GB/T 20276-2016 信息安全技术 具有中央处理器的IC卡嵌入式软件安全技术要求

ICS35.040

L80OB

中华人民共和国国彖标准

GB/T20276—2016

代替GB/T20276—2006

信息安全技术

具有中央处理器的IC卡嵌入式软

安全技术要求

Informationsecuritytechnology—

SecurityrequirementsforembeddedsoftwareinICcardwithCPU

2016-08-29发布2017-03-01实施

GB/T20276—2016

目次

,、/d•、-T

刖BI

引言n

1范围1

2规范性引用文1

3术语和定义、缩略语1

3.1术语和定义1

3.2缩略语1

4IC卡嵌入式软件描述2

5安全问题定义2

5.1资产2

5.2威胁3

5.3组织安全策略4

5.4假设4

6安全目的5

6.1TOE安全目的5

6.2环境安全目的6

7安全要求6

7.1安全功能要求6

7.2安全保障要求11

8基本原理24

8.1安全目的基本原理24

8.2安全要求基本原理26

8.3组件依赖关系28

参考文献30

GB/T20276—2016

■ir■■i

刖吕

本标准按照GB/T1.1—2009给出的规则起草。

本标准代替GB/T20276—2006«信息安全技术智能卡嵌入式软件安全技术要求(EAL4增强

级)》。本标准与GB/T20276—2006相比，主要变化如下：

—将标准名称变更为《信息安全技术具有中央处理器的IC卡嵌入式软件安全技术要求》；

——第3章对术语进行了更新描述；

—第4章重新描述了IC卡嵌入式软件的结构和应用环境，并进行了更清晰的TOE范围定义；

一第5章对安全问题定义进行了整合和精简，共定义了6个威胁，3项组织安全策略和5个

假设；

——第6章根据新的安全问题定义更新了对TOE安全目的的描述；

—第7章对安全功能要求进行了调整，以细化新的安全目的描述，明确指出了EAL4+和

EAL5+分别应满足的安全功能要求；并对安全保障要求进行了调整，增加了EAL5+要求的

保障组；

—第8章对新的安全问题定义与安全目的、安全目的与安全要求之间的对应关系基本原理重新

进行了梳理，还分析了组件之间的依赖关系。

本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。

本标准起草单位：中国信息安全测评中心、北京多思科技T业园股份有限公司、天地融科技股份有

限公司、北京邮电大学、吉林信息安全测评中心。

本标准主要起草人：张狮斌、石述松、高金萍、杨永生、王宇航、饶华一、王亚楠、陈佳哲、李东声、

李明、曹春春、沈敏锋、崔宝江、赵晶玲、唐喜庆、刘占丰、刘丽、邹兆亮。

本标准所代替标准的历次版本发布情况为：

——GB/T20276—2006。

T

GB/T20276—2016

引言

IC卡应用范围的扩大和应用环境复杂性的增加，要求IC卡嵌入式软件具有更强的安全保护能力。

本标准的EAL4+是在EAL4的基础上将AVA_VAN.3增强为AVA_VAN.4；EAL5+是在

EAL5的基础上将AVA_VAN.4增强为AVA_VAN.5,并将ALC_DVS.l增强为ALC_DVS.2O

n

GB/T20276—2016

信息安全技术

具有中央处理器的IC卡嵌入式软

安全技术要求

1范围

本标准规定了对EAL4增强级和EAL5增强级的具有中央处理器的IC卡嵌入式软件进行安全保

护所需要的安全技术要求，涵盖了安全问题定义、安全目的、安全要求、基本原理等内容。

本标准适用于具有中央处理器的IC卡嵌入式软件产品的测试、评估和采购，也可用于指导该类产

品的研制和开发。

2规范性引用文

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文

。凡是不注日期的引用文，其最新版本(包括所有的修改单)适用于本文。

GB/T18336(所有部分)信息技术安全技术信息技术安全评估准则

GB/T25069—2010信息安全技术术语

3术语和定义、缩略语

3.1术语和定义

GB/T25069—2010和GB/T18336.1中界定的以及下列术语和定义适用于本文。

3.1.1

个人化数据Personalizationdata

在IC卡嵌入式软件的个人化过程中写入的数据，用于配置与特定应用或用户相关的参数。

3.2缩略语

下列缩略语适用于本文。

CM：配置管理(ConfigurationManagement)

EAL：评估保障级(EvaluationAssuranceLevel)

EEPROM:电可擦除可编程只读存储器(Electrically-ErasableProgrammableRead-onlyMemory)

IC：集成电路(IntegratedCircuit)

I/O:输入/输出(Input/Output)

RAM:随机存取存储器(Random-AccessMemory)

ROM:只读存储器(Read-OnlyMemory)

ST：安全目标(SecurityTarget)

TOE:评估对象(TargetofEvaluation)

TSF：TOE安全功能(TOESecurityFunctionality)

1

GB/T20276—2016

4IC卡嵌入式软件描述

具有中央处理器的IC卡嵌入式软（简称IC卡嵌入式软）存放在IC卡的非易失性存储器（例如

ROM.EEPROM或Flash等）中，并在IC卡芯片内运行。该软件用于管理芯片硬件资源和数据，通过

芯片的通信接口与IC卡终端设备交换信息，以响应用户发起的数据加密、数据签名及鉴权认证等应用

请求，实现对应用功能的支持。

一般情况下，IC卡嵌入式软件由负责处理芯片硬件接口，实现文件管理、安全支撑、通信处理和应

用处理等功能的模块组成，其中安全支撑模块提供安全配置、安全事务处理及密码支持等功能，以便为

其他模块的安全执行提供支持，以保护IC卡的内部数据及安全功能。文件管理模块和通信处理模块作

为基础模块，主要用于实现对应用功能的支持。IC卡嵌入式软件的一般结构及运行环境如图1所示。

在嵌入式软件的运行环境中，用户和（TOE开发、个人化及发R等阶段的）管理员可通过ICR终端

与IC卡嵌入式软件交互，管理员也可能通过操作芯片中的IC专用软件下载嵌入式软件并配置IC卡硬

件平台。另一方面,攻击者可以通过发送、监听和篡改通信消息以及探测IC卡芯片电路等方式实施攻

击，以获取或破坏敏感数据信息，甚至滥用安全功能。为此，IC卡嵌入式软件应采取防护措施以保障嵌

入式软件的数据和功能的安全。

图1IC卡嵌入式软件的一般结构及运行环境

5安全问题定义

5.1资产

需要保护的资产：

-TSF数据（如TOE中的访问控制列表、鉴别状态、安全配置数据、管理性的密钥等信息）;

-用户数据（TOE中不属于TSF数据的信息，如用户身份标识等信息）；

——安全能力（如TOE的签名能力和动态码产生能力等）。

应用说明：ST编写者应根据具体的应用情况细化对资产的描述。

2

GB/T20276—2016

5.2威胁

5.2.1物理操纵(T.PhysicalManipulation)

攻击者可利用IC卡芯片失效性分析和半导体逆向工程技术，对IC卡芯片实施物理剖片，以获取

IC卡芯片设计信息和嵌入式软件的二进制代码，进而探测TSF数据和用户数据信息。

攻击者也可能对IC卡芯片实施物理更改，以达到获取或改变数据信息或安全功能的目的。

IC卡芯片可能会在未上电或已上电状态下受到此类攻击，在遭受攻击后可能会处于无法操作的

状态。

5.2.2信息泄漏(T.Info_Leak)

攻击者可对TOE正常使用过程中泄漏的信息加以利用，以猜测TSF数据或用户数据。

功耗、电磁辐射、1/()特性、运算频率、时耗等侧信道信息的变化情况都有可能造成信息的泄漏。攻

击者可通过采用接触式(如功耗)或非接触式(如电磁辐射和时耗)的信号测量，得到与正在执行的操作

有关的信息，进而采用信号处理和统计分析等技术来获得密钥等敏感信息。

5.2.3故障利用(T.Failure_Exp】oitation)

攻击者可通过分析TOE的运行故障以获取TSF数据、用户数据或滥用TOE的安全功能。

这些故障可能是通过改变TOE的运行环境(如温度、电压、频率等，或通过注入强光等方式)而触

发的,也可能是由于TOE本身的设计缺陷而自发产生的，这些故障可能导致TOE的代码、系统数据或

执行过程发生错误，使TOE在故障下运行，从而导致敏感数据泄漏。

5.2.4生命周期功能滥用(T.Lifecycle_Misuse)

攻击者可利用相关接口，尤其是测试和调试接口来获取TSF数据或用户数据。这些接口在TOE

生命周期的过往阶段是必要的，但在现阶段是被禁止的。例如，若测试命令或调试命令在使用阶段仍可

用，则可被攻击者用于读取存储器内容或执行其他功能。

5.2.5逻辑攻击(T.Logical_Attack)

攻击者可利用TOE的逻辑接口，采用暴力猜解、被动侦听或适应性地选择指令输入等方式来获

取/修改用户数据或TSF数据，或者滥用TOE的安全功能，主要包括以下形式：

a)密码攻击：攻击者可利用密码算法或协议的安全缺陷实现攻击，以达到获取密钥、猜测随机数

或解密密文等目的。

b)重放攻击:攻击者可通过重放历史数据，如重放通过侦听获得的鉴別数据来旁路安全机制，以

获取敏感数据信息或滥用TOE的安全功能。

c)访问控制措施旁路;攻击者可通过利用TOE对文件及其他数据的访问控制缺陷，绕过访问控

制规则，以读取、删除或修改用户数据或TSF数据。

d)残余信息利用：攻击者可利用TOE对计算过程中的残留信息的处理缺陷，在TOE执行过程

中对未删除的残留信息进行攻击，以获取敏感信息或滥用TOE的安全功能。

应用说明：逻辑接口是TOE与智能终端之间的数据交换接口，包括语法上遵循国际标准定义或行

业私有定义的指令与响应码。攻击者可能利用认证系统或指令系统缺陷，通过分析指令及其响应码，绕

过存储器访问控制机制，以非法获得存储器内容、密钥和PIN等信息，或达到滥用TOE安全功能等目

的。ST编写者应根据应用情况完善对逻辑攻击的描述。

3

GB/T20276—2016

5.2.6非法程序攻击(T.IllegalPrg_Attack)

攻击者可通过安装带有恶意代码的应用程序(如木马程序)来获取/修改TOE代码或数据，或滥用

TOE的安全功能；在TOE进入使用阶段前，开发者(或配置者)也可能有意地(或无意地，如使用了恶

意的编译器)引入非法程序或错误，使TOE在使用阶段泄漏敏感信息或导致安全功能被滥用。

应用说明：对于可以下载新应用的嵌入式软件而言，需要在整个生命周期阶段考虑此攻击；对于无

法下载新应用的单应用的嵌入式软，主要在使用阶段前的其他生命周期阶段中考虑此攻击。

5.3组织安全策略

5.3.1密码管理(P.Crypto_Management)

密码的使用必须符合国家制定的相关信息技术安全标准。

5.3.2标识数据管理(P.IdDataManagement)

IC卡嵌入式软件的初始化、个人化等过程应具备标识TOE的能力。

应用说明：IC卡嵌入式软件的初始化、个人化过程可产生多种标识信息，这些信息存储在IC卡内

部，可用于向外部发行实体标识TOE,如厂商信息、版本号、激活时间等，以实现对生产情况的回溯查询

能力。这些标识信息随嵌入式软件的不同而存在差异，在编写ST文档时应描述具体的标识方法和

内容。

5.3.3芯片选型(P.ChipSelection)

TOE应采用至少通过EAL4+测评的TC卡芯片。

5.4假设

5.4.1通信信道(A.CommChannel)

假定TOE与IC卡终端之间的通信信道是安全可靠的(如满足私密性和完整性)。

应用说明:ST编写者应根据嵌入式软件的具体应用情况解释“安全可靠”的具体含义。

5.4.2应用程序(A.App_Program)

假定在TOE中安装应用程序的流程符合规范，且合法安装的应用程序不包含恶意代码。

5.4.3芯片硬件(A.ChipHardware)

假定TOE运行所依赖的底层芯片具备足以保证TOE安全运行所需的物理安全防护能力。

应用说明：TOE的底层芯片必须能够抵抗物理攻击、环境干扰攻击、侧信道攻击等。同时，芯片提

供的密码功能可以是由处理器或安全算法库来实现的。

5.4.4外部数据管理(A.OutDataManagement)

假定存放在TOE之外的数据，如TOE设计信息、初始化数据、管理性密钥等敏感信息，会以一种

安全的方式进行管理。

5.4.5人员(A.Personnel)

假定使用TOE的人员已具备基本的安全防护知识并具有良好的使用习惯，且以安全的方式使用

TOE。TOE开发、生产、个人化和发卡各阶段的操作人员均按安全的流程进行操作。

4

GB/T20276—2016

6安全目的

6.1TOE安全目的

6.1.1标识数据存储(O.IdData_Storage)

TOE应具备在非易失性存储器中存储初始化数据和个人化数据的能力。

6.1.2用户标识(O.Useridentification)

TOE应明确地标识出可使用各种逻辑接口的用户。

6.1.3用户鉴别(O.User_Authentication)

用户应通过鉴別过程才可访问或使用TOE中的用户数据和安全功能数据。

6.1.4防重放攻击(O.ReplayPrevention)

TOE应提供安全机制以抵御重放攻击，如采用只可一次性使用的随机因子等措施。

6.1.5残留信息清除(O.ResiduallnfoClearance)

TOE应确保重要的数据在使用完成、或遭受掉电攻击后会被删除或被安全处理，不会留下可被攻

击者利用的残留数据信息。

6.1.6信息泄漏防护(O.InfoLeakPrevention)

TOE应提供控制或限制信息泄漏的方法，使得通过测量功耗、电磁辐射、时耗等信息的变化情况无

法或难以获得用户数据和安全功能数据。

6.1.7数据访问控制(O.DataAcc_Control)

TOE应对在TOE内部的用户数据和安全功能数据实施访问控制措施，防止在未授权情况下被访

问、修改或删除。

6.1.8状态恢复(O.Status_Recovery)

TOE在检测到故障后应将工作状态恢复或调整至安全状态，防止攻击者利用故障实施攻击。

6.1.9生命周期功能控制(O.Lifecycle_Control)

TOE应对自身安全功能的可用性进行生命周期阶段划分，或进行权限控制，以防止攻击者滥用这

些功能(如下载模式下的某些功能应在TOE交付后关闭)。

6.1.10密码安全(O.Crypto_Security)

TOE应以一个安全的方式支持密码功能，其使用的密码算法必须符合国家、行业或组织要求的密

码管理相关标准或规范。

应用说明：如果TOE所使用的密码算法均由芯片实现，则应将此安全目的移至ST的环境安全目

的中。

5

GB/T20276—2016

6.2环境安全目的

6.2.1人员(OE.Personnel)

TOE开发、初始化和个人化等生命周期阶段中涉及的特定人员应能严格地遵守安全的操作规程，

以保证TOE在生命周期过程中的安全性。

6.2.2通信信道(OE.CommChannel)

TOE与IC卡终端之间的通信路径是可信的，能为通信过程提供保密性和完整性保障。

6.2.3应用程序(OE.AppProgram)

安装应用程序到TOE的流程必须规范，且合法安装的应用程序不应包含恶意代码。

6.2.4芯片硬件(OE.Chip_Hardware)

TOE的底层芯片必须能够抵抗物理攻击、环境干扰攻击和侧信道攻击等。

6.2.5外部数据管理(OE.OutDataManagement)

应对在IC卡芯片外部存储的相关数据(如TOE的设计信息、开发及测试工具、实现代码及相关文

档、初始化数据、管理性密钥等)进行机密性和完整性处理，并采取安全的管理措施。

7安全要求

7.1安全功能要求

7.1.1安全功能要求概述

表1列出了IC卡嵌入式软件的安全功能组，其详细内容将在下面分条描述。在描述过程中，方

括号【】中的粗体字内容表示已经完成的操作，机体匍体字内容表示还需在安全目标(ST)中确定的赋值

及选择项。

表1安全功能组

备注

组件分类安全功能组序号

EAL4+EAL5+

FCS_CKM.l密钥生成1、/V

FCS类：密码支持FCS_CKM.4密钥销毁2、/

FCS_COP.l密码运算3、/V

FDP_ACC.l子集访问控制4、/V

FDP_ACF.1基于安全属性的访问控制5、/V

FDP_IFC.l子集信息流控制6、/V

FDP类：用户数据保护

FDP_ITT.l基本内部传送保护7、/V

FDP_RIP.l子集残余信息保护8、/N/A

FDP_RIP.2完全残余信息保护9N/AV

6

GB/T20276—2016

表1(续)

备注

组件分类安全功能组序号

EAL4+EAL5+

FIA_AFL.l鉴别失败处理10、/V

FIA_ATD.l用户属性定义11、/V

FIA_SC)S.l秘密的验证12OV

FIA_UAU.l鉴别的时机13、/V

FIA类：标识和鉴别

FIA_UAU,4一次性鉴别机制14、/V

FIA_UAU.5多重鉴别机制15OV

FIA_UAU.6重鉴别16、/V

FIA_UID.l标识的时机17、/V

FMT_MOF.l安全功能行为的管理18、/V

FMT_MSA.l安全属性的管理19、/V

FMT_MSA.3静态属性初始化20、/V

FMT类：安全管理FMT_MTD.lTSF数据的管理21、/V

FMT_MTI).2TSF数据限值的管理22、/V

FMT_SMF.l管理功能规范23、/V

FMT_SMR.l安全角色24、/V

FPT_FLS.l失效即保持安全状态25、/V

FPT_ITT.l内部TSF数据传送的基本保护26、/V

FPT类：TSF保护FPT_RCV,4功能恢复27、/V

FPT_RPL.l重放检测28、/V

FPT_TST.lTSF测试29OV

注：J代表在该保障级下应选择该组；O代表在该保障级下可选择该组；N/A代表在该保障级下该组件不

适用。

7.1.2安全功能要求描述

密钥生成(FCS_CKM.1)

FCS_CKM.1.1IC卡嵌入式软件安全功能应根据符合下列标准【赋值:郴关标准】的一个特定的

密钥生成算法【赋值:密钥生成算法】和规定的密钥长度【赋值:密钥氏度】来生成密钥。

应用说明：该组件仅适用于密钥生成功能由嵌入式软件本身完成的情况，此时ST编写者应根据密

码算法的具体情况，赋值国家主管部门认可的相关标准及参数。若密钥由外部环境生成,则可以不选择

此组。

密钥销毁(FCS_CKM.4)

FCS_CKM.4.1IC卡嵌入式软件安全功能应根据符合下列标准【赋值：柘准列表】的一个特定的

密钥销毁方法【赋值:密钥销毁方法】来销毁密钥。

7

GB/T20276—2016

应用说明：ST编写者应根据密码算法的具体情况赋值国家主管部门认可的相关标准及密钥销毁

方法。

密码运算(FCS_COP.1)

FCS_C()P.1.1IC卡嵌入式软件安全功能应根据符合下列标准【赋值：赫准列衣】的特定的密码算

法【赋值：密码算法】和密钥长度【赋值：密钥尺度】来行执【赋值：密码运算列表

应用说明：ST编写者应根据密码算法的具体情况赋值国家主管部门认可的相关标准及参数。

子集访问控制(FDP_ACC.1)

FDP_ACC.1.1IC卡嵌入式软件安全功能应对【用户，管理员，赋值:其他主体列表】【选择：删除、

修改、读取•使用•赋直;其他具体操作列表】】【用户数据，赋值:其他捋体列衣】】执行【IC卡嵌入式软

用户数据访问控制策略】。

应用说明：ST编写者应根据具体情况细化用户数据和操作列表，且根据用户和管理员操作客体和

相应控制策略的不同，应在ST中将此组件分为不同的点进行描述，此原则适用于以下各组件的描述

情况。

基于安全属性的访问控制(FDP_ACF,1)

FDP_ACF.1.1IC卡嵌入式软件安全功能应基于【用户，管理员，赋值:其他主体列衣】的【鉴别状

态，赋值:其他安全策略相关的安全属性或属性组、对客体执行【IC卡嵌入式软件用户数据访问控制策

略】。

FDP_ACF.1.2IC卡嵌入式软件安全功能应执行以下规则，以决定在受控主体与受控客体间的一

个操作是否被允许:【用户鉴别是否逋过，管理员鉴别是否逋过，赋值:在受控主体和受控脅体间•通过

对受控客体采取受控操作來管理访问的-些规则】。

FDP_ACF.1.3IC卡嵌入式软件安全功能应基于以下附加规则：【赋值:层J：安全属件的•明确授

叔卫体访问捋体的观则】，明确授权主体访问客体。

FDP_ACF.1.4IC卡嵌入式软件安全功能应基于【赋值:皋于安全属牲的.明确拒绝主体访问客体

的规则、明确拒绝主体访问客体。

应用说明：ST编写者应根据具体应用细化客体和操作列表。若嵌入式软件没有附加访问控制策

略,可不对FDP_ACF.1.3和FDP_ACF.1.4的相应赋值项赋值。

子集信息流控制(FDP_IFC.1)

FDP_IFC.1.1IC卡嵌入式软件安全功能应对【用户数据访问，赋值:其他冰致受控侍总流入、流出

受控主体的操作列養】执行【数据传输过程的保密性处理策略，赋值:其他信总流控制策略

基本内部传送保护(FDP_ITT.1)

FDPJTT.1.1在IC卡嵌入式软件物理上分隔的部分之间，如不同软件模块之间传递用户数据

时,IC卡嵌入式软件安全功能应执行【数据传输过程的保密性处理策略，【赋值：其他信息流挖制策

略】】，以防止用户数据被【选择:潸漏•篡攻•或无法使用

子集残余信息保护(FDP_RIP.1)

FDP_RIP.1.1IC卡嵌入式软件安全功能应确保一个资源的任何先前信息内容，在【选择：分酬玲

源到用放资源自】下列客体:【EEPR()M、Flash,赋值:其他徉体列表】时不再可用。

8

GB/T20276—2016

完全残余信息保护(FDP_RIP.2)

FDP_RIP.2.1IC卡嵌入式软件安全功能应确保一个资源的任何先前信息内容，在【选择：分加资

源到、释放资源〃】所有客体时不再可用。

0鉴别失败处理(FIA_AFL.1)

FIA_AFL.1.1IC卡嵌入式软件安全功能应能检测出当【选择上赋值:正整数】.管理员可设呂的

【赋值：可接受数值范围】内的一个正整数】时，与【选择：刃户鉴別.管理员鉴別•赋恒:其他鉴别事件列

衣】】相关的未成功鉴別尝试。

FIA_AFL.1.2当【选择:达到.超过、所定义的未成功鉴別尝试次数时，IC卡嵌入式软件安全功能

应采取的【赋值：动作列釈如临时锁定鉴别功能至一段时间后再开启.或永久锁定鉴别功能并进入废

止阶段YL

1用户属性定义(FIA_ATD.1)

FIA_ATD.1.1IC卡嵌入式软件安全功能应维护属于单个用户的下列安全属性列表:【选择:用户

标识、PIN和密钥等鉴别数据、用户角色、【赋值:具他安全属性

2秘密的验证(FIA_SOS.1)

FIA_S()S.1.1IC卡嵌入式软件安全功能应提供一种机制以验证秘密满足保证鉴别机制安全性

的安全要求。

应用说明：此安全功能要求中的秘密是指如鉴別密钥、PIN等IC卡嵌入式软件安全功能数据。在

EAL5+的情况下，IC卡嵌入式软件应对保存的秘密的质量进行验证，以加强秘密设置的安全性。

3鉴别的时机(FIA_UAU.1)

FIA_UAU.1.1在用户被鉴別前,IC卡嵌入式软件安全功能应允许执行代表用户的【赋值:/C卡

嵌入式软件安全功能仲裁的动作列表(奶读取软件标识信息操作XL

FIA_UAU.1.2在允许执行代表该用户的任何其他由IC卡嵌入式软件安全功能促成的动作前，

IC卡嵌入式软件安全功能应要求每个用户都已被成功鉴别。

4—次性鉴别机制(FIA_UAU.4)

FIA_UAU.4.1IC卡嵌入式软件安全功能应防止与【用户鉴别，管理员鉴别，赋值：其他呦足的鉴

别做制】有关的鉴別数据的重用。

5多重鉴别机制(FIA_UAU.5)

FIA_UAU.5.1IC卡嵌入式软件安全功能应提供【赋值：多重鉴别机制列表.如PIN验证和按键

确认双重鉴别机制、以支持用户鉴别。

FIA_UAU.5.2IC卡嵌入式软件安全功能应根据【赋值：多重鉴別机制的工作规则】鉴別任何用

户所声称的身份。

应用说明：在EAL5+的情况下，IC卡嵌入式软件应要求对重要的安全功能必须进行多重鉴别的

能力，以实现基于多重因素的鉴别，如PIN骑证和按键确认,或生物特征识别等，ST编写者应细化此功

能要求。

6重鉴另IJ(FIA_UAU.6)

FIA_UAU.6.1IC卡嵌入式软件安全功能应在【安全状态复位后，赋值：其他需耍重鉴别的条件

9

GB/T20276—2016

列表】条件下重新鉴別用户。

7标识的时机(FIA_UID.1)

FIA_UID.1.1在用户被识别之前,IC卡嵌入式软件安全功能应允许执行代表用户的【赋值