7.1　TOE安全目的

7.1　TOE安全目的

7.1.1　安全集成電路芯片安全目的

邏輯保護（O.Log_Prot）
智能卡芯片應具有抗邏輯操縱或修改的結果，以抵抗邏輯攻擊。
智能卡芯片的設計和編程應達到下述要求：能夠抵抗通過對邏輯操作的攻擊來威脅安全特性的企圖。當智能卡芯片受到邏輯探測和命令修改的攻擊時，應能保證其內部安全信息不被泄漏。
防信息泄漏（O.I_Leak）
智能卡芯片必須提供控制和限制信息泄漏的方法，使得有用信息不會通過電源、時鐘、復位、I/O線而泄漏。
智能卡芯片的設計和編程應達到下述要求：攻擊者無法通過分析諸如功耗等因素的變化來獲取操作過程的信息或其他安全信息。
初始化（O.Init）
智能卡芯片必須假定在上電、復位或其他重啟操作之后必須進入指定初始狀態。
無論以何種方式復位，智能卡芯片都應進入定義好的受控初始狀態。此目的應能防止攻擊者操縱智能卡芯片使其處于未定義的狀態。
防缺陷插入（O.Flt_Ins）
智能卡芯片必須能抵御插入缺陷數據重復探測的攻擊。
智能卡芯片必須能夠防止通過分析重復探測的響應而導致的信息泄漏。目標是通過檢測攻擊并且開始校正來抵御這種嘗試。
設置順序（O.Set_Up）
在智能卡芯片投入使用之前，必須為其設置操作順序。
智能卡芯片必須在受控且經過定義的方式下操作。這是為了防止在智能卡芯片的安全保護機制被使能或保護代碼被輸入之前使用此智能卡芯片。
數據訪問控制（O.DAC）
智能卡芯片必須基于單個用戶或已標識用戶組，為用戶提供控制和限制訪問他們所擁有的或負責的對象和資源的方法。
對智能卡芯片來說，不同的使用者、管理者、發行者等都要對自己掌握的資產進行控制。這些規則表現為數據擁有者的需求，必須在安全功能要求中的基于安全屬性的訪問控制（FDP_ACF.1）的安全功能策略中給出。
數據讀取格式（O.D_Read）
數據在智能卡芯片的各個模塊間傳輸時，必須對數據格式保持一致的要求。
智能卡芯片必須以某種方式保證發生在數據傳輸過程中的探針攻擊不會發生在存儲位置的探針攻擊獲得更多的信息。
生命周期功能（O.Life_Cycle）
智能卡芯片必須提供控制或限制在某階段使用特定命令、特殊測試和調試命令的方法。
在智能卡芯片的特定生命周期階段有效的專有命令，在其他階段應該被禁止。因此，類似調試和識別注冊信息的一次性裝載在智能卡芯片的使用過程中應該被禁止。
物理保護（O.Phys_Prot）
智能卡芯片應抵抗物理攻擊，或能夠給此類攻擊獲得信息制造困難。
智能卡芯片的設計和制造應達到下述要求：攻擊者要綜合具備復雜的裝備、知識、技巧和時間才能夠通過對集成電路的物理攻擊獲取詳細設計信息、存儲器內容或其他信息，以達到攻破智能卡芯片安全功能的目的。
密碼（O.Crypt）
智能卡芯片必須以一個安全的方式支持密碼功能。
智能卡芯片使用的密碼算法必須符合國家及行業或組織的密碼管理相關標準或規范。
防綜合分析（O.Unlink）
智能卡芯片可以使用多種資源和服務，但在多種操作過程中，都不應當暴露危機其他操作安全的信息。
智能卡芯片在設計和制造時應該考慮在智能卡芯片的正常操作中避免任何危機安全的信息泄漏。
標識（O.Ident）
智能卡芯片必須能記錄并保存標識信息。
智能卡芯片包括硬件和專用軟件兩種元素。專用軟件可能是通過硬掩膜存儲在非易失存儲器中。硬件具有是否使能的可選特性。一個正確的標識必須是最終智能卡芯片產品的精確實例化。需要對每個智能卡芯片進行唯一標識。
信息技術標準（O.IT_Std）
智能卡芯片必須遵守相關信息技術標準。
環境壓力（O.Env_Strs）
智能卡芯片應該具有某種結構以使其暴露在非標準（高或低）環境下時，避免泄漏安全信息或以一種不安全的方式進行操作，這些影響因素包括溫度、電壓、時鐘頻率或外部能量場。
智能卡芯片設計和制造的基本要求是即使在遭受到環境壓力的情況下，也能夠連續地為重要信息提供安全，這些信息包括用戶資產和內部安全信息。環境壓力可能來自于智能卡芯片正常使用的環境也可能表示受到攻擊。在受到攻擊的情況下，壓力可能是獨立進行攻擊也可能與其他攻擊手段聯合實施攻擊。目的是在這些情況下智能卡芯片都能防止安全信息泄漏。
安全通信（O.Sec_Com）
智能卡芯片和可信的CAD之間支持安全通信協議和程序。
智能卡芯片必須提供一種機制以保證建立和維護與CAD之間的安全信息，完整性是必須確保的。
隨機數（O.RND）
智能卡芯片能夠確保隨機數發生器的密碼質量。例如，在具有足夠的熵值情況下，隨機數不應該被預測出來。

TOE安全目的必須依賴于環境。比如，TOE本身不傳遞克隆所需的信息以保證TOE能夠滿足O.CLON安全目的要求。必須保證在TOE設計和生產的每一階段，其可能用于克隆的信息都不會被泄露，而不能依賴于TOE自身的技術機制。同樣，對于O.DIS-MEMORY和O.MOD-MEMORY的實現必須依賴于軟件的應用，因為TOE自己并不能識別出惡意的應用而中斷運行或對其數據進行保密。
O.PROT-INF-LEAK
IC須提供保護防止智能卡芯片存儲和(或)處理的機密的TSF數據的泄露：
涵蓋TSF數據泄露的保護措施須有：
a) 信號形狀和振幅的分析和測量，或通過對電磁場中的信號、能量消耗、時鐘或者I/O線的測量找到事件之間的時間；
b) 迫使的TOE故障和/或物理操縱TOE。
O.PROT-MALFUNCTION
IC須確保它的正確使用。
IC必須拒絕非正常條件下的使用，這種條件下可靠性和安全操作還沒有被證明或測試；這是必要的，以防止導入錯誤；環境條件可能包括外部能源(特別是電磁)場，電壓(在任何觸點上)，時鐘頻率或溫度等。
O.PROT-PHYS-TAMPER
IC須確保用戶數據、TSF數據以及智能卡芯片的嵌入式軟件的保密性和完整性
這包括對高攻擊的潛能的保護：
a) 測量通過電流接觸，這是在芯片的表面上直接物理探測，除了在被粘結的焊盤上(使用標準的工具，用于測量電壓和電流)；
b) 測量不使用電流接觸，但其他類型的物理交互(使用固態物理研究和IC失效分析工具)；
c) 硬件和它的安全功能的操縱；
d) 可控的存儲器內容操作(用戶數據，TSF數據)；
e) 這些攻擊要求逆向工程理解設計、它的屬性以及功能。
隨機數質量（O.RND）

7.1.2　操作系統安全目的

斷電保護（O.SCP.RECOVERY）
當有操作進行時智能卡掉電或從智能卡接收設備中拔出，智能卡平臺的操作系統必須允許TOE成功地完成中斷的操作或者恢復到一致且安全的狀態。
安全服務支持（O.SCP.SUPPORT）
智能卡平臺應支持TOE的安全功能。
a) 不允許TOE的安全功能被旁路或修改，且不容許訪問除對API包可用功能其他低級功能，防止Java Card系統對私有數據和代碼的暴露和修改；
b) 向Java Card系統提供安全的低級密碼處理功能；
c) 支持對持久化對象和類字段原子性更新，以及可能的低級事務機制；

7.1.3　智能卡管理器安全目的

拒絕請求（O.REQUEST）
TOE應拒絕任何包含的數據不是預期的格式的智能卡管理請求，尤其是那些按照相關功能規范不規范的APDU命令應不被處理，短整數、字節類型的值不在預期范圍外也應當被JC和GP的API方法拒絕
信息來源鑒別（O.INFO-ORIGIN）
TOE應鑒別智能卡接收到的智能卡管理請求的來源，并向智能卡管理員鑒別自己的身份，其的目標是確保修改智能卡安全屬性的信息來至于可信的參與者，他已認真分地析了智能卡管理操作的后果，即智能卡管理員。反過來，智能卡管理員的卡上代表應證明自己身份給特權用戶，以防止暴露敏感信息給一個惡意的Applet。
應用說明：
這個目標概括了[PP-JCS]引入的O.LOAD和O.INSTALL目標，來源的驗證適用于所有智能卡管理操作，而不僅僅是加載新的可執行文件。
信息完整性（O.INFO-INTEGRITY）
在智能卡使用階段，TOE應驗證智能卡收到的智能卡管理請求的完整性，這個目標確保被智能卡處理的智能卡管理操作確是智能卡管理員的一個請求；除此之外，智能卡上已安裝的每個應用也可請求ISD驗證用于個人化它的命令的完整性，這只適用于智能卡使用階段，這是智能卡處于一個潛在的敵對的環境中
應用注解：
這個目標概括了在[PP-JCS]引入的和O.INFO-INTEGRITY同樣方式的O.LOAD和O.INSTALL目標
信息保密性（O.INFO-CONFIDENTIALITY）
TOE應能夠處理包含加密數據的保密請求，其目標是防止泄露能夠打開ISD和智能卡管理員之間的安全信道的秘密鑰匙；此外，應用供應商可能想保護他們傳送給智能卡的應用代碼；最后，應用實例也可以要求ISD提供安全信道為它們自身的個人化提供保密性。
會話密鑰（O.NO-KEY-REUSE）

7.1.4　智能卡內容管理安全目的

應用安裝安全（O.INSTALL）
TOE應確保安裝的應用程序是安全的，為了安全在安裝過程中必須滿足以下要求：
a) 當安裝失敗或取消時，不管何種原因，TOE必須能夠取消所有的安裝步驟
b) 安裝一個應用必須不能影響已安裝的Applet的代碼和數據，尤其是新應用或可執行文件的安裝不應當隱藏智能卡上已存在的任何應用或者文件，或者使它們不可訪問；
c) 安裝過程不應用于旁路TSF，它應當是安全的原子操作，對其他Applet的狀態無有害的影響，尤其是，授予應用的一組特權應和每個特權打算的含義一致，并且平臺實現的GP配置一致。安裝應用的過程應確保安裝請求、授予應用特權的完整性和來源。
應用下載安全（O.LOAD）
裝載和安裝可執行文件的過程應確保該文件的完整性和真實性，TOE須檢查每個可執行文件實際來自智能卡管理員，他已事先檢查它對智能卡上已安裝的其他應用無害，為進一步的安全性，智能卡應檢查負責執行檢查的驗證機構的DAP簽名，這個簽名被附加可執行的裝載文件。
應用刪除安全（O.DELETION）
TOE應確保應用和可執行文件的刪除時安全的，刪除機制應考慮以下問題：
a) 刪除已安裝的Applet(可執行文件)不得引入對垃圾收集的代碼或數據的無效引用的形式的安全漏洞，也不改變剩余的Applet的完整性或者保密性。刪除過程不得被惡意利用以繞過TSF；
b) 擦除，如果認為是成功的，應確保由Applet擁有的任何數據不在可訪問(共享對象應防止刪除或無法被訪問)；一個被刪除的Applet不能被選擇或接收APDU命令，一個可執行文件的刪除使其代碼不在可執行；
c) 實現應考慮到處理過程出現電源故障或其他故障時應維持的TSP。這并沒有強制整個過程是原子性的，而是它可以切成小和原子的刪除步驟，比如，一個中斷的刪除可能導致用戶數據的丟失，只要它不違反TSP；
d) 不得將刪除Java Card和GP API對應的可執行文件。
應用說明：

7.1.5　運行環境安全目的

7.1.6　標識

O.SID

7.1.7　Applets執行

本節關注的安全目的是Applet實例的代碼被執行的方式。
O.FIREWALL
TOE應確保不同包的Applet或JCRE擁有的數據容器的受控共享以及在Applet和TSF之間的受控共享。
O.GLOBAL_ARRAYS_CONFID
TOE應確保當Applet選擇時，被所有應用共享的APDU緩沖區的內容總是被清除
TOE應確保當用于選擇的Applet的install方法的調用的全局字節數組的內容總是被清除，當從install方法返回時。
O.GLOBAL_ARRAYS_INTEG
TOE應確保當只有當前選擇的應用可以寫訪問APDU緩沖區以及用于被選擇Applet的install方法調用的全局字節數組。
O.NATIVE
Java Card虛擬機提供給應用執行本地代碼的唯一方法是調用Java Card API或者任何附加API的方法。
O.OPERATE
TOE須確保安全功能連續正確運行。
O.REALLOCATION
TOE應確保為Java Card虛擬機運行區再分配的內存塊沒有暴露任何以前在這塊內存存儲的信息。
O.RESOURCES

7.1.8　提供給Applet的服務

本節關注的安全目的是運行時環境通過Java Card API提供給Applet實例的服務。
O.ALARM
TOE應提供適當的反饋信息，一旦檢測到潛在的安全違反。
O.CIPHER
TOE應為應用提供方法以安全方式加密敏感的數據，尤其是TOE須支持符合密碼使用處理和標準的算法。
O.KEY-MNGT
TOE應提供安全管理密鑰的方法，這涉及密鑰的正確生成、分發、訪問以及銷毀等操作。
O.PIN-MNGT
TOE應提供方法安全滴管理PIN對象。
應用說明：
PIN對象在客戶應用的安全結構中可能起關鍵的作用，它們在智能卡中存儲和管理的方式必須仔細考慮，適用于整個對象，不僅是PIN的值，例如，重試計數器的值和PIN的值同樣敏感。
O.TRANSACTION
TOE須提供原子性地執行一組操作的方法。
應用說明：

7.1.9　對象刪除

O.OBJ-DELETION