智能卡芯片安全技术要求.doc

智能卡芯片安全技术要求 值得拥有的资料 是来自平时学习积累总结的 有问题的地方肯定有的 还请大家批评指正！ 目 次 目 次 I 前 言 II 引 言 III 1 范围 1 2 规范性引用文件 1 3 术语和定义 1 4 集成电路卡描述 2 4.1 概述 2 4.2 特征 2 5 安全环境 4 5.1 资产 4 5.2 假设 4 5.3 威胁 5 5.4 组织安全策略 7 6 安全目的 7 6.1 集成电路卡安全目的 7 6.2 环境安全目的 9 7 安全要求 10 7.1 集成电路卡安全要求 10 7.2 环境安全要求 24 8 基本原理 25 8.1 安全目的基本原理 25 8.2 安全要求基本原理 26 8.3 满足依赖关系的基本原理 29 参考文献 35 前 言 　　本标准依据《GB/T 18336-2001信息技术 安全技术 信息技术安全性评估准则》 使用 GB/T 18336中规定的保护轮廓的结构形式 制定了集成电路卡的安全技术要求 　　本标准由全国信息安全标准化技术委员会提出并归口 　　本标准主要起草单位：中国信息安全产品测评认证中心 　　本标准主要起草人：李守鹏 付敏 潘莹 杨永生 徐长醒 　　 引 言 　　智能卡应用范围的扩大和应用环境复杂性的增加 要求集成电路卡具有更强的保护数据能力 　　本标准在GB/T 18336-2001中规定的EAL4级安全要求组件基础上 适当地增加和增强了部分安全要求组件 有效保证智能卡能够抵御中等强度攻击 　　本标准仅给出了集成电路卡应满足的安全技术要求 对集成电路卡的具体技术实现方式、方法等不做描述 具有中央处理器的集成电路（IC）卡 安全技术要求（EAL4 增强级） 1 范围 　　本标准规定了对智能卡的EAL4 增强级集成电路卡进行安全保护所需要的安全技术要求 　　EAL4 增强级是在EAL4 的基础上增加了模块化组件 并且将脆弱性分析要求由可以抵御低等攻击的组件提升到可以抵御中等攻击潜力攻击的组件 　　本标准适用于集成电路卡的研制、开发、测试、评估和产品的采购 2 规范性引用文件 　　下列文件中的有关条款通过在本标准有关部分的引用而成为本部分的条款 凡注日期或版次的引用文件 其后的任何修改单（不包括勘误的内容）或修订版本都不适用于本标准 但提倡使用本标准的各方探讨使用其最新版本的可能性 凡不注日期或版次的引用文件 其最新版本适用于本标准 　　GB/T 18336.1-2001 信息技术 安全技术 信息技术安全性评估准则 第1部分： 简介和一般模型 　　GB/T 18336.2-2001 信息技术 安全技术 信息技术安全性评估准则 第2部分： 安全功能要求 　　GB/T 18336.3-2001 信息技术 安全技术 信息技术安全性评估准则 第3部分： 安全保证要求 3 术语和定义 　　GB/T 18336-2001确立的以及下列术语和定义适用于本标准 3.1 应用软件 application software 　　智能卡的一部分 架构于基础软件之上 实现智能卡的应用功能 3.2 基础软件 basic software 　　集成电路卡的核心部分 实现智能卡的核心功能 如：操作系统、通用例程和解释器等 3.3 初始化数据 initialization data 　　在IC制造阶段写入的与制造有关的数据 如集成电路卡的标识号 3.4 个人化数据 personalization data 　　在个人化阶段写入的个性化数据 3.5 预个人化数据 pre-personalization data 　　在个人化阶段之前写入的非个性化数据 3.6 IC专用软件 IC dedicated software 　　IC专用软件也叫集成电路固件 是指那些由集成电路卡设计者开发并且在集成电路生产者交付之后依旧以物理形式存在于智能卡集成电路中的专用软件 这些专用软件通常在生产过程中用于测试（IC专用测试软件） 也可以用来提供额外的服务以便硬件的使用或提供附加的服务（IC专用支持软件） 3.7 IC专用测试软件 IC dedicated test software 是指那些在集成电路卡交付之前用来测试集成电路卡的IC专用软件 但在集成电路卡交付之后不提供任何功能 3.8 IC专用支持软件 IC dedicated support software 　　是指那些在集成电路卡交付之后提供功能的IC专用软件 其部分功能可能局限于集成电路卡生命周期中的特定阶段 3.9 嵌入式软件 smartcard embedded software 　　集成电路卡中的嵌入式软件不是由IC设计者开发的 嵌入式软件在软件开发阶段