9.1　安全目的的基本原理

9.1　安全目的的基本原理

表3說明了TOE的安全目的能應對所有可能的威脅、假設和組織安全策略，即每一種威脅、假設和組織安全策略都至少有一個或一個以上安全目的與其對應，因此是完備的。沒有一個安全目的沒有相應的威脅、假設和組織安全策略與之對應，這證明每個安全目的都是必要的；沒有多余的安全目的不對應威脅、假設和組織安全策略，因此說明了安全目的是充分的。

T.Physical_Manipulation
該威脅通過采取電路操作的方式來實施對IC卡芯片的物理探測和修改等形式的攻擊。O.Physical_Protection直接對抗了這個威脅。物理保護安全目的強調在構造TOE時考慮保護層機制、數據加密、地址擾亂以及特殊的集成電路版圖布線，等措施，意在增大更改IC卡芯片電路、或從IC卡芯片中獲取信息的困難性；或者使得即使獲取了數據信息，也要使解析有用信息變得困難，從而降低運用這些信息進行攻擊的風險。
T.Logical_Attack
該威脅通過選擇輸入，觀察對應的輸出，并進行相應的分析來獲得敏感數據或濫用安全功能。O.LogAttack_Prevention直接對抗了這類威脅。該安全目的強調在硬件和IC專用軟件的構造上設立相應的安全機制，限制攻擊者對芯片接口的任意訪問來避免或降低邏輯攻擊的威脅。
T.Info_Leak
該威脅通過收集并分析IC卡芯片執行過程中泄露的信息，通過分析諸如功耗、時間等因素的變化來獲得敏感數據或濫用安全功能。O.InfoLeak_Prevention直接對抗了這種威脅，它確保了攻擊者從這些暴露的信息中無法達到攻擊的目的。
T.Failure_Exploitation
該威脅著眼于將極端的環境條件強加給IC卡芯片，來達到直接或間接引起安全策略的失敗。O.Failure_Handling對抗了這種威脅，它確保當IC卡芯片暴露于設計標準之外的條件時能夠以合理的方式運行（也就是說，不能泄漏安全信息）。
T.Lifecycle_Abuse
該威脅通過特殊的接口或物理攻擊手段，來達到濫用安全功能或獲得敏感數據的目的。O.Lifecycle_Control直接對抗了這種威脅，確保功能的可用性在生命周期不同階段進行了劃分，且進行了訪問控制管理。
T.RNGDefect_Attack
該威脅通過分析隨機數的隨機性來了解隨機數發生器的缺陷，從而達到后續猜測密鑰等目的。O.RND_Generation確保生成的隨機數能達到應用要求的質量，從而可抵抗這種威脅。
P.Crypto_Management
該組織安全策略要求密碼的使用必須符合標準。這一策略由O.Crypto_Security來陳述，該目的確保了這些標準對密碼使用的規范性。
P.IdData_Management
該組織安全策略要求IC卡芯片的標識必須是清晰的、完整的并且是唯一的。這一策略通過O. IdData_Storage來陳述，該目的可確保這種標識的有效性。
A.OutData_Management
該假設要求安全地管理在IC卡芯片之外的敏感數據信息。OE.OutData_Management提出了針對性的環境安全目的，確立了為IC卡芯片的安全使用而對與IC卡芯片結構、設計相關信息機密性和完整性的要求，這些要求由IC卡芯片以外的環境滿足。
A.Personnel