EmbeddedUniversalIntegratedCircuitCard(eU電信終端產業協會發布ITAF-WG4-AS0055-V1.0.0: 面向物聯網設備的嵌入式通用集成電路卡（eUICC）安全能力技術要 1 1 1 1 1 2 2 3 8 8 TAF-WG4-AS0055-V1.0.0:請注意本文件的某些內容可能涉及專利。本文件的發布機構不承擔識別這些專利的責任。華為技術有限公司、北京中廣瑞波科技股份有限公司、上海果通苗、范姝男、朱旭東、鄒俊偉、吳俊、彭成、孫TAF-WG4-AS0055-V1.0.0:eUICC(EmbeddedUICC，嵌入式通用集成電路卡)出現，eUICC是物聯網終端樣是承載各種應用、數據的安全載體，然而新的智能卡形態TAF-WG4-AS0055-V1.0.0:1面向物聯網設備的嵌入式通用集成電路卡（eUICC）安全能力技術要求本標準規定了物聯網嵌入式通用集成電路卡的安全技術要求,包括安全問題定義、安全目標、安全件。凡是不注日期的引用文件，其最新版本(包括所有的修改單)適用GSMASGP.05:eUICCProtectioPP-JCS:CommonCriteriaProtectionProfiPP0084:SecurityICPlatformProtectionProfilewithAugmentationPGSMA:SGP.02:RemoteProvisioningArchitectureforEmbeddedUICCTechnicalSpecificationveGP-SecurityGuidelines-BasicApplications:GlobalPlatformCard-CompositionModel-SecuGuidelinesforBasicApGPC_GUI_010:GlobalPlatformCardSpecificationv2.2.1UICGlobalPlatform_Card_Specification:GlobalPlatformCard102226[RemoteAPDUstructureforSCP81:GlobalPlatformCardSpecificatiKS2011:W.Killmann,W.Schindler,Aproposalfor:FunctionalityclassesforrandomnumbergeneratoVersion2.0TAF-WG4-AS0055-V1.0.0:2一個包含NAA參數且有能力訪問通信網絡的Profile，為eUICC管理和Profile管理提供eUICC和Profile的一種狀態，它的文件和/或應用程序3.1.5Profile策略授權規則ProfilePolicyAuthorisa可以管理Profile所有者使用Profile策略規則的能力的一組數據。3.1.6Profile策略啟動器ProfileProfile管理系統內的一個功能原件，用于解釋以及執行Profile策略規ControllingAuthoritySControllingAuthoritySIssuerSecurityDomainProfile集主安全域IssuerSecurityDomainMobileNetworkOperaNAANetworkAccessApplicationPPARProfilePolicyAuthorisationRuleProfile策略授權規則ProfilePolicyEnablProfile策略規則使能器PPRProfile策略規則RulesAuthorisationTaUniversalIntegratedCircuitCardTAF-WG4-AS0055-V1.0.0:3本節主要描述當前廣泛被使用的基于eUICC架構的電eUICC體系結構包含以下安全域，用于平臺和Profil圖圖1安全域架構概述PERSONALIZED狀態。ISD-R不支持LOCKE4.1.2ECASDECASD應在eUICC制造期間由EUM安裝和個人化。ECASD應與ISD-R相關聯。在eUICC制造完畢之后，ECASD應處于GlobalPlatform卡規范第5.3節中的定義的ECASD應在eUICC制造期間由EUM進行個人化，需要安裝以下數據：TAF-WG4-AS0055-V1.0.0:4l只有ISD-R和ISD-P才能使用ECASD服務。ISD-P應由ISD-R安裝，然后由其相關的SM-DP進行個人化。在eUIC個帶有Profile的ISD-P，并由EUM進行首次個人化，用于后面的eUICClISD-P創建：在創建的時候建立ISD-R和ISD-P之間的關聯；l數據傳輸功能：允許在SM-DP和ISD-P之間建立SCP03/SCP03t連接。ISD-P應基于GlobalPlatform卡規范第5.3節中TAF-WG4-AS0055-V1.0.0:5圖2ISD-P生命周期轉換ISD-P被啟用，或者啟動了回滾機制，I表1ISD-P狀態編碼TAF-WG4-AS0055-V1.0.0:6表2ISD-P狀態映射分配給一個Profile組件的應用權限（在GTAF-WG4-AS0055-V1.0.0:7圖圖3Profile的結構概述平臺之間的安全通道，用來管理處于啟用狀態的TAF-WG4-AS0055-V1.0.0:8圖4MNO與MNO-SD之間的安全通道密鑰TAF-WG4-AS0055-V1.0.0:9SM-SR使用此平臺管理密鑰集，通過其卡上代表ISM-DP使用此Profile管理密鑰TSF_CODETAF-WG4-AS0055-V1.0.0:管理數據身份管理數據eUICC私鑰由eUICC用于證明其身份并與遠程參與者生成共享秘密，存儲在ECASD中。EUM為特定的個人eUICC頒發的證書。可以使用EUM證書驗證此證書。存儲在ECASD中。TAF-WG4-AS0055-V1.0.0:5.2用戶/主體5.2.1用戶安全執行平臺管理命令以及Profile管理命準備Profile和管理Profile在e5.2.2主體TAF-WG4-AS0055-V1.0.0:令或Profile（在傳輸期間或在eUICC上加載期間T.UNAUTHORIZED-PROFIL），T.UNAUTHORIZED-PLATFORMTAF-WG4-AS0055-V1.0.0:注意：通過改變ISD-R的行為，攻擊者間接地威脅到eUICC的初始配置狀態，因此也威脅到T.PROFILE-MNG-INTERCl未經授權在eUICC上下載Profile；），T.PLATFORM-MNG-INTERCET.UNAUTHORIZED-IDENT攻擊者可能會嘗試攔截憑證，無論是在卡上還是在卡外，以便TAF-WG4-AS0055-V1.0.0:T.UNAUTHORIZED-MOBILE5.3.5其他卡上的惡意應用程序通過邏輯方式繞過PSF措施lIC和OS軟件l運行環境（例如由JCS提供）攻擊者通過物理（相對于邏輯）篡改手段泄露或修改TOE設計、其敏這種威脅包括環境壓力、IC失效分析、電子探針、意外拆解和側信道。這還包括通過物理篡改技TOE必須強制執行GSMASGP.02規范中定義的eUICC生命周期。特別是：TAF-WG4-AS0055-V1.0.0:種情況下，即使POL1聲明無法禁用或刪除Profile，eUICC也可以禁用和刪除當前啟用的5.5假設A.ACTORSTAF-WG4-AS0055-V1.0.0:以同樣的方式，TOE應確保只有每個安全域的合法所有者才能訪問或更改其機據，例如身份數據（用于ECASD）或D.PRlMNO-SD和MNOOTA平臺。O.INTERNAL-SECURE-CTAF-WG4-AS0055-V1.0.0:TOE對數據進行管理或操作時，TOE應避免未經授權修改以下數據：eUICC應提供對移動網絡進行身份驗TAF-WG4-AS0055-V1.0.0:TAF-WG4-AS0055-V1.0.0:運行環境應提供保護應用程序通信的機密性和完整性作者可以通過重用與以下威脅相關的PP-JCS規范安全目標來轉換這一目標：T.T.CONFID-JCS-CODE，T.INTEG-JCS-CODE，T.CONFID-JCS-DATA，T.INTEG-JCS-運行環境應提供一種始終保護其處理的TOE敏感重用PP-JCS規范中與以下威脅相關的安全TAF-WG4-AS0055-V1.0.0:作者可以通過重用與以下威脅相關的PP-JCS規范的安全目標來轉換這一目標：T.INT.INTEG-APPLI-DATA.LOAD，T.INTEG-APPLI-CODE，T.INTEG-APPLI-CODE.L作者可以通過重用與以下威脅相關的PP-JCS規范的安全目標來轉換這一目標：T.EXE-CODE.1，T.EXE-CODE.2，T.EXE-應用程序應符合GP-SecurityGuidelines-BasicAppli根據GSMASGP.02規范，安全域U.MNO-SD必須使用TOE提供的安全信道SCP80/81。T.UNAUTHORIZED-PROFILlPSF和O.eUICC-DOMAIN-RIGHTS確保只有經過授卡上訪問控制策略依賴于底層運行環境，該環境確保應用程序數據的機密性和完整性為了確保應用程序防火墻的安全運行，針對操作環境的以下目標也TAF-WG4-AS0055-V1.0.0:T.UNAUTHORIZED-PLATFORMlPSF和O.eUICC-DOMAIN-RIGHTS確保只有經過授權和認證的參與者（SM-SR）才能訪問安卡上訪問控制策略依賴于底層運行環境，該環境確保應用程序數據的機密性和完整性lO.SECURE-CHANNELS和O.INTERN道道。這些安全通道依賴于底層運行環境，它可以保護應用程序之間的通信為了確保應用程序防火墻的安全運行，針對操作環境的以下目標也T.PROFILE-MNG-INTERC），為了確保應用程序防火墻的安全運行，針對操作環境的以下目標也由于MNO-SD安全域不是TOE的一部分，因此操作環境必須保證它能夠安全地使用TOET.PLATFORM-MNG-INTERCEISD-R（O.SECURE-CHANNELS和O.INTERNAL-SECURE為了確保應用程序防火墻的安全運行，針對操作環境的以下目標也T.UNAUTHORIZED-IDENTTAF-WG4-AS0055-V1.0.0:卡上訪問控制策略依賴于底層運行環境，該環境確保應用程序數據的機密性和完整性OE.RE.IDENTITY確保在Ja些安全通道依賴于底層運行環境，它可以保護應用程序之間的通T.UNAUTHORIZED-MOBILE每當應用程序處理TOE的敏感數據時，運行環境必須始終保護其機密性和完整性能和電信框架處理，但是，其功能不受運行IC嵌入式軟件通過目標OE.IC.SUPPORT來支持這些目標。特別地，ITAF-WG4-AS0055-V1.0.0:（O.DATA-CONFIDENTIALITY）。出于同樣的原因，運行環境安全體系結構必須涵蓋側通道O.OPERATE通過確保始終強制執行這些安全功能來幫助應對這O.PSF確保SM-SR可以刪除阻塞的孤立Profile，并且只能由SM-SR刪除。此刪除功能依賴于OE.RE.PSF提供的安全應用程序刪除機制。O.PSF確保每時每刻O.OPERATE通過確保始終強制執行PSA.ACTORS表3威脅和安全目標——覆蓋范圍O.INTERNAL-SECURE-CO.eUICC-DOMAIN-RIGHTS,O.INTERNAL-SECURE-COE.RE.SECURE-COMM,OO.INTERNAL-SECURE-CO.eUICC-DOMAIN-RIGHTS,OE.CI,O.INTERNAL-SECURE-C表4安全目標和威脅——覆蓋范圍表4安全目標和威脅——覆蓋范圍O.INTERNAL-SECURE-CH..表5OSP和安全目標——覆蓋范圍表6安全目標和OSP——覆蓋范圍O.INTERNAL-SECURE-CH表7假設和運行環境安全目標——覆蓋范圍表8運行環境安全目標和假設——覆蓋范圍證證明）。該族描述了TOE證明其身份的功能要求，并允許外部實體進行身份驗證。類FIA的其他成該族定義了TOE提供的證明其身份、并由TOTAF-WG4-AS0055-V1.0.0:FPT_EMS族屬于FPT類，因為它是TSF保護的類。FPT類中TAF-WG4-AS0055-V1.0.0:選擇操作用來選擇CC提供的一個或多個選項來說明要求。由PP作者做出的選擇表示為帶下劃線TAF-WG4-AS0055-V1.0.0:賦值操作用來將特定值分配給未指定的參數，例如口令當需要重復操作同一組件時，使用迭代操作。迭代通過斜杠"/"和組件標識符之后的迭代指示符來TAF-WG4-AS0055-V1.0.0:圖5安全通道協議信息流控制SFP），圖6平臺服務信息流控制SFP圖7ISD-R訪問控制SFP圖8ISD-P內容訪問控制SFPTAF-WG4-AS0055-V1.0.0:AIDAID屬于運行環境（是PP-JCS圖9ECASD內容訪問控制SFP表9安全屬性定義TOE使用密鑰集在遠程參與者與eUICC上的TOE用U.SM-SR和U.SM-DP證書來對這些用CI根公鑰在身份管理數據TAF-WG4-AS0055-V1.0.0:U.MNO-SD代表U.MNO-OTA執行操作，因此需要UTOE應將卡外和卡上用戶綁定到內部主FIA_UID.1.2/EXT在允許代表該用戶執行任何其他TFIA_UAU.1.2/EXT在允許代表該用戶TAF-WG4-AS0055-V1.0.0:使新的SM-DP能夠根據FCS_CKM.1/SCP-FIA_USB.1.2/EXTTSF應對用戶安全FIA_USB.1.3/EXTTSF應執行以下規則，管理與代表用戶操作的主體相關的用戶安全屬性的更改：TAF-WG4-AS0055-V1.0.0:FIA_UID.1.1/MNO-SDTSFIA_UID.1.2/MNO-SD在允許代表該用戶進行任何其他TFIA_USB.1.1/MNO-SDTSF應將以下用戶安全屬性與代表該用戶的主體相關聯：UFIA_USB.1.2/MNO-SDTSF應對用戶安全屬性與代表用戶的主體的初始關聯強制執行以下規FIA_USB.1.3/MNO-SDTSF應強制執行以下規則，以管理與代表用戶操作的主體相關聯的TAF-WG4-AS0055-V1.0.0:該要求包描述了TSF如何保護與外部用戶的通信。TSF應強制執行安全通道（FTP_ITC.1/SCP和FT TSF必須使用加密方法來強制執行此保護，并安全地管理相關的密鑰___TAF-WG4-AS0055-V1.0.0:FDP_IFF.1.2/SCP如果遵守以下規則，TSF應允許通過受控有關安全通道的更多詳細信息，請參見GSMASFTP_ITC.1/SCPTSF間可信信道FTP_ITC.1.1/SCPTSF應在其自身與另一個可信的IT產品之間提供一個通信通SGP.02規范第2.5章中定義的參數使用AES來解決端點識別問題。TAF-WG4-AS0055-V1.0.0:FDP_ITC.2.2/SCPTSF應使用與導入的用戶數據關聯的安全屬性。FDP_ITC.2.3/SCPTSF應確保所使用的協議提供安全屬性與接收的用戶數據之間的明確關聯。FDP_ITC.2.4/SCPTSF應確保對導入的用戶數據的安全屬性的解釋符合用戶數據源的預期。FPT_TDC.1/SCPTSF間基本TAF-WG4-AS0055-V1.0.0:FPT_TDC.1.1/SCPTSF應對下述內容提供一致下面列出了與SFRFPT_TDC.1/SCP，FDP_IFC.1/SCP，FDP_IFC.1/SCP相關的命令和與此SFRnES8.UpdateConnectivnES6.UpdateConnectiTAF-WG4-AS0055-V1.0.0:FDP_UIT.1.2/SCPTSF應能夠在收到用戶數據指定的加密密鑰大小256生成加密密鑰，l使用CERT.DP.ECDSA中包含的U.SM-DP公鑰通過ES8.EstablishISDPKeySet命令生成的TAF-WG4-AS0055-V1.0.0:l使用CERT.SR.ECDSA中包含的U.SM-SR公鑰通過ES5.EstablishISDRKeySet命令生成的用于此密鑰協議的橢圓曲線加密可由底層平臺提供。因此，該標準不包括相應的FCS_COP.1Sl公鑰分發在用戶證書（CERT.SR.ECDSA和CERT.DP.ECDSA）中或加載預先發布的TOETAF-WG4-AS0055-V1.0.0:FDP_ACC.1.1/ISDRTSF應對TAF-WG4-AS0055-V1.0.0:FDP_ACF.1.4/ISDRTSF應根據TAF-WG4-AS0055-V1.0.0:FDP_ACF.1.1/ISDPTSF應根據FDP_ACF.1.2/ISDPTSF應執行以下規TAF-WG4-AS0055-V1.0.0:FDP_ACF.1.4/ISDPTSF應根據以下附加規則明確拒絕授予主體對客體的訪問權限：標識和認證SFR（FIA_*/EXT和FIA_*/MNO-SD）要求這些操作僅在經過身份驗證后通過本地用戶FDP_ACC.1.1/ECASDTSF應對TAF-WG4-AS0055-V1.0.0:FDP_ACF.1.2/ECASDTSF應執行以下規則以確定是否允許受控主體和受控客體之間的操作：FDP_ACF.1.3/ECASDTFDP_ACF.1.4/ECASDTSF應FDP_IFC.1/Platform_servFDP_IFC.1.1/Platform_servFDP_IFF.1.1/Platform_serviceslS.ISD-R，S.ISD-P，U.MNO-SD，具有安全屬性“應用程序標識符（AID）”TAF-WG4-AS0055-V1.0.0:FDP_IFF.1.3/Platform_serFDP_IFF.1.4/Platform_serFDP_IFF.1.5/Platform_serFPT_FLS.1/Platform_serFPT_FLS.1.1/Platform_services發生以下類型的故障時，TSF應保持安全狀態：TAF-WG4-AS0055-V1.0.0:和密鑰（FMT_MSA.1/CERT_KEYS）及他們的限制性默認值（FMT_MTAF-WG4-AS0055-V1.0.0:FDP_SDI.1.1TSF應根據以下屬性監視所有對象存儲在由TSF控制的容器中的TAF-WG4-AS0055-V1.0.0:到Profile并通知SM-SR。此標準未解決此功FMT_MSA.1.1/POL1TSF應強制執行安全信道協議到TAF-WG4-AS0055-V1.0.0:FMT_MSA.3.2TSF不允許任何參與者指定備用初始值，以在創建對象或FMT_SMR.1.2TSF應能夠將用TAF-WG4-AS0055-V1.0.0:TSF必須在MNO網絡上實施加密機制（FCS_COP.1/Mobile_network）并安全地管理密鑰FCS_CKM.2/Mobile_netFCS_CKM.4/Mobile_net評估保障級別為EAL4，增加了AVA_VAN.5和ALC_DVS.TAF-WG4-AS0055-V1.0.0:ADV_ARC.1.1C安全架構描述的詳細程度應與TOE設計文檔中描述的SFR-執行的抽象描述相當。ADV_ARC.1.2C安全架構描述應描述由TSF維護的與SFR一致的安全域。ADV_ARC.1.3C安全架構描述應描述TSF初始化過程為何ADV_ARC.1.4C安全架構描述應證明TSF可保護自己免受篡改。ADV_ARC.1.5C安全架構描述應證明TSF可防止SFR-執行功能被繞過。ADV_ARC.1.1E評估者應確認所提供的信息符合證據的內容和形式要求。ADV_FSP.4.5C功能規范應描述可ADV_FSP.4.1E評估者應確認所提供的信息符合證據的內容和形式要求。ADV_IMP.1.1C實現表示應按詳細級別ADV_IMP.1.3CTOE設計描述ADV_TDS.3.2C設計應根據模塊描TAF-WG4-AS0055-V1.0.0:ADV_TDS.3.7C設計應描述每個SFR-執行模塊，包括其目的和與ADV_TDS.3.10C映射關系應論證TOE設計中描述的所有行ADV_TDS.3.1E評估者應確認所提供的信息符合證據的內容和形式要求。ADV_TDS.3.2E評估者應確定該設計是所有安全功AGD_OPE.1.1C操作用戶指南應對每個用戶角色描述應在安全處理環境中控制的用戶可訪問的功能和AGD_OPE.1.2C操作用戶指南應為每個用戶角色描述如何以安全的方式使用TOE提AGD_OPE.1.3C操作用戶指南應為每個用戶角色描述可用的功能和接口，特別是用戶控制下的所有安全參數，適當時應指明安全值。AGD_OPE.1.4C對于每個用戶角色，操作用戶指南應清楚地說明與需要執行的用戶可訪問功能相關的AGD_OPE.1.5C操作用戶指南應標識TOE運行的所有可能狀態（包括操作導致的失敗或者操作性錯AGD_OPE.1.6C對于每個用戶角色，操作用戶指南應描述AGD_OPE.1.7C操作用戶指南應清晰合理。AGD_OPE.1.1E評估者應確認所提供的信息符合證據的內容和形式要求。AGD_PRE.1.1C準備程序應描述與開發者交付程序相一致的安全接受所交付的TOE所需的所有步驟。運行環境必須的所有步驟。AGD_PRE.1.1E評估者應確認所提供的信息符合證據的內容和形式要求。AGD_PRE.1.2E評估者應運用準備程序確認TOE運TAF-WG4-AS0055-V1.0.0:ALC_CMC.4.3D開發者應使用CM系統。ALC_CMC.4.1C應給TOEALC_CMC.4.2CCM文檔應描述ALC_CMC.4.4CCM系統應提供自動化措施，以便僅對配置項進行授權更改。ALC_CMC.4.9C證據應證明所有配置項都在CALC_CMC.4.10C證據應證明CM系統正在ALC_CMC.4.1E評估者應確認所提供的信息符合證據的內容和形式要求。ALC_DEL.1.1D開發者應將把ALC_DEL.1.1D開發者應將把TOE或其部分交付給消費者ALC_DEL.1.1E評估者應確認所提供的信息符合證據的內容和形式要求。ALC_CMS.4.3C對于每個TSF相關的配置項，配ALC_CMS.4.1E評估者應確認所提供的信息符合證據的內容和形式要求。ALC_DVS.2.1D開發者應提供開發安全文檔。所必需的所有物理的、程序的、人員的及其它方面的安全ALC_DVS.2.1E評估者應確認所提供的信息符合證據的內容和形式要求。ALC_DVS.2.2E評估者應確認安全措施正在被使用。TAF-WG4-AS0055-V1.0.0:ALC_LCD.1.2D開發人員應提供生命周期定義文檔。ASE_CCL.1.1D開發者應提供符合性聲明。ASE_CCL.1.2DASE_CCL.1.1D開發者應提供符合性聲明。ASE_CCL.1.2D開發者應提供符合性聲明的基本原理。ASE_CCL.1.2CCC符合性聲明應描述ST與CC第2部分的符合性ASE_CCL.1.5C符合性聲明應標識ST聲稱符ASE_CCL.1.6C符合性聲明應描述ST與包的任何符合性，包括ASE_CCL.1.7C符合性聲明的基本原理應證明TOE類型與聲明符合的PP中的TOE類型一致。ASE_CCL.1.8C符合性聲明的基本原理應證明安全問題定義的陳述與聲明符合的PP中的安全問題定ASE_CCL.1.10C符合性聲明的基本原理應證明安全要求陳述與聲明符合的PP中的安全要求陳述一ASE_CCL.1.1E評估者應確認所提供的信息符合證據的內容和形式要求。ASE_ECD擴展組ASE_ECD.1.1D開發者應提供安全要求的陳述。TAF-WG4-AS0055-V1.0.0:ASE_ECD.1.2D開發者應提供擴展組件的定義。ASE_ECD.1.1C安全要求陳述應標識所有擴展的安全要求。ASE_ECD.1.2C擴展組件定義應為每一個擴展的安全要求定義一個擴展的組件。ASE_ECD.1.3C擴展組件定義應描述每個擴展的組件與已有組件、族和類的關聯性。ASE_ECD.1.4C擴展組件定義應使用已有的組件、族、類和方法學作為陳述的模型。ASE_ECD.1.5C擴展組件應由可測量的和客觀的元素組成，以便于證實這些元素之間的符合性或不ASE_ECD.1.1E評估者應確認所提供的信息符合證據的內容和形式要求。ASE_ECD.1.2E評估者應確認擴展組件不能利用已經存在的組件明確的表達。ASE_OBJ.2.1D開發者應提供安全目的陳述。ASE_OBJ.2.2D開發者應提供安全目的基本原理。ASE_OBJ.2.1D開發者應提供安全目的陳述。ASE_OBJ.2.2D開發者應提供安全目的基本原理。ASE_OBJ.2.2C安全目的基本原理應ASE_INT.1.1E評估者應確認所提供的信息符ASE_INT.1.2E評估者應確認TOE參考，TOE概述和TOE描述是否相互一致。ASE_OBJ.2.3C安全目的基本原理應追溯到運行環境的每一個安全目的，以便能追溯到安全目的所對ASE_OBJ.2.4C安全目的基本原理應證明安全目的可抵御所有威脅。ASE_OBJ.2.5C安全目的基本原理應證明安全目的執行所有ASE_OBJ.2.6C安全目的基本原理應證明運行環境ASE_OBJ.2.1E評估者應確認所提供的信息符合證據的內容和形式要求。ASE_REQ.2.1D開發者應提供安全要求的陳述。TAF-WG4-AS0055-V1.0.0:ASE_REQ.2.3C安全要求的陳述應標識ASE_REQ.2.5C應滿足安全要求間的依賴關系，或者安全要求的基本原理應論證不需要滿足某個依賴ASE_REQ.2.7C安全要求的基本原ASE_REQ.2.9C安全要求的陳述應是內在一致的。ASE_REQ.2.9C安全要求的陳述應是內在一致的。 ASE_TSS.1.1E評估者應確認所提供的信息符合證據的內容和形式要求。ASE_SPD.1.1C安全問題定義應描述威脅。ASE_SPD.1.4C安全問題定義應描述TOE運行ASE_SPD.1.1E評估者應確認所提供的信息符合證據的內容和形式要求。ATE_COV.2.1C測試覆蓋分析應證明測試文檔中的測試與功ATE_DPT深度TAF-WG4-AS0055-V1.0.0:ATE_DPT.2.2C測試深度分析應證明TOE設計中的所有TSF子系統都已ATE_DPT.2.3C測試深度分析應證明TOE設計中的SFR-執行模ATEATE_FUN.1.2C測試計劃應標識要執行的測試并描述執行每個測試的方案，這些方案應包括對于其它ATE_FUN.1.3C預期的測試結果應指ATE_FUN.1.4C實際的測試ATE_FUN.1.1E評估者ATE_FUN.1.1E評估者應確認所提供的信息符ATE_IND.2.1E評估者應確認所提供的信息過程中使用指導性文檔、功能規范、TOE設計、安全結TAF-WG4-AS0055-V1.0.0:則和限制）涵蓋此安全目標相應的授權用戶訪問。FTP_ITC.1/SCP為授權用戶提供相應的安全通道。要求FTP_ITC.1/SCP，FPT_TDC.1/SCP，FDP_UCFCS_CKM.4/SCP-SM和FCS_CKM.4/SCP-MNO進行密鑰FMT_SMF.1和FMT_SMR.1通過提供O.INTERNAL-SECURE-CFDP_SDI.1確保在此傳輸期間共享秘密不會被修改。FDP_RIP.1確保無法從釋放的資源中恢復共享秘密。TAF-WG4-AS0055-V1.0.0:FDP_IFC.1/Platform_services、FDP_IFF.1/Platform_services、FMT_MSA.3原子性由FPT_FLS.1/PlatformFDP_UCT.1/SCP處理來自卡外參與者的數據接收，而訪問控制SFR（FDP_ACC.1/ISDR、FDP_ACC.1/ISDP、FDP_ACFDP_RIP.1確保沒有剩余的機密數據可用。FCS_COP.1/Mobile_network、FCS_信框架中存在的加密算法、相關密鑰的分發FDP_UIT.1/SCP處理來自卡外參與者的數據接收，而訪問控制SFP（FDP_ACC.1/ISDR、FDP_SDI.1指定了進行監視的Profile數據，以防表10安全目標和SFR——覆蓋范圍FDP_ACC.1/ISDR,FDP_ACF.1/FDP_ACC.1/ISDR,FDP_ACFFCS_CKM.4/SCP-SM,FCS_CKM.4/SCP-MNOO.INTERNAL-SECURE-CHFPT_FLS.1/Platform_ServFDP_IFC.1/Platform_services,FDPFPT_FLS.1/Platform_Services,FCS_COP.1/Mobile_networFCS_CKM.2/Mobile_network,FPT_EMSFDP_ACC.1/ECASD,FDPFCS_COP.1/Mobile_networkFCS_CKM.2/Mobile_net表11SFR和安全目標O.eUI