【GA公共安全标准】 信息安全技术智能卡开放平台安全技术要求

ICS35.240
中华人民共和国公共安全行业标准GA/T1526—2018
信息安全技术
智能卡开放平台安全技术要求
Informationsecuritytechnology-Security technical requirements for smart card open platform2018-11-05发布
中华人民共和国公安部
2018-11-05实施
规范性引用文件
术语和定义
缩路语
智能卡开放平台描述
6安全功能要求
安全保障要求
参考文献：
GA/T 1526—2018
本标准按照GB/T1.120C9给出的规则起草。本标准由公安部网络安全保卫局提出。本标准由公安部信息系统安全标准化技术委员会归口。GA/T1526—2018
本标准起草单位：公安部计算机信息系统安全产品质量监督检验中心、公安部第三研究所。本标准主要起草人：杨元原、俞优、唐迪、陆臻、顾健、春明、陈玉成m
1范围
信息安全技术
智能卡开放平台安全技术要求
本标准规定了智能卡开放平台的安全功能要求和安全保障要求。本标准适用于智能卡开放平台的设计、开发及测试。2规范性引用文件
GA/T1526—2018
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件，GB/T18336.3一2015信息技术安全技术信息技术安全评估准则第3部分：安全保障组件GB/T25069—2010信息安全技术术语3术语和定义
GB/T25069一2010和GB/T18336.3一2015界定的以及下列术语和定义适用于本文件。3.1
智能卡smartcard
将一个具有中央处理器的集成电路芯片镶嵌于塑料基片中，并封装成卡的形式。从数据传输方式可分为接触式智能卡和非接触式智能卡。3.2
chipoperatingsystem
芯片操作系统
智能卡嵌入式软件的核心部分，实现智能卡的核心功能，如输人/输出管理、命令执行管理、通用例程和解释器等
应用软件applicationsoftware
架构基于芯片操作系统之上，实现智能卡应用功能的软件3.4
开放平台
openplatform
通过公开其应用软件编程接口（API或函数，使外部的程序可以增加其功能或资源，而不需要更改其源代码的软件系统、
持卡者cardholder
按照既定目的使用智能卡开放平台的最终用广3.6
发行者issuer
承担产品的发行、应用软件的下载，安装，删除、产品的作废等职责的管理员用户。1
GA/T1526—2018bZxz.net
4缩略语
下列缩略语适用于本文件
CAD：卡接收设备（CardAcccptorDevice)CPU：中央处理器(CentralProcessingUnit)IC：集成电路（IntegratedCircuit）PiN：个人身份识别码（PersonalIdentificationNumber）5智能卡开放平台描述
智能卡开放平台除具备传统智能卡输人/输出管理、命令执行管理和文件管理等功能外，还通过开放平台技术将智能卡底层硬件与上层应用分离，为应用软件提供统一的与硬件无关的接口，实现了应用软件的下载、更新和删除功能。智能卡开放平台保护的资产是智能卡开放平台本身及其内部重要数据，以及应用软件及其生成的数据，图1是智能卡开放平台的层次结构和典型运行环境。按触式或非按
触式智能卡
应用软件
开放平台
卡接收设备
应用软件
芯片操作系统和应用软件间接口芯片操作系统
IC芯片
操作服务器
应用软件
智能卡开放平台典型运行环境
6安全功能要求
身份鉴别
6.1.1鉴别时机
在用户访问产品受保护的资源前应进行身份鉴别，鉴别前允许用户执行下述动作：a）建立逻辑通道：
b）选择智能卡中的应用软件：
建立安全通道。
6.1.2鉴别保护机制
在身份鉴别过程中，产品应提供如下功能：a）确保PIN码、密钥等满足最低长度要求；h）
鉴别信息、密钥采用加密方式进行传输：c)
防止鉴别信息被重复使用；
当失败的用户身份鉴别尝试次数达到规定的数值时，产品能够终止会话。d)
6.1.3相互鉴别
应具备产品和CAD之间的相互身份鉴别机制，且先执行CAD鉴别。6.1.4重鉴别
产品应在下述条件下重新鉴别用户：a）智能卡会话终止；
b）智能卡重置。
6.2用户数据保护
6.2.1访问控制策略
GA/T1526—2018
产品应确保安全功能涉及的所有操作都被访问控制策略所涵盖，主体应能够按照预定义的访问控制策略访问客体。
6.2.2基于安全属性的访问控制
产品应基于主体和客体的安全属性，提供明确的访问保障能力和拒绝访问能力6.2.3剩余信息保护
产品安全功能在释放或者重新分配访问控制范围之内的客体敏感资源，如应用软件实例、指令缓存区数据、PIN码、密钥时，应确保该资源中任何以前的信息不再可用。6.2.4数据传输保护
产品应对芯片各模块之间传输的数据进行保护，免遭修改和泄露。6.3
密码支持
6.3.1密码算法
产品执行的加密、解密、签名、验签等密码算法应符合国家密码管理的有关规定。6.3.2密钥生成
产品的密钥生成应符合国家密码管理的有关规定。6.3.3密钥销毁
对于不再使用的密钥，产品应提供密钥销毁功能。3
GA/T1526—2018
安全管理
6.4.1安全功能管理
产品应仪限于授权用户对以下安全功能进行管理：a）应用软件管理；
智能卡生命周期管理；
密钥管理；
PIN码管理：
运行环境上下文管理。
6.4.2安全属性管理
产品应仅允许授权用户单向更新智能卡生命周期状态，修改应用软件生命周期状态、用户权限、PIN码状态等安全属性。
6.4.3静态属性初始化
产品应为安全属性提供一个受限的默认值，并仅允许授权用户修改这些默认值6.4.4安全角色
产品应能够维护持卡者、发行者和运行环境下文等安全角色6.4.5应用软件验证
产品应能够验证应用软件的完整性及数字签名的可靠性，应能够阻止非授权应用软件的加载。6.5
安全审计
6.5.1潜在侵害监测
产品应至少使用下列规则米监控审计事件，以指示潜在的安全侵害：a）鉴别数据完整性的破坏；
缓冲区溢出；
资源不可用：
违反产品安全策略的行为：
智能卡从CAD中意外拨出：
异常环境条件（频率、电压、温度）。安全告警和响应
产品应根据监测到的潜在安全侵害，选择下列行为：阻止侵害行为并告警；
重新初始化并重置相关数据；
终止产品服务。
自保护能力
6.6.1完整性检测
产品应能对其存储的敏感信息的完整性进行检测，确保授权用户能够验证数据的完整性。4
6.6.2失效保护
产品应在下列失效情况发生时，能够白动恢复到一个安全状态：a）潜在侵害事件；
b）完整性检测故障；
c）应用软件的下载、安装和删除的失败。6.6.3功能恢复
GA/T 1526—2018
产品应确保失效情况发生后，产品安全功能或者成功完成，或者针对指明的失效情况恢复到一个前后一致且安全的状态。
6.6.4旁路攻击抵抗
产品应能够抵抗攻击者通过指令耗时、功率消耗和电磁辐射等方式发起的旁路攻击。6.6.5扰动攻击抵抗
产品应能够抵抗攻击者通过激光、时钟毛刺和电压毛刺等方式发起的扰动攻击。6.6.6物理攻击抵抗
产品应能够抵抗攻击者通过逆向分析、物理算改、物理探针等方式发起的物理攻击。7安全保障要求
7.1开发
7.1.1安全架构
开发者应提供产品安全功能的安全架构描述，安全架构描述应满足以下要求a）与产品设计文档中对安全功能实施拍象描述的级别一致；h）描述与安全功能要求一致的产品安全功能的安全域：描述产品安全功能初始化过程为何是安全的：c）
证实产品安全功能能够防止被破坏；d）
证实产品安全功能能够防止安全特性被旁路。e
7.1.2功能规范
开发者应提供完备的功能规范说明，功能规范说明应满足以下要求：a）完全摧述产品的安全功能；
b）描述所有安全功能接口的目的与使用方法；c)
标识和捕述每个安全功能接口相关的所有参数：描述安全功能接口相关的安全功能实施行为；d)
描述由安全功能实施行为处理而引起的直接错误消息；证实安全功能要求到安全功能接口的追溯；描述安全功能实施过程中，与安全功能接口相关的所有行为：h）
描述可能由安全功能接口的调用而引起的所有直接错误消息。5
GA/T1526—2018
7.1.3实现表示
开发者应提供全部安全功能的实现表示，实现表示应满足以下要求a）提供产品设计描述与实现表示实例之间的映射，并证明其一致性b）按详细级别定义产品安全功能，详细程度达到无须进一步设计就能生成安全功能的程度；c）以开发人员使用的形式提供。7.1.4产品设计
开发者应提供产品设计文档，产品设计文档应满足以下要求：根据子系统描述产品结构；
标识和描述产品安全功能的所有子系统：描述安全功能所有子系统间的相互作用：e）
d）提供的映射关系能够证实设计中描述的所有行为能够映射到调用它的安全功能接口；根据模块描述安全功能；
提供安全功能子系统到模块间的映射关系；描述所有安全功能实现模块，包括其目的及与其他模块间的相互作用；g）
描述所有实现模块的安全功能要求相关接口、其他接口的返回值、与其他模块间的相互作用及调用的接口；
i）描述所有安全功能的支撑或相关模块，包括其目的及与其他模块间的相互作用。指导性文档
7.2.1操作用户指南
开发者应提供明确和合理的操作用户指南，操作用户指南与为评估而提供的其他所有文档保持一致，对每一种用户角色的措述应满足以下要求：a）描述在安全处理环境中被控制的用户可访问的功能和特权，包含适当的警示信息；b）描述如何以安全的方式使用产品提供的可用接口；描述可用功能和接口，尤其是受用户控制的所有安全参数，适当时指明安全值；c）
明确说明与需要执行的用户可访问功能有关的每一种安全相关事件，包括改变安全功能所控制实体的安全特性；
e）标识产品运行的所有可能状态（包括操作导致的失败或者操作性错误），以及它们与维持安全运行之间的因果关系和联系；
充分实现安全目的所执行的安全策略。7.2.2准备程序
开发者应提供产品及其准备程序，准备程序描述应满足以下要求：a）描述与开发者交付程序相一致的安全接收所交付产品必需的所有步骤：b）描述安全安装产品及其运行环境必需的所有步骤。7.3生命周期支持
7.3.1配置管理能力
开发者的配置管理能力应满足以下要求：a）为产品的不同版本提供唯一的标识。6
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。