ICS35.040 L80 中华人民共和国国家标准 GB/T20276—2016 代替GB/T20276—2006 信息安全技术 具有中央处理器的IC卡嵌入式软件 安全技术要求 Informationsecuritytechnology— SecurityrequirementsforembeddedsoftwareinICcardwithCPU 2016-08-29发布 2017-03-01实施 中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会发布目 次 前言 Ⅰ ………………………………………………………………………………………………………… 引言 Ⅱ ………………………………………………………………………………………………………… 1 范围 1 ……………………………………………………………………………………………………… 2 规范性引用文件 1 ………………………………………………………………………………………… 3 术语和定义、缩略语 1 ……………………………………………………………………………………… 3.1 术语和定义 1 ………………………………………………………………………………………… 3.2 缩略语 1 ……………………………………………………………………………………………… 4 IC卡嵌入式软件描述 2 …………………………………………………………………………………… 5 安全问题定义 2 …………………………………………………………………………………………… 5.1 资产 2 ………………………………………………………………………………………………… 5.2 威胁 3 ………………………………………………………………………………………………… 5.3 组织安全策略 4 ……………………………………………………………………………………… 5.4 假设 4 ………………………………………………………………………………………………… 6 安全目的 5 ………………………………………………………………………………………………… 6.1 TOE安全目的 5 ……………………………………………………………………………………… 6.2 环境安全目的 6 ……………………………………………………………………………………… 7 安全要求 6 ………………………………………………………………………………………………… 7.1 安全功能要求 6 ……………………………………………………………………………………… 7.2 安全保障要求 11 ……………………………………………………………………………………… 8 基本原理 24 ………………………………………………………………………………………………… 8.1 安全目的基本原理 24 ………………………………………………………………………………… 8.2 安全要求基本原理 26 ………………………………………………………………………………… 8.3 组件依赖关系 28 ……………………………………………………………………………………… 参考文献 30 ……………………………………………………………………………………………………GB/T20276—2016 前 言 本标准按照GB/T1.1—2009给出的规则起草。 本标准代替GB/T20276—2006《信息安全技术 智能卡嵌入式软件安全技术要求(EAL4增强 级)》。本标准与GB/T20276—2006相比,主要变化如下: ———将标准名称变更为《信息安全技术 具有中央处理器的IC卡嵌入式软件安全技术要求》; ———第3章对术语进行了更新描述; ———第4章重新描述了IC卡嵌入式软件的结构和应用环境,并进行了更清晰的TOE范围定义; ———第5章对安全问题定义进行了整合和精简,共定义了6个威胁,3项组织安全策略和5个 假设; ———第6章根据新的安全问题定义更新了对TOE安全目的的描述; ———第7章对安全功能要求进行了调整,以细化新的安全目的描述,明确指出了EAL4+和 EAL5+分别应满足的安全功能要求;并对安全保障要求进行了调整,增加了EAL5+要求的 保障组件; ———第8章对新的安全问题定义与安全目的、安全目的与安全要求之间的对应关系基本原理重新 进行了梳理,还分析了组件之间的依赖关系。 本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。 本标准起草单位:中国信息安全测评中心、北京多思科技工业园股份有限公司、天地融科技股份有 限公司、北京邮电大学、吉林信息安全测评中心。 本标准主要起草人:张翀斌、石竑松、高金萍、杨永生、王宇航、饶华一、王亚楠、陈佳哲、李东声、 李明、曹春春、沈敏锋、崔宝江、赵晶玲、唐喜庆、刘占丰、刘丽、邹兆亮。 本标准所代替标准的历次版本发布情况为: ———GB/T20276—2006。 ⅠGB/T20276—2016 引 言 IC卡应用范围的扩大和应用环境复杂性的增加,要求IC卡嵌入式软件具有更强的安全保护能力。 本标准的EAL4+是在EAL4的基础上将AVA_VAN.3增强为AVA_VAN.4;EAL5+是在 EAL5的基础上将AVA_VAN.4增强为AVA_VAN.5,并将ALC_DVS.1增强为ALC_DVS.2。 ⅡGB/T20276—2016 信息安全技术 具有中央处理器的IC卡嵌入式软件 安全技术要求 1 范围 本标准规定了对EAL4增强级和EAL5增强级的具有中央处理器的IC卡嵌入式软件进行安全保 护所需要的安全技术要求,涵盖了安全问题定义、安全目的、安全要求、基本原理等内容。 本标准适用于具有中央处理器的IC卡嵌入式软件产品的测试、评估和采购,也可用于指导该类产 品的研制和开发。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T18336(所有部分) 信息技术 安全技术 信息技术安全评估准则 GB/T25069—2010 信息安全技术 术语 3 术语和定义、缩略语 3.1 术语和定义 GB/T25069—2010和GB/T18336.1中界定的以及下列术语和定义适用于本文件。 3.1.1 个人化数据 Personalizationdata 在IC卡嵌入式软件的个人化过程中写入的数据,用于配置与特定应用或用户相关的参数。 3.2 缩略语 下列缩略语适用于本文件。 CM:配置管理(ConfigurationManagement) EAL:评估保障级(EvaluationAssuranceLevel) EEPROM:电可擦除可编程只读存储器(Electrically-ErasableProgrammableRead-onlyMemory) IC:集成电路(IntegratedCircuit) I/O:输入/输出(Input/Output) RAM:随机存取存储器(Random-AccessMemory) ROM:只读存储器(Read-OnlyMemory) ST:安全目标(SecurityTarget) TOE:评估对象(TargetofEvaluation) TSF:TOE安全功能(TOESecurityFunctionality) 1GB/T20276—2016 4 IC卡嵌入式软件描述 具有中央处理器的IC卡嵌入式软件(简称IC卡嵌入式软件)存放在IC卡的非易失性存储器(例如 ROM、EEPROM或Flash等)中,并在IC卡芯片内运行。该软件用于管理芯片硬件资源和数据,通过 芯片的通信接口与IC卡终端设备交换信息,以响应用户发起的数据加密、数据签名及鉴权认证等应用 请求,实现对应用功能的支持。 一般情况下,IC卡嵌入式软件由负责处理芯片硬件接口,实现文件管理、安全支撑、通信处理和应 用处理等功能的模块组成,其中安全支撑模块提供安全配置、安全事务处理及密码支持等功能,以便为 其他模块的安全执行提供支持,以保护IC卡的内部数据及安全功能。文件管理模块和通信处理模块作 为基础模块,主要用于实现对应用功能的支持。IC卡嵌入式软件的一般结构及运行环境如图1所示。 在嵌入式软件的运行环境中,用户和(TOE开发、个人化及发卡等阶段的)管理员可通过IC卡终端 与IC卡嵌入式软件交互,管理员也可能通过操作芯片中的IC专用软件下载嵌入式软件并配置IC卡硬 件平台。另一方面,攻击者可以通过发送、监听和篡改通信消息以及探测IC卡芯片电路等方式实施攻 击,以获取或破坏敏感数据信息,甚至滥用安全功能。为此,IC卡嵌入式软件应采取防护措施以保障嵌 入式软件的数据和功能的安全。 图1 IC卡嵌入式软件的一般结构及运行环境 5 安全问题定义 5.1 资产 需要保护的资产: ———TSF数据(如TOE中的访问控制列表、鉴别状态、安全配置数据、管理性的密钥等信息); ———用户数据(TOE中不属于TSF数据的信息,如用户身份标识等信息); ———安全能力(如TOE的签名能力和动态码产生能力等)。 应用说明:ST编写者应根据具体的应用情况细化对资产的描述。 2GB/T20276—2016 5.2 威胁 5.2.1 物理操纵(T.Physical_Manipulation) 攻击者可利用IC卡芯片失效性分析和半导体逆向工程技术,对IC卡芯片实施物理剖片,以获取 IC卡芯片设计信息和嵌入式软件的二进制代码,进而探测TSF数据和用