国家标准 GB/T20276一2016 代替GB/T202762006 信息安全技术具有中央处理器的IC卡嵌入式软件安全技术要求 nfomationseeurityteehmology SeeurityrequirementsforembeddedsoftwareinICcardwithCPU 2016-08-29发布 2017-03-01实施国家质量监督检验检疫总局发布国家标准化管理委员会国家标准
GB/T20276一2016 目次前言引言范围规范性引用文件术语和定义、缩略语 3.1术语和定义 3.2缩略语 C卡嵌人式软件描述安全问题定义 5.1资产 5.2威胁 5.3组织安全策略 5.4假设安全目的 G.1ToE安全目的 6.2环境安全目的安全要求 7.1安全功能要求 7.2安全保障要求基本原理 2 8.1安全目的基本原理 24 8.2安全要求基本原理 26 8.3组件依赖关系 28 参考文献 30
GB/T20276一2016 前言本标准按照GB/T1.1一2009给出的规则起草本标准代替GB/T202762006《信息安全技术智能卡嵌人式软件安全技术要求(EAL4增强级)》本标准与GB/T20276一2006相比,主要变化如下 -将标准名称变更为《信息安全技术具有中央处理器的IC卡嵌人式软件安全技术要求》; 第3章对术语进行了更新描述; -第4章重新描述了IC卡嵌人式软件的结构和应用环境,并进行了更清晰的TOE范围定义第了敢对安全问糖定义进行了整合相精前,共定义了个威胁,落项组织安全策略相5个假设; -第6章根据新的安全问题定义更新了对ToE安全目的的描述，第7章对安全功能要求进行了调整,以细化新的安全目的描述,明确指出了EALA十和 EAL5十分别应满足的安全功能要求;并对安全保障要求进行了调整,增加了EAL5十要求的保障组件; 第8章对新的安全问题定义与安全目的、安全目的与安全要求之间的对应关系基本原理重新进行了梳理,还分析了组件之间的依赖关系本标准由全国信息安全标准化技术委员会(sAC/TC260)提出并归口本标准起草单位;信息安全测评中心,北京多思科技工业园股份有限公司、天地融科技股份有限公司、北京邮电大学、吉林信息安全测评中心本标准主要起草人;张肿斌、石诙松、高金萍、杨永生、王宇航、饶华一、王亚楠、陈佳哲、李东声、李明、曹春春、沈敏锋、崔宝江,赵晶玲,唐喜庆,刘占丰,刘丽,邹兆亮本标准所代替标准的历次版本发布情况为 GB/T20276一2006
GB/T20276一2016 引言 IC卡应用范围的扩大和应用环境复杂性的增加,要求IC卡嵌人式软件具有更强的安全保护能力本标准的EAL4十是在EAL4的基础上将AVA_VAN.3增强为AVA_VAN.4;EAL5是在 EAL5的基础上将AVA_VAN.4增强为AVA_VAN.5,并将ALC_DVS.1增强为ALC_DVS.2.
GB/I20276一2016 信息安全技术具有中央处理器的IC卡嵌入式软件安全技术要求范围本标准规定了对EAL4增强级和EAL5增强级的具有中央处理器的IC卡嵌人式软件进行安全保护所需要的安全技术要求,涵盖了安全问题定义、安全目的,安全要求,基本原理等内容本标准适用于具有中央处理器的IC卡嵌人式软件产品的测试、评估和采购,也可用于指导该类产品的研制和开发规范性引用文件下列文件对于本文件的应用是必不可少的凡是注日期的引用文件,仅注日期的版本适用于本文件凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 GB/T18336(所有部分)信息技术安全技术信息技术安全评估准则 GB/T25069-2010信息安全技术术语术语和定义、缩略语 3.1 术语和定义 GB/T25069一2010和GB/T18336.1中界定的以及下列术语和定义适用于本文件 3.1. 个人化数据Personalizationdata 在IC卡嵌人式软件的个人化过程中写人的数据,用于配置与特定应用或用户相关的参数 3.2 缩略语下列缩略语适用于本文件 CM;配置管理(ConfigurationManagement) EAL;评估保障级(EvaluationAssurancelevel EEPROM;电可擦除可编程只读存储器(Electriceally-ErasableProgrammableReadonlyMemory) IC;集成电路(IntegratedCireuit) 1/o;输人/输出(Input/Output) RAM:;随机存取存储器(Random-AccessMemory ROM;只读存储器(Read-OnlyMemory) ST:安全目标(Security Targe) OE.评估对象(Target ofEvaluation TSF:TOE安全功能(TOESecurityFunetionality
GB/T20276一2016 Ic卡嵌入式软件描述具有中央处理器的IC卡嵌人式软件(简称IC卡嵌人式软件)存放在IC卡的非易失性存储器(例如 ROMEEPROM或Flash等)中,并在1C卡芯片内运行该软件用于管理芯片硬件资源和数据,通过芯片的通信接口与IC卡终端设备交换信息,以响应用户发起的数据加密、数据签名及鉴权认证等应用请求,实现对应用功能的支持般情况下,IC卡嵌人式软件由负责处理芯片硬件接口,实现文件管理,安全支撑,通信处理和应用处理等功能的模块组成,其中安全支撑模块提供安全配置,安全事务处理及密码支持等功能,以便为其他模块的安全执行提供支持,以保护c卡的内部数据及安全功能文件管理模块和通信处理模块作为基础模块,主要用于实现对应用功能的支持 IC卡嵌人式软件的一般结构及运行环境如图1所示在嵌人式软件的运行环境中,用户和(ToE开发、个人化及发卡等阶段的)管理员可通过IC卡终端与Ic卡嵌人式软件交互,管理员也可能通过操作芯片中的IC专用软件下载嵌人式软件并配置ICc卡硬 -方面,攻击者可以通过发送、监听和篡改通信消息以及探测c卡芯片电路等方式实施攻件平台另击,以获取或破坏敏感数据信息,甚至滥用安全功能为此,Ic卡嵌人式软件应采取防护措施以保障嵌人式软件的数据和功能的安全 TOE:IC卡嵌入式软件应用处理模块终端土智能 IO 通过用户使用文件管理模块安全支撑模块通信处理模块茶 Ic卡芯片硬件接口处理模块管卡钩 O多 n快的办感 IC卡芯片支撑嵌入式软件的运行 Rs州" 安全！通过记进行安管蛆员式教件， T家然心具有中央处理器的IcC卡芯片图1Ic卡嵌入式软件的一般结构及运行环境安全问题定义 5.1资产需要保护的资产 -TSF数据(如ToE中的访问控制列表、鉴别状态,安全配置数据、管理性的密钥等信息); -用户数据(TOE中不属于TSF数据的信息,如用户身份标识等信息); -安全能力(如ToE的签名能力和动态码产生能力等. 应用说明:ST编写者应根据具体的应用情况细化对资产的描述
GB/T20276一2016 5.2威胁 5.2.1物理操纵(T.PhysiealManipulatio on 攻击者可利用IC卡芯片失效性分析和半导体逆向工程技术,对IC卡芯片实施物理剖片,以获取 IC卡芯片设计信息和嵌人式软件的二进制代码,进而探测TSF数据和用户数据信息攻击者也可能对1C卡芯片实施物理更改,以达到获取或改变数据信息或安全功能的目的 IC卡芯片可能会在未上电或已上电状态下受到此类攻击,在遭受攻击后可能会处于无法操作的状态 5.2.2信息泄漏T.InfoLeak 攻击者可对TOE正常使用过程中泄漏的信息加以利用,以猜测TsF数据或用户数据功耗、电磁辐射.I/0特性,运算频率、时耗等侧信道信息的变化情况都有可能造成信息的泄漏攻击者可通过采用接触式(如功耗)或非接触式(如电磁辐射和时耗)的信号测量,得到与正在执行的操作有关的信息,进而采用信号处理和统计分析等技术来获得密钥等敏感信息 5.2.3故障利用(I.FailureENpoitaton 攻击者可通过分析ToE的运行故障以获取TSF数据、用户数据或滥用TOE的安全功能这些故障可能是通过改变TOE的运行环境(如温度,电压、频率等,或通过注人强光等方式)而触发的,也可能是由于TOE本身的设计缺陷而自发产生的.这些故障可能导致TOE的代码、系统数据或执行过程发生错误,使TOE在故障下运行,从而导致敏感数据泄漏 5.2.4生命周期功能滥用(T.L.ileeyele_Misuse 攻击者可利用相关接口,尤其是测试和调试接口来获取TsF数据或用户数据这些接口在TOE 生命周期的过往阶段是必要的,但在现阶段是被禁止的例如,若测试命令或调试命令在使用阶段仍可用,则可被攻击者用于读取存储器内容或执行其他功能 5.2.5逻辑攻击(T.L.ogieal_Attack 攻击者可利用TOE的逻辑接口,采用暴力猜解、被动侦听或适应性地选择指令输人等方式来获取/修改用户数据或TSF数据,或者滥用TOE的安全功能,主要包括以下形式密码攻击;攻击者可利用密码算法或协议的安全缺陷实现攻击,以达到获取密钥、猜测随机数 ? 或解密密文等目的重放攻击;攻击者可通过重放历史数据,如重放通过侦听获得的鉴别数据来旁路安全机制,以获取敏感数据信息或滥用TOE的安全功能访问控制措施旁路;攻击者可通过利用TOE对文件及其他数据的访问控制缺陷,绕过访问控制规则,以读取、删除或修改用户数据或TSF数据残余信息利用;攻击者可利用ToOE对计算过程中的残留信息的处理缺陷,在TOE执行过程中对未删除的残留信息进行攻击,以获取敏感信息或滥用ToE的安全功能应用说明;逻辑接口是ToE与智能终端之间的数据交换接口,包括语法上遵循国际标准定义或行业私有定义的指令与响应码攻击者可能利用认证系统或指令系统缺陷,通过分析指令及其响应码,绕过存储器访问控制机制,以非法获得存储器内容、密钥和PIN等信息,或达到滥用TE安全功能等目的 ST编写者应根据应用情况完善对逻辑攻击的描述
GB/T20276一2016 5.2.6非法程序攻击(T.leealPr喂_Atack 攻击者可通过安装带有恶意代码的应用程序(如木马程序)来获取/修改TOE代码或数据,或滥用 TOE的安全功能;在TOE进人使用阶段前,开发者(或配置者)也可能有意地(或无意地,如使用了恶意的编译器)引人非法程序或错误,使TOE在使用阶段泄漏敏感信息或导致安全功能被滥用应用说明:对于可以下载新应用的嵌人式软件而言,需要在整个生命周期阶段考虑此攻击;对于无法下载新应用的单应用的嵌人式软件,主要在使用阶段前的其他生命周期阶段中考虑此攻击 5.3 组织安全策略 5.3.1密码管理(P.Crypto_NMan#gememt 密码的使用必须符合国家制定的相关信息技术安全标准 5.3.2标识数据管理P.IdDataManagement) C卡嵌人式软件的初始化、个人化等过程应具备标识TOE的能力应用说明:lc卡嵌人式软件的初始化、个人化过程可产生多种标识信息,这些信息存储在Ic卡内部,可用于向外部发行实体标识TOE,如厂商信息、版本号,激活时间等,以实现对生产情况的回溯查询能力这些标识信息随嵌人式软件的不同而存在差异,在编写ST文档时应描述具体的标识方法和内容 5.3.3芯片选型(P.Chijpseleetiom) roE应采用至少通过EAL4十测评的Ic卡芯片 5.4假设 5.4.1通信信道(A.Comm_Channel) 假定TOE与lc卡终端之间的通信信道是安全可靠的(如满足私密性和完整性) 应用说明;ST编写者应根据嵌人式软件的具体应用情况解释“安全可靠”的具体含义 5.4.2应用程序(A.AppProgram 假定在TOE中安装应用程序的流程符合规范且合法安装的应用程序不包含恶意代码 5.4.3芯片硬件(A.Chip_Hardware 假定TOE运行所依赖的底层芯片具备足以保证TOE安全运行所需的物理安全防护能力应用说明;TOE的底层芯片必须能够抵抗物理攻击、环境干扰攻击、侧信道攻击等同时,芯片提供的密码功能可以是由处理器或安全算法库来实现的 5.4.4外部数据管理(A.OntData_Management 假定存放在TOE之外的数据,如TOE设计信息、初始化数据、管理性密钥等敏感信息,会以一种安全的方式进行管理 5.4.5人员(A.Per erSonnel 假定使用TOE的人员已具备基本的安全防护知识并具有良好的使用习惯，且以安全的方式使用 TOE TOE开发、生产,个人化和发卡各阶段的操作人员均按安全的流程进行操作
GB/T20276一2016 安全目的 6.1IoE安全目的 6.1.1标识数据存储(o.IdDataStorage TOE应具备在非易失性存储器中存储初始化数据和个人化数据的能力 6.1.2用户标识(o.UserIdentirieation) ToOE应明确地标识出可使用各种逻辑接口的用户 6.1.3用户鉴别(o.UserAuthentieation 用户应通过鉴别过程才可访问或使用TOE中的用户数据和安全功能数据 6.1.4防重放攻击(o.Repay_Prevention) ToE应提供安全机制以抵御重放攻击,如采用只可一次性使用的随机因子等措施 6.1.5残留信息清除(o.Residwalnfo.Clearance) ToE应确保重要的数据在使用完成、,或巡受掉电攻击后会被删除或被安全处理,不会留下可被攻击者利用的残留数据信息 6.1.6信息泄漏防护(o.InfoLenkPreventiom) TOE应提供控制或限制信息泄漏的方法,使得通过测量功耗、电磁辐射、时耗等信息的变化情况无法或难以获得用户数据和安全功能数据 6.1.7数据访问控制(o.DataAcec_Control) TOE应对在ToE内部的用户数据和安全功能数据实施访问控制措施,防止在未授权情况下被访问、修改或删除 6.1.8状态恢复(o.Status_Recery ToE在检测到故障后应将工作状态恢复或调整至安全状态,防止攻击者利用故障实施攻击 6.1.9生命周期功能控制(o.Lifleeyele_Control) TOE应对自身安全功能的可用性进行生命周期阶段划分,或进行权限控制.以防止攻击者滥用这些功能(如下载模式下的某些功能应在TOE交付后关闭 6.1.10密码安全(o.CryptoSeeurity ToE应以一个安全的方式支持密码功能,其使用的密码算法必须符合国家,行业或组织要求的密码管理相关标准或规范应用说明:如果TOE所使用的密码算法均由芯片实现,则应将此安全目的移至sT的环境安全目的中
GB/T20276一2016 6.2环境安全目的 6.2.1人员(oE.Per erS0nnel TOE开发,初始化和个人化等生命周期阶段中涉及的特定人员应能严格地遵守安全的操作规程，以保证TOE在生命周期过程中的安全性 6.2.2通信信道(oE.CommChannel) TOE与Ic卡终端之间的通信路径是可信的,能为通信过程提供保密性和完整性保障 6.2.3应用程序(oE.App_Prugram) 安装应用程序到TOE的流程必须规范,且合法安装的应用程序不应包含恶意代码 6.2.4芯片硬件(oE.Chip_Hardwarey ToE的底层芯片必须能够抵抗物理攻击、环境干扰攻击和侧信道攻击等 6.2.5外部数据管理(oE.OutData_Management 应对在IC卡芯片外部存储的相关数据如TOE的设计信息、开发及测试工具,实现代码及相关文档,初始化数据、管理性密钥等)进行机密性和完整性处理,并采取安全的管理措施安全要求 7.1安全功能要求 7.1.1安全功能要求概述表1列出了IC卡嵌人式软件的安全功能组件,其详细内容将在下面分条描述在描述过程中,方括号【中的粗体字内容表示已经完成的操作,翘体斜体字内容表示还需在安全目标(sT)中确定的赋值及选择项表1安全功能组件备注安全功能组件组件分类序号 EAL4十 EAL5十 FCS_CKM.1密钥生成 Fcs类;密码支持 FCs.CKM.4密钥销毁 CscoP.I密码运算 FDP_Acc.1子集访问控制 FDPACF.1基于安全属性的访问控制 FDPIFC.1子集信息流控制 DP类;用户数据保护 FDPITT.1基本内部传送保护 FDP_RIP.1子集残余信息保护 N/A FDP_RIP.2完全残余信息保护 N/A
GB/T20276一2016 表1(续备注组件分类安全功能组件序号 EAL4 十 EAL5+ FA_AFL1鉴别失败处理 10 FIAATD.1用户属性定义 11 12 FIA_SOS,1秘密的验证 FIA_UAU.1鉴别的时机 13 FIA类;标识和鉴别 FIAUAU.4一次性鉴别机制 14 15 FIAUAU.5多重鉴别机制 FIA_UAU.6重鉴别 16 17 FIA_UD.!标识的时机 18 FMT_MOF.1安全功能行为的管理 FMTMSA.1安全属性的管理 19 FMT_MSA.3静态属性初始化 20 FMT类:安全管理 FMT_MTD.1TSF数据的管理 21 FMT_MTD2TsF数据限值的管理 22 FMT_sMF.1管理功能规范 23 FMT_sMR.1安全角色 2小 25 FPT_FL.s.1失效即保持安全状态 FPTITT.1内部TSF数据传送的基本保护 26 FPT类;TSF保护 FPT_RCV.4功能恢复 27 FPT_RPL1重放检测 28 FPT_TST.1TSF测试 29 注，、代表在该保障级下应选择该组件;O代表在该保障级下可选择该组件;N/A代表在该保障级下该组件不适用 7.1.2安全功能要求描述 7.1.2.1密钥生成(FCs_CKMI.1) FCs_CKM.1.1IC卡嵌人式软件安全功能应根据符合下列标准【赋值;彻关所准】的一个特定的密钥生成算法【赋值:密钥生成算法】和规定的密钥长度【赋值:密纫长度】来生成密钥应用说明:该组件仅适用于密钥生成功能由嵌人式软件本身完成的情况,此时ST编写者应根据密码算法的具体情况,赋值国家主管部门认可的相关标准及参数若密钥由外部环境生成,则可以不选择此组件 7.1.2.2密钥销毁(FCs_CKM.4) FCs_CKM.4.1IC卡嵌人式软件安全功能应根据符合下列标准【赋值:标准列表】的一个特定的密钥销毁方法【赋值:密刨销毁方法】来销毁密钥
GB/T20276一2016 应用说明:ST编写者应根据密码算法的具体情况赋值国家主管部门认可的相关标准及密钥销毁方法 7.1.2.3密码运算(CS.coP.1) FCs_cOP.1.1Ic卡嵌人式软件安全功能应根据符合下列标准【赋值;标准列表】的特定的密码算法【赋值;密码算法】和密钥长度【赋值;密纫长度】来行执【赋值:密码运算列表】. 应用说明.sT编写者应根据密码算法的具体情况赋值国家主管部门认可的相关标准及参数 7.1.2.4子集访问控制FDP_ACC.1) FDP_ACC.1.1IC卡嵌人式软件安全功能应对【用户,管理员,赋值:其他主体列表选择;剔除、修攻、渎取,使用.【赋值:其他具体操作列表用户数据,赋值:其他客体列表】执行【Ic卡嵌入式软件用户'数据访问控制策略】应用说明;ST编写者应根据具体情况细化用户数据和操作列表,且根据用户和管理员操作客体和相应控制策略的不同,应在ST中将此组件分为不同的点进行描述,此原则适用于以下各组件的描述情况 7.1.2.5基于安全属性的访问控制FDP_ACF.1) FDPACF.1.1IC卡嵌人式软件安全功能应基于【用户,管理员,赋值:其他主体列表】的【鉴别状态,赋值:其他安全策略相关的安全属性或属性组】对客体执行【IC卡嵌入式软件用户数据访问控制策略】. FDPACF.1.2IC卡嵌人式软件安全功能应执行以下规则,以决定在受控主体与受控客体间的个操作是否被允许.【用户鉴别是否通过,管理员鉴别是否通过,赋值;在必控主体和必挖穿体,通过对受控客体采取受控操作米管理访问的一些规则】 FDPACF1.3IC卡嵌人式软件安全功能应基于以下附加规则.【赋值;转于安金树性的,/碗授权主体访问宰体的规则】,明确授权主体访问客体 FDPACF.1.4lIC卡嵌人式软件安全功能应基于【赋值:基于安全属姓的,朋确拒绝主体访问客体的规则】明确拒绝主体访问客体应用说明:ST编写者应根据具体应用细化客体和操作列表若嵌人式软件没有附加访问控制策略,可不对FDPACF.1.3和FDPACF.1.4的相应赋值项赋值 7.1.2.6子集信息流控制(FDPIc.1) FDP_IFC.1.1Ic卡嵌人式软件安全功能应对【用户数据访问,赋值:其他导致必控信息流入,流出受户主体的操作列表】执行【数据传输过程的保密性处理策略,赋值;其他信息流控制策略】 7.1.2.7基本内部传送保护(DPIT.1 FDP_ITT.1.1在IC卡嵌人式软件物理上分隔的部分之间,如不同软件模块之间传递用户数据时,IC卡嵌人式软件安全功能应执行【数据传输过程的保密性处理策略.【赋值:其他信息流挖制策略,以防止用户数据被【选择;泄漏,篡改,或无法使用 7.1.2.8子集残余信息保护(FDPRIP.1) FDPRIP.1.1Ic卡嵌人式软件安全功能应确保一个资源的任何先前信息内容,在【选择;分配资源到、科放资源自】下列客体:EEPROM、Flash,赋值:其他客体列表】时不再可用
GB/T20276一2016 7.1.2.9完全残余信息保护(FDPRIP.2) FDP_RIP.2.1IC卡嵌人式软件安全功能应确保一个资源的任何先前信息内容,在【选择;分配资源到、科放资源自】所有客体时不再可用 7.1.2.10鉴别失败处理(FIA_AFL.1) FIA_AFL.1.1IC卡嵌人式软件安全功能应能检测出当【选择;【赋值;正整数】,管塑员可设置的【赋值;可接受数值范内的一个正整数】时,与【选择;用户鉴剔,管蹬员鉴别.【赋值:其他鉴别事件列表相关的未成功鉴别尝试 FIA_AFL1.2当【选择,达到超过】所定义的未成功鉴别尝试次数时,c卡嵌人式软件安全功能应采取的【赋值;动作列表如临时锁定鉴别功能至一段时间后再开启,或永久锁定鉴别功能并进人废止阶段)】. 7.1.2.11用户属性定义(FIA_ATD.1 FIA_ATD.1.1IC卡嵌人式软件安全功能应维护属于单个用户的下列安全属性列表:【选择;用户标识、PIN和密钥等鉴别数据、用户角色、【赋值:其他安全属性1. 7.1.2.12秘密的验证(FIAsOs.1 FIA_sOs.1.1lC卡嵌人式软件安全功能应提供一种机制以验证秘密满足保证鉴别机制安全性的安全要求应用说明此安全功能要求中的秘密是指如鉴别密钥、PI等Ic卡嵌人式软件安全功能数据在 EAL5十的情况下,Ic卡嵌人式软件应对保存的秘密的质量进行验证,以加强秘密设置的安全性 7.1.2.13鉴别的时机(FIA_UAU.1) FIA_UAU.1.1在用户被鉴别前,Ic卡嵌人式软件安全功能应允许执行代表用户的【赋值:c卡崩入式软外安全功能仲战的动作列表(如渎取软件标识信息操作)】. FIAUA1在允许执行代表该用户的任何其他由C卡饿人式软件安全功能促成的动作前 c卡嵌人式软件安全功能应要求每个用户都已被成功鉴别 7.1.2.1 14 一次性鉴别机制(FIA_UAU.4) FIA_UAU.4.1IC卡嵌人式软件安全功能应防止与【用户鉴别,管理员鉴别,赋值:其他确定的鉴别机制】有关的鉴别数据的重用 7.1.2.15多重鉴别机制(FIAUAU.5) FIAUAU.5.1ICc卡嵌人式软件安全功能应提供【赋值:多重鉴别机制列表,如PN验证和按键确认双重鉴别机制]以支持用户鉴别 S FIA_UAU.5.2IC卡嵌人式软件安全功能应根据【赋值:多重鉴别机制的工作规则鉴别任何用户所声称的身份应用说明;在EAL5十的情况下,IC卡嵌人式软件应要求对重要的安全功能必须进行多重鉴别的能力,以实现基于多重因素的鉴别,如PIN验证和按键确认,或生物特征识别等,ST编写者应细化此功能要求 7.1.2.16重鉴别(FIA_UAU.6 FIA_UAU.6.1IC卡嵌人式软件安全功能应在【安全状态复位后,赋值:其他需要重鉴别的条外
GB/T20276一2016 列表】条件下重新鉴别用户 7.1.2.17标识的时机(FIA_UD.1 FIA_UD.1.1在用户被识别之前,IC卡嵌人式软件安全功能应允许执行代表用户的【赋值:其他 c卡入式钦外安全舍功能伸战的动作列表如读取嵌人式软件的版本信息操作)】 FlA_UD1.在允许执行代表该用户的任何其他卡嵌人式软件安全功能肿战动作之前,c卡嵌人式软件安全功能应要求每个用户身份都已被成功识别 7.1.2.18安全功能行为的管理(FMr_oF.1 FMT_MOF.1.1IC卡嵌人式软件安全功能应仅限于【管理员,赋值:其他已识的授权角色】对功能【选择;解锁鉴别状态,初始化.【赋值:其他功能列表】具有【选择:确定其行为,终止,激活、修改其行为的能力 7.1.2.19安全属性的管理(rMI_MSA.1) FMT_MsA.1.！lIc卡嵌人式软件安全功能应执行【Ic卡嵌入式钦件用户'数据访问控制策略,赋值:其他访问控制策略、信息流控制策略】,以仅限于【管理员,赋值:其他已标识的授权角色】能够对安全属性【赋值:安全属性列表】进行【重置,选择:改变默认值,查询、修改,厕除、【赋值:其他操作 7.1.2.20静态属性初始化(FMI_MISA.3 FMT_MSA.3.1lIC卡嵌人式软件安全功能应执行【1c卡嵌入式软件用户数据访问控制策略,赋值:其他访问控制策略、信息流控制策略】,以便为用于执行IC卡嵌人式软件安全功能的安全属性提供【选择;受限的,诈的、【赋值:其他特性1默认值 FMT_MsA.3.2lIc卡嵌人式软件安全功能应允许【管理员,赋值;已标识的授权角色】在创建客体或信息时指定替换性的初始值以代替原来的默认值 7.1.2.21TSF数据的管理(FMIT_MITD.1) FMT_MTD.1.1IC卡嵌人式软件安全功能应仅限于【管理员,赋值:其他已所识的授权角色】能够对【Ic卡嵌入式软件的版本信息,激活间邻标识数据,赋值;其他安会功能数嫩列衣】进行【选择;改变默认值,查询、修改、别除、清除、【赋值:其他操作】操作应用说明:sT编写者应根据具体应用情况细化对管理员角色的描述,使得嵌人式软件在进人用户使用阶段后,即便相应的管理员也无法对IC卡嵌人式软件的版本信息、激活时间等标识数据进行修改 7.1.2.22TsF数据限值的管理(FM_MD.2) FMT_MTD.2.1IC卡嵌人式软件安全功能应仅限于【管理员,赋值:其他已标识的授权角色】规定【连续鉴别失败尝试次数,赋值:其他安会功能数期列表】的限值 FMT_MTD.2.2如果IC卡嵌人式软件安全功能数据达到或超过了设定的限值,IC卡嵌人式软件安全功能应采取下面的动作【赋值:要采取的动作(如锁定所有安全功能,或擦除所有敏感数据信息并进人废止状态)】. 管理功能规范(rrsM.1 7.1.2.23 FMTsMF.1.1IC卡嵌人式软件安全功能应能够执行如下管理功能【应用初始化,生命周期功能控制等功能，赋值:IC卡入式钦件安全功能提供的安全管理功能列表】 10o
GB/T20276一2016 7.1.2.24安全角色(FMTSMR.1 FMT_SMR.1.1Ic卡嵌人式软件安全功能应维护角色【管理员,用户,赋值;已标识的授权角色】 FMT_sMR.1.2Ic卡嵌人式软件安全功能应能够把用户和角色关联起来应用说明:ST编写者应根据具体应用情况完善对管理员角色的描述 7.1.2.25失效即保持安全状态(FPr_FISs.1) FPT_FLs.1.1Ic卡嵌人式软件安全功能在下列失效发生时应保持一种安全状态.【掉电、自检失败,赋值:其他失效类型列表(如存储器空间分配或访问错误)】 7.1.2.26内部IsF数据传送的基本保护(FPT_Ir.1) FPT_IT.1.！IC卡嵌人式软件安全功能应保护安全功能数据在物理上的分离部分,如不同的软件功能模块之间传送时不被【选择;泄漏,篡改】 7.1.2.27功能恢复(FPr_RCw.4) FPT_RCv.4.1IC卡嵌人式软件安全功能应确保在【掉电、自检失败,赋值,其他功能和失效馆外列表(如存储器访问错误)]】时有如下特性,即功能或者成功完成,或者针对指明的失效情景恢复到一个前后一致的且安全的状态 7.1.2.28重放检测FPTRPL.1 FPT_RPL.1.1IC卡嵌人式软件安全功能应检测对以下实体的重放【鉴别数据,赋值:其他实体列表】 FPT_RPL1.2检测到重放时,IC卡嵌人式软件安全功能应执行【赋值具体操作列表(如恢复至未鉴别状态,或在检测到连续多次重放后临时锁定安全功能)】 7.1.2.29Tsr测试(FPr_Tsr.1) FPT_TST.I.1Ic卡嵌人式软件安全功能应在I上电启动期间正常工作期间授权用户要求时赋值:其他条伴】时运行一套自检程序以证明【密码运算功能，【赋值:IC卡庆入式软件的其他安全功能运行的正确性 FPT_TsT.1.2Ic卡嵌人式软件安全功能应为授权用户提供验证【选择;Isr数撮.【赋值.Ic卡嵌入式软件的某些安会功能】完整性的能力 FPT_TsT.1.3IC卡嵌人式软件安全功能应为授权用户提供验证所存储的TSF可执行代码完整性的能力应用说明;在EAL5十的情况下,IC卡嵌人式软件应具有对重要的安全功能及数据进行自测的能力,以排除功能失常和数据被有意或无意篡改的情况发生 sT编写者应根据具体应用情况细化此功能要求 7.2安全保障要求 7.2.1安全保障要求概述表2列出了IC卡嵌人式软件的安全保障组件下述各条对各组件给出了详细的描述 11
GB/T20276一2016 表2安全保障组件备注组件分类安全保障组件序号 EAL5十 EAL4十 ADv_ARc.1安全架构描述 ADVFSP.4完备的功能规范 N/A ADV_FSP.5附加错误信息的完备的半形式 NN 化功能规范 ADV类;开发 ADV_IMP.1TSF实现表示 ADv_INT.2内部结构合理 N/A ADv_TIs.3基础模块设计 N/A N/A ADv_TIS.4半形式化模块设计 NGD_oOPE.1操作用户指南 AGD类;指导性文档 AGDPRE.1准备程序 ALccMc.4生产支持和接受程序及其自 10 动化 ALc_CMs.4问题跟踪cM覆盖 11 N/A ALc_cMS.5开发工具cM覆盖 12 N/A 13 ALc_DEL.1交付程序 ALc类生命周期支持 14 N/A ALc_DVs,1安全措随标识 15 ALCDVS,2充分的安全措施 N/A AlC_LCD.1开发者定义的生命周期模型 16 17 N/AN ALC_TAT.1明确定义的开发工具 ALC_TAT.2遵从实现标准 18 N/A AE_ccL.1符合性声明 19 20 AsE_ECD.1扩展组件定义 AsE_INT.1sT引前 2 ASE类;安全目标评估 AsE_OB.2安全目的 22 ASEREQ.2推导出的安全要求 23 ASE_SPD.1安全问题定义 24 25 ASE_TSS.1TOE概要规范 ATEcov.2覆盖分析 26 27 N/ NTE_DP.2测试;安全执行模块 ATEDPT.3测试;模块设计 28 N/A ATE类;测试 29 ATEFUN.1功能测试 30 ATE_IND,2独立测试抽样 12
GB/T20276一2016 表2(续备注组件分类安全保障组件序号 EAL5十 EAL I十 NWA N/A _VAN.4系统的脆弱性分析 31 AVA类:脆弱性评定 32 AVAVAN.5高级的系统的脆弱性分析 N/A 注1;、代表在该保障级下,应选择该组件 NA代表在该保障级下,该组件不适用注2;对于安全保障组件的选取,本标准在EAL4的基础上将AVAVAN.3增强为AVA_VAN.4和AVAVAN.5，以分别对应EAL4十和EAL5十的测评要求此外,EAL5十还在EAL的基础上将ALc_Dvs.1升级为 ALCDVS.2 7.2.2安全保障要求描述 7.2.2.1安全架构描述(ADVARC.1 开发者行为元素 ADV_ARC.1.1D开发者应设计并实现TOE,确保TSF的安全特性不可旁路 ADV_ARC.1.2D开发者应设计并实现TSF,以防止不可信主体的破坏 ADV_ARC.1.3D开发者应提供TSF安全架构的描述内容和形式元素安全架构的描述应与在ToE设计文档中对SFR-执行的抽象描述的级别一致 ADV_ARC.1.1C ADv_ARc.1.2c安全架构的描述应描述与安全功能要求一致的TSF安全域 ADv_ARC.1.3C安全架构的描述应描述TsF初始化过程为何是安全的 ADv_ARC.1.4C安全架构的描述应证实TsF可防止被破坏 ADV_ARC.1.5Cc安全架构的描述应证实TsF可防止sFR-执行的功能被旁路评估者行为元素 ADV_ARC.1.1E评估者应确认提供的信息符合证据的内容和形式要求 7.2.2.2完备的功能规范(ADwFSP.4) 开发者行为元素 ADV_FSP4.1D开发者应提供一个功能规范 ADV_FSP.4.2D开发者应提供功能规范到安全功能要求的追溯内容和形式元素 ADv_FsP.4.1c功能规范应完全描述TSF ADV_FSP.4.2C功能规范应描述所有的TSFI的目的和使用方法 ADV_FSP.4.3C功能规范应识别和描述每个TSFI相关的所有参数 ADV_FSP.4.4C对于每个SFR-执行TSFI,功能规范应描述TSFI相关的所有行为 ADV_FSP.4.5C功能规范应描述可能由每个TSFI的调用而引起的所有直接错误消息 ADV_FSP.4.6C功能规范应证实安全功能要求到TSFI的追溯评估者行为元素 ADV_FSP.4.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 ADV_FSP4.2E评估者应确定功能规范是安全功能要求的一个准确且完备的实例化 13
GB/T20276一2016 7.2.2.3附加错误信息的完备的半形式化功能规范(ADv_FSsP.5 开发者行为元素 ADV_FSP.5.1D开发者应提供一个功能规范 ADV_FSP.5.2D开发者应提供功能规范到安全功能要求的追溯内容和形式元素: ADV_FSP.5.1C功能规范应完全描述TSF ADV_FSP.5.2C功能规范应用半形式化方式描述TSFI ADV_FSP.5.3C功能规范应描述所有的TsFI的目的和使用方法 ADV_FSP.5.4C功能规范应识别和描述每个TSFI相关的所有参数 ADV_FSP.5.5C功能规范应描述每个TSF相关的所有行为 ADv_FsP.5.6C功能规范应描述可能由每个TsFI的调用引起的所有直接错误消息功能规范应措述不是由TsFI调用而引起的所有错误消息 ADVFSP.5.7C 功能规范应为每个包含在TsF实现中但不是由TsFI调用而引起的错误消息提 ADVFSP.5.8C 供基本原理 ADVpSP.5.9c功能规范应证实安全功能要求到TSFI的追溯评估者行为元素 ADv_FsP5.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 ADv_FSP.5.2E评估者应确定功能规范是安全功能要求的一个准确且完备的实例化 7.2.2.4TSr实现表示(ADv_IMP.1)y 开发者行为元素 ADv_IMP.1.1D开发者应为全部TSF提供实现表示 ADv_IMP.1.2D开发者应提供ToE设计描述与实现表示实例之间的映射内容和形式元素 ADV_IMP,1.1c实现表示应按详细级别定义TSF,且详细程度达到无须进一步设计就能生成 TSF的程度 ADv_IMP.1.2cC实现表示应以开发人员使用的形式提供 ADV_IMP.1.3CTOE设计描述与实现表示示例之间的映射应能证实它们的一致性评估者行为元素 ADV_IMP.1.1E对于选取的实现表示示例,评估者应确认提供的信息满足证据的内容和形式的所有要求 7.2.2.5内部结构合理(ADv_NT.2) 开发者行为元素 AV_INT.2.1D开发者应设计和实现整个TSF,使其内部结构合理 ADV_INT.2.2D开发者应提供内部描述和论证过程内容和形式元素 ADV_INT.2.1C论证过程应描述用于判定“结构合理”的含义的特性 ADV_INT.2.2CTSF内部描述应证实指定的整个TsF结构合理评估者行为元素: ADV_INT.2.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 ADV_INT.2.2E评估者应执行指定的TSF子集内部分析 14
GB/T20276一2016 7.2.2.6基础模块设计(AV_TDs.3 开发者行为元素 ADV_TDS.3.1D开发者应提供TOE的设计 ADV_TDS.3.2D开发者应提供从功能规范的TSFI到TOE设计中获取到的最低层分解的映射内容和形式元素: ADV_TDs.3.1c设计应根据子系统描述TOE的结构 ADV_TDS.3.2C设计应根据模块描述TSF ADV_TDS,3.3C设计应标识TSF的所有子系统 ADV_TDS.3.4C设计应描述每一个TSF子系统 ADV_TDS,3.5C设计应描述TSF所有子系统间的相互作用子系统到TsF模块间的映射关系 ADVTDS.3.6C设计应提供TSF sFR执行模块,包括它的目的及与其他枚块间的相互作用 ADV_TDS.3.7C设计应描述每 ADVTDS.3.8C设计应描述每一个sFR执行模块,包括它的安全功能要求相关接口、其他接口的返回值、与其他模块间的相互作用及调用的接口 ADvTDs.3.9c设计应描述每一个sFR-支撑或sFR-无关模块,包括它的的目的及与其他模块间的相互作用 ADVTDs.3.10c映射关系应证实TOE设计中描述的所有行为能够映射到调用它的TSF 评估者行为元素 ADV_TDs.3.1E评估者应确认提供的信息满足证据的内容与形式的所有要求 ADv_TDs,3.2E评估者应确定设计是所有安全功能要求的正确且完全的实例 7.2.2.7半形式化模块设计(ADvTDs.4) 开发者行为元素 ADV_TDs,4.1D开发者应提供TOE的设计 ADV_TDs.4.2D开发者应提供从功能规范的TSFI到ToE设计中获取到的最低层分解的映射内容和形式元素 ADv_TDS.4.1C设计应根据子系统描述TOE的结构 ADVv_TDS.4.2c设计应根据模块描述TSF,以SFR-执行、SFR-支撑或SFR-无关标出每模块 ADV_TDS.4.3C设计应标识TSF的所有子系统 ADv_TDs.4.4C设计应提供每一个TSF子系统的半形式化描述,适当时配以非形式化的、解释性的描述 ADV_TDS.4.5C设计应描述TSF所有子系统间的相互作用 ADV_TDS.4.6C设计应提供TSF子系统到TSF模块间的映射关系 AV_TDS.4.7C设计应描述每一个SFR-执行和SFR-支撑模块,包括它的目的及与其他模块间的相互作用 ADV_TDs.4.8C设计应描述每一个SFR-执行和SFR-支撑模块,包括它的安全功能要求相关接口、其他接口的返回值、与其他模块间的相互作用及调用的接口 ADV_TDS.4.9C设计应描述每一个SFR-支撑和sSFR-无关模块,包括它的目的及与其他模块间的相互作用 ADV_TDS.4.10C映射关系应证实TOE设计中描述的所有行为能够映射到调用它的TSFI 评估者行为元素: 15
GB/T20276一2016 ADV_TDS.4.1E评估者应确认提供的信息满足证据的内容与形式的所有要求 ADV_TDS.4.2E评估者应确定设计是所有安全功能要求的正确且完全的实例 7.2.2.8操作用户指南(AGD_oPE.1 开发者行为元素 AGD_OPE.1.1D开发者应提供操作用户指南内容和形式元素 AGD_OPE.1.1C操作用户指南应对每一种用户角色进行描述,在安全处理环境中应被控制的用户可访问的功能和特权,包含适当的警示信息 AGD_oPE.1.2c操作用户指南应对每一种用户角色进行描述,怎样以安全的方式使用ToE提供的可用接口 AGD_OPE.1.3C操作用户指南应对每一种用户角色进行描述,可用功能和接口,尤其是受用户控制的所有安全参数,适当时应指明安全值 AcD_oPE.1.4C操作用户指南应对每一种用户角色明确说明,与需要执行的用户可访问功能有关的每一种安全相关事件,包括改变TsF所控制实体的安全特性 AGDoPE.1.5C操作用户指南应标识ToE运行的所有可能状态(包括操作导致的失败或者操作性错误),它们与维持安全运行之间的因果关系和联系 AGD.oPE.1.6c操作用户指南应对每一种用户角色进行描述,为了充分实现sT中描述的运行环境安全目的所必须执行的安全策略 AGDoPE.1.7c操作用户指南应是明确和合理的评估者行为元素 AGDoPE.1.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 7.2.2.9准备程序(AGDPRE.1) 开发者行为元素 AGD_PRE.1.1D开发者应提供TOE,包括它的准备程序内容和形式元素 AGD_PRE.1.1C准备程序应描述与开发者交付程序相一致的安全接收所交付TOE必需的所有步骤 AGD_PRE.1.2C准备程序应描述安全安装TOE以及安全准备与ST中描述的运行环境安全目的一致的运行环境必需的所有步骤评估者行为元素 AGD_PRE.1.lE评估者应确认所提供的信息满足证据的内容和形式的所有要求 AGD_PRE.1.2E评估者应运用准备程序确认TOE运行能被安全的准备 7.2.2.10生产支持和接受程序及其自动化(ALC_CMc.4) 开发者行为元素 ALC_CMC.4.1D开发者应提供TOE及其参照号 ALC_CMC.4.2D开发者应提供CM文档 AlC_CMC.4.3D开发者应使用CM系统内容和形式元素: AL.C_CMC.4.1c应给ToE标记唯一参照号 ALC_CMC.4.2CCM文档应描述用于唯一标识配置项的方法 16
GB/T20276一2016 ALC_CMC.4.3CCM系统应唯一标识所有配置项 ALC_CMC.4.4CCM系统应提供自动化的措施使得只能对配置项进行授权变更 ALC_CMC.4.5CCM系统应以自动化的方式支持TOE的生产 AlC_CMC.4.6CCM文档应包括CM计划. ALC_CMC.4.7CCM计划应描述CM系统是如何应用于TOE的开发的 ALC_CMC.4.8CCM计划应描述用来接受修改过的或新创建的作为TOE组成部分的配置项的程序 ALC_CMC.4.9C证据应证实所有配置项都正在CM系统下进行维护 AI.C_CMC.4.10C证据应证实CM系统的运行与CM计划是一致的评估者行为元素 ALc_cMC.4.IE评估者应确认所提供的信息满足证据的内容和形式的所有要求 7.2.2.11问题跟踪CM覆盖(ALCCMS.4 开发者行为元素 ALc_CMIS.4.ID开发者应提供ToE配置项列表内容和形式元素 ALc_CMS.4.1c配置项列表应包括;TOE本身、安全保障要求的评估证据、ToE的组成部分、实现表示和安全缺陷报告及其解决状态 ALc_cMs.4.3c配置项列表应唯一标识配置项 AL.c.cMS.4.3c对于每一个TsF相关的配置项,配置项列表应简要说明该配置项的开发者评估者行为元素 ALcCMS,4.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求， 7.2.2.12开发工具cM1覆盖(ALccMIs.5) 开发者行为元素 ALc_CMS.5.1D开发者应提供TOE配置项列表内容和形式元素 ALc_CMS,.5.1C配置项列表应包括;TOE本身,安全保障要求的评估证据、TOE的组成部分、,实现表示、安全缺陷报告及其解决状态、开发工具及其相关信息 ALc_CMS.5.2C配置项列表应唯一标识配置项 ALcCMS,.5.3C对于每一个TSF相关的配置项,配置项列表应简要说明该配置项的开发者评估者行为元素 ALc_CMS.5.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 7.2.2.13交付程序(AL.c_DEL..1 开发者行为元素 ALC_DEL.1.1D开发者应将把TOE或其部分交付给消费者的程序文档化 ALCDEL.1.2D开发者应使用交付程序内容和形式元素 AlC_DEL1.1C交付文档应描述,在向消费者分发TOE版本时,用以维护安全性所必需的所有程序评估者行为元素 ALC_DEL.1.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 17
GB/T20276一2016 7.2.2.14安全措施标识(ALc_DVS.1 开发者行为元素 ALC_DVS.1.ID开发者应提供开发安全文档内容和形式元素 ALC_DVS.1.1C开发安全文档应描述在TOE的开发环境中,保护TOE设计和实现的机密性和完整性所必需的所有物理的、程序的、人员的及其他方面的安全措施评估者行为元素 ALC_DVS.1.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 ALCDVS,1.2E评估者应确认安全措施正在被使用 7.2.2.15充分的安全措施(ALcDvs.2) 开发者行为元素 ALcDvs.2.1D开发者应提供开发安全文档内容和形式元素 ALcDVs.2.1c开发安全文档应描述在ToE的开发环境中,保护TOE设计和实现的机密性和完整性所必需的所有物理的、程序的、人员的及其他方面的安全措施 ALcDVs.2.2c开发安全文档应论证安全措施提供了必需的保护级别以维护ToE的机密性和完整性评估者行为元素 ALc_DVs.2.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 ALc_DVs.2.2E评估者应确认安全措施正在被使用 7.2.2.16开发者定义的生命周期模型(ALcLCD.1) 开发者行为元素 ALc_ICD.1.1D开发者应建立一个生命周期模型,用于TOE的开发和维护 ALc_LCD.1.2D开发者应提供生命周期定义文档内容和形式元素 ALcLCD.1.1c生命周定义文档应描述用于开发和维护TOE的模型 ALc_LCD.1.2C生命周期模型应为TOE的开发和维护提供必要的控制评估者行为元素 ALC_LCD.1.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 7.2.2.17明确定义的开发工具(ALC_TAT.1) 开发者行为元素 ALC_TAT.1.1开发者应标识用于开发TOE的每个工具 ALc_TAT.1.2D开发者应在文档中描述每个开发工具所选取的实现依赖选项内容和形式元素 ALc_TAT.1.1c用于实现的每个开发工具都应是明确定义的 AL.C_TAT.1.2C每个开发工具的文档应无歧义地定义所有语句和实现用到的所有协定与命令的含义 AL.C_TAT.1.3C每个开发工具的文档应无歧义地定义所有实现依赖选项的含义评估者行为元素: 18
GB/T20276一2016 ALC_TAT.1.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 7.2.2.18遵从实现标准(ALc_TAT.2 开发者行为元素: ALC_TAT.2.1D开发者应标识用于开发TOE的每个工具 ALC_TAT.2.2D开发者应在文档中描述每个开发工具所选取的实现依赖选项 Al.C_TAT.2.3D开发者应描述开发者所使用的实现标准内容和形式元素: AI.C_TAT.2.1C用于实现的每个开发工具都应是明确定义的 ALC_TAT.2.2C每个开发工具的文档应无歧义地定义所有语句的含义,以及实现用到的所有协定与指令 ALC_TAT.2.3C每个开发工具的文档应无歧义地定义所有实现依赖选项的含义评估者行为元素 ALc_TAT.2.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 ALc_TAT.2.2E评估者应确认已经采用实现标准 7.2.2.19符合性声明(ASE_cCL.1) 开发者行为元素 ASEcCL.1.1lD开发者应提供符合性声明 AsEccL.1.2D开发者应提供符合性声明的基本原理内容和形式元素 ASE_ccL.1.1csT应声明其与GB/T18336的符合性,标识出sT和rOE的符合性所遵从的 GB/T18336的版本 AsEcCL.1.2Cc符合性声明应描述sT与GB/T18336.2的符合性,无论是与GB/18336.2相符还是对GB/T18336.2的扩展 ASE_cCL1.3C符合性声明应描述sT与GB/T18336.3的符合性,无论是与GB/T18336.3相符还是对GB/T18336.3的扩展 ASE_cCL.1.4C符合性声明应与扩展组件定义是相符的 ASE_cCL.1.5C符合性声明应标识sT声明遵从的所有PP和安全要求包 ASE_cCL.1.6C符合性声明应描述sT和包的符合性,无论是与包的相符或是与扩展包相符 AsE_cCL.1.7c符合性声明的基本原理应证实TOE类型与符合性声明所遵从的PP中的TOE 类型是相符的 AsE_cCL.1l.8C符合性声明的基本原理应证实安全问题定义的陈述与符合性声明所遵从的PP 中的安全问题定义陈述是相符的 ASE_CCL1.9C符合性声明的基本原理应证实安全目的陈述与符合性声明所遵从的PP中的安全目的陈述是相符的 ASE_CCL.1.10cC符合性声明的基本原理应证实安全要求的陈述与符合性声明所遵从的PP中的安全要求的陈述是相符的评估者行为元素: ASE_CCL1.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 7.2.2.20扩展组件定义(ASE_ECD.1 开发者行为元素: 19
GB/T20276一2016 ASE_ECD.1.lD开发者应提供安全要求的陈述 ASE_ECD.1.2D开发者应提供扩展组件的定义内容和形式元素 ASE_ECD.1.1C安全要求陈述应标识所有扩展的安全要求 ASE_ECD.1.2C扩展组件定义应为每一个扩展的安全要求定义一个扩展的组件 ASE_ECD,1.3c扩展组件定义应描述每个扩展的组件与已有组件,族和类的关联性 ASE_ECD.1.4C扩展组件定义应使用已有的组件、族,类和方法学作为陈述的模型 ASEECD.1.5C扩展组件应由可测量的和客观的元素组成,以便于证实这些元素之间的符合性或不符合性评估者行为元素 ASEECD.1.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 AsE_ECD.1.2E评估者应确认扩展组件不能利用已经存在的组件明确的表达 7.2.2.21sT引言(ASE_INTr.1) 开发者行为元素: ASE_INT.1.1D开发者应提供ST引言内容和形式元素 ASE_INT.1.1csT引言应包含sT参照号,TOE参照号,TOE概述和TOE描述 ASE_INT.1.2CST参照号应唯一标识sT ASE_INT.1.3CTOE参照号应标识TOE AsE_INT.1.4CTOE概述应概括ToE的用法及其主要安全特性 ASE_INT.1.5CTOE概述应标识TOE类型 ASE_INT.1.6CTOE概述应标识任何TOE要求的非TOE范围内的硬件/软件/固件 ASE_INT.1.7cTOE描述应描述TOE的物理范围 AsE_INT.1.8CcTOE描述应描述ToE的逻辑范围评估者行为元素 ASE_INT.1.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 AsE_INT.1.2E评估者应确认ToE参考、ToE概述和ToE描述是相互一致的 7.2.2.22安全目的(ASE_OB.2) 开发者行为元素 AsE_OB.2.1D开发者应提供安全目的的陈述 AsEoB.2.2D开发者应提供安全目的的基本原理内容和形式元素 ASE_OB.2.1C安全目的的陈述应描述TOE的安全目的和运行环境安全目的 ASE_OB.2.2c安全目的基本原理应追溯到ToE的每一个安全目的,以便于能追溯到安全目的所对抗的威胁及安全目的实施的组织安全策略 ASE_OB.2.3C安全目的基本原理应追溯到运行环境的每一个安全目的,以便于能追溯到安全目的所对抗的威胁,安全目的实施的组织安全策略和安全目的支持的假设 ASE_OB.2.4C安全目的基本原理应证实安全目的能抵抗所有威胁 ASE_OB.2.5C安全目的基本原理应证实安全目的执行所有组织安全策略 20
GB/T20276一2016 ASE_OB.2.6C安全目的基本原理应证实运行环境安全目的支持所有的假设评估者行为元素 ASE_OB.2.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 7.2.2.23推导出的安全要求ASERREQ.2) 开发者行为元素 AsEREQ.2.1D开发者应提供安全要求的陈述 ASE_REQ.2.2D开发者应提供安全要求的基本原理内容和形式元素 ASEREQ.2.1c安全要求的陈述应描述安全功能要求和安全保障要求 AsEREQ.2.2c应对安全功能要求和安全保障要求中使用的所有主体,客体,操作、安全属性、外部实体及其他术语进行定义 AsE_REQ.2.3c安全要求的陈述应对安全要求的所有操作进行标识 AsEREQ.2.4Cc所有操作应被正确地执行 ASEREQ.2.5C应满足安全要求间的依赖关系,或者安全要求基本原理应论证不需要满足某个依赖关系 AsE_REQ.2.6C安全要求基本原理应描述每一个安全功能要求可追溯至对应的TOE安全目的 AsEREQ.2.7c安全要求基本原理应证实安全功能要求可满足所有的ToE安全目的 ASEREQ.2.8C安全要求基本原理应说明选择安全保障要求的理由 ASEREQ.2.9C安全要求的陈述应是内在一致的评估者行为元素 ASEREQ.2.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 7.2.2.24安全问题定义(ASE_SPD.1) 开发者行为元素 ASESPD.1.1D开发者应提供安全问题定义内容和形式元素 AsESPD.1.1c安全问题定义应描述威胁 ASE_sPD.1.2C所有的威胁都应根据威胁主体、,资产和敌对行为进行描述 ASE_SPD.l.3C安全问题定义应描述组织安全策略 ASE_SPD.1.4C安全问题定义应描述TOE运行环境的相关假设评估者行为元素 ASESPD.1.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 7.2.2.25IoE概要规范(ASE_IsS.1) 开发者行为元素 ASETSS.1.1D开发者应提供TO)E概要规范内容和形式元素 ASE_TsS.1.1CTOE概要规范应描述TOE是如何满足每一项安全功能要求的评估者行为元素 ASE_TSS.1.lE评估者应确认所提供的信息满足证据的内容和形式的所有要求 21
GB/T20276一2016 ASE_TSS.1.2E评估者应确认TOE概要规范与TOE概述、TOE描述是一致的 7.2.2.26覆盖分析(ATE_cov.2) 开发者行为元素 ATE_COV.2.1D开发者应提供对测试覆盖的分析内容和形式元素 ATEcov.2.1c测试覆盖分析应证实测试文档中的测试与功能规范中TsF接口之间的对应性 ATECOV2.2C测试覆盖分析应证实已经对功能规范中的所有TSF接口都进行了测试评估者行为元素 ATE_cov.2.lE评估者应确认所提供的信息满足证据内容和形式的所有要求 7.2.2.27测试;安全执行模块(ATE_DPT.2) 开发者行为元素: ATEDPT.2.1D开发者应提供测试深度分析内容和形式元素 ATE_DPT.2.1C深度测试分析应证实测试文档中的测试与TOE设计中的TSF子系统,SFR-执行模块之间的一致性 ATE_DPT.2.2C测试深度分析应证实TOE设计中的所有TSF子系统都已经进行过测试 ATEDPT.2.3C测试深度分析应证实TOE设计中的SFR-执行模块都已经进行过测试评估者行为元素 ATE_DPT.2.1E评估者应确认所提供的信息满足证据内容和形式的所有要求 7.2.2.28测试;模块设计ATE_DPT.3 开发者行为元素: ATEDPT.3.1D开发者应提供测试深度分析内容和形式元素: ATEDPT.3.1C深度测试分析应证实测试文档中的测试与TOE设计中的TSF子系统、模块之间的一致性 ATE_DPT.3.2C测试深度分析应证实TOE设计中的所有TsF子系统都已经进行过测试 ATEDPT.3.3C测试深度分析应证实TOE设计中的所有TSF模块都已经进行过测试评估者行为元素 ATEDPT3.1E评估者应确认所提供的信息满足证据内容和形式的所有要求 7.2.2.29功能测试(ATE_FUN.1) 开发者行为元素 ATE_FUN.1.1D开发者应测试TSF,并文档化测试结果 ATEFUN.1.2D开发者应提供测试文档内容和形式元素 ATEFUN.1.1C测试文档应包括测试计划,预期的测试结果和实际的测试结果 ATEFUN.1.2c测试计划应标识要执行的测试并描述执行每个测试的方案,这些方案应包括对于其他测试结果的任何顺序依赖性 22
GB/T20276一2016 ATE_FUN.1.3C预期的测试结果应指出测试成功执行后的预期输出 ATEFUN.1.4C实际的测试结果应和预期的测试结果一致评估者行为元素 ATE_FUN.1.1E评估者应确认所提供的信息满足证据内容和形式的所有要求 7.2.2.30独立测试一抽样(ATE_IND.2) 开发者行为元素 ATE_IND,2.ID开发者应提供用于测试的TOE 内容和形式元素 ATE_IND.2.1cToE应适合测试 ATE_IND.2.2C开发者应提供一组与开发者TSF功能测试中同等的一系列资源评估者行为元素 ATE_IND.2.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 ATE_IND.2.2E评估者应执行测试文档中的测试样本,以验证开发者的测试结果 ATEIND.2.3E评估者应测试TSF的一个子集以确认TSF按照规定运行 7.2.2.31系统的脆弱性分析(AVA_AN.4 开发者行为元素 AVA_VAN.4.ID开发者应提供用于测试的TOE 内容和形式元素: AVA_VAN.4.1cTOE应适合测试评估者行为元素 AVA_VAN.4.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 AVA_VAN.4.2E评估者应执行公共领域的调查以标识TOE的潜在脆弱性 AVA_VAN.4.3E评估者应针对ToE执行独立的、系统的脆弱性分析去标识TOE潜在的脆弱性,在分析过程中使用指导性文档,功能规范、TOE设计,安全结构描述和实现表示 AVA_VAN.4.4E评估者应基于已标识的潜在脆弱性实施穿透性测试,确认TOE能抵抗具有中等攻击潜力的攻击者的攻击 7.2.2.32高级的系统的脆弱性分析(AVAVAN.5 开发者行为元素 AVA_VAN.5.lD开发者应提供用于测试的TOE 内容和形式元素 AVA_VAN.5.1CTOE应适合测试评估者行为元素: AVA_VAN.5.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 AVA_VAN.5.2E评估者应执行公共领域的调查以标识TOE的潜在脆弱性 AVA_VAN.5.3E评估者应针对TOE执行独立的、系统的脆弱性分析去标识TOE潜在的脆弱性,在分析过程中使用指导性文档,功能规范、TOE设计,安全结构描述和实现表示 AVvAVAN.5.4E评估者应基于已标识的潜在脆弱性实施穿透性测试,确认TOE能抵抗具有高等攻击潜力的攻击者的攻击 23
GB/T20276一2016 基本原理 8.1安全目的基本原理表3说明了TOE的安全目的能应对所有可能的威胁,假设和组织安全策略表3安全目的与威胁、组织安全策略、假设的对应关系序号安全目的对应的威胁,组织安全策略和假设标识数据存储o.ldlta_Storage 标识数据管理P.IdData_Managenent 非法程序攻击T.IleglP说Attaek 用户标识O.User_ldentification 逻辑攻击T.IaogicalLAttack 非法程序攻击T.IllegalPrg_Attack 用户鉴别o.User_Authenticeation 逻辑攻击T.LogiealL_Attaek 防重放攻击O.Replay_Preventionm 逻辑攻击T.L.ogical_Attack 残留信息清除O.Residuallnfo_Clearanee 逻辑攻击T.L.ogical_Attack 信息泄漏防护0.Infoleak_Prevention 信息泄漏T.lnfo_leak 非法程序攻击T.IlegalPrw_.Attak 数据访问控制O.DataAce_Control 逻辑攻击T.L.ogieal_Attack 状态恢复O.StatusRecovery 故障利用T.FailureExploitationm 生命周期功能控制O.LifecycleControl 生命周期功能滥用T.LifecycleMisuse 逻辑攻击T.LogicaLAttack 物理操纵T.PhysicalManipulation 10 密码安全0.Crypto_Security 密码管理P.CryptoManagement 11 人员OE.Personnel 人员A.Personnel 通信信道oE:.comm.Channel 12 通信信道A.Comm_Channel 非法程序攻击T.Ilegl alPrg_Atack 13 应用程序OE.App_Progranm 应用程序A.App_Program 信息泄漏T.Info L.eak 故障利用T.Failure_Exploitation 芯片硬件oE.chip_Hardwit 14 物理操纵T.PhysicalManipulation 芯片选型P.Chip_Selection 芯片硬件A.ChipHardware 15 外部数据管理OE.OutData_Management 外部数据管理A.OutData_Management 下面论述每一种威胁、组织安全策略和假设都至少有一个或一个以上安全目的与其对应,因此是完备的论述过程也说明了没有一个安全目的没有相应的威胁、组织安全策略和假设与之对应,这证明每个安全目的都是必要的;没有多余的安全目的不对应威胁、组织安全策略和假设,因此说明了安全目的是充分的 T.IllegalIPrg_Attack 为了抵御非法程序攻击,通过o.User_Identifcation,o.User_Authm 确保下载应用程序 hentication 24
GB/T20276一2016 前,用户必须已被明确标识并进行了安全鉴别.o.DhtaAee._Contral确保对数据实施了访同控制管理以防止非法程序绕过访问控制措施读取或修改数据;另外,OE.App_Program确保应用程序的开发过程不会包含恶意代码且下载过程能以一种安全的规程进行 T.Info_Lea 针对攻击者利用TOE执行过程中泄漏的功耗、电磁辐射及时耗等侧信道信息而发起的侧信道等信息泄漏攻击,O.InfoLeak_Prevention要求TOE必须具有抵抗或缓解此类攻击的能力 OE.Chip Hardware可确保硬件平台能够抵御侧信道攻击,因而保证由硬件平台实现的密码算法在此攻击下的安全性 T.Falure_Exploitation 故障利用攻击可通过分析ToE的运行故障以获取敏感数据信息或滥用ToE的安全功能,为此 O.satus_Reovery确保当故障发生时ToE工作状态可恢复或调整至安全状态,而不泄漏有利于攻击者的故障信息 oE.Chip_Hardwarc可确保硬件平台能够抵御故障引人攻击,因而保证由硬件平台实现的密码算法在此攻击下的安全性 T.ILifecycleMisuse 攻击者利用生命周期功能滥用而造成对ToE的安全威胁,可通过O.Lileeyele_Control控制特定生命周期的特定指令和功能,通过对ToE生命周期各阶段进行管理来防止此类攻击 T.Logieal_Attack 逻辑攻击是攻击者利用嵌人式软件的逻辑接口,对数据或安全功能造成威胁，o.User_lIdentifica tion.o.User_Authentication确保可访问各逻辑接口的用户已被明确标识且通过了安全鉴别,因而防止攻击者对各逻斜接口的非达访同;此外O.Replay_Preveaion要求通过相关安全机制以抵御重放攻击;0.Residualnfo_Clearance要求安全数据在使用完成后被完全删除,抵御攻击者利用残余信息而获取敏感信息或滥用TOE的安全功能;O.DataAcc.Control要求对文件系统及其他数据实施访问控制管理,防止攻击者绕过访问控制机制获取或篡改数据信息;0.Crypto要求TOE以安全的方式支持密码功能,以抵御利用密码算法的安全缺陷而进行的逻辑攻击 T.Physical_Manipulation 物理操纵攻击是攻击者利用芯片失效性分析和半导体逆向工程技术,对芯片实施物理剖片和探测，以获取存储与芯片内的数据信息 OE.Chip_Hardware可确保硬件平台能够抵御物理操纵攻击 O.Crypto_Seeurity进一步确保即使遭受物理剖片和电路探测等攻击后仍可保证密码安全 P.Crypto_Management 强调了使用国家或行业的密码标准和规范的要求,O.Crypto_Seeurity直接满足了这一组织安全策略要求,可确保在设计和开发过程中正确使用这些标准 P.IdData_Management 对IC卡嵌人式软件的开发和个人化等过程应具备标识TOE的能力提出要求,这一策略可直接由 O.IdData_storsge安全目的来满足 P.Chip_Seleetion 确立了TOE应采用至少通过EAL4十测评的IC卡芯片,提出OE.Chip_Hardware确保芯片可抵抗物理攻击,环境干扰攻击,侧信道攻击等,以至少达到EAL4十安全要求 A.Comm_Channel 应确保TOE与IC卡终端之间的通信信道是安全可靠的,OE.Comm_Channel提供了环境安全目的,确保通信路径是可信的 A.App_Program 该假设对安装在IC卡嵌人式软件之上的应用程序本身及其安装流程的安全性提出了条件， OE.App_Program提供了针对性的环境安全目的,可满足该假设条件 25
GB/T20276一2016 A.Chip_Hardware 对ToE运行所依赖的底层芯片抵抗物理攻击的安全性提出要求.oE.Chip_Hardware提供了环境安全目的,确保芯片能够抵抗物理攻击、环境干扰攻击和侧信道攻击等 A.OutDataMa ata_Managemment 该假设对安全功能数据在TOE外部存储和管理的安全性提出了要求,OE.OutData_Mat anagement 提供了针对性的环境安全目的,可确保外部存储和管理TSF数据的措施是安全的 A.Personnel 该假设对TOE用户的使用安全性提出了要求,OE.Personnel环境要求确保操作人员需要在经过培训后严格地遵守安全的操作规程,因此可以满足这一假设 8.2安全要求基本原理表4说明了安全要求的充分必要性基本原理,即每个安全目的都至少有一个安全要求(包括功能要求和保障要求)组件与其对应,每个安全要求都至少解决了一个安全目的,因此安全要求对安全目的而言是充分和必要的表4安全要求与安全目的的对应关系序号安全要求对应的安全目的密码安全O.Crypto_Security FCs._CKM.1峦钥生成用户鉴别O.Use ser_Authentication FCSCKM.4密钥销毁残留信息清阶除O.Residuallnfo_Clearanee 密码安全o.CryptoSecurity FCscOP.1密码运算用户鉴别O.User_Authentication FDP_Acc.1子集访问控制数据访问控制o.DataAee_Control 数据访问控制0.DataAccControl FDP_ACF.1基于安全属性的访问控制信息泄漏防护O.InfoL.eakPrevention FDP_IFC.1子集信息流控制信息泄漏防护O.Infol.eak_Prevention FDPITT.1基本内部传送保护 FDPRIP.1子集残余信息保护残留信息清除O.Residuallnfo_Clearanee FDP_RIP.2完全残余信息保护残留信息清除O.Residuallnfo_Clearance FIA_AFL.1鉴别失败处理用户鉴别o.User_Authentication 10 用户标识O.Userldentification 1 FIA_ATD.1用户属性定义用户鉴别o.User_Authentieation 12 FIAS(0S.1秘密的验证用户鉴别O,User_Authentication 用户鉴别O.User_Authentication 13 FIAUAU.1鉴别的时机数据访问控制O.DataAcc_Control 生 Contro 命周期功能控制o.Lfeysle 用户鉴别o.User_Athentieaton 1 FIA_UAU.4一次性鉴别机制防重放攻击O.Replay_Preventionm FIA_UAU.5多重鉴别机制用户鉴别o.User_Authentieation 15 FIA_UAU.6重鉴别用户鉴别o.U: l6 Jser_Authentication 26

信息安全技术具有中央处理器的IC卡嵌入式软件安全技术要求GB/T20276-2016

随着现代社会的快速发展，信息技术已经渗透到了各个领域，信息安全问题也变得越来越突出。在这种背景下，对于中央处理器的IC卡嵌入式软件安全技术的要求日益增加，GB/T20276-2016标准的发布也为这一需求提供了指导。

中央处理器的IC卡嵌入式软件安全技术要求

GB/T20276-2016是中国国家标准化管理委员会发布的《中央处理器的IC卡嵌入式软件安全技术要求》标准，旨在规范中央处理器的IC卡嵌入式软件的开发、测试、应用和维护等方面的安全要求。

该标准主要围绕中央处理器的IC卡嵌入式软件的安全需求展开，其中涉及到的内容包括：安全设计、安全实现、安全测试、安全应用和安全维护等方面。具体要求包括但不限于：硬件和软件隔离、访问控制、防篡改机制、加密解密技术、安全日志等。

GB/T20276-2016的相关解读和应用

对于中央处理器的IC卡嵌入式软件开发人员、安全测试人员以及使用者来说，熟悉并严格遵守GB/T20276-2016标准是非常重要的。以下是一些相关的解读和应用：

在中央处理器的IC卡嵌入式软件的开发过程中，应该充分考虑软件安全性能，并根据标准中的要求来进行开发。
在中央处理器的IC卡嵌入式软件的测试过程中，应该参考标准中的测试方法，并结合具体情况进行测试。
在中央处理器的IC卡嵌入式软件的应用过程中，应该根据标准中的安全要求来进行使用，并注意软件的维护和更新。

总结

GB/T20276-2016标准的发布，为中央处理器的IC卡嵌入式软件的开发、测试、应用和维护等方面提供了具体的安全要求。只有严格遵守这些要求，才能够保证软件的安全性能，从而在信息化时代背景下更好地保障人们的信息安全。