半导体与消费类电子信息安全概览
半导体产品是数字世界的安全基石,我们的服务主要围绕四大核心评估框架展开:
CC (Common Criteria) — 通用评估标准
CC (Common Criteria) 是全球最权威的 IT 产品安全评估标准(ISO 15408),其 EAL 评估保证级别体系为芯片安全提供了从 EAL1 到 EAL7 的分级评估框架,广泛应用于智能卡、HSM、安全元件等高安全产品。
FIPS 140-3 — 密码模块安全标准
FIPS 140-3 是美国国家标准与技术研究院 (NIST) 发布的密码模块安全标准,它定义了四个安全级别,是北美及全球政府采购的密码模块准入要求。
SESIP — 物联网平台安全评估
SESIP (Security Evaluation Standard for IoT Platforms) 专为物联网平台设计的评估标准,为 IoT 安全芯片提供了轻量级但足够的安全评估路径。
GSMA SAS — 通信行业安全认证
GSMA SAS(Security Accreditation Scheme)则是通信行业安全认证体系,保障 SIM 卡、eSIM 及移动通信基础设施的安全可信。
随着互联网技术的不断进步与网络系统的不断丰富,消费类电子产品(智能终端、智能家居、可穿戴设备等)面临日益复杂的安全威胁。欧盟 CRA(网络弹性法案)和 CE-RED 指令的推进,消费类电子的安全合规要求正从自愿性向强制性转变。CC 认证为高安全等级产品提供国际互认的评估结果,FIPS 140-3 确保密码模块满足严格安全要求,SES-IP 为物联网设备提供可操作的安全评估方案,GSMA SAS 则确保移动通信产业链的端到端安全。
从智能卡芯片到手机安全元件,从 HSM 密码模块到 IoT 安全芯片,我们为客户提供丰富的安全认证方案,以确保客户的数据安全,产品合规,出海无忧。
CC — 通用评估标准
- ISO 15408 国际互认
- EAL1-EAL7 分级评估
- PP 保护轮廓框架
- 全球 CCRA 互认协议
FIPS 140-3 — 密码模块
- NIST 密码模块标准
- Level 1-4 安全分级
- 北美政府采购强制
- ISO 19790 国际对齐
SES-IP — IoT 安全
- IoT 平台安全评估
- 轻量级评估路径
- 智能家居/穿戴设备
- 快速市场准入
GSMA SAS — 通信安全
- SIM/eSIM 安全认证
- 移动通信安全体系
- 运营商准入要求
- 端到端安全保障
合规业务与框架
四大核心安全标准框架及 EAL 分级体系
CC (Common Criteria) — EAL 评估保证级别
Common Criteria(ISO 15408)定义了七个评估保证级别(EAL1-EAL7),级别越高表示安全保证越严格,评估深度与工作量也越大:
* EAL4+ 是商业产品最常见的认证等级,EAL5+ 广泛应用于智能卡与安全芯片,EAL6+/7+ 通常用于国防与高安全等级产品。
FIPS 140-3 — 密码模块安全级别
FIPS 140-3 定义了四个递增的安全级别,涵盖物理安全、操作系统安全、密钥管理等 11 个安全域:
最低安全要求
密码模块至少使用一个经批准的算法,适用于软件密码模块,无需物理安全机制。
防篡改特征
添加防篡改证据机制(如防拆封贴纸)、基于角色的认证、操作系统需满足CAPP/EAL2要求。
防篡改与身份认证
要求防篡改检测与响应机制、基于身份的认证、明文密钥零化、I/O端口物理保护。广泛应用于HSM与安全元件。
最高安全保证
要求对环境故障及物理攻击的全面防护,操作系统需满足 LSPP/EAL4 要求,适用于极高安全需求场景。
SES-IP — GlobalPlatform IoT 平台安全评估框架
SES-IP(Security Evaluation Standard for IoT Platforms)由 GlobalPlatform 发布,专为物联网平台设计的安全评估标准,为 IoT 产品提供轻量级但足够的安全评估路径:
IoT 设备安全评估
针对 IoT 终端设备的安全功能评估,包括安全启动、固件更新、安全存储等核心安全机制验证
IoT 平台安全评估
评估 IoT 平台整体安全架构,覆盖云端服务、通信安全、数据保护及设备管理安全能力
GSMA SAS — 通信行业安全认证与规范
GSMA(全球移动通信系统协会)安全认证体系覆盖 SIM 卡、eSIM 及移动通信基础设施的关键环节,是运营商准入的核心要求:
SAS-SM
SIM 卡制造安全认证,涵盖 SIM 卡生产设施的物理安全、信息安全及人员安全管理体系审核
SAS-SM-DP+
eSIM 个人化数据中心安全认证,审核 SM-DP+ 平台的代码安全、密钥管理、数据保护及运营安全
SAS-eIM
eSIM 远程管理平台安全认证,审核 eIM 平台的设备认证、数据传输安全及远程订阅管理安全
行业准入认证与合规
核心安全认证及通用型准入要求
核心安全认证
CC (Common Criteria)
ISO 15408 通用评估标准,全球最权威的 IT 产品安全评估框架。基于保护轮廓(PP)和安全目标(ST)进行评估,EAL1-EAL7 七级评估保证体系,CCRA 成员国间评估结果互认。
FIPS 140-3
NIST 密码模块安全标准,定义四个安全级别,覆盖密码算法、密钥管理、物理安全等 11 个安全域。北美政府采购的强制性要求,金融与国防领域广泛认可。
SES-IP (IoT)
物联网平台安全评估标准,为 IoT 设备及平台提供轻量级但足够的安全评估路径。覆盖设备安全、通信安全、云端安全及数据保护等维度。
GSMA SAS
GSMA 安全认证体系,覆盖 SIM卡制造、eSIM 个人化数据中心(SM-DP+)、eSIM 远程管理平台(eIM)等移动通信产业链关键环节的安全审核。
通用型认证准入要求
CE & FCC
CE 标志是欧盟市场强制性准入要求,涵盖 RED/EMC/LVD 等指令合规;FCC 认证是美国市场无线电设备准入要求,覆盖电磁兼容与射频规范。两者均为消费类电子产品进入主流市场的强制门槛。
CB 体系
IEC CB 体系是国际电工委员会建立的全球认证互认体系,通过一次测试可获得多国认证证书,涵盖安规、EMC、性能等评估领域,显著降低产品多国准入的时间与成本。
CRA / RED
欧盟 Cyber Resilience Act(网络弹性法案)要求所有具有数字元素的硬件及软件产品满足网络安全底线要求;RED 指令修正案将网络安全纳入无线电设备准入要求。两者均对消费类电子产生直接影响。
我们提供的服务
CC EAL 安全评估
按照 ISO 15408 标准执行 CC 安全评估,支持 EAL1-EAL7+ 全级别评估,包括保护轮廓(PP)分析、安全目标(ST)编制及评估测试。
FIPS 140-3 认证服务
协助密码模块厂商完成 FIPS 140-3 认证,包括安全策略编写、算法实现验证(CAVP)、模块验证(CMVP),模块测试(CMTL)及认证提交全流程支持。
SES-IP IoT 安全评估
对物联网设备及平台执行 SES-IP 安全评估,覆盖设备端安全、通信安全、云端安全及数据保护全链路评估。
GSMA SAS 认证审核
提供 GSMA SAS 审计服务,覆盖 SIM卡制造(SAS-UP)、个人化数据中心(SAS-SM)及 eSIM 远程管理平台(SAS-eU)三方审核。
芯片渗透测试
对安全芯片执行深度渗透测试,包括侧信道分析(SCA)、故障注入(FA)、探针攻击等硬件级安全评估,验证芯片抗攻击能力。
CE/FCC/CRA 合规服务
协助消费类电子产品满足 CE(RED)、FCC、CRA 等市场准入的安全合规要求,包括差距分析、测试协调与认证申请。
漏洞管理与协调披露
建立半导体产品漏洞管理流程,提供协调漏洞披露(CVD)支持,协助厂商遵循 CRA 漏洞报告与 SBOM 要求。
安全培训与咨询
提供 CC、FIPS 140-3、SES-IP、GSMA SAS、CRA 等标准的专业培训课程,以及安全架构设计与合规路线规划咨询。
CB 体系多国认证
利用 CB 体系进行国际认证互通,一次测试获取多国认证证书,加速半导体及消费类电子产品的全球市场准入。
我们的优势
UL 合作经验
作为 UL 前合作伙伴,继承了严谨的认证方法论与全球认证网络资源,深谙国际安全评估流程与最佳实践,尤其在 CC 与 FIPS 认证方面积累了丰富实战经验。
芯片级硬件安全测试能力
具备侧信道分析(SCA)、故障注入(FA)、微探针等硬件级安全测试能力,可对安全芯片执行深度物理攻击评估,覆盖 EAL5+ 及以上评估要求。
四大标准全覆盖
同时覆盖 CC、FIPS、GP、GSMA 四大核心标准,支持 CE/FCC/CB/ISO 等通用合规要求,为客户提供一站式安全合规解决方案。
全球法规动态追踪
持续跟踪 CCRA、NIST、GSMA、欧盟 CRA/RED 等全球安全法规与标准演进动态,帮助企业提前布局合规路线图,应对法规变更。
国际实验室深度合作
与 UL、SGS、Keysight、Dekra、Applus 等国际知名安全实验室深度合作,共享测试资源与方法论,确保评估质量与国际认可度。
端到端合规加速
从安全需求分析到认证获取,提供端到端的服务链,帮助企业缩短认证周期、降低合规成本,加速产品安全合规上市。