《信息安全技术 具有中央处理器的IC卡芯片安全技术要求》编制说明

一、任务来源

《信息安全技术具有中央处理器的集成电路（IC）卡芯片安全技术要求（评估保

证级4增强级）》于2008年成为国家标准，标准号为GB/T22186-2008。但随着技术的

发展，已有4年历史的GB/T22186-2008在时效性、易用性、可操作性上还需提高。鉴

于此，2012年，中国信息安全测评中心联合北京多思科技工业园股份有限公司、清华大

学向信安标委申请对GB/T22186进行修订。

根据国家标准化管理委员会2012年下达的国家标准制修订计划，国家标准《信息

安全技术具有中央处理器的集成电路（IC）卡芯片安全技术要求（评估保证级4增强

级）》修订任务由中国信息安全测评中心负责主办，标准计划号为XXXXXXXXXX（全国信

息安全标准化技术委员会2012年信息安全专项）。

二、编制原则

此标准将考虑智能卡芯片应用的各个安全方面，包括设计，使用、维护等环节，在

数据保护，访问控制，鉴别认证、安全管理、传输安全、密码使用等方面制定相关要求，

以确保产品的机密性、完整性和可用性，使该标准可以用于指导芯片产品的研制、开发、

测试、评估及采购。

编制过程中本着“规范、合理、系统、适用”的原则，注重先进性、规范性、实用

性，也兼顾了与我国现有政策、法规与标准的执行范围。

该标准具有很好的时效性、连贯性、易于理解与操作的特点，将在产品的开发、测

评和应用方面建立起内在一致的交互平台，并作为指导产品研发与测评的基准。实现行

业内各项目、地区之间安全标准的统一，规范国内智能卡芯片应用市场，确保产品有严

格的、可控制的、规范的安全特性，提升我国智能卡芯片产品应用的总体安全水平。

三、主要工作过程

1）2012年12月成立了《信息安全技术具有中央处理器的集成电路（IC）卡芯片

安全技术要求（评估保证级4增强级）》标准编制组。

2）2013年1月至7月，标准编制组调研了国际上针对芯片的测评情况，充分借鉴

了国外的成功经验，并结合国内的实际情况，修订出标准草案第一稿。

3）2013年8月8日，安标委WG5工作组专家对标准进行了评审。会后，标准编制

组按照专家提出的修改建议，对草案进行了修改，形成了标准草案第二稿。

3）2013年10月10日，参加安标委WG5工作组专家评审会，《信息安全技术具有

中央处理器的集成电路（IC）卡芯片安全技术要求（评估保证级4增强级）》草案通过

了评审，并将标准名称改为《信息安全技术具有中央处理器的集成电路（IC）卡芯片

安全技术要求》。会后，标准编制组根据评审的专家意见对草案进行修改并再次咨询了

王立福教授，形成并提交了标准草案第三稿。

4）2013年10月23至31日,信安标委WG5工作组组织各成员单位对标准草案进行

了投票，全体投票通过。

5）2013年11月20日，信安标委WG5工作组组织集中对标准的内容和格式进行统

一修改,并将名称改为《信息安全技术具有中央处理器的IC卡芯片安全技术要求》。

6）2013年11月21日，标准编制组根据投票意见对征求意见稿进行了修订，形成

征求意见稿。

四、标准的主要内容

GB/T22186为具有中央处理器的集成电路（IC）卡芯片类产品定义了一组与具体实

现无关的、完整的、紧密关联的最小安全要求集合；标准描述了集成电路（IC）卡芯片

使用的环境和面临的威胁；陈述相应保障级别的集成电路（IC）卡芯片应该达到的安全

目的和必须满足的安全技术要求和安全保障要求，以及它们之间的基本原理。

国家标准GB/T18336-2008是等同采用国际标准ISO/IEC15408：2005而制定的。

而ISO/IEC15408:2005核心为CCv2.3版的内容。目前，国际标准ISO/IEC15408已

更新至2009版，其核心为CCv3.1版的内容，版本升级较大，其内容也有较大变化。

国外PP的制定、产品的评估都已经依据新版本更新了相应内容。而目前国内GB/T22186

还依据较低的CC版本，一直未更新。本项目将结合目前国内外最新技术的发展情况，

来完善GB/T22186。

本标准从以下几方面描述了智能卡芯片的安全技术要求：

描述智能卡芯片的基本结构，以及TOE的边界定义。

描述智能卡芯片的安全问题，包括智能卡芯片保护的资产、智能卡芯片在其运

行环境中可能遇到的威胁、组织安全策略以及针对环境的假设。

描述智能卡芯片的安全目的，包含了智能卡芯片应达到的安全目的和其环境应

达到的安全目的。

定义了智能卡芯片必须满足的安全要求，包括智能卡芯片的信息技术安全功能

要求和安全保障要求，以及组件之间依赖关系的基本原理。

本标准主要在三个方面做了修改，具体内容如下。

7

1）安全问题定义精简

原标准在安全问题定义中共设立了4个假设、16个威胁，及4项组织安全策略，本

标准修订过程采用威胁建模领域的国际成熟方法，对原标准进行了整合和精简。

本标准对智能IC卡芯片在应用阶段面临的威胁进行了标识。该方法从访问接口和

资产出发，以系统地建立威胁模型，使攻击者从任何访问渠道都无法获得或篡改敏感信

息或TOE功能，以保护资产的安全性。根据IC卡芯片的运行环境特点，攻击者可从三

个渠道访问IC卡芯片。

（1）常规的逻辑接口，即指令交互接口；

（2）侧信道接口，主要包括功耗、电磁和时耗等侧信息的测量信道接口；

（3）电路和电气接口，主要包括芯片的供电及频率输入接口，以及硬件电路和存

储器等接口。

为了更详细地刻画威胁的含义，威胁建模过程对每个威胁都将进行分解，直至后续

分解需要引入TOE的详细设计细节，或当前分解过程已满足自证性为止。其中，对数据

泄漏和篡改威胁进行分解，可得到以下的威胁模型图。由于安全能力滥用威胁与数据泄

露威胁的建模方式类似，在此不做详细描述。

图1：数据泄漏威胁建模图

7

图2：数据篡改威胁建模图

由于对每个威胁节点进行分解时会以事件分解的完备性为原则，因而每次分解的正

确性都可以得到保证。在建模结束后，提取出所有的叶子节点，并对其进行综合处理，

就可标识出IC卡芯片面临的主要威胁，具体为：生命周期功能滥用、信息泄露、故障

利用、物理操作、以及逻辑攻击。对这些威胁的具体描述可参见标准第5章。

为了保障TOE的安全运行，TOE的开发、生产、交付和运行环境等也需要满足一定

的安全条件。为此，在组织安全策略描述了相应的规章制度、操作规程和指导性规则，

同时还以假设的形式描述了TOE的外部数据管理及嵌入式软件开发方面需要满足的其他

条件。按照上述方式，本草案共描述了6个威胁、2项组织安全策略和2个假设，因而

对原有的安全问题定义进行了简化，提高了标准的可理解性。

2）安全功能要求组件变更

为适应新的安全问题定义，标准修订时对组件进行了更新，去除了一些不适用的组

件，同时也结合实际情况添加了一部分组件。在这些新添加的组件中，FMT_LIM.1、

FMT_LIM.2和FPT_TST.2是借鉴国外成熟的案例而扩展出来的。最后形成的组件如下表

所示。

表1：安全功能要求组件

7

备注

安全功能类安全功能要求组件编号

EAL4+EAL5+EAL6+

FCS_CKM.1密钥生成1√√√

FCS类：密码支持

FCS_COP.1密码运算2√√√

FDP_ACC.1子集访问控制3√√√

FDP_ACF.1基于安全属性的访问控4√√√

制

FDP_IFC.1子集信息流控制5√√√

FDP类：用户数据保护

FDP_ITT.1基本内部传送保护6√√√

FDP_SDI.1存储数据完整性监视7○√N/A

FDP_SDI.2存储数据完整性监视和8○○√

反应

FIA_UAU.1鉴别的时机9○√√

FIA类：标识和鉴别

FIA_AFL.1鉴别失败处理10○√√

FMT_LIM.1能力受限11√√√

FMT_LIM.2可用性受限12√√√

FMT_MSA.1安全属性的管理13√√√

FMT类：安全管理FMT_MSA.3静态属性初始化14√√√

FMT_MTD.1TSF数据的管理15√√√

FMT_SMF.1管理功能规范16√√√

FMT_SMR.1安全角色17√√√

FPT_FLS.1失效即保持安全状态18√√√

FPT_ITT.1内部安全功能数据传送的19√√√

FPT类：安全功能保护基本保护

FPT_PHP.3物理攻击抵抗20√√√

FPT_TST.2子集TSF测试21○√√

FRU：资源利用FRU_FLT.2受限容错22√√√

注：√代表在该保障级下，应选择该组件；○代表在该保障级下，可选择该组件；N/A代表在该保障级下，该组

件不适用；当被评估的TOE不具备密钥生成功能时，应不选取FCS_CKM.1组件。

3）安全保障要求组件升级

由于本标准的修订是按最新的CC标准进行的，因此，此部分的内容按最新的保障

要求进行了升级更新。

但同时，与以前的版本相比，本草案在EAL4+的基础上，增加了两个保障级别EAL5+

7

和EAL6+。

对于安全保障要求组件的选取，本标准的EAL4+是在EAL4的基础上将AVA_VAN.3

增强为AVA_VAN.4；EAL5+是在EAL5的基础上将ALC_DVS.1增强为ALC_DVS.2，AVA_VAN.4

增强为AVA_VAN.5；EAL6+是在EAL6的基础上增加ALC_FLR.1。

本标准与GB/T22186—2008相比，主要变化如下：

1)第2章将标准的引用文件更新为GB/T18336的最新版本；

2)第3章对术语进行了更新描述；

3)第4章重新描述了IC卡芯片的结构，并进行了更清晰的TOE范围定义；

4)第5章对安全问题定义进行了整合和精简，共定义了6个威胁，2项组织安全策

略和2个假设；

5)第6章根据新的安全问题定义更新了对TOE安全目的的描述；

6)第7章描述了两个扩展族FMT_LIM和FPT_TST，分别用于处理对TOE的受限可用

性以及自检相关的安全功能要求，以便更合理的描述IC卡芯片的安全性；

7)第8章对安全功能要求进行了调整，以细化新的安全目的描述，明确指出了

EAL4+、EAL5+和EAL6+分别应满足的安全功能要求；并对安全保证要求进行了调

整，增加了EAL5+和EAL6+要求的保障组件；

8)第