GB T 31507-2015 信息安全技术 智能卡通用安全检测指南.pdf

1、ICS 305.40 L 80 :-;.-:;-iII n飞二.二二.元.王吉、1，7一一一一一一一一一一气二二二号.飞.画面中华人民共和国国家标准GB/T 31507-2015 信息安全技术智能卡适用安全栓京;12民Info:rmation security techn.cgy-General testing guide for security of SIT.l号时:c立了d2015-05-15发布2016-01-01实施气。，。俨的产呼中华人民共和国国家质量监督检验检瘦总局啦舍中国国家标准化管理委员会。叩中华人民共和国国家标准信息安全技术智能卡迪刷去全撞副指南GB/T 31507-201

2、5 号等中国标准出版社出版发行北京市朝阳区和平里西街甲2号(100029)北京市西城区三里河北街16号(100045)网址总编室:(010)68533533发行中心:(010)51780238读者服务部:(010)68523946中国标准出版社秦皇岛印刷厂印刷各地新华书店经销* 开本880X12301/16 印张3字数83千字2015年5月第一版2015年5月第一次印刷祷书号:155066. 1-51176定价42.00元如有印装差错由本社发行中心调换版权专有侵权必究举报电话:(010)68510107GB/T 31507-2015 目次前言. . . . . . . . . . . . .

3、. . . . . . . m 1 范围. . . 2 规范性引用文件. 3 术语、定义和缩略语4 智能卡安全检测总则. . . . 3 4.1 受测件的一般模型4.2 检测主体和客体. . . 4 4.3 检测目的. . . . . . . . . . 4 4.4 检测依据. 4.5 检测内容. . . . . . . . . . . . . 5 4.6 检割要素. . 4.7 检测过程.5 安全功能查证5.1 概述5.2 实施说明. . . . .叫.，.川.噜85.3 实施内容. . . . . . . . . . . . . 8 6 渗透注检测. . . . .11 6.1 概述. .

4、 6.2 渗透性检测准备. . . . . . . . . . . 12 6.3 渗透性检测实施方案. . . . . . . . . . 13 6.4 渗透性检测实施. . 6.5 渗透性检测报告制7 检测报告. . 15 7.1 概述. . . . . . . 15 7.2 报告主要内容. . . . . 15 7.3 关于攻击场景的描述尺度. . . . 15 附录A(资料性附录)智能卡安全功能集. . . . 16 附录B(资料性附录)智能卡攻击方法. . . . 20 附录C(资料性附录)智能卡安全检测框架. . . 23 附录D(资料性附录)主题检测大纲文件结构举例. . . 26

5、 附录E(资料性附录)定制化服务的检测方案模桓. . . 30 附录F(资料性附录)实验室准备与启动. . . 32 附录G(规范性附录)智能卡安全检测分级方法. . . 38 参考文献. . . . . . . . . . 42 I GB/T 31507-2015 图1封闭结构的智能卡产品. . . . . . . . . . . . . . . . 3 图2开放结构的智能卡产品. . . . . . . . . . . . . . . . . . 3 图3智能卡芯片的基本结构. . . . . . . . . . . . . . . 4 图4检测要素. . 图5检测过程图6安全功能查证=输

6、人、过程和输出. 图7安全功能查证主要内容. . . . . . . . . . . . . . 8 图8文档审查z输入、输出. . . . . . . . . . . 9 图9源代码检查z输入、输出. . . . . . . . . . . . . . 9 图10独立性安全功能检测z输入、过程和输出. . . . . . . . . . . . . . . 10 图11渗透性检测z输入、方法、工具、技术和输出. . . . . . . . . . . . . . 12 图12渗透性检测过程. . . . . . . . . . . . . . 14 图C.l渗透性芯片层检测框架示例图. .

7、. . . . . . . . . . . . . . 25 图F.1准备与启动阶段的三个子阶段. . . . . . . . . . . . . 32 图F.2实验室准备=输人、准备过程和输出图F.3项目准备z输入、输出. . . . . . . . . . . . . . . . . . . . . 34 图F.4检测内容与边界. . . . . . . . . . . . . . . . 35 表C.l检测用例模板. . . . . . . . . . . . . . . . . . 24 表D.lMCC01-1半侵人-芯片准备-1. . . . . . . . . . . . . .

8、. . . . . . . 28 E . GB/T 31507-2015 前首E习本标准按照GB/T1.1-2009给出的规则起草。本标准由全国信息安全标准化委员会(SAC/TC260)提出并归口。本标准起草单位z国家信息技术安全研究中心、中国电子技术标准化研究院、国民技术股份有限公司、中国信息安全测评中心、中国金融电子化公司标准化中心。本标准主要起草人z方进社、宫亚峰、隋忻、贾嘉、熊克琦、张正义、王欢、杜楠、陈星、高建、牟宁波、张聊斌、杨永生、李国俊、韩建国、田小雨、赵晓荣。阳皿信息安全技术智能卡通用安全检测指南1 范围本标准规定了智能卡类产品进行安全性检测的一般性过程和方法。本标准适用于智

9、能卡安全性检测评估和认证。2 规范性引用文件GB/T 31507-2015 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注目期的版本适用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改单适用于本文件。GB/T 20276-2006信息安全技术智能卡嵌入式软件安全技术要求CEAL44培强级)GB/T 22186-2008 信息安全技术具有中央处理器的集成电路口。卡芯片安全技术要求(评估保证级4增强级)CCDB-2008-04-001 智能卡的潜在应用攻击CAppli.:a.tionof Attack Potential to Sma.rtcds V.2.5) 3 术

10、语、定义和缩暗语3.1 术语翻定义下列术语和定义适用于本文件。3.1.1 智能卡smart card 具有中央处理器(CPU)的集成电路。C)卡，是将一个具有中央处理器的集成电路芯片镶嵌于塑料基片中，并封装成卡的形式。注z从数据传输方式上可分为接触式智能卡和非接触式智能卡。3.1.2 智能卡产品smart card production 具有CPU集成电路芯片和芯片操作系统的智能卡，且包括非标准形态但同样具有CPU集成电路芯片和芯片操作系统的产品。注2智能卡产品的标准形态和技术规格被GB/T14916-2006和GB/T16649系列国家标准以及ISO/IEC7816、ISO/IEC 1444

11、3国际标准所规定z智能卡产晶整体可作为复合性受测件。3.1.3 姐立安全功能撞测independent security Cunctional t四ting由评估者(或其委托的具有资质的专业实验室)所独立进行，但要根据并参考开发者的功能检测文档和(或)利用开发者的检测资源，对智能卡安全功能集合的子集(参见附录A)和检测文档抽样进行的安全功能检测。GB/T 31507-2015 3.1.4 渗道性检副penetration testing 由评估者基于对受测智能卡的脆弱性分析而进行的，以获取智能卡的安全资产、旁路或破解智能卡的安全机制为目标，以模仿攻击技术为手段(参见附录B)的安全性检测。3.1

12、.5 侵入栓刮invasive t四ting掺透性检测的一类。通过打开芯片的封装并取出片芯，使用精密电子设备对片芯的物理结构和电路信号进行观察、测量，或改变某些电路单元的功能以获取密钥等敏感信息，检测芯片对侵入攻击的防御能力。3. 1.6 半侵入检测semi-invasive tesling 渗透性检测的一类。通过打开芯片的顶部或底部封装层，在其运行的特定时刻使用光注人、电磁操纵、放射线注入等手段，以获取敏感信息，检测芯片对半侵人攻击的防御能力。3. 1.7 非僵入栓测80B问invasivet四ting渗透性检测的一类。不对芯片进行任何物理损伤或改变，在其运行的特定时刻，通过采集并观察其能耗

13、、时间或电磁辐射等物理量，并进行相应分析以获取敏感信息;或通过故障引人方式和差错分析的方法检测芯片对非侵入攻击的防御能力。3.1.8 评估者evalnator 所涉及的检测受测件活动及其安全性评估活动的执行者，通常由专业的智能卡安全检测、评估人员或机构担任。3. 1.9 蚕托者(委托方)sponsor 委托人可以是政府或行业管理部门，亦可以是检测对象(受测件)的设计者、开发者、制造者、拥有者或其应用系统的业主等。3.1.10 其他角色other ruler 受测件的设计、开发、制造和使用人员。3. 1. 11 虚拟机virtoal machine 通过软件模拟的具有完整硬件系统功能的一种特殊的

14、软件，在计算机平台和终端用户之间创建一种环境，而终端用户则是基于这个软件所创建的环境来操作软件。3.2 缩暗语2 下列缩略语适用于本文件。CC: 信息安全评估通用准则(CommonCriteria for Information Technology Security Evalu ation) CEMCC:体系中信息安全评估方法论(CommonMethodology for Information Technology Secu-rity Evaluation) COS: (智能卡芯片操作系统(ChipOperating System) CPU: 中央处理器(CentralProcessing

15、 Unit) EAL: 评估保证级(EvaluationAssurance LeveD EEPROM:电可擦除可编程只读存储器(Electrically-Erasable Programmable Read-only Memory) GB/T 31507-2015 FLASH: 闪存(Flashmemory) IT: 信息技术(lnformationTechnology) 1/0: 输入/输出(lnputjOutput) IC: 集成电路(lntegratedCircuit) PP: 保护轮廓(ProtectionProfile) RAM: 随机存取存储器(Random-AccessMemor

16、y) ROM: 只读存储器(Read-OnlyMemory) ST: 安全目标(SecurityTarget) 4 智能卡安全检测总则4.1 受测件的一般模型4.1.1 封闭结构的智能卡产品封闭结构的智能卡产品即所谓Native卡产品，它们的COS通常是专门为某类应用或某个行业开发的，其操作系统与应用密切相关，所以一般不具有通用性。基本结构如图l所示。应用软件操作系统(OS)专用测试软件智能卡芯片硬件图1封闭结掏的智能卡产晶4.1.2 开雄结构的智能卡产晶嵌入式软件开放结构智能卡产品，在其操作系统层与应用层间夹有一个虚拟机层面，各类不同应用程序可灵活加载、运行或卸载，见图2。典型产品如JAVA

17、卡。应用程序应用程序虚拟机操作系统(OS)专用服务软件专用测试软件智能卡芯片硬件圈2开放结构的智能卡产晶嵌入式软件3 GB/T 31507-2015 4.1.3 智能卡芯片智能卡芯片由微处理器、安全电路组件、时钟电路、复位逻辑和输入/输出端口和存储器组成，可能还有硬件的随机数发生器和密码算法协处理器。芯片还可包括用于制作期间的检测专用软件。专用软件(也称为芯片固件)，除检测外也可提供附加服务(如COS可调用的底层程序库).除芯片专用软件外，芯片中还可能包含进行检测的硬件。在芯片上运行的所有其他软件都称为嵌入式软件，不属于芯片的一部分，见图3.Clock Circuitry (时钟电路)Rese

18、t Logic (复位逻缉)ROM!Flash 只读存储器/快速擦写)-IC专用软件I/OIn能rface(输入/输出接口)CPU(中央处理器)EEPROM!Flash (电擦除可编程只读存储错/快速擦写)一数据Sec町ityCircuitry (安全电路)Proc届四r(密码处理器)圈3智能卡芯片的基本结构注2智能卡芯片可独立成为受测件。4.1 .4 智能卡嵌入式软件嵌入式软件指存储在智能卡卡内并可运行的软件，主要功能是控制智能卡和外界的信息交换，管理智能卡的存储器并完成各种命令的处理。嵌入式软件可存储在非易失性非编程存储器(只读存储器)内，也可存储于非易失性可编程存储器例如EEPROM或闪

19、存)内。嵌入式软件一般由基础软件(操作系统、通用例程和解释器)和应用软件组成，并且不是由芯片商开发的。嵌入式软件的基本模型可见图1和图2中嵌入式软件部分。注g智能卡嵌入式软件也可独立成为受测件。4.2 检测主体和窑体4.2.1 主体检测主体为检测者和评估者。4.2.2 客体检测客体即受测件，它们一般为智能卡芯片、智能卡嵌入软件或智能卡产品。4.3 检测目的检测目的指为智能卡芯片、嵌入式软件和智能卡产品的设计、生产、应用提供安全性评估的客观依据.GB/T 31507-2015 4.4 检测依据检测依据指依据有关标准及其相关技术文档和委托方确认文件实施检测。4.5 栓测内容4.5.1 检测内容定义

20、检测内容是关于检测主体对检测客体所进行的实验性技术活动的描述。4.5.2 检测框架检测框架是关于检测内容的模念和分类的结构性定义。参见附录C。4.6 检测要素4.6.1 栓副要素分布检测要素分布在检测的输入、保障条件、输出等方面，见图4.输入1.受测件32.检测所依据的标准33.相关技术资料4.6.2 检副要素z输入保湾条件1.检测设备32.检测技术g3.厨主主控制体系z4.测试组圄4幢翻要去检测要素中输入是按照检测框架和检测内容进行设置。输入项如下:a) 受测件21) 智能卡芯片。2) 智能卡嵌入软件。3) 复合性智能卡产品。b) 检测所依据的标准z输出1.检报告32.检部记录官方发布的各类

21、标准或检测机构自己制定的检测技术文件。参见附录D.c) 相关技术资料z有关受测件的各类技术资料。4.6.3 检测要蠢z保障条件检测要素中的保障条件为检测正常进行的前提条件。保障条件如下za) 检测设备z检测机构为完成检测活动所需配备的软、硬件设备。可参考CCDB-2009-03-003及Joint Interpretation Library-Application of Attack Potential to Smatcard-V. 2. 7. February 2009. b) 检测技术z检测者为完成检测活动所需掌握的知识和技能。可参考CCDB-2009-03-003及Joint Inte

22、rpretation Library-Application of Attack Potential to Smatcard-V. 2. 7. February 2009. 5 GB/T 31507-2015 c) 质量控制体系z检测机构为保证检测质量而制定的管理体系.d) 检测组z检测机构为完成检测任务而建立的组织。4.6.4 检测要素E输出检测要素的输出是针对检测方案按照检测计划实施后的实际检测结果。输出项如下za) 检测报告z检测者在检测活动完成后根据检测结果撰写的提交给委托方或认证机构的报告性文挡。详见第7章。b) 检测记录z检测者在检测活动中记录检测信息的文挡。4.7 栓刮过程一个智

23、能卡芯片和嵌入式软件或复合产品智能卡的安全检测评估过程可分为4个阶段，见图5: 阶段-.准备与启动。参见附录E、附录Fo阶段二z安全功能查证。阶段三z渗透性检测。阶段四z检测报告。准备与启动掺远位检测圈5检测过程5 安全功能查证5.1 辄述5. 1. 1 阶段主要任务安全功能查证的目的是对受测件做出基本的安全功能和生命周期各环节安全保障措施的检查和验证。方法是通过阅读、研究受测件的技术文档和管理文档，寻找、分析、检查、确认设计者已经依据某级别安全功能和安全保障要求设计了相应的安全功能及其安全保障措施，以及这些安全功能和安全保障措施的合理性、合规性、必要性和充分性z并通过检测手段确定这些安全功能

24、设计在受测件上工程实现的有效性和活跃性E在安全保障措施的检查中，检测者还应通过现场检查和实验室检测手段证明受测件样品与同型号量产产品在品质上的一致性，见图606 GB/T 31507-2015 输入1.受测件32.安全功能要求z3.安全功能设计文档34.测试文档35.与检测相关的其他信息5.1.2 安全功能查证z输入方法与技术1.文挡审查z2.摞代码审查33.独立性安全功能翻试34.现场检查g5.安全功能综合分析固6安全功能查证z输入、过程和输出输出1.安全功能综合分析报告，2.检测记录，3.其他文档安全功能查证中输人按照检测方检测方案进行设计，达到最合理与优化。输入项如下:a) 受测件z任务

25、启动阶段委托方向检测方正式交付的受测样本;b) 安全功能要求z受测件设计阶段所参考、依据的安全功能要求文件，如pp或其他形式的规范、标准;c) 安全功能设计文档z受制件开发者制作的ST文件和其他有关设计文件，详见5.3.5.1b); d) 检测文档z开发者的安全功能检测文档，详见5.3.5.1c)。5.1.3 安全功能查证:方法与技术安全功能查证中方法与技术室针对检测方案进行鉴别选择。方法与技术如下za) 文档审查(见5.3.2); b) 源代码审查(见5.3.4); c) 独立性安全功能检测z通过抽取选择甚至完全重复设计者的安全功能检测以证明设计者所设计的安全功能的实现情况(见5.3.曰:d

26、) 现场检查(见5.3.3); e) 安全功能综合分析:检测者从通过上述几种手段正面理解受测件安全功能的设计者的意图和思路，确认受测件安全功能的实现情况，并与设计者依据的安全功能要求文件进行比对和分析，得出这些安全功能要求包括安全保障要求是否得到满足的结论z5. 1.4 安全功能查证z输出安全功能查证中输出按照检测方的检测方案与计划进行查证，输出结果。输出项如下za) 安全功能综合分析报告z检测者的过程性中间报告，是检测者审查、分析开发方依据的安全功能要求、开发方的安全功能设计文挡和实施源代码审查、现场检查、独立性安全功能检测等检测工作后得出的分析结论。结论应明确指出受测件的安全功能与开发方所

27、声称依据的安全功能要求的一致性程度。b) 检测记录z检测者在本阶段检测活动中产生的所有记录，应妥善保存并归档。c) 其他文档z凡有可能成为下阶段输入的文档，均应保存;其他可销毁。7 GB/T 31507-2015 5.2 实施说明虽然某些有关智能卡检测的安全标准中不要求检测方进行安全性功能栓测，或者由于得不到委托方的有效资源支持，致使该级别检测所需要进行的文档审查、现场检查、源代码检查、甚至独立性安全功能检测都不能进行，安全功能查证工作仍可实施。例如检测者可根据所掌握的各类信息和相似受测件的检测经验进行脆弱性推论分析，也可以通过搭建模拟运行环境使受测件运行并采集其运行参数和数据来分析其安全功能

28、的存在性和有效性。5.3 实施内容5.3.1 主要内容安全功能查证的主要内容，见图1.探查E只E巴贯J EJI智能卡管理10 独立性安全功能测试源代码检查1.1tt.lIB 现场检查安全功能综合分析! 开发脚椭| iIL均可田园晶圄7安全功能查证主要内容5.3.2 文档审查为保证一定级别检测的质量和效率，检测者需或宜进行自盒检测，因此检测方应该要求委托方提供有关受测件足够的技术文档以支持安全性检测评估。这些文档包括:设计开发者的ST文档、低层和高层设计文件、指导性文档、源代码、安全功能强度分析报告和安全功能检测文档。检测方所需要的技术文档的重要性、详细度和机密性与所进行的安全评估等级和遵守的规

29、范相关。检测方不应向委托方索取超出所进行的安全评估等级所必需或所依照的标准之外的技术资料。文档审查的主要输出是文档评审意见，标明文档是否合格z当意见为不合格时，应通知委托方修改或补交，见图8.8 5.3.3 现场检查输入1. ST: 2.商、低层设计文街$3.源代码文铛s4.安全功能强度分析35.安全功能测试文梢输出1.文档评审意见g2.受测件知识$3.安全功能列表34.其他记录性文档圄8文档审查z输入、输出GB/T 31507-2015 现场指受测件的设计、开发、生产、初始化和个人化的工作现场。现场检查是检测者确认受测件依据的安全要求文档如PP)所规定的在生命周期各阶段应有的安全保障要求是否

30、被落实的重要手段。当进行中的检测评估活动所依据的规范、标准对现场检查有要求并且所计划的评估项目必须在这些现场得到证据时，检测者应要求委托者安排进行现场检查。检查中可对芯片和软件的设计环境、生产环境、中测环境、成测环境、算法灌装环境、重要参数预装环境、密钥管理环境，库房安全以及产品交付过程安全性进行全面考察，确认产品所处的各环节环境中对受测件安全资产及安全性不存在威胁和隐患。现场检查的具体内容和方法请参考CCMB-2007-09-004o5.3.4 源代码栓查5.3.4 .1 黯述源代码包括智能卡嵌入式软件源代码、专用软件掘代码(芯片固件源代码。当所进行的检测评估项目所依据的标准和级别要求检测受

31、测件的源代码，或检测方认为阅读受测件源代码能显著提高评估工作的质量和效率时，检测方可向委托方要求提供部分或全部摞代码。源代码检查的目的是为了让检测人员理解设计者的意图和思路以及各项安全功能的具体实现方法，是寻找受测件脆弱点的最有效方法之一，是目前彻底消除软件后门隐患的唯一途径，同时可为制定和实施渗透性检测计划提供思路和依据。源代码检查的输入、输出，见图9。输入1. ST; 2.源代码z3.真实性证据54说明文档5.3.4.2 源代码格式与栓测工具输出1.对受测软件的理解s2.安全功能强度和脆弱性分析53.其他记录性文档图9源代码检查z输入、输出委托方应使用文本格式将源代码提供给检测方。且源代码

32、应有详细的注释，以便评估者能够理解代码的各部分所代表的意义以及它们如何运行，此阶段中，若是需要用源代码，则受检方则要提供源代9 GB/T 31507-2015 码编译器。5.3.4.3 源代码在产品中使用的证据检测方需要有证据表明委托者提供的源代码确实是在智能卡的送检版本中使用的。这个要求适用于在智能卡中执行和载人的所有类型的代码。可通过以下两种方法提供证据z一一委托方提供一个声明，说明送检版本的代码是源代码一对一的编译结果，并给出编译工具的名称;一一委托方同时将送检版本的可执行代码提供给检测方，检测方自己将该可执行代码与由所交付的源代码编译后产生的可执行代码进行一致性比较。5.3.5 独立性

33、安全功能检测独立性安全功能检测的要素，见图10。1.受测件s2.安全目标z3.测试文档34.其他信息输入过程1.测试实施方案:2 抽样g3.测试围10独立性安全功能检制:输入、过程和输出5.3.5.1 独立性安全功能检测z输入检测方应按照独立性安全功能检测准备检测的输入项。输入项如r:a) 受测件z任务启动阶段委托方向检测方正式交付的受测样本。输出1.测试报告z2.检测记录:3.其他文档b) 安全目标z独立性安全功能检测的性质是功能符合性检测，所依据的安全功能设计文挡应为开发者的安全目标(ST)文挡。在开发者不能提供ST文挡的情况下，可参见附录A.或开发者依据pp文件。c) 检测文挡z开发者对

34、受测件进行安全功能检测时制作的文档，包括z检测计划、检测程序描述、预期的检测结果和实际的检测结果等。d) 其他信息:当委托方不能提供检测文档时，检测方可要求提供其他任何有助于进行安全功能检测的材料或信息。当检测实验室的检测环境缺乏某些设备或工具时，可以请求开发方协助提供，但在使用先要经过仔细鉴定。5.3.5.2 虫立性安全功能检测z过程检测方应按照独立性安全功能检测准备检测的过程要素项a检测过程要素如下za) 检测实施方案z检测者在审查、研究开发者的ST和安全功能检测文档的基础上制定出独立性安全功能检测实施方案。制定增量检测情况下的独立性安全功能检测方案时，需考虑的关键因素是本次提交检测的受测

35、件是否相比过去检测时增加了新的安全功能或保护措施，抑或对原有的安全功能或保护措施进行了改动，GB/T 31507-2015 若是，则可侧重考虑将新增加的安全功能列人检测方案z若元，则可根据以前的独立性安全功能检测报告内容选择不再进行独立性安全功能检测。选择不做独立性安全功能检测的根据应该是检测者能确定z若重复以往的检测用例，只能获得完全一样的结果。为此，检测者可适当做些实验进行证明。当受测件是复合性智能卡，即具有两个或两个以上开发者(芯片、操作系统和应用)时，检测者应注意分别选取所有各层面的安全功能子集和抽取每个开发者的安全功能检测文挡。在检测方案中应将各层面的检测用例明确分开，按照芯片层、操

36、作系统层再到应用层的顺序进行设计和实施。检测者还可以对所选取的安全功能子集或检测用例子集加以补充，增加自己的检测用例。补充和增加的前提是检测者对受测件的设计有深入理解，并对其安全功能有充分分析的基础上，或者是出于某种特定的应用要求。b) 抽样z检测者应检测受测件的一个安全功能子集F并且评估者应抽样执行开发者的安全功能检测文档里的检测用例，以确认受测件的安全功能按照所设计的安全规范运行并且验证开发者的检测结果。检测者也可以完全重复开发者的安全功能检测，亦即将开发者的安全功能检测文档的所有检测用例列入自己的检测方案。c) 检测实施z独立性安全功能检测由检测方独立实施，除了基于改进设计需求而进行的检

37、测外，委托方或开发方的人员不得参与可能对检测结论产生影响的任何活动。实施检测时应按检测方案对复合性受测件逐层、逐项进行检测，并分别记录。检测方应在自己的实验室内完成所有的独立性安全功能检测项目。5.3.5.3 独立性安全功能栓副2输出检测方应按照检测方案和检测记录准备独立性安全功能检测输出检测报告。输出项如下za) 报告z检测方应根据检测方案和检测记录独立完成独立性安全功能检测报告。b) 检测记录z检测机构应通过自己的质量保障体系和技术手段保证检测记录的严谨、详细和真实。c) 安全功能强度分析:开发者应根据安全目标(ST)中要求的安全机制对受测件进行安全功能强度分析，证明其达到了pp和ST中申

38、明的最低安全功能强度要求。检测者应在审查、分析开发方安全功能强度分析文档和独立性安全功能检测的基础上确认或质疑开发方的安全功能强度分析结论，得出自己的分析结论。具体分析方法和规则请参考CCMB-2007-09-004o6 渗透性检测6.1 概述6. 1. 1 阶段目标和工作内容检测者进行渗透性检测的目的是通过实施模拟攻击者行为的试验活动，检验受测件的安全功能强度亦即对攻击行为的抵抗力强度。此阶段的主要工作内容是z检测者在对受测件进行安全功能综合分析和脆弱性分析的基础上，充分考虑到当下已知的针对智能卡的攻击方法(参见但不限于附录B的内容)和检测实验室的资源情况，独立制定出符合评估等级标准要求的渗

39、透性捡测计划，并实行之。这个阶段的工作质量对智能卡安全检测评估项目的结果至关重要，检测方应向委托方证明自身合GB/T 31507-2015 格的能力和合法的资质。渗透性检测的要素，见图11。输入方法、工具与技术输出1.受部件z2.安全功能要求文挡，3.脆弱性分析文街g1.测试方案，2.量事透佐测试1.渗透性测试报告g2.检测记录24.安全功能强度分析报告$5.已知攻击方法3.其他文挡圄11浩避性检测:输入、方法、工具、技术和输出6.1.2 语最性锥副z输入渗透性检测的输入是按照检测方案和检测计划对实际的检测内容的设置。输入项如下za) 受测件:智能卡芯片、软件或智能卡产品。b) 安全功能要求文档z受测件安全功能设计