AVA_VAN 是什么?CC 认证里的漏洞分析等级详解
AVA_VAN 来自 Common Criteria(ISO/IEC 15408),CRA 把它写进 3 个硬件子类的强制要求。这篇文章把 5 个等级、3 处法规要求、实操预算讲清楚。
为什么你应该认识这个字段
打开 OJ L 2025/2392(CRA 分类实施条例),你会在 Annex I §3、§4 和 Annex II §3 三个地方看到一个奇怪的字符串:AVA_VAN.2 / AVA_VAN.3 / AVA_VAN.4。
这是 CRA 法规里唯一带量化下限的合规字段。它决定了三件事:
- 你的硬件需不需要送 CC(Common Criteria)实验室;
- 测试要覆盖到什么档位的攻击者;
- 你的合规预算是 €0 还是 €80k–€200k。
AVA_VAN 到底是什么
AVA_VAN 是 Common Criteria(ISO/IEC 15408)的一个保证组件标识,拆开:
AVA_VAN
│ │
│ └── VAN = Vulnerability Analysis(漏洞分析)
└────── AVA = Assurance: Vulnerability Assessment(保证:漏洞评估)
一句话:AVA_VAN.N 回答的是"攻击者得多牛、得花多少钱多少时间,才能攻破这个芯片或卡片?"
数字越大 = 抗攻击越强 = 评估越贵越严。
测试方法学定义在 ISO/IEC 18045(Common Methodology for Information Technology Security Evaluation)。
5 个等级阶梯
| 等级 | 防御能力 | 假想攻击者画像 | 典型场景 |
|---|---|---|---|
| VAN.1 | 防菜鸟 | 业余黑客,公开工具 | 普通软件 |
| VAN.2 | 防初级 | 入门白帽,少量自定义工具 | CRA Class II 防篡改芯片下限 |
| VAN.3 | 防中级 | 有经验的专业人士,自研工具 | CRA Class II 防篡改芯片上限 |
| VAN.4 | 防高级 | 资深专家 + 专业设备(显微镜、激光、侧信道分析仪) | CRA 关键产品 / TPM / 支付智能卡 |
| VAN.5 | 防国家级 | 国家级实验室,数百万欧元设备 | 军事级(CRA 不要求) |
CRA 用到的只有 VAN.2 / .3 / .4 三个等级。
CRA 里 AVA_VAN 出现的三个位置
| 档位 | 类别 | 阈值 | 法律来源 |
|---|---|---|---|
| Class II §3 | 防篡改微处理器 | AVA_VAN ≥ 2 或 3 | OJ L 2025/2392 p.9 |
| Class II §4 | 防篡改微控制器 | AVA_VAN ≥ 2 或 3 | OJ L 2025/2392 p.10 |
| 关键产品 §3 | 智能卡 / 安全元件(TPM / eUICC / 支付卡等) | AVA_VAN ≥ 4 | OJ L 2025/2392 p.11 |
法律授权(Whereas (8), p.2–3):
"AVA_VAN level is an extensively used and standardised way to express such a level of resistance. ... It is appropriate to allow for AVA_VAN levels to be expressed by referring to either the latest version or older versions of those standards."
翻译:用 CC v3.1 或更早版本出的证书 都算合规,不强制最新版。
怎么"拿到" AVA_VAN.X
AVA_VAN 不是你自己评出来的,它由 CC 认证实验室按 ISO/IEC 18045 攻击测试,最后写在证书上。
芯片厂商
↓ 把芯片送去 CC 认证实验室
↓ 实验室按 ISO/IEC 18045 方法学做攻击测试
↓ 出具 Common Criteria 认证证书
↓ 证书上写着:AVA_VAN.3 / AVA_VAN.4 等等
↓
用户(CRA 合规时)→ 拿出这张证书 = 满足 CRA 的量化要求
所以正确的合规流程是:先拿 CC 证书 → 再做 CRA 技术文档,而不是反过来。
实操:预算与周期
下面是业界经验值,非法律事实,仅供项目预算参考:
| 项目 | 经验值 |
|---|---|
| CC 认证周期 | 6–12 个月 |
| AVA_VAN.2 / .3 评估费 | €80k – €120k |
| AVA_VAN.4 评估费 | €150k – €200k |
| AVA_VAN.5 评估费 | €300k+(CRA 不要求) |
| 国内可选 CC 实验室 | 信通院、中国赛宝、中国电子等 |
| 欧洲常用 CC 实验室 | SERMA、Brightsight、TÜViT、SGS Brightsight 等 |
选实验室的 5 条建议
- 看目标 VAN 等级是否覆盖:不是所有实验室都有资格做 VAN.4 / .5,VAN.4 通常要求 ITSEF 级实验室;
- 看证书互认协议:CCRA(Common Criteria Recognition Arrangement)和 SOG-IS 是两个互认圈,欧洲市场优先选 SOG-IS 成员的实验室出的证;
- 先做 Pre-evaluation:在签正式合同前付一笔小钱做差距分析,能省去后期 30% 返工;
- 样品要够:物理攻击会破坏样品,准备至少 10–20 颗芯片样品;
- 同步做 PP(Protection Profile)映射:如果有现成 PP(比如智能卡的 BSI-CC-PP-0084),按 PP 评估比从零写 ST(Security Target)便宜得多。
在分类工具里的落地
我们的 CRA 分类判定工具 只在用户同时满足以下条件时才弹出 AVA_VAN 问题:
- 在「产品组件」里勾选了:防篡改微处理器 / 防篡改微控制器 / TPM / eUICC / HSM / 智能卡 / 支付终端 / 安全元件;
- 用户角色 = 硬件制造商。
软件用户、SaaS 用户、消费硬件用户完全不会看到这个问题 → 零打扰。
如果用户回答"已通过 CC 认证 + 证书等级 ≥ 要求",系统判 ✅;如果"未做认证"或"AVA_VAN.1",系统判 ❌ 并给出预算 / 周期建议。
总结
- AVA_VAN 是 Common Criteria 标准(ISO/IEC 15408)里的漏洞分析等级;
- CRA 只在 3 个硬件子类强制 AVA_VAN(Class II §3/§4 → ≥2 或 3;关键 §3 → ≥4);
- 它必须由 CC 实验室出具证书,不能厂商自评;
- 合规策略:先做 CC 评估,再拿证书做 CRA 技术文档;
- 接受 CC 最新版或旧版(v3.1 仍合规)。