《信息安全技术智能卡通用安全检测指南(GB-T 31507-2015).docx》由会员分享,可在线阅读,更多相关《信息安全技术智能卡通用安全检测指南(GB-T 31507-2015).docx(55页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、ICS35.040L80中华人民共和国国家标准GB/T XXXXXXXXX信息安全技术 智能卡通用安全检测指南Information Security Technology General testing guide for security of smart card点击此处添加与国际标准一致性程度的标识(在提交反馈意见时,请将您知道的相关专利连同支持性文件一并附上)XXXX - XX - XX发布XXXX - XX - XX实施GB/T XXXXXXXXX目次前言V1范围12规范性引用文件13术语、定义和缩略语14智能卡安全检测总则44.1受测件的一般模型44.1.1封闭结构的智能卡产品4
2、4.1.2开放结构的智能卡产品44.1.3智能卡芯片44.1.4智能卡嵌入式软件54.2检测主体和客体54.2.1主体54.2.2客体54.3检测目的54.4检测依据54.5检测内容64.5.1检测内容定义64.5.2检测框架64.6检测要素64.6.1检测要素分布64.6.2检测要素:输入64.6.3检测要素:保障条件64.6.4检测要素:输出74.7检测过程75安全功能查证75.1安全功能查证概述75.1.1阶段主要任务75.1.2安全功能查证:输入85.1.3安全功能查证:方法与技术85.1.4安全功能查证:输出85.2实施说明95.3实施内容95.3.1主要内容95.3.2文档审查95
3、.3.3现场检查105.3.4源代码检查105.3.5独立性安全功能检测115.3.6安全功能强度分析126渗透性检测126.1渗透性检测概述126.1.1阶段目标和工作内容126.1.2渗透性检测:输入136.1.3渗透性检测:方法、工具与技术136.1.4渗透性检测:输出136.2渗透性检测准备146.2.1抵抗力要求146.2.2脆弱性分析146.2.3追加受测件146.2.4检测资源146.3渗透性检测实施方案146.3.1制定方案的基础146.3.2制定方案的原则146.3.3增量检测情况156.4渗透性检测实施156.4.1独立实施156.4.2实施过程156.4.3检测记录166
4、.4.4检测地点166.5渗透性检测报告167检测报告177.1概述177.2报告主要内容177.2.1文档和项目鉴别信息177.2.2检测对象主要信息187.2.3渗透性检测内容和结果187.2.4附件207.3关于攻击场景的描述尺度207.3.1概述207.3.2检测报告中的尺度把握207.3.3接受者为认证机构或实验室技术管理者207.3.4接受者为受测件的开发者207.3.5接受者为受测件用户(如卡商)、应用系统业主、招标商、学术研究者、系统用户207.3.6多个接受者20附录A(资料性附录)智能卡安全功能集21A.1智能卡硬件安全功能21A.2智能卡软件安全功能22A.3智能卡数据安
5、全功能23A.4智能卡状态机安全功能23A.5智能卡管理安全功能23附录B(资料性附录)智能卡攻击方法25B.1芯片层25B.2软件层27附录C(资料性附录)智能卡安全检测框架28C.1种28C.2层28C.3类28C.4项28C.5例28C.6步骤29C.7检测框架结构图例29附录D(资料性附录)主题检测大纲文件结构举例31目录31D.1检测对象31D.2检测标准31D.3检测环境31D.4检测框架计划31D.6评分规则33D.7检测报告33附录E(资料性附录)定制化服务的检测方案模板35E.1概述35E.2方案主要内容35附录F(资料性附录)实验室准备与启动37F.1概述37F.2实验室准
6、备37F.3项目准备39F.4任务启动39F.5启动结束41附录G(规范性附录)智能卡安全检测分级方法41G.1智能卡安全分级检测的意义41G.2智能卡安全检测分级原理43G.3智能卡安全分级检测框架应用原则43G.4检测评估认证体系47参考文献48图1封闭结构的智能卡产品4图2开放结构的智能卡产品4图3智能卡芯片的基本结构5图4检测要素6图5检测过程7图6安全功能查证-输入、过程和输出8图7安全功能查证主要内容9图8文档审查:输入、输出10图9源代码检查:输入、输出10图10独立性安全功能检测:输入、过程和输出11图11渗透性检测-输入;方法 工具 技术和输出13图12渗透性检测过程16图C
7、.1渗透性芯片层检测框架示例图30图G.1准备与启动阶段的3个子阶段41图G.2实验室准备:输入、准备过程和输出42图G.3项目准备 输入、输出43图G.4检测内容与边界45表1报告封面与扉页17表2攻击得分表18表3检测结果总表19表C.1检测用例模板29表D.1MCC01-1半侵入-芯片准备- 132前言本标准按照GB/T1.1-2009给出的规则起草。本标准由全国信息安全标准化委员会(SAC/TC260)提出并归口。本标准主要起草单位:国家信息技术安全研究中心,中国电子技术标准化研究院、国民技术股份有限公司、中国信息安全测评中心,中国金融电子化公司标准化中心。本标准主要起草人: 方进社、
8、宫亚峰、隋忻、杨超伟、贾嘉、熊克琦、张正义、王欢、杜楠、陈星、高建、牟宁波、张翀斌、杨永生、李国俊、韩建国、田小雨、马向亮、金丽旸、赵晓荣、缪皓、王海生。47信息安全技术 智能卡通用安全检测指南1 范围本标准规定了智能卡类产品进行安全性检测的一般性过程和方法。本标准适用于智能卡安全性检测评估和认证。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 18336.1-2008 信息技术 安全技术 信息技术安全性评估准则 第1部分:简介和一般模型GB/T 18336.
9、2-2008 信息技术 安全技术 信息技术安全性评估准则 第2部分: 安全功能要求GB/T 18336.3-2008 信息技术 安全技术 信息技术安全性评估准则 第3部分: 安全保证要求GB/T 20276-2006 信息安全技术 智能卡嵌入式软件 安全技术要求安全技术要求(EAL4增强级)GB/T 22186-2008 信息安全技术 具有中央处理器的集成电路(IC)卡芯片 安全技术要求(评估保证级4增强级)BSI-PP-0035 安全IC平台保护轮廓 1.0版3 术语、定义和缩略语3.1 术语和定义下列术语和定义适用于本文件。3.1.1智能卡 smart card指具有中央处理器(CPU)的
10、集成电路(IC)卡,是将一个具有中央处理器的集成电路芯片镶嵌于塑料基片中,并封装成卡的形式。从数据传输方式上可分为接触式智能卡和非接触式智能卡。3.1.2智能卡产品 smart card production智能卡产品指具有CPU集成电路芯片和芯片操作系统的智能IC卡,其标准形态和技术规格被国标 GB/T 14916 2006 识别卡 物理特性和GB/T 16649系列国家标准以及ISO/IEC 7816系列、10536系列、14443系列和15693系列国际标准所规定;还包括非标准形态但同样具有CPU集成电路芯片和芯片操作系统的产品。注: 智能卡产品整体可作为复合性受测件。3.1.3独立安全
11、功能检测 independent security functional testing由评估者(或其委托的具有资质的专业实验室)所独立进行,但要根据并参考开发者的功能检测文档和(或)利用开发者的检测资源,对智能卡安全功能集合的子集和检测文档抽样进行的安全功能检测。3.1.4渗透性检测 penetration testing由评估者基于对受测智能卡的脆弱性分析而进行的,以获取智能卡的安全资产、旁路或破解智能卡的安全机制为目标,以模仿攻击技术为手段的安全性检测。3.1.5侵入检测 invasive testing渗透性检测的一类。模仿对智能卡芯片侵入攻击的技术,首先要打开芯片的封装(或称开片)并
12、可能需要对多层结构的芯片逐层剥离,然后应用微探针、电子探针、激光切割器、等离子束等设备在各硅片层对信号进行观察、测量,或改变某些电路单元的功能以获取密钥等敏感信息。3.1.6半侵入检测 semi-invasive testing渗透性检测的一类。模仿对智能卡芯片半侵入攻击的技术,也需要打开芯片的封装层和钝化层,但测量设备不与芯片内部进行任何直接的电子接触;通常用于各种光谱的故障引入,或电磁辐射的测量。3.1.7非侵入检测 non-invasive testing渗透性检测的一类。模仿对智能卡芯片非侵入攻击的技术,特征是检测时不对智能卡芯片进行任何物理损伤或改变。非侵入攻击的技术有多种,较为典型
13、的是三种旁路分析技术即能耗分析、电磁分析和时间分析,以及电压、时钟、温度、电磁等故障引入和分析技术。3.1.8评估者 evaluator评估者是本标准所涉及的检测受测件活动及其安全性评估活动的执行者,通常由专业的智能卡安全检测、评估人员或机构担任。3.1.9委托者(委托方)sponsor委托者是智能卡安全检测评估项目的委托人或发起人,可以是政府或行业管理部门,亦可以是检测对象(受测件)的设计者、开发者、制造者、拥有者或其应用系统的业主等。3.1.10其它角色 other ruler设计者、开发者、制造者、使用者等是指受测件的设计、开发、制造和使用人员。3.1.11虚拟机 virtualmach
14、ine指通过软件模拟的具有完整硬件系统功能的一种特殊的软件,在计算机平台和终端用户之间创建一种环境,而终端用户则是基于这个软件所创建的环境来操作软件。3.2 缩略语下列缩略语适用于本文件。CC (Common Criteria for Information Technology Security Evaluation)信息安全评估通用准则CEM (Common Methodology for Information Technology Security Evaluation)CC体系中信息安全评估方法论COS (Chip Operating System)(智能卡)芯片操作系统CPU (C
15、entral Processing Unit)中央处理器EAL (Evaluation Assurance Level)评估保证级EEPROM (Electrically-Erasable Programmable Read-only Memory)电可擦除可编程只读存储器FLASH (Flash memory)闪存IT (Information Technology)信息技术I/O (Input/ Output)输入/输出IC (Integrated Circuit)集成电路PP (Protection Profile)保护轮廓RAM (Random-Access Memory)随机存取存储
16、器ROM (Read-Only Memory)只读存储器ST (Security Target)安全目标4 智能卡安全检测总则4.1 受测件的一般模型4.1.1 封闭结构的智能卡产品封闭结构的智能卡产品即所谓Native卡产品,它们的COS通常是专门为某类应用或某个行业开发的,其操作系统与应用密切相关,所以一般不具有通用性。基本结构如图1所示。图1 封闭结构的智能卡产品4.1.2 开放结构的智能卡产品所谓开放结构智能卡产品,在其操作系统层与应用层间夹有一个虚拟机层面,各类不同应用程序可灵活加载、运行或卸载,见图2。典型产品如JAVA卡。图2 开放结构的智能卡产品4.1.3 智能卡芯片智能卡芯片
17、由微处理器、安全电路组件、时钟电路、复位逻辑和输入/输出端口和存储器组成,可能还有硬件的随机数发生器和密码算法协处理器。芯片还可包括用于制作期间的检测专用软件。专用软件(也称为芯片固件),除检测外也可提供附加服务(如COS可调用的底层程序库)。除芯片专用软件外,芯片中还可能包含进行检测的硬件。在芯片上运行的所有其它软件都称为嵌入式软件,不属于芯片的一部分。见图3。图3 智能卡芯片的基本结构注: 能卡芯片可独立成为受测件。4.1.4 智能卡嵌入式软件 嵌入式软件指存储在智能卡卡内并可运行的软件,即前文缩略语中提到的COS,其主要功能是控制智能卡和外界的信息交换,管理智能卡的存储器并完成各种命令的
18、处理。嵌入式软件可存储在非易失性非编程存储器(只读存储器)内,也可存储于非易失性可编程存储器(例如 EEPROM或闪存)内。嵌入式软件一般由基础软件(操作系统、通用例程和解释器)和应用软件组成,并且不是由芯片商开发的。嵌入式软件的基本模型可见图1和图2中“嵌入式软件”部分。注:智能卡嵌入式软件也可独立成为受测件。4.2 检测主体和客体4.2.1 主体检测主体为检测者和评估者。4.2.2 客体检测客体即受测件,它们一般为智能卡芯片、智能卡嵌入软件或智能卡产品。4.3 检测目的检测目的指为智能卡芯片、嵌入式软件和智能卡产品的设计、生产、应用提供安全性评估的客观依据。4.4 检测依据检测依据指依据有
19、关标准及其相关技术文档和委托方确认文件实施检测。4.5 检测内容4.5.1 检测内容定义检测内容是关于检测主体对检测客体所进行的实验性技术活动的描述。4.5.2 检测框架检测框架是关于检测内容的概念和分类的结构性定义。详见本标准附录C。4.6 检测要素4.6.1 检测要素分布检测要素分布在检测的输入、保障条件、输出等方面,见图4。图4 检测要素4.6.2 检测要素:输入输入项如下:a) 受测件1. 智能卡芯片。2. 智能卡嵌入软件(COS)。3. 复合性智能卡产品。b) 检测所依据的标准官方发布的各类标准。c) 相关技术资料 有关受测件的各类技术资料。4.6.3 检测要素:保障条件保障条件如下
20、:a) 检测设备 检测机构为完成检测活动所需配备的软、硬件设备。可参考文献3、6。b) 检测技术检测者为完成检测活动所需掌握的知识和技能。可参考文献3、6。c) 质量控制体系检测机构为保证检测质量而制定的管理体系。d) 检测组检测机构为完成检测任务而建立的组织。4.6.4 检测要素:输出 输出项如下:a) 检测报告 检测者在检测活动完成后根据检测结果撰写的提交给委托方或认证机构的报告性文档。详见9.检测报告。可参考文献10。b) 检测记录检测者在检测活动中记录检测信息的文档。4.7 检测过程一个智能卡芯片和嵌入式软件或复合产品智能卡的安全检测评估过程可分为四个阶段,见图5:阶段一 : 准备与启
21、动。阶段二 : 安全功能查证。阶段三 : 渗透性检测。阶段四 : 检测报告。图5 检测过程5 安全功能查证5.1 安全功能查证概述5.1.1 阶段主要任务安全功能查证的目的是对受测件做出基本的安全功能和生命周期各环节安全保障措施的检查和验证。方法是通过阅读、研究受测件的技术文档和管理文档,寻找、分析、检查、确认设计者已经依据某级别安全功能和安全保障要求设计了相应的安全功能及其安全保障措施,以及这些安全功能和安全保障措施的合理性、合规性、必要性和充分性;并通过检测手段确定这些安全功能设计在受测件上工程实现的有效性和活跃性;在安全保障措施的检查中,检测者还应通过现场检查和实验室检测手段证明受测件样
22、品与同型号量产产品在品质上的一致性,见图6。图6 安全功能查证-输入、过程和输出5.1.2 安全功能查证:输入输入项如下:a) 受测件任务启动阶段委托方向检测方正式交付的受测样本;b) 安全功能要求受测件设计阶段所参考、依据的安全功能要求文件,如PP或其它形式的规范、标准。c) 安全功能设计文档受测件开发者制作的ST文件和其它有关设计文件,详见5.3.5.1.b);d) 检测文档开发者的安全功能检测文档,详见5.3.5.1.c)。5.1.3 安全功能查证:方法与技术方法与技术如下:a) 文档审查。见5.3.2;b) 源代码审查。见5.3.4;c) 独立性安全功能检测通过抽取选择甚至完全重复设计
23、者的安全功能检测以证明设计者所设计的安全功能的实现情况。见5.3.5;d) 现场检查。见5.3.3;e) 安全功能综合分析检测者从通过上述几种手段正面理解受测件安全功能的设计者的意图和思路,确认受测件安全功能的实现情况,并与设计者依据的安全功能要求文件进行比对和分析,得出这些安全功能要求(包括安全保障要求)是否得到满足的结论。见5.3.6;5.1.4 安全功能查证:输出输出项如下:a) 安全功能综合分析报告检测者的过程性中间报告,是检测者审查、分析开发方依据的安全功能要求、开发方的安全功能设计文档和实施源代码审查、现场检查、独立性安全功能检测等检测工作后得出的分析结论。结论应明确指出受测件的安
24、全功能与开发方所声称依据的安全功能要求的一致性程度。b) 检测记录 检测者在本阶段检测活动中产生的所有记录,应妥善保存并归档。c) 其它文档凡有可能成为下阶段输入的文档,均应保存;其它可销毁。5.2 实施说明虽然某些有关智能卡检测的安全标准中不要求检测方进行安全性功能检测,或者由于得不到委托方的有效资源支持,致使该级别检测所需要进行的文档审查、现场检查、源代码检查、甚至独立性安全功能检测都不能进行,安全功能查证工作仍可实施。例如检测者可根据所掌握的各类信息和相似受测件的检测经验进行脆弱性推论分析,也可以通过搭建模拟运行环境使受测件运行并采集其运行参数和数据来分析其安全功能的存在性和有效性。5.
25、3 实施内容5.3.1 主要内容安全功能查证的主要内容,见图7。图7 安全功能查证主要内容5.3.2 文档审查为保证一定级别检测的质量和效率,检测者需或宜进行白盒检测,因此检测方应该要求委托方提供有关受测件足够的技术文档以支持安全性检测评估。这些文档包括:设计(开发)者的ST文档、低层和高层设计文件、指导性文档、源代码、安全功能强度分析报告和安全功能检测文档。检测方所需要的技术文档的重要性、详细度和机密性与所进行的安全评估等级和遵守的规范相关。检测方不应向委托方索取超出所进行的安全评估等级所必需或所依照的标准之外的技术资料。文档审查的主要输出是文档评审意见,标明文档是否合格;当意见为不合格时,
26、应通知委托方修改或补交,见图8。图8 文档审查:输入、输出5.3.3 现场检查所谓现场指受测件的设计、开发、生产、初始化和个人化的工作现场。现场检查是检测者确认受测件依据的安全要求文档(如PP)所规定的在生命周期各阶段应有的安全保障要求是否被落实的重要手段。当进行中的检测评估活动所依据的规范、标准对现场检查有要求并且所计划的评估项目必须在这些现场得到证据时,检测者应要求委托者安排进行现场检查。检查中可对芯片和软件的设计环境、生产环境、中测环境、成测环境、算法灌装环境、重要参数预装环境、密钥管理环境,库房安全以及产品交付过程安全性进行全面考察,确认产品所处的各环节环境中对受测件安全资产及安全性不
27、存在威胁和隐患。现场检查的具体内容和方法超出本标准范围,请参考文献8。5.3.4 源代码检查5.3.4.1 概述所谓源代码包括智能卡嵌入式软件源代码、专用软件源代码(芯片固件)源代码。当所进行的检测评估项目所依据的标准和级别要求检测受测件的源代码,或检测方认为阅读受测件源代码能显著提高评估工作的质量和效率时,检测方可向委托方要求提供部分或全部源代码。源代码检查的目的是为了让检测人员理解设计者的意图和思路以及各项安全功能的具体实现方法,是寻找受测件脆弱点的最有效方法之一,是目前彻底消除软件“后门”隐患的唯一途径,同时可为制定和实施渗透性检测计划提供思路和依据。源代码检查的输入、输出,见图9。图9
28、 源代码检查:输入、输出5.3.4.2 源代码格式与检测工具委托方应使用文本格式将源代码提供给检测方。且源代码必须有详细的注释,以便评估者能够理解代码的各部分所代表的意义以及它们如何运行,此阶段中,若是需要用源代码,则受检方则要提供源代码编译器。5.3.4.3 源代码在产品中使用的证据检测方需要有证据表明委托者提供的源代码确实是在智能卡的送检版本中使用的。这个要求适用于在智能卡中执行和载入的所有类型的代码。可通过以下两种方法提供证据: 委托方提供一个声明,说明送检版本的代码是源代码一对一的编译结果,并给出编译工具的名称。 委托方同时将送检版本的可执行代码提供给检测方,检测方自己将该可执行代码与
29、由所交付的源代码编译后产生的可执行代码进行一致性比较。5.3.5 独立性安全功能检测5.3.5.1 独立性安全功能检测的要素独立性安全功能检测的要素如下图10。图10 独立性安全功能检测:输入、过程和输出5.3.5.2 独立性安全功能检测:输入输入项如下:a) 受测件任务启动阶段委托方向检测方正式交付的受测样本。b) ST独立性安全功能检测的性质是功能符合性检测,所依据的安全功能设计文档应为开发者的安全目标(ST)文档。在开发者不能提供ST文档的情况下,可参考附件A,或开发者依据PP文件。c) 检测文档开发者对受测件进行安全功能检测时制作的文档,包括:检测计划、检测程序描述、预期的检测结果和实
30、际的检测结果等。d) 其它信息当委托方不能提供检测文档时,检测方可要求提供其它任何有助于进行安全功能检测的材料或信息。当检测实验室的检测环境缺乏某些设备或工具时,可以请求开发方协助提供,但在使用先要经过仔细鉴定。5.3.5.3 独立性安全功能检测:过程过程要素如下:a) 检测实施方案检测者在审查、研究开发者的ST和安全功能检测文档的基础上制定出独立性安全功能检测实施方案。制定增量检测情况下的独立性安全功能检测方案时,需考虑的关键因素是本次提交检测的受测件是否相比过去检测时增加了新的安全功能或保护措施,抑或对原有的安全功能或保护措施进行了改动,若是,则可侧重考虑将新增加的安全功能列入检测方案;若
31、无,则可根据以前的独立性安全功能检测报告内容选择不再进行独立性安全功能检测。选择不做独立性安全功能检测的根据应该是检测者能确定:若重复以往的检测用例,只能获得完全一样的结果。为此,检测者可适当做些实验进行证明。当受测件是复合性智能卡,即具有两个或两个以上开发者(芯片、操作系统和应用)时,检测者应注意分别选取所有各层面的安全功能子集和抽取每个开发者的安全功能检测文档。在检测方案中应将各层面的检测用例明确分开,按照芯片层、操作系统层再到应用层的顺序进行设计和实施。检测者还可以对所选取的安全功能子集或检测用例子集加以补充,增加自己的检测用例。补充和增加的前提是检测者对受测件的设计有深入理解,并对其安
32、全功能有充分分析的基础上,或者是出于某种特定的应用要求。b) 抽样检测者应检测受测件的一个安全功能子集;并且评估者应抽样执行开发者的安全功能检测文档里的检测用例,以确认受测件的安全功能按照所设计的安全规范运行并且验证开发者的检测结果。检测者也可以完全重复开发者的安全功能检测,亦即将开发者的安全功能检测文档的所有检测用例列入自己的检测方案。c) 检测实施独立性安全功能检测由检测方独立实施,除了基于“改进设计”需求而进行的检测外,委托方或开发方的人员不得参与可能对检测结论产生影响的任何活动。 实施检测时应按检测方案对复合性受测件逐层、逐项进行检测,并分别记录。 检测方应在自己的实验室内完成所有的独
33、立性安全功能检测项目。5.3.5.4 独立性安全功能检测:输出输出项如下:a) 报告 检测方应根据检测方案和检测记录独立完成独立性安全功能检测报告。b) 检测记录 检测机构应通过自己的质量保障体系和技术手段保证检测记录的严谨、详细和真实。5.3.6 安全功能强度分析开发者应根据安全目标(ST)中要求的安全机制对受测件进行安全功能强度分析,证明其达到了PP和ST中申明的最低安全功能强度要求。检测者应在审查、分析开发方安全功能强度分析文档和独立性安全功能检测的基础上确认或质疑开发方的安全功能强度分析结论,得出自己的分析结论。 具体分析方法和规则超出本标准范围,请参考文献8。6 渗透性检测6.1 渗
34、透性检测概述6.1.1 阶段目标和工作内容检测者进行渗透性检测的目的是通过实施模拟攻击者行为的试验活动,检验受测件的安全功能强度亦即对攻击行为的抵抗力强度。此阶段的主要工作内容是:检测者在对受测件进行安全功能综合分析和脆弱性分析的基础上,充分考虑到当下已知的针对智能卡的攻击方法(参考但不限于附录B的内容)和检测实验室的资源情况,独立制定出符合评估等级标准要求的渗透性检测计划,并实行之。这个阶段的工作质量对智能卡安全检测评估项目的结果至关重要,检测方应向委托方证明自身合格的能力和合法的资质。渗透性检测的要素,见图11.图11 渗透性检测-输入;方法 工具 技术和输出6.1.2 渗透性检测:输入输
35、入项如下:a) 受测件智能卡芯片、软件或智能卡产品。b) 安全功能要求文档 受测件安全功能设计时所依据的,标明了明确的安全功能强度要求(或脆弱性要求)的文档,如PP文件。c) 脆弱性分析文档包括开发者提供的脆弱性分析文档和检测者独立做出的脆弱性分析文档(探查阶段输出)。d) 安全功能强度分析报告检测者在强度探查阶段的输出。e) 已知攻击方法参考附录B和文献3,并关注当下有关智能卡攻击手段和技术的最新资讯。6.1.3 渗透性检测:方法、工具与技术方法、工具与技术如下:a) 检测方案基于所有输入项和自身资源、能力而制定的具体检测计划。b)渗透性检测,见6.4。 6.1.4 渗透性检测:输出输出项如
36、下:a) 渗透性检测报告检测者独立完成的渗透性检测的结果报告。可作为下阶段的输入。b) 检测记录检测者独立完成的渗透性检测的过程记录。可作为下阶段的输入。c) 其它文档在渗透性检测过程中产生的其它正式或非正式文件,如检测者独立做出的脆弱性分析报告。6.2 渗透性检测准备6.2.1 抵抗力要求委托方和评估方应明确对受测件的抵抗力要求。在选择某个安全级别-如EAL4+-评估标准时,委托方和评估方应明白国标与国际组织相应标准之间的对抵抗力要求的区别(可参考附录F)。选择其它标准的安全评估、检测项目时,若该标准有明确的抵抗力指标,应按其规定设计渗透性检测方案;若不存在明确的抵抗力指标,应参考本标准附录
37、F。6.2.2 脆弱性分析开发者应做受测件的脆弱性分析,并将所标识的脆弱性分布文档化,如将脆弱点列表。评估者应在开发者脆弱性分析的基础上进行渗透性检测,以证明开发者的结论正确与否。评估者还应独立地对受测件进行脆弱性分析,旨在发现受测件是否存在尚未被开发者标志的可能被攻击者利用的脆弱性。对复合性受测件的脆弱性分析宜从芯片到系统软件再到应用逐层顺序进行,并对结果进行综合考虑和整体分析。脆弱性分析的具体实施方法不在本标准描述范围之内,请参考文献8。6.2.3 追加受测件受测件在启动阶段应已被交付,见附件G.4.3.3受测件交付。但在本阶段,特别是侵入式检测时,受测件可能会大量损坏,若考虑需要追加受测
38、件,检测者可向委托者提出要求。6.2.4 检测资源检测者应独立完成对检测资源的调配和部署。6.3 渗透性检测实施方案6.3.1 制定方案的基础渗透性检测方案的基础是所依据标准的抵抗力要求和检测者独立对受测件所做的脆弱性分析文档。6.3.2 制定方案的原则检测方案应由检测小组独立制定,委托方不宜参与。检测者主要根据受测件本身的特点和所做的评估等级对其抵抗力的要求(附录F)而制定检测方案。但不宜为仅针对同一等级抵抗力而不考虑受测件的差异而制定一套一成不变的检测方案。同时检测者必须考虑当下所有已知的攻击智能卡的手段和技术,为此可参考但不限于附录B中的攻击方法列表。方案制定者应该以攻击者的角度考虑问题
39、,攻击的目标一般直指受测件的安全资产,也可以是某个或某些安全功能。检测者又不完全等同于攻击者,攻击目标未达成并不等于检测失败,反而可能是证实了受测件应具有的抵抗力(附录F),也即达到了检测的目的。因此制定检测方案时要注意某项攻击应在什么时间、什么状态下结束。方案应保持一定的灵活性,因为在攻击的过程中,可能会遭遇到未预料的结果;也可能某项攻击只能获得一个中间结果,但这个中间结果可成为另一种攻击的起点或阶梯,这些都需要随时修改或补充原方案。方案的执行与修改将交替进行。方案制定者还应考虑检测者所掌握的资源情况和估算检测成本。6.3.3 增量检测情况检测者要参考该受测件以往的检测记录和报告,制定方案时
40、应着重挑选以往攻击成功的项目再次检测,或采用自前次检测以来新发展的攻击技术进行检测。6.4 渗透性检测实施6.4.1 独立实施渗透性检测由检测方独立实施,除了基于“改进设计”需求而进行的检测外,委托方或开发方的人员不得参与可能对检测结论产生影响的任何活动。6.4.2 实施过程渗透性检测的实施过程更像是一个研究、探索的过程。检测方案一般具有明确的目标和路径,但一个真正的攻击者为了达成目的可能并不在乎选择什么路径。检测者也应模仿攻击者,在方案的框架下灵活执行,根据受测件当下的具体反应采取对应措施,修改攻击路径或方法。图12 渗透性检测过程6.4.3 检测记录检测机构应通过自己的质量保障体系和技术手
41、段保证检测记录严谨、详细、真实。6.4.4 检测地点 检测方宜在独立、可控实验室完成渗透性检测。6.5 渗透性检测报告检测方应根据检测方案和检测记录独立完成渗透性检测报告。7 检测报告7.1 概述实验室在完成检测任务后应根据检测和评估的结果写出最终的格式化的检测报告,并提交委托方或认证机构。报告的格式和内容原则上由认证机构和检测机构共同制定。本章根据参考文献10,将CC推荐的报告模板进行摘要介绍。7.2 报告主要内容7.2.1 文档和项目鉴别信息7.2.1.1 报告封面和扉页信息报告的封面和扉页信息见表1。表1 报告封面与扉页名称赋值文档标题证书评估等级研发者委托者鉴定机构鉴定参考评估工具文本
42、历史记录版本 日期 修订种类 记录版本号正式批准机密性和版本公告7.2.1.2 正文中的概括性介绍信息可如下: 文档目的 产品鉴定 评估结果和鉴定概要 联系人 评估者 发起者和研发者 认证机构7.2.2 检测对象主要信息 主要信息可如下: 对象平台设计 通用概念 受测件结构描述 被评估的架构和设置 受测件边界 受测件结构 受测件鉴定 受测件装置,产生和启动程序 交付过程和数据交换 交付过程介绍 交付过程的鉴定 受测件制造商和内置软件研发者间的交付 受测件制造商到智能卡制造商的交付7.2.3 渗透性检测内容和结果示例: 攻击场景(攻击场景编号-如AS-X or DAP-DES) 攻击步骤。 标识
43、所使用的方法,描述得到的效果。 数据和历史记录。 检测执行日期。监视周期或再评估后ERT的更新,检测活动的历史记录应该详细:新的分析方法,技术手段的演变,新检测或加强版的检测都应该被详细描述。表2 攻击得分表要素识别利用用时专业度检测对象信息样本数开放样本 /已知秘密样本设备小计总计 重复攻击场景攻击列表参考附件B和文献3的最新版本。附件B的列表是可被认为是最低攻击配置组合。 (按照上面的模式逐一描绘所有的攻击场景)。 总结:给出一个表格,列入脆弱点、相关的攻击和涉及的资产和状态。示例:下面的表格总结了所进行的渗透性检测和检测的结果:表3 检测结果总表脆弱点攻击场景相关资产情况指导物理攻击只读存储器的内容AS-03, 只读存储器内容 (嵌入软件)OK物理观测AS-07, 芯片设计OK跨越传感器和滤波器