ICS 35.240.40 CCS A 11 团•体•标准 T/BFIA0072021 金融安全芯片中央处理器安全技术规范 Security technical specification of CPU for financial security chip 2021-12-02发布 2021-12-02实施 北京金融科技产业联盟 发布 ！ 版权保护文件 版权所有归属于该标准的发布机构，除非有其他规定，否则未经许可，此发行物及其章节不得以其 他形式或任何手段进行复制、再版或使用，包括电子版、影印版，或发布在互联网及内部网络等。使用 许可可与发布机构获取。 T/BFIA 007—2021 目 次 前言 II 引言. III 范围 2 规范性引用文件 3 术语和定义 4缩略语. 5 概述 6安全问题定义. 7 安全目的. 8安全功能要求. 9安全保障要求 11 附录A（资料性） 金融安全芯片中央处理器典型应用场景. .18 附录B（资料性） 金融安全芯片中央处理器安全能力分类. 24 参考文献. 25 T/BFIA 007—2021 前 言 本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规则起 草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本文件由北京金融科技产业联盟归口。 本文件起草单位：中钞信用卡产业发展有限公司、北京银联金卡科技有限公司、中钞印制技术研究 院有限公司、清华大学集成电路学院、芯来智融半导体科技（上海）有限公司、紫光同芯微电子有限公 司、天津国芯科技有限公司、上海瓶钵信息科技有限公司、北京国家金融科技认证中心有限公司、同盾 科技有限公司。 本文件主要起草人：陈海波、李晓伟、马哲、李新宇、李翔宇、徐来、尚可、李彦昭、潘雨洋、丁 义民、孙磊、艾方、张斌、王栗、利文浩、梁凉、唐守勤、张健、窦永金、彭宇翔、康和意。 II T/BFIA007—2021 引言 随着金融科技产业的发展和芯片在金融科技产品（如：金融IC卡、受理终端、安全单元、密码器等） 中的广泛应用，芯片的安全性对于金融科技产业也越来越重要。采用安全芯片可以从根本上提升金融科 技产品风险防控水平，能够有效地保护芯片中的用户敏感信息，抵御对芯片的非法访问和外部攻击。 中央处理器是芯片产品的运算和控制核心，是信息处理、程序运行的最终执行单元，中央处理器的 安全性对芯片安全设计具有重大影响。为此，编写本文件对于提升金融科技产品竞争力具有重大意义。 III T/BFIA 007—2021 金融安全芯片中央处理器安全技术规范 1范围 本文件规定了金融安全芯片中央处理器的技术架构、安全功能要求和安全保障要求等。 本文件适用于金融安全芯片中央处理器的研制、开发、测评及使用。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件，不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 JR/T0071.2一2020金融行业网络安全等级保护实施指引 第2部分：基本要求 JR/T0098.2一2012中国金融移动支付检测规范第2部分：安全芯片 3术语和定义 下列术语和定义适用于本文件 3. 1 安全芯片 secure chip 具有一定的抗侦测、防攻击等安全防护能力的芯片，能够有效保护其内数据的安全存储、计算以及 运算逻辑的可靠执行等。 3. 2 金融安全芯片financialsecurechip 应用于金融科技产品（如：金融IC卡、受理终端、安全单元、密码器等）中的安全芯片。 3.3 金融安全芯片中央处理器 CPUinfinancial securechip 用于金融科技产品（如：金融IC卡、受理终端、安全单元、密码器等）核心安全芯片的中央处理器 知识产权（IP）及其运行所需的最小附属功能单元所构成的最基本系统。 3. 4 敏感数据sensitivedata 一旦泄露可能会对用户或金融机构造成损失的数据。 [来源：JR/T0071.2—2020,3.23] 3.5 1 T/BFIA 007—2021 侵入式攻击invasiveattack 是直接针对安全芯片上硅晶的攻击，封装材料被打开并且安全芯片表面被暴露。伴随着这类攻击， 电路能够被直接物理触及，数据被窃听或者改动，并且硬件能够被物理修改。 [来源：JR/T0098.2—2012,2.5] 3.6 半侵入式攻击 semi-invasiveattack 此类攻击要求安全芯片被打开并且安全芯片表面被暴露。攻击者将会尝试用从闪光灯操纵攻击到通 过对靠近安全芯片表面电磁场的测量来窃听数据等非接触方法触及电路。 [来源：JR/T0098.2—2012,2.6,有修改］ 3. 7 非侵入式攻击 non-invasiveattack 此类攻击发生时安全芯片不需要被打开，安全芯片仍然保持嵌入在封装材料中。非侵入式攻击利用 所有安全芯片执行任务时在其周边所能够被获得的信息。 [来源：JR/T0098.2—2012,2.7,有修改] 3.8 硬件木马 hardwaretrojan 在集成电路或电子系统中蓄意注入的特殊或者缺陷电路模块，经特殊条件触发，可被利用实现定向 攻击。 3.9 威胁threats 任何强迫导致负面影响的行为。 [来源：JR/T0098.2—2012,2.8] 3.10 攻击attack 在所有威胁中，攻击者的攻击目标将会在秘密数据或物理平台中选择。为达到攻击目标，攻击者所 进行的行为被称为攻击。 [来源：JR/T0098.2—2012,2.9] 3.11 反向工程 reverseengineering 通过技术手段对从公开渠道取得的安全芯片进行拆卸、测绘、分析等而获得有关敏感信息的行为。 [来源：JR/T0098.2—2012,2.15] 3.12 旁路分析sidechannel analysis 通过旁路的途径对安全芯片的敏感信息进行分析的非侵入式攻击的手段。 [来源：JR/T0098.2—2012,2.16] 2 T/BFIA 007—2021 3.13 可信根 rootoftrust 能够用于支撑计算平台信任链建立和传递的硬件及固件，可对外提供完整性度量、安全存储、密码 计算等服务。 3.14 可信计算trustedcomputing 又称可信用计算，是一项由可信计算组织推动和开发的技术。 3.15 随机数发生器 randomnumbergenerator 通过一些算法、物理信号、环境噪音等来产生没有关联性的数列的模块。 [来源：JR/T0098.2—2012,2.20] 联 4缩略语 下列缩略语适用于本文件。 CM：配置管理（ConfigurationManagement） CPU：中央处理器（Central ProcessingUnit） ECC：错误检查与纠正（ErrorCheckingandCorrection） EEPROM：电可擦除可编程只读存储器（Electrically-ErasableProgrammableRead-onlyMemory） FLASH：快闪存储器（FlashMemory） IC：集成电路（IntegratedCircuit） V/O：输入/输出（Input/Output） IP：知识产权（IntelligenceProperty） MPU：内存保护单元（MemoryProtectionUnit） NFC：近场通信（Near-FieldCommunication） RAM：随机存储器（RandomAccessMemory） ROM：只读存储器（Read-OnlyMemory） SE：安全模块（SecureElement） SFR：安全功能要求（SecurityFunctionalRequirement） ST：安全目标（SecurityTarget） TEE：可信执行环境（TrustedExecutionEnvironment） TOE：评估对象（TargetofEvaluation） TSF：TOE安全功能（TOESecurityFunctionality） TSFI：TOE安全功能接口（TOESecurityFunctionalityInterface） 5概述 本文件的评估对象（TOE）为应用于金融领域安全芯片的中央处理器（CPU）（简称中央处理器）， 通常以集成电路IP核形式交付。其可能的应用场景包括：移动终端安全芯片、智能销售终端安全芯片、 3