9.4　運行環境安全功能要求

9.4　運行環境安全功能要求

有關執行Applet的運行環境的安全功能要求，收集的要求分為以下幾類：
a) 核心要求，對應[PP-JCS]指定CoreG組要求；

9.4.1　防火墻

9.4.1.1　FDP_ACC.2 完全訪問控制

FDP_ACC.2.1/FIREWALL TSF應對S.PACKAGE, S.JCRE, O.JAVAOBJECT及SFP所涵蓋主體和客體之間得所有操作執行防火墻訪問控制SFP。

FDP_ACC.2.2/FIREWALL TSF應確保TSC內的任何主體和客體之間的所有操作都被一個訪問控制SFP涵蓋。

9.4.1.2　FDP_ACF.1/FIREWALL 基于安全屬性的訪問控制

FDP_ACF.1.1/FIREWALL TSF應對客體執行防火墻訪問控制SFP，基于以下安全屬性：

FDP_ACF.1.2/FIREWALL TSF應執行以下規則，以決定在受控主體與受控客體間的一個操作是否被允許：

R.JAVA.2 S.PACKAGE可以自由地對任何Sharing屬性有值”Standard”，Lifetime屬性有值”PERSISTENT”的O.JAVAOBJECT，完成OP.ARRAY_ACCESS、OP.INSTANCE_FIELD、 OP.INVK_VIRTUAL、OP.INVK_INTERFACE 或者OP.THROW操作，僅當客體O.JAVAOBJECT的上下文屬性和活動上下文有相同的值。

R.JAVA.3S.PACKAGE可以對Sharing屬性有值”SIO”的客體O.JAVAOBJECT進行OP.TYPE_ACCESS操作,僅當客體O.JAVAOBJECT被轉換為(checkcast)或者驗證是(instanceof)一個共享接口的實例。

R.JAVA.4S.PACKAGE可以對Sharing屬性有值”SIO”，Context屬性有值”Package AID”的客體O.JAVAOBJECT進行OP.INVK_INTERFACE操作,僅當調用的接口方法擴展至Shareable接口，并且適用下列條件之一：
AID是”Package AID”的包的Selection Status屬性是”Multiselectable”；

R.JAVA.5主體S.PACKAGE 可以執行OP.CREATE操作，僅當Sharing 參數的值是”Standard”.

FDP_ACF.1.3/FIREWALL TSF應基于以下附加規則，明確授權主體訪問客體
a) 主體S.JCRE可以自由地完成OP.JAVA(…)和OP.CREATE操作, FDP_ACF.1.4/FIREWALL給定的要求例外，假如它是當前活動上下文

FDP_ACF.1.4/FIREWALL TSF應基于以下規則，明確地拒絕主體訪問客體
a) 任何主體對一個LifeTime屬性有值“CLEAR_ON_DESELECT”的客體O.JAVAOBJECT進行OP.JAVA操作，如果O.JAVAOBJECT的上下文屬性不同于選擇的Applet上下文

9.4.1.3　FDP_IFC.1 子集信息流控制

FDP_IFC.1.1/JCVM TSF應對以下主體、信息以及操作
主體：S.LOCAL, S.MEMBER
信息：I.DATA
操作：OP.PUT(S1,S2,I)
執行JCVM信息流控制SFP。

9.4.1.4　FDP_IFF.1 簡單安全屬性
FDP_IFF.1.1/JCVM TSF應基于下列類型主體和信息的安全屬性：當前活動上下文，執行JCVM信息流控制SFP。
FDP_IFF.1.2/JCVM 如果支持下列規則：
a) 操作OP.PUT(S1, S.MEMBER , I.DATA)被允許，當且僅當活動上下文是“JCRE”，
b) 其他OP.PUT操作和上下文的值無關
TSF應允許信息在受控主體和受控信息之間經由受控操作流動。
FDP_IFF.1.3/JCVM TSF應執行[賦值：附加的信息流控制SFP]。
FDP_IFF.1.4/JCVM TSF應提供下列[賦值：附加的SFP能力列表]。
FDP_IFF.1.5/JCVM TSF應根據下列規則：[賦值：基于安全屬性，明確批準信息流的規則]明確批準一個信息流。
FDP_IFF.1.6/JCVM TSF應根據下列規則：[賦值：基于安全屬性，明確拒絕信息流的規則]明確拒絕一個信息流。
9.4.1.5　FDP_RIP.1 子集殘余信息保護
FDP_RIP.1.1/OBJECTS TSF應確保一個資源的任何先前信息內容，在分配資源到下列客體類實例或數組時不再可用。
9.4.1.6　FMT_MSA.1 安全屬性管理
FMT_MSA.1.1/JCRE TSF應執行FIREWALL訪問控制SFP，以僅限于JCRE能夠對安全屬性：選擇的Applet上下文，進行修改。
FMT_MSA.1.1/JCVM TSF應執行FIREWALL訪問控制SFP以及JCVM信息流控制SFP，以僅限于JCVM(S.JCVM)能夠對安全屬性：當前活動上下文以及活動Applets，進行修改。
9.4.1.7　FMT_MSA.2/FIREWALL_JCVM 安全的安全屬性
FMT_MSA.2.1/FIREWALL_JCVM TSF應確保FIREWALL訪問控制SFP以及JCVM信息流控制SFP定義的所有安全屬性只接受安全的值。
9.4.1.8　FMT_MSA.3/FIREWALL 靜態屬性初始化
FMT_MSA.3.1/ FIREWALL TSF應執行FIREWALL訪問控制SFP，以便為用于執行SFP的安全屬性提供受限的默認值。
FMT_MSA.3.2/FIREWALL TSF應不允許任何角色在創建客體或者信息時指定替換性的初始值以代替原來的默認值。
9.4.1.9　FMT_MSA.3/JCVM 靜態屬性初始化
FMT_MSA.3.1/JCVM TSF應執行JCVM信息流控制SFP，以便為用于執行SFP的安全屬性提供受限的默認值。
FMT_MSA.3.2/JCVM TSF應不允許任何角色在創建客體或者信息時指定替換性的初始值以代替原來的默認值。
9.4.1.10　FMT_SMF.1 管理功能規范
FMT_SMF.1.1 TSF應能夠執行如下安全管理功能：
修改當前活動上下文、選擇的Applet上下文以及活動的Applet。
9.4.1.11　FMT_SMR.1/JCRE 安全角色
FMT_SMR.1.1/JCRE TSF應維護以下角色：
a) Java Card RE (JCRE)

FMT_SMR.1.2/JCRE TSF應能夠把用戶和角色關聯起來。
9.4.2　應用編程接口 - 應用密碼服務
下面要求描述Java Card API提供的密碼服務
9.4.2.1　FCS_COP.1/APP-RSA 密碼操作
FCS_COP.1.1/APP-RSA TSF應當完成對應用實例數據的簽名生成、簽名驗證、加密以及解密，使用指定的密碼算法(RSA)以及密鑰大小(32位的倍數，從1024位到2048位)符合PKCS#1.5規范要求。
9.4.2.2　FCS_RND.1/APP 隨機數的質量度量
FCS_RND.1.1/APP TSF應當提供符合[AIS31]指定的標準級要求的生成隨機數的機制，并滿足密碼行業標準GM/T0005《隨機性檢測要求》對隨機數質量及檢測的要求。
9.4.2.3　FIA_AFL.1/KEYS 鑒別失敗處理
FIA_AFL.1.1/KEYS TSF應當檢測何時發生，管理員可配置的1到255范圍內一個正整數次與給定密鑰關聯的簽名驗證相關的不成功嘗試鑒別嘗試。
FIA_AFL.1.2/KEYS 當達到或超過所定義的未成功鑒別嘗試次數時，TSF應當用管理員設置的因子乘以下一個簽名驗證操作的響應時間。
應用說明：
這個機制目的是阻止暴力攻擊，智能卡初始化階段可以被激活，一旦激活適用智能卡提供的所有的簽名驗證服務，包括Applet通過Java Card API創建的這些服務。
9.4.3　應用編程接口 - 密鑰生成
TOE應當指出不同類型的密鑰智能卡內生成。
9.4.3.1　FCS_CKM.1/APP-RSA 密鑰生成
FCS_CKM.1.1/APP-RSA TSF應根據符合下列標準[信息刪除]的一個特定的密鑰生成算法[信息刪除] 和規定的密鑰長度(1024到2048位)來生成密鑰。
應用說明：
IEEE P1363-2000標準的附錄A(數論背景)指定米勒-羅賓的測試應當用于確定是否隨機數生成器產生的密鑰部件是素數，具有任意小的錯誤概率。對于指定的長度，生成的密鑰應是RSA-CRT格式。
9.4.3.2　FCS_CKM.1/APP-EC 密鑰生成
FCS_CKM.1.1/APP-EC TSF應根據符合下列標準[ISO/IEC 15946-1, ISO/IEC 15946-3]的一個特定的密鑰生成算法[符合一個給定的EC域和曲線的橢圓曲線私鑰] 和規定的密鑰長度(160, 192, 224 或 256 位)來生成密鑰。
9.4.3.3　FCS_CKM.1/APP-DH 密鑰生成
FCS_CKM.1.1/APP-DH TSF應根據符合下列標準[PKCS#3]的一個特定的密鑰生成算法[使用隨機數生成Diffie-Hellman密鑰，根據給定域完成模冪運算] 和規定的密鑰長度(1024到2048位)來生成密鑰。
9.4.4　應用編程接口 - 殘留信息保護
下列要求涉及可以留在Java Card對象的敏感殘留信息的保護。
9.4.4.1　FDP_RIP.1 子集殘余信息保護
FDP_RIP.1.1/APDU TSF應確保一個資源的任何先前信息內容，在分配資源到下列客體：APDU緩沖區。
FDP_RIP.1.1/bArray TSF應確保一個資源的任何先前信息內容，在分配資源到下列客體：bArray。
FDP_RIP.1.1/TRANSIENT TSF應確保一個資源的任何先前信息內容，在分配資源到下列客體：任何transient對象。
FDP_RIP.1.1/ABORT TSF應確保一個資源的任何先前信息內容，在釋放資源自下列客體：一個中止的事務期間創建的一個對象實例的任何引用。

9.4.4.2　FDP_ROL.1 基本回退

FDP_ROL.1.1/FIREWALL TSF應執行FIREWALL訪問控制SFP以及JCVM 信息流控制SFP，以允許對客體O.JAVAOBJECTs的OP.JAVA, OP.CREATE操作進行回退。

9.4.5　智能卡安全管理

以下要求和整張智能卡的安全性相關，對照前面的安全要求，只是單獨對運行時環境的功能進行些限制。比如，由虛擬機檢測到的一個潛在的安全違反可能需要的反應，不僅涉及虛擬機，而且請求的適當的有能力的安全單元阻止智能卡執行該操作。

9.4.5.1　FAU_ARP.1 安全告警

FAU_ARP.1.1 當檢測到潛在的安全侵害時，TSF應進行以下動作之一：
a) TSF應進行拋出例外
b) 鎖定智能卡會話
c) 初始化Java Card系統以及它的數據
d) [賦值：其他動作列表]
應用說明：
潛在的安全侵害細化下列事件之一
a) CAP 文件不一致
b) 字節碼的操作數類型錯誤
c) Applet生命周期不一致
d) 智能卡拔出(突然從CAD移出CAD)以及電源失效
e) 意外的上下文事務的中止
f) 防火墻或者JCVM SFP的違反
g) 資源不可用
h) 數組上溢

這個要求適用于整個TOE，應由基本的OS的破壞性活動完成。

9.4.5.2　FDP_SDI.2 存儲數據完整性監視和反應

FDP_SDI.2.1 TSF應基于下列屬性：[賦值：用戶數據屬性]對所有的客體，監視存儲在TOE內的用戶數據是否存在[賦值：完整性錯誤]。

9.4.5.3　FPT_TDC.1 TSF間基本的TSF數據一致性

FPT_TDC.1.1 當TSF與其他可信IT產品共享TSF數據時，TSF應提供對CAP文件(在智能卡管理器和TOE間共享)、字節碼以及它的數據參數(與Applet和API包共享)進行一致性解釋的能力。
FPT_TDC.1.2 當解釋來自其他可行IT產品的TSF數據時，TSF應使用如下規則：
a) [JCVM222] 規范;
b) 引用輸出文件;
c) ISO 7816-6 規則;

9.4.5.4　FPT_FLS.1 失效即保存安全狀態

FPT_FLS.1.1 TSF在下列失效發生時應保持一種安全狀態：和FAU_ARP.1描述的安全違反相關的失效。

9.4.5.5　FPR_UNO.1 不可觀察性

FPR_UNO.1.1 TSF應確保S.Package不能觀察由[其他S.Package]對[Key值/PIN值]進行的[密碼計算/比較]操作。

9.4.6　AID 管理

9.4.6.1　FMT_MTD.1/AID TSF數據的管理

FMT_MTD.1.1/AID TSF應僅限于JCRE能夠對注冊的Applet的AID進行修改操作。

9.4.6.2　FMT_MTD.3/AID 安全的TSF數據

FMT_MTD.3.1/AID TSF應確保注冊的Applet的AID只接受安全的值。

9.4.6.3　FIA_ATD.1/AID 用戶屬性定義

FIA_ATD.1.1/AID TSF應維護屬于單個用戶的下列安全屬性列表：
a) 每個包的AID
b) Applet的版本號，
c) 每個注冊的Applet的AID，

9.4.6.4　FIA_UID.2/AID 任何動作前的用戶標識

FIA_UID.2.1/AID 在允許執行代表該用戶的任何其他TSF介導動作之前，TSF應要求每個用戶識別它自己。
9.4.6.5　FIA_USB.1/AID 用戶主體綁定

9.4.7　Applet安裝

9.4.7.1　FDP_ITC.2/Installer 帶有安全屬性的用戶數據輸入

FDP_ITC.2.1/Installer 在SFP控制下從TOE外部輸入用戶數據時，TSF應執行包裝載信息流控制SFP。
FDP_ITC.2.2/Installer TSF應使用與所輸入數據相關的安全屬性。
FDP_ITC.2.3/Installer TSF應確保所使用的協議在安全屬性和接收的用戶數據之間提供了明確的關聯。
FDP_ITC.2.4/Installer TSF應確保對所輸入用戶數據的安全屬性的解釋與用戶數據源的解釋是一樣的。
FDP_ITC.2.5/Installer 在SFP控制下從TOE外部輸入用戶數據時，TSF應執行下述規則：

9.4.7.2　FMT_SMR.1/Installer 安全角色

FMT_SMR.1.1/Installer TSF應維護角色: Installer。

9.4.7.3　FPT_FLS.1/Installer 失效即保持安全狀態

FPT_FLS.1.1/Installer TSF在下列失效發生時應保持一種安全狀態：

9.4.7.4　FPT_RCV.3/Installer 無過度損失的自動恢復

FPT_RCV.3.1/Installer 當不能從失效或服務中斷自動恢復時，TSF應進入一種維護模式，該模式提供將TOE返回到一個安全狀態的能力。
FPT_RCV.3.2/Installer 可執行下載文件安裝處理的失敗，可執行下載文件傳輸到智能卡的過程中檢測到完整性可能損失，可執行裝入文件和智能卡內已安裝的可執行裝入文件鏈接過程中發生的任何致命錯誤，TSF應當確保通過自動化過程使TOE返回到安全一個安全狀態。
FPT_RCV.3.3/Installer TSF提供的從失效或服務中斷狀態恢復的功能，應確保在所損失的TSC內TSF數據或客體不超出正在安裝的可執行文件的損失情況下，恢復到安全初始狀態。

9.4.8　Applet刪除

本節描述刪除可執行文件（ELF）和Applet實例的安全功能要求。

9.4.8.1　FDP_ACC.2/ADEL 完全訪問控制

FDP_ACC.2.1/ADEL TSF應對S.ADEL,O.JAVAOBJECT, O.APPLET和O.CODE_PKG及SFP所涵蓋主體和客體之間得所有操作執行ADEL訪問控制SFP。
S.ADEL，Applet刪除管理器，可以是一個Applet，但它的角色從安全觀點看要求特定的處理，這個主體是唯一的。
O.CODE_PKG，包的代碼,包括所有的鏈接信息，對于Java Card平臺，包是安裝單元。
O.APPLET，任何已安裝的Applet,它的代碼和數據。
O.JAVAOBJECT ，Java類實例或數組。
操作：
OP.DELETE_APPLET(O.APPLET,…) 邏輯上或物理上刪除一個已安裝的Applet和它的對象。OP.DELETE_PCKG(O.CODE_PKG,…) 邏輯上或物理上刪除一個包。

FDP_ACC.2.2/ADEL TSF應確保TSC內的任何主體和客體之間得所有操作都被一個訪問控制SFP涵蓋

9.4.8.2　FDP_ACF.1/ADEL 基于安全屬性的訪問控制

FDP_ACF.1.1/ADEL TSF應基于以下信息對客體執行ADEL訪問控制SFP：
a) 涵蓋的主體或客體的安全屬性，
b) 智能卡內已注冊的Applet實例的AID列表
c) ResidentPackages屬性日志智能卡內已下載包的AID列表

FDP_ACF.1.2/ADEL TSF應執行以下規則，已決定在受控主體與受控客體間的一個操作是否被ADEL SFP允許：

R.JAVA14 Applet實例刪除，S.ADEL可以對O.APPLET執行OP.DELETE_APPLET操作，僅當
a) S.ADEL被當前選擇，
b) O.APPLET被取消選擇，

R.JAVA.15 多重Applet實例刪除，S.ADEL可以對多個O.APPLET執行OP.DELETE_APPLET操作，僅當
a) S.ADEL被當前選擇，
b) 每個O.APPLET被取消選擇，

R.JAVA. 16 Applet/庫包刪除，S.ADEL可以對O.CODE_PCKG執行OP.DELETE_PCKG操作，僅當
a) S.ADEL被當前選擇，
b) 沒有從不同于O.CODE_PCKG的包可達，且屬于O.CODE_PCKG包中的類的一個實例的O.JAVAOBJECT在智能卡內存在

R.JAVA.17 Applet包以及包含的實例刪除
S.ADEL可以對O.CODE_PCKG執行OP.DELETE_PCKG_APPLET操作，僅當
a) S.ADEL被當前選擇，
b) 沒有從不同于O.CODE_PCKG的包可達，且屬于O.CODE_PCKG包中的類的一個實例的O.JAVAOBJECT在智能卡內存在，
c) 智能卡上沒有包依賴O.CODE_PCKG，
d) 要被刪除的每個O.APPLET保持(i)O.APPLET取消選擇，(ii)沒有O.APPLET擁有這些O.JAVAOBJECT，要么從未刪除的Applet實例可達，要么從未刪除的包可達；
FDP_ACF.1.3/ADEL TSF應基于以下附加規則，明確授權主體訪問客體，無

9.4.8.3　FMT_MSA.1/ADEL 安全屬性管理

FMT_MSA.1.1/ADEL TSF應執行ADEL訪問控制SFP，以僅限于JCRE能夠對安全屬性：活動Applet安全屬性，進行修改。

9.4.8.4　FMT_MSA.3/ADEL 靜態屬性初始化

FMT_MSA.3.1/ADEL TSF應執行ADEL訪問控制SFP，以便為用于執行SFP的安全屬性提供受限的默認值。

9.4.8.5　FMT_SMR.1/ADEL 安全角色

FMT_SMR.1.1/ADEL TSF應當維護角色: Applet刪除管理器。

9.4.8.6　FDP_RIP.1/ADEL 子集殘留信息保護

FDP_RIP.1.1/ADEL TSF應確保一個資源的任何先前信息內容，在釋放資源自下列客體：

9.4.8.7　FPT_FLS.1/ADEL 失效即保持安全狀態

FPT_FLS.1.1/ADEL TSF在下列失效發生時應保持一種安全狀態：

9.4.9　垃圾回收

本組的要求涉及按需垃圾收集不可達的對象，Java Card的2.2.x的版本中引入的機制，它們對應的ODEL組要求[PP-JCS]。

9.4.9.1　FDP_RIP.1/ODEL 子集殘留信息保護

FDP_RIP.1.1/ODEL TSF應確保一個資源的任何先前信息內容，在釋放資源自下列客體：Applet實例上下文擁有的對象，該實例觸發方法 Javacard.framework.JCSystem.requestObjectDeletion()的執行。

9.4.9.2　FPT_FLS.1/ODEL 失效即保持安全狀態

FPT_FLS.1.1/ODEL TSF在下列失效發生時應保持一種安全狀態：