信息安全技术 智能卡嵌入式软件安全技术要求-编制说明

7任务来源《信息安全技术智能卡嵌入式软件安全技术要求（评估保证级4增强级）》于2006年成为国家标准，标准号为GB/T20276-2006。GB/T20276-2006在我国智能卡应用安全建设中起着非常重要的作用，被广泛地应用于智能卡嵌入式软件的研发与测评中。但随着技术的发展，已有7年历史的GB/T20276-2006在时效性、易用性、可操作性上还需提高。鉴于此，2012年，中国信息安全测评中心联合北京多思科技工业园股份有限公司、天地融科技股份有限公司以及北京邮电大学向安标委申请对GB/T20276进行修订。根据国家标准化管理委员会2012年下达的国家标准制修订计划，国家标准《信息安全技术智能卡嵌入式软件安全技术要求（评估保证级4增强级）》修订任务由中国信息安全测评中心负责主办，标准计划号为XXXXXXXXXX（全国信息安全标准化技术委员会2012年信息安全专项）。编制原则此标准将考虑智能卡嵌入式软件应用的各个安全方面，包括设计，使用、维护等环节，在数据保护、访问控制、鉴别认证、安全管理、传输安全、密码使用等方面制定相关要求，以确保产品的机密性、完整性和可用性，使该标准可以用于指导智能卡嵌入式软件产品的研制、开发、测试、评估及采购。编制过程中本着“规范、合理、系统、适用”的原则，注重先进性、规范性、实用性，也兼顾了与我国现有政策、法规与标准的执行范围。该标准具有很好的时效性和连贯性，且易于理解与操作，将在产品的开发、测评和应用方面建立起内在一致的交互平台，并作为指导产品研发与测评的基准，实现行业内各项目、地区之间安全标准的统一，规范国内智能卡应用市场，确保产品有严格的、可控制的、规范的安全特性，提升我国智能卡嵌入式软件产品应用的总体安全水平。主要工作过程1）2012年12月成立了《信息安全技术智能卡嵌入式软件安全技术要求（评估保证级4增强级）》标准编制组。2）2013年1月至7月，标准编制组调研了国际上针对智能卡嵌入式软件的测评情况，充分借鉴了国外的成功经验，并结合国内的实际情况，修订出标准草案第一稿。3）2013年8月8日，安标委WG5工作组专家对标准进行了评审。会后，标准编制组按照专家提出的修改建议，对草案进行了修改，形成了标准草案第二稿。3）2013年10月10日，参加安标委WG5工作组专家评审会，《信息安全技术智能卡嵌入式软件安全技术要求（评估保证级4增强级）》草案通过了评审，并将标准名称改为《信息安全技术智能卡嵌入式软件安全技术要求》。会后，标准编制组根据评审的专家意见对草案进行修改并再次咨询了王立福教授，形成并提交了标准草案第三稿。4）2013年10月23至31日,信安标委WG5工作组组织各成员单位对标准草案进行了投票，全体投票通过。5）2013年11月20日，信安标委WG5工作组组织集中对标准的内容和格式进行统一修改。6）2013年11月21日，标准编制组根据投票意见对征求意见稿进行了修改完善。标准的主要内容GB/T20276为智能卡嵌入式软件产品定义了一组与具体实现无关的、完整的、紧密关联的最小安全要求集合；标准描述了智能卡嵌入式软件使用的环境和面临的威胁；陈述相应保证级别的智能卡嵌入式软件应该达到的安全目的和必须满足的安全技术要求和安全保证要求，以及它们之间的基本原理。国家标准GB/T18336-2001是等同采用国际标准ISO/IEC15408:1999而制定的。而ISO/IEC15408:1999核心为CCv2.3版的内容。目前，国际标准ISO/IEC15408已更新至2009版，其核心为CCv3.1版的内容，版本升级较大，其内容也有较大变化。国外PP的制定、产品的评估都已经依据新版本更新了相应内容。而目前国内GB/T20276还依据较低的CC版本，一直未更新。本项目将结合目前国内外最新技术的发展情况来完善GB/T20276。本标准从以下几方面描述了智能卡嵌入式软件的安全技术要求：描述智能卡嵌入式软件的基本结构及TOE的边界定义。描述智能卡嵌入式软件的安全问题，包括需要保护的资产、智能卡嵌入式软件在其运行环境中可能遇到的威胁、组织安全策略以及针对环境的假设。描述智能卡嵌入式软件的安全目的，包含了智能卡嵌入式软件应达到的安全目的和其环境应达到的安全目的，以及他们与安全问题的对应关系原理。定义了智能卡嵌入式软件必须满足的安全要求，包括智能卡嵌入式软件的信息技术安全功能要求和安全保证要求，以及他们与安全目的的对应关系原理，以及组件之间依赖关系的基本原理。本标准主要在三个方面做了修改，具体内容如下。1）安全问题定义精简原标准的安全问题定义共设立了7个假设、29个威胁，及6项组织安全策略。本标准修订过程采用威胁建模领域的国际成熟方法，对原标准的安全问题定义进行了整合和精简。本标准对智能卡嵌入式软件在应用阶段面临的威胁进行了标识。该方法从访问接口和资产出发，以系统地建立威胁模型，使攻击者从任何访问渠道都无法获得或篡改敏感信息或TOE功能，以保护资产的安全性。根据智能卡运行环境的特点，攻击者可从三个渠道访问智能卡嵌入式软件：（1）常规的逻辑接口：即指令交互接口；（2）侧信道接口：主要包括功耗、电磁和时耗等侧信息的测量信道接口；（3）电路和电气接口：主要包括底层芯片的供电及频率输入接口，以及硬件电路，存储器等接口。为了更详细地刻画威胁的含义，威胁建模过程对每个威胁都将进行分解，直至后续分解需要引入TOE的详细设计细节，或当前分解过程已满足自证性为止。对数据泄漏和篡改威胁进行分解，可得到以下的威胁模型图。由于安全能力滥用威胁与数据泄露威胁的建模方式类似，在此不做详细描述。数据泄漏威胁数据泄漏威胁仅使用应用阶段的接口泄露数据仅使用应用阶段的接口泄露数据滥用应用阶段之前的生命周期功能泄露数据通过操纵逻辑接口泄漏数据通过操纵逻辑接口泄漏数据泄露数据采用物理攻击手段泄露数据使用TOE的正常逻辑接口来泄露数据使用TOE的正常逻辑接口来泄露数据使用非法程序提供的接口来泄露数据采用侧信道攻击泄露数据采用故障引入攻击采用侧信道攻击泄露数据采用故障引入攻击泄露数据探测芯片电路泄露数据图1：数据泄漏威胁建模图数据篡改威胁在电路层面上篡改数据采用物理攻击篡改数据通过操纵逻辑接口篡改数据泄露数据仅使用应用阶段的接口篡改数据滥用应用阶段之前的生命周期功能篡改数据使用TOE的正常逻辑接口来篡改数据使用非法程序提供的接口来篡改数据数据篡改威胁在电路层面上篡改数据采用物理攻击篡改数据通过操纵逻辑接口篡改数据泄露数据仅使用应用阶段的接口篡改数据滥用应用阶段之前的生命周期功能篡改数据使用TOE的正常逻辑接口来篡改数据使用非法程序提供的接口来篡改数据采用故障引入攻击采用故障引入攻击篡改数据图2：数据篡改威胁建模图在上述方法中，对每个威胁节点进行分解时会以事件分解的完备性为原则，因而每次分解的正确性都可以得到保证。建模结束后，提取出所有的叶子节点，并对其进行整合处理，就可标识出智能卡嵌入式软件面临的主要威胁，具体为：生命周期功能滥用、非法程序攻击、侧信道攻击、故障引入攻击、物理攻击、以及逻辑攻击。对这些威胁的具体描述可参见标准第5章中的详细说明。为了保障TOE的安全运行，TOE的开发、生产、交付和运行环境等也需要满足一定的安全条件。为此，在组织安全策略描述了相应的规章制度、操作规程和指导性规则，同时还以假设的形式描述了TOE的运行环境方面需要满足的安全条件，包括TOE外部数据管理、与终端的通信信道、应用程序下载、以及底层芯片硬件需要满足的条件。按照上述方式，本草案共描述了6个威胁、3项组织安全策略和5个假设，因而对原有的安全问题定义进行了简化，提高了标准的可理解性。2）安全功能要求组件变更为适应新的安全问题定义，标准修订时对组件进行了更新，去除了一些不适用的组件，同时也结合实际情况添加了一部分组件。在这些新添加的组件中，FCS_RNG和FAU_SIS是借鉴国外成熟的案例而扩展出来的。最后形成的组件如表1。表1：安全功能要求组件列表组件分类安全功能要求组件序号备注EAL4+EAL5+FCS类：密码支持FCS_CKM.1密钥生成1√√FCS_CKM.4密钥销毁2√√FCS_COP.1密码运算3√√FDP类：用户数据保护FDP_ACC.1子集访问控制4√√FDP_ACF.1基于安全属性的访问控制5√√FDP_IFC.1子集信息流控制6√√FDP_ITT.1基本内部传送保护7√√FDP_RIP.1子集残余信息保护8√N/AFDP_RIP.2完全残余信息保护9N/A√FIA类：标识和鉴别FIA_AFL.1鉴别失败处理10√√FIA_ATD.1用户属性定义11√√FIA_SOS.1秘密的验证12○√FIA_UAU.1鉴别的时机13√√FIA_UAU.4一次性鉴别机制14√√FIA_UAU.5多重鉴别机制15○√FIA_UAU.6重鉴别16√√FIA_UID.1标识的时机17√√FMT类：安全管理FMT_MOF.1安全功能行为的管理18√√FMT_MSA.1安全属性的管理19√√FMT_MSA.3静态属性初始化20√√FMT_MTD.1TSF数据的管理21√√FMT_MTD.2TSF数据限值的管理22√√FMT_SMF.1管理功能规范23√√FMT_SMR.1安全角色24√√FPT类：TSF保护FPT_FLS.1失效即保持安全状态25√√FPT_ITT.1内部TSF数据传送的基本保护26√√FPT_RCV.4功能恢复27√√FPT_RPL.1重放检测28√√FPT_TST.1TSF测试29○√注：（1）√代表在该保证级下，应选择该组件。○代表在该保证级下，可选择该组件。N/A代表在该保证级下，该组件不适用。（2）当被评估的TOE不具备密钥生成功能时，应不选取FCS_CKM.1组件。3）安全保证要求组件升级由于本标准的修订是按最新的CC标准进行的，此部分的内容按最新的保证要求进行了升级更新。但同时，与以前的版本相比，本草案在EAL4+的基础上增加了保证级别EAL5+。对于安全保证要求组件的选取，本标准的EAL4+是在EAL4的基础上将AVA_VAN.3增强为AVA_VAN.4；EAL5+是在EAL5的基础上将ALC_DVS.1增强为ALC_DVS.2，并将AVA_VAN.4增强为AVA_VAN.5。本标准与GB/T20276—2006相比，主要变化如下：1）第2章将标准的引用文件更新为GB/T18336的最新版本；2）第3章对术语进行了更新描述；3）第4章重新描述了智能卡嵌入式软件的结构和应用环境，并进行了更清晰的TOE范围定义；4）第5章对安全问题定义进行了整合和精简，共定义了6个威胁，3项组织安全策略和5个假设；5）第6章根据新的安全问题定义更新了对TOE安全目的的描述；6）第7章对安全功能要求进行了调整，以细化新的安全目的描述，明确指出了EAL4+和EAL5+分别应满足的安全功能要求；并对安全保证要求进行了调整，增加了EAL5+要求的保障组件；7）第8章对新的安全问题定义与安全目的、安全目的与安全要求之间的对应关系基本原理重新进行了梳理，还分析了组件之间的依赖关系。与相关法律法规及国家有关规定、国内相关标准的关系本标准与现行法律、法规以及国家标准没有冲突与矛盾的地方。有关问题的说明项目组在标准编制过程中，经历了内部讨论与论证、专家评审等过程，项目组在工作过程中遵循编制原则，对国内外现状做了大量调研，完成了标准修订工作。在整个过程中未遇到重大意见分歧，但对专家提出的意见和建议，我们做了应答和处理，更好地完善了我们的标准编制工作。本项目是对国家推荐性标准GB/T20276-2006的修订，建议修订后的标准还是为国家推荐性标准。废止现行有