一、任務來源

《信息安全技術具有中央處理器的集成電路（IC）卡芯片安全技術要求（評估保

證級4增強級）》于2008年成為國家標準，標準號為GB/T22186-2008。但隨著技術的

發(fā)展，已有4年歷史的GB/T22186-2008在時效性、易用性、可操作性上還需提高。鑒

于此，2012年，中國信息安全測評中心聯(lián)合北京多思科技工業(yè)園股份有限公司、清華大

學向信安標委申請對GB/T22186進行修訂。

根據(jù)國家標準化管理委員會2012年下達的國家標準制修訂計劃，國家標準《信息

安全技術具有中央處理器的集成電路（IC）卡芯片安全技術要求（評估保證級4增強

級）》修訂任務由中國信息安全測評中心負責主辦，標準計劃號為XXXXXXXXXX（全國信

息安全標準化技術委員會2012年信息安全專項）。

二、編制原則

此標準將考慮智能卡芯片應用的各個安全方面，包括設計，使用、維護等環(huán)節(jié)，在

數(shù)據(jù)保護，訪問控制，鑒別認證、安全管理、傳輸安全、密碼使用等方面制定相關要求，

以確保產(chǎn)品的機密性、完整性和可用性，使該標準可以用于指導芯片產(chǎn)品的研制、開發(fā)、

測試、評估及采購。

編制過程中本著“規(guī)范、合理、系統(tǒng)、適用”的原則，注重先進性、規(guī)范性、實用

性，也兼顧了與我國現(xiàn)有政策、法規(guī)與標準的執(zhí)行范圍。

該標準具有很好的時效性、連貫性、易于理解與操作的特點，將在產(chǎn)品的開發(fā)、測

評和應用方面建立起內(nèi)在一致的交互平臺，并作為指導產(chǎn)品研發(fā)與測評的基準。實現(xiàn)行

業(yè)內(nèi)各項目、地區(qū)之間安全標準的統(tǒng)一，規(guī)范國內(nèi)智能卡芯片應用市場，確保產(chǎn)品有嚴

格的、可控制的、規(guī)范的安全特性，提升我國智能卡芯片產(chǎn)品應用的總體安全水平。

三、主要工作過程

1）2012年12月成立了《信息安全技術具有中央處理器的集成電路（IC）卡芯片

安全技術要求（評估保證級4增強級）》標準編制組。

2）2013年1月至7月，標準編制組調(diào)研了國際上針對芯片的測評情況，充分借鑒

了國外的成功經(jīng)驗，并結合國內(nèi)的實際情況，修訂出標準草案第一稿。

3）2013年8月8日，安標委WG5工作組專家對標準進行了評審。會后，標準編制

組按照專家提出的修改建議，對草案進行了修改，形成了標準草案第二稿。

3）2013年10月10日，參加安標委WG5工作組專家評審會，《信息安全技術具有

中央處理器的集成電路（IC）卡芯片安全技術要求（評估保證級4增強級）》草案通過

了評審，并將標準名稱改為《信息安全技術具有中央處理器的集成電路（IC）卡芯片

安全技術要求》。會后，標準編制組根據(jù)評審的專家意見對草案進行修改并再次咨詢了

王立福教授，形成并提交了標準草案第三稿。

4）2013年10月23至31日,信安標委WG5工作組組織各成員單位對標準草案進行

了投票，全體投票通過。

5）2013年11月20日，信安標委WG5工作組組織集中對標準的內(nèi)容和格式進行統(tǒng)

一修改,并將名稱改為《信息安全技術具有中央處理器的IC卡芯片安全技術要求》。

6）2013年11月21日，標準編制組根據(jù)投票意見對征求意見稿進行了修訂，形成

征求意見稿。

四、標準的主要內(nèi)容

GB/T22186為具有中央處理器的集成電路（IC）卡芯片類產(chǎn)品定義了一組與具體實

現(xiàn)無關的、完整的、緊密關聯(lián)的最小安全要求集合；標準描述了集成電路（IC）卡芯片

使用的環(huán)境和面臨的威脅；陳述相應保障級別的集成電路（IC）卡芯片應該達到的安全

目的和必須滿足的安全技術要求和安全保障要求，以及它們之間的基本原理。

國家標準GB/T18336-2008是等同采用國際標準ISO/IEC15408：2005而制定的。

而ISO/IEC15408:2005核心為CCv2.3版的內(nèi)容。目前，國際標準ISO/IEC15408已

更新至2009版，其核心為CCv3.1版的內(nèi)容，版本升級較大，其內(nèi)容也有較大變化。

國外PP的制定、產(chǎn)品的評估都已經(jīng)依據(jù)新版本更新了相應內(nèi)容。而目前國內(nèi)GB/T22186

還依據(jù)較低的CC版本，一直未更新。本項目將結合目前國內(nèi)外最新技術的發(fā)展情況，

來完善GB/T22186。

本標準從以下幾方面描述了智能卡芯片的安全技術要求：

描述智能卡芯片的基本結構，以及TOE的邊界定義。

描述智能卡芯片的安全問題，包括智能卡芯片保護的資產(chǎn)、智能卡芯片在其運

行環(huán)境中可能遇到的威脅、組織安全策略以及針對環(huán)境的假設。

描述智能卡芯片的安全目的，包含了智能卡芯片應達到的安全目的和其環(huán)境應

達到的安全目的。

定義了智能卡芯片必須滿足的安全要求，包括智能卡芯片的信息技術安全功能

要求和安全保障要求，以及組件之間依賴關系的基本原理。

本標準主要在三個方面做了修改，具體內(nèi)容如下。

7

1）安全問題定義精簡

原標準在安全問題定義中共設立了4個假設、16個威脅，及4項組織安全策略，本

標準修訂過程采用威脅建模領域的國際成熟方法，對原標準進行了整合和精簡。

本標準對智能IC卡芯片在應用階段面臨的威脅進行了標識。該方法從訪問接口和

資產(chǎn)出發(fā)，以系統(tǒng)地建立威脅模型，使攻擊者從任何訪問渠道都無法獲得或篡改敏感信

息或TOE功能，以保護資產(chǎn)的安全性。根據(jù)IC卡芯片的運行環(huán)境特點，攻擊者可從三

個渠道訪問IC卡芯片。

（1）常規(guī)的邏輯接口，即指令交互接口；

（2）側信道接口，主要包括功耗、電磁和時耗等側信息的測量信道接口；

（3）電路和電氣接口，主要包括芯片的供電及頻率輸入接口，以及硬件電路和存

儲器等接口。

為了更詳細地刻畫威脅的含義，威脅建模過程對每個威脅都將進行分解，直至后續(xù)

分解需要引入TOE的詳細設計細節(jié)，或當前分解過程已滿足自證性為止。其中，對數(shù)據(jù)

泄漏和篡改威脅進行分解，可得到以下的威脅模型圖。由于安全能力濫用威脅與數(shù)據(jù)泄

露威脅的建模方式類似，在此不做詳細描述。

圖1：數(shù)據(jù)泄漏威脅建模圖

7

圖2：數(shù)據(jù)篡改威脅建模圖

由于對每個威脅節(jié)點進行分解時會以事件分解的完備性為原則，因而每次分解的正

確性都可以得到保證。在建模結束后，提取出所有的葉子節(jié)點，并對其進行綜合處理，

就可標識出IC卡芯片面臨的主要威脅，具體為：生命周期功能濫用、信息泄露、故障

利用、物理操作、以及邏輯攻擊。對這些威脅的具體描述可參見標準第5章。

為了保障TOE的安全運行，TOE的開發(fā)、生產(chǎn)、交付和運行環(huán)境等也需要滿足一定

的安全條件。為此，在組織安全策略描述了相應的規(guī)章制度、操作規(guī)程和指導性規(guī)則，

同時還以假設的形式描述了TOE的外部數(shù)據(jù)管理及嵌入式軟件開發(fā)方面需要滿足的其他

條件。按照上述方式，本草案共描述了6個威脅、2項組織安全策略和2個假設，因而

對原有的安全問題定義進行了簡化，提高了標準的可理解性。

2）安全功能要求組件變更

為適應新的安全問題定義，標準修訂時對組件進行了更新，去除了一些不適用的組

件，同時也結合實際情況添加了一部分組件。在這些新添加的組件中，F(xiàn)MT_LIM.1、

FMT_LIM.2和FPT_TST.2是借鑒國外成熟的案例而擴展出來的。最后形成的組件如下表

所示。

表1：安全功能要求組件

7

備注

安全功能類安全功能要求組件編號

EAL4+EAL5+EAL6+

FCS_CKM.1密鑰生成1√√√

FCS類：密碼支持

FCS_COP.1密碼運算2√√√

FDP_ACC.1子集訪問控制3√√√

FDP_ACF.1基于安全屬性的訪問控4√√√

制

FDP_IFC.1子集信息流控制5√√√

FDP類：用戶數(shù)據(jù)保護

FDP_ITT.1基本內(nèi)部傳送保護6√√√

FDP_SDI.1存儲數(shù)據(jù)完整性監(jiān)視7○√N/A

FDP_SDI.2存儲數(shù)據(jù)完整性監(jiān)視和8○○√

反應

FIA_UAU.1鑒別的時機9○√√

FIA類：標識和鑒別

FIA_AFL.1鑒別失敗處理10○√√

FMT_LIM.1能力受限11√√√

FMT_LIM.2可用性受限12√√√

FMT_MSA.1安全屬性的管理13√√√

FMT類：安全管理FMT_MSA.3靜態(tài)屬性初始化14√√√

FMT_MTD.1TSF數(shù)據(jù)的管理15√√√

FMT_SMF.1管理功能規(guī)范16√√√

FMT_SMR.1安全角色17√√√

FPT_FLS.1失效即保持安全狀態(tài)18√√√

FPT_ITT.1內(nèi)部安全功能數(shù)據(jù)傳送的19√√√

FPT類：安全功能保護基本保護

FPT_PHP.3物理攻擊抵抗20√√√

FPT_TST.2子集TSF測試21○√√

FRU：資源利用FRU_FLT.2受限容錯22√√√

注：√代表在該保障級下，應選擇該組件；○代表在該保障級下，可選擇該組件；N/A代表在該保障級下，該組

件不適用；當被評估的TOE不具備密鑰生成功能時，應不選取FCS_CKM.1組件。

3）安全保障要求組件升級

由于本標準的修訂是按最新的CC標準進行的，因此，此部分的內(nèi)容按最新的保障

要求進行了升級更新。

但同時，與以前的版本相比，本草案在EAL4+的基礎上，增加了兩個保障級別EAL5+

7

和EAL6+。

對于安全保障要求組件的選取，本標準的EAL4+是在EAL4的基礎上將AVA_VAN.3

增強為AVA_VAN.4；EAL5+是在EAL5的基礎上將ALC_DVS.1增強為ALC_DVS.2，AVA_VAN.4

增強為AVA_VAN.5；EAL6+是在EAL6的基礎上增加ALC_FLR.1。

本標準與GB/T22186—2008相比，主要變化如下：

1)第2章將標準的引用文件更新為GB/T18336的最新版本；

2)第3章對術語進行了更新描述；

3)第4章重新描述了IC卡芯片的結構，并進行了更清晰的TOE范圍定義；

4)第5章對安全問題定義進行了整合和精簡，共定義了6個威脅，2項組織安全策

略和2個假設；

5)第6章根據(jù)新的安全問題定義更新了對TOE安全目的的描述；

6)第7章描述了兩個擴展族FMT_LIM和FPT_TST，分別用于處理對TOE的受限可用

性以及自檢相關的安全功能要求，以便更合理的描述IC卡芯片的安全性；

7)第8章對安全功能要求進行了調(diào)整，以細化新的安全目的描述，明確指出了

EAL4+、EAL5+和EAL6+分別應滿足的安全功能要求；并對安全保證要求進行了調(diào)

整，增加了EAL5+和EAL6+要求的保障組件；

8)第