2023面向物聯(lián)網(wǎng)設(shè)備的嵌入式集成電路卡（eUICC）安全能力技術(shù)要求

面向物聯(lián)網(wǎng)設(shè)備的嵌入式通用集成電路卡（eUICC）安全能力技術(shù)要求II目次前言 II引言 III面向聯(lián)設(shè)的入通用成路（eUICC）安全力術(shù)求 1范圍 1規(guī)性用件 1術(shù)、義縮語 1語義 1略語 2eUICC2eUICC架概述 3eUICC全題義 8全產(chǎn) 8戶主體 11全脅 12織全略 145.515安目標(biāo) 15TOE安目標(biāo) 15行境安目標(biāo) 17全標(biāo)本理 20擴(kuò)要求 27展族 27安要求 29全能求 30全障求 54全求本理 61附 錄 A（范附） 72附 錄 B（料附） 73參考獻(xiàn) 74PAGEPAGE1TAF-WG4-AS0055-V1.0.0:2020面向物聯(lián)網(wǎng)設(shè)備的嵌入式通用集成電路卡（eUICC）安全能力技術(shù)要求范圍本標(biāo)準(zhǔn)規(guī)定了物聯(lián)網(wǎng)嵌入式通用集成電路卡的安全技術(shù)要求,包括安全問題定義、安全目標(biāo)、安全功能和安全保障要求等內(nèi)容。GSMASGP.05:eUICCProtectionProfileVersion1.1PP-JCS:CommonCriteriaProtectionProfileJavaCard?SystemOpenConfiguration，Version3.0PP0084:SecurityICPlatformProtectionProfilewithAugmentationPackagesVersion1.0GSMA:SGP.02:RemoteProvisioningArchitectureforEmbeddedUICCTechnicalSpecificationversion3.0GP-SecurityGuidelines-BasicApplications:GlobalPlatformCard-CompositionModel-SecurityGuidelinesforBasicApplications-Version1.0GPC_GUI_010:GlobalPlatformCardSpecificationv2.2.1UICCConfigurationv1.0.1GlobalPlatform_Card_Specification:GlobalPlatformCardSpecificationv2.2.1SCP80:ETSITS102225[SecuredpacketstructureforUICCbasedapplications;Release9]ETSITS102226[RemoteAPDUstructureforUICCbasedapplications;Release9]SCP81:GlobalPlatformCardSpecificationv.2.2AmendmentB:RemoteApplicationManagementoverHTTPv1.1.1MILENAGE:3GPPTS35.205,3GPPTS35.206,3GPPTS35.207,3GPPTS35.208,3GPPTR35.909(Release11)Tuak:3GPPTS35.231,3GPPTS35.232,3GPPTS35.233(Release12)KS2011:W.Killmann,W.Schindler,Aproposalfor:Functionalityclassesforrandomnumbergenerators,Version2.0UICCEmbeddedUICC不容易接觸或替換的UICC，在終端中不能被刪除或替換，并可安全的進(jìn)行Profile變更。Profile配置在或出現(xiàn)在eUICC上的文件結(jié)構(gòu)、數(shù)據(jù)和應(yīng)用程序的集合。ProvisioningProfile一個包含NAA參數(shù)且有能力訪問通信網(wǎng)絡(luò)的Profile，為eUICC管理和Profile管理提供eUICC和遠(yuǎn)程簽約管理平臺之間的傳輸能力。EnabledProfileProfile的一種狀態(tài)，它的文件和/或應(yīng)用程序（例如NAA）可通過UICC-終端接口選擇。ProfileProfilePolicyAuthorisationRule(PPAR)可以管理Profile所有者使用Profile策略規(guī)則的能力的一組數(shù)據(jù)。ProfileProfilePolicyEnablerProfile管理系統(tǒng)內(nèi)的一個功能原件，用于解釋以及執(zhí)行Profile策略規(guī)則?？s略語下列縮略語適用于本文件。CASDControllingAuthoritySecurityDomain授權(quán)控制安全域CICertificateIssuer證書發(fā)行方ECASDeUICCControllingAuthoritySecurityDomaineUICC授權(quán)控制安全域EUMeUICCManufacturereUICC卡制造商EIDeUICC-IDeUICC標(biāo)識eUICCEmbeddedUICC嵌入式UICCISDIssuerSecurityDomain主安全域ISD-PIssuerSecurityDomainProfileProfile集主安全域ISD-RIssuerSecurityDomainRoot根主安全域MNOMobileNetworkOperator移動網(wǎng)絡(luò)運(yùn)營商N(yùn)AANetworkAccessApplication網(wǎng)絡(luò)接入應(yīng)用PPARProfilePolicyAuthorisationRuleProfile策略授權(quán)規(guī)則PPEProfilePolicyEnablerProfile策略規(guī)則使能器PPRProfilePolicyRulesProfile策略規(guī)則RATRulesAuthorisationTable規(guī)則授權(quán)表SMSubscriptionManager簽約管理SM-DP+SubscriptionManagerDataPreparation簽約管理數(shù)據(jù)準(zhǔn)備UICCUniversalIntegratedCircuitCard通用集成電路卡eUICCPAGEPAGE10eUICC本節(jié)主要描述當(dāng)前廣泛被使用的基于eUICC架構(gòu)的電信標(biāo)準(zhǔn)，以及非常適合建立角色分離和數(shù)據(jù)隔離的GlobalPlatform標(biāo)準(zhǔn)。尤其是，每個實(shí)體都擁有一個具有不同權(quán)限和配置的專用安全域。eUICC體系結(jié)構(gòu)包含以下安全域，用于平臺和Profile管理：ISD-R是卡外實(shí)體SM-SRECASDCIISD-PSM-DPeUICCISD-P。圖1安全域架構(gòu)概述在GlobalPlatform卡規(guī)范中定義的ISD在eUICC的體系結(jié)構(gòu)中不存在。ISD-R一個eUICC上只能有一個ISD-R。ISD-R應(yīng)當(dāng)在eUICC的制造期間由EUM進(jìn)行安裝和個人化。ISD-R應(yīng)與自身相關(guān)聯(lián)。在eUICC制造完成之后，ISD-R應(yīng)處于GlobalPlatform卡規(guī)范第5.3節(jié)中所定義的生命周期中的PERSONALIZED狀態(tài)。ISD-R不支持LOCKED狀態(tài)。ISD-R的權(quán)限應(yīng)根據(jù)附錄B授予。ISD-R只能在ISD-P上執(zhí)行平臺管理功能。ECASD一個eUICC上只有一個ECASD。ECASD應(yīng)在eUICC制造期間由EUM安裝和個人化。ECASD應(yīng)與ISD-R相關(guān)聯(lián)。在eUICC制造完畢之后，ECASD應(yīng)處于GlobalPlatform卡規(guī)范第5.3節(jié)中的定義的PERSONALIZED狀態(tài)。ECASD包含以下功能：為Profile下載和安裝建立SM-DPSM-SR變更建立SM-SRECASD應(yīng)在eUICC制造期間由EUM進(jìn)行個人化，需要安裝以下數(shù)據(jù)：PK.CI.ECDSA；SK.ECASD.ECKA；eUICCEUMkeysetEID。ECASD應(yīng)符合在GlobalPlatform卡規(guī)范UICC配置中CASD的要求，除了以下幾點(diǎn)：AID和應(yīng)按2.2.3SCP02；ISD-RISD-P才能使用ECASDISD-P一個ISD-P擁有唯一的Profile。在任何時(shí)間點(diǎn)，eUICC上只有一個ISD-P處于啟用狀態(tài)。ISD-PISD-RSM-DPeUICC個帶有ProfileISD-P，并由EUMeUICC除了ISD-R，ISD-P外部的任何組件都不具有對其Profile的可見性或訪問權(quán)限，ISD-R應(yīng)具有對POL1的讀訪問權(quán)限。ProfileISD-PISD-PISD-P在不同的Profile中可以分配相同的AID。Profile組件不得使用保留的ISD-R、ISD-P和ECASD的AID。在不同的Profile中可以分配相同的TAR。Profile組件不得使用保留的ISD-R、ISD-P和ECASD的TAR。ISD-PISD-RISD-RISD-PISD-RISD-PISD-PMasterProfileSM-DPISD-PSCP03/SCP03tISD-P應(yīng)基于GlobalPlatform卡規(guī)范第5.3節(jié)中定義的安全域生命周期遵循圖2所示的生命周期。圖2ISD-P生命周期轉(zhuǎn)換ISD-P生成后處于SELECTABLE狀態(tài)，在密鑰對建立后處于PERSONALIZED狀態(tài)。注意：ISD-P創(chuàng)建命令跳過了GlobalPlatform卡規(guī)范中定義的安全域的INSTALLED狀態(tài)。在Profile下載和安裝，或者執(zhí)行了Profile禁用的流程之后，ISD-P應(yīng)處于禁用狀態(tài)。如果另一個ISD-P被啟用，或者啟動了回滾機(jī)制，ISD-P也可能轉(zhuǎn)換到禁用狀態(tài)。執(zhí)行Profile啟用的過程后，ISD-P應(yīng)處于啟用狀態(tài)。如果回滾機(jī)制被激活，ISD-P也可能轉(zhuǎn)換到啟用狀態(tài)。ISD-PeUICCISD-PProfile。ISD-PLOCKED對于狀態(tài)編碼，本標(biāo)準(zhǔn)對GlobalPlatform卡規(guī)范的表11-5修改如下：表1ISD-P狀態(tài)編碼這些狀態(tài)可以映射到SGP.01中定義的體系結(jié)構(gòu)狀態(tài)，如下所示：表2ISD-P狀態(tài)映射ISD-P權(quán)限應(yīng)根據(jù)附錄B授予。所有Profile組件，特別是MNO-SD，應(yīng)保持與ISD-P的關(guān)聯(lián)，以便實(shí)現(xiàn)以下目標(biāo)：ProfileISD-P的ProfileISD-PMasterProfileProfile啟用和禁用：啟用和禁用對所有Profile更新POL1；在平臺管理功能需要時(shí)提供對POL1分配給一個Profile在GlobalPlatform）應(yīng)按照附錄BISD-PProfileISD-P的從屬關(guān)系，任何ProfileISD-P的當(dāng)ISD-P未處于啟用狀態(tài)時(shí)，eUICC應(yīng)確保：無法通過ES6接口遠(yuǎn)程管理任何ProfileeUICC上選擇Profile無法選擇、觸發(fā)或刪除Profile（。ProfileProfile的結(jié)構(gòu)由一組Profile組件組成，該結(jié)構(gòu)由MNO定義并且完全處于MNO的控制下。整體的Profile結(jié)構(gòu)應(yīng)包含在唯一的ISD-P中。Profile結(jié)構(gòu)應(yīng)包含一個名為MNO-SD的Profile組件，它與UICC的ISD處于相同的角色（參見GlobalPlatform卡規(guī)范。MNO-SDMNOProfileMNO圖3Profile的結(jié)構(gòu)概述圖3中的Profile提供了Profile結(jié)構(gòu)的示例。Profile結(jié)構(gòu)應(yīng)包括：MNO-SD；NAA；POL1ProfileProfile結(jié)構(gòu)可能包含：除NOD如GobaPaom；一個CASD（GlobalPlatformUICC。MNOETSITS102225和ETSITS102226MNOOTA平臺和ProfileMNO-SDMNO-SD是ProfileMNO-SDeUICC與MNO的平臺之間的安全通道，用來管理處于啟用狀態(tài)的Profile。圖4MNO與MNO-SD之間的安全通道MNO-SD的AID和TAR由MNO在定義Profile時(shí)自由分配。MNO-SD的權(quán)限分配應(yīng)遵循附錄B。eUICC（OETSF數(shù)據(jù)備注：雖然底層的運(yùn)行時(shí)環(huán)境中列出的資產(chǎn)不包括在此標(biāo)準(zhǔn)中，但安全目標(biāo)編寫者仍應(yīng)考慮的所有資產(chǎn)。用戶數(shù)據(jù)包括：由ISD-R控制的用戶數(shù)據(jù):ISD-R密鑰組(D.ISDR_KEYS)由ISD-P控制的用戶數(shù)據(jù):ISD-P(D.ISDP_KEYS)（D.PROFILE-CODE）（D.PROFILE_NAA_PARAMS）POL1（D.PROFILE_POL1）包含在D.PROFILE-CODE）MOSDD.OS與Profile（D.PROFILE_IDENTITY）MNO-SD（D.MNO_KEYS）Profile密鑰安全域擁有的密鑰。所有密鑰都應(yīng)受到保護(hù)以免受未經(jīng)授權(quán)的泄露和修改。D.MNO_KEYSMNOISD-P,MNOSDD.ISDR_KEYSSM-SR使用此平臺管理密鑰集，通過其卡上代表ISD-R執(zhí)行平臺管理功能。D.ISDP_KEYSSM-DP使用此Profile管理密鑰集，通過其卡上代表ISD-P執(zhí)行Profile管理功能。Profile這些數(shù)據(jù)需要保護(hù)免受未經(jīng)授權(quán)的披露和修改。D.PROFILE_NAA_PARAMS用于網(wǎng)絡(luò)鑒權(quán)的參數(shù)，包括密鑰。這些參數(shù)可能包括例如Opc、Ri、Ci等。參數(shù)在配置過程中加載并在ISD-P的控制下存儲。它們可以傳輸?shù)桨b權(quán)算法的電信框架。D.PROFILE_IDENTITY移動用戶標(biāo)識（IMSI）是用于MNO的網(wǎng)絡(luò)鑒權(quán)算法中的用戶身份標(biāo)識。IMSI是用戶的身份標(biāo)識，MNO將使用其作為其HLR中用戶的索引。用戶身份標(biāo)識在配置過程中在ISD-P的控制下存儲。IMSI應(yīng)受到保護(hù)，避免未經(jīng)授權(quán)的修改。D.PROFILE_POL1Profile中策略控制規(guī)則的數(shù)據(jù)。這些規(guī)則在配置過程中加載，并在ISD-P的控制下存儲。它們由MNOOTA平臺管理。應(yīng)保護(hù)POL1ProfileROFILE_CODEProfile中應(yīng)用包括一級和二級應(yīng)用，特別是：MNO-SDMNO-SD如CASD／SSD）MNO-SD（）,此資產(chǎn)還包括Profile所有這些應(yīng)用都在MNOSD的控制下。必須保護(hù)這些資產(chǎn)，防止未經(jīng)授權(quán)的修改。TSFTSF數(shù)據(jù)包括三類數(shù)據(jù):TSFProfile）eUICCTSF_CODESF_CODETSF代碼包含：ISD-RISD-P、ECASDTSF。應(yīng)用說明：MNO-SD(ProfileSF_DATAPSF環(huán)境的數(shù)據(jù)，例如，smsr-id,mno-idsmdp-ideUICCeUICC的配置狀態(tài)或“ISD-PPERSONALIZED,DISABLEDENABLED）Profile"true"）“配置狀態(tài)”是一組在ISD-P的配置周期中定義的數(shù)據(jù)，它與eUICC生命周期完全不同。這些數(shù)據(jù)可以部分實(shí)現(xiàn)在ISD-R和PSF代碼邏輯中，而不是籠統(tǒng)地說是“數(shù)據(jù)”。因此，該資產(chǎn)與D.TSP_CODE密切相關(guān)。必須保護(hù)這些資產(chǎn)，防止未經(jīng)授權(quán)的修改。身份管理數(shù)據(jù)用于保證參與者身份的真實(shí)性。這包括：EID，eUICCeUICCCIEUMD.eUICC_PRIVKEYeUICC私鑰由eUICC用于證明其身份并與遠(yuǎn)程參與者生成共享秘密，存儲在ECASD中。必須保護(hù)它免受未經(jīng)授權(quán)的披露和修改。D.eUICC_CERTEUM為特定的個人eUICC頒發(fā)的證書?？梢允褂肊UM證書驗(yàn)證此證書。存儲在ECASD中。必須保護(hù)eUICC證書免受未經(jīng)授權(quán)的修改。備注：eUICCEUMCIEUM沒有針對其在eUICCD.CI_ROOT_PUBKEYCI的根公鑰用于驗(yàn)證eUICC和遠(yuǎn)程參與者的認(rèn)證鏈。它存儲在ECASD中。必須保護(hù)CI的根公鑰免受未經(jīng)授權(quán)的修改。D.EIDEID（eUICC-ID）eUICCeUICCeUICC會改變。它存儲在ECASDEIDSM-SReUICC。應(yīng)保護(hù)EID免受未經(jīng)授權(quán)的修改。ECRETS該資產(chǎn)包括：用于保護(hù)ProfileSM-SRISD-RISD-PECASD應(yīng)保護(hù)共享秘密免受未經(jīng)授權(quán)的披露和修改。用戶主體本節(jié)包含兩個部分：用戶，TOE外的實(shí)體，可訪問TOE主體，TOED.TSF_CODE用戶U.SM-SR安全執(zhí)行平臺管理命令以及Profile管理命令的傳輸功能的角色。U.SM-DP準(zhǔn)備Profile和管理Profile在eUICC上的安全下載和安裝的角色。U.MNO-OTA遠(yuǎn)程管理UICC和eUICC上激活的MNOProfile內(nèi)容的MNO平臺。U.MNO-SDMNO-SD是Profile的一個安全域部分，歸MNO所有，提供與MNOOTA平臺（U.MNO-OTA）的安全通道。用于Profile激活后Profile內(nèi)容的管理。一個eUICC可以包含多于一個MNO-SD。主體S.ISD-RISD-R是卡外實(shí)體U.SM-SR的代表。S.ISD-PISD-P是卡外實(shí)體U.SM-DP的代表。S.ECASDECASD是卡外實(shí)體CI的代表。S.PSFPSF是具有特定權(quán)限的（一組）應(yīng)用程序，負(fù)責(zé)管理eUICC，在D.TSF_CODE中描述。S.TELECOM網(wǎng)絡(luò)訪問應(yīng)用程序用于在移動網(wǎng)絡(luò)上驗(yàn)證eUICC的一組算法。電信框架在D.TSF_CODE中描述。profile卡外參與者或卡上應(yīng)用程序可能會嘗試執(zhí)行以下操作來破壞eUICC：未經(jīng)授權(quán)的ProfileProfileProfile，或泄漏存儲在Profile）;通常嘗試禁用已啟用的Profile）。T.UNAUTHORIZED-PROFILE-MNGISD-PMNO-SD的功能內(nèi)容;T.UNAUTHORIZED-PLATFORM-MNG/ISD-RTPROEMNGNTRPTNSP或SD令或Profile（eUICC）;//修改/SM-SR（eUICC）。NAUTHORIZED-PROFILE-MNG惡意的卡上應(yīng)用程序：ISD-P或MNO-SD的Profile數(shù)據(jù);執(zhí)行或修改Profile（ISD-P，MNO-SD和MNO-SD）ISD-PMNO-SD直接訪問Java利用APDUISD-PMNO-SDISD-P中的應(yīng)用程序試圖破壞在其自己的MNO-SDISD-P這些案例被認(rèn)為是MNO的責(zé)任，因?yàn)樗鼈冎粫p害自己的ProfileMNO的Profile產(chǎn)生任何副作用。本標(biāo)準(zhǔn)解決了以下情況：ISD-PMNO-SDISD-PISD-PMNO-SD或ISD-PISD-PISD-P。前兩個案例會對其他MNOProfileISD-P直接威脅資產(chǎn)：D.ISDP_KEYS，D.MNO_KEYS，D.TSF_CODE（ISD-P），D.PROFILE_*NAUTHORIZED-PLATFORM-MNG卡上應(yīng)用程序：ISD-R數(shù)據(jù);ISD-R直接訪問Java利用APDU注意：通過改變ISD-R的行為，攻擊者間接地威脅到eUICC的初始配置狀態(tài)，因此也威脅到D.PSF_DATAT.UNAUTHORIZED-PROFILE-MNGROFILE-MNG-INTERCEPTION攻擊者改變或竊聽eUICC和SM-DP或MNOOTA平臺之間的傳輸，以便：eUICC期間，泄露、替換或修改ProfileeUICC上下載Profile；SM-DPMNOOTAMNOOTA平臺更新時(shí)，替換或修改POL1OTAeUICC直接威脅資產(chǎn)：D.ISDP_KEYS，D.MNO_KEYS，D.TSF_CODE（ISD-P），D.PROFILE_*LATFORM-MNG-INTERCEPTION攻擊者改變或竊聽eUICC和SM-SR之間的傳輸，以便：SM-SR切換期間發(fā)送的SM-SR憑證;SM-SROTAeUICC直接威脅資產(chǎn)：D.ISDR_KEYS，D.TSF_CODE（ISD-R）ISD-ReUICCD.PSF_DATAT.UNAUTHORIZED-PROFILE-MNGNAUTHORIZED-IDENTITY-MNG惡意的卡上應(yīng)用程序：泄露或修改在ECASDD.eUICC_PRIVKEY修改D.EIDD.eUICC_PUBKEYD.CI_ROOT_PUBKEYECASD直接訪問Java利用APDU直接威脅資產(chǎn)：D.TSF_CODE（ECASD），D.eUICC_PRIVKEY，D.eUICC_CERT，D.CI_ROOT_PUBKEY，D.EID，D.SECRETST.IDENTITY-INTERCEPTION攻擊者可能會嘗試攔截憑證，無論是在卡上還是在卡外，以便eUICC/SM-SR切換或ProfileProfileSM-DP（T.PROFILE-MNG-INTERCEPTION考慮）SM-SRSM-SR（T.PLATFORM-MNG-INTERCEPTION考慮）直接威脅資產(chǎn)：D.SECRETSprofileT.UNAUTHORIZED-eUICC攻擊者在未經(jīng)授權(quán)的UCCSM上使用合法Po。D.TSF_CODE（ECASD），D.eUICC_PRIVKEYD.eUICC_CERT，D.CI_ROOT_PUBKEY，D.EID，D.SECRETST.UNAUTHORIZED-MOBILE-ACCESS卡上或卡外的攻擊者嘗試代替合法的Profile在MNO的移動網(wǎng)絡(luò)上進(jìn)行身份驗(yàn)證。直接威脅資產(chǎn)：D.PROFILE_NAA_PARAMS其他OGICAL-ATTACK卡上的惡意應(yīng)用程序通過邏輯方式繞過PSF措施，以便在平臺處理敏感數(shù)據(jù)時(shí)泄露或修改敏感數(shù)據(jù)：ICOS軟件例如由JCS）GPOPEN訪問POL1）。直接威脅資產(chǎn)：D.TSF_CODE，D.PROFILE_NAA_PARAMS，D.PROFILE_POL1，D.PSF_DATAT.PHYSICAL-ATTACK攻擊者通過物理（相對于邏輯）篡改手段泄露或修改TOE設(shè)計(jì)、其敏感數(shù)據(jù)或應(yīng)用程序代碼。這種威脅包括環(huán)境壓力、IC失效分析、電子探針、意外拆解和側(cè)信道。這還包括通過物理篡改技術(shù)更改（一組）指令的預(yù)期執(zhí)行順序來修改TOE運(yùn)行時(shí)執(zhí)行。直接威脅：所有資產(chǎn)。OSP.LIFECYCLETOE必須強(qiáng)制執(zhí)行GSMASGP.02規(guī)范中定義的eUICC生命周期。特別是：ISD-P;ProfileeUICCPOL1種情況下，即使POL1聲明無法禁用或刪除Profile，eUICC也可以禁用和刪除當(dāng)前啟用的Profile。應(yīng)用說明：GSMASGP.02eUICCProfileSM-SRPP假設(shè)CTORS（CISM-DPSM-SR3GPPTS33.102eUICCK在ProfileMNORAND在屬于MNOMNOSQN三元組MNOA.APPLICATIONS應(yīng)用程序應(yīng)符合所用平臺的安全準(zhǔn)則文檔。TOESFTOE應(yīng)提供PSF的功能（加載、安裝、啟用、禁用、刪除應(yīng)用程序和GP注冊表更新），負(fù)責(zé)整個eUICC和已安裝應(yīng)用程序的生命周期，以及相應(yīng)的授權(quán)控制。特別地，PSF確保：ISD-P;Profile使POL1聲明無法禁用或刪除Profile，eUICC也可以禁用和刪除當(dāng)前啟用的Profile。此功能應(yīng)依賴于運(yùn)行環(huán)境安全服務(wù)來進(jìn)行包加載、應(yīng)用程序的安裝和刪除。應(yīng)用說明：TOETOEPSFISD-R（SM-DP，MNO）POL1O.eUICC-DOMAIN-RIGHTSTOE應(yīng)確保未經(jīng)授權(quán)的參與者不得訪問或更改個人化的ISD-R、ISD-P或MNO-SD密鑰。這些安全域密鑰集僅限其相應(yīng)的所有者（SM-SR、SM-DP、MNOOTA平臺）修改。TOE不允許在個人化后更改ECASD密鑰集。以同樣的方式，TOE應(yīng)確保只有每個安全域的合法所有者才能訪問或更改其機(jī)密或完整性敏感數(shù)據(jù)，例如身份數(shù)據(jù)（用于ECASD）或D.PROFILE_NAA_PARAMS（用于ISD-P）。此域的分離功能依賴于應(yīng)用程序的運(yùn)行環(huán)境保護(hù)。ECURE-CHANNELSeUICCISD-PSM-DPISD-RSM-SRMNO-SDMNOOTATOE應(yīng)隨時(shí)確保：應(yīng)保護(hù)通信免受未經(jīng)授權(quán)的披露、修改和重放。該保護(hù)機(jī)制應(yīng)依賴于運(yùn)行環(huán)境和PSF（參見O.PSF）提供的通信保護(hù)措施。O.INTERNAL-SECURE-CHANNELSTOEECASDISD-RISD-PeUICCO.PROOF_OF_IDENTITYTOE確保eUICC由唯一的EID所標(biāo)識，這是基于eUICC的硬件標(biāo)識。eUICC必須提供一種加密手段，以便根據(jù)此EID向卡外參與者證明其身份。應(yīng)用說明：例如，可以通過在eUICC證書中包含EID值來獲得該證明，該證書由eUICC制造商簽署。O.OPERATE屬于TOE的PSF應(yīng)用說明：FPT_TST.1TOE（TSFPP-JCSSFRPI屬于TOE的平臺代碼應(yīng)提供APITOEATA-CONFIDENTIALITY在TOE對數(shù)據(jù)進(jìn)行存儲和操作時(shí)，TOE應(yīng)避免未經(jīng)授權(quán)泄露以下數(shù)據(jù)：D.SECRETS;D.eUICC_PRIVKEY;D.MNO_KEYS，D.ISDR_KEYS，D.ISDP_KEYS，D.PROFILE_NAA_PARAMS。應(yīng)用說明：在TOE的組件中，ATA-INTEGRITYTOE對數(shù)據(jù)進(jìn)行管理或操作時(shí)，TOE應(yīng)避免未經(jīng)授權(quán)修改以下數(shù)據(jù)：D.EIDD.SECRETS;D.MNO_KEYS，D.ISDR_KEYS，D.ISDP_KEYSProfile。D.PROFILE_IDENTITY。D.PROFILE_POL1。應(yīng)用說明：在TOE的組件中，連通性O(shè).ALGORITHMSeUICC應(yīng)提供對移動網(wǎng)絡(luò)進(jìn)行身份驗(yàn)證的機(jī)制。參與者OE.CICISM-DPCI必須確保其自身憑據(jù)的安全性。應(yīng)用說明：OE.SM-SRSM-SR應(yīng)是負(fù)責(zé)安全路由和相關(guān)OTA服務(wù)器的可信賴的參與者。SM-SR站點(diǎn)必須遵循相關(guān)規(guī)范。SM-SR具有與MNO和SM-DP的安全通信信道。SM-SR必須確保從EUM或其他SM-SR收到的平臺管理證書的安全性。應(yīng)用說明：根據(jù)相關(guān)規(guī)范進(jìn)行了認(rèn)證，從而證明了安全規(guī)則的實(shí)施。OE.SM-DPSM-DP應(yīng)是負(fù)責(zé)數(shù)據(jù)準(zhǔn)備工作和相關(guān)OTA服務(wù)器的可信賴的參與者。SM-DP站點(diǎn)必須遵循相關(guān)規(guī)范。它必須確保其管理和加載到eUICC上的Profile的安全性，包括但不僅限于：MO密鑰包括OA（由P或MO，ISD-PPD，（CASD密鑰。SM-DP必須確保ISD-P中使用的任何密鑰在傳輸?shù)絜UICC之前都是安全生成的。SM-DP必須確保ISD-P中使用的任何密鑰在傳輸?shù)絜UICC之前沒有受到損害。ISD-PSM-DP應(yīng)用說明：安全規(guī)則的實(shí)現(xiàn)應(yīng)通過相關(guān)規(guī)范的認(rèn)證來證明。平臺OE.IC.PROOF_OF_IDENTITYTOE使用的底層IC是唯一標(biāo)識的OE.IC.SUPPORTIC嵌入式軟件應(yīng)支持以下功能：TSF，也不允許訪問除API（）。（S.PSFS.TELECOM）S.PSFS.TELECOM）S.PSFS.TELECOM應(yīng)用說明：該目標(biāo)相當(dāng)于PP-JCS規(guī)范中的OE.SCP-SUPPORT。OE.IC.RECOVERYICTOEOE.RE.PSF運(yùn)行環(huán)境應(yīng)為卡管理活動提供安全的手段，包括：應(yīng)用說明：PP-JCSPP-JCSJavaSTPP-JCS。OE.RE.SECURE-COMM運(yùn)行環(huán)境應(yīng)提供保護(hù)應(yīng)用程序通信的機(jī)密性和完整性的方法。應(yīng)用說明：該目標(biāo)特別要求運(yùn)行環(huán)境提供PP-JCSPP-JCSJavaSTPP-JCS：T.CONFID-APPLI-DATAOE.RE.API運(yùn)行環(huán)境應(yīng)確保只能通過API調(diào)用本機(jī)代碼。應(yīng)用說明：PP-JCSPP-JCSJavaST編寫者可以通過重新使用與以下威脅相關(guān)的PP-JCS規(guī)范的安全目標(biāo)來轉(zhuǎn)換這一目標(biāo)：T.CONFID-JCS-CODE，T.INTEG-JCS-CODE，T.CONFID-JCS-DATA，T.INTEG-JCS-DATA。OE.RE.DATA-CONFIDENTIALITY運(yùn)行環(huán)境應(yīng)提供一種始終保護(hù)其處理的TOE敏感數(shù)據(jù)的機(jī)密性的方法。應(yīng)用說明：PP-JCSPP-JCSJava重用PP-JCS規(guī)范中與以下威脅相關(guān)的安全目標(biāo)：T.CONFID-APPLI-DATAOE.RE.DATA-INTEGRITY運(yùn)行環(huán)境應(yīng)提供一種始終保護(hù)其處理的TOE敏感數(shù)據(jù)的完整性的方法。應(yīng)用說明：PP-JCSPP-JCSJavaSTPP-JCST.INTEG-APPLI-DATA，T.INTEG-APPLI-DATA.LOAD，T.INTEG-APPLI-CODE，T.INTEG-APPLI-CODE.LOADOE.RE.IDENTITY運(yùn)行環(huán)境應(yīng)確保安全地識別它所執(zhí)行的應(yīng)用程序。OE.RE.CODE-EXE運(yùn)行環(huán)境應(yīng)阻止應(yīng)用程序執(zhí)行未經(jīng)授權(quán)的代碼。應(yīng)用說明：PP-JCSPP-JCSJavaST作者可以通過重用與以下威脅相關(guān)的PP-JCS規(guī)范的安全目標(biāo)來轉(zhuǎn)換這一目標(biāo)：T.EXE-CODE.1，T.EXE-CODE.2，T.EXE-CODE-REMOTET.NATIVE。ProfileOE.APPLICATIONS應(yīng)用程序應(yīng)符合GP-SecurityGuidelines-BasicApplications規(guī)范要求。OE.MNOSD根據(jù)GSMASGP.02規(guī)范，安全域U.MNO-SD必須使用TOE提供的安全信道SCP80/81。威脅ProfileNAUTHORIZED-PROFILE-MNG此威脅通過要求合法參與者的身份驗(yàn)證和授權(quán)來應(yīng)對：PSFO.eUICC-DOMAIN-RIGHTS（SM-DPMNO平臺）才能訪問安全域的功能和內(nèi)容。OE.SM-DP和OE.MNO卡上訪問控制策略依賴于底層運(yùn)行環(huán)境，該環(huán)境確保應(yīng)用程序數(shù)據(jù)的機(jī)密性和完整性（OE.RE.DATA-CONFIDENTIALITY和OE.RE.DATA-INTEGRITY）。身份驗(yàn)證通過相應(yīng)的安全通道支持：O.SECURE-CHANNELS和O.INTERNAL-SECURE-CHANNELSSM-DPMNOOERESUECOM由于MNO-SD安全域不是TOE的一部分，因此操作環(huán)境必須保證它能夠安全地使用TOE提供的SCP80/81安全信道（OE.MNOSD）。為了確保應(yīng)用程序防火墻的安全運(yùn)行，針對操作環(huán)境的以下目標(biāo)也需要滿足：NAUTHORIZED-PLATFORM-MNG此威脅通過要求合法參與者的身份驗(yàn)證和授權(quán)來應(yīng)對：PSFO.eUICC-DOMAIN-RIGHTSOE.SM-SR卡上訪問控制策略依賴于底層運(yùn)行環(huán)境，該環(huán)境確保應(yīng)用程序數(shù)據(jù)的機(jī)密性和完整性（EREACNDNTATY和EREANTERTY身份驗(yàn)證通過相應(yīng)的安全通道支持：O.SECURE-CHANNELSO.INTERNAL-SECURE-CHANNELS提供與SM-SR（ERESUECOM為了確保應(yīng)用程序防火墻的安全運(yùn)行，針對操作環(huán)境的以下目標(biāo)也需要滿足：ROFILE-MNG-INTERCEPTION命令和Profile由SM-DP發(fā)送到其卡上代表（ISD-P），而POL1由MNOOTA平臺發(fā)送到其卡上代表（MNO-SD）。因此，TSF確保：SM-DP和MNO修改和重放，確保傳輸?shù)桨踩颍∣.SECURE-CHANNELS和（ERESUECOM為了確保應(yīng)用程序防火墻的安全運(yùn)行，針對操作環(huán)境的以下目標(biāo)也需要滿足：由于MNO-SD安全域不是TOE的一部分，因此操作環(huán)境必須保證它能夠安全地使用TOE（OE.MNOSD）提供的SCP80/81安全信道。OE.SM-DP和OE.MNO確保在由卡外人員使用時(shí)不會泄露與安全通道相關(guān)的憑證。LATFORM-MNG-INTERCEPTION命令和Profile由SM-SR發(fā)送給其卡上代表（ISD-R）。因此，TSF確保：SM-SRO.INTERNAL-SECURE-CHANNELS）OEE.EUECOM為了確保應(yīng)用程序防火墻的安全運(yùn)行，針對操作環(huán)境的以下目標(biāo)也需要滿足：OE.SM-SR確保在由卡外人員使用時(shí)不會泄露與安全通道相關(guān)的憑證。T.UNAUTHORIZED-IDENTITY-MNGO.PSF和O.eUICC-DOMAIN-RIGHTS通過為ECASD卡上訪問控制策略依賴于底層運(yùn)行環(huán)境，該環(huán)境確保應(yīng)用程序數(shù)據(jù)的機(jī)密性和完整性（OE.RE.DATA-CONFIDENTIALITY和OE.RE.DATA-INTEGRITY）。OE.RE.IDENTITY確保在Java卡級別，應(yīng)用程序無法模擬其他參與者或修改其權(quán)限。ECASDeUICC程角色被授權(quán)訪問ECASDT.IDENTITY-INTERCEPTIONO.INTERNAL-SECURE-CHANNELS確保從ECASD到ISD-R和ISD-P的共享秘密的安全傳輸。這些安全通道依賴于底層運(yùn)行環(huán)境，它可以保護(hù)應(yīng)用程序之間的通信（OE.RE.SECURE-COMM）。ECASDeUICC程角色被授權(quán)訪問ECASDOE.CI確保CI根目錄安全地管理其卡外憑證。profileT.UNAUTHORIZED-eUICCO.PROOF_OF_IDENTITY保證可以基于EID向卡外參與者提供加密身份證明。O.PROOF_OF_IDENTITY還可以基于eUICC硬件標(biāo)識（由OE.IC.PROOF_OF_IDENTITY來確保其唯一）來保證此EID唯一性。T.UNAUTHORIZED-MOBILE-ACCESS目標(biāo)O.ALGORITHMS確保Profile只能使用安全身份驗(yàn)證方法訪問移動網(wǎng)絡(luò)，這樣可以防止攻擊者冒充。其他OGICAL-ATTACK通過控制安全域與平臺支持功能、電信框架或TOE的任何本機(jī)/操作系統(tǒng)部分之間的信息流來應(yīng)對此威脅。因此它包括：由運(yùn)行環(huán)境提供的APIs（OE.RE.API）通過TSF的P（OPPI每當(dāng)應(yīng)用程序處理TOE的敏感數(shù)據(jù)時(shí)，運(yùn)行環(huán)境必須始終保護(hù)其機(jī)密性和完整性能和電信框架處理，但是，其功能不受運(yùn)行環(huán)境的保護(hù)。因此，還需要滿足以下操作環(huán)境目標(biāo)：（OE.RE.CODE-EXE）IC嵌入式軟件通過目標(biāo)OE.IC.SUPPORT來支持這些目標(biāo)。特別地，IC嵌入式軟件：（S.PSFS.TELECOM）S.PSFS.TELECOM（層控制訪問（分段故障檢測）S.PSFS.TELECOMT.PHYSICAL-ATTACK這種威脅主要受到依賴于底層平臺的物理保護(hù)的影響，因此也是一個環(huán)境問題。安全目標(biāo)OE.IC.SUPPORT和OE.IC.RECOVERY保護(hù)平臺的敏感數(shù)據(jù)的完整性和機(jī)密性，特別是確保TSF不能繞過或更改。特別是，安全目標(biāo)OE.IC.SUPPORT能夠確保敏感操作的原子性，安全的底層訪問控制和防止繞過TOE的安全功能等。特別是，它確保了對平臺數(shù)據(jù)完整性的獨(dú)立保護(hù)。TOEICTOE（O.DATA-CONFIDENTIALITY）。出于同樣的原因，運(yùn)行環(huán)境安全體系結(jié)構(gòu)必須涵蓋側(cè)通道（OE.RE.DATA-CONFIDENTIALITY）。PERATE OSP.LIFECYCLESF確保SM-SR可以刪除阻塞的孤立Profile，并且只能由SM-SR刪除。此刪除功能依賴于OE.RE.PSF提供的安全應(yīng)用程序刪除機(jī)制。O.PSF確保每時(shí)每刻都僅啟用一個ISD-P。O.OPERATE通過確保始終強(qiáng)制執(zhí)行PSF安全功能來為此OSP服務(wù)。假設(shè)A.ACTORS目標(biāo)OE.CI，OE.SM-SR，OE.SM-DP和OE.MNO支持這一假設(shè)，它確保了基礎(chǔ)設(shè)施的每個參與者正確地管理憑證和其他敏感數(shù)據(jù)。A.APPLICATIONS這一假設(shè)由目標(biāo)OE.APPLICATIONS直接支持。SPD表3威脅和安全目標(biāo)——覆蓋范圍威脅安全目標(biāo)T.UNAUTHORIZED-PROFILE-MNGO.eUICC-DOMAIN-RIGHTS,OE.SM-DP,OE.MNO,O.PSF,O.SECURE-CHANNELS,OE.APPLICATIONS,O.INTERNAL-SECURE-CHANNELS,OE.RE.SECURE-COMM,OE.RE.DATA-CONFIDENTIALITY,OE.RE.DATA-INTEGRITY,OE.MNOSDT.UNAUTHORIZED-PLATFORM-MNGO.eUICC-DOMAIN-RIGHTS,O.PSF,O.SECURE-CHANNELS,OE.SM-SR,OE.APPLICATIONS,O.INTERNAL-SECURE-CHANNELS,OE.RE.SECURE-COMM,OE.RE.DATA-CONFIDENTIALITY,OE.RE.DATA-INTEGRITY威脅安全目標(biāo)T.PROFILE-MNG-INTERCEPTIONOE.SM-DP,OE.MNO,O.SECURE-CHANNELS,OE.APPLICATIONS,O.INTERNAL-SECURE-CHANNELS,OE.RE.SECURE-COMM,OE.MNOSDT.PLATFORM-MNG-INTERCEPTIONO.SECURE-CHANNELS,OE.SM-SR,OE.APPLICATIONS,O.INTERNAL-SECURE-CHANNELS,OE.RE.SECURE-COMMT.UNAUTHORIZED-IDENTITY-MNGO.eUICC-DOMAIN-RIGHTS,O.PSF,OE.RE.DATA-CONFIDENTIALITY,OE.RE.DATA-INTEGRITY,OE.RE.IDENTITYT.IDENTITY-INTERCEPTIONOE.CI,O.INTERNAL-SECURE-CHANNELS,OE.RE.SECURE-COMMT.UNAUTHORIZED-eUICCO.PROOF_OF_IDENTITY,OE.IC.PROOF_OF_IDENTITYT.UNAUTHORIZED-MOBILE-ACCESSO.ALGORITHMST.LOGICAL-ATTACKO.API,OE.RE.API,OE.RE.CODE-EXE,OE.RE.DATA-INTEGRITYT.PHYSICAL-ATTACKOE.RE.DATA-CONFIDENTIALITY表4安全目標(biāo)和威脅——覆蓋范圍安全目標(biāo)威脅O.PSFT.UNAUTHORIZED-PROFILE-MNG,T.UNAUTHORIZED-PLATFORM-MNG,T.UNAUTHORIZED-IDENTITY-MNGO.eUICC-DOMAIN-RIGHTST.UNAUTHORIZED-PROFILE-MNG,T.UNAUTHORIZED-PLATFORM-MNG,T.UNAUTHORIZED-IDENTITY-MNGO.SECURE-CHANNELST.UNAUTHORIZED-PROFILE-MNG,T.UNAUTHORIZED-PLATFORM-MNG,T.PROFILE-MNG-INTERCEPTION,T.PLATFORM-MNG-INTERCEPTIONO.INTERNAL-SECURE-CHANNELST.UNAUTHORIZED-PROFILE-MNG,T.UNAUTHORIZED-PLATFORM-MNG,T.PROFILE-MNG-INTERCEPTION,T.PLATFORM-MNG-INTERCEPTION,T.IDENTITY-INTERCEPTION安全目標(biāo)威脅O.PROOF_OF_IDENTITYT.UNAUTHORIZED-eUICCO.OPERATET.LOGICAL-ATTACK,T.PHYSICAL-ATTACKO.APIT.LOGICAL-ATTACKO.DATA-CONFIDENTIALITYT.LOGICAL-ATTACK,T.PHYSICAL-ATTACKO.DATA-INTEGRITYT.LOGICAL-ATTACKO.ALGORITHMST.UNAUTHORIZED-MOBILE-ACCESSOE.CIT.IDENTITY-INTERCEPTIONOE.SM-SRT.UNAUTHORIZED-PLATFORM-MNG,T.PLATFORM-MNG-INTERCEPTIONOE.SM-DPT.UNAUTHORIZED-PROFILE-MNG,T.PROFILE-MNG-INTERCEPTIONOE.MNOT.UNAUTHORIZED-PROFILE-MNG,T.PROFILE-MNG-INTERCEPTIONOE.IC.PROOF_OF_IDENTITYT.UNAUTHORIZED-eUICCOE.IC.SUPPORTT.LOGICAL-ATTACK,T.PHYSICAL-ATTACKOE.IC.RECOVERYT.PHYSICAL-ATTACKOE.RE.PSFOE.RE.SECURE-COMMT.UNAUTHORIZED-PROFILE-MNG,T.UNAUTHORIZED-PLATFORM-MNG,T.PROFILE-MNG-INTERCEPTION,T.PLATFORM-MNG-INTERCEPTION,T.IDENTITY-INTERCEPTIONOE.RE.APIT.LOGICAL-ATTACKOE.RE.DATA-CONFIDENTIALITYT.UNAUTHORIZED-PROFILE-MNG,T.UNAUTHORIZED-PLATFORM-MNG,OE.RE.DATA-INTEGRITYT.UNAUTHORIZED-PROFILE-MNG,T.UNAUTHORIZED-PLATFORM-MNG,T.UNAUTHORIZED-IDENTITY-MNGOE.RE.IDENTITYT.UNAUTHORIZED-IDENTITY-MNGOE.RE.CODE-EXET.LOGICAL-ATTACKOE.APPLICATIONST.UNAUTHORIZED-PROFILE-MNG,T.UNAUTHORIZED-PLATFORM-MNG,T.PROFILE-MNG-INTERCEPTION,T.PLATFORM-MNG-INTERCEPTION,T.LOGICAL-ATTACKOE.MNOSDT.UNAUTHORIZED-PROFILE-MNG,T.PROFILE-MNG-INTERCEPTION表5OSP和安全目標(biāo)——覆蓋范圍組織安全策略安全目標(biāo)OSP.LIFECYCLEO.PSF,OE.RE.PSF,O.OPERATE表6OSP——覆蓋范圍安全目標(biāo)組織安全策略O(shè).PSFOSP.LIFECYCLEO.eUICC-DOMAIN-RIGHTSO.SECURE-CHANNELSO.INTERNAL-SECURE-CHANNELSO.PROOF_OF_IDENTITYO.OPERATEOSP.LIFECYCLEO.APIO.DATA-CONFIDENTIALITYO.DATA-INTEGRITYO.ALGORITHMSOE.CIOE.SM-SROE.SM-DPOE.MNOOE.IC.PROOF_OF_IDENTITYOE.IC.SUPPORTOE.IC.RECOVERYOE.RE.PSFOSP.LIFECYCLEOE.RE.SECURE-COMMOE.RE.APIOE.RE.DATA-CONFIDENTIALITYOE.RE.DATA-INTEGRITYOE.RE.IDENTITYOE.RE.CODE-EXEOE.APPLICATIONSOE.MNOSD表7假設(shè)和運(yùn)行環(huán)境安全目標(biāo)——覆蓋范圍假設(shè)運(yùn)行環(huán)境安全目標(biāo)A.ACTORSOE.CI,OE.SM-SR,OE.SM-DP,OE.MNOA.APPLICATIONSOE.APPLICATIONS表8運(yùn)行環(huán)境安全目標(biāo)和假設(shè)——覆蓋范圍運(yùn)行環(huán)境安全目標(biāo)假設(shè)運(yùn)行環(huán)境安全目標(biāo)假設(shè)OE.CIA.ACTORSOE.SM-SRA.ACTORSOE.SM-DPA.ACTORSOE.MNOA.ACTORSOE.IC.PROOF_OF_IDENTITYOE.IC.SUPPORTOE.IC.RECOVERYOE.RE.PSFOE.RE.SECURE-COMMOE.RE.APIOE.RE.DATA-CONFIDENTIALITYOE.RE.DATA-INTEGRITYOE.RE.IDENTITYOE.RE.CODE-EXEOE.APPLICATIONSA.APPLICATIONSOE.MNOSD擴(kuò)展族FIA_API描述為了描述TOEIT。該族描述了TOETOE的其他族僅描述TOE的其他族僅描述CC2部分的風(fēng)格，從的角度定義了族FIA_API。族行為：該族定義了TOE提供的證明其身份、并由TOEIT環(huán)境中的外部實(shí)體進(jìn)行驗(yàn)證的功能。組件層次：FIA_API.1身份驗(yàn)證證明，向外部實(shí)體提供TOE、對象、授權(quán)用戶或角色的身份證明。管理：FIA_API.1FMT中的管理功能可以考慮以下行動：用于證明所聲稱身份的認(rèn)證信息的管理。審計(jì)：FIA_API.1沒有可審計(jì)的行為定義。擴(kuò)展組件FIA_API.1FIA_API.1身份驗(yàn)證證明FIA_API.1.1TSF應(yīng)提供][]]依賴關(guān)系：沒有依賴關(guān)系FPT_EMSTOE描述為了描述TOE的IT安全功能要求，此處定義了類FPT（TSF保護(hù)）的功能族FPT_EMS（TOE發(fā)散）。TOE應(yīng)防止基于TOE的外部可觀察物理現(xiàn)象而針對TOE秘密數(shù)據(jù)實(shí)施的攻擊。這種攻擊的例子是TOE的電磁輻射評估、簡單功耗分析（SPA）、差分功耗分析（DPA）、時(shí)間攻擊、無線電放射等。該族描述了限制可理解發(fā)散的功能要求。FPT_EMS族屬于FPT類，因?yàn)樗荰SF保護(hù)的類。FPT類中的其他族無法涵蓋TOE發(fā)散。族行為：該族定義了減輕可理解發(fā)散的要求。組件層次：FPT_EMS.1TOE發(fā)散有兩個組成部分：發(fā)散限制要求不能發(fā)出能夠訪問TSF數(shù)據(jù)或用戶數(shù)據(jù)的可識別的發(fā)散。接口發(fā)散要求不發(fā)出能夠訪問TSF數(shù)據(jù)或用戶數(shù)據(jù)的接口發(fā)散。管理：FPT_EMS.1沒有可預(yù)見的管理活動。審計(jì)：FPT_EMS.1）包含在使用FPT_EMS.1的PPSTPT_EMS.1發(fā)散FPT_EMS.1.1TOE不應(yīng)發(fā)出超過[賦值：指定限制]的[賦值：發(fā)散類型]，以便能夠訪問[賦值：TSF數(shù)據(jù)類型列表]和[賦值：用戶數(shù)據(jù)類型列表]。FPT_EMS.1.2TSF應(yīng)確保][來訪問數(shù)據(jù)]和。依賴關(guān)系：沒有依賴關(guān)系FCS_RNG描述FCS_RNG-隨機(jī)數(shù)生成族行為：AIS20/31（DRGPTG）KS2011STRNG（定性NP_T.1組件層次：FCS_RNG隨機(jī)數(shù)生成有兩個組成部分：要求提供隨機(jī)數(shù)生成。需要定義質(zhì)量指標(biāo)。管理：FCS_RNG.1沒有可預(yù)見的管理活動。審計(jì)：FCS_RNG.1沒有可審計(jì)的行為定義。擴(kuò)展組件FCS_RNG.1FCS_RNG.1隨機(jī)數(shù)生成TSF應(yīng)提供[[RNG]。TSF[RNG]為了定義安全功能要求，使用了CC的第2部分。SFR選擇操作用來選擇CC提供的一個或多個選項(xiàng)來說明要求。由PP作者做出的選擇表示為帶下劃線的文本。ST作者要填寫的選擇出現(xiàn)在方括號中，表示要進(jìn)行選擇[選擇：]并用斜體表示。賦值操作用來將特定值分配給未指定的參數(shù)，例如口令的長度。由PP作者作出的賦值通過用粗體文字來表示。由ST作者填寫的賦值顯示在方括號中，表示要進(jìn)行賦值[賦值：]并用斜體表示。ST參FCS_COP.1/Mobile_network）。ST例FIA_UID.1/EXT）當(dāng)需要重復(fù)操作同一組件時(shí)，使用迭代操作。迭代通過斜杠"/"和組件標(biāo)識符之后的迭代指示符來表示。簡介此標(biāo)準(zhǔn)定義以下安全策略：安全通道協(xié)議信息流控制SFPSFPISD-RSFPISD-P訪問控制SFPECASD內(nèi)容訪問控制SFP5.2TOE用戶可以是遠(yuǎn)程（U.SM-SR，U.SM-DP，U.MNOOTA平臺）或本地（U.MNO-SD，它是eUICC上的應(yīng)用程序）。SFP圖5安全通道協(xié)議信息流控制SFPeUICC應(yīng)支持SCP03（t），SCP80，SCP81。SFP圖6平臺服務(wù)信息流控制SFPISD-RSFP圖7ISD-R訪問控制SFPISD-PSFP圖8ISD-P內(nèi)容訪問控制SFPECASDSFP圖9ECASD內(nèi)容訪問控制SFPSFR表9安全屬性定義安全屬性細(xì)節(jié)與資產(chǎn)的關(guān)系A(chǔ)IDAID是JCS運(yùn)行環(huán)境中應(yīng)用程序的標(biāo)識符。由JCSSTAID屬于運(yùn)行環(huán)境（是PP-JCS規(guī)范的一部分）S.ISD-R狀態(tài)主體S.ISD-R的狀態(tài)。此狀態(tài)的可能值為：生成可選擇個人化該屬性是D.PSF_DATA的一部分S.ISD-P狀態(tài)主體S.ISD-P的狀態(tài)。此狀態(tài)的可能值為：生成選擇個人化啟用禁用該屬性是D.PSF_DATA的一部分回滾屬性對于一個且僅有一個S.ISD-P，回滾屬性為"true"。這意味著，如果TOE執(zhí)行回滾操作，則必須啟用此特定S.ISD-P，而同時(shí)其他的必須禁用。該屬性是D.PSF_DATA的一部分安全屬性細(xì)節(jié)與資產(chǎn)的關(guān)系POL1POL1S.ISD-PISD-P不允許禁用此Profile不允許刪除此Profile當(dāng)Profile除Profile該屬性描述為D.PROFILE_POL1密鑰集D.ISDR_KEYS,D.ISDP_KEYS)TOE使用密鑰集在遠(yuǎn)程參與者與eUICC上的本地對等方之間建立安全通道。這些屬性（D.MNO_KEYS,D.ISDR_KEYS,D.ISDP_KEYS）CERT.DP.ECDSACERT.SR.ECDSA用U.SM-SR和U.SM-DPCI可以使用CI這些屬性不是此標(biāo)準(zhǔn)的一部分。CI根公鑰在身份管理數(shù)據(jù)中被描述為資產(chǎn)D.CI_ROOT_PUBKEYsmsr-idsmdp-idmno-idsmsr-id是當(dāng)前負(fù)責(zé)eUICC管理的SM-SR的標(biāo)eUICCsmdp-id是最初下載并安裝了Profile的SM-DPeUICC期間加載了Profile，信息與ProfileProfilemno-idProfileMNO旦此信息與ProfileProfile周期內(nèi)保持不變。這些屬性包含在D.PSF_DATA中EIDEID是實(shí)現(xiàn)TOE的物理eUICC的標(biāo)識符。EID是硬件標(biāo)識符，不屬于此標(biāo)準(zhǔn)的部分。該要求包描述了TOE的識別和認(rèn)證措施：TOE必須：U.SM-SRsmdp-idU.SM-DPmno-id識別遠(yuǎn)程用戶通過AID識別卡上用戶U.MNO-SDTOE必須：驗(yàn)證U.Sm-SR：使用對于U.SM-SRSCP80/81SCP80/81驗(yàn)證U.Sm-DP：使用U.SM-DPSCP03(t);MNOProfile中加載的密鑰集通過SCP80/81。U.MNO-SD未經(jīng)TOE認(rèn)證。它是在U.SM-DP下載和安裝Profile時(shí)在eUICC上創(chuàng)建的。因此，U.MNO-SD與內(nèi)部主體S.ISD-P綁定，并且此綁定需要USM-DP身份驗(yàn)證。在TOE的使用壽命期間，U.MNO-SD代表U.MNO-OTA執(zhí)行操作，因此需要U.MNO-OTA認(rèn)證。TOE應(yīng)將卡外和卡上用戶綁定到內(nèi)部主體：U.SM-SRS.ISD-RU.SM-DP與S.ISD-P與U.MNO-SDU.MNO-SDMNOProfileS.ISD-PFIA_UID.1/EXT標(biāo)識的時(shí)機(jī)FIA_UID.1.1/EXTTSF應(yīng)允許應(yīng)用選擇eUICC的數(shù)據(jù)[賦值：TSFFIA_UID.1.2/EXT在允許代表該用戶執(zhí)行任何其他TSF介導(dǎo)的操作之前，TSF應(yīng)要求成功識別每個用戶。應(yīng)用說明：此SFR與TOE的外部（遠(yuǎn)程）用戶的標(biāo)識有關(guān)：U.SM-SRU.SM-DPU.MNO-OTA（U.MNO-SD）FIA_UID.1/MNO-SDSFReUICCFIA_UAU.1/EXT鑒別的時(shí)機(jī)FIA_UAU.1.1/EXTTSF應(yīng)允許應(yīng)用選擇eUICC的數(shù)據(jù)用戶識別[賦值：TSF]在用戶通過身份驗(yàn)證之前代表用戶執(zhí)行。FIA_UAU.1.2/EXT在允許代表該用戶進(jìn)行任何其他TSF介導(dǎo)的操作之前，TSF應(yīng)要求每個用戶成功通過身份驗(yàn)證。應(yīng)用說明：此SFR與TOE的以下外部（遠(yuǎn)程）用戶的身份驗(yàn)證有關(guān)：U.SM-SRU.SM-DPU.MNO-OTAFCS_COP.1SFR。STFCS_COP.1GSMASGP.02U.SM-SRCERT.SR.ECDSAECDSA（這SM-SRFCS_CKM.1/SCP-SMD.ISDR_KEYSSCP80SCP81。D.ISDR_KEYSSCP80SCP81USM-SRU.SM-DPCERT.DP.ECDSAECDSA（這使新的SM-DPFCS_CKM.1/SCP-SMD.ISDP_KEYSSCP03(t)D.ISDP_KEYSSCP03(tU.S.M-DPU.MNO-OTASCP80SCP81（FCS_CKM.2/SCP-MNO進(jìn)ECDSANISTP-256（FIPSPUB186-3）brainpoolP256r1（BSITR-031111.11，RFC5639）FRP25VANSIECF256V1FIA_USB.1/EXT用戶主體綁定FIA_USB.1.1/EXTTSF應(yīng)將以下用戶安全屬性與代表該用戶的主體相關(guān)聯(lián)：S.ISD-RU.SM-SRsmdp-idS.ISD-PU.SM-DPmno-idU.MNO-SD。FIA_USB.1.2/EXTTSF應(yīng)對用戶安全屬性與代表用戶的主體的初始關(guān)聯(lián)強(qiáng)制執(zhí)行以下規(guī)則：U.SM-SR進(jìn)行身份驗(yàn)證smdp-idmno-id的初始關(guān)聯(lián)要求通過USM-DPFIA_USB.1.3/EXTTSF的更改要求通過U.SM-SR進(jìn)行身份驗(yàn)證smdp-idmno-id。應(yīng)用說明：此SFR與外部（遠(yuǎn)程）用戶與TOE的本地主體或用戶的綁定有關(guān)：U.SM-SR（S.ISD-R）綁定U.SM-DP（S.ISD-P）綁定U.MNO-OTA（U.MNO-SD）STU.MNO-SDTOEU.MNO-OTA，U.MNO-OTA此SFR與以下命令相關(guān)：ES8.EstablishISDPKeySetD.ISDP_KEYSES5.EstablishISDRKeySetD.ISDR_KEYSES8.DownloadAndInstallationD.MNO_KEYSFIA_UAU.4/EXT一次性身份驗(yàn)證機(jī)制FIA_UAU.4.1/EXTTSF應(yīng)防止重用用于在eUICC和下述用戶之間打開安全通信信道的認(rèn)證機(jī)制相關(guān)的認(rèn)證數(shù)據(jù)：U.SM-SRU.SM-DPU.MNO-OTA。應(yīng)用說明：此SFR與TOE的外部（遠(yuǎn)程）用戶的身份驗(yàn)證有關(guān)：U.SM-SRU.SM-DPU.MNO-OTAFIA_UID.1/MNO-SDFIA_UID.1.1/MNO-SDTSF應(yīng)允許申請選擇FIA_UID.1.2/MNO-SD在允許代表該用戶進(jìn)行任何其他TSF介導(dǎo)的操作之前，TSF應(yīng)要求成功識別每個用戶。應(yīng)用說明：SFRU.MNO-SDFIA_UID.1/EXTSFRU.MNO-SDFDP_ACF.1/ISDPTOEU.MNO-SDUSM-DPS.ISD-PUSM-DPFIA_USB.1/EXT應(yīng)用程序選擇在識別之前授權(quán)，因?yàn)榭赡苄枰蜻h(yuǎn)程用戶提供eUICC的標(biāo)識。FIA_USB.1/MNO-SD用戶主體綁定FIA_USB.1.1/MNO-SDTSFAID與代U.MNO-SDS.ISD-P相關(guān)聯(lián)。FIA_USB.1.2/MNO-SDTSF應(yīng)對用戶安全屬性與代表用戶的主體的初始關(guān)聯(lián)強(qiáng)制執(zhí)行以下規(guī)則：AID的初始關(guān)聯(lián)要求通過CERT.DP.ECDSA對USM-DP進(jìn)行身份驗(yàn)證。FIA_USB.1.3/MNO-SDTSF應(yīng)強(qiáng)制執(zhí)行以下規(guī)則，以管理與代表用戶操作的主體相關(guān)聯(lián)的用戶安全屬性的更改：不允許更改AID。應(yīng)用說明：該SFR與本地用戶U.MNO-SD的識別有關(guān)。TOEU.MNO-SD“Profile裝它。Profile安裝由FDP_ACC.1/ISDRSFP控制。由S.ISD-P執(zhí)行，需要USM-DP的認(rèn)證。為了執(zhí)行諸如POL1U.MNO-SD該命令將其發(fā)送到S.ISD-P;S.ISD-PFDP_ACC.1/ISDPSFPMNOOTAS.S-P.ISPU.M-SDProfile。FIA_ATD.1用戶屬性定義FIA_ATD.1.1TSF應(yīng)維護(hù)屬于各個用戶的以下安全屬性列表：CERT.SR.ECDSAU.SM-SRsmsr-idCERT.DP.ECDSAU.SM-DPsmdp-idU.MNO-OTAmno-idU.MNO-SDAID。FIA_API.1身份驗(yàn)證證明FIA_API.1.1TSF應(yīng)根據(jù)eUICC的EID提供加密認(rèn)證機(jī)制，以向外部實(shí)體證明TOE的身份。應(yīng)用說明：該證明是通過在eUICC證書中包含EID值獲得的，該證書由eUICC制造商簽署。通信該要求包描述了TSF如何保護(hù)與外部用戶的通信。TSF應(yīng)強(qiáng)制執(zhí)行安全通道（FTP_ITC.1/SCP和FTP_ITC.2/SCP）：U.SM-SRS.ISD-R之間U.SM-DP和S.ISD-PU.MNO-OTA和U.MNO-SD（FDP_IFC.1/SCPFDP_IFF.1/SCPTSFD.ISDP_KEYS和D.ISDR_KEYS（FCS_CKM.1/SCP-SM和FCS_CKM.4/SCP-SM）D.MNO_KEYS（FCS_CKM.2/SCP-MNOFCS_CKM.4/SCP-MNO）FDP_IFC.1/SCP子集信息流控制FDP_IFC.1.1/SCPTSF應(yīng)在下述場景強(qiáng)制執(zhí)行安全通道協(xié)議信息流控制SFP用戶/主體：U.SM-SRS.ISD-RU.SM-DPS.ISD-PU.MNO_OTAU.MNO-SD信息：命令的傳輸。FDP_IFF.1/SCP簡單的安全屬性FDP_IFF.1.1/SCPTSF應(yīng)根據(jù)以下類型的主體和信息安全屬性強(qiáng)制執(zhí)行安全通道協(xié)議信息流控制SFP：用戶/主體：U.SM-SRS.ISD-RD.ISDR_KEYSU.SM-DPS.ISD-PD.ISDP_KEYSU.MNO_OTAU.MNO-SDD.MNO_KEYS信息：命令的傳輸。FDP_IFF.1.2/SCP如果遵守以下規(guī)則，TSF應(yīng)允許通過受控操作在受控主體和受控信息之間傳遞信息：U.MNO-SDSCP80SCP81。FDP_IFF.1.3/SCPTSF應(yīng)強(qiáng)制執(zhí)行[賦值：附加信息流控制SFP規(guī)則]。TSF。FDP_IFF.1.5/SCPTSF應(yīng)根據(jù)以下規(guī)則明確拒絕信息流：SMSCAT_TPHTTPSSCP80SCP81TOE應(yīng)拒絕U.SM-SR與S.ISD-R之間的通信U.SM-SRS.ISD-RSCP03(t)TOE將拒絕USM-DP與S.ISD-P之間的通信。應(yīng)用說明：有關(guān)安全通道的更多詳細(xì)信息，請參見GSMASGP.02規(guī)范SM-SR2.4SM-DP2.5MNO-SD：2.7FTP_ITC.1/SCPTSF間可信信道FTP_ITC.1.1/SCPTSF應(yīng)在其自身與另一個可信的IT產(chǎn)品之間提供一個通信通道，該產(chǎn)品在邏輯上與其他通信通道不同，提供對其端點(diǎn)的確定識別以及保護(hù)通道數(shù)據(jù)不被修改或泄露。FTP_ITC.1.2/SCPTSF應(yīng)允許其他可信IT產(chǎn)品通過可信通道發(fā)起通信。FTP_ITC.1.3/SCPTSF應(yīng)通過可信信道發(fā)起[賦值：需要可信通道的功能列表]的通信。應(yīng)用說明：FCS_COP.1SFRFCS_COP.1GSMASGP.022.2.5SM-DP的安全通道必須是CP0（tobalPatfrmDSMASGP.022.5AESSCP80SM-SRMNOOTATSFSCP81SCP80SCP80GSMASGP.022.4.3AES。SCP81TLSGSMASGP.022.4.4相關(guān)密鑰是：ProfileSM-SR請參閱FCS_CKM.1/SCP-SMProfile（D.MNO_KEYS）;FCS_CKM.2/SCP-MNOTSFTSF應(yīng)允許SM-SR打開SCP80安全通道以執(zhí)行Profile下載和安裝，分為以下步驟：TSFSM-SRES5.CreateISDP然后，TSFSM-DPSCP03（t）ES8.EstablishISDPKeySetES8.DownloadAndInstallationTSFSM-SRES5.EnableProfile）TSFSM-SRSCP80ES5.EnableProfileES5.DisableProfileES5.DeleteProfileES5.eUICCCapabilityAuditES5.MasterDeleteES5.SetFallbackAttributeES5.HandleNotificationConfirmationTSF應(yīng)允許SM-SR打開SCP80安全信道，以發(fā)送以下eUICC管理命令：ES5.EstablishISDRKeySetES5.FinaliseISDRhandoverES5.UpdateSMSRAddressingParametersTSF應(yīng)允許SM-SR打開SCP80安全信道以修改SM-DP的連接參數(shù)：TSFSM-DPES8.UpdateConnectivityParametersSCP03命令TSF應(yīng)允許遠(yuǎn)程OTA平臺打開SCP80安全通道，以傳輸以下Profile管理操作：ES6.UpdatePOL1byMNOTSFES5.HandleDefaultNotificationFDP_ITC.2/SCP使用安全屬性導(dǎo)入用戶數(shù)據(jù)FDP_ITC.2.1/SCPSFPSFP。FDP_ITC.2.2/SCPTSF應(yīng)使用與導(dǎo)入的用戶數(shù)據(jù)關(guān)聯(lián)的安全屬性。FDP_ITC.2.3/SCPTSF應(yīng)確保所使用的協(xié)議提供安全屬性與接收的用戶數(shù)據(jù)之間的明確關(guān)聯(lián)。FDP_ITC.2.4/SCPTSF應(yīng)確保對導(dǎo)入的用戶數(shù)據(jù)的安全屬性的解釋符合用戶數(shù)據(jù)源的預(yù)期。FDP_ITC.2.5/SCPSFP。FPT_TDC.1/SCPTSF間基本TSF數(shù)據(jù)一致性FPT_TDC.1.1/SCPTSF應(yīng)對下述內(nèi)容提供一致的解釋能力U.SM-SR，U.SM-DPU.MNO-OTA的命令U.SM-SR，U.SM-DPU.MNO-OTA下載的對象當(dāng)在TSFITFPT_TDC.1.2/SCPITTSF數(shù)據(jù)時(shí)，TSF應(yīng)