文档介绍：该【电力用安全芯片技术规范 第3部分：安全级数据存储 】是由【书籍1243595614】上传分享，文档一共【17】页，该文档可以免费在线阅读，需要了解更多关于【电力用安全芯片技术规范 第3部分：安全级数据存储 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。Q/HDZXW0001-20201T/-XXXXIIICSCCST/CEC中国电力企业联合会标准发布中国电力企业联合会20XX—XX—XX实施20XX—XX—XX发布电力用安全芯片技术规范第3部分:安全级数据存储Securitychiptechnicalspecificationsforelectricpower—Part3:Safetydatastorage(征求意见稿)(在提交反馈意见时,请将您知道的相关专利连同支持性文件一并附上)T/-XXXXT/-XXXXIT/-XXXXIIT/-XXXXIII引言电力系统是国家关键基础设施,电力安全是国家安全的重要保障,安全芯片作为信息和网络安全的基础介质,已广泛应用于电力行业各个场景。目前,电力行业没有相应的技术规范对电力用安全芯片进行统一规定和描述,影响安全芯片的标准化应用,特制定本系列规范。通过对电力用安全芯片的物理特性、通信协议、安全级存储及测试等的规范要求,为芯片设计及芯片操作系统研发测试等相关方提供技术遵循,确立普遍适用于电力行业安全芯片的技术规范和测试原则,使电力用安全芯片在各种应用场景中更好地发挥作用,提升电力系统的安全性和稳定性。今后还将针对芯片封装、生产发行、应用接口等方面制定规范及要求,逐步完善电力用安全芯片的标准体系。T/CECXXXXXX拟由五个部分构成。——第1部分:术语。目的在于在电力用安全芯片的设计、测试、应用中基本术语和基本概念的统一理解。——第2部分:物理特性及SPI通信。目的在于确定电力用安全芯片通用的物理特性和设备调用安全芯片使用的通信协议要求。——第3部分:安全级数据存储。目的在于确立适用于各类安全芯片的安全体系架构和数据存储与管理技术要求。——第4部分:可靠性测试。目的在于通过建立可靠性测试技术文件,提出可靠性测试要求,进行规范性地可靠性测试,以发现安全芯片的可靠性问题,提升安全芯片的可靠性等级。——第5部分:功能测试。目的在于确立适用于各类安全芯片所需要的遵守的一般原则和相关技术要求。T/-XXXXIIT/-XXXXI电力用安全芯片技术规范第3部分:安全级数据存储范围本文件规定了芯片操作系统安全体系及数据存储系统的基本要求。本文件适用于电力用安全芯片操作系统的研发、产品生产发行、运行维护等过程。规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/-2010识别卡集成电路卡第4部分:用于交换的结构、安全和命令GM/T0005-2012随机数检测规范GM/T0008-2012安全芯片密码检测准则GM/T0028-2014密码模块安全检测要求术语和定义T/-20XX界定的以及下列术语和定义适用于本文件。安全级数据存储safetydatastorage符合安全芯片安全体系要求,使用文件系统进行的数据管理和组织的过程。物理接口physicalinterface涉及各种传输介质或传输设备的接口。逻辑接口logicalinterface相对物理接口而言,能够实现数据交换功能但在物理上不存在,需要通过配置来建立的接口。密钥管理keymanagement根据安全策略,对密钥产生、登记、认证、注销、分发、安装、存储、归档、撤销、衍生和销毁等操作指定并实施一组确定的规则。T/-XXXXIIT/-XXXXIX密钥管理系统keymanagementsystem由若干部分组成的,实现密钥管理功能的整体。加密机encryptionequipment通过国家商用密码主管部门鉴定并批准使用的国内自主开发的加密设备。预置密钥presettingkey安全芯片生产发行时存储在其数据空间的密钥。派生密钥derivativekey使用某一密钥采用某种确定的方法计算出来的密钥。密钥分散keydiversify将上级密钥与本级特征相结合形成本级密钥的过程。核准approval经审查核定后批准。符号和缩略语下列缩略语适用于本文件。MF:主文件(MasterFile)DDF:专用目录文件(DedicatedDirectoryFile)ADF:应用专用文件(ApplicationDedicatedFile)EF:基本文件(ElementaryFile)SF:安全文件(SecureFile)PIN:个人识别号(PersonalIdentificationNumber)MAC:消息认证码(MessageAuthenticationCode)数据信息的分类安全芯片中的数据分为以下三类:硬件信息、芯片操作系统(又称COS)数据和应用数据。T/-XXXXIIT/-XXXXIII硬件信息安全芯片的硬件信息是指芯片自身的信息,细分为如下:硬件基本信息:芯片的基本信息,例如晶圆的批次、晶圆的生产日期等;硬件配置数据:安全芯片的程序代码及配置数据,例如启动加载代码及数据。COS数据COS数据主要指操作系统自身包含的数据,细分为如下三类:COS参数信息:操作系统自身包含的描述性数据,例如COS版本号;COS程序文件:操作系统的程序代码;COS程序配置数据:操作系统的配置信息,例如COS程序文件的校验值。应用数据应用数据指用户终端在使用过程中需要或产生的数据,包括如下三类:敏感信息:指存储在安全芯片内需要安全保护的敏感数据信息,例如:密钥;个性化信息:指存储在安全芯片内用于标识个性化使用的参数信息,例如:用户编号等;常规数据信息:除上述之外的数据信息。安全级数据存储安全框架和目标安全框架安全级数据存储的安全框架如图1所示,它包括三个层面的安全,分别为:硬件信息安全、COS数据安全和应用数据安全。最底层是硬件信息安全,上层是COS数据安全;应用数据安全涉及到硬件信息和COS数据安全。COS数据安全应用数据安全硬件信息安全图1安全级数据存储安全框架安全目标本文件以硬件信息、COS数据和应用数据的机密性、完整性和可用性为安全目标,并分别提出数据存储安全技术要求。机密性数据的机密性指数据和数据状态信息只可被授权用户终端正当获取和使用,不能泄露给未授权用户终端,确保隐私信息、私有数据和重要数据的机密性。完整性数据的完整性指数据不被不正当地篡改或销毁,并具有不可否认性和真实性。可用性T/-XXXXIIT/-XXXXV数据的可用性指数据可被授权用户终端访问并按需使用,即保证授权用户对数据的使用不会被不合理的拒绝。安全级数据存储要求安全级数据存储要求汇总表安全芯片的安全级数据存储要求如表1所示。表1安全级数据存储要求数据安全技术要求加密存储完整性检测外部实体访问控制外部实体更新控制安全隔离掉电恢复数据销毁硬件信息硬件基本信息√oo-√--硬件配置数据√oo-√--COS数据COS参数信息√o--√--COS程序文件√√--√--COS程序配置数据√o--√--应用数据敏感信息√√√√√√√个性化信息√o√√√√√常规数据信息oo√√√√√注:“√”表示应遵循的安全技术要求;“-”表示不支持或不需要该功能;“o”表示不作要求。硬件信息存储要求硬件信息存储要求如下:加密存储:硬件信息应加密存储;外部实体访问/更新控制:硬件信息对外部实体的访问控制不作要求,但不允许外部实体更新本部分信息;安全隔离:硬件信息应存放在独立空间。COS数据存储要求COS数据存储要求如下:加密存储:COS数据应加密存储;完整性检测:对于COS程序文件,应使用核准的完整性技术进行保护,即COS程序运行时要求检测代码程序的完整性。每次上电后自动计算COS程序区代码的校验值,然后将该校验值与存储在芯片内的校验值进行对比。完整性校验通过后程序正常运行,否则对任何需要COS执行的指令均不进行处理,芯片应进入错误状态;外部实体更新控制:芯片内的COS校验值在发行后应无法更改,即不支持更新控制;安全隔离:COS数据应进行安全隔离。应用数据存储要求应用数据关系到业务的正常运行和应用的安全,其安全存储要求如下:加密存储:对于有加密存储要求的应用数据,应支持带校验的加密存储,敏感信息应存储在内部安全文件中,不应通过安全芯片的物理接口和逻辑接口对敏感信息进行非法访问;T/-XXXXIVT/-XXXXV完整性检测:对于有完整性检测要求的敏感信息,应通过上电算法校验验证敏感信息的完整性;外部实体访问控制:当非授权实体访问应用数据时,系统应终止非授权实体的访问行为。安全芯片个人化时应与授权用户约定其访问数据的权限,授权用户对应用数据按约定权限的访问应随时满足;外部实体更新控制:安全芯片可支持外部实体更新应用数据的功能。为确保敏感数据更新操作的安全性,敏感数据更新指令应设计严格的执行条件,确保更新数据内容的私密性和完整性。安全隔离:应用数据之间应安全隔离;掉电恢复:在安全芯片运行过程中,出现突然掉电的情况,应提供掉电恢复的机制,确保应用数据不丢失或遭到破坏;数据销毁:安全芯片应支持数据销毁功能。对于敏感数据信息,在芯片生产发行阶段结束前,可通过给芯片发送相应指令完成对敏感数据的销毁操作,操作成功后芯片敏感数据应被完全删除,且不能通过任何方式进行恢复,确保避免由于非正常环节产生的敏感数据泄露事故。应用数据存储方法应用数据存储模型应用数据存储模型由文件系统、文件管理方法、存储管理方法及掉电保护机制组成,其中,文件管理方法包括:安全状态、安全属性和安全机制。文件系统为数据存储的载体,文件安全属性及安全机制为数据安全保护手段,存储管理保障数据访问高效,掉电保护保证存储数据的可靠性。应用数据存储模型如图2所示。文件管理方法图1应用数据存储模型文件系统文件系统概述芯片操作系统应允许在用户区的空间内建立用户文件系统,文件系统采用树形结构。MF是整个文件系统的根,MF下可以有DDF、ADF、EF和SF。DDF是一个专用目录文件,用于定义一个应用环境,DDF下可以有ADF、EF和SF。DDF在路径选择逻辑正确的前提下应无条件选择,选择成功后安全芯片的应用环境应发生改变。T/-XXXXIIT/-XXXXIXADF与其下面的EF、SF联系起来构成一个独立的应用,一个ADF是一个EF、SF入口点。EF又分为透明文件、线性定长文件等,EF只能在其所在目录已被选择的情况下才可被选择,并且在操作该基本文件前应满足相应的访问权限。文件系统存在单应用或多应用架构之分。图3及图4为多应用文件系统和单应用文件系统的组织架构的示例:a)多应用文件系统架构图2多应用文件系统架构b)单应用文件系统架构图3单应用文件系统架构MFMF是用户文件系统的根目录。可从任何一级目录或应用环境下直接进入。DDF专有目录文件用于创建一个目录结构,该目录对应一个应用环境。在属于该环境的空间内可以建立若干与应用相关的ADF、EF和SF等T/-XXXXVIT/-XXXXVII,建立文件的个数应受应用设定的空间大小的限制。在该目录下建立的文件可以是任意类型,但应都服务于该目录。在DDF环境中,应只能选择其目录下的应用。ADF应用专用文件用于创建一个目录结构,该目录对应一个应用。在属于该应用的空间内可以建立若干与应用相关的EF和SF等,建立文件的个数应受应用设定的空间大小的限制。文件可以是任意类型的,但应都服务于该应用。透明文件透明文件的数据存储在一个连续的区域,以字节为一个操作单元,可通过偏移地址和读写长度来进行访问。线性定长记录文件线性定长记录文件每条记录的长度应相等,记录的存储结构被认为是单值结构,以一条记录为一个操作单元,可通过指定记录号来进行访问。安全文件安全文件宜用线性定长记录文件结构,一个安全文件可以存储多个密钥和口令。文件建立时内容为空,应用特定指令以指定的方式加入记录。文件管理文件管理概述针对受保护的敏感数据文件,应控制文件的访问权限。本文件采用下列三个概念实现对文件的访问控制,分别是:安全状态、安全属性和安全机制。安全状态安全状态是安全芯片当前所处的一种安全级别,可通过成功执行特定指令进行改变。根据GB/-2010的描述,安全状态表示完成下列动作后可能获得的当前状态:——单个命令或一序列命令,可能执行的鉴别过程。安全状态也可以从完成与所包含实体(如果有)的标识有关的安全规程中产生,例如,——通过验证口令(例如,使用“VERIFYPIN”命令);——通过认证密钥(例如,使用“GETCHALLENGE”命令后面紧跟着“EXTERNALAUTHENTICATE”命令);——通过安全报文传输(例如,报文鉴别)DDF和ADF可分别具有多种不同的安全级别。安全属性安全属性规定了对文件进行某种操作时所应满足的条件。不同安全级别的文件可设置不同的安全属性,确保不同安全级别的文件只对相应安全级别的用户开放访问权限,非法用户和不满足安全级别要求的用户不应对文件进行任何操作。安全机制安全机制指实现安全状态的转移所采用的方法和手段。T/-XXXXVIII