卡及身份识别安全设备片上操作系统第1 部分：架构

布发会布发会员委管化准标家国CCSL70中华人民共和国国家标准GB/TXXXXX.1—XXXX前言 II III 12规范性引用文件 13术语和定义 14缩略语 25系统架构 36功能要求 56.1基础层 56.2应用支持层 76.3应用接口层 87性能要求 117.1时间特性 117.2资源利用性 117.3容量 127.4兼容性要求 127.5易用性要求 127.6可靠性要求 138安全要求 138.1随机数生成器 138.2密码运算 138.3安全功能 138.4权限管理 138.5安全接口 14附录A应用编译、加载、安装、执行流程 错误！未定义书签。参考文献 16图1通用片上操作系统架构 3图2支持应用后下载的片上操作系统架构 图A.1应用编译、加载、安装、执行流程 表1片上操作系统各模块的功能描述 GB/TXXXXX.1—XXXX本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起本文件是GB/TXXXXX《卡及身份识别安全设备片上操作系统》的第1部分。GB/TXXXXX已经发布了以下部分：——第1部分：架构。本文件由全国信息技术标准化技术委员会（SAC/TC28）提出并归口。本文件起草单位：中国电子技术标准化研究院、北京智芯微电子科技有限公司、江苏赛西科技发展有限公司、深圳赛西信息技术有限公司、江苏意源科技有限公司、东信和平科技股份有限公司、武汉天喻信息产业股份有限公司、北京握奇数据股份有限公司、飞天诚信科技股份有限公司、北京中电华大电子设计有限责任公司、金邦达有限公司、北京安御道合科技有限公司、中移动金融科技有限公司、北京华大智宝电子系统有限公司、北京华弘集成电路设计有限责任公司、新大陆数字技术股份有限公司、中铁十九局集团有限公司、中国银联股份有限公司、紫光同芯微电子有限公司、大唐微电子技术有限公司、上海复旦微电子集团股份有限公司、四川省商投信息技术有限责任公司、中关村芯海择优科技有限公司、楚天龙股份有限公司、上海密特印制有限公司、海思半导体有限公司、中国联合网络通信集团有限公司。本文件主要起草人：。GB/TXXXXX.1—XXXX片上操作系统指运行在卡及身份识别安全设备的安全芯片上的操作系统，通常应用于智能卡、USBKEY、ESAM、SE等产品。为了确立统一的卡及身份识别安全设备的片上操作系统架构、规范统一的应用格式及应用接口，提高外围设备与安全芯片之间的互操作性，为测试验证提供依据，制定了卡及身份识别安全设备的片上操作系统系列国家标准。GB/TXXXXX《卡及身份识别安全设备片上操作系统》旨在保证片上操作系统的可用性及安全性，便于系统、设备间的互连、互通和兼容，利于规范不同类型的产品，按照功能、层次划分片上操作系统的组成部分，指导卡及身份识别安全设备片上操作系统的设计研发，拟由六个部分构成。第1部分：架构。目的在于确立片上操作系统架构及系统组成，为片上操作系统系列规范提供指南和索引，并规范片上操作系统总体功能、性能、安全性、兼容性、易用性等软件质量特性要求。第2部分：通用基础层技术要求。目的在于规范片上操作系统通用基础层的具体功能技术要求。第3部分：支持应用后下载的基础层技术要求。目的在于规范支持应用后下载的基础层的应用安装器及执行器具体功能技术要求。第4部分：应用支持层技术要求。目的在于规范应用支持层的应用管理、生命周期管理及应用全局服务的具体功能技术要求。第5部分：应用接口层技术要求。目的在于规范片上操作系统的数据通信、存储管理、文件系统等应用编程接口。第6部分：安全技术要求。目的在于规范片上操作系统的信息安全防护目标和信息安全功能技术要GB/TXXXXX.1对卡及身份识别安全设备片上操作系统的总体技术要求进行标准化，提供了片上操作系统设计研发及测试检验的依据，便于用户对片上操作系统的使用，可提高行业间、设备间的互操作性，更好地促进卡及身份识别安全设备产业链之间的沟通交流及技术合作。1GB/TXXXXX.1—XXXX卡及身份识别安全设备片上操作系统第1部分：架构本文件规定了片上操作系统的总体要求，包括片上操作系统的架构及系统组成，确立了支持应用后下载的片上操作系统应用管理的流程，规定了片上操作系统在功能、性能、安全性、兼容性、易用性、可靠性方面的要求。本文件适用于卡及身份识别安全设备的片上操作系统的研发、检测、验收及应用。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T16649.3识别卡集成电路卡第3部分：带触点的卡电气接口和传输协议GB/T25000.10系统与软件工程系统与软件质量要求和评价(SQuaRE)第10部分:系统与软件质量模型GB/T25062信息安全技术鉴别与授权基于角色的访问控制模型与管理规范GB/T37092信息安全技术密码模块安全要求GB/T42756.4卡及身份识别安全设备无触点接近式对象第4部分：传输协议3术语和定义下列术语和定义适用于本文件。3.1实现了密码算法功能，直接或间接地使用密码技术来处理密钥和敏感信息的集成电路芯片。安全芯片的实现形态包括单芯片、多芯片和芯片上特定的物理区域等形式。多芯片是指多个单芯片于同一块基板上合封而成的芯片实现形态。[来源：GM/T0008-2021，3.1]3.2运行在卡及身份识别安全设备中的安全芯片上的操作系统。注：通常应用于智能卡、USBKEY、ES3.3为满足特定功能所需的数据结构、数据元和程序模块。[来源：GB/T16649.4-2010，3.3]2GB/TXXXXX.1—XXXX3.4由应用编译器生成的，能够加载到片上操作系统中的特定文件。3.5由应用安装器生成，可以由片上操作系统执行的文件。3.63.7原子操作atomicoperation所涉及的非易失性存储区的数据操作全部操作成功或保持原态的单个操作单元。3.8事务操作transactionoperation一组涉及非易失性存储区的数据全部操作成功或保持原态的操作组合。3.9易失性存储volatilestorage断开电源后无法保有其内容的存储。[来源：GB/T25069-2022，3.722，有修改]3.10非易失性存储non-volatilestorage断开电源后仍保有其内容的存储。[来源：GB/T25069-2022，3.156]3.11应用后下载applicationpost-download搭载片上操作系统的产品发行给持有人后，再进行应用下载的操作。3.12逻辑通信接口logiccommunicationinterface片上操作系统与外部进行数据交换时，为逻辑信息流提供进出片上操作系统的逻辑入口和出口。4缩略语下列缩略语适用于本文件。2C：互联电路总线（Inter-IntegratedCircuitbus）MSC：大容量存储设备类（MassStoragedeviceClass）SPI：串行外设接口（SerialPeripheralInterface）SWP：单线协议（SingleWireProtocol）USB：通用串行总线（UniversalSerialBus）3GB/TXXXXX.1—XXXX5系统架构片上操作系统在软硬件结构上处于应用和芯片硬件之间，将芯片硬件资源抽象成应用可调用的接口,为应用提供服务。图1说明了通用片上操作系统内部各层之间的关系及各层所支持的功能。其中,实线框部分为应支持的功能模块，虚线框部分为可支持的功能模块。通用片上操作系统主要由基础层组成。基础层是片上操作系统中提供基础及核心服务的子层，属于核心处理单元，提供硬件的抽象功能以及片上操作系统的内核服务，应包含任务管理、事务管理、数据通信、异常管理和存储管理功能，可包含文件系统功能。图1通用片上操作系统架构图2说明了支持应用后下载的片上操作系统内部各层之间的关系及各层所支持的功能。支持应用后下载的片上操作系统包含三层：基础层、应用支持层和应用接口层。基础层应包含硬件抽象、异常管理、数据通信、存储管理、安全管理、任务管理、文件系统、应用安装器和执行器功能。应用支持层提供对片上操作系统的多应用支撑和管理，应包含应用管理、生命周期管理和应用全局服务功能。应用接口层将基础层和应用支持层的服务抽象成接口，提供给应用进行调用。应包含算法接口、数据通信接口、存储管理接口，可包含文件系统接口。支持应用后下载的片上操作系统应用接口层还应包含应用管理接口。片上操作系统运行在安全芯片上，应从架构的各个层次、到生命周期的各个阶段提供相应的安全防护及安全保证。附录A说明了应用的编译、加载、安装、执行流程。4GB/TXXXXX.1—XXXX图2支持应用后下载的片上操作系统架构表1说明了各模块的功能描述。表1片上操作系统各模块的功能描述层名称模块名称模块功能描述基础层硬件抽象片上操作系统基础层与芯片硬件之间的接口，为片上操作系统提供虚拟的硬件平台数据通信用于片上操作系统与外部进行数据交互及协议解析存储管理用于片上操作系统对芯片的存储空间和存储数据进行管理文件系统用于片上操作系统对文件进行组织和管理任务管理用于对外部发送的指令进行管理，主要包括对指令的顺序、指令和响应之间关系进行管理的功能。事务管理包括原子操作和事务操作异常管理用于片上操作系统对运行期间发生的异常进行管理应用安装器用于片上操作系统进行应用的加载、安装、删除等操作执行器用于片上操作系统运行可执行文件应用支持层应用管理用于片上操作系统对应用加载、安装、删除等操作进行管理生命周期管理用于对片上操作系统、可执行文件/可执行模块及应用的生命周期进行管理应用间服务用于应用为其它应用提供服务5GB/TXXXXX.1—XXXX表1片上操作系统各模块的功能描述（续）层名称模块名称模块功能描述应用接口层存储管理接口用于片上操作系统为应用提供存储管理的接口数据通信接口用于片上操作系统为应用提供数据通信的接口算法接口用于片上操作系统为应用提供算法的接口文件系统接口用于片上操作系统为应用提供文件系统的接口应用管理接口用于片上操作系统为应用提供管理的接口基础层、应用支持层、应用接口层安全管理基于安全芯片提供信息安全保障服务，保障信息的完整性、可用性、保密性及可靠性6功能要求6.1基础层6.1.1硬件抽象应具有所需硬件的抽象功能：a)非易失性存储器读写接口。封装非易失性存储器的读写操作接口，提供给基础层其余部分或应用进行调用，以操作非易失性存储器；b)随机数接口。封装算法单元中随机数发生器的获取接口，提供给基础层其余部分或应用进行调用，以获取随机数；c)密码库接口。封装算法单元中加解密、签名验签等运算接口，提供给基础层其余部分或应用进行调用，以进行加解密、签名验签等操作；d)时钟接口。封装定时器接口，提供给基础层其余部分或应用进行调用，以进行设置时钟、读取时钟等操作；e)数据通信接口。封装通信的逻辑接口，提供给基础层其余部分或应用进行调用，以进行数据收发等操作。宜具有以下抽象功能：f)电源控制接口，时钟设置，功耗模式设置；g)安全功能接口，安全功能自检及强制检测。6.1.2数据通信应具有以下功能：a)至少具备一种以上的逻辑通信接口与外界进行数据交换；b)逻辑通信接口的传输协议符合该传输协议通用的标准要求，传输协议可包括但不限于：1)GB/T16649.3；2)GB/T42756.4；3)USB2.0MSC大容量传输协议；4)SWP协议；5)SPI协议；6)I2C协议；7)蓝牙协议。6GB/TXXXXX.1—XXXXSPI、I2C、蓝牙协议的数据链路层的要求不在本文件定义的范围内。c)各逻辑通信接口上的数据流应相互分离。宜具有以下功能：e)各逻辑通信接口之间的数据并行处理；f)某逻辑通信接口的数据优先处理；g)同一个逻辑通信接口不应泄露在之前通信交互中的残留数据。6.1.3任务管理应具有以下功能：a)管理片上操作系统信息、应用信息和应用权限信息；b)处理应用选择指令，包括应用选择、应用在不同逻辑通道上被选择和应用去选择等操作；c)对接收到的指令进行分发，将指令转给对应的应用进行处理；d)按照遵循的数据通信协议解析任务数据并返回明确的处理结果。宜具有以下功能：e)每个逻辑通道上分配独立资源以便任务能独立运行。6.1.4事务管理事务管理包括原子操作及事务操作，应具有以下功能：a)非易失性存储器单次写入具备原子操作的能力；b)非易失性存储器多个地址同时写入具备事务操作的能力。6.1.4存储管理6.1.4.1易失性存储器管理应具有以下功能：a)分配易失性存储器空间；b)释放易失性存储器空间；c）读取易失性存储器空间数据；d）将数据写入易失性存储器空间。宜具有以下功能：f)易失性存储器空间的碎片整理；g)回收泄漏的易失性存储器空间。6.1.4.2非易失性存储器管理应具有以下功能：a)分配非易失性存储器空间；b)释放非易失性存储器空间；c）读取非易失性存储器空间数据；d）将数据写入非易失性存储器空间。宜具有以下功能：f)非易失性存储器空间的碎片整理。6.1.5异常管理7GB/TXXXXX.1—XXXX应具有以下功能：a)异常处理机制，当程序在运行过程中遇到不可预期的错误或条件时，能正确处理这些情况，而不是使程序直接崩溃或产生不确定的结果。宜具有以下功能：b)对各类异常进行分类，并返回相应的异常信息；c)抛出异常。当程序检测到错误或异常情况时，能创建一个异常对象并“抛出”它。这个异常对象通常包含有关错误的详细信息，如错误类型、错误消息等。e)捕获异常.程序可以声明它愿意处理特定类型的异常。当该代码块执行过程中有异常被抛出时，如果异常的类型与程序声明的类型匹配，可以“捕获”该类异常。6.1.6文件系统若支持文件系统，应具有以下功能：a)支持一种或一种以上类型的文件系统；b)支持文件的创建、读写和删除操作。宜具有以下功能：d)定义文件的类型和目录结构；e)定义文件的标识和属性。6.1.7应用安装器若支持应用后下载，应具有以下功能：a)加载应用。将应用的代码和数据从片上操作系统外部加载到非易失性存储器中；b)安装应用。生成应用实例，配置必要的系统资源如注册表项等以便用户可以运行和访问该应用；c)分条或分包应用下载的顺序检测和处理机制；d)加载、安装、删除过程中的冲突、内存不足、下载过程中断等异常处理机制；e）加载应用的完整性检测与处理机制；f)删除应用。从非易失性存储器中移除应用的代码、数据、注册表项和配置设置。6.1.8执行器若支持应用后下载，应具有以下功能：a)执行应用。运行应用程序以接收外部命令并进行响应；b)片上操作系统复位后，启动并初始化执行器，初始化完成后等待接收外部的命令；c)为运行中的各类型数据及方法调用分配资源；d)支持无效指令、栈溢出、空指针、无效地址、内存不足等情况的异常处理机制；e)具备应用间防火墙在内的各种安全机制，返回异常信息，并执行相关安全处理。宜支持以下功能：f)向下兼容基于历史版本片上操作系统实现的应用。6.2应用支持层6.2.1总则本章针对支持应用后下载的片上操作系统的功能进行规定，不支持应用后下载的片上操作系统可选择提供本章所述功能。6.2.2应用管理8GB/TXXXXX.1—XXXX应具有以下功能：a)应用安全管理，对卡及身份识别设备上的内容、应用以及卡外实体（发行方、应用提供方、授权管理者）进行安全管理，提供各类安全服务，包括安全通道、相应的安全级别定义、安全消息机制、密钥管理、安全运算、授权代理等；b)应用内容管理，包括对应用版本信息、应用引用包信息、应用敏感信息的管理；c)应用的加载、安装和删除管理，包括对应用的加载初始化、代码的传输、代码加载结束、应用实例安装、配置及删除等过程中的冲突、执行顺序等管理；d)应用注册信息的管理，包括应用标识、应用名称、应用权限、存储资源占用、应用生命周期状态的管理；e)应用权限的管理，包括权限的定义、分配、以及应用相关请求合法性的检测；f)应用的选择及命令分发机制。6.2.3生命周期管理应具有以下功能：a)卡及身份识别安全设备、可执行文件/可执行模块、应用的生命周期状态定义；b)卡及身份识别安全设备、可执行文件/可执行模块、应用的生命周期状态转换规则；c)卡及身份识别安全设备、可执行文件/可执行模块、应用的生命周期状态和请求行为合法性检测。6.2.4应用全局服务宜具有以下功能:a)允许具有特殊权限的应用注册一个或多个全局服务，或者取消已经注册的全局服务；b)应用通过唯一的服务名对全局服务进行访问。6.3应用接口层6.3.1总则本章仅规定了片上操作系统应用接口层的接口定义，具体实现可视应用场景裁剪。6.3.2算法接口6.3.2.1随机数生成算法具有以下接口：a)生成随机数。用于生成一个或多个指定格式或范围的随机数；b）随机数运算构建。用于构建基于随机数的复杂运算逻辑；c）设置随机数种子。用于设置随机数生成器的种子值，根据该种子值可以产生不同的随机数序列；d）随机数运算空间释放。用于释放随机数运算构建流程所占用的内存空间。6.3.2.2密钥管理具有以下接口：a)创建密钥。用于创建新的指定密钥属性、类型和长度等参数的对称密钥；b)产生密钥对。用于生成包含公钥和私钥的密钥对；c)安全读取密钥。用于通过身份验证、权限检查和访问控制等安全措施读取片上操作系统中的密钥；d)安全导入密钥。用于将已有的密钥安全地导入到片上操作系统中；9GB/TXXXXX.1—XXXXe)检查密钥是否已经初始化；f)清除密钥数据。用于清除密钥所有相关信息，以确保其无法被恢复或重新使用，减少密钥泄露和滥用的风险；g)密钥空间释放。用于释放已删除或不再使用的密钥所占用的存储空间。6.3.2.3加解密具有以下接口：a)算法运算类型构建。用于选择和构建特定的加解密算法运算类型；b）算法运算模式、运算所需密钥参数的初始化。用于在加解密运算之前对算法运算模式和密钥参数进行初始化，可设置算法的加解密模式及填充方式等；c）累积计算运算数据。用于将待加密或解密的数据分块或流式地输入到算法中进行累积计算；d)加解密运算操作。用于执行加解密运算操作。对于加密操作，接口将接收明文数据并输出加密后的密文；对于解密操作，接口将接收密文数据并输出解密后的明文；e）算法空间释放。释放算法所占用的临时数据、缓存和状态信息空间。6.3.2.4签名验签具有以下接口：a)算法运算类型构建。用于选择和构建签名或验签的算法运算类型；b）算法运算模式、运算所需密钥参数的初始化。用于在进行签名或验签之前对算法运算模式和密钥等参数进行初始化；c）累积计算运算数据。用于将待签名或验签的数据分块或流式地输入到算法中进行累积计算；d）签名。用于执行签名操作，使用初始化时设置的参数和算法对待签名数据生成签名值；e)验签。用于执行验签操作，接收签名值、待验签数据和用于验签的密钥参数，通过比较生成的签名值和提供的签名值，验证提供的签名值是否正确；f）算法空间释放。释放算法所占用的临时数据、缓存和状态信息空间。6.3.2.5摘要算法具有以下接口：a）摘要运算构建。用于创建一个摘要算法的实例并进行算法类型等配置；b)初始化。用于初始化摘要算法的内部状态，为处理新的输入数据做准备；c)更新数据。用于向摘要算法提供待处理的数据块。这些数据块可以是任意大小，算法将按照其内部逻辑逐步处理这些数据，并更新其内部状态；d)计算摘要。用于算法的最终计算，生成输入数据的摘要值。；e）获取摘要的长度。用于获取摘要计算结果值的长度；f）获取算法类型。用于获取当前摘要算法的类型；g）复位摘要算法。用于将摘要算法重置为其初始状态，但不释放已分配的资源；h）算法空间释放。释放算法所占用的临时数据、缓存和状态信息空间。6.3.2.6密钥协商算法具有以下接口：a）密钥协商运算构建。用于构建密钥协商算法的实例，设置算法所需的基本参数，如加密算法类型、密钥长度等；b)初始化。进行算法的初始化，包含设置会话参数、加载密钥等；GB/TXXXXX.1—XXXXc)计算密钥协商秘密数据。用于在双方或多方参与密钥协商的过程中，执行一系列复杂的数学运算和逻辑操作，以生成一个或多个共享的密钥；d)获取算法类型。用于获取当前密钥协商算法类型；e)算法空间释放。释放算法所占用的临时数据、缓存和状态信息空间。6.3.3数据通信接口具有以下接口：a)收取指令。用于从外部设备接收指令；b)发送指令。用于向外部设备发送指令；c)获取指令数据长度；d)获取指令执行状态；e)指定偏移收取指令数据。用于从指定的偏移量收取指令数据；f)指定偏移发送指令数据。用于从指令的偏移量发送指令数据；g)获取当前通道号。在某些应用中，设备可能支持多个通信通道，此接口用于获取当前正在使用的通道号。6.3.4存储管理接口具有以下接口：a)申请空间。用于根据可用资源和请求的大小分配一定数量的存储空间，并返回指向该空间的引用或句柄；b)释放空间。用于释放已分配的空间；c)获取数组大小。用于返回指定数组的大小；d)原子拷贝数组。用于原子性拷贝数据数据；e)非原子拷贝数组。用于非原子性地拷贝数据数据；f)比较数组。用于比较两个数组的数据内容是否相同；g)读取数组。用于从数组中读取数据；h)更新数组。用于修改数组中的数据；i)填充数组。用于使用指定的数据值填充数组的一部分或全部；j)获取剩余空间。用于返回存储系统中当前可用的剩余空间量。6.3.5异常管理接口具有以下接口：a)抛出指定类型异常。用于在代码中的特定位置抛出特定类型的异常；b)获取异常类型。用于获取被捕获异常的类型；c)抛出指令状态码。用于抛出指令的状态码或状态字。6.3.6文件系统接口具有以下接口：a)创建文件。用于在文件系统中创建一个新的文件；b)读取文件。用于从文件中读取数据；c)更新文件。用于修改文件的内容；d)修改文件大小。用于调整文件的大小；e)获取文件信息。用于获取有关文件的各种信息；GB/TXXXXX.1—XXXXf)删除文件。用于从文件系统中删除一个文件，并释放与该文件关联的所有资源。6.3.7应用管理接口具有以下接口：a)应用安装。用于将应用程序安装到片上操作系统中；b)应用注册。用于将应用程序的信息添加到片上操作系统的注册表中；c)应用删除。用于从片上操作系统中删除已安装的应用；d)应用选择。用于从多个已安装的应用实例中选择一个应用进行特定的操作或处理；e)应用去选择。用于取消之前选择的应用；f)设置应用生命周期。用于设置应用的生命周期状态；g)获取应用生命周期。用于获取应用的生命周期状态。6.3.8通用接口具有以下接口：a)启动事务。用于开始一个事务；b)提交事务。用于提交一个事务，即确认事务中的操作，并使其永久化。如果事务成功，那么所有在事务中进行的更改都将被保存；c)终止事务。用于终止并撤销一个事务，并回滚事务中的更改。如果事务失败或出现错误，可以使用这个接口来撤销所有在事务中进行的更改；d)获取事务深度。用于返回当前嵌套事务的层数；e)获得版本号。用于获取片上操作系统的程序版本号；f)获取设备生产信息。用于获取设备生产相关的信息；h)获取应用AID。用于获取分配给每个应用的唯一标识符；i)设置设备生命周期。用于设置设备的生命周期；j)获取设备生命周期。用于获取设备的生命周期；g)获得应用共享接口。用于获取一个或多个应用程序之间共享的接口。7性能要求7.1时间特性应结合具体应用，从以下方面评价片上操作系统的时间特性：a)与外部通信的传输速率；b)一条指令或多条指令集的处理时间；c)安全算法执行时间；d)数据读写时间；e)若支持应用后下载，应用的加载、安装、删除时间。7.2资源利用性应结合具体应用，从以下方面评价片上操作系统的资源利用性：a)内存使用效率；b)工作寿命；c)功耗；GB/TXXXXX.1—XXXXd)若支持文件系统，能创建的目录和文件的个数及深度；e)对资源非法操作的检测。宜结合具体应用，符合应用的以下要求：f)支持设定创建目录和文件的最大个数和深度。7.3容量应结合具体应用，从以下方面评价片上操作系统的容量：a)可用的易失性存储器空间大小；b)可用的非易失性存储器空间大小；c)支持的安装包个数；d)支持的应用加载个数；e)支持的应用安装个数。7.4兼容性要求7.4.1互操作性应从以下方面评价片上操作系统的互操作性：a)提供给应用的统一操作接口；b)提供与外部交互的统一操作接口。7.4.2应用兼容性若支持应用后下载，应从以下方面评价片上操作系统的应用兼容性：a)加载、安装符合应用接口层标准的应用;b)支持的应用类型包含安装后可直接执行的应用类型和安装后边解释边执行的应用类型。若支持应用后下载，宜符合以下要求：c)同时支持一种或一种以上应用类型。7.4.3外部设备兼容性应兼容符合通信协议标准的外部设备。7.5易用性要求7.5.1易学性应提供清晰、准确、有效的用户使用手册。7.5.2易操作性应符合以下要求：a)提供片上操作系统代码开发、编译和调试环境；b)提供片上操作系统代码加载工具；c)若支持应用后下载，提供应用开发、编译和调试环境；d)若支持应用后下载，提供应用加载、安装、删除工具。宜符合以下要求：e)支持片上操作系统和应用代码的自身完整性校验。GB/TXXXXX.1—XXXX7.6可靠性要求7.6.1掉电保护异常掉电事件发生时，应提供对非易失性存储器数据的保护。7.6.2均衡擦写宜提供对非易失性存储器的均衡擦写机制。7.6.3坏区处理宜提供对非易失性存储器的坏区识别和处理机制。8安全要求8.1随机数生成器应具有随机数生成功能。8.2密码运算宜具有密码运算功能。8.3安全功能宜具有以下安全功能：a)使用密码算法实现以下安全特性：b)安全用途：c)支持应用所需的抗攻击能力。8.4权限管理应提供以下权限管理：a)对敏感数据（如密钥、生物特征识别数据等）和代码进行访问控制，防止在未授权情况下被访问、修改或删除；b)依据生命周期模型对系统服务进行权限控制（例如，下载模式下可用的某些功能应在交付给最终用户后关闭），防止系统服务被滥用；GB/TXXXXX.1—XXXXc)支持应用间隔离，防止应用中的数据被其他非授权应用访问或使用。宜提供以下权限管理：d)依据GB/T25062标准的基于角色的访问控制模型。若支持应用后下载，可提供以下权限管理：e)应用之间的数据共享访问机制。8.5安全接口宜依据GB/T37092标准,提供以下安全接口：a)对外提供安全接口前，对自身做完整性校验和算法正确性检测；b)算法设置、密码设置、填充方式设置等安全功能调用的接口。GB/TXXXXX.1—XXXX（资料性）应用编译、加载、安装、执行流程图3说明了支持应用后下载的片上操作系统管理应用的流程