具(以下简称机具)的机具描述、安全环境、安全目的、安全要求及基本原理本标准中的安全功能组件将满足EAL4增强级机具的通用安全功能要求,安全保障组件将满足EAL4增强级机具的通用安全保障要求本标准适用于接触式智能卡读写机具的测试和评估,也可用于指导机具的研制、开发和产品采购规范性引用文件下列文件对于本文件的应用是必不可少的凡是注日期的引用文件,仅注日期的版本适用于本文件凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 GB/T18336.1一2015信息技术安全技术信息技术安全评估准则第1部分;简介和一般模型 GB/T18336.2一2015信息技术安全技术信息技术安全评估准则第2部分;安全功能组件 GB/T18336.3一2015信息技术安全技术信息技术安全评估准则第3部分:安全保障组件 GB/T25069-2010信息安全技术术语术语和定义 GB/T18336.12015和GB/T25069一2010界定的以及下列术语和定义适用于本文件 3.1 sartcard 智能卡具有中央处理器(CPU)的集成电路卡,即CPU卡,是将一个具有中央处理器的集成电路芯片镶嵌于塑料基片中,并封装成卡的形式注，从数据传输方式上,智能卡可分为接触式和非接触式 3.2 读写机具 cardreader 个与智能卡有交互能力的读写设备,它能有效地获得鉴别信息和用户数据,并将其传给应用软件,生成一个可靠的用户活动 3.3 应用软件appleatiosoftware 机具软件的一部分,实现机具的应用功能 3.4 software 系统软件system 直接操作机具硬件及嵌人到硬件中的固件和能够与应用软件交互的软件,它是机具中除应用软件外的软件(包括了密码模块中的专有软件)
GB/T35101一2017 符号和缩略语 4.1符号下列符号适用于本文件 A;假设(Assumption A_DEsIGN;开发环境假设 A_MANUF;生产环境假设 A_APPLI,A_PRIVATE,A_RESP:用户环境假设 P;安全策略(Poliey). _IDENT,P_PRODUCT:组织安全策略 P O;目的(Objeet) O_ENV;环境安全目的 0_TOE;ToE安全目的 T;威胁(Threat). _EXTERN:外部OE资产的威胁 T_INTERN;内部ToE资产的威胁 4.2缩略语下列缩略语适用于本文件 I/O;输人/输出(Input/Output) NVM;非易失性存储器(Non-=volatileMemory) PIN:个人识别码(PersonalIdentificationNumber) RAM;随机存取存储器(Random-accessMemory ST;安全目标(SecurityTarget) TOE评估对象(TargetofEvaluation) TSF;ToE安全功能(ToEsecurityFunctions) TSP:TOE安全策略(TOESecurityPolicy 5 机具描述 5.1概述机具是智能卡应用过程中卡与用户间的交互平台,它应在受控环境中使用机具由硬件组件和软件构成软件分为系统软件和应用软件两部分系统软件分为嵌人到硬件中的和能远程更改的两部分;应用软件可以下载到机具中用以提供产品预期的功能 TOE是一个不含应用的机具产品,因此本标准中描述的安全功能是机具中除应用之外的所有安全功能适用于本标准的机具应具有键盘、显示部件,可广泛应用于电信、银行、公安、建设、交通、社保、税务及各种收费、储值、查询等智能卡管理应用系统 5.2ToE的组成个典型ToOE应包括:具有安全保护功能的密码模块以及提供服务和交互功能的服务及交互功
GB/35101一2017 能模块,其中服务及交互功能模块包括1/O接口模块、处理单元、存储器、操作单元四个模块一个典型的TOE具体包括如下五个模块 1/0接口键盘、显示部件、打印机,芯片连接部件等); a b -个处理单元; 存储器(RAMNNVM等); c d 产品所需的一个或更多的操作单元; 物理和逻辑的密码模块个典型TOE的组成如图1所示 oE 处理单元 1/o接口操作单元存储器密码模块图1ToE的组成 1/0接口是机具用于与外部交互的接口,可以进行数据的输人输出显示等处理单元能够对数据进行计算处理存储器用于数据的存储操作单元可以对数据及相关机具部件进行操作处理密码模块是TOE中极其重要的模块,下面对密码模块进行描述密码模块可以包括专有的硬件和软件,专有软件可以嵌人到NVM存储器中,也可以被有条件的下载至NvMM存储器中,或者两者兼备该密码模块是一个集成了与智能卡处理有关的安全功能的IT 信息技术)组件,它管理有关安全处理功能的密码操作其内部结构如图2所示密码模块 /o接口专有软件峦码处理密码存储图2密码模块在后面的章节中,第6章描述了TOE及其组成的安全环境,第7章描述了TOE及其组成的安全目的，
GB/T35101一2017 第8章描述了TOE及其组成的安全要求(安全功能组件和安全保障要求) 5.3机具服务机具提供已设计的功能其中一些功能调用了密码模块提供的安全功能机具提供的服务有与智能卡的安全交互; a D)有关数据处理的安全服务密码模块提供的部分功能包括 a 对安全功能所用密钥的密钥管理 b 对设备中运行的应用的密钥操作处理,如加密、解密、签名的生成和确认 c 对外部环境来说,设备唯一性的标识/鉴别 5.4机具的生命周期机具的生命周期描述包括如下几个时期(见表1) 设计时期,机具硬件、系统软件和应用软件的设计与开发; a 制造时期,制造和测试 b 个人化时期,为使机具唯一而载人设备的密钥(明确的标识符),以及系统/应用软件签名 c 使用前时期;机具包装和交付 d 使用时期:系统/应用软件下载,最终用户使用机具,维护人员维护机具; e 废弃时期;机具生命周期结束处理表1机具生命周期主要时期生命周期阶段过渡事件描述机具设计者负责机具硬件和系统软件的设计,将机具的预定功硬件和系统软件的设计完成和测试能和物理、逻辑特征相结合系统软件可分为启动程序和可下设计与开发载的程序制造机具制造和测试完成机具制造者负责生产机具 9 初始密钥的载人载人机具制造者的安全管理员负责装载实现安全要求的初始密钥测试个人化系统软件的签名签名若组件存在则应保护它的完整性和真实性机具制造者负责包装和运送机具到用户指定的目的地使用前机具的包装和交付安装根据机具的类型,可直接递送给最终用户或专门机构系统软件和应用软使用完成最终用户负责从指定的服务器下载相应软件件下载废弃机具废弃处理机具生命周期结束处理机具的最终用户将机具废弃处理 5.5ToE的一般功能为支持机具上运行的应用,TOE应至少提供以下功能依据TOE外部部件的请求,提供连接智能卡的服务功能; a b 依据应用请求,提供与智能卡之间的交互功能; 提供密钥管理功能,包括密钥生成、分配、撤销、存储 c
GB/35101一2017 d 为应用提供下列安全服务功能: 算术运算; 密码运算(加密、数字签名、杂凑); 外部数据处理，格式化,安全化外部交易安全环境 6.1资产 6.1.1内部ToE资产下面是ToE的一些典型资产并被当作TSF数据它们在生命周期的某些阶段被装载到TOE 中,可能是在开发环境或在制造环境中资产包括物理和逻辑两方面密码模块提供的密码资源(密码功能)和操作它们的密钥处理单元; a 密钥和密码模块的密钥存储器 b 处理单元和密钥存储器间的连接; c d)系统软件(启动程序和可下载程序密码资源可以与系统软件以同样的方式下载它们的下载被看作是系统软件下载的一部分在维护阶段,系统软件在下载前被看作是外部TOE资产(用户数据. 6.1.2外部TOE资产外部TOE资产属于可下载到机具中的应用它们被看作是用户数据,在用户环境中,它们仅出现在应用下载之后即使应用数据和密钥是占用ToE范围内的存储器的资源,它们也不属于ToE范围以内外部TOE资产如下: TOE上运行的应用软件; a b应用数据和密钥应用数据与应用软件以同样的方式下载它们的下载被看作是应用软件下载的一部分 6.2假设 6.2.1开发环境的假设 A_DEsIGN.01;设计者颁布和维持了一个描述安全规则的书面程序,并应用于开发环境 A_DESIGN.02;设计者和安全管理员确保对设计阶段特别是系统软件签名阶段所涉及的密钥进行保护 6.2.2生产环境的假设 A_MANUF.01;制造者颁布和维持了一个描述安全规则的书面程序,并应用于生产环境 A_MANUF.02;制造者和安全管理员确保对个人化阶段特别是系统软件和应用软件签名阶段所涉及的密钥进行保护 6.2.3用户环境的假设 A_RESP:用户在使用TOE时,被告知其责任 A_PRIVATETOE规定为在受控环境中使用 A_APPLI.01:ToE规定为被遵从智能卡相关规范的应用软件所使用 A_APPLI.02;应用级的安全要求确保系统软件与应用间的相互鉴别和完整性
GB/T35101一2017 6.3威胁 6.3.1威胁主体 TE的威胁主体有最终用户:最终用户是指通过授权途径收到产品的人他可能改变应用的交互数据或伪造应 a 用的正常处理 b 设计/制造者安全管理员:有权进行密钥管理、机具初始密钥的安全装载和系统软件签名操作的权利的操作员;他可能伪造初始密钥或者伪造签名以进行非法访问应用软件提供者:负责应用软件的设计和开发,他可能通过欺诈的方式改变应用软件;应用软件提供者被看作是威胁主体是因为他有能力在他开发的应用中插人一个特洛伊木马;当他作个用户,这个应用可能试图去访问TOE的内部资产或属于其他应用的外部资产应用软件管理员:他负责远程下载到机具中的最新软件的可用性;他可能对机具进行攻击获取更多访问权限安全管理员在个人化阶段):有权为个人化TOE而进行密钥管理的操作员他可能非法越权修改TOE的密钥 f 人侵者,通过非授权途径获取产晶，或者以其他方式非法访问ToE 他希望直接或通过一个应用去: 用伪造的资产替代至少一个TOE内部资产; 改变ToE,以通过一个未授权的方式使用它 -篡改ToE,以获取应用数据和密钥 6.3.2威胁描述综述 6.3.2.1 在第5章定义的ToE应能够抵抗下面描述的威胁威胁主体企图通过功能性的攻击或者对环境的操纵,或通过特定的硬件操纵或其他的攻击,来滥用资产假定攻击(Attack,A)的方式渗透(Infiltrate,I),A_I;通过设备的物理穿孔或设备的未授权的打开去获取设备内的敏感信 a 息,例如,密钥因此,渗透是一种基于设备物理特性的攻击方式监测(Monitor,Mo)A_M;通过监测电磁辐射去发现设备内的敏感信息,或监视,监听,电子监 b 测进人设备内的秘密数据因此,监测是一种基于设备物理特性的攻击方式操纵(Manipulation,Ma),A_Ma;在非授权状态下向设备发送一串输人指令,以便造成设备敏感信息的泄露或以未授权的方式获取某项服务例如,造成设备进人其“测试模式”,以便获取敏感信息或者操纵设备的完整性操纵是一种基于设备逻辑特性的攻击方式篡改(Tamper," r,T),A_T:对设备的逻辑或物理特性进行未授权的篡改和变更例如,在PIN 登陆点和PIN加密点之间的PINpad登录设备上插人一个揭露PIN的机制注意该篡改可能包含渗透,不仅为泄露设备内的信息,而且为了改变设备对设备中的密钥进行未授权的替换就是一种篡改形式篡改是一种基于设备逻辑或物理特性的攻击方式替换(Substitute,S),A_ ,A_S;将一个设备未授权的取代另一个设备这个取代设备可能是一个外形相似的“伪造品”或者是一个仿冒设备,它由全部或部分正确的逻辑特性加上一些未授权的功能组成,例如揭露PIN的机制这个取代设备可能是一个曾经合法的设备经过未授权的篡改后来替换其他合法的设备转移是一种替换的方式,它被用在一个更适合执行渗透和算改攻击的环境,或作为替换攻击的前奏,设备可能从其操作环境中被取走当攻击者用更改过
GB/35101一2017 的替代品取代目标设备而不是真正地篡改它时,替换可以被看成是篡改的一个特例替换是 -种基于设备的逻辑和物理特性的攻击方式 6.3.2.2内部ToE资产的威胁 T_INTERN.01:人侵者用某些部件已被篡改(克隆)的相似的设备来替换TOE -个或更多的密码资源由于被监测管理疏忽或程序不当而被制造者安全 T_INTERN.02:TOE的一管理员或安全管理员或人侵者在个人化阶段或之前被更改 T_INTERN.03;TOE的一个或更多的密码资源在使用阶段被人侵者更改,人侵者可能通过对内部功能的更改使ToE处于一种不安全的状态 T_INTERN.04;TOE的一个或更多的密钥由于安全管理员滥用其特权或人侵者人侵而被更改 T_INTERN.05;TOE的一个或更多的密钥由于安全管理员滥用其特权或人侵者人侵而被泄露 T_INTERN.06;用于传输密钥的TOE内部连接被人侵者访问 T_INTERN.07;系统软件被人侵者更改使其可以绕过安全控制 6.3.2.3外部ToE资产的威胁 T_EXTERN.0l;威胁主体可能以某种与安全策略不一致的方式更改或替换应用软件 T_EXTERN.02:外部资产被暴露在特定的物理上或逻辑上控制不当的环境中,并允许下列威胁主体之一;应用提供者、应用软件管理员或人侵者访问它 6.4组织安全策略 TOE应遵守的组织安全策略 PPRODUcT.01;TOE的用户不能破坏属于其他用户的资产的完整性和保密性 PPRoDUcT.02:密码模块应对TOE的处理单元进行保护,以控制对TOE外部接口的访问 P_IDENT;TOE应能向适当的核验者提供唯一的标识并给出其身份证据安全目的 7.1综述安全目的主要包括如下四个方面: 只能操作真实可信的资源; a b 应确保已下载的应用及相关数据的完整性; 应保护内部数据; c d应是从外部可证明的 7.2TOE安全目的 o_ToE.01:ToE应确保它所管理的密钥在存储和使用中的保密性 0_TOE.02:ToE应确保它所管理的密码资源和密钥在存储和使用中的完整性 O_ToE.03;ToE应确保对处理单元和密码模块存储器间连接的保护 O_TOE.04:TOE应确保对系统软件或下载到TOE中的应用的鉴别 O_TOE.05:TOE应确保TOE外部资产(包括应用数据和密钥)在存储和使用中的完整性,以及这些数据的其他任何形式(如被电子存储的或被显示到屏幕上的)在存储和使用中的完整性 O_TOE.06:TOE应提供针对篡改的自我保护 O_TOE.07:TOE应确保它的安全功能持续正常的运行
GB/T35101一2017 O_TOE.08依照适当的安全策略,TOE应能够为适当的核验者生成它的特定身份的证明 O_ToE.09:TOE应具备应对内部技术故障的能力 7.3环境安全目的与TOE环境有关的安全目的: 0_ENV.01;最终用户在使用TOE时应被告知他们的责任 0_ENV.02;ToE不能偏离它的预定用法 O_ENV.03;管理和使用rOE不能危及TOE管理的资产: O_ENV.04;在生命周期的每个阶段,对TOE负责的实体应颁布和维持一个书面程序并应用于整个阶段 O_ENV.05,开发环境和生产环境下,当密钥被使用时,对ToE负责的实体应确保对密钥的保护 O_ENV.06;生产环境下,在更改密钥前应对安全管理员进行鉴别,并且要产生一个该更改的安全审计轨迹 8 安全要求 8.1安全功能组件 8.1.1综述 2015的要求,智能卡读写机具安全技术要求中的安全功能组件如表2所示根据GB/T18336.2一随后对各组件给出了详细的说明在安全目标中需要定义的赋值及选择用斜体字表示表2安全功能组件安全功能类安全功能组件标识组件名称 FCS_CKM.1 密钥产生 FCS_CKM.2 密钥分配 FCS类;密码支持 FCs._CKM.4 密钥销毁 FcS._coP. 密码运算 FDp_DAU.1 FDP类;用户数据保护基本数据鉴别 FIAAFL.1 鉴别失败处理 FIA类;标识和鉴别 FIALUAU.2 任何行动前的用户鉴别 FAUD.2 任何行动前的用户标识 FMT_MOF 安全功能行为的管理 FMT类;安全管理 FMT_MTD TSF 数据的管理 FMT_sMR.1 安全角色 FPTFLS.1 带保存安全状态的失败 FPT_ITT.1 内部TSF数据传送的基本保护 FPT类;TSF保护物理攻击抵抗 FPT_PHP.3 FPT_RCV.2 自动恢复 FPT_TST.1 TSF检测
GB/35101一2017 8.1.2Cs类:密码支持 8.1.2.1FCS类分解 TOE安全功能可以利用密码支持功能对智能卡读写机具进行安全保护,可以用于用户身份的标识和鉴别本类可用硬件、固件和/或软件来实现,在TOE执行密码支持功能时使用本类的组件分解如图3所示密码支持 FCs_CKM密码管理 FCS_coP密码运算图3密码支持类分解 8.1.2.2密钥管理(FCs_CKM) FCS_CKM.1密钥产生 FCs.CKM.l.1.TsF应根据符合下面[赋值;标准列表]的特定密钥产生算法[赋值,密钥产生算法]应符合国家密码管理局的相关标准)和特定的密钥长度[赋值;密钥长度]来产生密钥 FCs_CKM.2密钥分配 FCs_CKM.2.1,TsF应根据符合下面[赋值;标准列表]的特定密钥分配方达[赋值;密钥分配方法]来分配密钥 FCs_CKM.密钥销毁 FCs_CKM.4.1:TsF应根据符合下面[赋值:标准列表]的特定密钥销毁方法[赋值:密钥销毁方法]来销毁密钥 8.1.2.3密码运算(rCs_coP FC's_CoP.1密码运算 FCs_cOP.1.1:TSF应根据符合下面[[赋值:标准列表]的特定密码算法[赋值:密码算法]应符合国家密码管理局的相关标准)和特定的密钥长度[赋值;密钥长度]来执行[赋值;密码运算列表] 密码运算列表: 对等鉴别密钥产生消息摘要计算 MAC计算内部密钥保护数字签名产生和验证数据的加密和解密
GB/T35101一2017 密钥分配 8.1.3FDP类;用户数据保护 8.1.3.1FDP类分解用户数据保护类是指规定了与保护用户数据相关的TOE安全功能组件和TOE安全功能策略本标准中只关注数据鉴别子类数据鉴别子类是指允许一个实体承担信息真实性的责任本子类提供一种方法,以保证特定数据单元的有效性,并进而验证信息内容没有被伪造或者篡改本类的组件分解如图4所示用户数据保护 FDpDAU数据鉴别图用户数据保护类分解 4 8.1.3.2数据鉴别(FDPDAU) FDPDAU.1基本数据鉴别 FDP_DAU.1.1:TSF应提供产生保证[赋值:客体或信息类别列表]的有效性的证据的能力 FDP_DAU.1.2;TSF应为[赋值;主体列表]提供能力,以验证指定信息有效性的证据 8.1.4FIA类;标识和鉴别 8.1.4.1FIA类分解标识和鉴别类是指提出建立和验证所声称的用户身份的安全功能组件本类的组件分解如图5所示标识和鉴别 FIA_A鉴别失败 FIAUAU用户鉴别 FIAUD用户标识图5标识和鉴别类分解 8.1.4.2鉴别失败(FIA_AFL) FIA_AFL.1鉴别失败处理 FIA_AFL.1.1:当与[赋值;鉴别事件列表]相关的[赋值:数目]次数不成功鉴别尝试出现时,TSF 10
GB/35101一2017 应检测数目=1 鉴别事件列表一数字签名失败 FIA_AFL.1.2;当达到或超过所定义的不成功鉴别尝试的次数时,TSF应[赋值;行动列表] 行动列表一发送一个错误通知或停止 8.1.4.3用户鉴别FIAUAU FIAUAU.2任何行动前的用户鉴别 FIA_UAU.2.l:在允许任何代表用户的其他TSF促成的行动执行前,TSF应要求该用户已被成功鉴别细化1鉴别=校验装载到TOE中的用户的数字签名细化2;用户=应用或下载的系统软件 8.1.4.4用户标识(FIA_UD FA_UID.2任何行动前的用户标识 FIA_UID.2.1;在允许任何代表用户的其他TSF促成的行动执行之前,TSF应要求用户标识自己细化;用户一应用 8.1.5FM类:安全管理 8.1.5.1 FMIT类分解安全管理类是指规定了TSF几个方面的管理FSF安全功能、TSF数据、安全管理角色本类的组件分解如图6所示安全管理 FMTMOFTSF中功能的管理 FMT_MTDTSF数据的管理 FMT_SMR安全管理角色图6安全管理类分解 8.1.5.2FM类的管理活动 FMT类中的管理功能应考虑下列管理活动管理活动与功能要求的对应关系如表3所示 1
GB/T35101一2017 表3管理活动与功能要求的对应关系功能活动对修改密钥属性的管理 FCS_CKM.l F(CSCKM.2 对修改密钥属性的管理 FCS_CKM.4 对修改密钥属性的管理 FCS_COP.1 NM FDP_DAU.1 系统中,要对其进行数据鉴别的客体,其赋值和修改应是可配置的 a 管理失败的鉴别尝试 FIAAFL.1 管理鉴别失败时将要采取的行动管理员对鉴别数据的管理 FAA2 FIAUID.2 用户身份的管理 FMTMOF1 管理可以与TsF中的功能相互作用的角色组 FMT_MTD. 管理可以与TSF中的数据相互作用的角色组 FMT_SMR.1 NA FPT_FIS.l NM 管理TsF要防止的修改类型; a FPT_ITT.1 b 管理用来保护在TSF不同的部分间传送的数据的保护机制 FPTPHP3 管理对物理篡改的自动应答管理者维护模式下谁能够获得恢复能力; a FP'T_RCV.2 管理通过自动化过程来处理的失败及服务中断列表 FPT_TST.1 管理TSF自检产生条件,如初始化启动期间、固定间隔或特定条件注:NM 无管理活动,NA 不适用 8.1.5.3ISF中功能的管理(FT_MoF) FM_MOF.1;安全功能行为的管理 FMT_MOF.1.1:TSF应仅限于[赋值:已识别的授权角色]对功能[赋值;功能列表]具有[选择:确定其行为,禁止,允许,修改其行为]的能力 8.1.5.4ISr数据的管理(FMr_MTD) FMT_MTD.1TSF数据的管理 FMT_MTD.1.1:TSF应仅限于[赋值:已标识的授权角色]能够对[赋值:TSF数据列表]具有[选择;改变默认值,查询.修改,删除清空,[赋值;其他操作]] 8.1.5.5安全管理角色(FM_SMR) FMTSMR.1安全角色 FMT_SMR.1.l:TSF应维护角色[赋值;已标识的授权角色] FMTSMR.1.2:TSF应能够把用户和角色关联起来细化:用户=安全管理员 12
GB/35101一2017 8.1.6FPT类:TSr保护 8.1.6.1FPT类分解 TSF保护类是指规定了与提供TsF的机制的完整性和管理有关、与TSF数据的完整性有关的安全要求本类的组件分解如图7所示 TsF保护类 FPT_HLs失败保护 lFPT_ITToE内TSF数据的传送 FPT_P叫HPTSF物理保护 FP_RCV可信恢复 FP叮T_TsTTSF自检图7ISF保护类分解 8.1.6.2失败保护(FPT_FIS FPT_FLSs.1带保存安全状态的失败 FPT_FLS.1.1:TsF在下列失败发生时应保存一个安全状态;[赋值:TSF的失败类型列表] 8.1.6.3TOE内ISF数据的传送(FPI_IT FPT_ITT.1内部TsF数据传送的基本保护 FPT_ITT.1.1:TsF应保护TsF数据在TOE的分离部分间传送时不被[选择;泄露,修改] 8.1.6.4ISF物理保护(FPT_PHP) FPT_PHP.3物理攻击抵抗 FPT_PHP.3.l:TSF应通过自动应答来抵抗对[赋值:TSF设备/元件列表]的[赋值:各种物理篡改],以遵从TsP 8.1.6.5可信恢复(PPr_RCw) FPT_RCV.2自动恢复 FPT_RCV.2.1:当不能从失败或服务中断自动恢复时,TSF应进人维护方式,该方式提供将TOE 13
GB/T35101一2017 返回到一个安全状态的能力 FP'T_RCV.2.2;对[赋值;失败/服务中断列表],TSF应确保通过自动化过程使TOE返回到一个安全状态 8.1.6.6ISF自检(FP_IST FPT_TST.1TSF检测 FPT_TST.1.1:TSF应运行一套自检[选择:初始化启动期间.正常工作期间周期性地,授权用户要求,满是[赋值产生自检的条件工以表明TsF操作的正确性 FPT_TST.1.2;TSF为授权用户提供对TS数据完整性的验证能力 FPT_TST.1.3;TSF为授权用户提供对存储的TSF可执行代码完整性的验证能力细化:用户=设备维护者,安全管理员 8.2TOE安全保障组件 8.2.1综述根据GB/T18336.3一2015的要求,智能卡读写机具安全技术要求中的TOE安全保障组件如表4 所示,下述各条对各组件给出了详细的说明表4安全保障组件安全保障类安全保障组件标识组件名称 ADV_ARC,1 安全架构描述 ADV_FSP.4 完备的功能规范 ADV类;开发 ADV_IMP.1 TSF安全功能实现表示的子集 ADv-_TDs.3 基础模块设计 ADyNT.1 结构合理的TsF内部子集 AGD.OPE.l 操作用户指南 AGD类:指导性文档 AGD_PRE.1 准备程序 AlC_CMC.4 生产支持和接受程序及其自动化问题跟踪CM覆盖 ALC_CMS,4 AlC_DELl 交付程序 ALC类;生命周期支持 ALC_DVS,1 安全措施标识 ALc_LCD. 开发者定义的生命周期模型 ALc_TAT1 明确定义的开发工具 AsE_cCL.1 符合性声明 ASEECD.l 扩展组件定义 ASE_INT.1 ST引言 ASE类:ST评估 ASE_OB.2 安全目的推导出的安全要求 ASE_REQ.2 AsESPD.1 安全问题定义 ASE_TSS.1l ToE概要规范 14
GB/35101一2017 表4(续安全保障类安全保障组件标识组件名称 ATE_COV.2 覆盖分析 ATE_DPT.2 安全执行模块 ATE类;测试 ATEFUN.1 功能测试 ATE_IND,2 独立测试一抽样 AVA类;脆弱性评定 AVAVAN.4 系统的脆弱性分析 8.2.2 安全架构描述(Avy_ARC.1 开发者行为元素: ADV_ARC.1.1D开发者应设计并实现TOE,确保TSF的安全特性不可旁路 ADV_ARC.1.2D开发者应设计并实现TSF,以防止不可信主体的破坏 ADV_ARC.1.3D开发者应提供TSF安全架构的描述证据的内容和形式元素: ADV_ARC.1.1C安全架构的描述应与在TOE设计文档中对SFR执行的抽象描述的级别一致 ADV_ARC.1.2C安全架构的描述应描述与安全功能要求一致的TSF安全域 ADV_ARC.1.3C安全架构的描述应描述TSF初始化过程为何是安全的 ADV-_ARC.1.4C安全架构的描述应证实TSF可防止被破坏 ADV_ARC.1.5C安全架构的描述应证实TSF可防止SFR-执行的功能被旁路评估者行为元素: ADV_ARC.1.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 8.2.3完备的功能规范(AV_FSP.4) 开发者行为元素: ADV_FSP.4.1D开发者应当提供一个功能规范 ADV_FSP.4.2D开发者应当提供功能规范到安全功能要求的追溯证据的内容和形式元素: ADV_FSP.4.1C功能规范应完全描述TSF ADV_FSP.4.2C功能规范应描述所有的TsFI的目的和使用方法 ADV_FSP.4.3C功能规范应识别和描述每个TSFI相关的所有参数 ADV_FSP.4.4C对每个SFR-执行TSFI,功能规范应描述TSFI相关的所有行为 ADV_FSP4.5C功能规范应描述可能由每个TSFI的调用而引起的所有直接错误消息 ADV_FSP.4.6C功能规范应证实安全功能要求到TSFI的追溯评估者行为元素: ADV_FSP.4.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 ADV_FSP.4.2E评估者应确定功能规范是TOE安全功能要求的一个精确和完备的实例化 8.2.4TSF安全功能实现表示的子集(ADv_IMP.1) 开发者行为元素: ADV_IMP.1.1lD开发者应当为以下所选的安全功能子集提供实现表示: 15
GB/T35101一2017 与TOE物理结构相关的子集: a -结构组成、电气原理图和印制电路板(PCB)图,包括物理防护结构 NVM处理; RAM存取 b与TOE逻辑结构相关的子集 -安全数据的检查和处理; 用户数据的检查和处理与TOE提供的调试功能相关的子集 -调试功能的锁定 -锁定功能的配置 d)与TOE提供的中断和复位功能相关的子集 ADV_IMP.1.2D开发者应提供TOE设计描述与实现表示实例之间的映射证据的内容和形式元素: ADV_IMP1.1C实现表示应当无歧义而且详细地定义安全功能TSF,使得无须进一步设计就能生成安全功能TSF的程度 ADv_IMP.1.2C实现表示应以开发人员使用的形式提供 ADV_IMP1.3CToE设计描述与实现表示示例之间的映射应能证实它们的一致性评估者行为元素 ADv_IMP1.1E对于选取的实现表示示例,评估者应当确认提供的信息满足证据的内容和形式的所有要求 8.2.5基础模块设计(ADv_TDs.3) 开发者行为元素 ADV_TDs.3.lD开发者应提供ToE的设计 ADv_TDs.3.2D开发者应提供从功能规范的TSF1到TOE设计中获取到的最低层分解的映射证据的内容和形式元素: ADv_TDs.3.1C设计应根据子系统描述TOE的结构 ADv_TDs.3.2C设计应根据模块描述TSF ADV_TDS.3.3C设计应标识TSF的所有子系统 ADV_TDs.3.4C设计应描述每一个TSF子系统 ADV_TDS.3.5C设计应描述TSF所有子系统间的相互作用 ADV_TDs.3.6C设计应提供TSF子系统到TSF模块间的映射关系 ADV_TDs.3.7C设计应描述每一个SFR执行模块,包括它的目的及与其他模块间的相互作用 ADV_TDS.3.8C设计应描述每一个SFR-执行模块,包括它的安全功能要求相关接口、其他接口的返回值、与其他模块间的相互作用及调用的接口 ADV_TDs.3.9cC设计应描述每一个SFR-支撑或SFR-无关模块,包括它的目的及与其他模块间的相互作用 ADV_TDS.3.10C映射关系应证实TOE设计中描述的所有行为能够映射到调用它的TSFI 评估者行为元素: ADV_TDS.3.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 ADV_TDS.3.2E评估者应确定设计是所有安全功能要求的正确和完全的实例 16
GB/35101一2017 8.2.6结构合理的ISF内部子集(Av_INT.1 开发者行为元素: ADV_INT.1.1D开发者应设计和实现[赋值:TSF子集],使内部结构合理 ADV_INT.1.2D开发者应提供内部描述和论证过程证据元素的内容和表示: ADV_INT.1.1C论证过程应解释用来判断“结构合理”的含义的特性 ADV_INT.1.2CTSF内部描述应证实指定的TSF子集结构合理评估者行为元素: ADV_INT.1.1E评估者应确认所提供的信息满足证据的内容和表示的所有要求 ADV_INT.1.2E评估者应执行指定的TSF子集内部分析 8.2.7操作用户指南(AGD_oPE.1 开发者行为元素: AGD.oPELD开发着应当提供操作用户指南证据的内容和形式元素 AGD_OPE.l.1C操作用户指南应对每一种用户角色进行描述,在安全处理环境中应被控制的用户可访问的功能和特权,包含适当的警示信息 AGD_OPE.1.2C操作用户指南应对每一种用户角色进行描述,怎样以安全的方式使用TOE 提供的可用接口 AGD_OPE.1.3C操作用户指南应对每一种用户角色进行描述,可用功能和接口,尤其是受用户控制的所有安全参数,适当时应指明安全值 AGD_OPE.1.4C操作用户指南应对每一种用户角色明确说明,与需要执行的用户可访问功能有关的每一种安全相关事件,包括改变TsF所控制实体的安全特性 AGD_OPE.1.5C操作用户指南应标识ToE运行的所有可能状态(包括操作导致的失败或操作性错误),它们与维持安全运行之间的因果关系和联系 AGD_OPE.1.GC操作用户指南应对每一种用户角色进行描述,为了充分实现sT中描述的运行环境安全目的所应执行的安全策略 AGD_OPE.1.7C操作用户指南应是明确和合理的评估者行为元素 AGD_OPE.1.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 8.2.8准备程序(AGD_PRE.1 开发者行为元素: AGD_PRE.1.1D开发者应提供TOE,包括它的准备程序证据的内容和形式元素: AGD_PRE.1.1C准备程序应描述与开发者交付程序相一致的安全接收所交付TOE必需的所有步骤 AGD_PRE.1.2C准备程序应描述安全安装TOE以及安全准备与ST中描述的运行环境安全目的一致的运行环境必需的所有步骤评估者行为元素: AGD_PRE.1.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 AGD_PRE.1.2E评估者应运用准备程序确认TOE运行能被安全的准备 17
GB/T35101一2017 8.2.9生产支持和接受程序及其自动化(ALc_CMC.4) 开发者行为元素开发者应提供ToE及其参照号 ALC_CMC.4.l1D ALC_CMC.4.2D开发者应提供CM文档 ALc_CMC.4.3D开发者应提供CM系统证据的内容和形式元素: ALC_CMC.4.1C应给TOE标记唯一参照号 ALC_CMC.4.2CCM文档应描述用于唯一标识配置项的方法 ALC_CMC.4.3CCM系统应唯一标识所有配置项 ALc_CMC.4.4cCM系统应提供自动化的措施使得只能对配置项进行授权变更 ALc_CMC.4.5CCM系统应以自动化的方式支持ToE的生产 ALc_CMC.4.6CcCM文档应包括CM计划 ALC_CMC.4.7CCM计划应描述CM系统是如何应用于TOE的开发的 AIC_CMC.4.8CCM计划应描述用来接受修改过的或者新创建的作为TOE组成部分的配置项的程序 ALc_CMC.4.9C证据应证实所有配置项都正在CM系统下进行维护 ALc_CMC.4.10C证据应证实CM系统的运行与cM计划是一致的评估者行为元素: ALC_CMC.4.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 8.2.10问题跟踪CM覆盖(ALCCMS.4 开发者行为元素 ALc_CMS.4.ID开发者应当提供TOE配置项列表证据的内容和形式元素: ALC_CMS.4.1C配置项列表应包括:TOE本身、安全保障要求的评估证据、TOE的组成部分、实现表示和安全缺陷报告及其解决状态 ALc_CMS.4.2C配置项列表应唯一标识配置项 ALc_CMs,4.3C对于每一个TSF相关的配置项,配置项列表应简要说明该配置项的开发者评估者行为元素 ALC_CMS.4.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 8.2.11交付程序(ALC_DEL.1 开发者行为元素: ALc_DEL.1.lD开发者应将把ToE或其部分交付给消费者的程序文档化 ALC_DEL.1.2D开发者应使用交付程序证据的内容和形式元素: ALC_DEL..1.1C交付文档应描述,在向消费者分发TOE版本时,用以维护安全性所必需的所有程序评估者行为无素" ALC_DEL.1.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 8.2.12安全措施标识(ALc_DS.1 开发者行为元素: 18
GB/35101一2017 ALC_DVS.1.1D开发者应当提供开发安全文档证据的内容和形式元素: ALC_DVS.1.1C开发安全文档应描述在ToE的开发环境中,保护TOE设计和实现的机密性和完整性所必需的所有物理的、程序的、人员的及其他方面的安全措施评估者行为元素: ALC_DVS.1.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 AlC_DVS.1.2E评估者应确认安全措施正在被使用 8.2.13开发者定义的生命周期模型(AI.C_LCD.1 开发者行为元素: ALC_ICD.1.1D开发者应当建立一个生命周期模型,用于TOE的开发和维护 AIC_ICD.1.2D开发者应当提供生命周期定义文档证据的内容和形式元素: AI.c_LcD1.1C生命周期定义文档应描述用于开发和维护ToE的模型 ALc_LcD.1.2C生命周期模型应为ToE的开发和维护提供必要的控制评估者行为元素 ALc_LcD.1.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 8.2.14明确定义的开发工具(ALC_TAT.1 开发者行为元素 ALc_TAT.1.1D开发者应标识用于开发TOE的每一个工具 ALc_TAT.1.2D开发者应在文档中描述每个开发工具所选取的实现依赖选项证据的内容和形式元素 ALc_TAT.1.1c用于实现的每个开发工具都应是明确定义的 ALc_TAT.1.2C每个开发工具的文档应无歧义地定义所有语句和实现用到的所有协定与命令的含义 ALc_TAT.1.3C每个开发工具的文档应无歧义地定义所有实现依赖选项的含义评估者行为元素 ALc_TAT.1.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 8.2.15符合性声明(ASE_cCL.1) 开发者行为元素: ASE_cCL.1.1D开发者应提供符合性声明 AsE_cCL.1.2D开发者应提供符合性声明的基本原理证据的内容和形式元素: ASE_CCL.1.1cST的符合性声明应包含GB/T18336.1一2015符合性声明,标识出sT和 TOE声明符合性遵从的GB/T18336.1一2015 ASE_CCL.1.2CST的符合性声明应描述T与GB/T18336.2一2015的符合性,无论是与 GB/T18336.2一2015相符或是与GB/T18336.2一2015的扩展部分相符 ASE_CCL.1.3CST的符合性声明应描述ST与本标准的符合性,无论是与本标准相符或是与本部分的扩展部分相符 AsE_CCL1.4C符合性声明应与扩展组件定义是相符的 ASE_cCL1.5C符合性声明应标识ST声明遵从的所有PP和安全要求包. 19
GB/T35101一2017 ASE_CCILl.6C符合性声明应描述ST和包的符合性,无论是与包的相符或是与扩展包相符 ASE_cCL1.7C符合性声明的基本原理应证实TOE类型与符合性声明所遵从的PP中的 TOE类型是相符的 ASE_cCL.1.8C符合性声明的基本原理应证实安全问题定义的陈述与符合性声明所遵从的 PP中的安全问题定义陈述是相符的 AsE_ccL.1.9C符合性声明的基本原理应证实安全目的陈述与符合性声明所遵从的PP中的安全目的陈述是相符的 ASE_CCL1.10C符合性声明的基本原理应证实安全要求的陈述与符合性声明所遵从的PP 中的安全要求的陈述是相符的评估者行为元素: ASE_CCL.1.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 8.2.16扩展组件定义(ASE_ECD.1) 开发者行为元素 AsE_ECD.1.lD开发者应提供安全要求的陈述 ASE_ECD.1.2D开发者应提供扩展组件的定义证据的内容和形式元素: AsE_ECD.1.1C安全要求陈述应标识所有扩展的安全要求 ASE_ECD.1.2C扩展组件定义应为每一个扩展的安全要求定义一个扩展的组件 ASE_ECD.1.3C扩展组件定义应描述每个扩展的组件与已有组件,族和类的关联性 AsE_ECD.1.4C扩展组件定义应使用已有的组件、族,类和方法学作为陈述的模型 AsE_ECD.1.5C扩展组件应由可测量的和客观的元素组成,以便于证实这些元索之间的符合性或不符合性评估者行为元素 AsE_ECD.1.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 ASE_ECD.1.2E评估者应确认扩展组件不能利用已经存在的组件明确的表述 8.2.17ST引言(ASE_INT.1 开发者行为元素: ASE_INT.1.1D开发者应提供ST引言证据的内容和形式元素 AsE_INT1.1CST引言应包含sT参照号、TOE参照号、TOE概述和TOE描述 AsE_INT1.2CST参照号应唯一标识ST ASE_INT.1.3CTOE参照号应标识TOE ASE_INT.1.4CTOE概述应概括TOE的用法及其主要安全特性 ASE_INT.1.5CToE概述应标识TOE类型 ASE_INT.1.6CToE概述应标识任何TOE要求的非TOE范围内的硬件/软件/固件 ASE_INT.1.7cTOE描述应描述ToE的物理范围 AsE_INT.1.8CToE描述应描述ToE的逻辑范围评估者行为元素: AsE_INT1.lE评估者应确认所提供的信息满足证据的内容和形式的所有要求 AsE_INT.1.2E评估者应确认TOE参考、ToE概述和ToE描述是相互一致的 20
GB/35101一2017 8.2.18安全目的ASE_OB.2) 开发者行为元素: ASE_OB.2.1D开发者应提供安全目的的陈述 ASE_OB.2.2D开发者应提供安全目的的基本原理证据的内容和形式元素: AsE_OB.2.1C安全目的的陈述应描述TOE的安全目的和运行环境安全目的 ASE_OB.2.2C安全目的的基本原理应追溯到TOE的每一个安全目的,以便于能追溯到安全目的所对抗的威胁及安全目的实施的组织安全策略 ASE_OB.2.3C安全目的的基本原理应追溯到运行环境的每一个安全目的,以便于能追溯到安全目的所对抗的威胁、安全目的实施的组织安全策略和安全目的支持的假设 AsE_OB.2.4C安全目的基本原理应证实安全目的能抵抗所有威胁 AsE_.ow.2.c安全目的基本原理应证实安全目的执行所有组织安全策略 AsE_OB.2.6C安全目的基本原理应证实运行环境安全目的支持所有的假设评估者行为元素 AsE_OB.2.1lE评估者应确认所提供的信息满足证据的内容和形式的所有要求 8.2.19推导出的安全要求(ASEREQ.2 开发者行为元索 ASEREQ.2.1D开发者应提供安全要求的陈述 AsE_REQ.2.2D开发者应提供安全要求的基本原理证据的内容和形式元素 AsE_REQ.2.1c安全要求的陈述应描述安全功能要求和安全保障要求 AsE_REQ.2.2C应对安全功能要求和安全保障要求中使用的所有主体、客体,操作、安全属性、外部实体及其他术语进行定义 ASE_REQ.2.3C安全要求的陈述应对安全要求的所有操作进行标识 ASE_REQ.2.4C所有操作应被正确地执行 ASE_REQ.2.5C应满足安全要求间的依赖关系,或者安全要求基本原理应论证不需要满足某个依赖关系 AsE_REQ.2.6C安全要求基本原理应描述每一个安全功能要求可追溯至对应的TOE安全目的 ASE_REQ.2.7C安全要求基本原理应证实安全功能要求可满足所有的TOE安全目的 ASE_REQ.2.8C安全要求基本原理应说明选择安全保障要求的理由 ASEREQ.2.9C安全要求的陈述应是内在一致的评估者行为元素 AsE_REQ.2.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 8.2.20安全问题定义ASE_sPD.1 开发者行为元素 AsE_SPD.1.1D开发者应提供安全问题定义证据的内容和形式元素: AsE_SPD.1.1C安全问题定义应描述威胁 21
GB/T35101一2017 ASE_SPD.1.2C所有的威胁都应根据威胁主体,资产和敌对行为进行描述 AsE_SPD.1.3C安全问题定义应描述组织安全策略 AsE_SPD.1.4C安全问题定义应描述ToE运行环境的相关假设评估者行为元素 ASE_SPD.1.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 8.2.21ToE概要规范(ASsE_Iss.1) 开发者行为元素: ASE_TsS.1.ID开发者应提供TOE概要规范证据的内容和形式元素 ASEsS.1.1cTOE概要规范应描述TOE是如何满足每一项安全功能要求的评估者行为元素 AsE_TsS.1.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 AsE_Tss.1.2E评估者应确认TOE概要规范与TOE概述、TOE描述是一致的 8.2.22覆盖分析(ATE_COV.2 开发者行为元素: ATE_COoV.2.1D开发者应提供对测试覆盖的分析证据的内容和形式元素: ATE_COV.2.1C测试覆盖分析应证实测试文档中的测试与功能规范中TSF接口之间的对应性 ATE_cov.2.2C测试覆盖分析应证实已经对功能规范中的所有TSF接口都进行了测试评估者行为元素: ATE_cOV.2.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 8.2.23安全执行模块(ATE_Dr.2) 开发者行为元素 ATEDPT.2.1D开发者应提供测试深度分析证据的内容和形式元素 ATE_DPT.2.1C深度测试分析应证实测试文档中的测试与TOE设计中的TSF子系统,SFR- 执行模块之间的一致性 ATE_DPT.2.2C测试深度分析应证实TOE设计中的所有TSF子系统都已经进行过测试 ATE_DPT.2.3C测试深度分析应证实TOE设计中的SFR-执行模块都已经进行过测试评估者行为元素 ATE_DPT.2.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 8.2.24功能测试(ATE_FUN.1 1 开发者行为元素: ATE_FUN.1.1D开发者应测试TSF,并文档化测试结果 ATE_FUN.1.2D开发者应提供测试文档证据的内容和形式元素 ATE_FUN.1.1c测试文档应包括测试计划,预期的测试结果和实际的测试结果 ATE_FUN.1.2C测试计划应标识要执行的测试并描述执行每个测试的方案,这些方案应包括对于其他测试结果的任何顺序依赖性 22
GB/35101一2017 ATE_FUN.1.3C预期的测试结果应指出测试成功执行后的预期输出 ATE_FUN,1.4C实际的测试结果应和预期的测试结果一致评估者行为元素: ATE_FUN.1.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 8.2.25独立测试一抽样(ATE_IND.2) 开发者行为元素 ATE_IND.2.ID开发者应提供用于测试的TOE 证据的内容和形式元索 ATE_IND.2.1CTOE应适合测试 ATE_IND.2.2c开发者应提供一组与开发者TsF功能测试中同等的一系列资源评估者行为元素 ATE_IND.2.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 ATEIND.2.2E评估者应执行测试文档中的测试样本,以验证开发者的测试结果 ATE_IND.2.3E评估者应测试TSF的一个子集以确认TSF按照规定运行 8.2.26系统的脆弱性分析(AVAVAN.4) 开发者行为元素 AVA_VAN.4.1D开发者应提供用于测试的TOE 证据的内容和形式元素: AVA_VAN.4.1CTOE应适合测试分析应考虑以下的一般脆弱性 ToE可能遭受对内部存储器、数据传送机制安全功能和测试方法的结构和内容的篡改; b)通过监测电路和结构间的互连,TOE的器件内信息可能受到分析 ToE可能遭受到运用逻辑命令来产生导致安全脆弱性的响应; c dTOE可能遭受到如下分析;通过监测电磁辐射去发现设备内的敏感信息,或监视,监听,电子监测进人设备内的秘密数据; TOE可能遭受在早期的同类或类似的TOE中已经标识的脆弱性评估者行为元素: AVA_VAN.4.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 AVA_VAN.4.2E评估者应执行公共领域的调查以标识TOE的潜在脆弱性 AVA_VAN.4.3E评估者应针对TOE执行独立的、系统的脆弱性分析去标识TOE潜在的脆弱性,在分析过程中使用指导性文档,功能规范、ToE设计,安全结构描述和实现表示 AVA_VAN.4.4E评估者应基于已标识的潜在脆弱性实施穿透性测试,确定rOE能抵抗具有中等攻击潜力的攻击者的攻击基本原理 9.1安全目的基本原理表5、表6、表7说明了智能卡读写机具的安全目的能应对所有可能的假设、威胁和组织安全策略，一种威胁、假设和组织安全策略都至少有一 -个以上安全目的与其对应,因此是完备的即每一个或一没有一个安全目的没有相应的威胁,假设和组织安全策略与之对应,这证明每个安全目的都是必要的;没有多余的安全目的不对应威胁、假设和组织安全策略,因此说明了安全目的是充分的 23
GB/T35101一2017 表5假设、威胁及组织安全策略与安全目的对应关系假设/威胁/组织安全目的序号对应性描述安全策略标识标识 A_RESP O_ENV.01 直接匹配 ENV.03 使用ToE而不危及ToE管理的资产,意味着使用者实际上知 (O 道使用TOE的正确方法 A_PRIVATE O_ENV.02 该目的有助于保持TOE在受控环境中使用 AAPPLL.01 ONV.02 ToE的目的是用于与智能卡交互 AAPPLL.02 ToE鉴别应用程序的下载,并且通过维护完整性的控制保护对 O_ENV.03 密码资源的访问 A_DESIGN.01 ENV.03 假设在开发环境下,有书面程序和安全规则制约着对TOE的管理,ToE的管理就不会危及资产 O_ENV.04 直接匹配 A_DESIGN.02 O_ENV.03 假设在系统软件签名阶段,有书面程序和安全规则制约着对 ToE的管理,ToE的管理就不会危及密钥 O_ENV.05 直接匹配假设在生产环境中,有书面程序和安全规则制约着对ToE的 A_MANUF.01 O_ENV.03 管理,TO)E的管理就不会危及资产， O_ENV.,04 直接匹配 A_MANUF.02 O_ENV.03 假设在个人化阶段,有书面程序和安全规则制约着对TOE的管理,ToE的管理就不会危及密钥 O_ENV.05 直接匹配 0_NV.06 安全管理员的鉴别和安全审计迹的产生覆盖这个假设 A_MANUF.03 0_ENV.03 假设在包装和交付阶段,有书面程序和安全规则制约着对TOE 的管理,ToE的管理就不会危及资产 10 T_INTERN.01 0_TOE.02 检查TOE组件的完整性和真实性,以确保这些组件未被它们 O_TOE.04 的修改版本所替换 ToE存储和使用应用程序密钥时,应用程序密钥完整性的检 0_TOE.05 查,不允许对应用程序密钥在不受控制下用其他密钥替换 OTOE.06 TO)E防篡改的自我保护 ,不允许在没有明显提示的情况下对物理组件作替换和修改,也不允许对已存在的自我保护机制作篡改 0_TOE.08 归的验证确保可检测对设备的任何克隆 TOE身份证明的验证 O_ENV.04 在TOE的生命周期实施的书面程序对TOE组件进行保护这就确保安全管理员在受控方式下访问它们 OEN.05，在生产环境中,对密钥的所有使用或修改都要由负责ToE的 O_ENV.06 实体进行保护 T_INTERN.02 O_TOE.02 TO)E密码资源完整性的检查,确保它们不会在未被检测到的情 ll 况下被修改 O_ENV.04 在TO)E的生命周期,实施的书面程序保护TO)E的密码资源，这就确保安全管理员在受控方式下访问它们 24
GB/35101一2017 表5(续假设/威胁/组织安全目的序号对应性描述安全策略标识标识 TINTERN.03 OTOE.02 ToE密码资源完整性的检查,确保它们不会在未被检测到的情 12 况下被修改 0_TOE.07，连续正确的操作保证和ToE提供的对内部技术上故障的防护 0_TOE.09 可以保护TOE的安全功能在使用期间不被更改 0_ENV.04 在TOE的生命周期,实施的书面程序保护TOE的密码资源这确保安全管理员在受控方式下访间它们 TINTERN.04 OTOE.02 13 ToE密码资源完整性的检查,确保它们在存储期间不会在未被检测到的情况下被修改 O_ENV.05、直接匹配,因为在生产环境中,对密钥的使用和更改,由对ToE 负责的实体进行保护 0_ENV.06 0_ToE.01 14 T_INTERN.05 在存储和使用密钥时,密钥的保密性由ToE提供 D _ENV.05 直接匹配,因为在生产环境中,对密钥的使用和更改,由对TOE 0_ENV.06 负责的实体进行保护 15 在存储和使用密钥时,密钥的保性由ToE提供这就意味 T_INTERN.,06 0_TOE.01 着它们在内部通信时应被保护 OTOE.02 TOE密码资源完整性的检查，确保它们在内部通信期间不会在未被检测到的情况下被修改 0_TOE.03 处理单元和存储器间连接的保护,ToE提供对密钥通过内部连接被传输时的保护 0_TOE.06 防篡改的自我保护确保任何试图截取处理单元和存储器间连接的尝试都会失败或至少会被检测到这就保护了通过内部连接传输的密钥 16 OTOE.04 T_INTERN.07 系统软件的鉴别有助于防止其被更换因此,可防止未被检测到的替换 0_TOE.06 防篡改的自我保护确保任何试图更改系统软件的尝试都会失败 0_TOE.07 TOE提供的连续正确的操作保证防止系统软件安全功能的行为在它们使用期间被更改 17 ExTERN.01 0_TOE.05 直接匹配 TEXTERN.02 OTOE.03 ToE 供对处理单元和存储器间连接防护,保护了外部资产 18 画过内部连接时的传输 OTOE.05 ToE存储和使用应用程序密钥时,应用程序密钥的完整性检不允许在不受控制的情况下对它们作替换或更改. 查 O_TOE.06 防篡改的自我保护确保任何试图更改运行在TOE中的应用软件或关联的数据和密钥的尝试都会失败管理操作以一种安全的方式执行,这种方式不会对TOE中运 0_ENV.03 行的应用软件或相关数据和密钥引人不可更改或置换的风险 0_ENV.04 在TOE的生命周期,实施的书面程序保护TOE的外部资产这确保安全管理员在受控方式下访问它们 25

信息安全技术智能卡读写机具安全技术要求（EAL4增强）GB/T35101-2017

智能卡作为保护信息安全的重要手段，在现代社会得到广泛应用。然而，由于智能卡读写机具的安全性较差，容易受到攻击，从而导致卡片和系统的安全性受到威胁。因此，引入信息安全技术对智能卡读写机具进行加固成为必然选择。

针对这一问题，中国标准化协会于2017年颁布了《信息安全技术智能卡读写机具安全技术要求（EAL4增强）GB/T35101-2017》标准，旨在规范智能卡读写机具的安全性，提高其抵御各种攻击的能力。该标准主要包括以下方面：

1. 安全功能要求

智能卡读写机具应具备以下安全功能要求：

在不破坏安全性的前提下，允许进行软件升级和参数配置；
支持应用程序隔离、多个应用程序同时运行和应用程序管理等功能；
提供安全加密算法和安全存储功能等。

2. IT安全保障措施

智能卡读写机具应具备以下IT安全保障措施：

使用可靠的身份认证机制，如密码、生物识别等；
提供合理的访问控制措施，包括用户权限管理、会话管理等；
采用安全通信协议，防止数据的篡改和窃取。

3. 安全评估要求

智能卡读写机具应符合EAL4增强级别的评估标准，其中包括以下内容：

安全目标定义；
设计文档评审；
代码审查；
功能测试；
抗攻击评估；
文档评审和配置管理。

以上是智能卡读写机具安全技术要求（EAL4增强）GB/T35101-2017的主要内容。该标准的实施可以有效提高智能卡读写机具的安全性，保障用户的信息安全。同时，厂家也应该在生产过程中严格遵守该标准，确保产品的合规性。