GB/T 22186-2016 信息安全技术 具有中央处理器的IC卡芯片安全技术要求

ICS35.040

L80GB

中华人民共和国国彖标准

GB/T22186—2016

代簪GB/T22186—2008

信息安全技术

具有中央处理器的IC卡芯片安全

技术要求

Informationsecuritytechniques—

SecuritytechnicalrequirementsforICcardchiwithCPU

2016-08-29发布2017-03-01实施

GB/T22186—2016

目次

前言m

引言N

1范围1

2规范性引用文件1

3术语和定义、缩略语1

3.1术语和定义1

3.2缩略语2

4IC卡芯片描述2

5安全问题定义3

5.1资产3

5.2威胁3

5.3组织安全策略4

5.4假设5

6安全目的5

6.1IC卡芯片安全目的5

6.2环境安全目的6

7扩展组件定义6

7.1族FMT_LIM定义6

7.2族FPT_TST定义7

8安全要求8

8.1安全功能要求8

8.2安全保障要求12

9基本原理28

9.1安全目的的基本原理28

9.2安全要求的基本原理29

9.3组件依赖关系基本原理31

参考文献33

T

GB/T22186—2016

■ir■■i

刖弓

本标准按照GB/T1.1—2009给出的规则起草。

本标准代替GB/T22186—2008《信息安全技术具有中央处理器的集成电路（IC）卡芯片安全技

术要求（评估保证级4增强级）》。本标准与GB/T22186—2008相比，主要变化如下：

—标准名称变更为《信息安全技术具有中央处理器的IC卡芯片安全技术要求》；

——第3章对术语进行了更新描述；

——第4章重新描述了IC卡芯片的结构，并进行了更清晰的TOE范围定义；

一第5章对安全问题定义进行了整合和精简，共定义了6个威胁，2项组织安全策略和2个

假设；

——第6章根据新的安全问题定义更新了对TOE安全目的的描述；

一第7章描述了两个扩展族FMT_LIM和FPT_TST,分别用于处理对TOE的受限可用性以及

自检相关的安全功能要求，以便更合理的描述IC卡芯片的安全性；

—第8章对安全功能要求进行了调整，以细化新的安全目的描述，明确指出了EAL4、EAL5和

EAL6分别应满足的安全功能要求；并对安全保证要求进行了调整，增加了EAL5和

EAL6要求的保障组件；

一第9章对新的安全问题定义与安全目的、安全目的与安全要求之间的对应关系基本原理进行

了更新描述，并分析了组件之间的依赖关系。

本标准由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。

本标准起草单位：中国信息安全测评中心、北京多思科技工业园股份有限公司、清华大学、吉林信息

安全测评中心。

本标准主要起草人:杨永生、张羽申斌、石玆松、高金萍、王宇航、李贺鑫、贾炜、曹春春、沈敏锋、乌力吉、

张向民、唐喜庆、闻明、昌彦伟、方欣。

本标准所代替标准的历次版本发布情况为：

——GB/T22186—2008。

m

GB/T22186—2016

引言

IC卡芯片应用范围的扩大和应用环境复杂性的增加，要求TC卡芯片具有更强的保护数据能力。

本标准的EAL4+是在EAL4的基础上将AVA_VAN.3增强为AVA_VAN.4；EAL5+是在

EAL5的基础上将ALC_DVS.l土曾强为ALC_DVS.2,AVA_VAN.4土曾强为AVA_VAN.5；EAL6是

在EAL6的基础上增加ALC_FLR.l。

IV

GB/T22186—2016

信息安全技术

具有中央处理器的IC卡芯片安全

技术要求

1范围

本标准规定了对具有中央处理器的集IC卡芯片达到EAL4、EAL5+、EAL6所要求的安全功

能要求及安全保障要求，涵盖了安全问题定义、安全目的、扩展组件定义、安全要求、基本原理等内容。

本标准适用于IC卡芯片产品的测试、评估和采购，也可用于指导该类产品的研制和开。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T18336（所有部分）信息技术安全技术信息技术安全评估准则

GB/T25069—2010信息安全技术术语

3术语和定义、缩略语

3.1术语和定义

GB/T25069—2010和GB/T18336.1界定的以及下列术语和定义适用于本文件。

3.1.1

IC专用软件ICdedicatedsoftware

由IC卡芯片设计者开，并存在于IC卡集成电路中的专用软件。这些专用软件通常在生产过程

中用于测试，也可以用来提供额外的服务以便于硬件使用，其中专用测试软件的部分功能只限定在特定

阶段使用。

3.1.2

初始化数据initializationdata

由IC卡芯片制造者定义，用于标识芯片以便追踪生产过程和生命周期阶段的数据，如IC卡芯片的

唯一标识号。

3.1.3

预个人化数据pre-personalizationdata

在IC卡芯片制造阶段由制造者写入非易失性存储器中的数据，以便后续生命周期阶段追溯IC卡

芯片的制造过程。

3.1.4

IC卡嵌入式软件ICcardembeddedsoftware

存放在具有中央处理器的IC卡的非易失性存储器（例如ROM.EEPROM或Flash等）中，并在IC卡

芯片内运行的软件。该软件用于管理芯片硬件资源和数据，通过芯片的通信接口与IC卡终端设备交换

信息，以响应用户发起的数据加密、数据签名及鉴权认证等应用请求，实现对应用功能的支持。

1

GB/T22186—2016

3.2缩略语

下列缩略语适用于本文件。

CPU:中央处理器(CentralProcessingUnit)

CM：配置管理(ConfigurationManagement)

EAL：评估保障级(EvaluationAssuranceLevel)

EEPROM:电可擦除可编程只读存储器(Electrically-ErasableProgrammableRead-onlyMemory)

IC：集成电路(IntegratedCircuit)

1/()：输入/输出(Input/Output)

IT：信息技术(InformationTechnology)

RAM:随机存取存储器(Random-AccessMemory)

ROM：只读存储器(Read-OnlyMemory)

ST：安全目标(SecurityTarget)

TOE：评估对象(TargetofEvaluation)

TSF；TOE安全功能(TOESecurityFunctionality)

USB：通用串行总线(UniversalSerialBus)

4IC卡芯片描述

本标准的评估对象（TOE）是指具有中央处理器的IC卡芯片（以下简称IC卡芯片），一般由处理单

元、易失性存储器RAM和非易失性存储器ROM/EEPROM/FlashJ/（）接口（接触式，非接触式或其他

类型接口，如USB接口）、随机数生成器、密码协处理器和安全措施电路（如用于防止物理探测、环境压

力威胁的硬件模块）等电路模块组成"此外，T（）E还包括由集成申.路设计者/制造者加入的IC专用软

件。这些专用软件（也被称为IC固件）通常在生产过程中用于测试，也可以（如以库文件的形式）用来提

供额外的服务以便硬件使用。IC卡嵌入式软件是TOE的用户，运行在IC卡芯片中，但不属于TOE的

组成部分。IC卡芯片的一般结构和运行环境如图1所示（值得注意的是，根据芯片的实际用途,IC卡芯

片也可能不含某些电路模块，如ROM.EEPROM等）。

在此运行环境中，管理员可通过IC卡芯片中的IC专用软件（或直接通过芯片接口或电路）对芯片

进行基本配置；另一方面,攻击者可以通过利用IC卡嵌入式软件接口，或探测IC卡芯片电路等方式来

实施攻击，以破坏IC卡芯片的敏感数据信息或滥用其安全功能。为此，IC卡芯片应采取防护措施以保

障芯片的数据和功能的安全。

2

GB/T22186—2016

5安全问题定义

5.1资产

需要保护的资产：

-TSF数据（如存储器访问控制寄存器等安全寄存器的配置、访问控制列表和预置密钥等信

息）；

—用户数据（如嵌入式软件代码、用户密钥或口令等与用户或具体应用相关的，但不属于TSF安

全数据的信息）；

——为嵌入式软件提供的安全服务（如安全算法库、随机数生成能力）。

应用说明：ST编写者应根据具体的应用情况细化对资产的描述。

5.2威胁

5.2.1物理操纵（T.PhysicalManipulation）

攻击者可利用IC卡芯片失效性分析和半导体逆向工程技术，对IC卡芯片实施物理剖片，以获取

3

GB/T22186—2016

IC卡芯片的设计信息，进而探测TSF数据和用户数据信息。

攻击者也可能对IC卡芯片实施物理更改，以达到获取或改变数据信息或安全功能的目的。

IC卡芯片可能会在未上电或已上电状态下受到此类攻击，在遭受攻击后可能会处于无法操作的

状态。

5.2.2信息泄漏(T.Info_Leak)

攻击者可对IC卡芯片正常使用过程中泄漏的信息加以利用，以猜测TSF数据或用户数据。

功耗、电磁辐射、I/O特性、运算频率、时耗等侧信道信息的变化情况都有可能造成信息的泄漏。攻

击者可通过采用接触式(如功耗)或非接触式(如电磁辐射和时耗)的信号测量，得到与正在执行的操作

有关的信息，进而采用信号处理和统计分析等技术来获得密钥等敏感信息。

5.2.3故障利用(T.FailureExploitation)

攻击者可通过分析IC卡芯片的运行故障以获取敏感数据信息或滥用IC卡芯片的安全功能。

这些故障可能是通过改变IC卡芯片的运行环境(如温度、电压、频率等，或通过注入强光等方式)而

触发的，也可能是由于IC卡芯片本身的设计缺陷而自发产生的，这些故障可能导致IC卡芯片的代码、

系统数据或执行过程发生错误，使IC卡芯片在故障下运行，从而导致敏感数据泄露。

5.2.4生命周期功能滥用(T.Lifecycle_Abuse)

攻击者可利用相关接口，尤其是测试和调试接口来获取TSF数据或用户数据。这些接口在IC卡

芯片生命周期的过往阶段是必要的，但在现阶段是被禁止的。例如，若测试命令或调试命令在使用阶段

仍可用，则可被攻击者用于显示存储器内容或执行其他功能。

5.2.5逻辑攻击(T.Logical_Attack)

攻击者可利用TOE的逻辑接口，采用暴力猜解、被动侦听或适应性地选择指令输入等方式来绕过

芯片的存储器访问控制措施，获取(或修改)用户数据或TSF数据，或者滥用TOE的安全功能。

应用说明：逻辑接口是IC卡芯片与智能终端之间的数据交换接口，包括语法上遵循国际标准定义

或行业私有定义的指令与响应码。攻击者可能利用IC卡芯片的认证系统或指令系统缺陷，通过分析指

令及其响应码，绕过存储器访问控制机制，以非法获得存储器内容、密钥等信息，或达到滥用TOE安全

功能等目的。

5.2.6随机数缺陷攻击(T.RNGDefect_Attack)

攻击者可利用噪音源的不稳定性和低爛值等缺陷，预测或获取IC卡芯片安全服务中与随机数相关

的信息。

5.3组织安全策略

5.3.1密码管理(P.Crypto_Management)

密码的使用必须符合国家标准及行业或组织的信息技术安全标准或规范。

5.3.2标识数据管理(P.IdData_Management)

IC卡芯片的生产、测试等过程应具备标识TOE的能力。

4

GB/T22186—2016

5.4假设

5.4.1人员(A.Personnel)

假设IC卡芯片使用人员(如嵌入式软件的设计和开发人员)遵循一套安全的流程，严格遵照芯片用

户指南及安全建议的要求调用芯片的安全规则和安全功能。

【C卡芯片开、测试、生产等各阶段的操作人员均能按安全的流程进行操作。

5.4.2外部数据管理(A.OutDataManagement)

假设在IC卡芯片之外的数据和密钥以一种安全的方式进行管理。

关于IC卡芯片结构、设计信息、开发及测试工具、实现代码及相关文档、初始化数据、所有者身份等

敏感信息将被发行者或其他IC卡芯片之外的数据库存储。

6安全目的

6.1IC卡芯片安全目的

6.1.1物理防护(O.Physical_Protection)

【C卡芯片应抵抗物理攻击，防止通过诸如剖片探测、电路篡改等手段实施的攻击，或能够提供安全

措施显著增加实施此类攻击的困难性。

6.1.2信息泄漏防护(O.InfoLeakPrevention)

【C卡芯片必须提供控制和限制信息泄漏的方法，使得通过测量功耗、电磁辐射、时耗等信息的变化

情况难以获得敏感信息。

6.1.3故障处理(O.FailureHandling)

【C卡芯片应使得即便暴露在非标准环境中时，也能防止安全信息泄漏，或使芯片进入一种安全的

运行状态。这些环境影响因素包括温度、电压、时钟频率或外部能量场。

6.1.4生命周期功能控制(O.Lifecycle_Control)

【C卡芯片应对自身安全功能的可用性进行生命周期阶段划分，或进行权限控制，以防止攻击者滥

用这些功能(如测试模式下的某些功能应在IC卡芯片交付后关闭)。

6.1.5逻辑攻击抵抗(O.LogAttack_Prevention)

心卡芯片应能抵抗逻辑攻击，或能够提供安全措施显著增加实施此类攻击的困难性。

6.1.6随机数生成(O.RND_Generation)

【C卡芯片应确保生成的随机数能满足应用要求的质量指标。例如，随机数应不能被预测，且具有

一定的炳值，以防止攻击者猜测通过随机数生成的密钥、挑战值等信息。

6.1.7密码安全(O.Crypto_Security)

【C卡芯片必须以一个安全的方式支持密码功能，其使用的密码算法必须符合国家、行业或组织要

求的密码管理相关标准或规范。

5

GB/T22186—2016

6.1.8标识数据存储(O.IdData_Storage)

IC卡芯片必须提供在非易失性存储器中存储初始化数据和预个人化数据的手段。

6.2环境安全目的

6.2.1人员(OE.Personnel)

IC卡芯片的设计、开、生产和交付等生命周期阶段中涉及的特定人员能严格地遵守安全的操作

规程，以保证TOE在生命周期过程中的安全性。

6.2.2芯片使用(OE.Chip_Usage)

为了保证IC卡芯片能够被安全地使用，要求嵌入式软件开发人员应严格遵照IC卡芯片的用户指

南和安全建议，以一套安全的流程进行嵌入式软件的设计和开。

6.2.3外部数据管理(OE.OutDataManagement)

应对在IC卡芯片外部存储的相关数据(如IC卡芯片的设计信息、开发及测试T具、实现代码及相

关文档、初始化数据、管理性密钥等)进行机密性和完整性处理，并采取安全的管理措施。

7扩展组件定义

7.1族FMT_LIM定义

7.1.1族行为

为了定义TOE的IT安全功能要求，这里定义FMT类中扩展的FMT_LIM族，以描述TOE安全

功能的能力和可用性相关的要求。

本族定义了限制能力和功能可用性的要求。值得注意的是,FDP_ACF族规范了对功能的访问限

制要求，而本族要求安全功能采纳特定的设计方法，以使其能力和可用性能得到控制’

7.1.2组件层次

FMT_LIM.l受限能力要求TSF采用了特定的设计方法，使其仅具备必需的能力(如执行动作，获

取信息)。

FMT_LIM.2受限可用性要求FMT_LIM.l提及的安全功能的可用性能得到控制，例如TOE某个

阶段的特殊安全功能在进入下一阶段后将被删除或禁止，因而在进入新的阶段后将无法使用。

7.1.3FMT_LIM.1,FMT_LIM.2管理

尚无预见的管理活动。

6

GB/T22186—2016

7.1.4FMT_LIM.1,FMT_LIM.2审计

尚无预见的审计活动。

7.1.5FMT_LIM.1受限能力

从属于：无其他组件。

依赖于:FMT_LIM,2受限可用性。

FMT_LIM.1.1

TSF应采取某种能力受限的设计和实现方法，以便可与“受限可用性(FMT_LIM.2)”相结合来实

施【赋值:受限能力和可用性策略】。

应用说明：方括号【】中的粗体字的内容表示已经完成的操作，粗体斜体字的内容表示还需在安全目

标(ST)中确定的赋值及选择项，此约定也适用于后续章节。

7.1.6FMT_LIM.2受限可用性

从属于：无其他组件。

依赖于:FMT_LIM.l受限能力。

FMT_LIM.2.1

TSF应采取某种可用性受限的设计和实现方法，以便可与“受限能力(FMT_LIM.l)”相结合来实

施【赋值:受限能力和可用性策略九

7.2族FPT_TST定义

7.2.1族行为

FPT_TST.l组件要求授权用户能验证TSF数据和TSF可执行代码的完整性，对IC卡芯片产品

而言这个要求过于严格，因而并不完全适合IC卡芯片产品。另一方面，为了保障IC卡芯片的安全，又

需要有安全功能自测能力，因此在族FPT_TST中扩展了一个新的组件(通过裁剪FPT_TST.l而得到

的)，以适于IC卡芯片实施安全功能自检。

本族在原族的基础上扩展了一个新的组件，以便于IC卡芯片实施TSF自检功能。

7.2.2组件层次

FPT_TST.l为FPT_TST中的原有组件，本标准保持其原始描述，不做任何修改。

FPTJTST.2子集TSF测试具有测试安全功能正确操作的能力。这些测试可以在调用安全算法模

块时执行。

7

GB/T22186—2016

7.2.3FPT_TST.2管理

尚无预见的管理活动。

7.2.4FPT_TST.2审计

尚无预见的审计活动。

7.2.5FPT_TST.2子集TSF测试

从属于:无其他组件。

依赖关系：无依赖关系。

FPT_TST.2.1

IC卡芯片安全功能应在【选择:初始化启动期间、正常工作期间周期性、授权用户要求时、在【赋值:

产生自检的条件】条件时】运行一套自检程序以证明【选择：【赋值：TSF的组成部分1.TSF】运行的正

确性。

8安全要求

8.1安全功能要求

8.1.1概述

表1列出了IC卡芯片安全功能组件，下述各条对各组件给出了详细描述。

表1安全功能组件

备注

安全功能类安全功能组件编亏

EAL4EAL5+EAL6

FCS_CKM.l密钥生成1V

FCS类：密码支持

FCS_COP.l密码运算2V

FDP_ACC.l子集访问控制3V

FDP_ACF.l基于安全属性的访问控制4V

FDP_IFC.l了集信息流控制5VVV

FDP类：用户数据保护

FDP_ITT.l基本内部传送保护6V

FDP_SDI.l存储数据完整性监视7OVN/A

FDP_SDI.2存储数据完整性监视和行动8OO

FIA_UAU.l鉴别的时机9OV

FIA类：标识和鉴别

FIA_AFL.l鉴别失败处理10OV

8

GB/T22186—2016

表1(续)

备注

安全功能类安全功能组件编亏

EAL4EAL5+EAL6

FMT_LIM.l受限能力11V

FMT_LIM,2受限可用性12V

FMT_MSA.l安全属性的管理13V

FMT类：安全管理FMT_MSA.3静态属性初始化14V

FMT_MTD.lTSF数据的管理15V

FMT_SMF.l管理功能规范16V

FMT_SMR.l安全角色17V

FPT_FLS.l失效即保持安全状态18V

FPT_ITT.l内部TSF数据传送的基本保护19V

FPT类：安全功能保护

FPT_PHP.3物理攻击抵抗20V

FPT_TST.2子集TSF测试21OV

FRU：资源利用FRU_FLT.2受限容错22V

注：J代表在该保障级下，应选择该组件；O代表在该保障级下，可选择该组件；N/A代表在该保障级下，该组件

不适用。

8.1.2描述

&1.2.1密钥生成(FCS_CKM.1)

FCS_CKM.1.1IC卡芯片安全功能应根据符合下列标准【赋值:标准列表】的一个特定的密钥生

成算法【赋值:密钥生成算法】和规定的密钥长度【赋值:密钥长度】来生成密钥。

应用说明：该组件仅适用于密钥生成功能由IC卡芯片本身完成的情况，此时ST编写者应根据密

码算法的具体情况，赋值国家主管部门认可的相关标准及参数。若密钥由外部环境生成,则可以不选择

此组件。

&1.2.2密码运算(FCS_COP.1)

FCS_COP.1.1IC卡芯片安全功能应根据符合下列标准【赋值:标准列表】的特定的密码算法【赋

值:密码算法】和密钥长度【赋值:密钥长度】来执行【赋值:密码运算列表】。

应用说明：ST编写者应根据密码算法的具体情况赋值国家主管部门认可的相关标准及参数。

&1.2.3子集访问控制(FDP_ACC.1)

FDP_ACC.1.1IC卡芯片安全功能应对【IC卡嵌入式软件、管理员，赋值:其他主体列表】【读、写

和执行，赋值:主体和客体之间的其他操作列表】操作【Flash,RAM,ROM存储器，及特殊功能寄存器.

赋值:其他客体列表】执行【IC卡芯片存储器访问控制策略，赋值:其他IC卡芯片访问控制策略】。

应用说明：ST编写者应根据具体情况细化用户数据和操作列表，且根据用户和管理员操作客体和

相应控制策略的不同，应在ST中将此组件分为不同的点进行描述，此原则适用于以下各组件的描述

情况。

9

GB/T22186—2016

&1.2.4基于安全属性的访问控制(FDP_ACF.1)

FDP_ACF.1.1IC卡芯片安全功能应基于【存储器访问控制寄存器的值，赋值:其他安全策略相关

的安全属性或安全属性组】对客体执行【IC卡芯片存储器访问控制策略.赋值:其他1C卡芯片访问控制

策略】。

FDP_ACF.1.2IC卡芯片安全功能应执行以下规则，以决定在受控主体与受控客体间的一个操作

是否被允许：【存储器访问控制寄存器的值是否满足访问要求，赋值:其他在受控主体和受控客体间•通

过对受控客体采取受控操作来管理访问的一些规则】。

FDP_ACF.1.3IC卡芯片安全功能应基于以下附加规则：【赋值:基于安全属性的，明确授权主体

访问客体的规则】，明确授权主体访问客体。

FDP_ACF.1.4IC卡芯片安全功能应基于【赋值:基于安全属性的，明确拒绝主体访问客体的规

则】明确拒绝主体访问客体。

应用说明：ST编写者应根据具体应用细化主体、客体和操作列表，并描述相应的访问控制策略。

若IC卡芯片没有附加的访问控制策略，可不对FDP_ACF.1.3和FDP_ACF.1.4的相应赋值项赋值。

&1.2.5子集信息流控制(FDP_IFC.1)

FDPJFC.1.1IC卡芯片安全功能应对【赋值:"、卡芯片中处理或传输的用户数据，如用户密钥等

敏感信息】执行【IC卡芯片数据处理策略】。

应用说明：数据处理策略应要求除非TC卡嵌入式软件允许用户数据可通过外部接口访问，否则不

能从IC卡芯片中泄露。

&1.2.6基本内部传送保护(FDP_ITT.1)

FDPJTT.1.1在IC卡芯片物理卜-分隔的不同的存储器、CPU与其他IC卡芯片功能模块(如密

码协处理器)之间传递用户数据时，IC卡芯片安全功能应执行【IC卡芯片数据处理策略】，以防止用户

数据被【选择:泄露.篡改.或无法使用】。

&1.2.7存储数据完整性监视(FDP_SDI.1)

FDP_SDI.1.1IC卡芯片安全功能应基于下列属性:【用户数据完整性校验值.赋值:其他用户数据

属性】，对所有客体，监视存储在由IC卡芯片安全功能控制的载体内的用户数据的【完整性错误】。

应用说明：ST的编写者应对需要完整性监视的用户数据进行细化描述。

&1.2.8存储数据完整性监视和行动(FDP_SDI.2)

FDP_SDI.2.1IC卡芯片安全功能应基于下列属性:【用户数据完整性校验值.赋值:其他用户数据

属性】，对所有客体，监视存储在由IC卡芯片安全功能控制的载体内的用户数据的【完整性错误】。

FDP_SDI.2.2检测到数据完整性错误时，IC卡芯片安全功能应【输出错误状态.赋值:采取的其他

动作】。

应用说明：ST的编写者应对采取的其他完整性错误处理动作进行细化描述。

鉴别的时机(FIA_UAU.1)

FIA_UAU.1.1在用户被鉴别前,IC卡芯片安全功能应允许执行代表用户的【赋值：由IC卡芯片

安全功能促成的动作列表.如读取IC卡芯片标识佶息操作

FIA_UAU.1.2只有在用户已被成功鉴別后，才能执行所有其他受IC卡芯片安全功能控制的

动作。

10

GB/T22186—2016

应用说明：此处用户仅指执行IC专用软件相应功能的操作主体，即管理员角色。

0鉴别失败处理(FIA_AFL.1)

FIA_AFL.1.1IC卡芯片安全功能应检测当【赋值:次数或数值范围】时，与【IC专用软件的管理员

鉴别，赋值:其他鉴别事件列表】相关的未成功鉴別尝试。

FIA_AFL.1.2当【选择:迖到.超过】所定义的未成功鉴別尝试次数时，IC卡芯片安全功能应采取

的【赋值:动作列表，如永久锁定鉴别功能Jo

1受限能力(FMT_LIM.1)

FMT_LIM.1.1IC卡芯片安全功能应采取某种能力受限的设计和实现方法，以便可与“受限可用

性(FMT_LIM.2)”相结合来实施【赋值:受限的能力和可用性策略】。

2受限可用性(FMT_LIM.2)

FMT_LIM.2.1IC卡芯片安全功能应采取某种可用性受限的设计和实现方法，以便可与“受限能

力(FMT_LIM.l)”相结合来实施【赋值:受限的能力和可用性策略】。

应用说明：ST的编写者应对受限的能力和可用性策略进行细化，以描述实施该策略的两个方面：

一方面描述IC卡芯片安全功能在用户环境下可用，但是使其能力受限的规则；而另一方面描述IC卡芯

片的安全功能在用户环境中被禁止或删除，从而不可用的方法的规则。

3安全属性的管理(FMT_MSA.1)

FMT_MSA.1.1IC卡芯片安全功能应执行【IC卡芯片存储器访问控制策略，赋