【国家标准(GB)】 信息安全技术 智能卡嵌入式软件安全技术要求(EAL4增强级)

ICS 35.040
中华人民共和国国家标准
GB/T20276—2006
信息安全技术
智能卡嵌入式软件
安全技术要求（EAL4增强级）
Information security technology--Security requirements for smartcard emhedded software(EAL4 + )2006-05-31发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2006-12-01实施
061205000026
GB/T20276—2006
规范性引用文件
术语和定义
智能卡嵌入式软件描述
5安全环境
纽织安全策略
安全白的
6.1智能卡嵌入式软件安全目的
G.2环境安全月的
7安全要求
7.1智能卡嵌入式软件安全要求
7.2环境安全要求
8基本原理.
8.1安全目的基本原理
8.2安全要求基本原理
8.3满足依赖关系的基本原理.
参考文献
YYKANKAa
本标准由全国信息安全标准化技术委员会提出并归口。本标准主要起草单位：中国信息安全产品测评认证中心。CB/T20276—2006
本标准主要起草人：李守鹏、徐长醒、付敏、简余良、凌晨、潘莹、杨水生、祁斌、黄小鹏、杨延辉、书昊赵子渊、李水禄。
GB/T202762006
YYKANiKAca
智能应用范伟的引大和应用环境复杂性的增加，要求智能卡嵌人式软件具有更强的保扩数据能力
本标准在:（G13/T18336一2001中规定的EAI.4级安全要求组件的基础上，增加了模块化组件(ADV_INT)，片且将随弱性分析要求H可以抵御低等攻击的组件(AVA_VE.A,2)提升到叮以抵御中级攻击力攻击的组件（AVA_VI.A.3)。本标谁仅给出了智能卡嵌人式软件应满足的安全技术要求，对智能卡嵌入式软件的具体技术实现方式、方法等不做描述。
1范围
信息安全技术智能卡嵌入式软件安全技术要求（EAL4增强级）
GB/T 20276—-2006
本标准规定了对FA1.1增强级的智能下嵌人式软件进行安全保护所需要的安全技术要求。本标准适用智能卡嵌人式软件的砾制、开发、测试、评估和产品的采购。2规范性引用文件
下列义件中的条款通过本标准的引用而成为本标准的条款，凡是注口期的引用文件.其随后所有的修收单（不包括勘误的内穿或修订版均不适用于木标推，然而，鼓励根据本标准达成协议的各片研究是否可使用这些文件的最新版本，凡个注H期的儿用文件，其最新版本适用于本标准GI3/T18336.1一2001信息技术安全技术信息技术安全性评估准则第1部分：简介利一股模型(irlt IS(0/IEC 15408-1:1999)G13/T18336.2一2001信息技术安全技术信息技术安全性评估准则第2部分：安全边能要求(idt IS0/IE: 15408-2:1999)CB/T18336.32001信息技术：安食技术信息技术安全性评站摊则第3部分：安全保证要求(idt 1S0/IEC 15408-3:1990)3术语和定义
[3丁18336一20C确的以歧下划术语粥定义迁用于本标准3.1
应用软件application soflware智能卡嵌人式软件的一部分，架构丁基础软件之上，实现智能卡的应用功能。3.2
基础软件basie software
智能卡人式软件的核心部分，实现智能卡的核心功能，如：操作系统、避用例程和解释器等。3.3
个人化数据personalization data在个人化阶段写入的个性化数据。3.4
预个人化数据prepersunalizalion dala在预个人化阶段入的非个性化数据。4智能卡嵌入式软件描述
4.1概述
智能卡嵌入式软件指掩膜在智能卡存循器中并可运行的软件，一般由应用软件和基础软件组成。其共主要功能是控制智能卡和外界的信息交换，管理智能卡的存倍器并完成各种命令的处理，4.2特征
4.2.1智能卡嵌入式软件的生命周期的特征智能卡龄人式软件的牛命周期包含在智能卡产品的生命周期之中。智能卡产品的生俞周期川分为GB/T20276—2006
以下几个阶段，各个阶段内容如表1所示：表1智能卡产品的生命周期
阶段1
阶段2
阶段3
阶段5
集成电路开发阶段
软件开发阶段
掩膜阶段
制卡阶段
预个人化阶段
阶段6
个人化阶段
阶段？
使用阶段
-YYKAONKA
设计和开发集成电路固件，通过可靠的交付和接收程序为智能卡嵌人式软件开发者提供芯片相关信息和工具
开发智能卡嵌人式软件（如确定系统功能、制定功能规范、设计系统结构、编制源代码、测试等）
接收开发者交付的软件，并写入集成电路芯片芯片模块封装
完成预个人化操作（如软件加载，文件创建及初始化等）加载个人化数据，完成智能卡的后期制作将成品者能卡交付给最终用户，以及用户的使用和废在阶段2设计的智能卡嵌入式软件在阶段3或阶段5期间写人集成电路。生命周期中的所有阶段内和价段间的交付必须遵循修改监测（ADQ_DEL2)安全保证要求。4.2.2开发环境的特征
开发环境必须设置访同控制策略和严格执行访问控制措施，保证开发过程的可追溯性。4.2.3使用环境的特征
智能卡在发行以向使用环境难以控制，攻击者可能会采用各种手段对智能卡进行攻击，以便获取敏感数据。因此，智能卡嵌入式软件必须保证系统内的信息在使用环境下的机密性和完整性。5安全环境
需要保护的资产
用户数播(例如智能卡持有者使用的数据）：系统数据（例如软件的开发者，发行者使用的与安全相关的数据）；应用数据（创如网络连接接口参数系统参数、初始化数据智能卡的预个人化和个人化数据）；各种密钥或口令
软件设计及说明、实现和相关文档：技术。
软件的开发工
在智能卡嵌入式软外研发系统生成、数据加载和交付使用过程中必须保证上述资产的机密性和完整性。
5.2假设
5.2.1攻击者的能力（A.Attach
假设攻击者有足够的时间，并且具有各种专业知识、资源和动机。专业知识包括半导体技术，黑客技术、与智能卡嵌入式软件相关的技术知识等资源包括个人电脑、读写设备、测试设备、软件程序等，动机包括经济利益、国家利益或攻破专业安全系统后的满足感等。5.2.2用户权限（A,User）
假设特定用户拥有访问智能卡嵌入式软件所管理的某些信息的权限。5.2.3管理者能力（A.Admin）
假设已指派一个或多个授权管理者负责智能卡嵌人式软件安全特性的管理，他们胜任工作并且诚实可靠。
5.2.4角色管理（A,Role_Man）
假设智能卡的生命周期中涉及的角色被安全地管理，这些角色包括智能卡的开发者、发行者、管理2
者和使用者
5.2.5外部数据存储（A,Data_Store）GB/T20276—2006
假设以安全的方式管理相关的外部数据。外部数据包括与智能卡及其软件直接相关的敏感信息，如个人化数据、所有者身份等，以及与智能卡嵌人式软件不直接相关的数据。这些信息如果被泄漏，可能危及智能卡安全。
5.2.6生命周期管理（A.LifeMan）智能卡嵌人式软件的生命周期包含在智能卡生命周期中。假设智能卡的生命周期的每个阶段都被唯一标识，并可通过标识信息追溯到生命周期的各个阶段。5.2.7密钥生成（A.Key_Gen）
在智能卡应用系统中，不同的实体会向嵌入式软件引人各种密。假设这些密钥的生成是安全的。5.3威胁
5.3.1对智能卡嵌入式软件的威肋5.3.1.1使用中的威胁
5.3.1.1.1用户错误（T/UsError)智能卡嵌人式软件的授权用户可能通过引入错误数据或进行了不适当操作等，危及智能卡嵌人式软件的安全特性。
5.3.1.1.2未授权操作(.Ua_Op）攻击者可能通过未慢权操作智能卡嵌人式软件来探测或修改智能卡嵌人式软伴的安全特性。如在智能卡嵌人式软件中存在未公开的命令或功能，对这些命令或功能的未授权操作会危及智能卡嵌入式s
软件的安全特性。
5.3.1.1.3未授权程序装载（T.Ua_Load攻击者可能利用未授权的程序探测或修改智能卡嵌入式软件安全功能代码及数据，未授权程序包括非法装载的程序以及在正常操作期间不希望被执行的合法程序。5.3.1.1.4命令操纵（T.Cmd_Str）攻击者可能异常地使用软件命令非法获得存储器内容。例如通过执行越界请求或使用畸形的命令格式。
5.3.1.1.5强制重置T.Fored_Rst)攻击者可能通过不企中断方式使智能卡进入不安全状态。可能的手最包括a）异常中止智能卡与读写设备之间的通信；b）插人中断：
c）选择特定应用使文件保持在打开状态等。5.3.1.1.6缺陷插入(T,Fltns
攻击者可能通过反复地插人选定的数据或错误，并观察相应的输出结果，从而获得重要信息。这种威胁的特点是有目的选择和控制输人数据而不是随机选择或控制。5.3.1.1.7重放攻击（T.Reuse）攻击者可能通过重用合法鉴别数据旁路安全机制或探测智能卡嵌人式软件信息。5.3.1.1.8数据装载故障（T.Load_Mal)攻击者可能通过在待装载数据中恶意地生成错误，试图修改或破坏智能卡嵌入式软件的安全功能。5.3.1.1.9对初始使用权的欺骗(T.First_Use）攻击者可能通过未授权使用新的或未发行的智能卡而非法获得智能卡嵌入式软件信息。智能卡的发行过程包括各种标识的设定，这些标识可用在智能卡的内部或用来向外部发行实体标明该智能卡生效。
GB/T 20276—2006
5.3.1.1.10身份冒充（T,Impcrs）改击者可能胃充智能卡的授权管理员或用户而法获得智能卡嵌人式软件信息5.3.1.1.11非法访问(T.Access)YYKAONiKAca
使用者或攻末者可能在未经信息或资源的拥有者或贵任者许可的条件下对信息或资源进行访间。得个授权角色都行特定的权限来访问间智能下嵌人式软件分配或指定的区域及其包含的信总，如果访问超出规定校限会导致安全相关信息的暴露。5.3.1.1.12数据空间搜索（T.Search）攻击者可能利用对数据空的复搜索确定重案倍息。攻小者司能重复使用命令获取尽可能多的数据空间中的倍息，并提取安企和关信息。5. 3. 1. 1. 13 审计失败(T. Aud_Iail)如果中计失败那么收出者可能通过重复探测来获取存储器内容·或改变智能卡嵌人式软件的安全功能的关链要素。
5. 3. 1. 1. 14版本攻击(T. Gen_Atk)攻击者川能使用不同发行版本的智能下嵌入式软件，利用它们在安全功能实施方面的差异获敢智能卡嵌人式软件的重要安企倍息出者可能利用为以前版本的开发技术获取后续版本中的安全信息：5.3.1.1.15使用被禁止的生命周期功能(T,LC_Ftm）收片者可能会利H相关命令，尤其是测试和调诚命令米获取智能卡及其欣人软件安全功能数据或域感的用户数据，这些命令在智能卡及其人软件生命周期的以往某些阶段是必要的，们在现阶段是被禁止的。例如，企使用阶段测试命令或询试命令可能用于显示内存或执行其他功能。5. 3. 1. 1. 16 密码攻击(T. Crypt_Atks)攻击者川能实施密码攻山或穷举政击危及智能卡嵌人式软件的安全助能。5.3. 1.1. 17综合分析(T,Link）政击者可能观察实本使扭的多种资源和服务的状况，推导出该实体希望保护的信息。攻击者利用观察到的多种结果逃行综合分析，获得相美信息，政击者利用这些信息川以直接获取安全信息，或者可以综合出某种攻击下段，进而获取智能卡要保护的安全信总：5. 3. 1. 1. 18 联合攻击(T, Lnk_Atk)攻击者通过先期攻击导致系统状态不稳或安全能力弱化，从而保证后续政击成功。5. 3. 1. 1.19克隆(T. Clom)
攻出者可能克降部分或全部能卡嵌人式软件的功能实施效山。攻击者可能通过对智能卡嵌入式软件本身的详细观察或者通过非法获取智能卡设计信息，点降部分或全部智能卡骏人式软件。
5. 3. 1. 2 开发中的威胁
5. 3. 1. 2. 1 软件泄漏(T, Dis_Soft)攻击者可能通过非法获取或木授权使用软件信息获得对智能卡相关受控信息和功能的法问权限。软件信息可能包活智能卡嵌人式软件的系统结构.实现安全均能的安全机制、初始化过程和参数、访问控制机制，鉴别机制、数据保护机制、软件对存储器管理和分区机制.密码算法秘序等，这泄漏可能发牛在呆…特定过轻或智能下生命周期内两个阶段殷的更替过程之中，5.3.1.2、2保密数据泄漏（7.1lis_Data）攻击者可能通过非法获取或未授权使用保密数据获得对智能下相关受控信息和功能的访问权限。这些信息吓能包括初始化数据、个人化数据、口令或密钥等。这种泄谢能发生在某一特定过程或智能卡命周期内两个阶段的史替过程之中。4
5. 3,1. 2. 3测试信息泄漏(T. Tis_TestB/20276—2006
攻击者可能通过非法获取或未授权使用测试信息获得对智能卡树关受控信息和功能的访叫权限，这些信息包括对嵌人式软竹的测试工具、测试划程、测试程序、测试结果等。这种泄漏可能发生在某一特定过程或智能卡生命周期内两个阶段的更替过程之中，5. 3. 1. 2. 4产品失窃(T. T[I_Prul)攻击君可能窃取产品用于技术开发或导找智能卡嵌人式软件的安全漏洞。可能失窃的产品包括硅片样品、已装人软件并封装成模快的芯片、预初始化的智能卡、预个人化的智能下或虽已个人化但尚末发行的能卡。这种窃取可能发生在某一特定的过程或智能卡生命周期内两个阶段的更替过程之中。
5. 3. 1. 2. 5工具失窃(T. TII_Tools)攻击者可能偷窃智能卡嵌人式软件开发工具以获取系统知识，从而威胁智能下嵌人式软件安全功能。
这种窃收可能发生在某一特定的过程或智能下牛命周期内两个阶段的史替过程之中。5. 3. 1. 2. 6软件修改(T. Mud_Snf1)攻击者可能修收智能卡嵌人式软件·在功能模块中引人安全缺陷-以使以后利用。软件1被修改.将威胁安全性。这些软件包括软件安全机制、初始化过程、访问控制机制、鉴别机制、数据保护机制、存储器管理和分区机制、密码算法程序等。刘这些软件的修改可能发牛:在某一特定的过程或智能下生命周期内两个阶段的史替过程之中。5.3.1.2.7保密数据的修改(T.Mud_Data)攻击者可能对智能卡嵌人试软件保密数措进行修改·在功能模块中引人安全缺陷，以便以后利用。保密数据-被修攻，将威胁安全性，这些保密数据包括初始化数据、个人化数据、口令或密钳等。对这些保密数据的修改可能发生在某特定的过程或智能卡牛命周期内两个阶段的更替过程之中，5.3.1.2.8测试信息修改(T. Mod_Test)攻击者可能刘微能卡嵌人式软件的测战信息进行修政：作功能模块中引人安全缺陷，以便以片利用，
测试信息一口被修改，将威胁安个性。测试信息包括测试上具，测试流程、测试程序或测试果、对这些测试信息的修改可能发生在某特定的过程或智能卡生命质内两个阶段的更替过程之中：5.3.2对智能卡入式软件使用环境的威助5.3.2.1密钥泄(T.Key_Comp）
攻击名非法获得密钥，以而张得对郁能卡相关受控信息和功能的访问权限。造成密钥泄遍的原因可能是不完养的控制程序或尖窃，它可能发牛在某个特定的开发，测试或使用智能卡嵌人式软件的场所中，或在不同场所间传送密切时信息的泄溺。钥可包哲产品密钙、传输密朗、测试密钥或作密钥等。
5.3.2.2管理者权力滥用（T.Priv）管理者可能通过执行暴露智能卡嵌人式软件安全功能或受保扩数据的操作而威胁其安全特性。5.4组织安全策略
5.4.1数据访问（P.Data_Ace）
除已定义好的操作集外，对特定效据和客体的访尚权限的定义依据：n）客体的抑有者：
）尝试访问客体的主体标认；
）客体的拥有授了的显式或隐式的访问权限。智能卡获人式软件可能涉及到多个不同的授权名·包系统集成商、智能卡发行者系统管理名，他们均能以特定的规则访问智能卡嵌人式软件中的数据，其中某些特定规则将在安全功靠要求的共GB/T20276—2006
YYKANKAa
于安全属性的访问控制（FDP_ACF.1)和简单安全属性（FDP_IFF.1)中以智能卡嵌人式软件访问控制策略和信息流控制策略的形式详加说明，其余的特定规则将由客体拥有者在其策略声明中明确规定。5.4.2文件访问（P.File_Acc）
建立文件及其访问控制结构权限的定义依据：a）文件的拥有者：
b）试图访问文件的主体标识；
c）文件的拥有者授予的显式或隐式的访问权限。智能卡嵌入式软件可能涉及到多个不同的授权者，包括系统集成商、智能卡发行者、系统管理者。根据文件的具体操作（取决于文件的内容）他们会建立不同的访问规则。其中的某些规则将在安全功能要求中的基于安全属性的访问控制(FDP_ACF.1)中以智能卡嵌入式软件访问控制策略的形式详细加以说明，其余规则将由文件的拥有者在其策略声明中明确规定。上述提及的文件类包括透明文件、线性文件、循环文件以及相应的数据结构。5.4.3标识(P.Ident)
智能卡嵌入式软件必须教唯一标识。5.4.4专业领域的信技术标准（P.IT_Std）智能卡嵌入式软件设计应符合相关的国家标准及行业或组织的信息技术安全标准或规范，符合或接近国际标准。
5.4.5密码标准（P.Crypt_Std）密码实体，数活跨剧都必须符合国家标准及行业或组织的信息技术安全标维或规范。5.4.6配置管理con_Cont）
使用配置管理川具管理所有代码。6安全目的
6.1智能卡嵌入式软件安全目的
6.1.1逻辑保护（Oog_Prot）
智能卡嵌入式款件应能抵御辑操纵或修改攻击。6.1.2防信息泄漏@ALeak)
智能卡嵌入式软件应能抵御通过分析诸如信息流等因素的变化来获取安全信息的攻击。6.1.3初始化（0.ImiC
智能卡在上电、复位或其他重启操作之后必须进入指定初始状态。此目的应能防止攻击者操纵智能卡使其处于未定义的状态。6.1.4防缺陷插入（0.Flt_Ims）智能卡嵌入式软件必须能抵御插入缺陷数据重复探测的攻击。6.1.5防重放攻击（O.Reuse)
智能卡嵌入式软件应提供诸如一次性鉴别机制等功能以抵御重放攻击。智能卡嵌人式软件应满足以下要求：当鉴别操作已成功结束或被中止时，攻击者无法通过重放或重新启动此项操作来达到非法获取智能卡内资产的目的。6.1.6设置顺序(0.SetUp）
在智能卡嵌人式软件投人使用之前，必须为其规定操作顺序。智能卡嵌入式软件应在授权或受控的方式下操作，防止在智能卡的安全保护机制启动之前使用智能卡。
6.1.7数据访问控制(0.DAC)
智能卡嵌入式软件必须基于用户或用户组提供访问控制规则，访问控制规则与组织安全策略中的6
数据访问（P.Data_Ace）致。
GB/T20276—2006
不同的使用者、管理者、发行者等都要对白已掌握的资产进行控制，这些控制使用的规则体现在安全功能要求中的基于安全属性的访间控制(FDP_ACF.1)和简单安全属性(FDP_IFF.1)中。6.1.8文件访问控制（O.FAC）
智能卡嵌入式软件必须基于用户或用户组提供建立或更改文件和相关资源访问控制规则，访问控制规则与组织安全策略中的文件访问(P.File_Acc)一致。与文件的建立、修改、删除等操作相关的访问控制权限的通用规则在安全功能要求中的基于安全属性的访问控制(FDP_ACF,1)中给出，其他规则需要由用户和资产拥有者明确给出。O.FAC主要是对文件进行操作，O.DAC主要是对数据进行操作。6.1.9防数据搜索(0.Search)
智能卡嵌人式软件应抵御未授权实体对智能卡中的数据和文件进行重复搜索攻击。6.1.10审计(0.Audit)下载标准就来标准下载网
智能卡嵌人式软件应能提供安全审计手段，记录选定的审计事件，以便智能卡检测潜在的攻击行为，并产生必要的安全响应
6.1.11生命周期功能（o,Life_Cycle）智能卡嵌人式软件必须提供控制或限制在某阶段使用特定命令的方法软件的特定生命周期阶段有效的专有命令，在其他阶段应该被禁止。在智能卡嵌入式
6.1.12生命周期管理（0.Life_Man）必须对智能卡嵌人式软件生命周期各阶段进行管理控制。智能卡生命周期的每一阶段都应当被唯一标识，并可通过标识信息追溯到生命周期各阶段。6.1.13密码（ouypt)
智能卡嵌入最软件必领具有安全管理密码的功能。智能卡嵌入软件必须符合国家及行业或组织的密码管理相关标准或规范6.1.14防综合分析(o.Unlink）
智能卡嵌入式软件可以使用多种资源和服务，但应能抵御综合分析的攻击6.1.15标识（0.Ident
智能卡嵌人式软件必须能记录并保存标识信息。6.1.16专业领域的信总技术标准（0.IT_Std）智能卡嵌入式软件的设应符合相关专业领域的国家及行业或组织的标准或规范，应符合或接近国际标准。
6. 1.17配置控制(O.Con Cont)
使用配置管理工具管理所有代码和文档等6.2环境安全目的
6.2.1管理者能力（OE.Admin)
由授权管理者负责智能卡和嵌人式软件安全特性的管理，确保安全信息不会泄漏。6.2.2设计控制（OE.Con_Des）
智能卡嵌入式软件的设计信息、软件安全机制组节、软件说明、设计详细说明、源代码等信息由授权用广存取
6.2.3产品控制（OE.Con_Prod）确保产品在开发过程中不被非授权的查阅和寰改，并防止系统资源的失窃。6.2.4工具控制(OE.Con_Tools）确保开发工具在产品的开发过程中不被非授权使用，以防止系统资源的失窃。在智能卡嵌入式软件的开发阶段，通常要使用大量的开发工具，这些工具可能向攻击者提供相关的7
GB/T 20276—2006
倍息，使其能够得知智能卡内安全系统的上作原现。6.2.5交付过程((E.Dlv_Proc）
确保智能下嵌入或软件和相关信息在交付过程中的安个。6.2. 6交付审计(0E, Dlv_Aud)
在交付过程中,确保记录所有违背交付约定的行为及其纠正措施，6. 2. 7 交付培训[(OE. DIv_Trn)YYKANKAa
培训所有参与交付过程的相关人员，使其具备必要的知识和技能.以满足交付过程的要求，6.2,8初始数据保护((E, Init_Acs）只有授权用户习能访问初始数，保证初始数据不泄漏，6.2.9密钥生成（OE.Key_Gen)
根帮用心需求生成关密钥。
6.2. 10密钥控制(Oj:.Key_Con)所有智能卡获人戏软件相关的密钥部根据用而求保证其机密性与完整性。6.2. 11角色管理(OE. Role_Man)而他管理者负贡对角他进行管理,角色指开发者、发行者、管理代或使而者等。6.2.12数据存储（0F.ata_Store）根据用户的不间需求保证在智能下以外的数据存诺的机密性和完整性、6.2. 13人员(OF Perss)
作为管理者或其他有特定权限的人员应当经过仔细挑选并严格培训，7安全要求
7.1智能卡嵌入式软件安全要求
7.1.1安全功能要求
表2列出了智能卡嵌人式软件安全功能要求纽件。下述各条对各组件给出了详细的说明。方措可【]中豹粗体表示已经完成的操作斜体字表示还需在安全月标(SI)中定义的崛值及选择，表 2安全功能要求组件
安全功能要求组件
FAUI ARP.:
FAL GEN.I
FAU SAA.-
FAU_STG.1
FAU_SIG.3
FCS CKM. 1
FCS URM.$
DH_ACI1
FIP.ETC.1
FDP IFF.1
安全告等
审计序列成
浒在浸背分析
受保护的市计踪迹存诺
：在计数措可能头情说的为
密试牛成
密锯问
密码达算
丁集访间控制
基」安个局性的访间,控制
不节友企质性的用户数据输出
广集信息流控制
筛单安伞属性
纽件名称
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。