9.2　安全要求

9.2　安全要求

9.2.1　設備芯片要求

SSCD中的安全芯片必須滿足如下安全要求：
a) SSCD支持非對稱密鑰對生成算法，簽名密鑰對必須在設備芯片內部生成，電子簽名制作數據即私鑰，在任何時刻都不得以任何形式出現在設備芯片外部；
b) 在進行簽名過程中，待簽數據的散列值必須傳入SSCD中，由設備內的電子簽名制作數據進行簽名運算；

9.2.2　對電子簽名人的鑒別要求

與電子簽名人唯一對應的電子簽名制作數據存放在SSCD中，在簽名進行之前電子簽名人向SSCD出示用以鑒別電子簽名人對SSCD具有訪問控制權的身份證明信息，SSCD需提供安全鑒別措施。

• 基于知識的簽名人鑒別（如PIN碼或口令）；
• 基于生物特征的簽名人鑒別。
  SSCD對電子簽名人的鑒別必須滿足以下要求：
  a) 在電子簽名人成功出示簽名人鑒別數據（如PIN碼、口令或指紋等）之后，SSCD的“安全狀態”設置為允許簽名，SSCD的安全狀態是否需要保持，依賴于電子簽名人對SSCD的設置。
  b) SSCD中設置相關安全措施，限制簽名人鑒別數據的錯誤輸入次數，當達到預先設置的鑒別失敗次數時，可鎖定一段時間，防止對簽名人鑒別數據的攻擊。

  9.2.3　使用環境要求

  SSCD有兩種使用環境：可信環境和不可信環境。
  可信環境是指SCA處于電子簽名人控制的安全應用環境，即SCA與SSCD除了電子簽名人或其授權外，任何情況無法訪問和使用，如家庭或辦公室。
  不可信環境是指SCA處于不完全由電子簽名人控制的應用環境，即SCA與SSCD存在被非授權訪問和使用風險，如服務大廳等公共環境。