EmbeddedUniversalIntegratedCircuitCard(eUICC)Consumer電信終端產業協會發布I 面向消費電子設備的嵌入式通用集成電路卡（eUICC）安全能力技術要求 1 1 1 1 2 2 3 3 7 7 TAF-WG4-AS0056-V1.0請注意本文件的某些內容可能涉及專利。本文件的發布機構不承擔識別這些專利的責任。華為技術有限公司、北京中廣瑞波科技股份有限公司、上海果通新苗、范姝男、朱旭東、鄒俊偉、吳俊、彭成、孫亨博、TAF-WG4-AS0056-V1.0隨著移動通信技術的發展及廣泛應用，eUICC技術逐漸從物聯網領域擴展到消費電子領域，目前主要應用于手機、智能手表和其他可穿戴設備。相對于物聯網領域的eUICC，從形態上看，消費電子1面向消費電子設備的嵌入式通用集成電路卡（eUICC）安全能力技術要求件。凡是不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文GSMASGP.25:eUICCforConsPP-JCS:JavaCard?System-OpenConfigurationProtectionProfilePP0084:SecurityICPlatformProtectionProfilewithAugmentationPackGMSASGP.02:RemoteProvisioningArchitectureforEmbeddedUICCTechnicalSpecificatPP-USIM:(U)SIMJavaCardPlatformProtectionProfileBasicandSCWSConfiguratiGP-SecurityGuidelines-BasicApplications:GlobalPlatformCardCompositionModelSecurityforBasicApplications,versiCC1:CommonCriteriaforInformationTechnologySemodelversion3.1,RevisCC2:CommonCriteriaforInformationTechcomponents,version3.1,Revision5CC3:CommonCriteriaforInformationTechnologySecurityEvaluation,components,version3.1,Revision5GlobalPlatform_Card_Specification:GlobalPlatformCSCP80:ETSITS102225-SecuredpackETSITS102226-RemoteAPDUstructSCP81:GlobalPlatformCardSpecificationAmendmentB–RemoteApplicationManagementoverKS2011:W.Killmann,W.Schindler,?Aproposalfor:Functionalityclagenerators“versionGSMASGP.22:RemoteSIMProvisioning(RSP)TechnicalSpecific2ControllingAuthoritySCASDControllingAuthoritySCASDCIECASDEUMeUICCManufacturerEIDeUICC-IDEmbeddedUICCISD-PIssuerSecurityDomainProfile集主安全域ISD-RIssuerSecurityDomainLPALocalProfileAssisProfile代理LPAdLocalProfileAssistantinthedLPAeLocalProfileAssistantintheeUMNOMobileNetworkOperatorNAANetworkAccessApplicationPPARProfilePolicyAuthorisationRuProfile策略授權規則ProfilePolicyEnablProfile策略規則使能器PPRProfile策略規則RulesAuthorisationTaTargetofEvaluationUniversalIntegratedCircuitCard3圖圖1消費電子設備eUICC架構ECASD應在eUICC制造期間由EUM安裝和個人化。在eUICC制造之后，ECASD應處于lPK.CI.ECDSA，CI的公鑰。4ISD-R應當在eUICC的制造期間由EUM進行安裝和個人化。ISD-R應與自身相關聯。ISD-R下載和安裝,并且通過與Profile包解釋器的合作對收到的Profil4.1.4ProfileMNO-SD是運營商在卡內的代表，它包含了運營商的OTA密鑰并且提供安全的OTA通道。OperationalProfile5ProvisioningProfile按照適用于ProvisioningProfile的方式處6圖2RSP系統中LPAd結構圖7在eUICC端實現的LPA服務。圖3RSP系統中LPAe結構圖），8u與Profile相關的身份（D.Pr密鑰D.PROFILE_POLICY_RU9所有這些資產都必須保護免受未經授權的披管理數據lISD-P安全域的eUICC生命周期狀態。這些數據可以部分地在ISD-R和平臺代碼的邏輯中實現，而不是“數據”。因此，這一資產與這些規則在eUICC制造時或在初始設備設置期間初始化，是在沒有安裝可身份管理數據），eUICC證書必須被保護以避免未經授5.2用戶/主體5.2.1用戶5.2.2主體Profile策略激活，包含兩個功能：）；l或未經授權的平臺管理（通常試圖禁用啟用的Profile）。T.UNAUTHORIZED-PROFIProfile產生任何副作用。lISD-P內的應用試圖破壞另一個MNO-S），T.UNAUTHORIZED-PLATFORMT.UNAUTHORIZED-PROFILE-MNG相同的T.PROFILE-MNG-INTERC攻擊者改變或竊聽eUICC和SM-DPl未經授權在eUICC上下載Profile；），T.UNAUTHORIZED-IDENTD.PK.CI.ECDSA,D.EID,D.CERT.EUM.ECDSA,攻擊者可能試圖攔截憑據，無論是在卡外還是在卡直接威脅資產：D.TSF_CODE(ECASD),D.SK.EUICC.ECDSA,D.EID,D攻擊者利用LPAd的接口（接口ES10a、ES10b），l利用接口中的缺陷來修改或泄露敏感資產，或執行代碼（特別針對LPAd接口的與威脅T.UNAUTHORIZED-PROFILE-MNG,直接威脅資產：D.DEVICE_INFO,D.PLATT.UNAUTHORIZED-MOBILE5.3.6其他攻擊者通過物理(與邏輯相反)篡改手段泄露或修改TOE設計這種威脅包括環境壓力、IC失效分析、電子探針、意外拆解和側信道。這還包括通過物理篡改技這個安全目標必須強制執行所定義的eUICC生命周期。特別地：刪除Profile），在存儲器復位或測試存儲器復位功能期間除外：在這種情況5.5假設5.5.2其他A.ACTORS基礎設施的參與者（CI、EUM、SM-l驗證包含PPR的Profile是否由RAT授權；TOE應確保未經授權的參與者不得訪問或更改個以同樣的方式，TOE應確保只有每個安全域的合法所有者才能訪問或更改其機密或lMNO-SD和MNOOTA平臺。O.INTERNAL-SECURE-CTOE對數據進行管理或操作時，應避免未經授權修改以下數據：eUICC應提供向移動網絡進行身份驗中使用的任何密鑰在通過MNOOTA平臺傳輸到eUICC上之前不會受到損害。移動運營商OTA服務器的管理員應該是值得信賴的人。他們應接受器。他們擁有執行任務的方法和設備。他們必須意識到他們管理的資產的敏感性以及與OTA服務器管運行環境應提供方法保護應用程序通信的機密性和完可以通過重用與以下威脅相關的PP-JCS規范的安全目標來轉換此目標：T.CONFID-APPLI-DATA和者可以通過重用與以下威脅相關的PP-JCS規范安全目標來轉換這一目標：T.CONFID-JCS-CODE，T.INTEG-JCS-CODE，T.CONFID-JCS-DATA，T.INTEG-JCS-D運行環境應提供方法始終保護其處理的TOE者可以通過重用與以下威脅相關的PP-JCS規范安全目標來轉換這一目標：T.INTEG-APPLI-DATA，T.INTEG-APPLI-DATA.LOAD，T.INTEG-APPLI-CODE，T.INTEG-APPLI-CODE.LO者可以通過重用與以下威脅相關的PP-JCS規范的安全目標來轉換這一目標：T.EXE-CODE.1，T.EXE-CODE.2，T.EXE-當LPAd存在且運行時，接口ES10a，ES10b和ES10c是eUICC和LPAd之和平臺安全機制（例如安全域，應用程序防火墻），這根據GSMASGP.02，安全域U.MNO-SD必須使用TOE提供的安全通道SCP80/81。T.UNAUTHORIZED-PROFILE-MNGlO.PPE-PPI和O.eUICC-DOMAIN-RIGHTS確保只有經過授權和認證的參與者（SM-DP+和卡上訪問控制策略依賴于底層運行環境，該環境確保應用程序數據的機密性和完整性lO.SECURE-CHANNELS和O.INTERNAL-SECURE為了確保應用程序防火墻的安全運行，操作環境的以下目lO.PPE-PPI和O.eUICC-DOMAIN-RIGHTS確保只有經過授權卡上訪問控制策略依賴于底層運行環境，該環境確保應用程序數據的機密性和完整性為了確保應用程序防火墻的安全運行，操作環境的以下目OE.SM-DPplus和OE.MNO確保在由卡外參與者使用時不會泄露與安全通OE.SM-DPplus確保在由卡外參與O.DATA-INTEGRITY和OE.RE.DATA-INTEGRITY確保設備信息和eUICCInfo2的完整性在OE.RE.IDENTITY確保在JavT.IDENTITY-INTERCEPTIONO.INTERNAL-SECURE-CHANNELS確保從ECASD到ISDISD-P的共享秘密的安全傳輸。這些安全通道依賴于底層運行環境，它可以保護應用程序通信每當應用程序處理TOE的敏感數據時，運行環境必須始終保護數據的機密性和完整性（O.DATA-CONFIDENTIALITY）。出于同樣的原因，Java卡平臺安全體系結構必須可以應對側信道表1威脅和安全目標——覆蓋范圍O.eUICC-DOMAIN-RIGHTS,OE.SM-O.eUICC-DOMAIN-RIGHTS,OOE.RE.SECURE-COMM,OE.OE.SM-DPplus,OE.RE.SECURE-O.eUICC-DOMAIN-RIGHTS,OOE.CI,O.INTERNAL-SECURE-C表表2安全目標和威脅——覆蓋范圍OE.RE.API,OE.RE.CODEO.INTERNAL-SECURE-CH表3OSP表3OSP和安全目標——覆蓋范圍表4安全目標和OSP——覆蓋范圍O.INTERNAL-SECURE-CH表5假設和操作環境安全目標——覆蓋表5假設和操作環境安全目標——覆蓋范圍OE.CI,OE.SM-DPplus,表6操作環境安全目標和假設——覆蓋證證明）。該族描述了TOE證明所聲稱身份的功能要求，并允許外部實體進行身份驗證。類FIA的其段落采用了CC第2部分的風格，從TOE的角度定義了族FIA_API。該族定義了TOE提供的證明其身份、并由TOEIT環境中的外部實體進行驗證的功能。FPT_EMS族屬于FPT類，因為它是TSF保護的類。FPT類中選擇操作用來選擇CC提供的一個或多個選項來說明要求。由PP作者做出的選擇表示為帶下劃線賦值操作用來將特定值分配給未指定的參數，例如口令的長度。由PP作者作出的賦值通過用粗體當需要重復操作同一組件時，使用迭代操作。迭代通過斜杠“/”和組件標識符之后的迭代指示符圖圖4安全通道協議信息流控制SFP圖5平臺服務信息流控制SFP圖6ISD-R訪問控制SFP圖7ISD-P內容訪問控制SFP圖8ECASD訪問控制SFP表7安全屬性定義AIDPPR（PPR1）'不允許禁用此配置文件'（PPR2）'不允許刪除此配置文件'D.PROFILE_POLICY_RUL義TOE用于驗證用戶的U.SM-DPpluCI根公鑰在身份管理數據l通過SM-DP+OID識別遠程用戶U.SM-DPplusU.MNO-SD未經TOE認證。它是在U.SM-DPplus下載和安裝Profile過程中在U.MNO-SD代表U.MNO-OTA操作，因此需要UFIA_UID.1.2/EXTFIA_UID.1.2/EXT在允許代表該用戶執行任何其他TFIA_UAU.1.2/EXT在允許代表該用戶lNISTP-256，在數字簽名標準中定義（由NISFIA_USB.1.2/EXTTSF應對用FIA_USB.1.3/EXTTSF應執行以下規則，管理與代表用戶操作的主體相關的用戶安全屬性的更lD.MNO_KEYS密鑰集的初始關聯由ES8+.ConfigureISDP命令執行。FIA_UID.1.2/MNO-SD在允許代表該用戶進行任何其他TFIA_USB.1.1/MNO-SDTSF應將以下用戶安全屬性與代表該用戶的主體相關聯：UFIA_USB.1.2/MNO-SDTSF應對用戶安全屬性與代表用戶的主體的初始關聯強制執行以下規則：FIA_USB.1.3/MNO-SDTSF應強制執行以下規則，以管理與代表用戶操作的主體相關聯的該要求包描述了TSF如何保護與外部用戶的通信。TSF應強制執行安全通道（FTP_ITC.1/SCP和FTSF必須使用加密方法來強制執行此保護，并安全地管理相關的密lD.SECRETS的生成和刪除（FCS_FDP_IFF.1.2/SCP如果遵守以下規則，TSF應允許通過受FTP_ITC.1/SCPTSF間可信信道FTP_ITC.1.1/SCPTSF應在其自身與另一個可信的IT產品之間提供一個通信通lSM-DP+的安全通道必須是SCP-SGP22安全通道。根據GlobalPla規范修正案F使用AES和GSMASGP.22規范第2.6和5.5章中定義的參數來解決端點的識別問FDP_ITC.2.2/SCPTSF應使用與導入的用戶數據關聯的安全屬性。FDP_ITC.2.3/SCPTSF應確保所使用的協議提供安全屬性與接收的用戶數據之間的明確關聯。FDP_ITC.2.4/SCPTSF應確保對導入的用戶數據的安全屬性的解釋符合用戶數據源的預期。FPT_TDC.1/SCPTSF間基本FPT_TDC.1.1/SCPFPT_TDC.1.1/SCPTSF應對下述內容提供一致下面列出了與SFRFPT_TDC.1/SCP，FDP_IFC.1/SCP，FDP_IFF.1/SCP相關的命令以及與此SFRFDP_UIT.1.2/SCPTSF應能夠在收到用戶數據指定的加密密鑰大小256生成加密密鑰，l使用U.SM-DPplus公鑰otPK.DP.ECKA通過ES8+.InitialiseSecureChannel命令生成的用于此密鑰協議的橢圓曲線可由底層平臺提供。因此，該標準不包括相應的FCS_COP.1SFR。STlNISTP-256（FIPSPUB186-3數字簽名標準）;lbrainpoolP256r1（BSITR-03111，版應用說明：此SFR與以下密鑰的銷毀有關：lD.MNO_KEYS。lS.ISD-R可以執行ECASD功能并從這些功能獲取輸出數據的規則（FDP_ACC.1/EFDP_ACC.1.1/ISDRTSF應對FDP_ACC.1.1/ECASDTSF應對FDP_ACF.1.2/ECASDTSF應執行以下規則n使用CI公鑰（PK.CI.ECDSA）驗證由ISD-R提供的證書CERT.DPauth.ECDSA，此要求包描述了適用于Profile策略使能器、ProfFDP_IFC.1/Platform_servFDP_IFC.1.1/Platform_servFDP_IFF.1.1/Platform_servicesFPT_FLS.1/Platform_serFPT_FLS.1.1/Platform_services發生以下類型的故障時，TSF應保持安全狀態：FDP_SDI.1.1TSF應根據以下屬性監視所有對象存儲在由TSF控制的容器中的給給FMT_MSA.1.1/CERT_KEYSTSF應強制執行安全通道協議信息流SFP，ISD-R訪問控制SFP和給FMT_SMR.1.2TSF應能夠將用戶給FMT_MSA.3.2TSF不允許任何參與者指定備用初始值，以在創建對象或TSF必須在MNO網絡上實施加密機制（FCS_COP.1/Mobile_network）并安全地管理密鑰FCS_CKM.2/Mobile_netFCS_CKM.4/Mobile_netADV_ARC.1.2D開發者應設計并實現TSF，以防止不可ADV_ARC.1.1C安全架構描述的詳細程度應與TOE設計文檔中描述的SFR-執行的抽象描述相當。ADV_ARC.1.2C安全架構描述應描述由TSF維護的與SFR一致的安全域。ADV_ARC.1.3C安全架構描述應描述TSF初始化過程為何ADV_ARC.1.4C安全架構描述應證明TSF可保護自己免受篡改。ADV_ARC.1.5C安全架構描述應證明TSF可防止SFR-執行功能被繞過。ADV_ARC.1.1E評估者應確認所提供的信息符合證據的內容和形式要求。ADV_FSP.4.3C功能規范應識別和描述每個與TSFI相關的所有參數。ADV_FSP.4.1E評估者應確認所提ADV_IMP.1.1C實現表示應按詳細級別ADV_IMP.1.3CTOE設計描述與實施表示實例之間的映射應證明它們的一致性。ADV_TDS.3.2D開發者應提供從功能規范的ADV_TDS.3.2C設計應根據模塊描ADV_TDS.3.7C設計應描述每個SFR-執行模塊，包括其目的和與ADV_TDS.3.10C映射關系應論證TOE設計中描述的所有行ADV_TDS.3.1E評估者應確認所提供的信息符合證據的內容和形式要求。ADV_TDS.3.2E評估者應確定該設計是所有安全功AGD_OPE.1.1C操作用戶指南應對每個用戶角色描述應在安全處理環境中控制的用戶可訪問的功能和AGD_OPE.1.2C操作用戶指南應為每個用戶角色描述如何以安全的方式使用TOE提AGD_OPE.1.3C操作用戶指南應為每個用戶角色描述可用的功能和接口，特別是用戶控制下的所有安AGD_OPE.1.4C對于每個用戶角色，操作用戶指南應清楚地說明與需要執行的用戶可訪問功能相關的AGD_OPE.1.5C操作用戶指南應標識TOE運行的所有可能狀態（包括操作導致的失敗或者操作性錯AGD_OPE.1.6C對于每個用戶角色，操作用戶指南應描述AGD_OPE.1.7CAGD_OPE.1.7C操作用戶指南應清晰合理。AGD_OPE.1.1E評估者應確認所提供的信息符合證據的內容和形式要求。AGD_PRE.1.1C準備程序應描述與開發者交付程序相一致的安全接受所交付的TOE所需的所有步驟。AGD_PRE.1.1E評估者應確認所提供的信息符合證據的內容和形式要求。AGD_PRE.1.2E評估者應運用準備程序確認TOE運ALC_CMC.4.3D開發者應使用CM系統。ALC_CMC.4.1C應給TOEALC_CMC.4.2CCM文檔應描述用ALC_CMC.4.4CCM系統應提供自動化措施，以便僅對配置項進行授權更改。ALC_CMC.4.9C證據應證明所有配置項都在CALC_CMC.4.10C證據應證明CM系統正在ALC_CMC.4.1E評估者應確認所提供的信息符合證據的內容和形式要求。ALC_CMS.4.3C對于每個TSF相關的配置項，配ALC_CMS.4.1E評估者應確認所提供的信息符合證據的內容和形式要求。ALC_DEL.1.1D開發者應將把TOE或其部分交付給消費者ALC_DEL.1.1E評估者應確認所提供的信息符合證據的內容和形式要求。ALC_DVS.2.1D開發者應提供開發安全文檔。所必需的所有物理的、程序的、人員的及其它方面的安全ALC_DVS.2.1E評估者應確認所提供的信息符合證據的內容和形式要求。ALC_DVS.2.2E評估者應確認安全措施正在被使用。ALC_LCD.1.2D開發人員應提供生命周期定義文檔。ALC_LCD.1.1E評估者應確認所提供的信息符合證據的內容和形式要求。ASE_CCL.1.1DASE_CCL.1.1D開發者應提供符合性聲明。ASE_CCL.1.2D開發者應提供符合性聲明的基本原理。ASE_CCL.1.2CCC符合性聲明應描述ST與CC第2部分的符合性ASE_CCL.1.5C符合性聲明應標識ST聲稱符ASE_CCL.1.6C符合性聲明應描述ST與包的任何符合性，包括ASE_CCL.1.7C符合性聲明的基本原理應證明TOE類型與聲明符合的PP中的TOE類型一致。ASE_CCL.1.8C符合性聲明的基本原理應證明安全問題定義的陳述與聲明符合的PP中的安全問題定ASE_CCL.1.10C符合性聲明的基本原理應證明安全要求陳述與聲明符合的PP中的安全要求陳述一ASE_CCL.1.1E評估者應確認所提供的信息符合證據的內容和形式要求。ASE_ECD.1.1D開發者應提供安全要求的陳述。ASE_ECD.1.2D開發者應提供擴展組件的定義。ASE_ECD.1.1C安全要求陳述應標識所有擴展的安全要求。ASE_ECD.1.2C擴展組件定義應為每一個擴展的安全要求定義一個擴展的組件。ASE_ECD.1.3C擴展組件定義應描述每個擴展的組件與已有組件、族和類的關聯性。ASE_ECD.1.4C擴展組件定義應使用已有的組件、族、類和方法學作為陳述的模型。ASE_ECD.1.5C擴展組件應由可測量的和客觀的元素組成，以便于證實這些元素之間的符合性或不ASE_ECD.1.1E評估者應確認所提供的信息符合證據的內容和形式要求。ASE_ECD.1.2E評估者應確認擴展組件不能利用已經存在的組件明確的表達。ASE_INT.1.1E評估者應確認所提供的信息符ASE_INT.1.2E評估者應確認TOE參考，TOE概述和TOE描述是否相互一致。ASE_OBJ.2.1DASE_OBJ.2.1D開發者應提供安全目的陳述。ASE_OBJ.2.2D開發者應提供安全目的基本原理。ASE_OBJ.2.2C安全目的基本原理應ASE_OBJ.2.3C安全目的基本原理應追溯到運行環境的每一個安全目的，以便能追溯到安全目的所對ASE_OBJ.2.4C安全目的基本原理應證明安全目的可抵御所有威脅。ASE_OBJ.2.5C安全目的基本原理應證明安全目的執行所有ASE_OBJ.2.6C安全目的基本原理應證明運行環境ASE_OBJ.2.1E評估者應確認所提供的信息符合證據的內容和形式要求。ASE_REQ.2.1D開發者應提供安全要求的陳述。ASE_REQ.2.3C安全要求的陳述應標識ASE_REQ.2.5C應滿足安全要求間的依賴關系，或者安全要求的基本原理應論證不需要滿足某個依賴ASE_REQ.2.9C安全要求的陳述應是內在一致的。ASE_REQ.2.1E評估者應確認所提供的信息符合證據的內容和形式要求。ASE_SPD.1.1C安全問題定義應描述威脅。ASE_SPD.1.4C安全問題定義應描述TOE運行ASE_SPD.1.1E評估者應確認所提供的信息符合證據的內容和形式要求。ASE_TSS.1.1E評估者應確認所提供的信息符合證據的內容和形式要求。ATE_COV.2.1C測試覆蓋分析應證明測試文檔中的測試與功能規范中的TSFI之間的對應關系。ATE_DPT.2.2C測試深度分析應證明TOE設計中的所有TSF子系統都已ATE_DPT.2.3C測試深度分析應證明TOE設計中的SFR-執行模ATE_FUN.1.2C測試計劃應標識要執行的測試并描述執行每個測試的方案，這些方案應包括對于其它ATE_FUN.1.3C預期的測試結果應指ATE_FUN.1.4C實際的測試ATE_FUN.1.1E評估者應確認所提供的信息符ATE_IND.2.1E評估者應確認所提供的信息過程中使用指導性文檔、功能規范、TOE設計、安全結FTP_ITC.1/SCP為授權用戶提供相應的安全通道.儲或傳輸的秘密數據。尤其包括在ECASD和ISD-R/ISD-P之間傳輸的共享秘密。FDP_SDI.1確保共享秘密在傳輸期間不被修改。O.PROOF_OF_IDENTITYO.PROOF_OF_IDENTITY此目的由擴展要求FIA_AP原子性由FPT_FLS.1/PlatformO.DATA-CONFIDENTIALITYFDP_UCT.1/SCP處理來自卡外參與者的數據接收，而訪問控制SFR FPT_EMS.1確保了在側信道攻擊的情況下，不應泄露在信框架中存在的加密算法，以及相關密鑰的分FDP_SDI.1指定了進行監視的Pro表8安全目標和SFR——覆蓋范圍FMT_MSA.1/PLATFORM_DATA,FMT_MSA.1/PFMT_MSA.1/RAT,FCS_RNG.1,FPTFDP_ACC.1/ISDR,FDP_ACF.1/IFDP_ACC.1/ECASD,FDP_ACF.1/FDP_ACC.1/ISDR,FDP_ACF.1/IFDP_ACC.1/ECASD,FDP_ACF.1/EFTP_ITC.1/SCP,FCS_FTP_ITC.1/SCP,FPT_TDC.1/SCP,FDP_UCT.FDP_UIT.1/SCP,FDP_ITC.2/SCFCS_CKM.1/SCP-SM,FCS_CKM.2/SCP-MNO,FIA_UID.1/EXT,FIA_UAU.4/EXT,FIA_ATFMT_MSA.1/CERT_KEYS,FMT_MSAFDP_IFC.1/SCP,FDP_IFF.1/SCP,FIA_UID.1/MNO-SFCS_CKM.4/SCP-SM,FCS_CKM.4/SCP-MNO,FIA_USB.1/MNO-SD,FIA_USB.1/EXT,FMT_FMT_SMR.1,FIA_UAU.1ANNELSFDP_RIP.1,FDP_SDI.1,FPT_EMFPT_FLS.1/Platform_servFDP_IFC.1/Platform_servFDP_IFF.1/Platform_servFPT_FLS.1/Platform_services,FMT_SMR.FDP_RIP.1,FDP_UCT.1/SCP,FDP_ACC.1/FDP_ACC.1/ECASD,FCS_COP.1/Mobile_neFCS_CKM.4/Mobile_netFCS_CKM.2/Mobile_network,FPT_EMSFDP_UIT.1/SCP,FDP_ACC.1/IFDP_ACC.1/ECASD,FDP_FCS_COP.1/Mobile_netwFCS_CKM.4/Mobile_netFCS_CKM.2/Mobile_net表9SFR和安全目標O.SECURE-CHANNELS,O.DATA-INFDP_ACC.1/ISDRO.PPE-PPI,O.eUICC-DOMAIN-RIO.PPE-PPI,O.eUICC-DOMAIN-RO.PPE-PPI,O.eUICC-DOMAIN-RIO.PPE-PPI,O.eUICC-DOMAIN-RFDP_IFC.1/Platform_serFDP_IFF.1/Platform_serFPT_FLS.1/Platform_servO.PPE-PPI,O.eUICC-DOMAIN-RFMT_MSA.1/PLATFORM_FCS_COP.1/Mobile_networkO.DATA-CONFIDENTIALITY,O.ALGFCS_CKM.2/Mobile_netO.DATA-CONFIDENTIALITY,O.ALGFCS_CKM.4/Mobile_netO.DATA-CONFIDENTIALITY,O.ALG表10SFR依賴關系FDP_IFC.1/SCP,FMT_MSFDP_IFC.1/SCP,FTP_ITC.1/FDP_IFC.1/SCP,FTP_ITC.1/FDP_IFC.1/SCP,FTP_ITC.FDP_ACC.1/ISDRFDP_ACC.1/ISDR,FMT_MSFDP_IFC.1/Platform_serFDP_IFF.1/Platform_serFDP_IFF.1/Platform_serFDP_IFC.1/Platform_servFPT_FLS.1/Platform_servFMT_MSA.1/PLATFORM_FDP_ACC.1/ISDR,FMTFDP_ACC.1/ISDR,FMTFDP_ACC.1/ISDR,FMTFDP_ACC.1/ISDR,FMT(FMT_MSA.1)和FMT_MSA.1/PLATFORM_DFMT_SMR.1,FMT_MSA.1/表11SAR依賴關系FCS_COP.1/Mobile_networkFCS_CKM.4/Mobile_netFCS_CKM.2/Mobile_netFCS_CKM.4/Mobile_net(ADV_FSP.1)and(ADADV_FSP.4,ADV_TDS.3ADV_FSP.4ADV_TDS.3ADV_IMP.1ADV_TDS.3ADV_FSP.4AGD_OPE.1ADV_FSP.4AGD_PRE.1ALC_DVS.2ADV_IMP.1ASE_ECD.1,ASE_INT.ASE_REQ.2ASE_ECD.1ASE_INT.1ASE_OBJ.2ASE_REQ.2ASE_ECD.1,ASE_OBJ.2ASE_TSS.1ADV_FSP.4,ASE_INT.ASE_REQ.2ADV_FSP.4,ATE_FUN.1ATE_DPT.1ADV_ARC.1,ADV_TDS.3,ATE_FUN.1ATE_FUN.1ATE_IND.2ADV_FSP.4,AGD_OPE.1,ATE_FUN.1AVA_VAN.5AGD_OPE.1,AGD_PRE.ATE_DPT.1為了提供有意義的保障，TOE及其嵌入產品可以提供足夠的防御來抵御此類攻擊：評估者應該可以訪問底層設計和源代碼。需要此類訪問權限的最充分性，以保護其機密性和完整性。ALC_DVS.2沒有依賴關系。圖圖9TOE范圍提供LPDe（本地Profile下載），LDSLPAe可以使用eUICC規則授權表（RAT）來確定是否授權在eUICC上安裝包含Profile策略規則LPAe軟件單元在eUICC生命周期的C階段添加資產是TOE直接保護的與安全相關的元素請注意，雖然底層運行環境中列出的資產未包含在此部分中，但S用戶數據D.LPAe_PROFILE_USER_COD.LPAe_PROFILE_USER_COD.LPAe_PROFILE_DISPLAYED_METAD在執行Profile管理操作時，本地用戶界面（LUIe）向最終用戶顯示、用于請持更新證書撤銷列表（CRL由eUICC提供給LPAe。此資產包含LPAe用于執行平臺管理功能的密鑰（對應于基本要求中的資產D.SECRETSl依托接口ES9+的LPDe到SM-DP+的TLS用戶主體未經授權的平臺管理T.PLATFORM-MNG-INTERCEPTIOT.PLATFORM-MNG-INTERCEPTIONT.UNAUTHORIZED-PLATFORM-MNGT.PROFILE-MNG-ELIGIBILI注意：攻擊者可能是卡上的應用程序攔截到安全域的其他這種威脅包括環境壓力，IC故障分析，電子探針，意外拆解和側信道。這還包括通9.2.4假設A.ACTORS-LPAe平臺支持的功能該保護機制應依賴于運行環境和PPE/PPI提供的通信保護措施（參見O.PPE-PPI）。O.INTERNAL-SECURE-CHANN數據保護O.DATA-CONFIDENTIALTOE應避免未經授權泄露作為密鑰集D.LPAe_KEYS一9.3.2運行環境的安全目標參與者9.3.3安全目標基本原理威脅T.PLATFORM-MNG-INTERCEPTIO輸到LPAe（O.SECURE-CHANNOE.SM-DP+確保在由卡外參與者使用時不會泄露與安全通道相關T.PLATFORM-MNG-INTERCEPTIONOE.SM-DS確保在由卡外參與者使用時不會泄露與安全通道相關的T.UNAUTHORIZED-PLATFORM-MNG卡上訪問控制策略依賴于底層運行環境，該環境確保應用程序數據的機密性和完整性為了確保應用程序防火墻的安全運行，操作環境的以下目T.PROFILE-MNG-ELIGIBILIl通過保護傳輸免受未經授權的泄露、修改和重放，保護LPAe和TOE的其他安全域（O.INTERNAL-SECURE-CHANNELS-LPAe）之間的傳輸安全性；這些安全通道依賴于底層OE.SM-DPplus確保在由卡外參與每當LPAe處理TOE的敏感數據時，運行環境必須始終保護敏感數據的機密性和完整性（OE.RE.DATA-CONFIDENTIALITY，OE.RE.DATA-INTEGRITY）。但是，這些敏感數據也由TOE））l平臺層必須保護其處理的敏感數據的機密性和完整性，而應用程序必須使用運行環境提供的），這種威脅主要受到依賴于基礎平臺的物理保護的抵制，因此是一個環安全目標OE.IC.SUPPORT和OE.IC.RECOVERY保護平臺的敏感資產免受假設A.ACTORS-LPAe這一假設通過目標OE.SM-DS支持，它確保基礎設施的這個參與者正確管理表12威脅和安全目標——覆蓋范圍T.PLATFORM-MNG-OE.RE.SECURE-COMM,OE.SM-DPpO.INTERNAL-SECURE-CHANNET.PLATFORM-MNG-OE.RE.SECURE-COMM,OE.SO.INTERNAL-SECURE-CHANNET.UNAUTHORIZED-OE.APPLICATIONS,OE.RE.DATA-CONFIDENTIAT.PROFILE-MNG-O.INTERNAL-SECURE-CHANNELO.DATA-INTEGRITY-LPAe,OE.SM-O.OPERATE,O.API,OE.RE.API,OE.RE.CODOE.APPLICATIONS,O.DATA-CONFIDENTIALITY-O.DATA-INTEGRITY-LPAe,OE.IC.SO.DATA-CONFIDENTIALITY-LPAe,OE.IC.SUOE.IC.RECOVERY,OE.RE.DATA-CONFID表13安全目標和威脅——覆蓋范圍T.PLATFORM-MNG-INTERCEPTION-LT.PLATFORM-MNG-INTERCEPTIO.INTERNAL-SECURE-CHANNET.PLATFORM-MNG-INTERCEPTION-LT.PLATFORM-MNG-INTERCEPTIONT.PROFILE-MNG-ELIGIBILITYO.DATA-CONFIDENTIALITT.PROFILE-MNG-ELIGIBILITY-T.PLATFORM-MNG-INTERCEPTION-LT.PROFILE-MNG-ELIGIBILITYT.PLATFORM-MNG-INTERCEPTION-LT.PLATFORM-MNG-INTERCEPTIONT.PROFILE-MNG-ELIGIBILITYT.UNAUTHORIZED-PLATFORM-MNG-LT.UNAUTHORIZED-PLATFORM-MNG-LT.PROFILE-MNG-ELIGIBILITY-T.UNAUTHORIZED-PLATFORM-MNG-LT.PLATFORM-MNG-INTERCEPTI表14假設和運行環境安全目標——覆蓋范圍A.ACTORS-LPAe表15運行環境安全目標和假設——覆蓋范圍A.ACTORS-LPAe選擇操作用來選擇CC提供的一個或多個選項來說明要求。由PP作者做出的選擇表示為帶下劃線賦值操作用來將特定值分配給未指定的參數，例如口令當需要重復操作同一組件時，使用迭代操作。迭代通過斜杠“/”和組件標識符