一、任務來源

《信息安全技術具有中央處理器的集成電路（IC）卡芯片安全技術要求（評估保

證級4增強級）》于2008年成為國家標準，標準號為GB/T22186-2008。但隨著技術的

發展，已有4年歷史的GB/T22186-2008在時效性、易用性、可操作性上還需提高。鑒

于此，2012年，中國信息安全測評中心聯合北京多思科技工業園股份有限公司、清華大

學向信安標委申請對GB/T22186進行修訂。

根據國家標準化管理委員會2012年下達的國家標準制修訂計劃，國家標準《信息

安全技術具有中央處理器的集成電路（IC）卡芯片安全技術要求（評估保證級4增強

級）》修訂任務由中國信息安全測評中心負責主辦，標準計劃號為XXXXXXXXXX（全國信

息安全標準化技術委員會2012年信息安全專項）。

二、編制原則

此標準將考慮智能卡芯片應用的各個安全方面，包括設計，使用、維護等環節，在

數據保護，訪問控制，鑒別認證、安全管理、傳輸安全、密碼使用等方面制定相關要求，

以確保產品的機密性、完整性和可用性，使該標準可以用于指導芯片產品的研制、開發、

測試、評估及采購。

編制過程中本著“規范、合理、系統、適用”的原則，注重先進性、規范性、實用

性，也兼顧了與我國現有政策、法規與標準的執行范圍。

該標準具有很好的時效性、連貫性、易于理解與操作的特點，將在產品的開發、測

評和應用方面建立起內在一致的交互平臺，并作為指導產品研發與測評的基準。實現行

業內各項目、地區之間安全標準的統一，規范國內智能卡芯片應用市場，確保產品有嚴

格的、可控制的、規范的安全特性，提升我國智能卡芯片產品應用的總體安全水平。

三、主要工作過程

1）2012年12月成立了《信息安全技術具有中央處理器的集成電路（IC）卡芯片

安全技術要求（評估保證級4增強級）》標準編制組。

2）2013年1月至7月，標準編制組調研了國際上針對芯片的測評情況，充分借鑒

了國外的成功經驗，并結合國內的實際情況，修訂出標準草案第一稿。

3）2013年8月8日，安標委WG5工作組專家對標準進行了評審。會后，標準編制

組按照專家提出的修改建議，對草案進行了修改，形成了標準草案第二稿。

3）2013年10月10日，參加安標委WG5工作組專家評審會，《信息安全技術具有

中央處理器的集成電路（IC）卡芯片安全技術要求（評估保證級4增強級）》草案通過

了評審，并將標準名稱改為《信息安全技術具有中央處理器的集成電路（IC）卡芯片

安全技術要求》。會后，標準編制組根據評審的專家意見對草案進行修改并再次咨詢了

王立福教授，形成并提交了標準草案第三稿。

4）2013年10月23至31日,信安標委WG5工作組組織各成員單位對標準草案進行

了投票，全體投票通過。

5）2013年11月20日，信安標委WG5工作組組織集中對標準的內容和格式進行統

一修改,并將名稱改為《信息安全技術具有中央處理器的IC卡芯片安全技術要求》。

6）2013年11月21日，標準編制組根據投票意見對征求意見稿進行了修訂，形成

征求意見稿。

四、標準的主要內容

GB/T22186為具有中央處理器的集成電路（IC）卡芯片類產品定義了一組與具體實

現無關的、完整的、緊密關聯的最小安全要求集合；標準描述了集成電路（IC）卡芯片

使用的環境和面臨的威脅；陳述相應保障級別的集成電路（IC）卡芯片應該達到的安全

目的和必須滿足的安全技術要求和安全保障要求，以及它們之間的基本原理。

國家標準GB/T18336-2008是等同采用國際標準ISO/IEC15408：2005而制定的。

而ISO/IEC15408:2005核心為CCv2.3版的內容。目前，國際標準ISO/IEC15408已

更新至2009版，其核心為CCv3.1版的內容，版本升級較大，其內容也有較大變化。

國外PP的制定、產品的評估都已經依據新版本更新了相應內容。而目前國內GB/T22186

還依據較低的CC版本，一直未更新。本項目將結合目前國內外最新技術的發展情況，

來完善GB/T22186。

本標準從以下幾方面描述了智能卡芯片的安全技術要求：

描述智能卡芯片的基本結構，以及TOE的邊界定義。

描述智能卡芯片的安全問題，包括智能卡芯片保護的資產、智能卡芯片在其運

行環境中可能遇到的威脅、組織安全策略以及針對環境的假設。

描述智能卡芯片的安全目的，包含了智能卡芯片應達到的安全目的和其環境應

達到的安全目的。

定義了智能卡芯片必須滿足的安全要求，包括智能卡芯片的信息技術安全功能

要求和安全保障要求，以及組件之間依賴關系的基本原理。

本標準主要在三個方面做了修改，具體內容如下。

7

1）安全問題定義精簡

原標準在安全問題定義中共設立了4個假設、16個威脅，及4項組織安全策略，本

標準修訂過程采用威脅建模領域的國際成熟方法，對原標準進行了整合和精簡。

本標準對智能IC卡芯片在應用階段面臨的威脅進行了標識。該方法從訪問接口和

資產出發，以系統地建立威脅模型，使攻擊者從任何訪問渠道都無法獲得或篡改敏感信

息或TOE功能，以保護資產的安全性。根據IC卡芯片的運行環境特點，攻擊者可從三

個渠道訪問IC卡芯片。

（1）常規的邏輯接口，即指令交互接口；

（2）側信道接口，主要包括功耗、電磁和時耗等側信息的測量信道接口；

（3）電路和電氣接口，主要包括芯片的供電及頻率輸入接口，以及硬件電路和存

儲器等接口。

為了更詳細地刻畫威脅的含義，威脅建模過程對每個威脅都將進行分解，直至后續

分解需要引入TOE的詳細設計細節，或當前分解過程已滿足自證性為止。其中，對數據

泄漏和篡改威脅進行分解，可得到以下的威脅模型圖。由于安全能力濫用威脅與數據泄

露威脅的建模方式類似，在此不做詳細描述。

圖1：數據泄漏威脅建模圖

7

圖2：數據篡改威脅建模圖

由于對每個威脅節點進行分解時會以事件分解的完備性為原則，因而每次分解的正

確性都可以得到保證。在建模結束后，提取出所有的葉子節點，并對其進行綜合處理，

就可標識出IC卡芯片面臨的主要威脅，具體為：生命周期功能濫用、信息泄露、故障

利用、物理操作、以及邏輯攻擊。對這些威脅的具體描述可參見標準第5章。

為了保障TOE的安全運行，TOE的開發、生產、交付和運行環境等也需要滿足一定

的安全條件。為此，在組織安全策略描述了相應的規章制度、操作規程和指導性規則，

同時還以假設的形式描述了TOE的外部數據管理及嵌入式軟件開發方面需要滿足的其他

條件。按照上述方式，本草案共描述了6個威脅、2項組織安全策略和2個假設，因而

對原有的安全問題定義進行了簡化，提高了標準的可理解性。

2）安全功能要求組件變更

為適應新的安全問題定義，標準修訂時對組件進行了更新，去除了一些不適用的組

件，同時也結合實際情況添加了一部分組件。在這些新添加的組件中，FMT_LIM.1、

FMT_LIM.2和FPT_TST.2是借鑒國外成熟的案例而擴展出來的。最后形成的組件如下表

所示。

表1：安全功能要求組件

7

備注

安全功能類安全功能要求組件編號

EAL4+EAL5+EAL6+

FCS_CKM.1密鑰生成1√√√

FCS類：密碼支持

FCS_COP.1密碼運算2√√√

FDP_ACC.1子集訪問控制3√√√

FDP_ACF.1基于安全屬性的訪問控4√√√

制

FDP_IFC.1子集信息流控制5√√√

FDP類：用戶數據保護

FDP_ITT.1基本內部傳送保護6√√√

FDP_SDI.1存儲數據完整性監視7○√N/A

FDP_SDI.2存儲數據完整性監視和8○○√

反應

FIA_UAU.1鑒別的時機9○√√

FIA類：標識和鑒別

FIA_AFL.1鑒別失敗處理10○√√

FMT_LIM.1能力受限11√√√

FMT_LIM.2可用性受限12√√√

FMT_MSA.1安全屬性的管理13√√√

FMT類：安全管理FMT_MSA.3靜態屬性初始化14√√√

FMT_MTD.1TSF數據的管理15√√√

FMT_SMF.1管理功能規范16√√√

FMT_SMR.1安全角色17√√√

FPT_FLS.1失效即保持安全狀態18√√√

FPT_ITT.1內部安全功能數據傳送的19√√√

FPT類：安全功能保護基本保護

FPT_PHP.3物理攻擊抵抗20√√√

FPT_TST.2子集TSF測試21○√√

FRU：資源利用FRU_FLT.2受限容錯22√√√

注：√代表在該保障級下，應選擇該組件；○代表在該保障級下，可選擇該組件；N/A代表在該保障級下，該組

件不適用；當被評估的TOE不具備密鑰生成功能時，應不選取FCS_CKM.1組件。

3）安全保障要求組件升級

由于本標準的修訂是按最新的CC標準進行的，因此，此部分的內容按最新的保障

要求進行了升級更新。

但同時，與以前的版本相比，本草案在EAL4+的基礎上，增加了兩個保障級別EAL5+

7

和EAL6+。

對于安全保障要求組件的選取，本標準的EAL4+是在EAL4的基礎上將AVA_VAN.3

增強為AVA_VAN.4；EAL5+是在EAL5的基礎上將ALC_DVS.1增強為ALC_DVS.2，AVA_VAN.4

增強為AVA_VAN.5；EAL6+是在EAL6的基礎上增加ALC_FLR.1。

本標準與GB/T22186—2008相比，主要變化如下：

1)第2章將標準的引用文件更新為GB/T18336的最新版本；

2)第3章對術語進行了更新描述；

3)第4章重新描述了IC卡芯片的結構，并進行了更清晰的TOE范圍定義；

4)第5章對安全問題定義進行了整合和精簡，共定義了6個威脅，2項組織安全策

略和2個假設；

5)第6章根據新的安全問題定義更新了對TOE安全目的的描述；

6)第7章描述了兩個擴展族FMT_LIM和FPT_TST，分別用于處理對TOE的受限可用

性以及自檢相關的安全功能要求，以便更合理的描述IC卡芯片的安全性；

7)第8章對安全功能要求進行了調整，以細化新的安全目的描述，明確指出了

EAL4+、EAL5+和EAL6+分別應滿足的安全功能要求；并對安全保證要求進行了調

整，增加了EAL5+和EAL6+要求的保障組件；

8)第