1 范围

      本标准规定了智能卡安全技术要求，包括智能卡描述、安全问题定义、安全目的、安全要求和基本原理等技术要求。

      本标准适用于智能卡产品的测试、评估，也可用于该类产品的研制和开发。

2 规范性引用文件

      下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

      GB/T 18336.1-2015 信息技术安全技术 信息技术安全评估准则 第1部分：简介和一般模型

      GB/T 18336.2-2015 信息技术安全技术 信息技术安全评估准则 第2部分：安全功能组件

      GB/T 18336.3-2015 信息技术安全技术 信息技术安全评估准则 第3部分：安全保障组件

      GB/T 22186-2016 信息安全技术 具有中央处理器的IC卡芯片安全技术要求

3 术语和定义

      GB/T 18336.1-2015界定的术语和定义适用于本文件。

3.1

      集成电路 integrated circuit

      采用一定工艺，将电阻、电容、晶体管互连，用于执行运算处理或存储功能的电子元器件。

3.2

      智能卡 smart card

      具有中央处理器的集成电路卡。

      注：从数据传输方式上可分为接触式智能卡和非接触式智能卡。

4 缩略语

      下列缩略语适用于本文件。

      APDU：应用协议数据单元（Application Protocol Data Unit）

      COS：芯片操作系统（Chip Operating System）

      EAL：评估保障级（Evaluation Assurance Level）

      IC：集成电路（Integrated Circuit）

      TOE：评估对象（Target of Evaluation）

      TSF：评估对象安全功能（TOE Security Function）

      USB：通用串行总线（Universal Serial Bus）

5 智能卡描述

5.1 总体结构

      智能卡总体结构及运行环境，如图1所示。智能卡的安全性包括芯片、嵌入式软件、应用接口三个层面，芯片安全是物理基础，嵌入式软件安全是充分利用芯片的安全特性，建立完整的安全机制、安全体系，应用接口安全是运用芯片、嵌入式软件构建的安全机制、安全体系，满足特定应用需求，兼顾安全性与便利性。在对智能卡的安全性进行考虑时，除了要求其组成部分芯片和COS分别满足相关技术要求外，还应从整体性上综合考虑安全性和防护措施，以保证整个系统的安全。

图1 智能卡总体结构

      总体结构说明如下：

      a）具有中央处理单元的IC卡芯片：包括中央处理单元、随机存取存储器、非易失性存储器、I/O接口（接触式、非接触式或其他类型接口，如USB接口）、随机数发生器、密码算法协处理器和安全防攻击电路（如用于防止物理探测、环境压力威胁的硬件模块）。

      b）嵌入式软件：管理芯片硬件资源和数据，并实现对应用功能的支持。该软件通常存放在底层芯片硬件的非易失性存储器中，通过芯片的通信接口与智能卡终端设备交换信息，以响应用户发起的数据加密、数据签名及鉴权认证等应用请求。嵌入式软件由负责处理芯片硬件接口，实现文件管理、安全管理、通信处理和应用处理等功能的模块组成，其中安全管理模块提供安全配置、安全事务处理及密码支持等功能，以便为其他模块的安全执行提供支持。

      c）应用接口：运用嵌入式软件提供的功能和安全机制，以实现对特定应用功能的支持。

5.2 密码算法

      密码算法可由软件或者硬件实现。智能卡中使用的密码算法和密钥管理应遵循智能卡相关国家标准、行业标准和国家密码主管部门的规定。

5.3 环境

      智能卡即便暴露在非标准环境，也应能够进入到一种安全的运行状态。环境影响因素包括温度、电压、频率或外部能量场等。

6 安全问题定义

6.1 综述

      智能卡是硬件与软件的结合体，其安全性应从硬件及软件、应用三个层面上来考虑，也就是从芯片层面、COS层面和应用层面来综合考虑。

6.2 资产

6.2.1 组成

      资产应由TOE直接保护的安全相关的信息或资源组成，可分为由用户创建并使用的用户数据以及由TOE创建并使用的TOE数据。

      为保护上述资产，智能卡开发和生产阶段使用的各种信息和工具，也需要保护。

      需要保护的资产应包括：

      a）智能卡嵌入式软件；

      b）智能卡存储和处理的用户数据（例如嵌入式软件所使用的数据）；

      c）智能卡存储和处理的安全功能数据（例如安全属性、鉴别数据、访问控制列表、密钥等）；

      d）智能卡的逻辑设计信息、物理设计信息；

      e）特定的安全芯片开发辅助工具（例如掩膜数据生成工具）；

      f）支持嵌入式软件开发的信息（例如开发资料和开发平台）；

      g）与测试和特征有关的数据；

      h）初始化数据与预个人化数据；

      i) 其他与特定功能有关的重要资产（例如智能卡产生的随机数）。

6.2.2 用户数据

      用户数据应包括：

      a) D.APP＿CODE：下载到智能卡内的应用和库的代码，需要受到保护以免遭未经授权的修改；

      b）D.APP＿C＿DATA：应用程序的保密性敏感的数据，如对象包含的数据、包的静态字段、当前执行方法的局部变量、操作数栈的位置，需要受到保护以免遭未经授权的暴露；

      c) D.APP＿I＿DATA：应用程序的完整性敏感的数据，如卡号、交易记录、对象包含的数据、包的静态字段、当前执行方法的局部变量以及操作数栈的位置等，需要受到保护以免遭未经授权的修改；

      d) D.PIN：任何终端用户的PIN，需要受到保护以免遭未经授权的暴露和修改；

      e) D.APP＿KEYs：应用拥有的密钥，如充值密钥、消费密钥，需要受到保护以免遭未经授权的暴露和修改；

      f) D.ISD＿KEYS：发行商主密钥、应用提供商密钥、应用维护密钥等，需要受到保护以免遭未经授权的暴露和修改。

6.2.3 系统数据

      系统数据应包括：

      a）D.CARD＿MNGT＿DATA：智能卡管理数据，如应用的标识符、特权、生命周期状态、存储资源的限额等，需要受到保护以免遭未经授权的修改；

      b）D.ES＿CODE：嵌入式软件框架部分的代码，需要受到保护以免遭未经授权的修改；

      c) D.ES＿DATA：嵌入式软件执行必要的内部运行时的数据区，如栈帧、程序计数器、对象的类、为数据分配的长度以及任何用于链接数据结构的指针等，需要受到保护以免遭未经授权的暴露和修改；

      d) D.SEC＿DATA：嵌入式软件运行时安全数据，如用于标识已安装的应用程序、当前选择的应用程序、每个对象的拥有者以及执行的当前上下文的AID，需要受到保护以免遭未经授权的暴露和修改；

      e) D.A I＿DATA：应用编程接口的私有数据，如私有字段的内容，需要受到保护以免遭未经授权的暴露和修改；

以上为标准部分内容，也可点击下方链接下载标准原文：

下载地址：《GB/T 36950-2018 信息安全技术 智能卡安全技术要求（EAL4+）》