收藏
下载资源

信息安全技术智能卡嵌入式软件安全技术要求(EAL4增强级)

上传人:f****u 文档编号:110572674 上传时间:2019-10-30 格式:PDF 页数:39 大小:1.96MB
返回 下载 相关 举报
信息安全技术智能卡嵌入式软件安全技术要求(EAL4增强级)_第1页
第1页 / 共39页
信息安全技术智能卡嵌入式软件安全技术要求(EAL4增强级)_第2页
第2页 / 共39页
信息安全技术智能卡嵌入式软件安全技术要求(EAL4增强级)_第3页
第3页 / 共39页
信息安全技术智能卡嵌入式软件安全技术要求(EAL4增强级)_第4页
第4页 / 共39页
信息安全技术智能卡嵌入式软件安全技术要求(EAL4增强级)_第5页
第5页 / 共39页
点击查看更多>>
资源描述

《信息安全技术智能卡嵌入式软件安全技术要求(EAL4增强级)》由会员分享,可在线阅读,更多相关《信息安全技术智能卡嵌入式软件安全技术要求(EAL4增强级)(39页珍藏版)》请在金锄头文库上搜索。

1、GB/T20276-2006GB/T20276-2006 信息安全技术 智能卡嵌入式软件安全技 术要求( E A L 4增强级) 信息安全技术 智能卡嵌入式软件安全技 术要求( E A L 4增强级) Information security technologySecurity requirements for smartcard embedded software(EAL4+) 自 2006-12-1 起执行 目次 前言 引言 1 范围 2 规范性引用文件 3 术语和定义 4 智能卡嵌入式软件描述 4.1 概述 4.2 特征 5 安全环境 5.1 资产 5.2 假设 5.3 威胁 5.4

2、组织安全策略 6 安全目的 6.1 智能卡嵌入式软件安全目的 6.2 环境安全目的 7 安全要求 7.1 智能卡嵌入式软件安全要求 7.2 环境安全要求 8 基本原理 8.1 安全目的基本原理 8.2 安全要求基本原理 8.3 满足依赖关系的基本原理 参考文献 前言 本标准由全国信息安全标准化技术委员会提出并归口。 本标准主要起草单位:中国信息安全产品测评认证中心。 本标准主要起草人:李守鹏、徐长醒、付敏、简余良、凌晨、潘莹、杨永生、祁斌、黄 小鹏、杨延辉、李昊、赵子渊、李永禄。 引言 智能卡应用范围的扩大和应用环境复杂性的增加, 要求知能卡嵌入式软件具有更强的保 护数据能力。 本标准在 GB

3、/T 183662001 中规定的 EAL4 级安全要求组件的基础上, 增加了模块化组 件(ADV_INT),并且将脆弱性分析要求由可以抵御低等攻击的组件(AVA VLA.2)提升到可 以抵御中级攻击潜力攻击的组件(AVA VLA.3)。 本标准仅给出了智能卡嵌入式软件应满足的安全技术要求, 对智能卡嵌入式软件的具体 技术实现方式,方法等不做描述。 信息安全技术智能卡嵌入式软件 安全技术要求(EAL4 增强级) 1 范围 本标准规定了对 EAL4 增强级的智能卡嵌入式软件进行安全保护新需要的安全技术要 求。 本标准适用于智能卡嵌人式软件的研制、开发、测试、评估和产品的采购。 2 规范性引用文件

4、 下列文件中的条款通过本标准的引用而成为本标准的条款。 凡是注日期的引用文件, 其 随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准, 然而, 鼓励根据本标准 达成协议的各方研究是否可使用这些文件的最新版本。 凡不注日期的引用文件, 其最新版本 适用于本标准。 GBT 1833.62001 信息技术 安全技术 信息技术安全性评估准则 第 1 部分: 简介和 一般模型(idt ISOIEC 15408-1:1999) GBT 18336.22001 信息技术 安全技术 信息技术安全性评估准则 第 2 部分:安全 功能要求(idt ISO/IEC 15408-2:1999) GB1 1

5、8336.32001 信息技术 安全技术 信息技术安全性评估准则 第 3 部分:安全 保证要求 (idt ISOIEC 15408-3:1999) 3 术语和定义 GBT 183362001 确立的以及下列术语和定义适用于本标准。 3.1 应用软件 application software 智能卡嵌入式软件的一部分,架构于基础软件之上,实现智能卡的应用功能。 3.2 基础软件 basic software 智能卡嵌入式软件的核心部分,实现智能卡的核心功能,如:操作系统、通用例程和解 释器等。 3.3 个人化数据 personalization data 在个人化阶段写人的个性化数据。 3.4

6、预个人化数据 pre-personalization data 在预个人化阶段写入的非个性化数据。 4 智能卡嵌入式软件描述 4.1 概述 智能卡嵌入式软件指掩膜在智能卡存储器中并可运行的软件, 一般由应用软件和基础软 件组成。 其主要功能是控制智能卡和外界的信息交换, 管理智能卡的存储器并完成各种命令 的处理。 4.2 特征 4.2.1 智能卡嵌入式软件的生命周期的特征 智能卡嵌人式软件的生命周期包含在智能卡产品的生命周期之中。 智能卡产品的生命周 期可分为以下几个阶段,各个阶段内容如表 1 所示: 表 1 智能卡产品的生命周期 在阶段 2 设计的智能卡嵌入式软件在阶段 3 或阶段 5 期间

7、写入集成电路。 生命周期中的所有阶段和阶段间的交付必须遵循修改监测 (ADO_DEL.2) 安全保证要求。 4.2.2 开发环境的特征 开发环境必须设置访问控制策略和严格执行访问控制措施,保证开发过程的可追溯性。 4.2.3 使用环境的特征 智能卡在发行以后, 使用环境难以控制, 攻击者可能会采用各种手段对智能卡进行攻击, 以便获取敏感数据。 因此, 智能卡嵌入式软件必须保证系统内的信息在使用环境下的机密性 和完整性。 5 安全环境 5.1 资产 需要保护的资产: 用户数据(例如智能卡持有者使用的数据); 系统数据(例如软件的开发者、发行者使用的与安全相关的数据); 应用数据(例如网络连接接口

8、参数、系统参数、初始化数据、智能卡的预个人化和 个人化数据); 各种密钥或口令; 软件设计及其说明、实现和相关文档; 软件的开发工具与技术。 在智能卡嵌入式软件研发、 系统生成、 数据加载和交付使用过程中必须保证上述资产的 机密性和完整性。 5.2 假设 5.2.1 攻击者的能力(A.Attack) 假设攻击者有足够的时间,并且具有各种专业知识、资源和动机。专业知识包括半导体 技术、黑客技术、与智能卡嵌入式软件相关的技术知识等;资源包括个人电脑、读写设备、 测试设备、软件程序等;动机包括经济利益、国家利益或攻破专业安全系统后的满足感等。 5.2.2 用户权限(A.User) 假设特定用户拥有访

9、问智能卡嵌入式软件所管理的某些信息的权限。 5.2.3 管理者能力(A.Admin) 假设已指派一个或多个授权管理者负责智能卡嵌入式软件安全特性的管理, 他们胜任工 作并且诚实可靠。 5.2.4 角色管理(A.Role_Man) 假设智能卡的生命周期中涉及的角色被安全地管理, 这些角色包括智能卡的开发者、 发 行者、管理者和使用者。 5.2.5 外部数据存储(A.Data_Store) 假设以安全的方式管理相关的外部数据。 外部数据包括与智能卡及其软件直接相关的敏 感信息,如个人化数据、所有者身份等,以及与智能卡嵌入式软件不直接相关的数据。这些 信息如果被泄漏,可能危及智能卡安全。 5.2.6

10、 生命周期管理(A.Life_Man) 智能卡嵌入式软件的生命周期包含在智能卡生命周期中。 假设智能卡的生命周期的每个 阶段都被唯一标识,并可通过标识信息追溯到生命周期的各个阶段。 5.2.7 密钥生成(A.Key_Gen) 在智能卡应用系统中, 不同的实体会向嵌入式软件引入各种密钥。 假设这些密钥的生成 是安全的。 5.3 威胁 5.3.1 对智能卡嵌入式软件的威胁 5.3.1.1 使用中的威胁 5.3.1.1.1 用户错误(T.Us_Error) 智能卡嵌入式软件的授权用户可能通过引入错误数据或进行了不适当操作等, 危及智能 卡嵌入式软件的安全特性。 5.3.1.1.2 未授权操作(T.U

11、a Op) 攻击者可能通过未授权操作智能卡嵌入式软件来探测或修改智能卡嵌入式软件的安全 特性。 如在智能卡嵌入式软件中存在未公开的命令或功能, 对这些命令或功能的未授权操作 会危及智能卡嵌入式软件的安全特性。 5.3.1.1.3 未授权程序装载(T.Ua Load) 攻击者可能利用未授权的程序探测或修改智能卡嵌入式软件安全功能代码及数据, 未授 权程序包括非法装载的程序以及在正常操作期间不希望被执行的合法程序。 5.3.1.1.4 命令操纵(T.Cmd_Str) 攻击者可能异常地使用软件命令非法获得存储器内容。 例如, 通过执行越界请求或使用 畸形的命令格式。 5.3.1.1.5 强制重置(T

12、.Forcd_Rst) 攻击者可能通过不正常中断方式使智能卡进入不安全状态。可能的手段包括: a) 异常中止智能卡与读写设备之间的通信; b) 插人中断; c) 选择特定应用使文件保持在打开状态等。 5.3.1.1.6 缺陷插入(T.Flt_Ins) 攻击者可能通过反复地插人选定的数据或错误, 并观察相应的输出结果, 从而获得重要 信息。这种威胁的特点是有目的选择和控制输入数据,而不是随机选择或控制。 5.3.1.1.7 重放攻击(T.Reuse) 攻击者可能通过重用合法鉴别数据旁路安全机制或探测智能卡嵌入式软件信息。 5.3.1.1.8 数据装载故障(T.Load_Mal) 攻击者可能通过在

13、待装载数据中恶意地生成错误, 试图修改或破坏智能卡嵌入式软件的 安全功能。 5.3.1.1.9 对初始使用权的欺骗(T.First_Use) 攻击者可能通过未授权使用新的或未发行的智能卡而非法获得智能卡嵌入式软件信息。 智能卡的发行过程包括各种标识的设定, 这些标识可用在智能卡的内部或用来向外部发 行实体标明该智能卡生效。 5.3.1.1.10 身份冒充(T.Impers) 攻击者可能冒充智能卡的授权管理员或用户而非法获得智能卡嵌入式软件信息。 5.3.1.1.11 非法访问(T.Access) 使用者或攻击者可能在未经信息或资源的拥有者或责任者许可的条件下对信息或资源 进行访问。 每个授权角

14、色都有特定的权限来访问智能卡嵌入式软件分配或指定的区域及其包含的 信息,如果访问超出规定权限,会导致安全相关信息的暴露。 5.3.1.1.12 数据空间搜索(T.Search) 攻击者可能利用对数据空间的反复搜索确定重要信息。 攻击者可能重复使用命令获取尽可能多的数据空间中的信息,并提取安全相关信息。 5.3.1.1.13 审计失败(T.Aud_Fail) 如果审计失败, 那么攻击者可能通过重复探测来获取存储器内容, 或改变智能卡嵌入式 软件的安全功能的关键要素。 5.3.1.1.14 版本攻击(T.Gen_Atk) 攻击者可能使用不同发行版本的智能卡嵌入式软件, 利用它们在安全功能实施方面的

15、差 异获取智能卡嵌入式软件的重要安全信息。 攻击者可能利用为以前版本的开发技术获取后续版本中的安全信息。 5.3.1.1.15 使用被禁止的生命周期功能(T.LC_Ftn) 攻击者可能会利用相关命令, 尤其是测试和调试命令来获取智能卡及其嵌入软件安全功 能数据或敏感的用户数据, 这些命令在智能卡及其嵌入软件生命周期的以往某些阶段是必要 的,但在现阶段是被禁止的。例如,在使用阶段测试命令或调试命令可能用于显示内存或执 行其他功能。 5.3.1.1.16 密码攻击(T.Crypt_Atk) 攻击者可能实施密码攻击或穷举攻击危及智能卡嵌入式软件的安全功能。 5.3.1.1.17 综合分析(T.Lin

16、k) 攻击者可能观察实体使用的多种资源和服务的状况,推导出该实体希望保护的信息。 攻击者利用观察到的多种结果进行综合分析, 获得相关信息。 攻击者利用这些信息可以 直接获取安全信息,或者可以综合出某种攻击手段,进而获取智能卡要保护的安全信息。 5.3.1.1.18 联合攻击(T.Lnk_Atk) 攻击者通过先期攻击导致系统状态不稳或安全能力弱化,从而保证后续攻击成功。 5.3.1.1.19 克隆(T.Clon) 攻击者可能克隆部分或全部智能卡嵌入式软件的功能实施攻击。 攻击者可能通过对智能卡嵌入式软件本身的详细观察或者通过非法获取智能卡设计信 息,克隆部分或全部智能卡嵌入式软件。 5.3.1.2 开发中的威胁 5.3.1.2.1 软件泄漏(T.Dis_Soft) 攻击者可能通过非法获取或未授权使用软件信息获得对智能卡相关受控信息和功能的 访问权限。 软件信息可能包括智能卡嵌入式软件的系统结构、 实现安全功能的安全机制、 初始化过 程和参数、访问控制机制、鉴别机制、数据保护机制、软件对存储器管理和分区机制、密码 算法程序等。

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 学术论文 > 其它学术论文

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号