多合一eUICC_隔离特性及并发性技术要求和测试方法研究报告_24页_454kb

> **来源：[研报客](https://pc.yanbaoke.cn)** # 多合一 eUICC 隔离特性及并发性技术要求和测试方法研究报告总结 ## 核心内容概述 本报告由电信终端产业协会发布，旨在为多合一 eUICC 芯片的域隔离特性和并发性提供技术要求和测试方法的指导。随着移动终端和物联网设备的发展，多合一 eUICC 芯片成为主流，其整合了 eUICC、eSE、NFC 等功能模块，对安全性提出了更高要求。因此，报告建议在现有评估标准基础上补充多合一 eUICC 的域隔离测试规范，以确保其安全性不低于独立 eUICC 芯片。 --- ## 主要观点 - **多合一 eUICC 的安全性需求**：由于多合一 eUICC 包含多个域，其安全性需通过域隔离技术保障，防止其他域对 eUICC 域的资产进行未经授权的访问、修改或执行。 - **域隔离的重要性**：域隔离是多合一 eUICC 的核心安全特性之一，需由 TOE（评估对象）本身实现，而非依赖于外部环境。 - **安全评估标准**：报告建议将多合一 eUICC 的域隔离评估等级提升至 **AVA_VAN.5**，这是通用安全评估准则中的最高脆弱性分析等级。 - **测试建议**：报告提供了功能测试和渗透测试的建议，涵盖多个关键场景，包括代码管理、代码执行、通信接口、并发操作等，以验证域隔离机制的有效性。 - **安全组件与功能**：报告定义了多个安全功能组件（如访问控制、静态属性初始化、安全角色管理等）和安全保障组件（如 AVA_VAN.5），确保多合一 eUICC 的安全性和完整性。 --- ## 关键信息 ### 1. 术语和定义 | 术语 | 定义 | |------|------| | eUICC | 嵌入式通用集成电路卡 | | CCRC | 中国网络安全审查技术与认证中心 | | 保护轮廓 | 针对一类 TOE 的安全需求陈述 | | TOE | 评估对象 | | TSF | TOE 安全功能 | | 安全功能组件 | 安全功能要求组件 | | 安全保障组件 | 安全保障要求组件 | | AVA_VAN | 脆弱性分析评估方法 | | LFI | 激光故障注入攻击 | | EMFI | 电磁故障注入攻击 | ### 2. 安全目的 - **SO.CONT-SEP**：防止其他域对 eUICC 域的资产进行未经授权的访问。 - **SO.CONT-PRIV**：确保 eUICC 域的权限管理为最高级别。 - **SO.CONT-DOS**：防止拒绝服务攻击，确保 eUICC 域的正常运行。 ### 3. 域隔离测试建议 #### 1.1 eUICC 用户数据测试 - **测试目标**：验证 eUICC 用户数据（如 D.PROFILE_DATA、D.PROFILE_CODE、D.MNO_KEYS）仅在 eUICC 域中分配和访问。 - **测试方法**：通过功能测试用例验证数据的隔离性。 #### 1.2 eUICC TSF 数据测试 - **测试目标**：验证 eUICC TSF 数据（如 D.RUNTIME_DATA、D.MAN_DATA、D.CRYPTO、D.API_DATA、D.ID_MAN_DATA）仅在 eUICC 域中分配和访问。 - **测试方法**：通过功能测试用例验证数据的隔离性。 #### 1.3 代码管理测试 - **测试目标**：确保 eUICC 域中的代码（如 ETSI Telecom 包中的 UICC.System、UICC.toolkit、UICC.access 等）仅在 eUICC 域中执行。 - **测试方法**：通过功能测试用例验证代码的隔离性。 #### 1.4 代码执行测试 - **测试目标**：确保其他域的操作（如 Java 卡垃圾回收）不会影响 eUICC 域的执行。 - **测试方法**：通过功能测试用例验证代码执行的隔离性。 #### 1.5 通信接口和系统资源测试 - **测试目标**：确保 eUICC 域的通信接口和资源仅被其访问，其他域无法干扰。 - **测试方法**：通过功能测试用例验证通信接口和资源的隔离性。 #### 1.6 并发操作测试 - **测试目标**：验证在其他域进行操作时，eUICC 域的功能不受影响。 - **测试场景示例**： - 场景 #1：eSE 域执行 Java 卡交易操作时，eUICC 域的 RSP 操作应不受影响。 - 场景 #2：Global Platform 卡片管理操作（如 ELF load、Applet Install/Delete）应不影响 eUICC 域的正常运行。 ### 4. 脆弱性分析与渗透测试建议 - **脆弱性分析**：建议采用 AVA_VAN.5 等级进行分析，以评估产品对高攻击潜力的防御能力。 - **渗透测试**：建议涵盖逻辑攻击（如缓冲区溢出、凭证窃取）和混合攻击（如 LFI、EMFI、电压故障）。 - **测试注意事项**： - 渗透测试应基于功能测试结果进行。 - 测试需考虑实际接口和攻击面。 - 一些测试结果可从已认证的 eUICC 产品中复用。 --- ## 技术要求与测试方法 ### 1. 安全功能组件 - **FDP_ACC.2**：完全访问控制，确保域隔离。 - **FDP_ACF.1**：基于安全属性的访问控制，用于定义访问规则。 - **FMT_MSA.3**：静态属性初始化，为安全属性提供默认值。 - **FMT_MSA.1**：安全属性的管理，允许授权角色修改初始值。 - **FMT_SMF.1**：管理功能规范，确保 TSF 提供的管理功能符合要求。 - **FMT_SMR.1**：安全角色，定义和维护角色。 - **FIA_UID.1**：标识的时机，确保用户身份识别后才允许执行操作。 ### 2. 安全保障组件 - **AVA_VAN.5**：高攻击潜力的脆弱性分析。 - **ATE_DPT.2**：与现有标准对齐的域隔离检测要求。 --- ## 参考文献 - [1] GB/T 22186—2016 信息安全技术具有中央处理器的 IC 卡芯片卡安全技术要求 - [2] ISCCC-TR-041-2017 Java 卡通用安全技术要求（评估保障级 EAL4+） - [3] CCRC-EAL-TR-015-2019 用于消费类设备的嵌入式 UICC 产品安全技术要求评估保障级 EAL4+ - [4] GB/T 18336.1—2024 信息技术 安全技术 信息技术安全评估准则 第一部分：简介和一般模型 - [5] GB/T 18336.2—2024 信息技术 安全技术 信息技术安全评估准则 第二部分：安全功能组件 - [6] GB/T 18336.3—2024 信息技术 安全技术 信息技术安全评估准则 第三部分：安全保障组件 - [7] GB/T 18336.4—2024 信息技术 安全技术 信息技术安全评估准则 第四部分：评估方法和活动的规范框架 - [8] GB/T 18336.5—2024 信息技术 安全技术 信息技术安全评估准则 第五部分：预定义的安全要求包 - [9] ETSI_TS_102_241 Smart Cards; UICC Application Programming Interface (UICC API) for Java Card, V18.2 - [10] ETSI_TS_143_019 Digital cellular telecommunications system (Phase 2+); Subscriber Identity Module Application Programming Interface (SIM API) for Java Card; Stage 2, V5.8 - [11] ETSI_TS_131_130 Digital cellular telecommunications system (Phase 2+) (GSM); Universal Mobile Telecommunications System (UMTS); LTE; 5G; (U)SIM Application Programming Interface (API); (U)SIM API for Java Card, V15.2 - [12] ETSI_TS_102_226 Smart Cards; Remote APDU structure for UICC based applications, V16.0 --- ## 总结 本报告详细定义了多合一 eUICC 芯片的域隔离保护轮廓及测试建议，强调了域隔离在多合一方案中的重要性，并提出了基于 AVA_VAN.5 的高安全评估标准。报告还提供了多个测试场景和建议，包括功能测试、渗透测试和并发操作测试，以确保 eUICC 域的资产不受其他域的干扰。最终，报告旨在为认证实验室和供应商提供统一的测试方法，以提升多合一 eUICC 的整体安全性。