信息安全技術(shù) 具有中央處理器的IC卡芯片安全技術(shù)要求（征求意見稿）編制說明

7任務(wù)來源《信息安全技術(shù)具有中央處理器的集成電路（IC）卡芯片安全技術(shù)要求（評(píng)估保證級(jí)4增強(qiáng)級(jí)）》于2008年成為國(guó)家標(biāo)準(zhǔn)，標(biāo)準(zhǔn)號(hào)為GB/T22186-2008。但隨著技術(shù)的發(fā)展，已有4年歷史的GB/T22186-2008在時(shí)效性、易用性、可操作性上還需提高。鑒于此，2012年，中國(guó)信息安全測(cè)評(píng)中心聯(lián)合北京多思科技工業(yè)園股份有限公司、清華大學(xué)向信安標(biāo)委申請(qǐng)對(duì)GB/T22186進(jìn)行修訂。根據(jù)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)2012年下達(dá)的國(guó)家標(biāo)準(zhǔn)制修訂計(jì)劃，國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)具有中央處理器的集成電路（IC）卡芯片安全技術(shù)要求（評(píng)估保證級(jí)4增強(qiáng)級(jí)）》修訂任務(wù)由中國(guó)信息安全測(cè)評(píng)中心負(fù)責(zé)主辦，標(biāo)準(zhǔn)計(jì)劃號(hào)為XXXXXXXXXX（全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)2012年信息安全專項(xiàng)）。編制原則此標(biāo)準(zhǔn)將考慮智能卡芯片應(yīng)用的各個(gè)安全方面，包括設(shè)計(jì)，使用、維護(hù)等環(huán)節(jié)，在數(shù)據(jù)保護(hù)，訪問控制，鑒別認(rèn)證、安全管理、傳輸安全、密碼使用等方面制定相關(guān)要求，以確保產(chǎn)品的機(jī)密性、完整性和可用性，使該標(biāo)準(zhǔn)可以用于指導(dǎo)芯片產(chǎn)品的研制、開發(fā)、測(cè)試、評(píng)估及采購(gòu)。編制過程中本著“規(guī)范、合理、系統(tǒng)、適用”的原則，注重先進(jìn)性、規(guī)范性、實(shí)用性，也兼顧了與我國(guó)現(xiàn)有政策、法規(guī)與標(biāo)準(zhǔn)的執(zhí)行范圍。該標(biāo)準(zhǔn)具有很好的時(shí)效性、連貫性、易于理解與操作的特點(diǎn)，將在產(chǎn)品的開發(fā)、測(cè)評(píng)和應(yīng)用方面建立起內(nèi)在一致的交互平臺(tái)，并作為指導(dǎo)產(chǎn)品研發(fā)與測(cè)評(píng)的基準(zhǔn)。實(shí)現(xiàn)行業(yè)內(nèi)各項(xiàng)目、地區(qū)之間安全標(biāo)準(zhǔn)的統(tǒng)一，規(guī)范國(guó)內(nèi)智能卡芯片應(yīng)用市場(chǎng)，確保產(chǎn)品有嚴(yán)格的、可控制的、規(guī)范的安全特性，提升我國(guó)智能卡芯片產(chǎn)品應(yīng)用的總體安全水平。主要工作過程1）2012年12月成立了《信息安全技術(shù)具有中央處理器的集成電路（IC）卡芯片安全技術(shù)要求（評(píng)估保證級(jí)4增強(qiáng)級(jí)）》標(biāo)準(zhǔn)編制組。2）2013年1月至7月，標(biāo)準(zhǔn)編制組調(diào)研了國(guó)際上針對(duì)芯片的測(cè)評(píng)情況，充分借鑒了國(guó)外的成功經(jīng)驗(yàn)，并結(jié)合國(guó)內(nèi)的實(shí)際情況，修訂出標(biāo)準(zhǔn)草案第一稿。3）2013年8月8日，安標(biāo)委WG5工作組專家對(duì)標(biāo)準(zhǔn)進(jìn)行了評(píng)審。會(huì)后，標(biāo)準(zhǔn)編制組按照專家提出的修改建議，對(duì)草案進(jìn)行了修改，形成了標(biāo)準(zhǔn)草案第二稿。3）2013年10月10日，參加安標(biāo)委WG5工作組專家評(píng)審會(huì)，《信息安全技術(shù)具有中央處理器的集成電路（IC）卡芯片安全技術(shù)要求（評(píng)估保證級(jí)4增強(qiáng)級(jí)）》草案通過了評(píng)審，并將標(biāo)準(zhǔn)名稱改為《信息安全技術(shù)具有中央處理器的集成電路（IC）卡芯片安全技術(shù)要求》。會(huì)后，標(biāo)準(zhǔn)編制組根據(jù)評(píng)審的專家意見對(duì)草案進(jìn)行修改并再次咨詢了王立福教授，形成并提交了標(biāo)準(zhǔn)草案第三稿。4）2013年10月23至31日,信安標(biāo)委WG5工作組組織各成員單位對(duì)標(biāo)準(zhǔn)草案進(jìn)行了投票，全體投票通過。5）2013年11月20日，信安標(biāo)委WG5工作組組織集中對(duì)標(biāo)準(zhǔn)的內(nèi)容和格式進(jìn)行統(tǒng)一修改,并將名稱改為《信息安全技術(shù)具有中央處理器的IC卡芯片安全技術(shù)要求》。6）2013年11月21日，標(biāo)準(zhǔn)編制組根據(jù)投票意見對(duì)征求意見稿進(jìn)行了修訂，形成征求意見稿。標(biāo)準(zhǔn)的主要內(nèi)容GB/T22186為具有中央處理器的集成電路（IC）卡芯片類產(chǎn)品定義了一組與具體實(shí)現(xiàn)無關(guān)的、完整的、緊密關(guān)聯(lián)的最小安全要求集合；標(biāo)準(zhǔn)描述了集成電路（IC）卡芯片使用的環(huán)境和面臨的威脅；陳述相應(yīng)保障級(jí)別的集成電路（IC）卡芯片應(yīng)該達(dá)到的安全目的和必須滿足的安全技術(shù)要求和安全保障要求，以及它們之間的基本原理。國(guó)家標(biāo)準(zhǔn)GB/T18336-2008是等同采用國(guó)際標(biāo)準(zhǔn)ISO/IEC15408：2005而制定的。而ISO/IEC15408:2005核心為CCv2.3版的內(nèi)容。目前，國(guó)際標(biāo)準(zhǔn)ISO/IEC15408已更新至2009版，其核心為CCv3.1版的內(nèi)容，版本升級(jí)較大，其內(nèi)容也有較大變化。國(guó)外PP的制定、產(chǎn)品的評(píng)估都已經(jīng)依據(jù)新版本更新了相應(yīng)內(nèi)容。而目前國(guó)內(nèi)GB/T22186還依據(jù)較低的CC版本，一直未更新。本項(xiàng)目將結(jié)合目前國(guó)內(nèi)外最新技術(shù)的發(fā)展情況，來完善GB/T22186。本標(biāo)準(zhǔn)從以下幾方面描述了智能卡芯片的安全技術(shù)要求：描述智能卡芯片的基本結(jié)構(gòu)，以及TOE的邊界定義。描述智能卡芯片的安全問題，包括智能卡芯片保護(hù)的資產(chǎn)、智能卡芯片在其運(yùn)行環(huán)境中可能遇到的威脅、組織安全策略以及針對(duì)環(huán)境的假設(shè)。描述智能卡芯片的安全目的，包含了智能卡芯片應(yīng)達(dá)到的安全目的和其環(huán)境應(yīng)達(dá)到的安全目的。定義了智能卡芯片必須滿足的安全要求，包括智能卡芯片的信息技術(shù)安全功能要求和安全保障要求，以及組件之間依賴關(guān)系的基本原理。本標(biāo)準(zhǔn)主要在三個(gè)方面做了修改，具體內(nèi)容如下。1）安全問題定義精簡(jiǎn)原標(biāo)準(zhǔn)在安全問題定義中共設(shè)立了4個(gè)假設(shè)、16個(gè)威脅，及4項(xiàng)組織安全策略，本標(biāo)準(zhǔn)修訂過程采用威脅建模領(lǐng)域的國(guó)際成熟方法，對(duì)原標(biāo)準(zhǔn)進(jìn)行了整合和精簡(jiǎn)。本標(biāo)準(zhǔn)對(duì)智能IC卡芯片在應(yīng)用階段面臨的威脅進(jìn)行了標(biāo)識(shí)。該方法從訪問接口和資產(chǎn)出發(fā)，以系統(tǒng)地建立威脅模型，使攻擊者從任何訪問渠道都無法獲得或篡改敏感信息或TOE功能，以保護(hù)資產(chǎn)的安全性。根據(jù)IC卡芯片的運(yùn)行環(huán)境特點(diǎn)，攻擊者可從三個(gè)渠道訪問IC卡芯片。（1）常規(guī)的邏輯接口，即指令交互接口；（2）側(cè)信道接口，主要包括功耗、電磁和時(shí)耗等側(cè)信息的測(cè)量信道接口；（3）電路和電氣接口，主要包括芯片的供電及頻率輸入接口，以及硬件電路和存儲(chǔ)器等接口。為了更詳細(xì)地刻畫威脅的含義，威脅建模過程對(duì)每個(gè)威脅都將進(jìn)行分解，直至后續(xù)分解需要引入TOE的詳細(xì)設(shè)計(jì)細(xì)節(jié)，或當(dāng)前分解過程已滿足自證性為止。其中，對(duì)數(shù)據(jù)泄漏和篡改威脅進(jìn)行分解，可得到以下的威脅模型圖。由于安全能力濫用威脅與數(shù)據(jù)泄露威脅的建模方式類似，在此不做詳細(xì)描述。圖1：數(shù)據(jù)泄漏威脅建模圖圖2：數(shù)據(jù)篡改威脅建模圖由于對(duì)每個(gè)威脅節(jié)點(diǎn)進(jìn)行分解時(shí)會(huì)以事件分解的完備性為原則，因而每次分解的正確性都可以得到保證。在建模結(jié)束后，提取出所有的葉子節(jié)點(diǎn)，并對(duì)其進(jìn)行綜合處理，就可標(biāo)識(shí)出IC卡芯片面臨的主要威脅，具體為：生命周期功能濫用、信息泄露、故障利用、物理操作、以及邏輯攻擊。對(duì)這些威脅的具體描述可參見標(biāo)準(zhǔn)第5章。為了保障TOE的安全運(yùn)行，TOE的開發(fā)、生產(chǎn)、交付和運(yùn)行環(huán)境等也需要滿足一定的安全條件。為此，在組織安全策略描述了相應(yīng)的規(guī)章制度、操作規(guī)程和指導(dǎo)性規(guī)則，同時(shí)還以假設(shè)的形式描述了TOE的外部數(shù)據(jù)管理及嵌入式軟件開發(fā)方面需要滿足的其他條件。按照上述方式，本草案共描述了6個(gè)威脅、2項(xiàng)組織安全策略和2個(gè)假設(shè)，因而對(duì)原有的安全問題定義進(jìn)行了簡(jiǎn)化，提高了標(biāo)準(zhǔn)的可理解性。2）安全功能要求組件變更為適應(yīng)新的安全問題定義，標(biāo)準(zhǔn)修訂時(shí)對(duì)組件進(jìn)行了更新，去除了一些不適用的組件，同時(shí)也結(jié)合實(shí)際情況添加了一部分組件。在這些新添加的組件中，F(xiàn)MT_LIM.1、FMT_LIM.2和FPT_TST.2是借鑒國(guó)外成熟的案例而擴(kuò)展出來的。最后形成的組件如下表所示。表1：安全功能要求組件安全功能類安全功能要求組件編號(hào)備注EAL4+EAL5+EAL6+FCS類：密碼支持FCS_CKM.1密鑰生成1√√√FCS_COP.1密碼運(yùn)算2√√√FDP類：用戶數(shù)據(jù)保護(hù)FDP_ACC.1子集訪問控制3√√√FDP_ACF.1基于安全屬性的訪問控制4√√√FDP_IFC.1子集信息流控制5√√√FDP_ITT.1基本內(nèi)部傳送保護(hù)6√√√FDP_SDI.1存儲(chǔ)數(shù)據(jù)完整性監(jiān)視7○√N(yùn)/AFDP_SDI.2存儲(chǔ)數(shù)據(jù)完整性監(jiān)視和反應(yīng)8○○√FIA類：標(biāo)識(shí)和鑒別FIA_UAU.1鑒別的時(shí)機(jī)9○√√FIA_AFL.1鑒別失敗處理10○√√FMT類：安全管理FMT_LIM.1能力受限11√√√FMT_LIM.2可用性受限12√√√FMT_MSA.1安全屬性的管理13√√√FMT_MSA.3靜態(tài)屬性初始化14√√√FMT_MTD.1TSF數(shù)據(jù)的管理15√√√FMT_SMF.1管理功能規(guī)范16√√√FMT_SMR.1安全角色17√√√FPT類：安全功能保護(hù)FPT_FLS.1失效即保持安全狀態(tài)18√√√FPT_ITT.1內(nèi)部安全功能數(shù)據(jù)傳送的基本保護(hù)19√√√FPT_PHP.3物理攻擊抵抗20√√√FPT_TST.2子集TSF測(cè)試21○√√FRU：資源利用FRU_FLT.2受限容錯(cuò)22√√√注：√代表在該保障級(jí)下，應(yīng)選擇該組件；○代表在該保障級(jí)下，可選擇該組件；N/A代表在該保障級(jí)下，該組件不適用；當(dāng)被評(píng)估的TOE不具備密鑰生成功能時(shí)，應(yīng)不選取FCS_CKM.1組件。3）安全保障要求組件升級(jí)由于本標(biāo)準(zhǔn)的修訂是按最新的CC標(biāo)準(zhǔn)進(jìn)行的，因此，此部分的內(nèi)容按最新的保障要求進(jìn)行了升級(jí)更新。但同時(shí)，與以前的版本相比，本草案在EAL4+的基礎(chǔ)上，增加了兩個(gè)保障級(jí)別EAL5+和EAL6+。對(duì)于安全保障要求組件的選取，本標(biāo)準(zhǔn)的EAL4+是在EAL4的基礎(chǔ)上將AVA_VAN.3增強(qiáng)為AVA_VAN.4；EAL5+是在EAL5的基礎(chǔ)上將ALC_DVS.1增強(qiáng)為ALC_DVS.2，AVA_VAN.4增強(qiáng)為AVA_VAN.5；EAL6+是在EAL6的基礎(chǔ)上增加ALC_FLR.1。本標(biāo)準(zhǔn)與GB/T22186—2008相比，主要變化如下：第2章將標(biāo)準(zhǔn)的引用文件更新為GB/T18336的最新版本；第3章對(duì)術(shù)語進(jìn)行了更新描述；第4章重新描述了IC卡芯片的結(jié)構(gòu)，并進(jìn)行了更清晰的TOE范圍定義；第5章對(duì)安全問題定義進(jìn)行了整合和精簡(jiǎn)，共定義了6個(gè)威脅，2項(xiàng)組織安全策略和2個(gè)假設(shè)；第6章根據(jù)新的安全問題定義更新了對(duì)TOE安全目的的描述；第7章描述了兩個(gè)擴(kuò)展族FMT_LIM和FPT_TST，分別用于處理對(duì)TOE的受限可用性以及自檢相關(guān)的安全功能要求，以便更合理的描述IC卡芯片的安全性；第8章對(duì)安全功能要求進(jìn)行了調(diào)整，以細(xì)化新的安全目的描述，明確指出了EAL4+、EAL5+和EAL6+分別應(yīng)滿足的安全功能要求；并對(duì)安全保證要求進(jìn)行了調(diào)整，增加了EAL5+和EAL6+要求的保障組件；第9章對(duì)新的安全問題定義與安全目的、安全目的與安全要求之間的對(duì)應(yīng)關(guān)系基本原理進(jìn)行了更新描述，并分析了組件之間的依賴關(guān)系。與相關(guān)法律法規(guī)及國(guó)家有關(guān)規(guī)定、國(guó)內(nèi)相關(guān)標(biāo)準(zhǔn)的關(guān)系本標(biāo)準(zhǔn)與現(xiàn)行法律、法規(guī)以及國(guó)家標(biāo)準(zhǔn)沒有沖突與矛盾的地方。有關(guān)問題的說明項(xiàng)目組在標(biāo)準(zhǔn)編制過程中，經(jīng)歷了內(nèi)部討論與論證、專家評(píng)審等過程，項(xiàng)目組在工作過程中遵循編制原則，對(duì)國(guó)內(nèi)外現(xiàn)狀做了大量調(diào)研，完成了標(biāo)準(zhǔn)修訂工作。在整個(gè)過程中未遇到重大意見分歧，但對(duì)專家提出的意見和建議，我們做了應(yīng)答和處理，更好地完善了我們的標(biāo)準(zhǔn)編制工作。本項(xiàng)目是對(duì)國(guó)家推薦性標(biāo)準(zhǔn)GB/T22186-2008的修訂，建議修訂后的標(biāo)準(zhǔn)還是為國(guó)家推薦性標(biāo)準(zhǔn)。廢止現(xiàn)行有關(guān)標(biāo)準(zhǔn)的建議標(biāo)準(zhǔn)修訂完成后，標(biāo)準(zhǔn)的名稱將改為《信息安全技術(shù)具有中央處理器的集成電路（IC）卡芯片安全技術(shù)要求》，并建議廢止GB/T22186-2008《信息安全技術(shù)具有中央處理器的集成電路