1、GB/TXXXXXXXXICS35.040L80中华人民共和国国家标准GB/T XXXXXXXXX信息安全技术安全处理器技术规范Information Security Technology Technical Specifications for Security Processor(征求意见稿)在提交反馈意见时,请将您知道的相关专利与支持性文件一并附上XXXX - XX - XX发布XXXX - XX - XX实施III GB/TXXXXXXXX目 次前 言II1范围12规范性引用文件13术语和定义14符号与缩略语45安全处理器描述55.1安全处理器概述55.2安全处理器结构特征65.3安
2、全处理器安全机制95.4安全处理器所处环境95.5受保护资产106威胁和风险116.1威胁116.2组织安全策略136.3假设137安全目的147.1安全处理器物理防护147.2安全处理器逻辑防护147.3安全处理器应用防护157.4安全处理器环境安全目的158扩展组件定义158.1族FMT_LIM定义159安全功能要求169.1概述169.2描述1810安全保障要求2510.1概述2510.2描述26附 录 A(规范性附录)威胁和风险定义理由39附 录 B(规范性附录)安全目的理由40附 录 C(规范性附录)安全要求理由43附 录 D(规范性附录)组件依赖关系理由46附 录 E(资料性附录)
3、程序列表和数据列表描述51前 言本标准按照GB/T1.1-2009标准化工作导则 第一部分:标准的结构和编写给出的规则起草。本标准由全国信息安全标准化技术委员会(SAC/TC 260)提出并归口。本标准起草单位:北京多思科技工业园股份有限公司、中国信息安全测评中心、国家密码管理局商用密码检测中心、华北电力大学、公安部第三研究所、中国电子信息产业发展研究院、杭州华澜微电子股份有限公司。本标准主要起草人:刘大力、李大为、罗鹏、张翀斌、石竑松、杨永生、曹春春、夏宏、王闯、韦安垒、杨元原、王竹晓、贾静平、李梦菊、杨帆、王州府、柳会鹏、李虹阳、魏晓伟。51信息安全技术 安全处理器技术规范1 范围本标准规
4、范了安全处理器的概念模型、提出了对安全处理器进行安全保护所需要的安全技术要求,涵盖了安全问题定义、安全目的、安全功能要求、安全保障要求等内容。本标准适用于安全处理器产品的研制和开发,也可用于指导该类产品的测试、评估和采购。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件,凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 18336-2015(所有部分) 信息技术 安全技术 信息技术安全性评估准则 3 术语和定义GB/T 25069界定的以及下列术语和定义适用于本文件。3.1安全处理器 security proc
5、essor拥有独立的逻辑控制模块,用于实施物理、逻辑、应用防护以及标识安全功能服务控制的特定芯片,可以根据物理、逻辑、应用感知及安全警告,动态调整逻辑结构、重组控制文件(程序)编码,随机改变自身执行环境,在实现等价功能的同时,保障自身安全和提供对外服务安全。3.2物理防护 physical protection采用安全封装和安全布线等方式,利用物理感知功能,对芯片工作环境(包括电磁、热量、温度、频率、电压等)监测并处理,以达到阻止物理威胁的安全能力。3.3逻辑防护 logic protection采用动态逻辑结构和随机可变指令编码的功能,使逻辑结构多样化、动态化,以达到阻止逻辑威胁的安全能力。
6、3.4应用防护 application protection采用可信计算和密码体系相结合的方式,对程序和数据进行保护,以达到阻止应用威胁的安全能力。3.5程序列表 program list存在于安全处理器内部,用于存放和管理程序的结构体。3.6数据列表 data list存在于安全处理器内部,用于存放和管理数据的结构体。3.7资源配置表 resource configuration list存在于安全处理器内部或外部存储空间,用于管理和配置安全处理器内部资源的使用情况。3.8固件系统 firmware system指控制和协调安全处理器及外部设备,支持应用软件开发和运行的系统,是无需用户干预的
7、各种程序的集合。3.9初始化数据 initialization data在安全处理器制造阶段写入的与制造有关的数据,如安全处理器的标识号。3.10个性化数据 personal data在安全处理器应用阶段产生的特征数据。3.11物理随机源 physical random source基于物理噪声所具有的不确定性而产生随机序列的源部件。3.12物理接口 physical interface涉及各种传输介质或传输设备的接口。3.13逻辑接口 logic interface相对物理接口而言,能够实现数据交换功能但在物理上不存在,需要通过配置来建立的接口。3.14源文件 source file安全处理
8、器研制过程中涉及的固件源代码、版图、HDL源代码等文件。3.15威慑攻击 deterrent against attack威慑攻击是指运用个性化安全处理,增加攻击者攻击难度,极大增加攻击成本,使攻击成本远远大于攻击效益,迫使攻击者放弃攻击,是安全处理器本身提升安全性一种效应。3.16 安全域 security domain在安全处理器内,由控制处理器内核自行使用或供应用程序使用的控制信息、敏感信息、密钥信息等有关处理器安全的存储实体。3.17 功能部件群组 functional component group在安全处理器内,所有功能IP的集合,包括运算部件、密码部件、存储部件、数据通路部件等。
9、3.18资源控制器 resource controller定义安全处理器中各个处理器内核的操作关系,并将功能部件群组中的功能部件分配给各个处理器内核,完成逻辑与指令的静态配置和动态重构,实现个性化安全处理器设计,即完成协调和指挥整个资源在安全处理器的操作。4 符号与缩略语下列缩略语适用于本文件。CM:配置管理 (Configuration Management)EAL:评估保障级(Evaluation Assurance Level)EEPROM:电可擦除可编程只读存储器(Electrically-Erasable Programmable Read-only Memory)HDL:硬件描述语
10、言(Hardware Description Language)IC:集成电路(Integrated Circuit)I/O:输入/输出(Input/Output)IP:知识产权(Intellectual Property)IT:信息技术(Information Technology)Nand Flash:非与型闪存存储器(Not And Flash)Nor Flash:非或型闪存存储器(Not Or Flash)PCIE: 一种高速串行计算机扩展总线标准(peripheral component interconnect express) PP:保护轮廓(Protection Profile
11、)RAM:随机存取存储器(Random-access memory)ROM:只读存储器(Read-only memory)ST:安全目标(Security Target)TOE:评估对象(Target of Evaluation)TSF:TOE安全功能(TOE Security Functionality)SPI:串行外设接口(Serial Peripheral Interface)5 安全处理器描述5.1 安全处理器概述处理器是所有计算机系统和信息系统的最底层硬件平台,安全处理器为构建的计算机系统和信息系统提供一个安全可信的硬件平台支撑。安全处理器具备的典型特征如下:a) 拥有独立的逻辑控制
12、模块,可以实施物理防护(感知、预警、自损、自锁、自毁等)、逻辑防护(动态架构、自我修复等)、应用防护(资源度量、认证、密码服务等),以及标识安全功能服务控制;b) 内部多个不同指令集的处理器内核,各自独立译码控制,且各自独立运行;c) 可以根据物理、逻辑、应用感知及安全警告,动态调整逻辑结构、重组控制文件(程序)编码,随机改变自身执行环境;d) 具备保障自身安全(包括可自检、自验证、自修复等)和保障应用服务安全的能力;e) 实现个性化安全处理的威慑攻击效应。安全处理器不但包括集成电路硬件实体,还包括由集成电路设计者/生产者加入的固件,固件也属于安全处理器的组成部分。图1安全处理器的一般结构及运
13、行环境固件的作用是连接硬件和软件资源,实施逻辑配置、系统冷启动、程序导引/度量、核心资源(包括硬件和软件)调度、程序列表和数据列表的管理、初始化及安全控制等功能。它一般包括硬件接口驱动模块、文件管理模块、安全支撑模块和通信处理模块等。其中安全支撑模块提供安全配置、安全事务处理及密码支持等功能,以便为其他模块的安全执行提供支持,来保护安全处理器的内部数据及安全功能。文件管理模块和通信处理模块为基础模块,主要用于实现对应用功能的支持。硬件实体是指安全处理器结构及相关集成电路设计以芯片为形式的具体体现,其作用是连接固件支撑软件运行,实施数据处理、运算处理、安全处理等自身管理控制功能及用户应用需求功能
14、。安全处理器的一般结构及运行环境如图1所示。在安全处理器运行环境中,用户和(TOE的开发、个性化及应用阶段的)管理者可通过固件进行交互。用户通过使用硬件实体和固件来实现用户的需求。管理者可通过安全处理器中的固件(或通过芯片的专用接口或电路)对芯片进行基本的配置。另一方面,攻击者可通过利用处理器固件的接口或者探测处理器的电路等方式来实施攻击,破坏安全处理器的敏感数据信息或滥用其安全功能。相应地,安全处理器具备阻止这些破坏的能力以保障安全处理器的数据和功能的安全。5.2 安全处理器结构特征处理器一般包括译码器、控制器、运算器等部件。除了处理器通常包括的部件外,安全处理器还包括专门的用于实现安全保障
15、支撑的部件和设计。本节重点描述安全处理器的逻辑防护设计。安全处理器在结构上具备以下特点:a) 安全处理器至少包括3个处理器内核,这些处理器内核采用不同的指令体系,各自独立的译码器和控制器。多样化的指令体系提高系统的抗攻击性。b) 安全处理器中的各个处理器内核共用一个功能部件群组。这个功能部件群组中相同的功能部件至少2个。这种硬件资源的冗余性设计支持检测到某个功能部件的异常状况时的资源自恢复。c) 安全处理器的功能部件群组中各个功能部件,由安全处理器内部的资源控制器静态或动态地分配给各个处理器内核使用,完成逻辑与指令的静态配置和动态重构,实现个性化安全处理器设计。d) 安全处理器中各个处理器内核
16、的功能各有偏重,且有重叠,互为备份支援。e) 安全处理器中各个处理器内核之间的关系可以被静态或动态地定义为主从式(每个处理器内核分配不同的任务,如:系统控制、运算处理、数据管理),或均衡式(多个处理器内核协同完成一个任务),或仲裁式(多个处理器内核分别同时完成一个任务,依据各个处理器内核执行的结果裁决出该项任务的最终结果),多种策略提高系统安全性和可靠性。f) 处理器内核之间支持相互认证。典型示例安全处理器结构模型如图2所示。图2典型示例安全处理器结构模型典型的安全处理器结构模型包括接口部件(专用接口和通用接口)、三个处理器内核,分别定义为控制处理器内核、运算处理器内核、数据处理器内核、功能部
17、件群组和资源控制器。接口部件包括专用接口和通用接口,专用接口主要是管理员对处理器进行初次配置的时候使用,使用后功能被禁止。通用接口主要包括输入或输出点,该点为信息流提供了输入或输出芯片的入口或出口,包括物理接口和逻辑接口,比如SPI、PCIE接口等。控制处理器内核主要承担芯片的整体安全,主要功能包括:初始化、检测、监控(报警、标记、自损、自恢复、自毁)。运算处理器内核主要承担芯片的用户程序运行,主要功能包括初始化、密码服务、运算处理等。数据处理器内核主要负责芯片的数据处理,主要功能包括初始化、数据解析、数据度量(采用杂凑算法对安全处理器中固件、硬件驱动、系统软件、应用软件和相应的配置数据等进行
18、杂凑计算)、数据管理,如数据接收、数据发送、数据分配(根据不同属性进行分类存储)、数据控制、数据销毁等。功能部件群组是所有功能IP的集合,包括相同的功能部件至少2个。资源控制器主要功能包括定义三个处理器内核的操作关系,利用固件控制并将功能部件群组中的功能部件分配给三个处理器内核,实现原始注入、装载、重组配置、资源自恢复等。资源控制器可以对功能部件群组进行控制实现资源分配,功能部件群组对资源控制器进行结果反馈;功能部件群组中各个功能部件由资源控制器静态或动态地分配给三个处理器内核使用,三个处理器内核分配成功后并验证反馈结果;控制处理器内核可以对运算处理器内核和数据处理器内核监测并控制,运算处理器
19、内核和数据处理器内核对控制处理器内核进行结果反馈;运算处理器内核也可对数据处理器内核进行监测和控制,数据处理器内核对运算处理器内核进行结果反馈。需要注意的是,不论分配到哪个处理器内核执行,原始注入、初始化、装载、检测、监控、密码服务、重组配置、资源自恢复是安全处理器的必要功能。5.3 安全处理器必要功能5.3.1 原始注入原始注入主要是安全处理器注入安全固件,其内容包括初始化、装载、检测、监控的程序。5.3.2 初始化初始化主要是指安全处理器上电初始化,对处理器内部资源进行静态配置。5.3.3 装载装载是指用户或管理员将程序或数据通过通用接口安装或加载到安全处理器存储系统。5.3.4 检测检测
20、是指检查并测试安全处理器,包括逻辑检测、物理检测和应用检测。a) 逻辑检测包括但不限于:1) 检测随机数生成是否正常;2) 检测密码算法的正确性;3) 检测存储数据一致性和数据完整性;4) 检测指令是否被篡改过;5) 检测中断逻辑状态;6) 检测静态配置文件是否被篡改;7) 检测通用接口状态是否正常运行或被篡改;8) 检测固件程序代码是否被篡改;9) 检测安全域的大小和是否被修改;10) 可信度量检测;11) 关键路径检测。b) 物理检测包括但不限于:1) 能量检测(比如光、电压、电流、频率、电磁);2) 环境检测(比如温度、湿度、压力)。c) 应用检测包括但不限于:1) 应用程序监控节点检测
21、;2) 关键数据度量;3) 密钥数据完整性;4) 随机数随机性(识别真伪随机);5) 密码算法正确性。注:监控节点包括程序度量值,程序控制节点(程序运行路径、程序关键节点监测数据)、逻辑资源配置表。5.3.5 监控监控是指监测并进行控制,包括报警、标记、自损、自恢复和自毁。监控处理情况如表1监控安全指标对应表。表1 监控安全指标对应表处理结果监控内容报警标记自损自恢复自毁备注1) 监控随机数生成是否正常;N/AN/A2) 监控密码算法的正确性;N/A3) 监控存储数据一致性和数据完整性;N/AN/AN/AN/A表1(续)监控内容处理结果报警标记自损自恢复自毁备注4) 监控指令是否被篡改过;N/
22、A5) 监控中断逻辑状态;N/AN/A6) 监控静态配置文件是否被篡改;N/AN/AN/A7) 监控通用接口状态是否正常运行或被篡改;N/A8) 监控固件程序代码是否被篡改;N/AN/AN/A9) 监控安全域的大小和是否被修改;N/AN/AN/A10) 可信度量监控;N/AN/A11) 关键路径监控;N/A12) 能量监控(包括光、电压、电流、频率、电磁。);N/AN/AN/A13) 环境监控(比如温度、湿度、压力。);N/AN/AN/A14) 监控应用程序监控节点;N/A15) 监控关键数据度量;N/A16) 监控密钥数据完整性。N/AN/A注:代表在该监控内容下应给出处理结果。N/A代表在
23、该监控内容下,该处理结果不适用。5.3.6 密码服务密码服务包括密码算法、密钥管理、安全协议和安全策略。密码算法包括对称算法、非对称算法、杂凑算法。密钥管理包括密钥生成、密钥分发、密钥导入、密钥导出、密钥存储、密钥销毁。安全协议如SSL、IPSEC等。安全策略包括注入策略、存储策略、算法策略、重组策略、密钥管理策略、自恢复策略、身份识别策略、自毁策略、随机数生成策略等。5.3.7 重组配置重组配置包括指令重组、逻辑重组、结构重组。指令重组是根据指令配置表能配置出当前安全处理器所支持的指令集且具有个性化和安全特征。逻辑重组是将安全处理器内的功能部件资源进行各种组合,变换各种连接方式产生特定的功能
24、。结构重组是硬件逻辑电路根据不同的应用需求重新组织构成不同的电路结构,实现不同的功能以适应不同的应用需求。5.3.8 资源自恢复资源自恢复包括算法可恢复、IP资源可恢复、接口可恢复、随机数部件可恢复等。算法可恢复是安全处理器内算法资源部件损坏时,可依据安全策略配置进行恢复。IP资源可恢复是安全处理器内IP资源损坏时,可依据安全策略配置进行恢复。接口可恢复是安全处理器内接口部件损坏时,可依据安全策略配置进行恢复。随机数部件可恢复是安全处理器内随机数部件损坏时,可依据安全策略配置进行恢复。5.4 安全处理器安全机制安全处理器的安全机制主要包括:a) 保护数据信息的机密性。安全处理器使用密码服务使数
25、据信息的真实内容隐藏在密文中,确保片内、片外存储器中保存的数据以及总线通讯信息的保密性。即使攻击者能够完全读取存储器中的内容或者捕获总线中的所有信息,在没有密钥的情况下攻击者也无法获取其中的信息,从而减小读取存储器和总线监听所带来的风险,避免攻击者操纵总线和存储数据,增加攻击者分析系统的难度。b) 保护数据信息的完整性。安全处理器使用密码服务对数据信息进行正确性和完整性认证,能够识别攻击者伪造的数据,保证在处理器中运行的指令、数据的合法性,阻止攻击者通过篡改数据或指令分析处理器的行为,了解处理器的内部运行机制。c) 确保程序加密空间的独立性。安全处理器使用相互独立的密钥对各个程序予以加密,且存
26、储空间相互独立。防止攻击者通过窃取某一个程序的密钥,获取到其他程序空间的指令数据,从而提高安全保护的健壮性。d) 确保安全敏感信息的时效性。安全处理器中保证处理器正确运行的关键安全敏感信息(比如密钥) ,在安全策略控制下不定期进行更换,防止攻击者对系统的暴力攻击,提高整体系统的安全性。e) 隔离安全信息与正常的数据信息。安全处理器内部建立安全域用于存放安全信息(包括保证处理器正确运行的各类机密信息和敏感信息),与正常的数据信息予以隔离。该安全域由安全处理器硬件或固件进行管理、使用,避免安全信息被恶意代码窃取、破坏。f) 确保安全处理器运行的可靠性。安全处理器在启动后动态随时监控自身状态和运行环
27、境,当检测到异常情况表明威胁和风险可能发生时,安全处理器采用相应的安全措施(如报警、标记、自恢复等功能),抵御潜在威胁和风险,保障运行的可靠性;g) 实现安全处理器个性化服务。安全处理器具备唯一的内部标识,在结构上动态可重组,静态可配置,内部多个不同指令集的处理器内核,而且芯片间指令编码不同,这样大大增加了攻击者破解难度和破解成本,从而形成威摄攻击;通过以上主要的安全机制,安全处理器对系统中数据信息的保密性、完整性、防篡改以及系统运行的可靠性提供完善的保护,而且能够起到威慑攻击作用,从而有效地避免攻击者通过物理威胁、逻辑威胁和应用威胁等系统级攻击方式,分析系统,寻找系统的漏洞,实现自身安全保障
28、和提供应用服务的安全保障。5.5 安全处理器所处环境5.5.1 安全处理器的生命周期安全处理器的生命周期可分为以下几个阶段,各个阶段内容如表2所示:表2安全处理器的生命周期阶段说明阶段活动角色阶段1安全处理器硬件开发l 设计代码量评估和逻辑需求初步评估(计划阶段)。安全处理器硬件开发者l 需求说明书和确定芯片规格定义(需求阶段)。l 设计安全处理器体系结构及功能设计文档。l 安全处理器功能部件设计。l 安全处理器体系结构组成设计。l 安全处理器逻辑验证。l 安全处理电路及版图设计l 为开发者提供安全处理器相关信息,包括硬件和软件及其开发环境。l 安全处理器物理验证。阶段2安全处理器固件开发l
29、安全处理器固件安全管理设计开发。l 安全处理器固件的引导、初始化、复位等设计。l 安全处理器固件功能设计开发。l 安全处理器固件功能验证。l 通过可信交付和检验接受由开发者提供的安全处理器固件。安全处理器固件开发者表2 (续)阶段活动角色阶段3安全处理器制造与测试l 基于安全处理器设计的数据库,生产用于安全处理器制造的掩膜版。l 晶圆生产。l 完成晶圆级测试。l安全处理器制造者阶段4安全处理器封装与测试l 安全处理器封装。l 安全处理器封装测试。l芯片封装者阶段5安全处理器初始化流程l 安全处理器初始化和最终测试。在初始化阶段嵌入式软件和应用软件下载到安全处理器中。初始化管理员阶段6安全处理器
30、应用阶段l 安全处理器安全检测。l 将成品安全处理器及使用手册交付给用户,以供用户的使用。安全处理器发行者安全处理器每个阶段过程中,应制定并遵守安全规范和流程,使得产品相关的文档、代码、图纸均处于受控状态下。5.5.2 开发环境安全处理器在应用阶段以前,开发环境易控制,攻击者可能利用非法访问、木马、病毒、设计后门等手段进行攻击,以便获取或篡改敏感数据。因此,安全处理器在开发过程中必须代码可信、执行可控,保存访问操作日志,保证开发过程的可追溯性。5.5.3 使用环境安全处理器在应用阶段以后,使用环境难以控制,攻击者可能会采用各种手段对安全处理器进行攻击,以便获取用户数据和安全功能数据,破坏系统安
31、全,达到攻击目的。因此,安全处理器必须保证系统内的信息在使用环境下的保密性、正确性和完整性。5.6 受保护资产5.6.1 物理设计信息表3 物理设计信息名称注释芯片掩膜版数据包。开发辅助工具ROM掩膜数据生成工具。物理测试和特征有关的数据测试激励,物理验证环境,测试技术指标,芯片产生的随机数。5.6.2 逻辑设计信息表4 逻辑设计信息名称注释芯片逻辑需求规格说明书、体系结构设计说明书、逻辑电路图、源代码。功能部件指芯片内的各个功能模块设计、电路图纸及其HDL源代码。指令体系指令手册及其它有关的设计文档。固件需求规格说明书及相关设计文档,开发平台,程序源代码与目标代码。逻辑测试和特征有关的数据设
32、计原理图及相关参考文件、测试激励,验证环境,测试验证说明文档。5.6.3 应用设计信息表5 应用设计信息名称注释原始信息注入方法,策略指在安全设施中完成安全数据,安全功能策略数据和应用数据的初始化操作,如安全属性、认证数据、密钥等。安全数据(指在安全设施中存储、传输及处理的用户鉴别信息、配置信息、协议转换规则等数据。)安全功能相关的口令、密钥、证书、审计数据或安全功能的可执行代码等数据。安全功能策略对安全设施中的资源进行管理、保护和分配的一组规则。安全功能策略构成一个安全域,以防止不可信主体的干扰和篡改。一个安全设施可以有一个或多个安全功能策略。例如:初始化数据、安全数据、个性化数据存储策略等
33、。应用软件设计包含安全处理器嵌入式软件、安全处理器专用软件、支持嵌入式软件开发的信息(例如开发资料和开发平台)。在安全处理器研发、系统生成、数据加载和交付使用过程中应保证上述资产的保密性、正确性、完整性和可用性。6 威胁和风险6.1 威胁6.1.1 物理威胁6.1.1.1 物理操纵(T.Physical_Manipulation)攻击者可能是利用安全处理器失效性分析和采用半导体逆向工程技术,对安全处理器实施物理剖片,或用探针探测总线数据,用光探测存储器数据,以获取安全处理器的设计信息和操作内容,进而探测TSF数据和用户数据。攻击者也可能对安全处理器实施物理更改,以获取安全处理器的设计信息和操作
34、内容、或者改变安全功能及安全功能数据,从而非法使用安全处理器。安全处理器可能会在未上电或已上电状态下受到此类攻击,在遭受这样的攻击后可能会处于无法操作状态。6.1.1.2 克隆(T.Clone)攻击者可能克隆部分或全部芯片的功能以开发进一步的攻击手段。攻击者可能通过对安全处理器本身的详细观察来获取克隆部分或全部安全处理器所必需的信息。攻击者通过开发安全处理器的物理模型来实验其不同的功能和处理过程,从而实现进一步的攻击以达到成功暴露安全功能数据和敏感用户数据的目的。6.1.1.3 信息泄漏(T.Info_Leak)攻击者可对正常使用期间安全处理器泄漏的信息加以利用,以猜测各类设计信息或者用户数据
35、。该类泄漏包括但不限于功耗、电磁辐射、I/O特性、运算频率、时耗的变化或所需处理时间的变化等都有可能造成信息泄漏。攻击者可通过采用接触式(如功耗)或者非接触式(如电磁辐射和时耗)的信号测量,得到可能与正在执行的操作有关的信息,进而采用信号处理和统计分析等技术来获得密钥等敏感信息。6.1.1.4 故障利用 (T.Failure_Exploitation)安全处理器运行过程中受到干扰时可能出现硬件故障或运算错误,利用这些故障行为或错误信息分析获取芯片内敏感信息和密钥的一种攻击方式。这些故障可能是通过改变安全处理器的运行环境(如温度、电压、频率等,或通过注入强光、电磁干扰等方式)而触发的,也可能是由
36、于安全处理器本身的设计缺陷而自发产生的,这些故障可能导致安全处理器的代码、系统数据或执行过程发生错误,使安全处理器在故障下运行,从而导致敏感数据泄漏。6.1.2 逻辑威胁6.1.2.1 逻辑攻击(T.Logical_Attack)攻击者可利用安全处理器的逻辑接口,采用暴力猜解、被动侦听或适应性地选择指令输入等方式来绕过芯片的存储器访问控制措施,获取(或修改)设计信息或用户数据,或者滥用安全处理器的安全功能。6.1.2.2 恶意程序攻击(T.Malware_Attack)恶意程序通常是指带有攻击意图所编写的一段程序,一般包括:陷门、逻辑炸弹、特洛伊木马、蠕虫、细菌、病毒等等。攻击者利用恶意程序通
37、过逻辑“后门”设计和其“设计”漏洞的来修改安全功能代码及数据,破坏逻辑结构,允许不正确的访问或使用硬件资源,导致硬件资源被外部接管,以达到获取秘密信息或阻止有效用户访问资源或阻止相关应用程序运行的目的。6.1.2.3 缺陷插入(T.Defect_Insertion)攻击者可能通过反复地插入选定的数据,并观察相应的输出结果,从而获得安全处理器安全功能或用户相关的信息。该威胁的特点是有目的选择和控制输入数据,而不是随机选择或控制。通过插入选定的数据并观察输出结果的变化,是对安全处理器的一种常见攻击手段。6.1.2.4 随机数缺陷攻击(T.RNGDefect_Attack)攻击者可利用物理随机源的不
38、稳定性和低熵值等缺陷,预测或获取安全处理器安全服务中与随机数相关的信息。6.1.2.5 固件攻击(T.Firmware_Attack)攻击者可能会通过固件或者利用固件本身可能含有后门程序,从而使攻击者获得高权限访问系统,获取安全处理器安全功能数据或敏感的用户数据。6.1.3 应用威胁6.1.3.1 未授权程序装载(T.UnaProgram_Loading)攻击者可能利用未授权的程序探测或修改安全处理器安全功能代码及数据。每个授权角色都有特定的权限仅用于下载指定的程序。未授权程序可能包括在正常操作期间不希望执行的合法程序,也可能包括用于有意刺探或修改安全处理器安全功能的未授权装载程序。6.1.3
39、.2 反汇编和反编译(T.Disassemble_Decompile)使用者或攻击者利用反汇编和反编译的手段获取汇编代码和高级语言代码从而破坏应用程序以达到攻击的目的。6.1.3.3 密钥及敏感信息攻击(T.KeySensitiveInfo_Attack)攻击者可能通过恶意软件等手段对安全处理器密钥及敏感信息攻击,获取安全处理器密钥及敏感信息。6.1.3.4 生命周期功能滥用(T.Lifecycle_Abuse)使用者或攻击者可能会利用相关命令,尤其是测试和调试命令来获取安全处理器安全功能数据或敏感的用户数据,这些命令在安全处理器生命周期的以往某些阶段是必要的,但在现阶段是被禁止的。这些命令在
40、操作执行的特殊阶段是不必要的或被禁止的。例如在操作阶段使用测试命令或调试命令来显示内存或执行其它功能。管理者或其它特权用户可能在未经信息或资源的拥有者或责任者许可的条件下对信息或资源进行访问。授权角色都有特定的权限来访问安全处理器的信息,如果访问超出规定权限,会导致安全相关信息的暴露。6.1.3.5 密码攻击(T.Crypto_ Attack)攻击者可能实施密码攻击或穷举攻击危及安全处理器的安全功能。这种攻击可能用到一些加密函数、编码/解码函数或随机数发生器。攻击者的目标是发现密码算法中的脆弱性(脆弱性包括恶意访问加密密钥和使用密钥过程中将信息泄漏或非法访问硬件)或通过穷举来发现密钥和输入数据
41、。攻击者的目的在于暴露安全处理器的安全功能数据从而危及用户敏感数据的安全。6.2 组织安全策略6.2.1 标识数据管理(P.IdData_Management)安全处理器的开发、生产、测试等过程应具备标识TOE的能力。一个正确的标识是最终安全处理器产品的精确实例化,应对每个安全处理器进行唯一标识。6.2.2 密码管理(P.Crypto_Management)密码实体、密码功能都必须符合国家标准及行业信息技术安全标准或规范。6.2.3 安全通信(P.Secure_Communication)安全处理器间的通信应使用安全的协议和程序。安全处理器可能要进行从简单的状态检查到安全的数据传输等多种通信。
42、至少,安全处理器应具备为可信的源建立可信信道来加载应用,或执行其他潜在的特权指令。并要一直确保其完整性。6.3 假设6.3.1 设计信息文档安全(A. DesignDocument_Security)安全处理器各组件的设计信息文档都应是安全可控的。6.3.2 角色管理(A.Role_Management)假设角色以一种安全的方式被管理。安全处理器开发、测试、生产等各阶段的角色均能按安全的流程进行操作。6.3.3 外部数据管理(A.ExtData_Management)假设存储在安全处理器之外的数据和密钥以一种安全的方式管理。关于安全处理器结构、设计信息、开发及测试工具、实现代码及相关文档、个性
43、化数据、初始化化数据、所有者身份等敏感信息将被发行者或其它安全处理器之外的数据库存储。这些信息一旦泄漏,将危及安全处理器的安全。因此这些数据得到充分的维护是很重要的。由于使用安全处理器都可能引入不同的密钥,这些密钥包括共享密钥、公/私钥对等。这些密钥将由执行安全处理器功能的系统中能够控制操作的实体所提供。假设这些密钥的生成、分发、维护、销毁都是足够安全的。7 安全目的7.1 安全处理器物理防护7.1.1 物理保护(O.Physical_Protection)安全处理器应抵抗物理攻击,防止通过诸如剖片、电路篡改、探针探测等手段实施的攻击,或能够提供安全措施显著增加实施此类攻击的困难性。7.1.2
44、 防克隆(O.Clone_Protection)安全处理器应提供控制和限制克隆的方法,使得安全处理器的安全功能或敏感数据不会被复制。7.1.3 信息泄漏防护(O.InfoLeak_Protection)安全处理器应提供控制和限制信息泄漏的方法,使得攻击者无法通过分析诸如功耗等因素的变化来获取操作过程的信息或其它安全信息,有用信息不会通过电源、时钟、复位、I/O线而泄漏。7.1.4 故障处理(O.Failure_Handling)安全处理器应使得即便暴露在非标准环境中时,也能够发现这些工作条件的改变,且采取相应的防护措施,防止安全信息泄漏,或使芯片进入一种安全的运行状态。这些环境影响因素包括温度
45、、电压、时钟频率或外部能量场。7.2 安全处理器逻辑防护7.2.1 逻辑保护(O.Logical_Protection)安全处理器应具有抗逻辑操纵且动态可变的结构,以抵抗逻辑攻击,防止通过诸如逻辑探测、命令修改等手段实施的攻击,显著增加实施此类攻击的困难性。7.2.2 数据访问控制(O.DataAcc_Control)安全处理器应对安全处理器内部的用户数据和安全功能数据实施访问控制措施,防止在未授权情况下被访问、修改或删除。安全处理器应在受控且经过定义的方式下操作资源或访问数据。7.2.3 防缺陷插入(O.DefectIns_ Protection)安全处理器应能够防止通过分析重复探测的响应而导致的信息泄漏,以抵御插入缺陷数据重复探测的攻击。7.2.4 随机数生成(O.RND_Generation)安全处理器应确保片内生成的随机数能满足应用要求的质量指标。例如,随机数应不能被预测,
