《信息安全技術(shù) 具有中央處理器的IC卡芯片安全技術(shù)要求》編制說(shuō)明

一、任務(wù)來(lái)源

《信息安全技術(shù)具有中央處理器的集成電路（IC）卡芯片安全技術(shù)要求（評(píng)估保

證級(jí)4增強(qiáng)級(jí)）》于2008年成為國(guó)家標(biāo)準(zhǔn)，標(biāo)準(zhǔn)號(hào)為GB/T22186-2008。但隨著技術(shù)的

發(fā)展，已有4年歷史的GB/T22186-2008在時(shí)效性、易用性、可操作性上還需提高。鑒

于此，2012年，中國(guó)信息安全測(cè)評(píng)中心聯(lián)合北京多思科技工業(yè)園股份有限公司、清華大

學(xué)向信安標(biāo)委申請(qǐng)對(duì)GB/T22186進(jìn)行修訂。

根據(jù)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)2012年下達(dá)的國(guó)家標(biāo)準(zhǔn)制修訂計(jì)劃，國(guó)家標(biāo)準(zhǔn)《信息

安全技術(shù)具有中央處理器的集成電路（IC）卡芯片安全技術(shù)要求（評(píng)估保證級(jí)4增強(qiáng)

級(jí)）》修訂任務(wù)由中國(guó)信息安全測(cè)評(píng)中心負(fù)責(zé)主辦，標(biāo)準(zhǔn)計(jì)劃號(hào)為XXXXXXXXXX（全國(guó)信

息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)2012年信息安全專(zhuān)項(xiàng)）。

二、編制原則

此標(biāo)準(zhǔn)將考慮智能卡芯片應(yīng)用的各個(gè)安全方面，包括設(shè)計(jì)，使用、維護(hù)等環(huán)節(jié)，在

數(shù)據(jù)保護(hù)，訪問(wèn)控制，鑒別認(rèn)證、安全管理、傳輸安全、密碼使用等方面制定相關(guān)要求，

以確保產(chǎn)品的機(jī)密性、完整性和可用性，使該標(biāo)準(zhǔn)可以用于指導(dǎo)芯片產(chǎn)品的研制、開(kāi)發(fā)、

測(cè)試、評(píng)估及采購(gòu)。

編制過(guò)程中本著“規(guī)范、合理、系統(tǒng)、適用”的原則，注重先進(jìn)性、規(guī)范性、實(shí)用

性，也兼顧了與我國(guó)現(xiàn)有政策、法規(guī)與標(biāo)準(zhǔn)的執(zhí)行范圍。

該標(biāo)準(zhǔn)具有很好的時(shí)效性、連貫性、易于理解與操作的特點(diǎn)，將在產(chǎn)品的開(kāi)發(fā)、測(cè)

評(píng)和應(yīng)用方面建立起內(nèi)在一致的交互平臺(tái)，并作為指導(dǎo)產(chǎn)品研發(fā)與測(cè)評(píng)的基準(zhǔn)。實(shí)現(xiàn)行

業(yè)內(nèi)各項(xiàng)目、地區(qū)之間安全標(biāo)準(zhǔn)的統(tǒng)一，規(guī)范國(guó)內(nèi)智能卡芯片應(yīng)用市場(chǎng)，確保產(chǎn)品有嚴(yán)

格的、可控制的、規(guī)范的安全特性，提升我國(guó)智能卡芯片產(chǎn)品應(yīng)用的總體安全水平。

三、主要工作過(guò)程

1）2012年12月成立了《信息安全技術(shù)具有中央處理器的集成電路（IC）卡芯片

安全技術(shù)要求（評(píng)估保證級(jí)4增強(qiáng)級(jí)）》標(biāo)準(zhǔn)編制組。

2）2013年1月至7月，標(biāo)準(zhǔn)編制組調(diào)研了國(guó)際上針對(duì)芯片的測(cè)評(píng)情況，充分借鑒

了國(guó)外的成功經(jīng)驗(yàn)，并結(jié)合國(guó)內(nèi)的實(shí)際情況，修訂出標(biāo)準(zhǔn)草案第一稿。

3）2013年8月8日，安標(biāo)委WG5工作組專(zhuān)家對(duì)標(biāo)準(zhǔn)進(jìn)行了評(píng)審。會(huì)后，標(biāo)準(zhǔn)編制

組按照專(zhuān)家提出的修改建議，對(duì)草案進(jìn)行了修改，形成了標(biāo)準(zhǔn)草案第二稿。

3）2013年10月10日，參加安標(biāo)委WG5工作組專(zhuān)家評(píng)審會(huì)，《信息安全技術(shù)具有

中央處理器的集成電路（IC）卡芯片安全技術(shù)要求（評(píng)估保證級(jí)4增強(qiáng)級(jí)）》草案通過(guò)

了評(píng)審，并將標(biāo)準(zhǔn)名稱(chēng)改為《信息安全技術(shù)具有中央處理器的集成電路（IC）卡芯片

安全技術(shù)要求》。會(huì)后，標(biāo)準(zhǔn)編制組根據(jù)評(píng)審的專(zhuān)家意見(jiàn)對(duì)草案進(jìn)行修改并再次咨詢(xún)了

王立福教授，形成并提交了標(biāo)準(zhǔn)草案第三稿。

4）2013年10月23至31日,信安標(biāo)委WG5工作組組織各成員單位對(duì)標(biāo)準(zhǔn)草案進(jìn)行

了投票，全體投票通過(guò)。

5）2013年11月20日，信安標(biāo)委WG5工作組組織集中對(duì)標(biāo)準(zhǔn)的內(nèi)容和格式進(jìn)行統(tǒng)

一修改,并將名稱(chēng)改為《信息安全技術(shù)具有中央處理器的IC卡芯片安全技術(shù)要求》。

6）2013年11月21日，標(biāo)準(zhǔn)編制組根據(jù)投票意見(jiàn)對(duì)征求意見(jiàn)稿進(jìn)行了修訂，形成

征求意見(jiàn)稿。

四、標(biāo)準(zhǔn)的主要內(nèi)容

GB/T22186為具有中央處理器的集成電路（IC）卡芯片類(lèi)產(chǎn)品定義了一組與具體實(shí)

現(xiàn)無(wú)關(guān)的、完整的、緊密關(guān)聯(lián)的最小安全要求集合；標(biāo)準(zhǔn)描述了集成電路（IC）卡芯片

使用的環(huán)境和面臨的威脅；陳述相應(yīng)保障級(jí)別的集成電路（IC）卡芯片應(yīng)該達(dá)到的安全

目的和必須滿(mǎn)足的安全技術(shù)要求和安全保障要求，以及它們之間的基本原理。

國(guó)家標(biāo)準(zhǔn)GB/T18336-2008是等同采用國(guó)際標(biāo)準(zhǔn)ISO/IEC15408：2005而制定的。

而ISO/IEC15408:2005核心為CCv2.3版的內(nèi)容。目前，國(guó)際標(biāo)準(zhǔn)ISO/IEC15408已

更新至2009版，其核心為CCv3.1版的內(nèi)容，版本升級(jí)較大，其內(nèi)容也有較大變化。

國(guó)外PP的制定、產(chǎn)品的評(píng)估都已經(jīng)依據(jù)新版本更新了相應(yīng)內(nèi)容。而目前國(guó)內(nèi)GB/T22186

還依據(jù)較低的CC版本，一直未更新。本項(xiàng)目將結(jié)合目前國(guó)內(nèi)外最新技術(shù)的發(fā)展情況，

來(lái)完善GB/T22186。

本標(biāo)準(zhǔn)從以下幾方面描述了智能卡芯片的安全技術(shù)要求：

描述智能卡芯片的基本結(jié)構(gòu)，以及TOE的邊界定義。

描述智能卡芯片的安全問(wèn)題，包括智能卡芯片保護(hù)的資產(chǎn)、智能卡芯片在其運(yùn)

行環(huán)境中可能遇到的威脅、組織安全策略以及針對(duì)環(huán)境的假設(shè)。

描述智能卡芯片的安全目的，包含了智能卡芯片應(yīng)達(dá)到的安全目的和其環(huán)境應(yīng)

達(dá)到的安全目的。

定義了智能卡芯片必須滿(mǎn)足的安全要求，包括智能卡芯片的信息技術(shù)安全功能

要求和安全保障要求，以及組件之間依賴(lài)關(guān)系的基本原理。

本標(biāo)準(zhǔn)主要在三個(gè)方面做了修改，具體內(nèi)容如下。

7

1）安全問(wèn)題定義精簡(jiǎn)

原標(biāo)準(zhǔn)在安全問(wèn)題定義中共設(shè)立了4個(gè)假設(shè)、16個(gè)威脅，及4項(xiàng)組織安全策略，本

標(biāo)準(zhǔn)修訂過(guò)程采用威脅建模領(lǐng)域的國(guó)際成熟方法，對(duì)原標(biāo)準(zhǔn)進(jìn)行了整合和精簡(jiǎn)。

本標(biāo)準(zhǔn)對(duì)智能IC卡芯片在應(yīng)用階段面臨的威脅進(jìn)行了標(biāo)識(shí)。該方法從訪問(wèn)接口和

資產(chǎn)出發(fā)，以系統(tǒng)地建立威脅模型，使攻擊者從任何訪問(wèn)渠道都無(wú)法獲得或篡改敏感信

息或TOE功能，以保護(hù)資產(chǎn)的安全性。根據(jù)IC卡芯片的運(yùn)行環(huán)境特點(diǎn)，攻擊者可從三

個(gè)渠道訪問(wèn)IC卡芯片。

（1）常規(guī)的邏輯接口，即指令交互接口；

（2）側(cè)信道接口，主要包括功耗、電磁和時(shí)耗等側(cè)信息的測(cè)量信道接口；

（3）電路和電氣接口，主要包括芯片的供電及頻率輸入接口，以及硬件電路和存

儲(chǔ)器等接口。

為了更詳細(xì)地刻畫(huà)威脅的含義，威脅建模過(guò)程對(duì)每個(gè)威脅都將進(jìn)行分解，直至后續(xù)

分解需要引入TOE的詳細(xì)設(shè)計(jì)細(xì)節(jié)，或當(dāng)前分解過(guò)程已滿(mǎn)足自證性為止。其中，對(duì)數(shù)據(jù)

泄漏和篡改威脅進(jìn)行分解，可得到以下的威脅模型圖。由于安全能力濫用威脅與數(shù)據(jù)泄

露威脅的建模方式類(lèi)似，在此不做詳細(xì)描述。

圖1：數(shù)據(jù)泄漏威脅建模圖

7

圖2：數(shù)據(jù)篡改威脅建模圖

由于對(duì)每個(gè)威脅節(jié)點(diǎn)進(jìn)行分解時(shí)會(huì)以事件分解的完備性為原則，因而每次分解的正

確性都可以得到保證。在建模結(jié)束后，提取出所有的葉子節(jié)點(diǎn)，并對(duì)其進(jìn)行綜合處理，

就可標(biāo)識(shí)出IC卡芯片面臨的主要威脅，具體為：生命周期功能濫用、信息泄露、故障

利用、物理操作、以及邏輯攻擊。對(duì)這些威脅的具體描述可參見(jiàn)標(biāo)準(zhǔn)第5章。

為了保障TOE的安全運(yùn)行，TOE的開(kāi)發(fā)、生產(chǎn)、交付和運(yùn)行環(huán)境等也需要滿(mǎn)足一定

的安全條件。為此，在組織安全策略描述了相應(yīng)的規(guī)章制度、操作規(guī)程和指導(dǎo)性規(guī)則，

同時(shí)還以假設(shè)的形式描述了TOE的外部數(shù)據(jù)管理及嵌入式軟件開(kāi)發(fā)方面需要滿(mǎn)足的其他

條件。按照上述方式，本草案共描述了6個(gè)威脅、2項(xiàng)組織安全策略和2個(gè)假設(shè)，因而

對(duì)原有的安全問(wèn)題定義進(jìn)行了簡(jiǎn)化，提高了標(biāo)準(zhǔn)的可理解性。

2）安全功能要求組件變更

為適應(yīng)新的安全問(wèn)題定義，標(biāo)準(zhǔn)修訂時(shí)對(duì)組件進(jìn)行了更新，去除了一些不適用的組

件，同時(shí)也結(jié)合實(shí)際情況添加了一部分組件。在這些新添加的組件中，F(xiàn)MT_LIM.1、

FMT_LIM.2和FPT_TST.2是借鑒國(guó)外成熟的案例而擴(kuò)展出來(lái)的。最后形成的組件如下表

所示。

表1：安全功能要求組件

7

備注

安全功能類(lèi)安全功能要求組件編號(hào)

EAL4+EAL5+EAL6+

FCS_CKM.1密鑰生成1√√√

FCS類(lèi)：密碼支持

FCS_COP.1密碼運(yùn)算2√√√

FDP_ACC.1子集訪問(wèn)控制3√√√

FDP_ACF.1基于安全屬性的訪問(wèn)控4√√√

制

FDP_IFC.1子集信息流控制5√√√

FDP類(lèi)：用戶(hù)數(shù)據(jù)保護(hù)

FDP_ITT.1基本內(nèi)部傳送保護(hù)6√√√

FDP_SDI.1存儲(chǔ)數(shù)據(jù)完整性監(jiān)視7○√N(yùn)/A

FDP_SDI.2存儲(chǔ)數(shù)據(jù)完整性監(jiān)視和8○○√

反應(yīng)

FIA_UAU.1鑒別的時(shí)機(jī)9○√√

FIA類(lèi)：標(biāo)識(shí)和鑒別

FIA_AFL.1鑒別失敗處理10○√√

FMT_LIM.1能力受限11√√√

FMT_LIM.2可用性受限12√√√

FMT_MSA.1安全屬性的管理13√√√

FMT類(lèi)：安全管理FMT_MSA.3靜態(tài)屬性初始化14√√√

FMT_MTD.1TSF數(shù)據(jù)的管理15√√√

FMT_SMF.1管理功能規(guī)范16√√√

FMT_SMR.1安全角色17√√√

FPT_FLS.1失效即保持安全狀態(tài)18√√√

FPT_ITT.1內(nèi)部安全功能數(shù)據(jù)傳送的19√√√

FPT類(lèi)：安全功能保護(hù)基本保護(hù)

FPT_PHP.3物理攻擊抵抗20√√√

FPT_TST.2子集TSF測(cè)試21○√√

FRU：資源利用FRU_FLT.2受限容錯(cuò)22√√√

注：√代表在該保障級(jí)下，應(yīng)選擇該組件；○代表在該保障級(jí)下，可選擇該組件；N/A代表在該保障級(jí)下，該組

件不適用；當(dāng)被評(píng)估的TOE不具備密鑰生成功能時(shí)，應(yīng)不選取FCS_CKM.1組件。

3）安全保障要求組件升級(jí)

由于本標(biāo)準(zhǔn)的修訂是按最新的CC標(biāo)準(zhǔn)進(jìn)行的，因此，此部分的內(nèi)容按最新的保障

要求進(jìn)行了升級(jí)更新。

但同時(shí)，與以前的版本相比，本草案在EAL4+的基礎(chǔ)上，增加了兩個(gè)保障級(jí)別EAL5+

7

和EAL6+。

對(duì)于安全保障要求組件的選取，本標(biāo)準(zhǔn)的EAL4+是在EAL4的基礎(chǔ)上將AVA_VAN.3

增強(qiáng)為AVA_VAN.4；EAL5+是在EAL5的基礎(chǔ)上將ALC_DVS.1增強(qiáng)為ALC_DVS.2，AVA_VAN.4

增強(qiáng)為AVA_VAN.5；EAL6+是在EAL6的基礎(chǔ)上增加ALC_FLR.1。

本標(biāo)準(zhǔn)與GB/T22186—2008相比，主要變化如下：

1)第2章將標(biāo)準(zhǔn)的引用文件更新為GB/T18336的最新版本；

2)第3章對(duì)術(shù)語(yǔ)進(jìn)行了更新描述；

3)第4章重新描述了IC卡芯片的結(jié)構(gòu)，并進(jìn)行了更清晰的TOE范圍定義；

4)第5章對(duì)安全問(wèn)題定義進(jìn)行了整合和精簡(jiǎn)，共定義了6個(gè)威脅，2項(xiàng)組織安全策

略和2個(gè)假設(shè)；

5)第6章根據(jù)新的安全問(wèn)題定義更新了對(duì)TOE安全目的的描述；

6)第7章描述了兩個(gè)擴(kuò)展族FMT_LIM和FPT_TST，分別用于處理對(duì)TOE的受限可用

性以及自檢相關(guān)的安全功能要求，以便更合理的描述IC卡芯片的安全性；

7)第8章對(duì)安全功能要求進(jìn)行了調(diào)整，以細(xì)化新的安全目的描述，明確指出了

EAL4+、EAL5+和EAL6+分別應(yīng)滿(mǎn)足的安全功能要求；并對(duì)安全保證要求進(jìn)行了調(diào)

整，增加了EAL5+和EAL6+要求的保障組件；

8)第