10.1　智能卡芯片安全保證要求

10.1　智能卡芯片安全保證要求

10.1.1　ACM_AUT.1 部分配置管理自動化

依賴組件
ADV_CAP.1 授權控制
開發者行為要素
ACM_AUT.1.1D 開發者應該使用配置管理系統。
ACM_AUT.1.2D 開發者應該提供配置管理計劃。
證據內容和形式要素
ACM_AUT.1.1C 配置管理系統應該能夠提供一種自動方式，通過該方式確保只能對智能卡芯片的實現表示進行已授權的改變。
ACM_AUT.1.2C 配置管理系統應該能夠提供一種自動方式來支持智能卡芯片的生成。
ACM_AUT.1.3C 配置管理計劃應該描述在配置管理系統中使用的自動工具。
ACM_AUT.1.4C 配置管理計劃應該描述在配置管理系統中如何使用自動工具。
評估者行為要素

10.1.2　ACM_CAP.4 產生支持和接受程序

依賴組件
ALC_DVS.1 安全措施標識
開發者行為要素
ACM_CAP.4.1D 開發者應為智能卡芯片提供一個參照號。
ACM_CAP.4.2D 開發者應使用配置管理系統。
ACM_CAP.4.3D 開發者應提供配置管理文檔。
證據內容和形式要素
ACM_CAP.4.1C 智能卡芯片參照號對每個版本應是唯一的。
ACM_CAP.4.2C 應該給智能卡芯片標記上其參照號。
ACM_CAP.4.3C 配置管理文檔應包括配置清單、配置管理計劃和接受計劃。
ACM_CAP.4.4C 配置清單應描述組成智能卡芯片的配置項。
ACM_CAP.4.5C 配置管理文檔應描述對配置項進行唯一標識的方法。
ACM_CAP.4.6C 配置管理系統應唯一的標識所有配置項。
ACM_CAP.4.7C 配置管理計劃應描述配置管理系統是如何使用的。
ACM_CAP.4.8C 證據應該證明配置管理系統的運作與配置管理計劃相一致。
ACM_CAP.4.9C 配置管理文檔應提供證據證明所有的配置項都被配置管理系統有效地維護。
ACM_CAP.4.10C 配置管理系統應提供方法保證對配置項只進行授權修改。
ACM_CAP.4.11C 配置管理系統應支持智能卡芯片的產生。
ACM_CAP.4.12C 接受計劃應描述用來接受修改過的或新建的作為智能卡芯片一部分的配置項的程序。
評估者行為要素

10.1.3　ACM_SCP.2 跟蹤配置管理范圍問題

依賴組件
ALC_CAP.3 授權控制
開發者行為要素
ACM_SCP.2.1D 開發者應提供配置管理文檔。
證據內容和形式要素
ACM_SCP.2.1C 配置管理文檔應說明配置管理系統至少能跟蹤以下幾項：智能卡芯片實現表示，設計文檔，測試文檔，用戶文檔，管理員文檔，配置管理文檔和安全缺陷。
應用說明：
開發環境被定義為包括開發和制造智能卡芯片的所有的活動。
智能卡芯片的實現表示包括直接與智能卡芯片相關的以下信息：
a) 集成電路制造日期和序列號；
b) 操作軟件標識和發布日期。
以下信息也是可確定的：
a) 微處理器的詳細說明和制造者；
b) 存儲器大小和分配（FLASH，RAM等）；
c) 有關版圖和工藝幾何參數的集成電路設計的物理具體實現；
d) 集成電路的所有硬件安全特征，即它們最初是否是使能的；
e) 所有使能的硬件安全特征；
f) 軟件標識和發布日期；
g) 所有軟件安全特征表現，即它們最初是否是使能的；
h) 所有使能軟件安全特征；
i) 工作參數，包括電壓和頻率范圍；
j) 集成電路模塊制作者和封裝日期；
k) 智能卡制造者和制造日期；
l) 集成電路預個人化設備和日期。
配置管理文檔應描述配置管理系統是如何跟蹤配置項的。
評估者行為要素

10.1.4　ADO_DEL.2 修改檢測

依賴組件
無
開發者行為要素
ACM_DEL.2.1D 開發者應將把智能卡芯片或其部分交付給用戶的程序文檔化。
ACM_DEL.2.2D 開發者應使用交付過程。
證據內容和形式要素
ACM_DEL.2.1C 交付文檔應描述在給用戶方分配智能卡芯片的版本時，用以維護安全所必需的所有程序。
ACM_DEL.2.2C 交付文檔應描述如何提供多種程序和技術上的措施來檢測修改，或檢測開發者的主拷貝和用戶方收到的版本之間的任何差異。
ACM_DEL.2.3C 交付文檔應描述如何使用多種程序來發現試圖偽裝成開發者，甚至是在開發者沒有向用戶方發送任何東西的情況下，向用戶方交付智能卡芯片。
評估者行為要素

10.1.5　ADO_IGS.1 安裝、生成和啟動過程

依賴組件
AGD_ADM.1 管理員指南
開發者行為要素
ADO_IGS.1.1D 開發者應將智能卡芯片安全地安裝、生成和啟動所必要的程序文檔化。
證據內容和形式要素
ADO_IGS.1.1C 文檔中應描述智能卡芯片的安全安裝、生成和啟動所必要的步驟。
評估者行為要素
ADO_IGS.1.1E 評估者應確認所提供的信息都滿足證據的內容和形式的所有要求。

10.1.6　ADV_FSP.2 完全定義的外部接口

依賴組件
ADV_RCR.1 非形式化對應性證實
開發者行為要素
ADV_FSP.2.1D 開發者應當提供功能規范。
證據內容和形式要素
ADV_FSP.2.1C 功能規范應當用非形式化的風格來描述安全功能及其外部接口。
ADV_FSP.2.2C 功能規范應當是內在一致的。
ADV_FSP.2.3C 功能規范應當描述使用所有外部安全功能接口的用途與使用方法，要提供所有的影響、例外情況和錯誤消息的全部細節。
ADV_FSP.2.4C 功能規范應當完備地表示安全功能。
ADV_FSP.2.5C 功能規范應當包括安全功能是完備地表示的基本原理。
評估者行為要素
ADV_FSP.2.1E 評估者應確認所提供的信息滿足證據的內容和形式的所有要求。

10.1.7　ADV_HLD.2 安全加強的高層設計

依賴組件
ADV_FSP.1 非形式化功能規范
ADV_RCR.1 非形式化對應性證實
開發者行為要素
ADV_HLD.2.1D 開發者將提供安全功能的高層設計。
證據內容和形式要素
ADV_HLD.2.1C 高層設計的表示應當是非形式化的。
ADV_HLD.2.2C 高層設計應當是內在一致的。
ADV_HLD.2.3C 高層設計應當按子系統來描述安全功能的結構。
ADV_HLD.2.4C 高層設計應當描述安全功能的每個子系統所提供的安全功能。
ADV_HLD.2.5C 高層設計應當標識安全功能要求的任何基礎的硬件、固件和軟件，連同這些硬件、固件或軟件實現的支持性保護機制提供的功能表示。
ADV_HLD.2.6C 高層設計應當標識安全功能子系統的所有接口。
ADV_HLD.2.7C 高層設計應當標識安全功能子系統的哪些接口是外部可見的。
ADV_HLD.2.8C 高層設計應當描述安全功能子系統所有接口的用途和使用方法，并適當提供影響、例外情況和錯誤消息的細節。
ADV_HLD.2.9C 高層設計應當描述把智能卡芯片分成安全策略實施和其它子系統的這種分離。
評估者行為要素
ADV_HLD.2.1E 評估者應當確認所提供的信息滿足證據的內容和形式的所有要求。

10.1.8　ADV_IMP.1 安全功能實現的子集

依賴組件
ADV_LLD.1 描述性低層設計
ADV_RCR.1 非形式化對應性證實
ALC_TAT.1 明確定義的開發工具
開發者行為要素
ADV_IMP.1.1D 開發者應當為所選的安全功能子集提供實現表示。
應用說明：
芯片的安全功能子集包括：
a) 與智能卡芯片物理結構相關的子集：
1) 結構大小，組成和版圖；
2) 互連和數據總線版圖；
3) 熔絲部位；
4) 包括防護層和封裝的物理結構；
5) FLASH處理；
6) RAM存取。
b) 與智能卡芯片邏輯結構相關的子集：
1) 中斷和復位功能；
2) 安全數據的檢查和處理。
c) 與智能卡芯片結構不可改變性相關的子集：
1) 序列號和其他生命周期標識。
證據內容和形式要素
ADV_IMP.1.1C 實現表示應當無歧義而且詳細的定義TSF，使得無須進一步設計就能生成安全功能。
實現表示應當是內在一致的。
評估者行為要素
ADV_IMP.1.1E 評估者應該確認所提供的信息滿足證據的內容和形式的所有要求。

10.1.9　ADV_INT.1 模塊化

依賴組件
ADV_IMP.1 安全功能實現的子集
ADV_LLD.1 描述性低層設計
開發者行為要素
ADV_INT.1.1D 開發者應當以模塊方式設計和構建安全功能，以避免設計模塊之間出現不必要的交互作用。
ADV_INT.1.2D 開發者應當提供一種結構化描述。
證據內容和形式要素
ADV_INT.1.2C 結構化描述應當標識TSF的模塊。
ADV_INT.1.2C 結構化描述應當描述每一個TSF模塊的用途、接口、參數和影響。
ADV_INT.1.3C 結構化描述應當描述TSF設計是如何使得獨立的模塊之間避免不必要的交互作用。
評估者行為要素
ADV_INT.1.1E 評估者應當確認所提供的信息滿足證據的內容和形式的所有要求。

10.1.10　ADV_LLD.1 描述性低層設計

依賴組件
ADV_HLD.2 安全加強的高層設計
ADV_RCR.1 非形式化對應性證實
開發者行為要素
ADV_LLD.1.1D 開發者應當提供安全功能的低層設計。
證據內容和形式要素
ADV_LLD.1.1C 低層設計的表示應當是非形式化的。
ADV_LLD.1.2C 低層設計應當是內在一致的。
ADV_LLD.1.3C 低層設計應當以模塊方式來描述安全功能。
ADV_LLD.1.4C 低層設計應當描述每個模塊的用途。
ADV_LLD.1.5C 低層設計應當依據所提供的安全功能性和對其它模塊的依賴性關系兩方面來定義模塊間的相互關系。
ADV_LLD.1.6C 低層設計應當描述每個安全策略實施功能是如何被提供的。
ADV_LLD.1.7C 低層設計應當標識安全功能模塊的所有接口。
ADV_LLD.1.8C 低層設計應當標識安全功能模塊的哪些接口是外部可見的。
ADV_LLD.1.9C 低層設計應當描述安全功能模塊的所有接口的用途與方法，適當時，應提供影響、例外情況和錯誤消息的細節。
ADV_LLD.1.10C 低層設計應當描述如何將智能卡芯片分離成安全策略實施模塊和其它模塊。
評估者行為要素
ADV_LLD.1.1E 評估者應當確認所提供的信息滿足證據的內容和形式的所有要求。

10.1.11　ADV_RCR.1 非形式化對應性論證

依賴組件
無
開發者行為要素
ADV_RCR.1.1D 開發者應當在所提供的安全功能表示的所有相鄰對之間提供對應性分析。
證據內容和形式要素
ADV_RCR.1.1C 對于所提供的安全功能表示的每個相鄰對，分析應當論證，較為抽象的安全功能表示的所有相關安全功能在較不抽象的安全功能表示中得到正確且完備地細化。
評估者行為要素

10.1.12　ADV_SPM.1 非形式化安全策略模型

依賴組件
ADV_FSP.1 非形式化功能規范
開發者行為要素
ADV_SPM.1.1D 開發者應提供安全策略模型。
ADV_SPM.1.2D 開發者應闡明功能規范和安全策略模型之間的對應性。
證據內容和形式要素
ADV_SPM.1.1C 安全策略模型應當是非形式化的。
ADV_SPM.1.2C 安全策略模型應當描述所有可以模型化的安全策略的規則與特征。
ADV_SPM.1.3C 安全策略模型應當包括基本原理，即論證該模型對于所有可模型化的安全策略來說是一致的，而且是完備的。
ADV_SPM.1.4C 安全策略模型和功能規范之間的對應性論證應當說明，所有功能規范中的安全功能對于安全策略模型來說是一致的，而且是完備的。
評估者行為要素

10.1.13　AGD_ADM.1 管理員指南

依賴組件
ADV_FSP.1 非形式化功能規范
開發者行為要素
AGD_ADM.1.1D 開發者應當提供智能卡芯片管理員指南。
證據內容和形式要素
AGD_ADM.1.1C 管理員指南應當描述管理員可使用的管理功能和接口。
AGD_ADM.1.2C 管理員指南應當描述如何以安全的方式管理智能卡芯片。
AGD_ADM.1.3C 管理員指南應當包含在安全處理環境中必須進行控制的功能和權限的警告。
AGD_ADM.1.4C 管理員指南應當描述所有與智能卡芯片的安全運行有關的用戶行為的假定。
AGD_ADM.1.5C 管理員指南應當描述所有受管理員控制的安全參數，合適時，應指明安全值。
AGD_ADM.1.6C 管理員指南應當描述每種與需要執行的管理功能有關的安全相關事件，包括改變安全功能所控制的改變實體的安全特性。
AGD_ADM.1.7C 管理員指南應當與為評估所提供的其它所有文檔保持一致。
AGD_ADM.1.8C 管理員指南應當為管理員描述與管理員有關的信息技術環境的所有的安全要求。
評估者行為要素
AGD_ADM.1.1E 評估者應確認所提供的信息都滿足證據的內容和形式的所有要求。
10.1.14　AGD_USR.1用戶指南
依賴組件
ADV_FSP.1 非形式化功能規范
開發者行為要素
AGD_USR.1.1D 開發者應當提供用戶指南。
證據內容和形式要素
AGD_USR.1.1C 用戶指南應該描述智能卡芯片的非管理員用戶可用的功能和接口。
AGD_USR.1.2C 用戶指南應該描述智能卡芯片提供的用戶可訪問的安全功能的用法。
AGD_USR.1.3C 用戶指南應該包含受安全處理環境中所控制的用戶可訪問的功能和權限的警告。
AGD_USR.1.4C 用戶指南應該清楚地闡述智能卡芯片安全運行中的用戶所必須負的職責，包括有關在智能卡芯片安全環境闡述中找得到的用戶行為的假設。
AGD_USR.1.5C 用戶指南應該與為評估提供的其它所有文檔保持一致。
AGD_USR.1.6C 用戶指南應該為用戶描述與用戶有關的信息技術環境的所有安全要求。
評估者行為要素

10.1.15　ALC_DVS.1 安全措施標識

依賴組件
無
開發者行為要素
ALC_DVS.1.1D 開發者應當提供開發安全文檔。
證據內容和形式要素
ALC_DVS.1.1C 開發安全文檔應當描述在智能卡芯片的開發環境中，用以保護智能卡芯片的設計和實現的保密性和完整性在物理、程序、人員以及其他方面必要的安全措施。
應用說明：
開發環境被定義為包括所有的設備，也就是對智能卡芯片開發和制造所需的設備之間的運輸和交付。
智能卡芯片設計和實現至少包括以下信息：
a) 設計信息：
1) 集成電路的詳細說明和技術；
2) 集成電路設計；
3) 集成電路硬件的安全機制；
4) 集成電路軟件的安全機制；
5) 光掩模；
6) 開發工具；
7) 初始化程序；
8) 訪問控制機制；
9) 鑒別系統；
10) 數據保護系統；
11) 存儲器分離；
12) 加密程序。
b) 數據：
1) 初始化數據；
2) 個人化數據；
3) 口令；
4) 加密密鑰。
c) 測試信息：
1) 測試工具；
2) 測試程序；
3) 測試計劃；
4) 測試結果。
d) 物理實例：
1) 硅樣品；
2) 封裝后的芯片；
3) 初始化前的智能卡；
4) 個人化前的智能卡；
5) 個人化后但未發行的智能。
開發安全文檔應提供在智能卡芯片的開發和維護過程中執行安全措施的證據。
評估者行為要素
ALC_DVS.1.1E 評估者應當確認所提供的信息滿足證據的內容和形式的所有要求。

10.1.16　ALC_LCD.1 開發者定義的生命周期模型

依賴組件
無
開發者行為要素
ALC_LCD.1.1D 開發者應建立生命周期模型用于開發和維護智能卡芯片。
ALC_LCD.1.2D 開發者應提供生命周期定義文檔。
證據內容和形式要素
ALC_LCD.1.1C 生命周期定義文檔應描述用于開發和維護TOE的模型。
ALC_LCD.1.2C 生命周期模型應提供對智能卡芯片開發和維護的必要的控制。
評估者行為要素

10.1.17　ALC_TAT.1 明確定義的開發工具

依賴組件
ADV_IMP.1 安全功能實現的子集
開發者行為要素
ALC_TAT.1.1D 開發者應描述用于開發智能卡芯片的工具。
ALC_TAT.1.2D 開發者應以文檔的形式描述已選擇的依賴實現的開發工具的選項。
證據內容和形式要素
ALC_TAT.1.1C 所有用于實現的開發工具都必須有明確定義。
ALC_TAT.1.2C 開發工具文檔應無歧義地定義實現中的每個語句的含義。
ALC_TAT.1.3C 開發工具文檔應無歧義地定義所有基于實現的選項的含義。
評估者行為要素

10.1.18　ATE_COV.2 范圍分析

依賴組件
ADV_FSP.1 非形式化功能規范
ATE_FUN.1 功能測試
開發者行為要素
ATE_COV.2.1D 開發者應提供對測試覆蓋范圍的分析。
證據內容和形式要素
ATE_COV.2.1C 測試覆蓋范圍的分析將論證測試文檔中所標識的測試和功能規范中所描述的安全功能之間的對應性。
ATE_COV.2.2C 測試覆蓋范圍的分析將論證功能規范中所描述安全功能和測試所文檔標識的測試之間的對應性是完備的。
評估者行為要素

10.1.19　ATE_DPT.1 測試：高層設計

依賴組件
ADV_HLD.1 描述性高層設計
ATE_FUN.1 功能測試
開發者行為要素
ATE_DPT.1.1D 開發者將提供對測試深度的分析。
證據內容和形式要素
ATE_DPT.1.1C 深度分析應當論證測試文檔中所標識的測試足以論證該安全功能是和高層設計一致的。
評估者行為要素

10.1.20　ATE_FUN.1 功能測試

依賴組件
無
開發者行為要素
ATE_FUN.1.1D 開發者應當測試安全功能，并文檔化結果。
ATE_FUN.1.1D 開發者應提供測試文檔。
證據內容和形式要素
ATE_FUN.1.1C 測試文檔應當包括測試計劃、測試程序描述，預期的測試結果和實際的測試結果。
ATE_FUN.1.2C 測試計劃應當標識要測試的安全功能，描述要執行的測試目標。
ATE_FUN.1.3C 測試過程描述應當標識要執行的測試，并描述每個安全功能的測試概況。這些概況包括對于其它測試結果的順序依賴性。
ATE_FUN.1.4C 期望的測試結果應當表明成功測試運行后的預期輸出。
ATE_FUN.1.5C 開發者執行的測試的結果應當論證了每個被測試的安全性功能按照規定進行運作了。
評估者行為要素

10.1.21　ATE_IND.2 獨立性測試－抽樣

依賴組件
ADV_FSP.1 非形式化功能規范
AGD_ADM.1 管理員指南
AGD_USR.1 用戶指南
ATE_FUN.1 功能測試
開發者行為要素
ATE_IND.2.1D 開發者要提供被測試的智能卡芯片。
證據內容和形式要素
ATE_IND.2.1C 智能卡芯片要與測試相適應。
ATE_IND.2.2C 開發者要提供一個與開發者的安全功能功能測試中使用的資源相當的集合。
評估者行為要素
ATE_IND.2.1E 評估者應當確認所提供的信息滿足證據的內容和形式的所有要求。
ATE_IND.2.2E 評估者應當適當測試一個安全功能子集，以確認智能卡芯片按照規范運行。

10.1.22　AVA_MSU.2 分析確認

依賴組件
ADO_IGS.1 安裝、生成和啟動過程
ADV_FSP.1 非形式化功能規范
AGD_ADM.1 管理員指南
AGD_USR.1 用戶指南
開發者行為要素
AVA_MSU.2.1D 開發者應提供指導性文檔。
AVA_MSU.2.2D 開發者應當文檔化對指導性文檔的分析。
證據內容和形式要素
AVA_MSU.2.1C 指導性文檔應該確定對智能卡芯片的所有可能的運行方式（包括失敗和操作失誤后的運行），它們的后果和對于保持安全運行的意義。
AVA_MSU.2.2C 指導性文檔應該是完整的、清晰的、一致的、合理的。
AVA_MSU.2.3C 指導性文檔應該列出所有對目標環境的假定。
AVA_MSU.2.4C 指導性文檔應該列出所有對外部安全措施（包括外部程序的、物理的或人員的控制）的要求。
AVA_MSU.2.5C 分析文檔應該論證指導性文檔是完備的。
評估者行為要素
AVA_MSU.2.1E 評估者應當確認提供的信息滿足證據的內容和形式的所有要求。
AVA_MSU.2.2E 評估者應該重復所有配置與安裝過程以及其它選擇性過程，以確認只使用所提供的指導性文檔就可以讓智能卡芯片安全配置和使用。
AVA_MSU.2.3E 評估者應該決定使用指導性文檔能檢測到所有不安全狀態。

10.1.23　AVA_SOF.1 安全功能強度評估

依賴組件
ADV_FSP.1 非形式化功能規范
ADV_HLD.1 描述性高層設計
開發者行為要素
AVA_SOF.1.1D 開發者應對ST中標識的具有安全功能強度的安全機制進行智能卡芯片安全功能強度的分析。
證據內容和形式要素
AVA_SOF.1.1C 對于具有安全功能強度申明的安全機制，智能卡芯片安全功能強度分析應說明該機制達到或超過PP/ST定義的最低強度。
AVA_SOF.1.2C 對于具有特定安全功能強度申明的安全機制，智能卡芯片安全功能強度分析應證明該機制達到或超過PP/ST定義的特定功能強度。
評估者行為要素
AVA_SOF.1.1E 評估者應確認所提供的信息滿足證據的內容和形式的所有要求。

10.1.24　AVA_VLA.4 高級抵抗力

依賴組件
ADV_FSP.1 非形式化功能規范
ADV_HLD.2 安全加強的高層設計
ADV_IMP.1 安全功能實現的子集
ADV_LLD.1 描述性低層設計
AGD_ADM.1 管理員指南
AGD_USR.1 用戶指南
開發者行為要素
AVA_VLA.4.1D 開發者應當分析智能卡芯片可交付材料，以尋找用戶違反智能卡芯片安全策略的途徑，并將分析結果文檔化。
AVA_VLA.4.2D 開發者應當文檔化已表示的脆弱性的分布。
證據內容和形式要素
AVA_VLA.4.1C 對所有已標識的脆弱性，文檔應當能說明在所期望的智能卡芯片環境中無法利用這些脆弱性。
AVA_VLA.4.2C 文檔應當證明對于已標識脆弱性的智能卡芯片可以抵御明顯的穿透性攻擊。
AVA_VLA.4.3C 證據應當能說明對脆弱性的搜索是系統化的。
AVA_VLA.4.4C 分析文檔應當提供完備地分析表述TOE可交付材料的證明。
評估者行為要素
AVA_VLA.4.1E 評估者應當確認所提供的信息滿足證據的內容和形式的所有要求。
AVA_VLA.4.2E 評估者應當在開發方脆弱性分析的基礎上實施穿透性測試，確保已經表述了標識明顯的脆弱性。
AVA_VLA.4.3E 評估者應當實施獨立的脆弱性分析。
AVA_VLA.4.4E 基于獨立的脆弱性分析，評估者將應當實施獨立的穿透性測試以決定在所期望環境下額外標識的脆弱性的可利用性。