GB T 20276-2006 信息安全技术.智能卡嵌入式软件安全技术要求(EAL4增强级).pdf

《GB T 20276-2006 信息安全技术.智能卡嵌入式软件安全技术要求(EAL4增强级).pdf》由会员分享，可在线阅读，更多相关《GB T 20276-2006 信息安全技术.智能卡嵌入式软件安全技术要求(EAL4增强级).pdf（39页珍藏版）》请在麦多课文档分享上搜索。

1、ICS 35. 040 L 80 GB 中华人民共和国国家标准GB/T 20276-2006 信息安全技术智能卡嵌入式软件安全技术要求(EAL4增强级)Information security technology一Security requirements for smartcard embedded software(EAL4 +) 2006-05-31发布中华人民共和国国家质量监督检验检茂总局中国国家标准化管理委员务2006-12-01实施GB/T 20276-2006 目次IiHU-i1i1i1i1iq?ndmku民UEU句i00001i?A吐7A哇nLnLqnd 的求目要理全全原述川

2、uuuuuu安安本描UUUUUUUU件川U件理理基件uuuU软-u软原原的件u软uuuu略式的川式求本本系文式uuuuu策入目川人要基基关用义入川口川全嵌全嵌全的求赖引定嵌境安的卡安求卡安理目要依性和卡述征环产设胁织目能境要能境原全全足华人围范语能概特全资假威组全智环全智环本安安满呻范规术智安安安基j士一目中一一口1212341212123前引1234AhAt5116队队71188.o仇。队参前言本标准由全国信息安全标准化技术委员会提出并归口。本标准主要起草单位:中国信息安全产品测评认证中心。GB/T 20276-2006 本标准主要起草人:李守鹏、徐长醒、付敏、简余良、凌晨、潘莹、杨永生、祁

3、斌、黄小鹏、杨延辉、李吴、赵子渊、李永禄。I GB/T 20276-2006 引智能卡应用范围的扩大和应用环境复杂性的增加，要求智能卡嵌入式软件具有更强的保护数据能力。本标准在GB/T183362001中规定的EAL4级安全要求组件的基础上，增加了模块化组件CADV_INT) ，并且将脆弱性分析要求由可以抵御低等攻击的组件CAVA_VLA. 2)提升到可以抵御中级攻击潜力攻击的组件CAVA_VLA. 3)。本标准仅给出了智能卡嵌入式软件应满足的安全技术要求，对智能卡嵌入式软件的具体技术实现方式、方法等不做描述。11 1 范围信息安全技术智能卡嵌入式软件安全技术要求(EAL4增强级)GB/T 2

4、0276-2006 本标准规定了对EAL4增强级的智能卡嵌入式软件进行安全保护所需要的安全技术要求。本标准适用于智能卡嵌入式软件的研制、开发、测试、评估和产品的采购。2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡不注目期的引用文件，其最新版本适用于本标准。GB/T 18336.1-2001 信息技术安全技术信息技术安全性评估准则第1部分:简介和一般模型(idtISO!IEC 15408-1: 1999) GB!T 1

5、8336.2-2001 信息技术安全技术信息技术安全性评估准则第2部分:安全功能要求(idtISO!IEC 15408-2: 1999) GB!T 18336.3-2001 信息技术安全技术信息技术安全性评估准则第3部分:安全保证要求(idtISO!IEC 15408-3: 1999) 3 术语和定义3. 1 3.2 3.3 3.4 GB!T 18336-2001确立的以及下列术语和定义适用于本标准。应用软件application software 智能卡嵌入式软件的-部分，架构于基础软件之上，实现智能卡的应用功能。基础软件basic software 智能卡嵌入式软件的核心部分，实现智能卡的

6、核心功能，如:操作系统、通用例程和解释器等。个人化数据personalization data 在个人化阶段写入的个性化数据。预个人化数据pre-personalization data 在预个人化阶段写入的非个性化数据。4 智能卡嵌入式软件描述4.1 概述智能卡嵌入式软件指掩膜在智能卡存储器中并可运行的软件，一般由应用软件和基础软件组成。其主要功能是控制智能卡和外界的信息交换，管理智能卡的存储器并完成各种命令的处理。4.2 特征4.2. 1 智能卡嵌入式软件的生命周期的特征智能卡嵌入式软件的生命周期包含在智能卡产品的生命周期之中。智能卡产品的生命周期可分为GB/T 20276-2006 以下

7、几个阶段，各个阶段内容如表1所示:表1智能卡产品的生命周期设计和开发集成电路固件，通过可靠的交付和接收程序为智能卡嵌入式软件开发者提阶段1集成电路开发阶段|供芯片相关信息和工具阶段2软件开发阶段开发智能卡嵌入式软件(如确定系统功能、制定功能规范、设计系统结构、编制源代码、测试等)阶段3掩膜阶段阶段4制卡阶段阶段5预个人化阶段阶段6个人化阶段阶段7使用阶段接收开发者交付的软件，并写入集成电路芯片芯片模块封装在阶段2设计的智能卡生命周期中的所有4. 2. 2 开发环境的特开发环境必须设4. 2. 3 使用环境的智能卡在发行敏感数据。因此，5 安全环境5. 1 资产需要保护的一一用户数一一系统数一一

8、应用数一一各种密钥一一软件设计一一软件的开发在智能卡嵌入式整性。5.2 假设5.2. 1 攻击者的能力(A.A行攻击，以便获取整性。述资产的机密性和完、假设攻击者有足够的时间，并源和古Y专业知识包括半导体技术、黑客技术、与智能卡嵌入式软件相关的技术机包括经济利益、国家利益或攻破专业安全系统5. 2. 2 用户权限(A.User) 、读写设备、测试设备、软件程序等;动假设特定用户拥有访问智能卡嵌入式软件所管理的某些信息的权限。5.2. 3 管理者能力(A.Admin) 假设已指派一个或多个授权管理者负责智能卡嵌入式软件安全特性的管理，他们胜任工作并且诚实可靠。5. 2. 4 角色管理(A.Rol

9、e_Man ) 假设智能卡的生命周期中涉及的角色被安全地管理，这些角色包括智能卡的开发者、发行者、管理2 GB/T 20276-2006 者和使用者。5. 2.5 外部数据存储(A.Data_Store) 假设以安全的方式管理相关的外部数据。外部数据包括与智能卡及其软件直接相关的敏感信息，如个人化数据、所有者身份等，以及与智能卡嵌入式软件不直接相关的数据。这些信息如果被泄漏，可能危及智能卡安全。5. 2.6 生命周期管理(A.Life_Man) 智能卡嵌入式软件的生命周期包含在智能卡生命周期中。假设智能卡的生命周期的每个阶段都被唯一标识，并可通过标识信息追溯到生命周期的各个阶段。5. 2. 7

10、 密钥生成(A.Key_Gen) 在智能卡应用系统中，不同的实5. 3 威胁5.3.1 对智能卡嵌入式软件5. 3. 1. 1. 1 用户错误(智能卡嵌入式软软件的安全特性。5.3. 1. 1. 2 未提攻击者可能令格式。5. 3. 1. 1. 5 强制攻击者可能通b ) 插入中断;c) 选择特定应用使5. 3. 1. 1. 6 缺陆插入(T.攻击者可能通过反复地插入威胁的特点是有目的选择和控制输入5. 3. 1. 1. 7 重放攻击(T.Reuse) 钥。假设这些密钥的生成是安全的。安全特性。如在及智能卡嵌入式，未授权程序包结果，从而获得重要信息。这种攻击者可能通过重用合法鉴别数据旁路安全机

11、制或探测智能卡嵌入式软件信息。5. 3. 1. 1. 8 数据装载故障(T.Load_MaD 攻击者可能通过在待装载数据中恶意地生成错误，试图修改或破坏智能卡嵌入式软件的安全功能。5. 3. 1. 1. 9 对初始使用权的欺骗CT.First_Use) 攻击者可能通过未授权使用新的或未发行的智能卡而非法获得智能卡嵌入式软件信息。智能卡的发行过程包括各种标识的设定，这些标识可用在智能卡的内部或用来向外部发行实体标明该智能卡生效。3 GB/T 20276-2006 5. 3. 1. 1. 10 身份冒充(T.lmpers)攻击者可能冒充智能卡的授权管理员或用户而非法获得智能卡嵌入式软件信息。5.

12、3. 1. 1. 11 非法访问(T.Access) 使用者或攻击者可能在未经信息或资源的拥有者或责任者许可的条件下对信息或资源进行访问。每个授权角色都有特定的权限采访问智能卡嵌入式软件分配或指定的区域及其包含的信息，如果访问超出规定权限，会导致安全相关信息的暴露。5. 3. 1. 1. 12 数据空间搜索(T.Search) 攻击者可能利用对数据空间的反复搜索确定重要信息。攻击者可能重复使用命令获取尽可能多的数据空间中的信息，并提取安全相关信息。5.3. 1. 1. 13 审计失败(T.Aud_Fail) 如果审计失败，那么攻击者可能通过重复探测来获取存储器内容，或改变智能卡嵌入式软件的安全

13、功能的关键雯素。5. 3. 1. 1. 14 版本攻击(T.Gen_Atk) 攻击者可能使用不同发行版本的智能卡嵌入式软件，利用它们在安全功能实施方面的差异获取智能卡嵌人式软件的重要安全信息。攻击者可能利用为以前版本的开发技术获取后续版本中的安全信息。5. 3. 1. 1. 15 使用被禁止的生命周期功能(T.LC_Ftn) 攻击者可能会利用相关命令，尤其是测试和调试命令未获取智能卡及其嵌入软件安全功能数据或敏感的用户数据，这些命令在智能卡及其嵌入软件生命周期的以往某些阶段是必要的，但在现阶段是被禁止的。例如，在使用阶段测试命令或调试命令可能用于显示内存或执行其他功能。5. 3. 1. 1.

14、16 密码攻击(T.Crypt_Atk) 攻击者可能实施密码攻击或穷举攻击危及智能卡嵌入式软件的安全功能。5. 3. 1. 1. 17 综合分析(T.Link) 攻击者可能观察实体使用的多种资源和服务的状况，推导出该实体希望保护的信息。攻击者利用观察到的多种结果进行综合分析，获得相关信息。攻击者利用这些信息可以直接获取安全信息，或者可以综合出某种攻击于段，进而获取智能卡要保护的安全信息。5. 3. 1. 1. 18 联合攻击(T.Lnk_Atk) 政击者通过先期攻击导致系统状态不稳或安全能力弱化，从而保证后续攻击成功。5.3. 1. 1. 19 克隆(T.Clon) 攻击者可能克隆部分或全部智

15、能卡嵌入式软件的功能实施攻击。攻击者可能通过对智能卡嵌入式软件本身的详细观察或者通过非法获取智能卡设计信息.克隆部分或全部智能卡嵌入式软件。5.3. 1. 2 开发中的威胁5.3.1.2.1 软件泄漏(T.Dis_Soft) 攻击者可能通过非法获取或未授权使用软件信息获得对智能卡相关受控信息和功能的访问权限。软件信息可能包括智能卡嵌入式软件的系统结构、实现安全功能的安全机制、初始化过程和参数、访问控制机制、鉴别机制、数据保护机制、软件对存储器管理和分区机制、密码算法程序等。这种泄漏可能发生在某一特定过程或智能卡生命周期内两个阶段的更替过程之中。5.3. 1. 2. 2 保密数据泄漏(T.Dis

16、_Data) 攻击者可能通过非法获取或未授权使用保密数据获得对智能卡相关受控信息和功能的访问权限。这些信息可能包括初始化数据、个人化数据、口令或密钥等。这种泄漏可能发生在某-特定过程或智能卡生命周期内两个阶段的更替过程之中。4 GB/T 20276-2006 5.3. 1. 2.3 测试信息泄漏CT.Dis_Test) 攻击者可能通过非法获取或未授权使用测试信息获得对智能卡相关受控信息和功能的访问权限。这些信息可包括对嵌入式软件的测试工具、测试过程、测试程序、测试结果等。这种泄漏可能发生在某特定过程或智能卡生命周期内两个阶段的更替过程之中。5.3. 1. 2. 4 产品失窃CT.Tft Pro

17、d) 攻击者可能窃取产品用于技术开发或寻找智能卡嵌入式软件的安全漏洞。可能失窃的产品包括硅片样品、己装入软件并封装成模块的芯片、预初始化的智能卡、预个人化的智能卡或虽已个人化但尚未发行的智能卡。这种窃取可能发生在某一特定的过程或智能卡生命周期内两个阶段的更替过程之中。5.3. 1. 2. 5 工具失窃CT.Tft_Tools) 攻击者可能偷窃智能卡嵌入式软件开发工具以获取系统知识，从而威胁智能卡嵌入式软件安全功能。这种窃取可能发生在某一特定的过程或智能卡生命周期内两个阶段的更替过程之中。5.3. 1.2.6 软件修改(T.Mod_Soft) 攻击者可能修改智能卡嵌入式软件，在功能模块中引人安全

18、缺陷，以便以后利用。软件一旦被修改，将威胁安全性。这些软件包括软件安全机制、初始化过程、访问控制机制、鉴别机制、数据保护机制、存储器管理和分区机制、密码算法程序等。对这些软件的修改可能发生在某一特定的过程或智能卡生命周期内两个阶段的更替过程之中。5.3. 1. 2. 7 保密数据的修改(T.Mod_Data) 攻击者可能对智能卡嵌入式软件保密数据进行修改，在功能模块中引人安全缺陷，以便以后利用。保密数据一旦被修改，将威胁安全性。这些保密数据包括初始化数据、个人化数据、口令或密钥等。对这些保密数据的修改可能发生在某一特定的过程或智能卡生命周期内两个阶段的更替过程之中。5.3. 1. 2. 8 测

19、试信息修改(T.Mod_Test) 攻击者可能对智能卡嵌入式软件的测试信息进行修改，在功能模块中引人安全缺陷，以便以后利用。测试信息一旦被修改，将威胁安全性。测试信息包括测试工具、测试流程、测试程序或测试结果。对这些测试信息的修改可能发生在某一特定的过程或智能卡生命周期内两个阶段的更替过程之中。5.3.2 对智能卡嵌入式软件使用环境的威胁5.3.2.1 密钥泄漏(T.Key_Comp) 攻击者非法获得密钥，从而获得对智能卡相关受控信息和功能的访问权限。造成密钥泄漏的原因可能是不完善的控制程序或失窃，它可能发生在某个特定的开发、测试或使用智能卡嵌入式软件的场所中，或在不同场所间传送密钥时信息的世

20、漏。密钥可包括产品密钥、传输密钥、测试密钥或操作密钥等。5.3.2.2 管理者权力滥用(T.Priv) 管理者可能通过执行暴露智能卡嵌入式软件安全功能或受保护数据的操作而威胁其安全特性。5.4 组织安全策略5.4.1 数据访问(P.Data_Acc) 除己定义好的操作集外，对特定数据和客体的访问权限的定义依据:a) 客体的拥有者;b) 尝试访问客体的主体标识;c) 客体的拥有者授予的显式或隐式的访问权限。智能卡嵌入式软件可能涉及到多个不同的授权者，包括系统集成商、智能卡发行者、系统管理者。他们均能以特定的规则访问智能卡嵌入式软件中的数据。其中某些特定规则将在安全功能要求中的基GB/T 2027

21、6-2006 于安全属性的访问控制(FDP_ACF.l)和简单安全属性(FDP_IFF. 1)中以智能卡嵌入式软件访问控制策略和信息流控制策略的形式详加说明，其余的特定规则将由客体拥有者在其策略声明中明确规定。5. 4. 2 文件访问(P.File_Acc) 建立文件及其访问控制结构权限的定义依据:a) 文件的拥有者;b) 试图访问文件的主体标识;c) 文件的拥有者授予的显式或隐式的访问权限。智能卡嵌入式软件可能涉及到多个不同的授权者，包括系统集成商、智能卡发行者、系统管理者。根据文件的具体操作(取决于文件的内宋能要求中的基于安全属性的访问这6 安全目的6. 1 智能卡嵌6. 1. 1 逻辑保

22、古智能卡嵌入耳16. 1. 2 防信息泄智能卡嵌入式6. 1. 3 初始化(O.lni智能卡在上电、复在6. 1. 4 防缺陷插入(0.Flt_I 智能卡嵌入式软件必须能抵6. 1. 5 防重煎攻击(0.Reuse) J.lL明创访问规则。其中的某些规则将在安全功. 式软件访问控制策略的形式详细智能卡嵌入式软件应提供诸如一次性鉴别机制等功能以抵御重放攻击。智能卡嵌入式软件应满足以下要求:当鉴别操作已成功结束或被中止时，攻击者无法通过重放或重新启动此项操作来达到非法获取智能卡内资产的目的。6. 1. 6 设置顺序(0.Set_Up) 在智能卡嵌入式软件投入使用之前，必须为其规定操作顺序。智能卡嵌

23、入式软件应在授权或受控的方式下操作，防止在智能卡的安全保护机制启动之前使用智能卡。6. 1. 7 数据访问控制(0.DAC ) 智能卡嵌入式软件必须基于用户或用户组提供访问控制规则，访问控制规则与组织安全策略中的6 GB/T 20276-2006 数据访问(P.Data_Acc)一致。不同的使用者、管理者、发行者等都要对自己掌握的资产进行控制，这些控制使用的规则体现在安全功能要求中的基于安全属性的访问控制(FDP_ACF. 1)和简单安全属性(FDP_IFF. 1)中。6. 1.8 文件访问控制(0.FAC) 智能卡嵌入式软件必须基于用户或用户组提供建立或更改文件和相关资源访问控制规则，访问控

24、制规则与组织安全策略中的文件访问(P.File_Acc)一致。与文件的建立、修改、删除等操作相关的访问控制权限的通用规则在安全功能要求中的基于安全属性的访问控制(FDP_ACF. 1)中给出，其他规则需要由用户和资产拥有者明确给出。6. 1. 9 防数据搜索(0.Search) 智能卡嵌入式软件应抵A6. 1. 11 生命周期智能卡嵌入式在智能卡嵌智能卡生有甲E6. 1. 13 密码(智能卡嵌智能卡嵌入16. 1. 15 标识(0.智能卡嵌入式6.1 . 16 专业领域陀智能卡嵌入式软1国际标准。6. 1. 17 配置控制(O.Con使用配置管理工具管理E6.2 环境安全目的6.2.1 管理者

25、能力(OE.Admin) n.k1IIII耳唔南阳帽坠胡、忡行操作。由授权管理者负责智能卡和嵌入式软件安全特性的管理，确保安全信息不会泄漏。6. 2.2 设计控制(OE.Con_Des) 各阶段。智能卡嵌入式软件的设计信息、软件安全机制细节、软件说明、设计详细说明、源代码等信息由授权用户存取。6. 2.3 产品控制(OE.Con_Prod) 确保产品在开发过程中不被非授权的查阅和篡改，并防止系统资源的失窃。6.2.4 工具控制(OE.Con_Tools) 确保开发工具在产品的开发过程中不被非授权使用，以防止系统资源的失窃。在智能卡嵌入式软件的开发阶段，通常要使用大量的开发工具，这些工具可能向攻

26、击者提供相关的7 GB/T 20276-2006 信息，使其能够得知智能卡内安全系统的工作原理。6.2.5 交付过程(OE.D1v_Proc) 确保智能卡嵌入式软件和相关信息在交付过程中的安全。6.2.6 交付审计(OE.D1v_Aud) 在交付过程中，确保记录所有违背交付约定的行为及其纠正措施。6.2.7 交付培训I(OE. D1v_Trn) 培训所有参与交付过程的相关人员，使其具备必要的知识和技能，以满足交付过程的要求。6.2.8 初始数据保护(OE.Init_Acs) 只有授权用户才能访问初始数据，保证初始数据不泄漏。6.2.9 密钥生成(OE.Key_Gen) 根据用户需求生成相关密钥

27、。6.2.10 密钥控制(OE.Key_Con) 所有智能卡嵌入式软件相关的密钥都根据用户需求保证其机密性与完整性。6.2.11 角色管理(OE.Role_Man) 角色管理者负责对角色进行管理，角色指开发者、发行者、管理者或使用者等。6.2.12 数据存储(OE.Data_Store) 根据用户的不同需求保证在智能卡以外的数据存储的机密性和完整性。6.2.13 人员(OE.Pel咽)作为管理者或其他拥有特定权限的人员应当经过仔细挑选并严格培训。7 安全要求7.1 智能卡嵌入式软件安全要求7. 1. 1 安全功能要求表2列出了智能卡嵌入式软件安全功能要求组件。下述各条对各组件给出了详细的说明。

28、方括号口中的粗体字表示已经完成的操作，斜佯字表示还需在安全目标。T)中定义的赋值及选择。表2安全功能要求组件安全功能要求组件组件名称FAU AId了助i!f;fX角色】能够对【赋恒1安全功能数据1进气r(选择1改变默认佳、查询、修改、删除、清空或其他操作17. 1.1. 25 对智能卡嵌入式软件安全功能数据限值的管理CFMT_MTD.2)FMT _MTD. Z. 1智能卡嵌入式软件安全功能应仅限于【赋值:己捉到了t&1雪夜j寄自】对以下安全功能数据限值:的对不成功鉴别尝试次数阔值的嘻理飞机ST中详细定义的其借阅笛的管理。FMT _MTD. Z. 2当智能卡嵌入式软件安全功能数据达到或超过了指明

29、的限值时，智能卡嵌入式软件安全功能将采取Z赋值:相应的动伊】。7. 1.1. 26 安全的安全功能数据(FMT_MTD.3)FMT_MTD. 3.1智能卡嵌入式软件安全功能应确保安全功能数据只接受安全的值。7. 1.1. 27 撤消(FMT_REV.1) FMT_REV. 1. 1智能卡嵌入式软件安全功能应仅限于【赋值:己衔挠的授灰角色】能够撤消安全控制范围内与【选择:用户、主#、客#或其借用1JpJ寄原】相关的安全属性。FMT _REV. 1. 2智能卡嵌入式软件安全功能应执行规则【赋值:撒满却IJ!1jt&说呀17. 1. 1. 28 带保存安全状态的失败(FPT_FLS.1) FPT _

30、FLS. 1. 1智能卡嵌入式软件安全功能在失败【赋值:安全5岁殷殷先!J/!类型丹麦】发生时应保存一个安全状态。7. 1. 1. 29 无过度损失的自动恢复nPT_RCV.3)FPT _RCV. 3. 1当不能从失败或服务中断自动恢复时，智能卡嵌入式软件安全功能应进入维护模式，该模式使得智能卡能返回到一个安全状态。FPT _RCV. 3. 2【赋值:操作过程中意外掉电时】智能卡嵌入式软件安全功能应确保自动地使智能卡返回到一个安全状态。FPT RCV. 3. 3智能卡嵌入式软件安全功能提供的从失败或服务中断状态恢复的功能，应确保在安全控制范围内的安全功能数据或客体在无过度【赋值:数量】损失的情

31、况下恢复到初始状态。FPT RCV. 3. 4智能卡嵌入式软件安全功能应提供确定客体能否被恢复的能力。12 GB/T 20276-2006 7. 1.1. 30 功能恢复(FPT_RCV.4)FPT_RCV. 4.1智能卡嵌入式软件应确保【赋值:涉及恢复、复位、掉电或撤消操作完成之前的情况】有如下特性，即安全功能或者成功完成，或者出现指明的失败情况后，应恢复到一个安全状态。7.1. 1. 31 重放检测(FPT_RPL.1)FPT _RPL. 1. 1智能卡嵌入式软件安全功能应检测【赋值:捞定实体】的重放。FPT _RPL. 1. 2检测到重放时，智能卡嵌入式软件应执行【赋值:相应的安全功S1

32、11 0 7. 1. 1. 32 安全策略的不可旁路性(FPTRVM. 1) FPT RVM. 1. 1智能卡嵌入式软件安全功能应确保在安全控制范围内的每一项功能被允许继续执行前，安全策略的执行功能应被成功激活。7. 1. 1. 33 安全功能域的隔离(FPT_SEP.1) FPT _SEP. 1. 1在智能卡嵌入式软件安全功能执行时，应维持一个安全域，防止不可信主体的干扰和篡改。FPT _SEP. 1. 2智能卡嵌入式软件安全功能应在安全控制范围内分离各主体的安全域。7.1.2 安全保证要求表3列出了智能卡嵌入式软件安全保证要求组件。下述各条对各组件给出了详细的说明。表3安全保证要求组件安全

33、保证要求组件组件名称ACM_AUT.l 部分配置管理自动化ACM CAP.4 产生支持和接受程序八C孔1_SCP.2跟踪配置管理沮围问题ADO_DEL. 2 修改监测ADO_IGS.l 安装、生成和启动过程ADV_FSP.2 完全定义的外部接口ADV HLD.2 安全加强的高层设计ADV_IMP.l 安全功能实现的子集ADV一I:-.JT.l模块化ADV_LLD.l 描述性低层设计ADV_RCR. 1 非形式化对应性论证ADV一SPM.l非形式化安全策略模型AGD_ADM.l 管理员指南八GD_USR.1 用户指南ALC_DVS.l 安全措施标识ALC_LCD.l 开发者定义的生命周期模型AL

34、C_TAT.l 明确定义的开发工具ATE_COV.2 范围分析ATE DPT.l 测试:高层设计ATE FUN.l 功能测试ATE_IND.2 独立性测试-抽样AVA_MSU.2 分析确认AVA SOF.l 安全功能强度评估AVA_VLA.3 中级抵抗力13 GB/T 20276-2006 7.1.2.1 部分配置管理自动化CACM_AUT.1) 开发者行为元素:ACM_AUT. 1. 1D开发者应该使用配置管理系统。ACM_AUT. l. 2D开发者应该提供配置管理计划。证据元素的内容和表示:ACM_AUT. l. 1C配置管理系统应该能够提供一种自动方式，通过该方式确保只能对智能卡嵌入式软

35、件的实现表示进行巳授权的改变。ACM_AUT. l. 4C配置管理t评估者行为元素:ACM_AUT. l. 1E评j7.1.2. 2 产生支持和电开发者行为元素:AC扎1CAP. 4. 1 ACM CAP. 4. AC肌1_CAP.4证据元素的ACM CAP. ACM CAP. ACM_CAP. ACM CAP. ACM CAP. 4. 11 ACM CAP. 4. 12 C 配置项的程序。评估者行为元素:7. 1. 2.3 跟踪配置管理范围问题CACM_SCP.2J开发者行为元素:ACM_SCP. 2. 1 D开发者应提供配置管理丈档。证据元素的内容和表示:ACM_SCP. 2. 1C配置管

36、理文档应说明配置管理系统至少能跟踪以下几项:智能卡嵌入式软件实现表示，设计文挡，测试文档，用户文档，管理员文档，配置管理文档和安全缺陷。14 ACM_SCP. 2. 2C配置管理文档应描述配置管理系统是如何跟踪配置项的。评估者行为元素:ACM SCP. 2. 1E评估者应确认所提供的信息满足证据内容和形式的所有要求。GB/ T 20276-2006 7. 1. 2. 4 修改监测(ADO_DEL.2)开发者行为元素:ADO_DEL. 2. lD开发者应以交付文档的形式记录智能卡嵌入式软件交付给用户的过程。ADO_DEL. 2. 2D开发者应使用交付过程。证据元素的内容和表示:ADO_DEL.

37、2. lC交付文档应描述在将不同版本的智能卡嵌入式软件分发给用户时，用以维护安全所必需的所有程序。ADO_DEL. 2. 2C交付文档应描述如何提供多种程序和技术上的措施来检测修改，或检测开发者的主拷贝和用户方收到的版本之间的I.-_ADO_IGS. 1. 过程。ADO IGS. 评估者行ADV_FSP. 2. ADV FSP. 2. 2 ADV _FSP. 2. 3C 异常情况和错误消息的ADV _FSP. 2. 5C功能规制评估者行为元素:ADV _FSP. 2. lE评估者应确认所比V伪装成开发者，甚至是在开发者ADV _FSP. 2. 2E评估者应决定功能规范是智能卡嵌入式软件安全功能

38、要求的精确和完备的实例化。7. 1. 2. 7 安全加强的高层设计(ADV_HLD. 2) 开发者行为元素:ADV _HLD. 2. lD开发者将提供安全功能的高层设计。证据元素的内容和表示:ADV_HLD.2.1C高层设计的表示应当是非形式化的。ADV _HLD. 2. 2C高层设计应当是内在一致的。ADV _HLD. 2. 3C高层设计应当按子系统来描述安全功能的结构。15 GB/T 20276-2006 ADV HLD. 2. 4C高层设计应当描述安全功能的每个子系统所提供的安全功能。ADV _HLD. 2. 5C高层设计应当标识安全功能要求的任何基础的硬件、固件和软件，连同这些硬件、固

39、件或软件实现的支持性保护机制提供的功能表示。ADV HLD. 2. 6C高层设计应当标识安全功能子系统的所有接口。ADV _HLD. 2. 7C高层设计应当标识安全功能子系统的哪些接口是外部可见的。ADV HLD. 2. 8 C高层设计应当描述安全功能子系统所有接口的用途和使用方法，并适当提供影响、异常情况和错误消息的细节。ADV _HLD. 2. 9 (丁高层设计应当描述把智能卡嵌入式软件分成安全策略实施子系统和其他子系统。评估者行为元素:ADV _HLD. 2. lE评估者应当确认所提供的信息满足证据内容和形式的所有要求。ADV _HLD. 2. 2E评估者应当决定功能规范是智能卡嵌入式软

40、件安全功能要求的精确和完备的示例。7. 1. 2.8 安全功能实现的子集CADV_IMP.1)开发者行为元素:ADV_IMP. 1. 1D开发者应当为以下所选的安全功能子集提供实现表示:a) 与智能卡嵌入式软件物理结构相关的子集:命令范围和合法性检查保密数据的检查和操作b) 与智能卡嵌入式软件提供的不可更改数据相关的子集:序列号和其他生命周期标识调试功能的锁定或删除锁定功能的配置终止和1;识c) 与智能卡嵌入式软件提供的中断和复位功能相关的子集。证据元素的内容和表示:ADV一IMP.1. 1C实现表示应当无歧义而且详细地定义安全功能，使得无须进一步设计就能生成安全功能。ADV IMP. 1.

41、2C实现表示应当是内在一致的。评估者行为元素:ADV IMP. 1. 1 E评估者应当确认提供的信息满足证据内容和形式的所有要求。ADV _IMP. 1. 2E评估者应当决定所提供的最不抽象的安全功能表示是智能卡嵌入式软件安全功能要求的精确和完备实例化。7. 1. 2. 9 模块化(ADVINT. 1) 开发者行为元素:ADV INT. 1. 1 D开发者应当以模块方式设计和构建安全功能，以避免设计模块之间出现不必要的交互作用。ADV _INT. 1. 2D开发者应当提供结构化描述。证据元素的内容和表示:ADV INT. 1. 1C结构化描述应当标识安全功能的模块。ADV INT. 1. 2C

42、结构化描述应当描述每个安全功能模块的用途、接口、参数和影响。ADV _INT. 1. 3C结构化描述应当描述安全功能设计是如何使得独立的模块问避免不必要的交互作用。16 GB/T 20276一2006评估者行为元素:ADV _INT. 1. 1E评估者应当确认所提供的信息满足证据的内容和表示的所有要求。ADV_INT. 1. 2E评估者应当决定低层设计和实现表示是遵循结构化描述的。7. 1. 2. 10 描述性低层设计CADV_LLD.D开发者行为元素:ADV一LLD.1. 1D开发者应当提供安全功能的低层设计。证据元素的内容和表示:ADV _LLD. 1. 1 C低层设计的表示应当是非形式化

43、的。ADV _LLD. 1. 2C低层设计应当是内在一致的。ADV LLD. 1. 3C低层设计应当以模块方式来描述安全功能。ADV _LLD. 1. 4C低层设计应当描述每个模块的用途。ADV _LLD. 1. 5C低层设计应当依据所提供的安全功能性和对其他模块的依赖性关系两方面来定义模块间的相互关系。ADV _LLD. 1. 6C低层设计应当描述每个安全策略实施功能是如何被提供的。ADV _LLD. 1. 7C低层设计应当标识安全功能模块的所有接口。ADV _LLD. 1. 8 C低层设计应当标识安全功能模块的哪些接口是外部可见的。ADV _LLD. 1.9 C低层设计应当描述安全功能模块

44、的所有接口的用途与方法，适当时，应提供影响、异常情况和错误消息的细节。ADV LLD. 1. 10 C低层设计应当描述如何将智能卡嵌入式软件分离成安全策略实施模块和其他模块。评估者行为元素:ADV _LLD. 1. 1E评估者应当确认所提供的信息满足证据内容和形式的所有要求。ADV _LLD. 1. 2E评估者应当决定低层设计是智能卡嵌入式软件安全功能要求的一个精确和完备的实例化。7. 1. 2. 11 非形式化对应性论证(ADV_RCR.D开发者行为元素tADV _RCR. 1. 1D开发者应当在所提供的安全功能表示的所有相邻对之间提供对应性分析。证据元素的内容和表示:ADV _RCR. 1

45、. 1 C对于所提供的安全功能表示的每个相邻对，分析应当论证，较为抽象的安全功能表示的所有相关安全功能在较不抽象的安全功能表示中得到正确和完备地细化。评估者行为元素:ADV _RCR. 1. 1 E评估者应当确认所提供的信息满足证据内容和形式的所有要求。7.1.2.12 非形式化安全策略模型(ADV_SPM. 1) 开发者行为元素:ADV _SPM. 1. 1D开发者应提供安全策略模型。ADV _SPM. 1. 2D开发者应阐明功能规范和安全策略模型之间的对应性。证据元素的内容和表示:ADV _SPM. 1. 1 C安全策略模型应当是非形式化的。ADV _SPM. 1. 2C安全策略模型应当描

46、述所有可以模型化的安全策略的规则与特征。ADV SPM. 1. 3C安全策略模型应当包括基本原理，即论证该模型对于所有可模型化的安全策略来说是一致的和完备的。ADV _SPM. 1. 4C安全策略模型和功能规范之间的对应性论证应当说明，所有功能规范中的安全功能对于安全策略模型来说是一致的和完备的。17 GB/T 20276-2006 评估者行为元素:ADV _SPM. 1. lE评估者应当确认所提供的信息满足证据内容和形式的所有要求。7. 1. 2.13 管理员指南(AGD_ADM.1) 开发者行为元素:AGD_ADM. 1. lD开发者应当提供智能卡嵌入式软件管理员指南。证据的内容和表示元素

47、:AGD_ADM. 1. lC管理员指南应当描述管理员可使用的管理功能和接口。AGD_ADM. 1. 2C管理员指南应当描述如何以安全的方式管理智能卡嵌入式软件。再F面.-h必须进行控制的功能和权限的警告。AGD川M.1. 4C管理员吃严当描述所芒智能卡嵌届时的安全运行有关的用户行为的假定。AGD AD岛1.1. 6C 变安全功能所控制的萨阪AGD_ADM. 1. AGD_ADM.l 要求。AGD USR. AGD_USR. 用法。AGD_USR. 1. 警告。AGD USR. 1. 4 责，包括有关在智能卡7. 1.2. 15 安全措施标识(ALC_DVS.1) 开发者行为元素:ALC_DV

48、S. 1. lD开发者应提供开发安全文档。证据元素的内容和表示:的用户所必须负的职ALC一DVS.1.lC开发安全文档应描述在智能卡嵌入式软件的开发环境中，用以保护智能卡嵌入式软件的设计和实现的保密性和完整性在物理、程序、人员以及其他方面必要的安全措施。18 ALC_DVS. 1. 2C开发安全文档应提供开发和维护智能卡嵌入式软件时执行安全措施的证据。评估者行为元素:ALC_DVS. 1. lE评估者应确认所提供的信息都满足证据内容和形式的所有要求。GB/T 20276一2006ALC_DVS. 1. 2E评估者应确认确实执行了安全措施。7.1.2.16 开发者定义的生命周期模型(ALC_LC

49、D.1)开发者行为元素:ALC_LCD. 1. lD开发者应建立生命周期模型用于开发和维护智能卡嵌入式软件。ALC_LCD. 1. 2D开发者应提供生命周期定义文档。证据元素的内容和表示:ALC一LCD.1.lC生命周期定义文档应描述用于开发和维护智能卡嵌入式软件的模型。ALC_LCD. 1. 2C生命周期模型应提供对智能卡嵌入式软件开发和维护的必要的控制。评估者行为元素: ALC一LCD.1. lE评估者应，., 7. 1. 2.17 明确定义的开发开发者行为元素:ALC TAT 7.1.2.18范开发者行ATE_COV. 全功能之间的对J.!ilATE_COV.2. 试之间的对应性是7. 1. 2.19 测试:高层设t开发者行为元素:ATE_DPT. 1. lD开发者将证据元素的内容和表示:ATE_DPT. 1. lC深度分析应当论证测试文档中所标识的测试足以论证该安全功能是和高层设计一致的。评估者行为元素