TAF-WG4-AS0056-V1.0.0-2020 面向消費(fèi)電子設(shè)備的嵌入式通.用集成電路卡（eUICC）安全能力技術(shù)要求

EmbeddedUniversalIntegratedCircuitCard(eUICC)Consumer電信終端產(chǎn)業(yè)協(xié)會(huì)發(fā)布I 面向消費(fèi)電子設(shè)備的嵌入式通用集成電路卡（eUICC）安全能力技術(shù)要求 1 1 1 1 2 2 3 3 7 7 TAF-WG4-AS0056-V1.0請(qǐng)注意本文件的某些內(nèi)容可能涉及專(zhuān)利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專(zhuān)利的責(zé)任。華為技術(shù)有限公司、北京中廣瑞波科技股份有限公司、上海果通新苗、范姝男、朱旭東、鄒俊偉、吳俊、彭成、孫亨博、TAF-WG4-AS0056-V1.0隨著移動(dòng)通信技術(shù)的發(fā)展及廣泛應(yīng)用，eUICC技術(shù)逐漸從物聯(lián)網(wǎng)領(lǐng)域擴(kuò)展到消費(fèi)電子領(lǐng)域，目前主要應(yīng)用于手機(jī)、智能手表和其他可穿戴設(shè)備。相對(duì)于物聯(lián)網(wǎng)領(lǐng)域的eUICC，從形態(tài)上看，消費(fèi)電子1面向消費(fèi)電子設(shè)備的嵌入式通用集成電路卡（eUICC）安全能力技術(shù)要求件。凡是不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文GSMASGP.25:eUICCforConsPP-JCS:JavaCard?System-OpenConfigurationProtectionProfilePP0084:SecurityICPlatformProtectionProfilewithAugmentationPackGMSASGP.02:RemoteProvisioningArchitectureforEmbeddedUICCTechnicalSpecificatPP-USIM:(U)SIMJavaCardPlatformProtectionProfileBasicandSCWSConfiguratiGP-SecurityGuidelines-BasicApplications:GlobalPlatformCardCompositionModelSecurityforBasicApplications,versiCC1:CommonCriteriaforInformationTechnologySemodelversion3.1,RevisCC2:CommonCriteriaforInformationTechcomponents,version3.1,Revision5CC3:CommonCriteriaforInformationTechnologySecurityEvaluation,components,version3.1,Revision5GlobalPlatform_Card_Specification:GlobalPlatformCSCP80:ETSITS102225-SecuredpackETSITS102226-RemoteAPDUstructSCP81:GlobalPlatformCardSpecificationAmendmentB–RemoteApplicationManagementoverKS2011:W.Killmann,W.Schindler,?Aproposalfor:Functionalityclagenerators“versionGSMASGP.22:RemoteSIMProvisioning(RSP)TechnicalSpecific2ControllingAuthoritySCASDControllingAuthoritySCASDCIECASDEUMeUICCManufacturerEIDeUICC-IDEmbeddedUICCISD-PIssuerSecurityDomainProfile集主安全域ISD-RIssuerSecurityDomainLPALocalProfileAssisProfile代理LPAdLocalProfileAssistantinthedLPAeLocalProfileAssistantintheeUMNOMobileNetworkOperatorNAANetworkAccessApplicationPPARProfilePolicyAuthorisationRuProfile策略授權(quán)規(guī)則ProfilePolicyEnablProfile策略規(guī)則使能器PPRProfile策略規(guī)則RulesAuthorisationTaTargetofEvaluationUniversalIntegratedCircuitCard3圖圖1消費(fèi)電子設(shè)備eUICC架構(gòu)ECASD應(yīng)在eUICC制造期間由EUM安裝和個(gè)人化。在eUICC制造之后，ECASD應(yīng)處于lPK.CI.ECDSA，CI的公鑰。4ISD-R應(yīng)當(dāng)在eUICC的制造期間由EUM進(jìn)行安裝和個(gè)人化。ISD-R應(yīng)與自身相關(guān)聯(lián)。ISD-R下載和安裝,并且通過(guò)與Profile包解釋器的合作對(duì)收到的Profil4.1.4ProfileMNO-SD是運(yùn)營(yíng)商在卡內(nèi)的代表，它包含了運(yùn)營(yíng)商的OTA密鑰并且提供安全的OTA通道。OperationalProfile5ProvisioningProfile按照適用于ProvisioningProfile的方式處6圖2RSP系統(tǒng)中LPAd結(jié)構(gòu)圖7在eUICC端實(shí)現(xiàn)的LPA服務(wù)。圖3RSP系統(tǒng)中LPAe結(jié)構(gòu)圖），8u與Profile相關(guān)的身份（D.Pr密鑰D.PROFILE_POLICY_RU9所有這些資產(chǎn)都必須保護(hù)免受未經(jīng)授權(quán)的披管理數(shù)據(jù)lISD-P安全域的eUICC生命周期狀態(tài)。這些數(shù)據(jù)可以部分地在ISD-R和平臺(tái)代碼的邏輯中實(shí)現(xiàn)，而不是“數(shù)據(jù)”。因此，這一資產(chǎn)與這些規(guī)則在eUICC制造時(shí)或在初始設(shè)備設(shè)置期間初始化，是在沒(méi)有安裝可身份管理數(shù)據(jù)），eUICC證書(shū)必須被保護(hù)以避免未經(jīng)授5.2用戶(hù)/主體5.2.1用戶(hù)5.2.2主體Profile策略激活，包含兩個(gè)功能：）；l或未經(jīng)授權(quán)的平臺(tái)管理（通常試圖禁用啟用的Profile）。T.UNAUTHORIZED-PROFIProfile產(chǎn)生任何副作用。lISD-P內(nèi)的應(yīng)用試圖破壞另一個(gè)MNO-S），T.UNAUTHORIZED-PLATFORMT.UNAUTHORIZED-PROFILE-MNG相同的T.PROFILE-MNG-INTERC攻擊者改變或竊聽(tīng)eUICC和SM-DPl未經(jīng)授權(quán)在eUICC上下載Profile；），T.UNAUTHORIZED-IDENTD.PK.CI.ECDSA,D.EID,D.CERT.EUM.ECDSA,攻擊者可能試圖攔截憑據(jù)，無(wú)論是在卡外還是在卡直接威脅資產(chǎn)：D.TSF_CODE(ECASD),D.SK.EUICC.ECDSA,D.EID,D攻擊者利用LPAd的接口（接口ES10a、ES10b），l利用接口中的缺陷來(lái)修改或泄露敏感資產(chǎn)，或執(zhí)行代碼（特別針對(duì)LPAd接口的與威脅T.UNAUTHORIZED-PROFILE-MNG,直接威脅資產(chǎn)：D.DEVICE_INFO,D.PLATT.UNAUTHORIZED-MOBILE5.3.6其他攻擊者通過(guò)物理(與邏輯相反)篡改手段泄露或修改TOE設(shè)計(jì)這種威脅包括環(huán)境壓力、IC失效分析、電子探針、意外拆解和側(cè)信道。這還包括通過(guò)物理篡改技這個(gè)安全目標(biāo)必須強(qiáng)制執(zhí)行所定義的eUICC生命周期。特別地：刪除Profile），在存儲(chǔ)器復(fù)位或測(cè)試存儲(chǔ)器復(fù)位功能期間除外：在這種情況5.5假設(shè)5.5.2其他A.ACTORS基礎(chǔ)設(shè)施的參與者（CI、EUM、SM-l驗(yàn)證包含PPR的Profile是否由RAT授權(quán)；TOE應(yīng)確保未經(jīng)授權(quán)的參與者不得訪問(wèn)或更改個(gè)以同樣的方式，TOE應(yīng)確保只有每個(gè)安全域的合法所有者才能訪問(wèn)或更改其機(jī)密或lMNO-SD和MNOOTA平臺(tái)。O.INTERNAL-SECURE-CTOE對(duì)數(shù)據(jù)進(jìn)行管理或操作時(shí)，應(yīng)避免未經(jīng)授權(quán)修改以下數(shù)據(jù)：eUICC應(yīng)提供向移動(dòng)網(wǎng)絡(luò)進(jìn)行身份驗(yàn)中使用的任何密鑰在通過(guò)MNOOTA平臺(tái)傳輸?shù)絜UICC上之前不會(huì)受到損害。移動(dòng)運(yùn)營(yíng)商O(píng)TA服務(wù)器的管理員應(yīng)該是值得信賴(lài)的人。他們應(yīng)接受器。他們擁有執(zhí)行任務(wù)的方法和設(shè)備。他們必須意識(shí)到他們管理的資產(chǎn)的敏感性以及與OTA服務(wù)器管運(yùn)行環(huán)境應(yīng)提供方法保護(hù)應(yīng)用程序通信的機(jī)密性和完可以通過(guò)重用與以下威脅相關(guān)的PP-JCS規(guī)范的安全目標(biāo)來(lái)轉(zhuǎn)換此目標(biāo)：T.CONFID-APPLI-DATA和者可以通過(guò)重用與以下威脅相關(guān)的PP-JCS規(guī)范安全目標(biāo)來(lái)轉(zhuǎn)換這一目標(biāo)：T.CONFID-JCS-CODE，T.INTEG-JCS-CODE，T.CONFID-JCS-DATA，T.INTEG-JCS-D運(yùn)行環(huán)境應(yīng)提供方法始終保護(hù)其處理的TOE者可以通過(guò)重用與以下威脅相關(guān)的PP-JCS規(guī)范安全目標(biāo)來(lái)轉(zhuǎn)換這一目標(biāo)：T.INTEG-APPLI-DATA，T.INTEG-APPLI-DATA.LOAD，T.INTEG-APPLI-CODE，T.INTEG-APPLI-CODE.LO者可以通過(guò)重用與以下威脅相關(guān)的PP-JCS規(guī)范的安全目標(biāo)來(lái)轉(zhuǎn)換這一目標(biāo)：T.EXE-CODE.1，T.EXE-CODE.2，T.EXE-當(dāng)LPAd存在且運(yùn)行時(shí)，接口ES10a，ES10b和ES10c是eUICC和LPAd之和平臺(tái)安全機(jī)制（例如安全域，應(yīng)用程序防火墻），這根據(jù)GSMASGP.02，安全域U.MNO-SD必須使用TOE提供的安全通道SCP80/81。T.UNAUTHORIZED-PROFILE-MNGlO.PPE-PPI和O.eUICC-DOMAIN-RIGHTS確保只有經(jīng)過(guò)授權(quán)和認(rèn)證的參與者（SM-DP+和卡上訪問(wèn)控制策略依賴(lài)于底層運(yùn)行環(huán)境，該環(huán)境確保應(yīng)用程序數(shù)據(jù)的機(jī)密性和完整性lO.SECURE-CHANNELS和O.INTERNAL-SECURE為了確保應(yīng)用程序防火墻的安全運(yùn)行，操作環(huán)境的以下目lO.PPE-PPI和O.eUICC-DOMAIN-RIGHTS確保只有經(jīng)過(guò)授權(quán)卡上訪問(wèn)控制策略依賴(lài)于底層運(yùn)行環(huán)境，該環(huán)境確保應(yīng)用程序數(shù)據(jù)的機(jī)密性和完整性為了確保應(yīng)用程序防火墻的安全運(yùn)行，操作環(huán)境的以下目OE.SM-DPplus和OE.MNO確保在由卡外參與者使用時(shí)不會(huì)泄露與安全通OE.SM-DPplus確保在由卡外參與O.DATA-INTEGRITY和OE.RE.DATA-INTEGRITY確保設(shè)備信息和eUICCInfo2的完整性在OE.RE.IDENTITY確保在JavT.IDENTITY-INTERCEPTIONO.INTERNAL-SECURE-CHANNELS確保從ECASD到ISDISD-P的共享秘密的安全傳輸。這些安全通道依賴(lài)于底層運(yùn)行環(huán)境，它可以保護(hù)應(yīng)用程序通信每當(dāng)應(yīng)用程序處理TOE的敏感數(shù)據(jù)時(shí)，運(yùn)行環(huán)境必須始終保護(hù)數(shù)據(jù)的機(jī)密性和完整性（O.DATA-CONFIDENTIALITY）。出于同樣的原因，Java卡平臺(tái)安全體系結(jié)構(gòu)必須可以應(yīng)對(duì)側(cè)信道表1威脅和安全目標(biāo)——覆蓋范圍O.eUICC-DOMAIN-RIGHTS,OE.SM-O.eUICC-DOMAIN-RIGHTS,OOE.RE.SECURE-COMM,OE.OE.SM-DPplus,OE.RE.SECURE-O.eUICC-DOMAIN-RIGHTS,OOE.CI,O.INTERNAL-SECURE-C表表2安全目標(biāo)和威脅——覆蓋范圍OE.RE.API,OE.RE.CODEO.INTERNAL-SECURE-CH表3OSP表3OSP和安全目標(biāo)——覆蓋范圍表4安全目標(biāo)和OSP——覆蓋范圍O.INTERNAL-SECURE-CH表5假設(shè)和操作環(huán)境安全目標(biāo)——覆蓋表5假設(shè)和操作環(huán)境安全目標(biāo)——覆蓋范圍OE.CI,OE.SM-DPplus,表6操作環(huán)境安全目標(biāo)和假設(shè)——覆蓋證證明）。該族描述了TOE證明所聲稱(chēng)身份的功能要求，并允許外部實(shí)體進(jìn)行身份驗(yàn)證。類(lèi)FIA的其段落采用了CC第2部分的風(fēng)格，從TOE的角度定義了族FIA_API。該族定義了TOE提供的證明其身份、并由TOEIT環(huán)境中的外部實(shí)體進(jìn)行驗(yàn)證的功能。FPT_EMS族屬于FPT類(lèi)，因?yàn)樗荰SF保護(hù)的類(lèi)。FPT類(lèi)中選擇操作用來(lái)選擇CC提供的一個(gè)或多個(gè)選項(xiàng)來(lái)說(shuō)明要求。由PP作者做出的選擇表示為帶下劃線賦值操作用來(lái)將特定值分配給未指定的參數(shù)，例如口令的長(zhǎng)度。由PP作者作出的賦值通過(guò)用粗體當(dāng)需要重復(fù)操作同一組件時(shí)，使用迭代操作。迭代通過(guò)斜杠“/”和組件標(biāo)識(shí)符之后的迭代指示符圖圖4安全通道協(xié)議信息流控制SFP圖5平臺(tái)服務(wù)信息流控制SFP圖6ISD-R訪問(wèn)控制SFP圖7ISD-P內(nèi)容訪問(wèn)控制SFP圖8ECASD訪問(wèn)控制SFP表7安全屬性定義AIDPPR（PPR1）'不允許禁用此配置文件'（PPR2）'不允許刪除此配置文件'D.PROFILE_POLICY_RUL義TOE用于驗(yàn)證用戶(hù)的U.SM-DPpluCI根公鑰在身份管理數(shù)據(jù)l通過(guò)SM-DP+OID識(shí)別遠(yuǎn)程用戶(hù)U.SM-DPplusU.MNO-SD未經(jīng)TOE認(rèn)證。它是在U.SM-DPplus下載和安裝Profile過(guò)程中在U.MNO-SD代表U.MNO-OTA操作，因此需要UFIA_UID.1.2/EXTFIA_UID.1.2/EXT在允許代表該用戶(hù)執(zhí)行任何其他TFIA_UAU.1.2/EXT在允許代表該用戶(hù)lNISTP-256，在數(shù)字簽名標(biāo)準(zhǔn)中定義（由NISFIA_USB.1.2/EXTTSF應(yīng)對(duì)用FIA_USB.1.3/EXTTSF應(yīng)執(zhí)行以下規(guī)則，管理與代表用戶(hù)操作的主體相關(guān)的用戶(hù)安全屬性的更lD.MNO_KEYS密鑰集的初始關(guān)聯(lián)由ES8+.ConfigureISDP命令執(zhí)行。FIA_UID.1.2/MNO-SD在允許代表該用戶(hù)進(jìn)行任何其他TFIA_USB.1.1/MNO-SDTSF應(yīng)將以下用戶(hù)安全屬性與代表該用戶(hù)的主體相關(guān)聯(lián)：UFIA_USB.1.2/MNO-SDTSF應(yīng)對(duì)用戶(hù)安全屬性與代表用戶(hù)的主體的初始關(guān)聯(lián)強(qiáng)制執(zhí)行以下規(guī)則：FIA_USB.1.3/MNO-SDTSF應(yīng)強(qiáng)制執(zhí)行以下規(guī)則，以管理與代表用戶(hù)操作的主體相關(guān)聯(lián)的該要求包描述了TSF如何保護(hù)與外部用戶(hù)的通信。TSF應(yīng)強(qiáng)制執(zhí)行安全通道（FTP_ITC.1/SCP和FTSF必須使用加密方法來(lái)強(qiáng)制執(zhí)行此保護(hù)，并安全地管理相關(guān)的密lD.SECRETS的生成和刪除（FCS_FDP_IFF.1.2/SCP如果遵守以下規(guī)則，TSF應(yīng)允許通過(guò)受FTP_ITC.1/SCPTSF間可信信道FTP_ITC.1.1/SCPTSF應(yīng)在其自身與另一個(gè)可信的IT產(chǎn)品之間提供一個(gè)通信通lSM-DP+的安全通道必須是SCP-SGP22安全通道。根據(jù)GlobalPla規(guī)范修正案F使用AES和GSMASGP.22規(guī)范第2.6和5.5章中定義的參數(shù)來(lái)解決端點(diǎn)的識(shí)別問(wèn)FDP_ITC.2.2/SCPTSF應(yīng)使用與導(dǎo)入的用戶(hù)數(shù)據(jù)關(guān)聯(lián)的安全屬性。FDP_ITC.2.3/SCPTSF應(yīng)確保所使用的協(xié)議提供安全屬性與接收的用戶(hù)數(shù)據(jù)之間的明確關(guān)聯(lián)。FDP_ITC.2.4/SCPTSF應(yīng)確保對(duì)導(dǎo)入的用戶(hù)數(shù)據(jù)的安全屬性的解釋符合用戶(hù)數(shù)據(jù)源的預(yù)期。FPT_TDC.1/SCPTSF間基本FPT_TDC.1.1/SCPFPT_TDC.1.1/SCPTSF應(yīng)對(duì)下述內(nèi)容提供一致下面列出了與SFRFPT_TDC.1/SCP，F(xiàn)DP_IFC.1/SCP，F(xiàn)DP_IFF.1/SCP相關(guān)的命令以及與此SFRFDP_UIT.1.2/SCPTSF應(yīng)能夠在收到用戶(hù)數(shù)據(jù)指定的加密密鑰大小256生成加密密鑰，l使用U.SM-DPplus公鑰otPK.DP.ECKA通過(guò)ES8+.InitialiseSecureChannel命令生成的用于此密鑰協(xié)議的橢圓曲線可由底層平臺(tái)提供。因此，該標(biāo)準(zhǔn)不包括相應(yīng)的FCS_COP.1SFR。STlNISTP-256（FIPSPUB186-3數(shù)字簽名標(biāo)準(zhǔn)）;lbrainpoolP256r1（BSITR-03111，版應(yīng)用說(shuō)明：此SFR與以下密鑰的銷(xiāo)毀有關(guān)：lD.MNO_KEYS。lS.ISD-R可以執(zhí)行ECASD功能并從這些功能獲取輸出數(shù)據(jù)的規(guī)則（FDP_ACC.1/EFDP_ACC.1.1/ISDRTSF應(yīng)對(duì)FDP_ACC.1.1/ECASDTSF應(yīng)對(duì)FDP_ACF.1.2/ECASDTSF應(yīng)執(zhí)行以下規(guī)則n使用CI公鑰（PK.CI.ECDSA）驗(yàn)證由ISD-R提供的證書(shū)CERT.DPauth.ECDSA，此要求包描述了適用于Profile策略使能器、ProfFDP_IFC.1/Platform_servFDP_IFC.1.1/Platform_servFDP_IFF.1.1/Platform_servicesFPT_FLS.1/Platform_serFPT_FLS.1.1/Platform_services發(fā)生以下類(lèi)型的故障時(shí)，TSF應(yīng)保持安全狀態(tài)：FDP_SDI.1.1TSF應(yīng)根據(jù)以下屬性監(jiān)視所有對(duì)象存儲(chǔ)在由TSF控制的容器中的給給FMT_MSA.1.1/CERT_KEYSTSF應(yīng)強(qiáng)制執(zhí)行安全通道協(xié)議信息流SFP，ISD-R訪問(wèn)控制SFP和給FMT_SMR.1.2TSF應(yīng)能夠?qū)⒂脩?hù)給FMT_MSA.3.2TSF不允許任何參與者指定備用初始值，以在創(chuàng)建對(duì)象或TSF必須在MNO網(wǎng)絡(luò)上實(shí)施加密機(jī)制（FCS_COP.1/Mobile_network）并安全地管理密鑰FCS_CKM.2/Mobile_netFCS_CKM.4/Mobile_netADV_ARC.1.2D開(kāi)發(fā)者應(yīng)設(shè)計(jì)并實(shí)現(xiàn)TSF，以防止不可ADV_ARC.1.1C安全架構(gòu)描述的詳細(xì)程度應(yīng)與TOE設(shè)計(jì)文檔中描述的SFR-執(zhí)行的抽象描述相當(dāng)。ADV_ARC.1.2C安全架構(gòu)描述應(yīng)描述由TSF維護(hù)的與SFR一致的安全域。ADV_ARC.1.3C安全架構(gòu)描述應(yīng)描述TSF初始化過(guò)程為何ADV_ARC.1.4C安全架構(gòu)描述應(yīng)證明TSF可保護(hù)自己免受篡改。ADV_ARC.1.5C安全架構(gòu)描述應(yīng)證明TSF可防止SFR-執(zhí)行功能被繞過(guò)。ADV_ARC.1.1E評(píng)估者應(yīng)確認(rèn)所提供的信息符合證據(jù)的內(nèi)容和形式要求。ADV_FSP.4.3C功能規(guī)范應(yīng)識(shí)別和描述每個(gè)與TSFI相關(guān)的所有參數(shù)。ADV_FSP.4.1E評(píng)估者應(yīng)確認(rèn)所提ADV_IMP.1.1C實(shí)現(xiàn)表示應(yīng)按詳細(xì)級(jí)別ADV_IMP.1.3CTOE設(shè)計(jì)描述與實(shí)施表示實(shí)例之間的映射應(yīng)證明它們的一致性。ADV_TDS.3.2D開(kāi)發(fā)者應(yīng)提供從功能規(guī)范的ADV_TDS.3.2C設(shè)計(jì)應(yīng)根據(jù)模塊描ADV_TDS.3.7C設(shè)計(jì)應(yīng)描述每個(gè)SFR-執(zhí)行模塊，包括其目的和與ADV_TDS.3.10C映射關(guān)系應(yīng)論證TOE設(shè)計(jì)中描述的所有行ADV_TDS.3.1E評(píng)估者應(yīng)確認(rèn)所提供的信息符合證據(jù)的內(nèi)容和形式要求。ADV_TDS.3.2E評(píng)估者應(yīng)確定該設(shè)計(jì)是所有安全功AGD_OPE.1.1C操作用戶(hù)指南應(yīng)對(duì)每個(gè)用戶(hù)角色描述應(yīng)在安全處理環(huán)境中控制的用戶(hù)可訪問(wèn)的功能和AGD_OPE.1.2C操作用戶(hù)指南應(yīng)為每個(gè)用戶(hù)角色描述如何以安全的方式使用TOE提AGD_OPE.1.3C操作用戶(hù)指南應(yīng)為每個(gè)用戶(hù)角色描述可用的功能和接口，特別是用戶(hù)控制下的所有安AGD_OPE.1.4C對(duì)于每個(gè)用戶(hù)角色，操作用戶(hù)指南應(yīng)清楚地說(shuō)明與需要執(zhí)行的用戶(hù)可訪問(wèn)功能相關(guān)的AGD_OPE.1.5C操作用戶(hù)指南應(yīng)標(biāo)識(shí)TOE運(yùn)行的所有可能狀態(tài)（包括操作導(dǎo)致的失敗或者操作性錯(cuò)AGD_OPE.1.6C對(duì)于每個(gè)用戶(hù)角色，操作用戶(hù)指南應(yīng)描述AGD_OPE.1.7CAGD_OPE.1.7C操作用戶(hù)指南應(yīng)清晰合理。AGD_OPE.1.1E評(píng)估者應(yīng)確認(rèn)所提供的信息符合證據(jù)的內(nèi)容和形式要求。AGD_PRE.1.1C準(zhǔn)備程序應(yīng)描述與開(kāi)發(fā)者交付程序相一致的安全接受所交付的TOE所需的所有步驟。AGD_PRE.1.1E評(píng)估者應(yīng)確認(rèn)所提供的信息符合證據(jù)的內(nèi)容和形式要求。AGD_PRE.1.2E評(píng)估者應(yīng)運(yùn)用準(zhǔn)備程序確認(rèn)TOE運(yùn)ALC_CMC.4.3D開(kāi)發(fā)者應(yīng)使用CM系統(tǒng)。ALC_CMC.4.1C應(yīng)給TOEALC_CMC.4.2CCM文檔應(yīng)描述用ALC_CMC.4.4CCM系統(tǒng)應(yīng)提供自動(dòng)化措施，以便僅對(duì)配置項(xiàng)進(jìn)行授權(quán)更改。ALC_CMC.4.9C證據(jù)應(yīng)證明所有配置項(xiàng)都在CALC_CMC.4.10C證據(jù)應(yīng)證明CM系統(tǒng)正在ALC_CMC.4.1E評(píng)估者應(yīng)確認(rèn)所提供的信息符合證據(jù)的內(nèi)容和形式要求。ALC_CMS.4.3C對(duì)于每個(gè)TSF相關(guān)的配置項(xiàng)，配ALC_CMS.4.1E評(píng)估者應(yīng)確認(rèn)所提供的信息符合證據(jù)的內(nèi)容和形式要求。ALC_DEL.1.1D開(kāi)發(fā)者應(yīng)將把TOE或其部分交付給消費(fèi)者ALC_DEL.1.1E評(píng)估者應(yīng)確認(rèn)所提供的信息符合證據(jù)的內(nèi)容和形式要求。ALC_DVS.2.1D開(kāi)發(fā)者應(yīng)提供開(kāi)發(fā)安全文檔。所必需的所有物理的、程序的、人員的及其它方面的安全ALC_DVS.2.1E評(píng)估者應(yīng)確認(rèn)所提供的信息符合證據(jù)的內(nèi)容和形式要求。ALC_DVS.2.2E評(píng)估者應(yīng)確認(rèn)安全措施正在被使用。ALC_LCD.1.2D開(kāi)發(fā)人員應(yīng)提供生命周期定義文檔。ALC_LCD.1.1E評(píng)估者應(yīng)確認(rèn)所提供的信息符合證據(jù)的內(nèi)容和形式要求。ASE_CCL.1.1DASE_CCL.1.1D開(kāi)發(fā)者應(yīng)提供符合性聲明。ASE_CCL.1.2D開(kāi)發(fā)者應(yīng)提供符合性聲明的基本原理。ASE_CCL.1.2CCC符合性聲明應(yīng)描述ST與CC第2部分的符合性ASE_CCL.1.5C符合性聲明應(yīng)標(biāo)識(shí)ST聲稱(chēng)符ASE_CCL.1.6C符合性聲明應(yīng)描述ST與包的任何符合性，包括ASE_CCL.1.7C符合性聲明的基本原理應(yīng)證明TOE類(lèi)型與聲明符合的PP中的TOE類(lèi)型一致。ASE_CCL.1.8C符合性聲明的基本原理應(yīng)證明安全問(wèn)題定義的陳述與聲明符合的PP中的安全問(wèn)題定ASE_CCL.1.10C符合性聲明的基本原理應(yīng)證明安全要求陳述與聲明符合的PP中的安全要求陳述一ASE_CCL.1.1E評(píng)估者應(yīng)確認(rèn)所提供的信息符合證據(jù)的內(nèi)容和形式要求。ASE_ECD.1.1D開(kāi)發(fā)者應(yīng)提供安全要求的陳述。ASE_ECD.1.2D開(kāi)發(fā)者應(yīng)提供擴(kuò)展組件的定義。ASE_ECD.1.1C安全要求陳述應(yīng)標(biāo)識(shí)所有擴(kuò)展的安全要求。ASE_ECD.1.2C擴(kuò)展組件定義應(yīng)為每一個(gè)擴(kuò)展的安全要求定義一個(gè)擴(kuò)展的組件。ASE_ECD.1.3C擴(kuò)展組件定義應(yīng)描述每個(gè)擴(kuò)展的組件與已有組件、族和類(lèi)的關(guān)聯(lián)性。ASE_ECD.1.4C擴(kuò)展組件定義應(yīng)使用已有的組件、族、類(lèi)和方法學(xué)作為陳述的模型。ASE_ECD.1.5C擴(kuò)展組件應(yīng)由可測(cè)量的和客觀的元素組成，以便于證實(shí)這些元素之間的符合性或不ASE_ECD.1.1E評(píng)估者應(yīng)確認(rèn)所提供的信息符合證據(jù)的內(nèi)容和形式要求。ASE_ECD.1.2E評(píng)估者應(yīng)確認(rèn)擴(kuò)展組件不能利用已經(jīng)存在的組件明確的表達(dá)。ASE_INT.1.1E評(píng)估者應(yīng)確認(rèn)所提供的信息符ASE_INT.1.2E評(píng)估者應(yīng)確認(rèn)TOE參考，TOE概述和TOE描述是否相互一致。ASE_OBJ.2.1DASE_OBJ.2.1D開(kāi)發(fā)者應(yīng)提供安全目的陳述。ASE_OBJ.2.2D開(kāi)發(fā)者應(yīng)提供安全目的基本原理。ASE_OBJ.2.2C安全目的基本原理應(yīng)ASE_OBJ.2.3C安全目的基本原理應(yīng)追溯到運(yùn)行環(huán)境的每一個(gè)安全目的，以便能追溯到安全目的所對(duì)ASE_OBJ.2.4C安全目的基本原理應(yīng)證明安全目的可抵御所有威脅。ASE_OBJ.2.5C安全目的基本原理應(yīng)證明安全目的執(zhí)行所有ASE_OBJ.2.6C安全目的基本原理應(yīng)證明運(yùn)行環(huán)境ASE_OBJ.2.1E評(píng)估者應(yīng)確認(rèn)所提供的信息符合證據(jù)的內(nèi)容和形式要求。ASE_REQ.2.1D開(kāi)發(fā)者應(yīng)提供安全要求的陳述。ASE_REQ.2.3C安全要求的陳述應(yīng)標(biāo)識(shí)ASE_REQ.2.5C應(yīng)滿足安全要求間的依賴(lài)關(guān)系，或者安全要求的基本原理應(yīng)論證不需要滿足某個(gè)依賴(lài)ASE_REQ.2.9C安全要求的陳述應(yīng)是內(nèi)在一致的。ASE_REQ.2.1E評(píng)估者應(yīng)確認(rèn)所提供的信息符合證據(jù)的內(nèi)容和形式要求。ASE_SPD.1.1C安全問(wèn)題定義應(yīng)描述威脅。ASE_SPD.1.4C安全問(wèn)題定義應(yīng)描述TOE運(yùn)行ASE_SPD.1.1E評(píng)估者應(yīng)確認(rèn)所提供的信息符合證據(jù)的內(nèi)容和形式要求。ASE_TSS.1.1E評(píng)估者應(yīng)確認(rèn)所提供的信息符合證據(jù)的內(nèi)容和形式要求。ATE_COV.2.1C測(cè)試覆蓋分析應(yīng)證明測(cè)試文檔中的測(cè)試與功能規(guī)范中的TSFI之間的對(duì)應(yīng)關(guān)系。ATE_DPT.2.2C測(cè)試深度分析應(yīng)證明TOE設(shè)計(jì)中的所有TSF子系統(tǒng)都已ATE_DPT.2.3C測(cè)試深度分析應(yīng)證明TOE設(shè)計(jì)中的SFR-執(zhí)行模ATE_FUN.1.2C測(cè)試計(jì)劃應(yīng)標(biāo)識(shí)要執(zhí)行的測(cè)試并描述執(zhí)行每個(gè)測(cè)試的方案，這些方案應(yīng)包括對(duì)于其它ATE_FUN.1.3C預(yù)期的測(cè)試結(jié)果應(yīng)指ATE_FUN.1.4C實(shí)際的測(cè)試ATE_FUN.1.1E評(píng)估者應(yīng)確認(rèn)所提供的信息符ATE_IND.2.1E評(píng)估者應(yīng)確認(rèn)所提供的信息過(guò)程中使用指導(dǎo)性文檔、功能規(guī)范、TOE設(shè)計(jì)、安全結(jié)FTP_ITC.1/SCP為授權(quán)用戶(hù)提供相應(yīng)的安全通道.儲(chǔ)或傳輸?shù)拿孛軘?shù)據(jù)。尤其包括在ECASD和ISD-R/ISD-P之間傳輸?shù)墓蚕砻孛堋DP_SDI.1確保共享秘密在傳輸期間不被修改。O.PROOF_OF_IDENTITYO.PROOF_OF_IDENTITY此目的由擴(kuò)展要求FIA_AP原子性由FPT_FLS.1/PlatformO.DATA-CONFIDENTIALITYFDP_UCT.1/SCP處理來(lái)自卡外參與者的數(shù)據(jù)接收，而訪問(wèn)控制SFR FPT_EMS.1確保了在側(cè)信道攻擊的情況下，不應(yīng)泄露在信框架中存在的加密算法，以及相關(guān)密鑰的分FDP_SDI.1指定了進(jìn)行監(jiān)視的Pro表8安全目標(biāo)和SFR——覆蓋范圍FMT_MSA.1/PLATFORM_DATA,FMT_MSA.1/PFMT_MSA.1/RAT,FCS_RNG.1,FPTFDP_ACC.1/ISDR,FDP_ACF.1/IFDP_ACC.1/ECASD,FDP_ACF.1/FDP_ACC.1/ISDR,FDP_ACF.1/IFDP_ACC.1/ECASD,FDP_ACF.1/EFTP_ITC.1/SCP,FCS_FTP_ITC.1/SCP,FPT_TDC.1/SCP,FDP_UCT.FDP_UIT.1/SCP,FDP_ITC.2/SCFCS_CKM.1/SCP-SM,FCS_CKM.2/SCP-MNO,FIA_UID.1/EXT,FIA_UAU.4/EXT,FIA_ATFMT_MSA.1/CERT_KEYS,FMT_MSAFDP_IFC.1/SCP,FDP_IFF.1/SCP,FIA_UID.1/MNO-SFCS_CKM.4/SCP-SM,FCS_CKM.4/SCP-MNO,FIA_USB.1/MNO-SD,FIA_USB.1/EXT,FMT_FMT_SMR.1,FIA_UAU.1ANNELSFDP_RIP.1,FDP_SDI.1,FPT_EMFPT_FLS.1/Platform_servFDP_IFC.1/Platform_servFDP_IFF.1/Platform_servFPT_FLS.1/Platform_services,FMT_SMR.FDP_RIP.1,FDP_UCT.1/SCP,FDP_ACC.1/FDP_ACC.1/ECASD,FCS_COP.1/Mobile_neFCS_CKM.4/Mobile_netFCS_CKM.2/Mobile_network,FPT_EMSFDP_UIT.1/SCP,FDP_ACC.1/IFDP_ACC.1/ECASD,FDP_FCS_COP.1/Mobile_netwFCS_CKM.4/Mobile_netFCS_CKM.2/Mobile_net表9SFR和安全目標(biāo)O.SECURE-CHANNELS,O.DATA-INFDP_ACC.1/ISDRO.PPE-PPI,O.eUICC-DOMAIN-RIO.PPE-PPI,O.eUICC-DOMAIN-RO.PPE-PPI,O.eUICC-DOMAIN-RIO.PPE-PPI,O.eUICC-DOMAIN-RFDP_IFC.1/Platform_serFDP_IFF.1/Platform_serFPT_FLS.1/Platform_servO.PPE-PPI,O.eUICC-DOMAIN-RFMT_MSA.1/PLATFORM_FCS_COP.1/Mobile_networkO.DATA-CONFIDENTIALITY,O.ALGFCS_CKM.2/Mobile_netO.DATA-CONFIDENTIALITY,O.ALGFCS_CKM.4/Mobile_netO.DATA-CONFIDENTIALITY,O.ALG表10SFR依賴(lài)關(guān)系FDP_IFC.1/SCP,FMT_MSFDP_IFC.1/SCP,FTP_ITC.1/FDP_IFC.1/SCP,FTP_ITC.1/FDP_IFC.1/SCP,FTP_ITC.FDP_ACC.1/ISDRFDP_ACC.1/ISDR,FMT_MSFDP_IFC.1/Platform_serFDP_IFF.1/Platform_serFDP_IFF.1/Platform_serFDP_IFC.1/Platform_servFPT_FLS.1/Platform_servFMT_MSA.1/PLATFORM_FDP_ACC.1/ISDR,FMTFDP_ACC.1/ISDR,FMTFDP_ACC.1/ISDR,FMTFDP_ACC.1/ISDR,FMT(FMT_MSA.1)和FMT_MSA.1/PLATFORM_DFMT_SMR.1,FMT_MSA.1/表11SAR依賴(lài)關(guān)系FCS_COP.1/Mobile_networkFCS_CKM.4/Mobile_netFCS_CKM.2/Mobile_netFCS_CKM.4/Mobile_net(ADV_FSP.1)and(ADADV_FSP.4,ADV_TDS.3ADV_FSP.4ADV_TDS.3ADV_IMP.1ADV_TDS.3ADV_FSP.4AGD_OPE.1ADV_FSP.4AGD_PRE.1ALC_DVS.2ADV_IMP.1ASE_ECD.1,ASE_INT.ASE_REQ.2ASE_ECD.1ASE_INT.1ASE_OBJ.2ASE_REQ.2ASE_ECD.1,ASE_OBJ.2ASE_TSS.1ADV_FSP.4,ASE_INT.ASE_REQ.2ADV_FSP.4,ATE_FUN.1ATE_DPT.1ADV_ARC.1,ADV_TDS.3,ATE_FUN.1ATE_FUN.1ATE_IND.2ADV_FSP.4,AGD_OPE.1,ATE_FUN.1AVA_VAN.5AGD_OPE.1,AGD_PRE.ATE_DPT.1為了提供有意義的保障，TOE及其嵌入產(chǎn)品可以提供足夠的防御來(lái)抵御此類(lèi)攻擊：評(píng)估者應(yīng)該可以訪問(wèn)底層設(shè)計(jì)和源代碼。需要此類(lèi)訪問(wèn)權(quán)限的最充分性，以保護(hù)其機(jī)密性和完整性。ALC_DVS.2沒(méi)有依賴(lài)關(guān)系。圖圖9TOE范圍提供LPDe（本地Profile下載），LDSLPAe可以使用eUICC規(guī)則授權(quán)表（RAT）來(lái)確定是否授權(quán)在eUICC上安裝包含Profile策略規(guī)則LPAe軟件單元在eUICC生命周期的C階段添加資產(chǎn)是TOE直接保護(hù)的與安全相關(guān)的元素請(qǐng)注意，雖然底層運(yùn)行環(huán)境中列出的資產(chǎn)未包含在此部分中，但S用戶(hù)數(shù)據(jù)D.LPAe_PROFILE_USER_COD.LPAe_PROFILE_USER_COD.LPAe_PROFILE_DISPLAYED_METAD在執(zhí)行Profile管理操作時(shí)，本地用戶(hù)界面（LUIe）向最終用戶(hù)顯示、用于請(qǐng)持更新證書(shū)撤銷(xiāo)列表（CRL由eUICC提供給LPAe。此資產(chǎn)包含LPAe用于執(zhí)行平臺(tái)管理功能的密鑰（對(duì)應(yīng)于基本要求中的資產(chǎn)D.SECRETSl依托接口ES9+的LPDe到SM-DP+的TLS用戶(hù)主體未經(jīng)授權(quán)的平臺(tái)管理T.PLATFORM-MNG-INTERCEPTIOT.PLATFORM-MNG-INTERCEPTIONT.UNAUTHORIZED-PLATFORM-MNGT.PROFILE-MNG-ELIGIBILI注意：攻擊者可能是卡上的應(yīng)用程序攔截到安全域的其他這種威脅包括環(huán)境壓力，IC故障分析，電子探針，意外拆解和側(cè)信道。這還包括通9.2.4假設(shè)A.ACTORS-LPAe平臺(tái)支持的功能該保護(hù)機(jī)制應(yīng)依賴(lài)于運(yùn)行環(huán)境和PPE/PPI提供的通信保護(hù)措施（參見(jiàn)O.PPE-PPI）。O.INTERNAL-SECURE-CHANN數(shù)據(jù)保護(hù)O.DATA-CONFIDENTIALTOE應(yīng)避免未經(jīng)授權(quán)泄露作為密鑰集D.LPAe_KEYS一9.3.2運(yùn)行環(huán)境的安全目標(biāo)參與者9.3.3安全目標(biāo)基本原理威脅T.PLATFORM-MNG-INTERCEPTIO輸?shù)絃PAe（O.SECURE-CHANNOE.SM-DP+確保在由卡外參與者使用時(shí)不會(huì)泄露與安全通道相關(guān)T.PLATFORM-MNG-INTERCEPTIONOE.SM-DS確保在由卡外參與者使用時(shí)不會(huì)泄露與安全通道相關(guān)的T.UNAUTHORIZED-PLATFORM-MNG卡上訪問(wèn)控制策略依賴(lài)于底層運(yùn)行環(huán)境，該環(huán)境確保應(yīng)用程序數(shù)據(jù)的機(jī)密性和完整性為了確保應(yīng)用程序防火墻的安全運(yùn)行，操作環(huán)境的以下目T.PROFILE-MNG-ELIGIBILIl通過(guò)保護(hù)傳輸免受未經(jīng)授權(quán)的泄露、修改和重放，保護(hù)LPAe和TOE的其他安全域（O.INTERNAL-SECURE-CHANNELS-LPAe）之間的傳輸安全性；這些安全通道依賴(lài)于底層OE.SM-DPplus確保在由卡外參與每當(dāng)LPAe處理TOE的敏感數(shù)據(jù)時(shí)，運(yùn)行環(huán)境必須始終保護(hù)敏感數(shù)據(jù)的機(jī)密性和完整性（OE.RE.DATA-CONFIDENTIALITY，OE.RE.DATA-INTEGRITY）。但是，這些敏感數(shù)據(jù)也由TOE））l平臺(tái)層必須保護(hù)其處理的敏感數(shù)據(jù)的機(jī)密性和完整性，而應(yīng)用程序必須使用運(yùn)行環(huán)境提供的），這種威脅主要受到依賴(lài)于基礎(chǔ)平臺(tái)的物理保護(hù)的抵制，因此是一個(gè)環(huán)安全目標(biāo)OE.IC.SUPPORT和OE.IC.RECOVERY保護(hù)平臺(tái)的敏感資產(chǎn)免受假設(shè)A.ACTORS-LPAe這一假設(shè)通過(guò)目標(biāo)OE.SM-DS支持，它確?；A(chǔ)設(shè)施的這個(gè)參與者正確管理表12威脅和安全目標(biāo)——覆蓋范圍T.PLATFORM-MNG-OE.RE.SECURE-COMM,OE.SM-DPpO.INTERNAL-SECURE-CHANNET.PLATFORM-MNG-OE.RE.SECURE-COMM,OE.SO.INTERNAL-SECURE-CHANNET.UNAUTHORIZED-OE.APPLICATIONS,OE.RE.DATA-CONFIDENTIAT.PROFILE-MNG-O.INTERNAL-SECURE-CHANNELO.DATA-INTEGRITY-LPAe,OE.SM-O.OPERATE,O.API,OE.RE.API,OE.RE.CODOE.APPLICATIONS,O.DATA-CONFIDENTIALITY-O.DATA-INTEGRITY-LPAe,OE.IC.SO.DATA-CONFIDENTIALITY-LPAe,OE.IC.SUOE.IC.RECOVERY,OE.RE.DATA-CONFID表13安全目標(biāo)和威脅——覆蓋范圍T.PLATFORM-MNG-INTERCEPTION-LT.PLATFORM-MNG-INTERCEPTIO.INTERNAL-SECURE-CHANNET.PLATFORM-MNG-INTERCEPTION-LT.PLATFORM-MNG-INTERCEPTIONT.PROFILE-MNG-ELIGIBILITYO.DATA-CONFIDENTIALITT.PROFILE-MNG-ELIGIBILITY-T.PLATFORM-MNG-INTERCEPTION-LT.PROFILE-MNG-ELIGIBILITYT.PLATFORM-MNG-INTERCEPTION-LT.PLATFORM-MNG-INTERCEPTIONT.PROFILE-MNG-ELIGIBILITYT.UNAUTHORIZED-PLATFORM-MNG-LT.UNAUTHORIZED-PLATFORM-MNG-LT.PROFILE-MNG-ELIGIBILITY-T.UNAUTHORIZED-PLATFORM-MNG-LT.PLATFORM-MNG-INTERCEPTI表14假設(shè)和運(yùn)行環(huán)境安全目標(biāo)——覆蓋范圍A.ACTORS-LPAe表15運(yùn)行環(huán)境安全目標(biāo)和假設(shè)——覆蓋范圍A.ACTORS-LPAe選擇操作用來(lái)選擇CC提供的一個(gè)或多個(gè)選項(xiàng)來(lái)說(shuō)明要求。由PP作者做出的選擇表示為帶下劃線賦值操作用來(lái)將特定值分配給未指定的參數(shù)，例如口令當(dāng)需要重復(fù)操作同一組件時(shí)，使用迭代操作。迭代通過(guò)斜杠“/”和組件標(biāo)識(shí)符