YD/T 1625-2007
基本信息
标准号: YD/T 1625-2007
中文名称:电信智能卡安全技术要求
标准类别:通信行业标准(YD)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
下载大小:785573
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YD/T 1625-2007.Security requirements for smart card in telecommunication.
1范围
YD/T 1625规定了电信智能卡产品在防物理攻击、数据存储、访问控制、应用等方面的安全技术要求。
YD/T 1625适用于电信领域中智能卡产品。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
GB/T 14916识别卡物理特性(ISO/IEC 7810, Identification cards - Physical characteristics, IDT)
GB/T 16649.1识别卡带触点的集成电路卡 第1部分:物理特性( ISO/EC 7816-1, Identification cards - Integrated circuit(s) cards with contacts - Part 1: Physical characteristics, MOD)
ETSI GSM 03.48欧洲数字蜂窝通信系统(第2+阶段): SIM应用工具包的安全机制
ETSI GSM 11.11欧洲数字蜂窝通信系统(第2+阶段):用户识别模块一移动设备(SIM-ME)接口规范(5V)
ETSI GSM 11.14欧洲数字蜂窝通 信系统(第2+阶段);用户识别模块-移动设备(SIM-ME)接口的SIM应用工具包规范
1范围
YD/T 1625规定了电信智能卡产品在防物理攻击、数据存储、访问控制、应用等方面的安全技术要求。
YD/T 1625适用于电信领域中智能卡产品。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
GB/T 14916识别卡物理特性(ISO/IEC 7810, Identification cards - Physical characteristics, IDT)
GB/T 16649.1识别卡带触点的集成电路卡 第1部分:物理特性( ISO/EC 7816-1, Identification cards - Integrated circuit(s) cards with contacts - Part 1: Physical characteristics, MOD)
ETSI GSM 03.48欧洲数字蜂窝通信系统(第2+阶段): SIM应用工具包的安全机制
ETSI GSM 11.11欧洲数字蜂窝通信系统(第2+阶段):用户识别模块一移动设备(SIM-ME)接口规范(5V)
ETSI GSM 11.14欧洲数字蜂窝通 信系统(第2+阶段);用户识别模块-移动设备(SIM-ME)接口的SIM应用工具包规范
标准图片预览
标准内容
ICS35220
中华人民共和国通信行业标准
YD/T1625-2007
电信智能卡安全技术要求
Security requirements for smart card in telecommunication2007-04-16 发布
2007-10-01实施
中华入民共和国信息产业部发布前言·
范围·
规范性引用文件
术语和定义
缩略语
概述·
与电信智能卡相关的安全威胁
对电信智能卡的物理类安全威胁:对电信智能卡的逻辑类安金威胁:与不充分说明相关的安全威胁,有关密码功能的威胁·
监视信息的安全威胁
6.6其他威胁
7电信智能卡基础安全要求
安全日的·
芯片安全属性
数据安全
访问控制要求
安全审计·
7.6安全功能管理·
7.7其他安全要求
8电信智能卡安全应用要求
8.1OTA 卡安全应用要求,
8.2Java卡安全应用要求
8.3WIM卡安全应用要求,
附录A(资料性附录)文件访问条件的级别设置·录
-KAoKAca
YD/T 1625-2007
YD/T1625-2007
本标准根据我国实际国情和各企业实际状况制定,并在制定过程中参考厂GBT18336(信息技术安全技术信息技术安全性评估准则》本标准的附录A为资料性附录。
本标准由中国通信标准化协会提出并归口。本标起草单位:大唐电信科技产业集团本标推主要起草人:穆擎骊赖华恭耿静1范围
电信智能卡安全技术要求
-ikAoiKAca
YD/T 1625-2007
本标准规定了电信智能卡产品在防物理攻击、数据存储、访问控制、应用等方面的安全技术要求。本标准适用于电信领域中智能卡产品。2规范性引用文件
下列文件的条款通过本标准的引用而成为本标谁的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。GB/T14916识别卡物理特性(ISO/TEC 7810,Identification cards-Physical characteristics,IDT)GB/T16649.1识别卡带触点的集成电路卡第1部分:物理特性(ISO/IEC7816-1,Identificationcards - Integrated circuit(s) curds with contacts - Part I: Physical characteristics , MOD )GBT16649.2识别卡带触点的集成电路卡第2部分:触点的尺寸和位置(ISO/IEC7816-2,Information technology - Identification cards - Integraled circuit(s) cards with contacts - Part 2: Dimensions andlocation of the contacts, IDT)GBT16649.3识别卡带触点的集成电路卡第3部分:电信号和传输协议(ISO/EC7816-3Information cards - Identification cards - Integrated circuit(s) cards with contacts - Part 3: Electronice signals andtransmissionprotocols,DT)
ETSIGSM03.48欧洲数字蜂窝通信系统(第2+阶段):SIM应用工具包的安全机制ETSIGSMI1.1I欧洲数字蜂窝通信系统(第2+阶段):用户识别模块一移动设备(SIM-ME)接口规范(5V)
ETSIGSM11.14欧洲数字蜂窝通信系统(第2+阶段):用户识别模块一移动设备(SIM-ME)接口的SIM应用工具包规范
3术语和定义
下列术语和定义适用于本标准。3.1审计 audt
对指定操作的错误尝试次数或相关安全事件进行记录的过程。3.2 用户 user
对电信替能卡进行操作的实体,此实体不具有能够影响电信智能卡安全策略执行的特权,3.3接权用户authorizeduser
依据安全策略可以执行某项操作的用户。3.4角色role
一组预先确定的规则,用于在用户和电信智能长之间建立许可的交互。3.5安全策略securitypolicy
YD/T1625-2007
一组规则,规定了电信智能卡中的资产管理、保护和分配。3.6授权管理者authonizedadministrator具有旁路或绕过电信智能卡安全策略权限的合法组织和1个体。3.7安全功能控制范围securityfunctionscopeofcontrol电信智能卡中受安全策略控制的相互作用的集合。3.8访问控制 accesscontrol
一种防止资源被未授权用使用的安全策略。3.9安全事件securityevent
一种在电信智能卡资产管理、保护和分配过程中其有直接或潜在危害性的操作或行为。3.10机密性confidentiality
信息不提供给或不泄露给未授权方的属性。3.11完整性 integrity
信息不被米授权方变更或破坏的属性。3.12数宇签名digitalsignature一种非对称加密数据变换,它使得接收方能够验证数据的可错性和完整性,保护发送和接收的数据不被第三方伪造,同时对于发送方来说,还可用以防止接收方的伪造。3.13私有密钥privatekey
一个实体的非对称密钥对中仅供实体自身使用的密钥,在数字签名模式中,私有密钥用于签名功能。
3.14公共密钥publickey
一个实休的非对称密钥对中可以公开的密钥,在数字签名模式中,公共密钙用于验证功能。3.15 认证中心 certificate authority一个可信的第三方认证机构,负责向用户签发含公共密销信息的证书,该证书具有不可伪造性。3.16会话 session
通信双方之间的逻辑连接。
3.17应用 application
指电信智能卡上用于实现业务功能的文件组或程序。3.18用户访问认证userauthentication对用户身份标识的有效性进行验证和测试的过程。3.19安全功能数据 securefunction data与实现电信智能卡安全功能相关的安全元素集合。4
缩略语
下列缩略语适用于本标准:
Access condition to an EF which is under thecontrol of the authority which creates this fileAlways
ApplicationFrogramrning Interface智能卡授权管理者所具有的文件访,同权限
没有任何限制的文件访问权限
应用程序接口
CHViCHV2Card Holder Verification InfomationCos
PIN/PIN2
PIN-NR
PUK/PUK2
5概述
Card Operating System
Dedicated File
Elementury File
-KAoiKAca-
YD/T 1625-2007
卡持有者的验证信息
卡操作系统
专有文件
基本文件
Java CardApplicaltionPrograumming InerfaceJava卡应用程疗接口Java Card Runtime EnvironmentJava Card Virtual Machine
Master File
Over The Air
Personal Identity Number
PIN-General
PIN-Non Rcpudiation
Public Key Infrastructure
PIN Unblock Key
Transport Layer Security
Wircless Application ProtocolWireless Identity Module
Wireless Transport Layer SecurityJava卡运行坏境
Java卡虚拟机
主文件
禁小访间文件的安全属性标志
空中下载
用户身份识别号
通用PIN码
用于不可否认交易的PIN码
公开密钥基础结构
PIN解锁码,分别对应PIN/PIN2
传输层安全协议
无线应用协议
无线识别模块
无线传输层安全协议
电信智能卡是应用于电信领域,集成芯片、软件及应用的通信用存储性安全产品,其主要作用是存储网络或用户个人的安全数据,并配合网络进行身份鉴权及其他安全应用。因此,电信智能卡必须确保数据存储的安全性、可带性和完整性;同时电信智能卡作为一个独立的实体,也应该加强自身的安全防护技术,以提高数据存储器的可靠性,芯片模块的稳定性、抗于扰性等。与电信智能卡相关的安全威胁Www.bzxZ.net
电信智能卡应当考虑以下各类安全威胁:一-对电信智能卡的物理类安金威胁;一对电信智能卡的逻辑类安全威胁;一与不充分说明相关的安全威胁:一有关密码功能的安全威胁:
一监视信息的安全威胁;
一其他安全威胁。
6.1对电信智能卡的物理类安全威胁攻击者可能对电信智能卡芯片实施半导体逆向工程技术等物埋分析手段获取电信智能卡的设计信息和其所存储的安余信息等内穿。3
YD/T 1626-2007
6.2对电信智能卡的逻辑类安全威肋6.2.1用户误操作
一个电信智能卡的授权用户可能因为引人了错误数据或不适当操作等用户误操作前降低了电信智能卡的安全防护能力。
6.2.2未授权操作
攻击者可能利用对电信智能卡的未授权操作而刺探或修改电信智能卡的安全特性,如攻击者在电信智能卡的几个端口加入不同的脉冲序列,试图使卡的安全功能减弱或进人一种不稳定的状态,从而让卡执行预先设计好的未授权操作,绕过卡的安全措施的保扩。6.2.3末授权装裁
攻击者可能利用未授权程序来探或修改电信智能卡的安全功能,未授权程序可能包括在正常操作期间不希望执行的合法程序,也可能包括用于有意刺探或修改电信智能卡安全功能的未授权装载程序,如痴萃程序。
6.2.4命令操纵
攻击者可能使用智能卡操作指令米揭示存储器内容。这种操纵是基于对指令或功能的正确使用,但指令的要求或格式超出了正带使用范围。例如试图读取超出寄存器限制范围的数据或向受保护的存储区域写人数据,以达到威胁安全性能的月的。6.2.5强制重置
攻击者可通过提前中止电信智能卡与读写设备之间的通信、插入中断或选择等手段使电信智能卡进入不安全状态。
6.2.6缺陷数据输入攻击
攻击者可能针对电信智能卡特定的应用或安全算法输人缺陷数据(特定或错误的数据等),并观察电信智能卡如何对缺陷数据输人做出的响应来获取控制信息和与安全相关的信息。6.2.7数据装载故障
攻击者可能在待装载数据中意地生成错误求威胁电信智能卡的安全。比如在问电信智能卡中装载应用程序等数据的阶段,数据可能会被政击者修改或破坏,其中任何一种情况都可能是刺探智能卡的安全功能或暴露安全信息的非法操作。6.3与不充分说明相关的安全威胁6.3.1对初始使用权的欺骗
电信智能卡的发行过程包括各种标志的设定,这些标志可用在卡的内部或用来问外部发行实体标明该卡生效。如果未经过授权许可而试图使用尚未发行的卡会导致欺骗使用。6.3.2身份冒究
电信智能卡应允许特定的角色获取特定的权限。胃充已获得相应权限的用户会导致安全功能或安全信息的暴露。
6.3.3非法访问
每个授权角色都有特定的权限来访问电信智能卡中指定的地址区域及其包含的信息,如果访问超出规定权限,会导致安全相关信息的暴露。6.3.4数据空间搜索
攻击者可利用对数据空间的重复搜索以确定重要信息。这种威胁的特点是重复采用有效的指令和有4
效的要求范闹来获取尽可能多的数据空间中的信息。6.3.5审计失败
KAoKAca-
YD/T 1625-2007
由于审计失败,攻击者可通过重复刺探以揭示存储器内容或改变电信智能卡中安全功能的关键要素。6.4有关密码功能的威胁
攻击者可利用编码/解码函数实施密码攻击或穷举攻击来攻破电信智能卡的安全功能。6.5监视信息的安全威
6.5.1输入/输出操纵
改击者可通过操纵集电路的管脚并监测结巢以揭示重要安全信息。该类操作涉及控制I/O、时钟、电源以直接获取重要安全信息或推导出该类信息。这种威胁的特点是仅仅监视信息或插入选定的符合预期信号特性的错误就可以达到获安全信息的目的。6.5.2信息泄漏
攻击者可对正带使用期间电信智能卡泄漏的信息加以利用。该类泄漏包括功耗、IO特性、时钟频率的变化或所需处理时间的变化等。这可理解为一个隐蔽的传输途径,但与操作参数的测量密划相关。这些泄漏信息可通过直接(接触)测是或测量辐射信号得到,并且可能与正在执行的操作有关。6.6其他威胁
6.6.1联合攻击
攻击者可能会综合利用多种方法来对电信智能卡进行攻击:比如攻击者对不同操作所获取的知识进行综合,获得电信智能卡的相关安全信息:在电信智能卡不稳定或其安全功能的某些方面下降时操纵输人管脚的同时监测输出管脚的变化。6.6.2克隆
攻击者可能通过电信智能卡本身的详细说明或者通过非法占有的智能卡设计信息克隆部分或全部电信智能卡的功能以开发进:-步的攻击于段。7电信智能卡基础安全要求
7.1安全目的
电信智能卡作为实现电信应用相关的身份验证和功能模块,必须提供措施保证存储在卡中的用户数据、系统数据、系统参数、各种密钥利口令,安全算法等信息的完整性和机密性。为了实现以上安全要求,电信智能卡必领具有以下基本安全能力:(1)电信智能卡应能抵抗探针探测、光学显微镜探测等物理攻击,或应使通过此类攻击难以获得有效信息;
(2)电信智能应具有抵抗逻辑操纵或修改的结构和能力,以抵抗软件逻辑攻击:(3)电信智能卡在硬件设和软件开发上必须使具所储存或运算的机密信息不会通过分析电流波形、频率、能量消耗、功率等表征安化而泄露;(4)电信智能卡必须能够基于单个用户或已标识的用户组,为用户提供受控和受限的资源及对象的访问、操作权限;
(5)电信智能卡必须提供记录所选定安全相关事件的手段,以帮助管理及抵抗潜在攻击;(6)电信智能卡必须提供检查存储数据完整性的机制。YD/T 1625-2007
7.2芯片安全性
在无特殊要求时,电信智能卡的物埋特性应满足GB/T16649.1和GB/T16649.2的规定:电信智能卡的触点应该在卡的表,并且严格遵循GB/T14916的规定。7.2.1芯片电路分布要求
电信智能卡芯片电路的版布线应该采用多层布线,将传输敏感数据的电路和易于分析的成分(尤其是ROM)尽可能地隐蔽在较低层,而在表面层只布置不传输敏感数据的电路。在空间允许的情况下,建议添加适量的穴余单元,以增加逆向工程的难度。7.2.2总线布线要求
总线不应该在同一层走线。并建议总线不暴露在集成电路金属布线层的最外层,且在不同层有不同的走线顺序,避免呈现出某种规则,以增加逆向工程的难度。7,2.3存储器编址要求
电信智能卡操作系统中使用的逻辑存储结构应该随机地映射到物理存储器上,这样可以避免利用存储映射,重构物理存储器的数据而得到卡内关键信息。7.2.4芯片的防护设计
卡的微模块在封装的时候应该有对芯片的保护机制,以增加攻击者通过去除芯片表面封装层而探测电路设计或存储器数据的难度,如:(1)在芯片周围包围一层与主要的安全逻辑相联系的金属层,如果移走金属层将会导致芯片毁坏:
(2)在芯片最上层增加不易被腐蚀的金属氧化层(或钝化层),并月使得芯片电路中的活动组件或者连线通过该层,如果破坏该层將导致整个芯片电路失效:(3)在芯片电路设计中增加对光的敏感元器件,如果发现芯片被探测,就主动采取措施对存储器中的数据进行保护。
7.2.5低频检测
电信智能卡的核心芯片必须具有低频监测的功能,以避免攻击者通过观测低频条件下芯片的工作状态进行电路分析。当采用低于芯片正常工作预率时(参见GB/T16649.3),芯片应立即发现,并且采取相应措施,如:
(1)芯片停止正常工作:
(2)不对外输出有效数字信号:(3)如有安全审计功能应记录该低频探测的事件。7.2.6温度检测
温度检测要求芯片可以自动探测到环境温度的变化,在正带温度中应不出现芯片不能正常工作或功能混乱现象。当发现温度超出,正带工作温度范围时(参见GSM11.11),电信智能卡应采取某种机制进行自我保护,这些机制包括:
(1)主动停止工作,防止白身温度继续升高而摄害芯片的性能和功能:(2)停止对存储器的访问,防止在异常状况下访问存储器,破环内部保存的数据。7.2.7高低压检测
电信智能卡的核心芯片必须具有高低压检测的功能,以防止攻击者输人智能卡正常工作电压范参见GB/T16649.3)以外的特殊电压而使智能卡逃入测试模式等状态,当智能卡检测到输人电压超过正常6
-KAoiKAca
YD/T 1625-2007
工作电压范时,应采取相应的安全措施,如停止正常工作等,以避免卡内机密信息的泄露。7.2.8测试模式的禁用
测试模式指电信智能卡在研发过程中,预留的特殊输人输出通道,通过特定接口可以观察和使用电信智能卡内部的客种资源。
电信智能卡生产出来后必须禁止电信智能卡进人测试模式,尽可能有效抑制攻击者的重用企图;同时去掉为开发预留的测试点、硬件的跳线、标注等。7.2.9电磁场及电磁辐射
卡暴露在79500Ar/m(1000Qc)的磁场中应不会造成集成电路失效。7.2.10指令执行电压波动
卡工作的时候,内部电路输出管脚电压应持续保持相对稳定,不能因卡的处理任务不同而显露明显的电压波动特征,以避免外界通过分析电信号而获取卡的工作信息。当采用精密电流电压测试设备对正在正常工作的电信智能卡进行测量的时候,应出现如下特征:(1)卡的VCC端口电流波形无明显的特征信息;(2)卡片功耗应保持稳定,不因空闲状态还是满负荷运转状态而出现明显不同的测量值。7.2.11掉电保护设计
当操作过程中发生意外掉电,对电信智能卡再次上电后,应可按照GB/T16649.3中的传输协议要求重新启动,不应出现如下的现象:(1)卡内数据丢失或混乱;
(2)卡内文件丢失或操作安全体系受到破坏;(3)卡内程序发生混乱;
(4)直接进人掉电前电信智能卡所处的标志状态;(5)卡的电路因电路突然掉电而造成了物理损坏。7.3数据安全
7.3.1数据存储的安全要求
7.3.1.1存储数据的机密性保护
由于现代半导体逆向工程技术的发展,可以较睿易地对集成电路进行解部及分析。因此对于一些关键数据,如密钥,安全算法等应存储于EEPROM、FLASH等存储器中,以增加通过光学显微镜、电子显微镜等获取存储数据的难度。电信智能卡应能对不同安余屑性的数据提供不同访问权限的机密性保扩,不同权限的用户只能读取其权限范围内所指定的数据,如果访问超出其规定的权限,智能卡应能及时检测出来,并阻正该访问指令的继续执行和进行安全告警。7.3.1.2存储数据的完整性保护
电信智能卡应根据数据访阅权限的设置控制对数据的访问,并能够检测存储在电信智能卡内的数据是否被未授权的改。以防止出现非法修改存储数据的逻辑攻改击。当捡测到有破坏卡内存储数据完整性的操作后,电信智能卡安全功能应发出数据完整性破环的告替或恢复被破坏数据。7.3.1.3数据存储边界的安全保护电信智能卡应提供硬件控制机制保证数据都能存储在设定的存储边界内。-
YD/T 1625-2007
7.3.2数据传输的完整性要求
电信暂能卡在与外接终端交互过程中,应保证送出数据的完整性,并对读人的具有完整性需求的数据进行完整性校验。当读入数据因为数据错误等原因而不能通过数据完整性校验时,电信智能卡应采取以下相应的动作:
(1)严格遵循GB/T16649.3的错误检测与数据重传要求;(2)对送人该数据的指令不予执行,并产生一个数据不正确或长度有误的告警。7.4访问控制要求
7.4.1基于安全属性的访问控制
电信智能卡必须支持并执行下面的访问控制策略以决定访问的操作是否被允许。(1)权限管理:定义各种访问数据文件的权限,只有获得相应的访问权限才可以对数据文件进行对应的操作,如读、更新、删除、删除恢复等操作。(2)数据装裁:在卡片发行阶段,所有载入电信智能卡的数据都要求有授权管理者的授权,在用户使用阶段所有裁人电信智能卡的应用都应该获得用户授权。(3)访问级别:数据访问应该根据需要设定一定的等级权限,以应对不同级别的授权用户,数据访间等级策略:-旦确定,将适用于所有的访问操作且不允许进行修改(具体规则参见附录A)(4)文件控制:建立文件结构的过程和指令,包括文件访问条件,都成受其访剧控制规则的约束,(5)保密:电信智能卡必须保证口令、密钥、算法等保密数据的安全存储。7.4.2操作系统的访问控制
除开发、发行阶段以外,不应提供操作系统代码读写的权限。7.4.3文件的访问控制
以文件形式存储在智能卡中的数据通过电信智能卡指令系统提供的接口供外界访问。电信智能卡中每个文件对丁每个指令都有特定的访间条件。任何指令在开始执行前,必须满足最近选择的文件的相关访问条件。
每个件:
一读操作与寻址定位操作的访问条件是相同的:一文件体系中按熙合法路径选取相匹配的根月录、应用目录或数据文件和获取与当前文件目录(根目录或应用国录)有关信息的指令的访问条件是ALW。各级访问条件之间是独立的例如,即使有正确PIN2码。也不允许执行需要PIN1码支持的动作。满足访问条件的操作其有效性在整个会话过程中都将保持。根月录文件信息中应包含PIN的状态信息,以决定PIN码是否可用,若PIN码没有初始化,则关于PIN码的指令将不能使册。
7.4.4特殊数据访问要求
这里的特殊数据主要是·些安全功能数据,包括密钥、算法等。除授权管理者外,操作系统不向用户提供访间此类数据的权限,只有操作系统才可以调用该数据,比如只有在GSM系统鉴权的时候操作系统内部才调用密钢KI来产生鉴权响应。7.4.5访问控制口令的特征
电信智能卡规定口令宁符仅能取自阿拉伯数字集0~9,且口令长度位数为8位。对于不符合规定的口令输人,智能卡应尚外接终端返回个错误告警8
-niKAoNiKAca
YD/T1625-2007
电信智能卡上的PIN码必须指定一个PUK码作为解锁码,用了PIN码验证错误被锁后的解锁。PIN码分为PIN1和PIN2,对应于访问控制权限中的 CHVI和CHV2。7.4.6访问控制口令的操作
7.4.6.1PIN码的验证
PIN码验证尝试次数的阈值为3,当连续3次验证错误后,PIN码将被锁,先前出这个PTN授予的访问权将刻失去,但提供PUK码解锁的人口:对于PIN码验证尝试次数记录的操作仅仅包括减操作和置位操作两种,也就是说该记录只可能单向递减,置位操作必须满足的条件是正确的PUK码或者正确的 PIN 码本身。
在对PIN码进行验证时,如果PIN码错误,电信智能卡应将PIN码验证尝试次数记录减一,并返间验证错误的告警信息,当在阅值范用内输人正确的PIN码并校验通过后,该记录被立即置位。7.4.6.2PIN码的解锁
PUK码包括PUK1和PUK2,分别用于PIN1码和PIN2码的解锁。PUK码解锁尝试次数的阅为10,当连续10次解馈错误后,PUK码将被锁死。对于PUK码解锁尝试次数记录的操作仅仅包括减操作和置位操作两种,也就是说该记录只可能单向递减,置位操作的条件是输人正确的PUK码。当电信智能卡PIN码被锁时,必须输人正确的PUK码才能解锁。输人PUK码后,电信智能卡验证PUK码的正确性,如果正确热行解馈操作,将PUK码解锁尝试次数记录置位,否则智能卡将向终端返回一个PUK码解锁错误的告警信息,并将PUK码解馈尝试欲数减一。7.4.6.3PIN码的修改
PIN码的修改叮以通过PIN码修改指令和PN码解锁指令来实现。对于PIN码修改指令,电信智能卡应先对旧的PIN码进行验证,PIN码的验证要求见7.4.6.1。如果在PIN码验证试次数阈值范围内输入正确的旧PIN码,PIN码验证尝试次数记录将被置位,并且新的PIN码生效。
在PIN码被锁的情况下,PIN码的解指令中包含:个新的 PIN码,如果解锁成功,卿新的PIN码生效,PIN码修改成功。
7.4.6.4PIN1码状态的改变
PINI码的状态包括使能和不使能两种,相应的,其状态的改变也包括从使能状态改变成不使能状态以及从不使能状态改变成使能状态两种。在进行状态改变时,电信智能卡应先对PIN1码进行验证,PIN1码的验证要求见7.4.6.1。如巢在PIN1码验证尝试次数阈值范围内输人正确的PIN1码,PIN1码验证尝试饮数记录将被置位,并且状态的改变生效。
电信智能下在发行前,必须把PINI的初始状态设置为使能。7.5安全审计
电信智能卡的安全审计是指对指定操作的错误尝试次数及相关安全事件进行记录、分析的过程。通过分析记录结果,电信智能卡可判断发生了哪些安全相关活动,并采取预先设定的安个施。:另外,捡香审计记录结果还可以帮助管理者分析潜在攻击,并且使得持卡者对他们所执行的任何与安全相关的操作负责。
电信智能卡必须具备与以下安全操作相关的审计记录生成、存储、分析等能力以及相应的结果处理能力:
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国通信行业标准
YD/T1625-2007
电信智能卡安全技术要求
Security requirements for smart card in telecommunication2007-04-16 发布
2007-10-01实施
中华入民共和国信息产业部发布前言·
范围·
规范性引用文件
术语和定义
缩略语
概述·
与电信智能卡相关的安全威胁
对电信智能卡的物理类安全威胁:对电信智能卡的逻辑类安金威胁:与不充分说明相关的安全威胁,有关密码功能的威胁·
监视信息的安全威胁
6.6其他威胁
7电信智能卡基础安全要求
安全日的·
芯片安全属性
数据安全
访问控制要求
安全审计·
7.6安全功能管理·
7.7其他安全要求
8电信智能卡安全应用要求
8.1OTA 卡安全应用要求,
8.2Java卡安全应用要求
8.3WIM卡安全应用要求,
附录A(资料性附录)文件访问条件的级别设置·录
-KAoKAca
YD/T 1625-2007
YD/T1625-2007
本标准根据我国实际国情和各企业实际状况制定,并在制定过程中参考厂GBT18336(信息技术安全技术信息技术安全性评估准则》本标准的附录A为资料性附录。
本标准由中国通信标准化协会提出并归口。本标起草单位:大唐电信科技产业集团本标推主要起草人:穆擎骊赖华恭耿静1范围
电信智能卡安全技术要求
-ikAoiKAca
YD/T 1625-2007
本标准规定了电信智能卡产品在防物理攻击、数据存储、访问控制、应用等方面的安全技术要求。本标准适用于电信领域中智能卡产品。2规范性引用文件
下列文件的条款通过本标准的引用而成为本标谁的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。GB/T14916识别卡物理特性(ISO/TEC 7810,Identification cards-Physical characteristics,IDT)GB/T16649.1识别卡带触点的集成电路卡第1部分:物理特性(ISO/IEC7816-1,Identificationcards - Integrated circuit(s) curds with contacts - Part I: Physical characteristics , MOD )GBT16649.2识别卡带触点的集成电路卡第2部分:触点的尺寸和位置(ISO/IEC7816-2,Information technology - Identification cards - Integraled circuit(s) cards with contacts - Part 2: Dimensions andlocation of the contacts, IDT)GBT16649.3识别卡带触点的集成电路卡第3部分:电信号和传输协议(ISO/EC7816-3Information cards - Identification cards - Integrated circuit(s) cards with contacts - Part 3: Electronice signals andtransmissionprotocols,DT)
ETSIGSM03.48欧洲数字蜂窝通信系统(第2+阶段):SIM应用工具包的安全机制ETSIGSMI1.1I欧洲数字蜂窝通信系统(第2+阶段):用户识别模块一移动设备(SIM-ME)接口规范(5V)
ETSIGSM11.14欧洲数字蜂窝通信系统(第2+阶段):用户识别模块一移动设备(SIM-ME)接口的SIM应用工具包规范
3术语和定义
下列术语和定义适用于本标准。3.1审计 audt
对指定操作的错误尝试次数或相关安全事件进行记录的过程。3.2 用户 user
对电信替能卡进行操作的实体,此实体不具有能够影响电信智能卡安全策略执行的特权,3.3接权用户authorizeduser
依据安全策略可以执行某项操作的用户。3.4角色role
一组预先确定的规则,用于在用户和电信智能长之间建立许可的交互。3.5安全策略securitypolicy
YD/T1625-2007
一组规则,规定了电信智能卡中的资产管理、保护和分配。3.6授权管理者authonizedadministrator具有旁路或绕过电信智能卡安全策略权限的合法组织和1个体。3.7安全功能控制范围securityfunctionscopeofcontrol电信智能卡中受安全策略控制的相互作用的集合。3.8访问控制 accesscontrol
一种防止资源被未授权用使用的安全策略。3.9安全事件securityevent
一种在电信智能卡资产管理、保护和分配过程中其有直接或潜在危害性的操作或行为。3.10机密性confidentiality
信息不提供给或不泄露给未授权方的属性。3.11完整性 integrity
信息不被米授权方变更或破坏的属性。3.12数宇签名digitalsignature一种非对称加密数据变换,它使得接收方能够验证数据的可错性和完整性,保护发送和接收的数据不被第三方伪造,同时对于发送方来说,还可用以防止接收方的伪造。3.13私有密钥privatekey
一个实体的非对称密钥对中仅供实体自身使用的密钥,在数字签名模式中,私有密钥用于签名功能。
3.14公共密钥publickey
一个实休的非对称密钥对中可以公开的密钥,在数字签名模式中,公共密钙用于验证功能。3.15 认证中心 certificate authority一个可信的第三方认证机构,负责向用户签发含公共密销信息的证书,该证书具有不可伪造性。3.16会话 session
通信双方之间的逻辑连接。
3.17应用 application
指电信智能卡上用于实现业务功能的文件组或程序。3.18用户访问认证userauthentication对用户身份标识的有效性进行验证和测试的过程。3.19安全功能数据 securefunction data与实现电信智能卡安全功能相关的安全元素集合。4
缩略语
下列缩略语适用于本标准:
Access condition to an EF which is under thecontrol of the authority which creates this fileAlways
ApplicationFrogramrning Interface智能卡授权管理者所具有的文件访,同权限
没有任何限制的文件访问权限
应用程序接口
CHViCHV2Card Holder Verification InfomationCos
PIN/PIN2
PIN-NR
PUK/PUK2
5概述
Card Operating System
Dedicated File
Elementury File
-KAoiKAca-
YD/T 1625-2007
卡持有者的验证信息
卡操作系统
专有文件
基本文件
Java CardApplicaltionPrograumming InerfaceJava卡应用程疗接口Java Card Runtime EnvironmentJava Card Virtual Machine
Master File
Over The Air
Personal Identity Number
PIN-General
PIN-Non Rcpudiation
Public Key Infrastructure
PIN Unblock Key
Transport Layer Security
Wircless Application ProtocolWireless Identity Module
Wireless Transport Layer SecurityJava卡运行坏境
Java卡虚拟机
主文件
禁小访间文件的安全属性标志
空中下载
用户身份识别号
通用PIN码
用于不可否认交易的PIN码
公开密钥基础结构
PIN解锁码,分别对应PIN/PIN2
传输层安全协议
无线应用协议
无线识别模块
无线传输层安全协议
电信智能卡是应用于电信领域,集成芯片、软件及应用的通信用存储性安全产品,其主要作用是存储网络或用户个人的安全数据,并配合网络进行身份鉴权及其他安全应用。因此,电信智能卡必须确保数据存储的安全性、可带性和完整性;同时电信智能卡作为一个独立的实体,也应该加强自身的安全防护技术,以提高数据存储器的可靠性,芯片模块的稳定性、抗于扰性等。与电信智能卡相关的安全威胁Www.bzxZ.net
电信智能卡应当考虑以下各类安全威胁:一-对电信智能卡的物理类安金威胁;一对电信智能卡的逻辑类安全威胁;一与不充分说明相关的安全威胁:一有关密码功能的安全威胁:
一监视信息的安全威胁;
一其他安全威胁。
6.1对电信智能卡的物理类安全威胁攻击者可能对电信智能卡芯片实施半导体逆向工程技术等物埋分析手段获取电信智能卡的设计信息和其所存储的安余信息等内穿。3
YD/T 1626-2007
6.2对电信智能卡的逻辑类安全威肋6.2.1用户误操作
一个电信智能卡的授权用户可能因为引人了错误数据或不适当操作等用户误操作前降低了电信智能卡的安全防护能力。
6.2.2未授权操作
攻击者可能利用对电信智能卡的未授权操作而刺探或修改电信智能卡的安全特性,如攻击者在电信智能卡的几个端口加入不同的脉冲序列,试图使卡的安全功能减弱或进人一种不稳定的状态,从而让卡执行预先设计好的未授权操作,绕过卡的安全措施的保扩。6.2.3末授权装裁
攻击者可能利用未授权程序来探或修改电信智能卡的安全功能,未授权程序可能包括在正常操作期间不希望执行的合法程序,也可能包括用于有意刺探或修改电信智能卡安全功能的未授权装载程序,如痴萃程序。
6.2.4命令操纵
攻击者可能使用智能卡操作指令米揭示存储器内容。这种操纵是基于对指令或功能的正确使用,但指令的要求或格式超出了正带使用范围。例如试图读取超出寄存器限制范围的数据或向受保护的存储区域写人数据,以达到威胁安全性能的月的。6.2.5强制重置
攻击者可通过提前中止电信智能卡与读写设备之间的通信、插入中断或选择等手段使电信智能卡进入不安全状态。
6.2.6缺陷数据输入攻击
攻击者可能针对电信智能卡特定的应用或安全算法输人缺陷数据(特定或错误的数据等),并观察电信智能卡如何对缺陷数据输人做出的响应来获取控制信息和与安全相关的信息。6.2.7数据装载故障
攻击者可能在待装载数据中意地生成错误求威胁电信智能卡的安全。比如在问电信智能卡中装载应用程序等数据的阶段,数据可能会被政击者修改或破坏,其中任何一种情况都可能是刺探智能卡的安全功能或暴露安全信息的非法操作。6.3与不充分说明相关的安全威胁6.3.1对初始使用权的欺骗
电信智能卡的发行过程包括各种标志的设定,这些标志可用在卡的内部或用来问外部发行实体标明该卡生效。如果未经过授权许可而试图使用尚未发行的卡会导致欺骗使用。6.3.2身份冒究
电信智能卡应允许特定的角色获取特定的权限。胃充已获得相应权限的用户会导致安全功能或安全信息的暴露。
6.3.3非法访问
每个授权角色都有特定的权限来访问电信智能卡中指定的地址区域及其包含的信息,如果访问超出规定权限,会导致安全相关信息的暴露。6.3.4数据空间搜索
攻击者可利用对数据空间的重复搜索以确定重要信息。这种威胁的特点是重复采用有效的指令和有4
效的要求范闹来获取尽可能多的数据空间中的信息。6.3.5审计失败
KAoKAca-
YD/T 1625-2007
由于审计失败,攻击者可通过重复刺探以揭示存储器内容或改变电信智能卡中安全功能的关键要素。6.4有关密码功能的威胁
攻击者可利用编码/解码函数实施密码攻击或穷举攻击来攻破电信智能卡的安全功能。6.5监视信息的安全威
6.5.1输入/输出操纵
改击者可通过操纵集电路的管脚并监测结巢以揭示重要安全信息。该类操作涉及控制I/O、时钟、电源以直接获取重要安全信息或推导出该类信息。这种威胁的特点是仅仅监视信息或插入选定的符合预期信号特性的错误就可以达到获安全信息的目的。6.5.2信息泄漏
攻击者可对正带使用期间电信智能卡泄漏的信息加以利用。该类泄漏包括功耗、IO特性、时钟频率的变化或所需处理时间的变化等。这可理解为一个隐蔽的传输途径,但与操作参数的测量密划相关。这些泄漏信息可通过直接(接触)测是或测量辐射信号得到,并且可能与正在执行的操作有关。6.6其他威胁
6.6.1联合攻击
攻击者可能会综合利用多种方法来对电信智能卡进行攻击:比如攻击者对不同操作所获取的知识进行综合,获得电信智能卡的相关安全信息:在电信智能卡不稳定或其安全功能的某些方面下降时操纵输人管脚的同时监测输出管脚的变化。6.6.2克隆
攻击者可能通过电信智能卡本身的详细说明或者通过非法占有的智能卡设计信息克隆部分或全部电信智能卡的功能以开发进:-步的攻击于段。7电信智能卡基础安全要求
7.1安全目的
电信智能卡作为实现电信应用相关的身份验证和功能模块,必须提供措施保证存储在卡中的用户数据、系统数据、系统参数、各种密钥利口令,安全算法等信息的完整性和机密性。为了实现以上安全要求,电信智能卡必领具有以下基本安全能力:(1)电信智能卡应能抵抗探针探测、光学显微镜探测等物理攻击,或应使通过此类攻击难以获得有效信息;
(2)电信智能应具有抵抗逻辑操纵或修改的结构和能力,以抵抗软件逻辑攻击:(3)电信智能卡在硬件设和软件开发上必须使具所储存或运算的机密信息不会通过分析电流波形、频率、能量消耗、功率等表征安化而泄露;(4)电信智能卡必须能够基于单个用户或已标识的用户组,为用户提供受控和受限的资源及对象的访问、操作权限;
(5)电信智能卡必须提供记录所选定安全相关事件的手段,以帮助管理及抵抗潜在攻击;(6)电信智能卡必须提供检查存储数据完整性的机制。YD/T 1625-2007
7.2芯片安全性
在无特殊要求时,电信智能卡的物埋特性应满足GB/T16649.1和GB/T16649.2的规定:电信智能卡的触点应该在卡的表,并且严格遵循GB/T14916的规定。7.2.1芯片电路分布要求
电信智能卡芯片电路的版布线应该采用多层布线,将传输敏感数据的电路和易于分析的成分(尤其是ROM)尽可能地隐蔽在较低层,而在表面层只布置不传输敏感数据的电路。在空间允许的情况下,建议添加适量的穴余单元,以增加逆向工程的难度。7.2.2总线布线要求
总线不应该在同一层走线。并建议总线不暴露在集成电路金属布线层的最外层,且在不同层有不同的走线顺序,避免呈现出某种规则,以增加逆向工程的难度。7,2.3存储器编址要求
电信智能卡操作系统中使用的逻辑存储结构应该随机地映射到物理存储器上,这样可以避免利用存储映射,重构物理存储器的数据而得到卡内关键信息。7.2.4芯片的防护设计
卡的微模块在封装的时候应该有对芯片的保护机制,以增加攻击者通过去除芯片表面封装层而探测电路设计或存储器数据的难度,如:(1)在芯片周围包围一层与主要的安全逻辑相联系的金属层,如果移走金属层将会导致芯片毁坏:
(2)在芯片最上层增加不易被腐蚀的金属氧化层(或钝化层),并月使得芯片电路中的活动组件或者连线通过该层,如果破坏该层將导致整个芯片电路失效:(3)在芯片电路设计中增加对光的敏感元器件,如果发现芯片被探测,就主动采取措施对存储器中的数据进行保护。
7.2.5低频检测
电信智能卡的核心芯片必须具有低频监测的功能,以避免攻击者通过观测低频条件下芯片的工作状态进行电路分析。当采用低于芯片正常工作预率时(参见GB/T16649.3),芯片应立即发现,并且采取相应措施,如:
(1)芯片停止正常工作:
(2)不对外输出有效数字信号:(3)如有安全审计功能应记录该低频探测的事件。7.2.6温度检测
温度检测要求芯片可以自动探测到环境温度的变化,在正带温度中应不出现芯片不能正常工作或功能混乱现象。当发现温度超出,正带工作温度范围时(参见GSM11.11),电信智能卡应采取某种机制进行自我保护,这些机制包括:
(1)主动停止工作,防止白身温度继续升高而摄害芯片的性能和功能:(2)停止对存储器的访问,防止在异常状况下访问存储器,破环内部保存的数据。7.2.7高低压检测
电信智能卡的核心芯片必须具有高低压检测的功能,以防止攻击者输人智能卡正常工作电压范参见GB/T16649.3)以外的特殊电压而使智能卡逃入测试模式等状态,当智能卡检测到输人电压超过正常6
-KAoiKAca
YD/T 1625-2007
工作电压范时,应采取相应的安全措施,如停止正常工作等,以避免卡内机密信息的泄露。7.2.8测试模式的禁用
测试模式指电信智能卡在研发过程中,预留的特殊输人输出通道,通过特定接口可以观察和使用电信智能卡内部的客种资源。
电信智能卡生产出来后必须禁止电信智能卡进人测试模式,尽可能有效抑制攻击者的重用企图;同时去掉为开发预留的测试点、硬件的跳线、标注等。7.2.9电磁场及电磁辐射
卡暴露在79500Ar/m(1000Qc)的磁场中应不会造成集成电路失效。7.2.10指令执行电压波动
卡工作的时候,内部电路输出管脚电压应持续保持相对稳定,不能因卡的处理任务不同而显露明显的电压波动特征,以避免外界通过分析电信号而获取卡的工作信息。当采用精密电流电压测试设备对正在正常工作的电信智能卡进行测量的时候,应出现如下特征:(1)卡的VCC端口电流波形无明显的特征信息;(2)卡片功耗应保持稳定,不因空闲状态还是满负荷运转状态而出现明显不同的测量值。7.2.11掉电保护设计
当操作过程中发生意外掉电,对电信智能卡再次上电后,应可按照GB/T16649.3中的传输协议要求重新启动,不应出现如下的现象:(1)卡内数据丢失或混乱;
(2)卡内文件丢失或操作安全体系受到破坏;(3)卡内程序发生混乱;
(4)直接进人掉电前电信智能卡所处的标志状态;(5)卡的电路因电路突然掉电而造成了物理损坏。7.3数据安全
7.3.1数据存储的安全要求
7.3.1.1存储数据的机密性保护
由于现代半导体逆向工程技术的发展,可以较睿易地对集成电路进行解部及分析。因此对于一些关键数据,如密钥,安全算法等应存储于EEPROM、FLASH等存储器中,以增加通过光学显微镜、电子显微镜等获取存储数据的难度。电信智能卡应能对不同安余屑性的数据提供不同访问权限的机密性保扩,不同权限的用户只能读取其权限范围内所指定的数据,如果访问超出其规定的权限,智能卡应能及时检测出来,并阻正该访问指令的继续执行和进行安全告警。7.3.1.2存储数据的完整性保护
电信智能卡应根据数据访阅权限的设置控制对数据的访问,并能够检测存储在电信智能卡内的数据是否被未授权的改。以防止出现非法修改存储数据的逻辑攻改击。当捡测到有破坏卡内存储数据完整性的操作后,电信智能卡安全功能应发出数据完整性破环的告替或恢复被破坏数据。7.3.1.3数据存储边界的安全保护电信智能卡应提供硬件控制机制保证数据都能存储在设定的存储边界内。-
YD/T 1625-2007
7.3.2数据传输的完整性要求
电信暂能卡在与外接终端交互过程中,应保证送出数据的完整性,并对读人的具有完整性需求的数据进行完整性校验。当读入数据因为数据错误等原因而不能通过数据完整性校验时,电信智能卡应采取以下相应的动作:
(1)严格遵循GB/T16649.3的错误检测与数据重传要求;(2)对送人该数据的指令不予执行,并产生一个数据不正确或长度有误的告警。7.4访问控制要求
7.4.1基于安全属性的访问控制
电信智能卡必须支持并执行下面的访问控制策略以决定访问的操作是否被允许。(1)权限管理:定义各种访问数据文件的权限,只有获得相应的访问权限才可以对数据文件进行对应的操作,如读、更新、删除、删除恢复等操作。(2)数据装裁:在卡片发行阶段,所有载入电信智能卡的数据都要求有授权管理者的授权,在用户使用阶段所有裁人电信智能卡的应用都应该获得用户授权。(3)访问级别:数据访问应该根据需要设定一定的等级权限,以应对不同级别的授权用户,数据访间等级策略:-旦确定,将适用于所有的访问操作且不允许进行修改(具体规则参见附录A)(4)文件控制:建立文件结构的过程和指令,包括文件访问条件,都成受其访剧控制规则的约束,(5)保密:电信智能卡必须保证口令、密钥、算法等保密数据的安全存储。7.4.2操作系统的访问控制
除开发、发行阶段以外,不应提供操作系统代码读写的权限。7.4.3文件的访问控制
以文件形式存储在智能卡中的数据通过电信智能卡指令系统提供的接口供外界访问。电信智能卡中每个文件对丁每个指令都有特定的访间条件。任何指令在开始执行前,必须满足最近选择的文件的相关访问条件。
每个件:
一读操作与寻址定位操作的访问条件是相同的:一文件体系中按熙合法路径选取相匹配的根月录、应用目录或数据文件和获取与当前文件目录(根目录或应用国录)有关信息的指令的访问条件是ALW。各级访问条件之间是独立的例如,即使有正确PIN2码。也不允许执行需要PIN1码支持的动作。满足访问条件的操作其有效性在整个会话过程中都将保持。根月录文件信息中应包含PIN的状态信息,以决定PIN码是否可用,若PIN码没有初始化,则关于PIN码的指令将不能使册。
7.4.4特殊数据访问要求
这里的特殊数据主要是·些安全功能数据,包括密钥、算法等。除授权管理者外,操作系统不向用户提供访间此类数据的权限,只有操作系统才可以调用该数据,比如只有在GSM系统鉴权的时候操作系统内部才调用密钢KI来产生鉴权响应。7.4.5访问控制口令的特征
电信智能卡规定口令宁符仅能取自阿拉伯数字集0~9,且口令长度位数为8位。对于不符合规定的口令输人,智能卡应尚外接终端返回个错误告警8
-niKAoNiKAca
YD/T1625-2007
电信智能卡上的PIN码必须指定一个PUK码作为解锁码,用了PIN码验证错误被锁后的解锁。PIN码分为PIN1和PIN2,对应于访问控制权限中的 CHVI和CHV2。7.4.6访问控制口令的操作
7.4.6.1PIN码的验证
PIN码验证尝试次数的阈值为3,当连续3次验证错误后,PIN码将被锁,先前出这个PTN授予的访问权将刻失去,但提供PUK码解锁的人口:对于PIN码验证尝试次数记录的操作仅仅包括减操作和置位操作两种,也就是说该记录只可能单向递减,置位操作必须满足的条件是正确的PUK码或者正确的 PIN 码本身。
在对PIN码进行验证时,如果PIN码错误,电信智能卡应将PIN码验证尝试次数记录减一,并返间验证错误的告警信息,当在阅值范用内输人正确的PIN码并校验通过后,该记录被立即置位。7.4.6.2PIN码的解锁
PUK码包括PUK1和PUK2,分别用于PIN1码和PIN2码的解锁。PUK码解锁尝试次数的阅为10,当连续10次解馈错误后,PUK码将被锁死。对于PUK码解锁尝试次数记录的操作仅仅包括减操作和置位操作两种,也就是说该记录只可能单向递减,置位操作的条件是输人正确的PUK码。当电信智能卡PIN码被锁时,必须输人正确的PUK码才能解锁。输人PUK码后,电信智能卡验证PUK码的正确性,如果正确热行解馈操作,将PUK码解锁尝试次数记录置位,否则智能卡将向终端返回一个PUK码解锁错误的告警信息,并将PUK码解馈尝试欲数减一。7.4.6.3PIN码的修改
PIN码的修改叮以通过PIN码修改指令和PN码解锁指令来实现。对于PIN码修改指令,电信智能卡应先对旧的PIN码进行验证,PIN码的验证要求见7.4.6.1。如果在PIN码验证试次数阈值范围内输入正确的旧PIN码,PIN码验证尝试次数记录将被置位,并且新的PIN码生效。
在PIN码被锁的情况下,PIN码的解指令中包含:个新的 PIN码,如果解锁成功,卿新的PIN码生效,PIN码修改成功。
7.4.6.4PIN1码状态的改变
PINI码的状态包括使能和不使能两种,相应的,其状态的改变也包括从使能状态改变成不使能状态以及从不使能状态改变成使能状态两种。在进行状态改变时,电信智能卡应先对PIN1码进行验证,PIN1码的验证要求见7.4.6.1。如巢在PIN1码验证尝试次数阈值范围内输人正确的PIN1码,PIN1码验证尝试饮数记录将被置位,并且状态的改变生效。
电信智能下在发行前,必须把PINI的初始状态设置为使能。7.5安全审计
电信智能卡的安全审计是指对指定操作的错误尝试次数及相关安全事件进行记录、分析的过程。通过分析记录结果,电信智能卡可判断发生了哪些安全相关活动,并采取预先设定的安个施。:另外,捡香审计记录结果还可以帮助管理者分析潜在攻击,并且使得持卡者对他们所执行的任何与安全相关的操作负责。
电信智能卡必须具备与以下安全操作相关的审计记录生成、存储、分析等能力以及相应的结果处理能力:
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。