国家标准 GB/T31507一2015 信息安全技术智能卡通用安全检测指南 Informatioseeuritytechnology Generaltestingguideforseeurityofsmarcard 2015-05-15发布 2016-01-01实施中毕人民共和国国家质量监督检验检疫总局发布中国国家标准化管厘委员会国家标准
GB/T31507一2015 目次前言范围规范性引用文件术语、定义和缩略语智能卡安全检测总则 4.1受测件的一般模型 4.2检测主体和客体 4.3检测目的 4.！检测依据 4.5检测内容 4.6检测要素 4.7检测过程安全功能查证 5.1概述 5.2实施说明 5.3实施内容渗透性检测 6.1概述 6.2渗透性检测准备 13 6.3渗透性检测实施方案 6.4 渗透性检测实施 6.5渗透性检测报告检测报告 15 7.1 概述 15 7.2报告主要内容 7.3关于攻击场景的描述尺度 15 附录A(资料性附录)智能卡安全功能集 16 附录B(资料性附录智能卡攻击方法 20 附录c资料性附录智能卡安全检测框架 2: 附录D(资料性附录)主题检测大纲文件结构举例 26 附录E资料性附录)定制化服务的检测方案模板 30 附录F资料性附录实验室准备与启动 32 附录G(规范性附录)智能卡安全检测分级方法 38 参考文献 42
GB/T31507一2015 图1封闭结构的智能卡产品图2开放结构的智能卡产品图3智能卡芯片的基本结构图4检测要素图5检测过程图安全功能查证;输人.过程和输出图7安全功能查证主要内容图8文档审查:输人、输出图9源代码检查;输人、输出图10独立性安全功能检测;输人、过程和输出 16 12 图11渗透性检测;输人,方法、工具,、技术和输出图 12渗透性检测过程 14 25 图C.1渗透性芯片层检测框架示例图图F.1准备与启动阶段的三个子阶段 32 33 图F.2实验室准备;输人、准备过程和输出 34 图F.3项目准备;输人,输出 35 图F.4检测内容与边界表C.1检测用例模板 28 表D.1MCC01-1半侵人-芯片准备-1 I
GB/T31507一2015 前言本标准按照GB/T1.1一2009给出的规则起草本标准由全国信息安全标准化委员会(SAC/Tc260)提出并归口本标准起草单位;国家信息技术安全研究中心,电子技术标准化研究院、国民技术股份有限公司、信息安全测评中心、金融电子化公司标准化中心本标准主要起草人;方进社、宫亚峰、隋忻,贾嘉、熊克琦、张正义、王欢、杜楠、陈星、高建、牟宁波、张弛斌、杨永生、李国俊、韩建国、田小雨、赵晓荣业
GB/T31507一2015 信息安全技术智能卡通用安全检测指南范围本标准规定了智能卡类产品进行安全性检测的一般性过程和方法本标准适用于智能卡安全性检测评估和认证规范性引用文件下列文件对于本文件的应用是必不可少的凡是注日期的引用文件,仅注日期的版本适用于本文件凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 GB/T20276一206信息安全技术智能卡嵌人式软件安全技术要求(EAL4增强级) GB/T22186一2008信息安全技术具有中央处理器的集成电路(IC)卡芯片安全技术要求(评估保证级4增强级) CCDB2008-04-001智能卡的潜在应用攻击ApplieationofAttackPoentialtoSmarteardsV.2.5) 术语、定义和缩略语 3.1术语和定义下列术语和定义适用于本文件 3.1.1 智能卡smarteard 具有中央处理器(CPU)的集成电路(IC)卡,是将一个具有中央处理器的集成电路芯片镶嵌于塑料基片中,并封装成卡的形式注:从数据传输方式上可分为接触式智能卡和非接触式智能卡 3.1.2 roduction 智能卡产品 SmmartcardprG 具有CPU集成电路芯片和芯片操作系统的智能卡,且包括非标准形态但同样具有CPU集成电路芯片和芯片操作系统的产品注智能卡产品的标雅形态和技术规格被GB/T14916-2006和GB/T16649系列国家标准以及Iso/1Ec7816 Iso)/IEc14443国际标准所规定;智能卡产品整体可作为复合性受测件 3.1.3 独立安全功能检测independentseeurityfunectionaltesting 由评估者(或其委托的具有资质的专业实验室)所独立进行,但要根据并参考开发者的功能检测文档和(或)利用开发者的检测资源,对智能卡安全功能集合的子集(参见附录A)和检测文档抽样进行的安全功能检测
GB/T31507一2015 3.1.4 渗透性检测penetrationtesting 由评估者基于对受测智能卡的脆弱性分析而进行的,以获取智能卡的安全资产,旁路或破解智能卡的安全机制为目标,以模仿攻击技术为手段(参见附录B)的安全性检测 3.1.5 侵入检测invasivetesting 渗透性检测的一类通过打开芯片的封装并取出片芯,使用精密电子设备对片芯的物理结构和电路信号进行观察、测量,或改变某些电路单元的功能以获取密钥等敏感信息,检测芯片对侵人攻击的防御能力 3.1.6 半侵入检测semi-invasivetesting 渗透性检测的一类通过打开芯片的顶部或底部封装层,在其运行的特定时刻使用光注人,电磁操纵,放射线注人等手段,以获取敏感信息,检测芯片对半侵人攻击的防御能力 3.1.7 非侵入检测non-invasivetestimg 渗透性检测的一类不对芯片进行任何物理损伤或改变,在其运行的特定时刻,通过采集并观察其能耗、时间或电磁辐射等物理量,并进行相应分析以获取敏感信息;或通过故障引人方式和差错分析的方法检测芯片对非侵人攻击的防御能力 3.1.8 评估者evaluator 所涉及的检测受测件活动及其安全性评估活动的执行者,通常由专业的智能卡安全检测、评估人员或机构担任 3.1.9 委托者(委托方sponsor 委托人可以是政府或行业管理部门,亦可以是检测对象(受测件)的设计者、开发者,制造者、拥有者或其应用系统的业主等 3.1.10 其他角色otherruler 受测件的设计、开发、制造和使用人员， 3.1.11 虚拟机virtualmachine 通过软件模拟的具有完整硬件系统功能的一种特殊的软件,在计算机平台和终端用户之间创建一种环境,而终端用户则是基于这个软件所创建的环境来操作软件 3.2缩略语下列缩略语适用于本文件信息安全评估通用准则(CommonCriteriaforInformationTechnologySecurityEwalu CC: ation CEMCC:体系中信息安全评估方法论(CommonMethodoogyforInformationTeehnologySeeu ityEwaluation) COS 智能卡)芯片操作系统(ChipOperatingSyst tem 中央处理器(CentrnalProessingUnio) CPU 评估保证级(EvaluationAssuranceLevel EAL EEPROM电可擦除可编程只读存储器(Eleetrically-ErasableProgrammableRead-onlyMemory
GB/T31507一2015 FLAsH:闪存(Flashmemory) 信息技术(InformationTechnology IT 输人入/输出(Input/Output) yo 集成电路(IntegratedCireuit) 保护轮廓(ProteetionProfile) RAM: 随机存取存储器(Random-AecessMemory) ROM 只读存储器(ReadOnlyMemory) ST: 安全目标(SeeurityTarget) 智能卡安全检测总则受测件的一般模型 4.1.1封闭结构的智能卡产品封闭结构的智能卡产品即所谓Native卡产品,它们的COS通常是专门为某类应用或某个行业开发的,其操作系统与应用密切相关,所以一般不具有通用性基本结构如图1所示应用软件嵌入式软件操作系统(OS 专用服务软件专用测试钦件智能卡芯片硬件图1封闭结构的智能卡产品 4.1.2开放结构的智能卡产品开放结构智能卡产品,在其操作系统层与应用层间夹有一个虚拟机层面,各类不同应用程序可灵活加载,运行或卸载,见图2 典型产品如JAVA卡应用程序应用程序嵌入式虚拟机软件操作系统(Os) 专用测试软件专用服务软件智能卡芯片硬件图2开放结构的智能卡产品
GB/T31507一2015 4.1.3智能卡芯片智能卡芯片由微处理器、安全电路组件,时钟电路、复位逻辑和输人/输出端口和存储器组成,可能还有硬件的随机数发生器和密码算法协处理器芯片还可包括用于制作期间的检测专用软件专用软件也称为芯片固件),除检测外也可提供附加服务(如cOS可调用的底层程序库) 除芯片专用软件外,芯片中还可能包含进行检测的硬件在芯片上运行的所有其他软件都称为嵌人式软件,不属于芯片的一部分,见图3 ROMFash RAM EEPROM/Flash 随机存储器 (只读存化器电擦除可编程只读存快速擦写储器/快速摧写数据 -代码临时 -IC专用件 -数据 Clock COo 时钟电路 Securitsy Circuity CPU(中央处理器安全电路 ResetLogic 复位逻辑 RandomNumber Cypto 1/omterface Processor 输入/输出按口) Cenes 随机数发生器密码处理器图3智能卡芯片的基本结构注:智能卡芯片可独立成为受测件 4.1.4智能卡嵌入式软件嵌人式软件指存储在智能卡卡内并可运行的软件,主要功能是控制智能卡和外界的信息交换,管理智能卡的存储器并完成各种命令的处理嵌人式软件可存储在非易失性非编程存储器(只读存储器内,也可存储于非易失性可编程存储器(例如EEPROM或闪存)内嵌人式软件一般由基础软件(操作系统,通用例程和解释器)和应用软件组成,并且不是由芯片商开发的嵌人式软件的基本模型可见图1 和图2中“嵌人式软件”部分注:智能卡嵌人式软件也可独立成为受测件 4.2检测主体和客体 4.2.1主体检测主体为检测者和评估者 4.2.2客体检测客体即受测什,它们一般为智能卡芯片、智能卡嵌人软件或智能卡产品 4.3检测目的检测目的指为智能卡芯片,嵌人式软件和智能卡产品的设计,生产、应用提供安全性评估的客观依据
GB/T31507一2015 4.4检测依据检测依据指依据有关标准及其相关技术文档和委托方确认文件实施检测 4.5检测内容 4.5.1检测内容定义检测内容是关于检测主体对检测客体所进行的实验性技术活动的描述 4.5.2检测框架检测框架是关于检测内容的概念和分类的结构性定义参见附录C 4.6检测要素 4.6.1检测要素分布检测要素分布在检测的输人、保障条件,输出等方面,见图4 保障条件输出检测设备受测件检测报告; 检测技术检测所依据的标准质量控制体系检测记录相关技术资料测试组图4检测要素 4.6.2检测要素;输入检测要素中输人是按照检测框架和检测内容进行设置输人项如下受测件: a 智能卡芯片智能卡嵌人软件 2 3)复合性智能卡产品检测所依据的标准 b 官方发布的各类标准或检测机构自己制定的检测技术文件参见附录D. 相关技术资料有关受测件的各类技术资料 4.6.3检测要素;保障条件检测要素中的保障条件为检测正常进行的前提条件保障条件如下: 检测设备:检测机构为完成检测活动所需配备的软、硬件设备可参考cCDB-2009-03-003及 a JointInterpretationLibraryApplieationofAttackPotentialtoSmatcard-V.2.7 February 2009 检测技术;检测者为完成检测活动所需掌握的知识和技能可参考ccDB2009-03-003及 b JointInterpretationLibraryApplicationofAttackPotentialtoSmateard-V.2.7 February 2009
GB/T31507一2015 质量控制体系:检测机构为保证检测质量而制定的管理体系 d)检测组:;检测机构为完成检测任务而建立的组织 4.6.4检测要素;输出检测要素的输出是针对检测方案按照检测计划实施后的实际检测结果输出项如下检测报告;检测者在检测活动完成后根据检测结果撰写的提交给委托方或认证机构的报告性文档详见第7章检测记录;检测者在检测活动中记录检测信息的文档 b 检测过程 4.7 个智能卡芯片和嵌人式软件或复合产品智能卡的安全检测评估过程可分为4个阶段,见图5 阶段一:准备与启动参见附录E、附录F 阶段二;安全功能查证阶段三:渗透性检测阶段四:检测报告准备与启动安全功能查证渗透性检测检渊报告图5检测过程安全功能查证 5.1概述 5.1.1阶段主要任务安全功能查证的目的是对受测件做出基本的安全功能和生命周期各环节安全保障措施的检查和验证方法是通过阅读,研究受测件的技术文档和管理文档,寻找,分析、检查,确认设计者已经依据某级别安全功能和安全保障要求设计了相应的安全功能及其安全保障措施,以及这些安全功能和安全保障措施的合理性、合规性、必要性和充分性;并通过检测手段确定这些安全功能设计在受测件上工程实现的有效性和活跃性;在安全保障措施的检查中,检测者还应通过现场检查和实验室检测手段证明受测件样品与同型号量产产品在品质上的一致性,见图6
GB/T31507一2015 输入方法与技术输出受测件 1文档审查安全功能综合分析报告，安全功能要求， 2. 源代码审查 3. 独立性安全功能测试安全功他设计文档; 2 价测记录测试文档 3其他文档 4 现场检查与检渊相关的其他信息 5 安全功能综合分析图6安全功能查证;输入,过程和输出 5.1.2安全功能查证输入安全功能查证中输人按照检测方检测方案进行设计,达到最合理与优化输人项如下 a)受测件;任务启动阶段委托方向检测方正式交付的受测样本; b)安全功能要求;受测件设计阶段所参考依据的安全功能要求文件,如PP或其他形式的规范、标准; 安全功能设计文档;受测件开发者制作的ST文件和其他有关设计文件,详见5.3.5.1b); c d)检测文档;开发者的安全功能检测文档,详见5.3.5.le) 5.1.3安全功能查证;方法与技术安全功能查证中方法与技术是针对检测方案进行鉴别选择方法与技术如下 a)文档审查(见5.,3.2 2); 源代码审查(见5.3.4!) b) 独立性安全功能检测;通过抽取选择甚至完全重复设计者的安全功能检测以证明设计者所设计的安全功能的实现情况(见5.3.5); 现场检查(见5.3.3) 安全功能综合分析;检测者从通过上述几种手段正面理解受测件安全功能的设计者的意图和思路,确认受测件安全功能的实现情况,并与设计者依据的安全功能要求文件进行比对和分析,得出这些安全功能要求(包括安全保障要求)是否得到满足的结论 5.1.4安全功能查证输出安全功能查证中输出按照检测方的检测方案与计划进行查证,输出结果输出项如下安全功能综合分析报告;检测者的过程性中间报告,是检测者审查、分析开发方依据的安全功 a 能要求、,开发方的安全功能设计文档和实施源代码审查,现场检查,独立性安全功能检测等检测工作后得出的分析结论结论应明确指出受测件的安全功能与开发方所声称依据的安全功能要求的一致性程度 b检测记录;检测者在本阶段检测活动中产生的所有记录,应妥善保存并归档 e)其他文档:凡有可能成为下阶段输人的文档,均应保存;其他可销毁
GB/T31507一2015 5.2实施说明虽然某些有关智能卡检测的安全标准中不要求检测方进行安全性功能检测,或者由于得不到委托方的有效资源支持,致使该级别检测所需要进行的文档审查、现场检查、源代码检查,甚至独立性安全功能检测都不能进行,安全功能查证工作仍可实施例如检测者可根据所掌握的各类信息和相似受测件的检测经验进行脆弱性推论分析,也可以通过搭建模拟运行环境使受测件运行并采集其运行参数和数据来分析其安全功能的存在性和有效性 5.3实施内容 5.3.1 主要内容安全功能查证的主要内容,见图7 探查文档审查独立性安全功能测试 ST文件硬件智能卡管理软件低、高级设计文件指导性文档安全性分析报告源代码检查测试文档固件应用操作系统现场检查安全功能综合分析开发现场检查软件硬件生产现场检查智能卡管现综合图7安全功能查证主要内容 5.3.2文档审查为保证一定级别检测的质量和效率,检测者需或宜进行白盒检测,因此检测方应该要求委托方提供有关受测件足够的技术文档以支持安全性检测评估这些文档包括;设计(开发)者的ST文档、低层和高层设计文件、指导性文档,源代码、安全功能强度分析报告和安全功能检测文档检测方所需要的技术文档的重要性、,详细度和机密性与所进行的安全评估等级和遵守的规范相关检测方不应向委托方索取超出所进行的安全评估等级所必需或所依照的标准之外的技术资料文档审查的主要输出是文档评审意见,标明文档是否合格;当意见为不合格时,应通知委托方修改或补交,见图8.
GB/T31507一2015 输出 ST; 文档评审意见高、低层设计文档; 云受测件知识" 3，派代码文档 3 安全功能列表; 安全功能强度分析其他记录性文档安全功能测试文档图8文档审查;输入,输出 5.3.3现场检查现场指受测件的设计、开发、生产、初始化和个人化的工作现场现场检查是检测者确认受测件依据的安全要求文档如PP)所规定的在生命周期各阶段应有的安全保障要求是否被落实的重要手段当进行中的检测评估活动所依据的规范、标准对现场检查有要求并且所计划的评估项目必须在这些现场得到证据时,检测者应要求委托者安排进行现场检查检查中可对芯片和软件的设计环境,生产环境、中测环境、成测环境、算法灌装环境,重要参数预装环境、密钥管理环境,库房安全以及产品交付过程安全性进行全面考察,确认产品所处的各环节环境中对受测件安全资产及安全性不存在威胁和隐患现场检查的具体内容和方法请参考CCMB2007-09-004 5.3.4源代码检查 5.3.4.1概述源代码包括智能卡嵌人式软件源代码、专用软件芯片固件)源代码当所进行的检测评估项目所依据的标准和级别要求检测受测件的源代码,或检测方认为阅读受测件源代码能显著提高评估工作的质量和效率时,检测方可向委托方要求提供部分或全部源代码源代码检查的目的是为了让检测人员理解设计者的意图和思路以及各项安全功能的具体实现方法,是寻找受测件胞弱点的最有效方法之一,是目前彻底消除软件“后门”隐患的唯一途径,同时可为制定和实施渗透性检测计划提供思路和依据源代码检查的输人、输出,见图9 输出输入 sT; 对受测软件的理解 2源代码安全功能强度和脆弱性分析; 真实性证据; 其他记录性文档说明文档图9源代码检查;输入、输出 5.3.4.2源代码格式与检测工具委托方应使用文本格式将源代码提供给检测方且源代码应有详细的注释,以便评估者能够理解代码的各部分所代表的意义以及它们如何运行,此阶段中,若是需要用源代码,则受检方则要提供源代
GB/T31507一2015 码编译器 5.3.4.3源代码在产品中使用的证据检测方需要有证据表明委托者提供的源代码确实是在智能卡的送检版本中使用的这个要求适用于在智能卡中执行和载人的所有类型的代码可通过以下两种方法提供证据 -委托方提供一个声明,说明送检版本的代码是源代码一对一的编译结果,并给出编译工具的名称; -委托方同时将送检版本的可执行代码提供给检测方,检测方自己将该可执行代码与由所交付的源代码编译后产生的可执行代码进行一致性比较 5.3.5独立性安全功能检测独立性安全功能检测的要素,见图10. 过租输入输出受测件 5 测试实施方案; 1，测试报告; 安全目标; 抽样 2. 检测记录测试文档测试其他文档其他信息图10独立性安全功能检测;输入,过程和输出 5.3.5.1独立性安全功能检测输入检测方应按照独立性安全功能检测准备检测的输人项输人项如下受测件:任务启动阶段委托方向检测方正式交付的受测样本 a b)安全目标:独立性安全功能检测的性质是功能符合性检测,所依据的安全功能设计文档应为开发者的安全目标(sT)文档在开发者不能提供sT文档的情况下,可参见附录A,或开发者依据PP文件检测文档;开发者对受测件进行安全功能检测时制作的文档,包括;检测计划、检测程序描述、预期的检测结果和实际的检测结果等其他信息;当委托方不能提供检测文档时,检测方可要求提供其他任何有助于进行安全功能检测的材料或信息当检测实验室的检测环境缺乏某些设备或工具时,可以请求开发方协助提供,但在使用先要经过仔细鉴定 5.3.5.2独立性安全功能检测:过程检测方应按照独立性安全功能检测准备检测的过程要素项检测过程要素如下: 检测实施方案;检测者在审查,研究开发者的sT和安全功能检测文档的基础上制定出独立性安全功能检测实施方案制定增量检测情况下的独立性安全功能检测方案时,需考虑的关键因素是本次提交检测的受测件是否相比过去检测时增加了新的安全功能或保护措施,抑或对原有的安全功能或保护措施进行了改动 l0
GB/T31507一2015 若是,则可侧重考虑将新增加的安全功能列人检测方案;若无,则可根据以前的独立性安全功能检测报告内容选择不再进行独立性安全功能检测选择不做独立性安全功能检测的根据应该是检测者能确定;若重复以往的检测用例,只能获得完全 -样的结果为此,检测者可适当做些实验进行证明当受测件是复合性智能卡,即具有两个或两个以上开发者芯片、操作系统和应用)时,检测者应注意分别选取所有各层面的安全功能子集和抽取每个开发者的安全功能检测文档在检测方案中应将各层面的检测用例明确分开,按照芯片层,操作系统层再到应用层的顺序进行设计和实施检测者还可以对所选取的安全功能子集或检测用例子集加以补充,增加自己的检测用例补充和增加的前提是检测者对受测件的设计有深人理解,并对其安全功能有充分分析的基础上,或者是出于某种特定的应用要求 b)抽样;检测者应检测受测件的一个安全功能子集;并且评估者应抽样执行开发者的安全功能检测文档里的检测用例,以确认受测件的安全功能按照所设计的安全规范运行并且验证开发者的检测结果检测者也可以完全重复开发者的安全功能检测,亦即将开发者的安全功能检测文档的所有检测用例列人自己的检测方案检测实施;独立性安全功能检测由检测方独立实施,除了基于“改进设计”需求而进行的检测外,委托方或开发方的人员不得参与可能对检测结论产生影响的任何活动实施检测时应按检测方案对复合性受测件逐层,逐项进行检测,并分别记录检测方应在自已的实验室内完成所有的独立性安全功能检测项目 5.3.5.3独立性安全功能检测;输出检测方应按照检测方案和检测记录准备独立性安全功能检测输出检测报告输出项如下 a)报告;检测方应根据检测方案和检测记录独立完成独立性安全功能检测报告 b)检测记录;检测机构应通过自己的质量保障体系和技术手段保证检测记录的严谨、详细和真实安全功能强度分析:开发者应根据安全目标(ST)中要求的安全机制对受测件进行安全功能强度分析,证明其达到了PP和sT中申明的最低安全功能强度要求检测者应在审查,分析开发方安全功能强度分析文档和独立性安全功能检测的基础上确认或质疑开发方的安全功能强度分析结论,得出自己的分析结论具体分析方法和规则请参考cCMB2007-09-004 渗透性检测 6.1概述 6.1.1阶段目标和工作内容检测者进行渗透性检测的目的是通过实施模拟攻击者行为的试验活动,检验受测件的安全功能强度亦即对攻击行为的抵抗力强度此阶段的主要工作内容是;检测者在对受测件进行安全功能综合分析和脆弱性分析的基础上,充分考虑到当下已知的针对智能卡的攻击方法(参见但不限于附录B的内容)和检测实验室的资源情况,独立制定出符合评估等级标准要求的渗透性检测计划,并实行之这个阶段的工作质量对智能卡安全检测评估项目的结果至关重要,检测方应向委托方证明自身合 1l1
GB/T31507一2015 格的能力和合法的资质渗透性检测的要素,见图11 输入方法、工具与技术输出受测件 2 安全功能要求文档，渗透性测试报告，测试方案 3. 脆性分析文档; 检洲记录; 渗透牲满试安全功能强度分析报告其他文已知攻击方法图11渗透性检测输入、方法、工具、技术和输出 6.1.2渗透性检测:输入渗透性检测的输人是按照检测方案和检测计划对实际的检测内容的设置输人项如下 a)受测件;智能卡芯片、软件或智能卡产品安全功能要求文档,受测件安全功能设计时所依据的,标明了明确的安全功能强度要求(或胞 b 弱性要求)的文档,如PP文件脆弱性分析文档:包括开发者提供的脆弱性分析文档和检测者独立做出的脆弱性分析文档(探查阶段输出). 安全功能强度分析报告;检测者在强度探查阶段的输出 dD 已知攻击方法;已知攻击方法参见附录B,并关注当下有关智能卡攻击手段和技术的最新信 e 息,可参考JointlnterpretationLbraryApplicationofAtackPotentialtoSmateard-v.2.7. February2009 6.1.3渗透性检测;方法、工具与技术渗透性检测的方法、工具和技术是依据检测方案选取的合理有效的对应项方法、工具与技术如下 a)检测方案:基于所有输人项和自身资源、能力而制定的具体检测计划 b) 渗透性检测,见6.4 6.1.4渗透性检测;输出渗透性检测的输出项是依据检测方案按照检测步骤进行实际检测的输出输出项如下 a)渗透性检测报告;检测者独立完成的渗透性检测的结果报告可作为下阶段的输人 b)检测记录;检测者独立完成的渗透性检测的过程记录可作为下阶段的输人 e)其他文档;在渗透性检测过程中产生的其他正式或非正式文件,如检测者独立做出的脆弱性分析报告 6.2渗透性检测准备 6.2.1抵抗力要求委托方和评估方应明确对受测件的抵抗力要求参见附录G 在选择某个安全级别,如EAL4十,评估标准时,委托方和评估方应明白国标与国际组织相应标准 12
GB/T31507一2015 之间的对抵抗力要求的区别(可参见附录G) 选择其他标准的安全评估、检测项目时,若该标准有明确的抵抗力指标,应按其规定设计渗透性检测方案;若不存在明确的抵抗力指标,应参见附录G 6.2.2脆弱性分析开发者应做受测件的脆弱性分析,并将所标识的脆弱性分布文档化,如将脆弱点列表评估者应在开发者脆弱性分析的基础上进行渗透性检测,以证明开发者的结论正确与否评估者还应独立地对受测件进行脆弱性分析,旨在发现受测件是否存在尚未被开发者标志的可能被攻击者利用的脆弱性对复合性受测件的脆弱性分析宜从芯片到系统软件再到应用逐层顺序进行,并对结果进行综合考虑和整体分析脆弱性分析的具体实施方法请参考ccMB2007-09:004 6.2.3追加受测件受测件在启动阶段应已被交付,参见附录F.4.3.3受测件交付但在本阶段,特别是侵人式检测时受测件可能会大量损坏,若考虑需要追加受测件,检测者可向委托者提出要求 6.2.4检测资源检测者应独立完成对检测资源的调配和部署 6.3渗透性检测实施方案 6.3.1制定方案的基础渗透性检测方案的基础是所依据标准的抵抗力要求和检测者独立对受测件所做的脆弱性分析文档 6.3.2制定方案的原则检测方案应由检测小组独立制定,委托方不宜参与检测者主要根据受测件本身的特点和所做的评估等级对其抵抗力的要求(参见附录F)而制定检测方案但不宜为仅针对同一等级抵抗力而不考虑受测件的差异而制定一套一成不变的检测方案同时检测者必须考虑当下所有已知的攻击智能卡的手段和技术,可参见但不限于附录B中的攻击方法列表方案制定者应该以攻击者的角度考虑问题,攻击的目标一般直指受测件的安全资产,也可以是某个或某些安全功能检测者又不完全等同于攻击者,攻击目标未达成并不等于检测失败,反而可能是证实了受测件应具有的抵抗力(参见附录F),也即达到了检测的目的因此制定检测方案时要注意某项攻击应在什么时间、什么状态下结束方案应保持一定的灵活性,因为在攻击的过程中,可能会遭遇到未预料的结果;也可能某项攻击只能获得一个中间结果,但这个中间结果可成为另一种攻击的起点或阶梯,这些都需要随时修改或补充原方案方案的执行与修改将交替进行方案制定者还应考虑检测者所掌握的资源情况和估算检测成本 6.3.3增量检测情况检测者要参考该受测件以往的检测记录和报告,制定方案时应着重挑选以往攻击成功的项目再次 13
GB/T31507一2015 检测,或采用自前次检测以来新发展的攻击技术进行检测 6.4渗透性检测实施 6.4.1独立实施渗透性检测由检测方独立实施,除了基于“改进设计”需求而进行的检测外,委托方或开发方的人员不得参与可能对检测结论产生影响的任何活动 6.4.2实施过程渗透性检测的实施过程是一个研究、探索的过程检测者应在检测方案的框架下根据受测件当下的具体反应采取对应措施,修改攻击路径或方法渗透性检测过程见图12 渗透性检测过程输入;攻击方法列表受测件脆嘱性分析文档根据各魔弱点制定渗透性测试方案修改方案渗透性测试实施获得预期结果? 完成全部测试? 输出:测试报告图12渗透性检测过程 6.4.3检测记录检测机构应通过自己的质量保障体系和技术手段保证检测记录严谨详细、,真实 14
GB/T31507一2015 6.4.4检测地点检测方宜在独立、可控实验室完成渗透性检测 6.5渗透性检测报告检测方应根据检测方案和检测记录独立完成渗透性检测报告检测报告 7.1概述实验室在完成检测任务后应根据检测和评估的结果写出最终的格式化的检测报告,并提交委托方或认证机构 7.2报告主要内容报告的格式和内容原则上由认证机构和检测机构共同制定,可参考cCDB-2008-04-001 7.3关于攻击场景的描述尺度 7.3.1概述参与智能卡安全性检测的各方均应清楚渗透性检测技术和过程的泄露会对其他方和社会带来的安全威胁,因此各方均有责任和义务保守检测活动的细节信息不被扩散检测方在撰写检测报告时首先需要慎重考虑 7.3.2检测报告中的尺度把握检测方应根据报告接受者的身份决定检测报告中对渗透性检测场景的细节把握尺度 7.3.3接受者为认证机构或实验室技术管理者检测方可详细描述攻击步骤和技术,以证明检测活动的质量 7.3.4接受者为受测件的开发者检测方可酌情描述攻击步骤和技术,以利于开发者改进设计 7.3.5接受者为受测件用户(如卡商),应用系统业主、招标商,学术研究者、系统用户检测方不宜详细描述攻击步骤和技术 7.3.6多个接受者若出现需要同时给委托方和认证机构出报告的情况时,检测方可出具两份(类)报告;一份(类)为检测报告,着重检测结果的描述,递交给委托方;另一份(类)为检测技术报告,着重检测过程的描述,递交认证机构和实验室技术档案部门 15
GB/T31507一2015 附录 A 资料性附录》智能卡安全功能集 A.1智能卡硬件安全功能芯片序列号保护功能 A.1.1 芯片序列号是一个芯片区别于其他芯片的标识,当其被用于安全目的时,有必要对其提出安全要求,以防止芯片序列号被非法使用以及篡改智能卡安全功能应该控制对芯片序列号的访问,并具有序列号硬件保护电路,以抵抗或阻止篡改芯片序列号的攻击 A.1.2芯片序列号唯一性保证制造者应具有合理、科学的方法产生合乎标准的芯片序列号序列,并有管理机制保证在芯片出厂时,每一个序列号对应一颗芯片,且每颗芯片具有唯一的序列号芯片应该具备证明其序列号具备唯一性的安全功能 A.1.3内部总线安全功能内部总线是IC卡芯片内部信息的重要传输通路,物理连接芯片内部各个重要模块保护总线安全,对于保护秘密信息,维护IC卡安全性具有重要意义芯片内部总线应具有防物理攻击和防探测安全功能,要求总线具备抵抗替换、篡改以及反向工程等侵人式攻击的能力,以及具备抵抗窃听、探测等非侵人式攻击的能力 A.1.4存储器安全功能芯片内部存储器包括RAM、ROM、EEPROM、FLAsH等，一般的RAM内部数据掉电丢失 ROoM,EEPROM或FLAsH掉电不丢失,用于存储一些系统数据和用户数据芯片硬件应具有存储器内部数据保护和物理保护安全功能,要求存储器能够防止数据被非法读出并且具有防篡改和探测的能力 A.1.5攻击探测芯片硬件应有传感器或相应装置,能够探测到外部的攻击,包括各种主动的侵人和半侵人攻击,要求对存储器和总线的篡改、替换、探测等攻击能够检测并记录,并且要求智能卡安全功能在检测到攻击时,做出相应的行动 A.1.61/0端口访问控制芯片硬件应有安全功能保证任何通过1/O端口访问芯片的资源(存储器、算法硬件,随机数发生器等)和权限(读、写、改、用)的行为是受控的 A.1.7I/0端口安全功能芯片硬件应有安全功能保护芯片的资源(存储器、算法硬件、随机数发生器等等)不被任何人或进程 l6
GB/T31507一2015 通过1/0端口非法访问,在危险无法避免的环境中,阻止或抵抗通过非法手段从I/(接口获取敏感信息 A.1.8算法硬件一致性保证芯片应保证密码算法和物理硬件一致性,要求密码算法硬件完整地实现密码算法,并完成算法的所有功能 A.1.9密码算法硬件物理保护芯片应具有保证算法模块正确运行并保护该模块不被物理探渊和改动的功能 A.2智能卡软件安全功能 A.2.1系统软件安全性 A.2.1.1操作系统完整性保证操作系统本身应具有保证系统所用运行代码在卡片上正确装载、存储和执行,不被遗漏、篡改或跨越的功能 A.2.1.2操作指令防篡改功能操作指令本身带有校验功能部分,防止指令被篡改比如指令带有数据长度信息、MAC校验、奇偶校验等功能部分操作系统应能够辨认被篡改的指令,拒绝执行并做出适当回应 A.2.1.3用户身份鉴别功能操作系统应具有对用户的认证功能,以识别授权用户和非授权用户认证的结果可以以状态机或其他安全寄存器的状态变化进行标记,以限制和控制该用户的访问权限 A.2.1.4操作系统指令管理智能卡操作系统应该具有指令权限管理功能,要求对指令进行权限划分,用户只能使用授权范围内的指令当智能卡安全功能检测到未授权的指令使用时,采取相应的行动 A.2.1.5访问控制安全功能操作系统应支持多级别的对安全资产的访问权限的授予和通过认证而获取的安全机制在实际应 -定存在重要性不同或安全等级不同的信息类别,要求用户也具有不同级别的访问权限用中,卡中一操作系统要具有将各安全级别的信息设置不同级别的访问权限,对不同级别的授权用户进行该级别密钥或PIN码认证而给予该级别权限,拒绝未通过认证者访问的安全功能 A.2.1.6信息流控制安全功能智能卡安全功能应该监控智能卡内所有数据以及智能卡与外界之间的数据的流向,实现对信息流的完全控制智能卡安全策略中应该包括信息流控制策略部分,并确定其控制范围智能卡安全功能根据信息流控制策略来监控信息的流向,通常不允许改变信息安全属性的操作信息流控制策略通常包含两类要求;一是针对通用的信息流功能问题,二是针对非法信息流的控制问题 17
GB/T31507一2015 A.2.2应用软件安全功能检测 A.2.2.1应用软件可信度保证有软件措施保证应用软件是可信的应用软件能够完善的具备既定的功能及相应的安全措施,而且不支持任何非既定功能对于开放性操作系统平台,对所有应用程序应有一套严谨完备的审查、授权、认证、加载、安装、验证,运行的安全机制,防止任何非授权应用的加载和运行 A.2.2.2应用软件完整性保证操作系统和应用软件都应该有安全功能保证应用软件是完整的,不允许有设计功能缺失,且不能被篡改 A.2.2.3应用软件安全性保证智能卡应用软件应当具有处理各种错误的能力,并且具有预防和故障后恢复的措施智能卡数据安全功能 A.3.1 用户数据保护智能卡用户数据是智能卡进行各种操作,完成各种功能的必要信息,用户数据的安全性是智能卡安全功能保护的首要任务用户数据保护安全功能对用户数据的有效性,完整性,以及输人输出规则做出了详细规定,以确保用户数据的安全性 A.3.2安全功能数据保护安全功能数据是智能卡安全功能在进行安全功能策略决策时使用的信息安全功能数据一般包括安全属性、鉴别数据以及访问控制表等安全功能数据的可用性对于安全功能的正确执行必不可少,而安全功能数据的保密性对于保证智能卡安全性至关重要安全功能数据保护安全功能对安全功能数据的真实性,完整性和保密性提出了要求,并且要求安全功能数据具有防篡改功能 A.4智能卡状态机安全功能智能卡状态列表管理 A.4.1 智能卡状态机的状态列表的完整性和确定性对于安全正确地使用智能卡十分重要智能卡状态列表管理安全功能对状态列表管理作了以下要求:包括状态完整性保证、状态确定性保证,以及状态列表的添加和删除操作的管理 A.4.2智能卡状态转换管理状态机中状态之间的相互转换取决于当前状态与输人指令的共同作用,为了保证状态转换的正确性,必须对当前状态标识和输人指令进行验证,满足状态转换条件的就让智能卡进人下一个状态,否则按照预先设置好的规则处理智能卡状态转换管理安全功能对状态转换管理做出了以下要求;状态标识管理,状态标识和指令鉴别功能和状态转换操作保证智能卡状态的正确转换是安全使用智能卡的基础 18
GB/T31507一2015 A.5智能卡管理安全功能 A.5.1智能卡完整性保证智能卡是由硬件、软件、固件组成的整体,为了保证智能卡的安全使用,必须保证所有的部分都是完整的,包括存储数据以及安全功能的完整性,这就要求智能卡安全功能够自动检测智能卡的完整性智能卡安全功能还应该保证能够对智能卡进行反转操作,撤销上一次或一系列操作,并使智能卡返回到某个以前的已知状态对于某些突发情况,可能会扰乱智能卡的当前状态,并导致运行中断,要求智能卡安全功能具有在错误发生后能在不减弱保护的情况下恢复的能力智能卡完整性保证安全功能包括: 智能卡自检安全功能、智能卡反转操作安全功能和智能卡恢复安全功能 A.5.2智能卡安全功能管理智能卡的安全性取决于安全策略的覆盖性,只有确保安全策略本身没有安全漏洞,并且覆盖到智能卡的所有部分和所有操作,才能确保智能卡的安全性对于具体实施安全策略的智能卡安全功能来说，要求其真实准确地反映安全策略,并且没有任何遗漏,安全功能的完整性对于智能卡安全尤为重要智能卡安全功能应该允许授权用户控制安全功能中功能的管理,并且要求安全功能能够抵抗未授权的物理访问和物理篡改智能卡安全功能管理安全功能包括安全策略覆盖性保证、安全功能完整性保证、安全功能行为管理和安全属性管理 A.5.3智能卡密钥管理智能卡安全功能可以利用密码功能来满足一些高级安全目的,这些功能包括(但不限于):身份认证、标识与鉴别、数据加密等密码运算的设备可以用硬件、软件或固件来实现,在智能卡的硬件与软件安全功能部分对密码运算设备进行了安全功能定义为了保证密码运算的功能正确和安全性,密钥的管理至关重要密钥在其整个生存期内都必须进行管理,智能卡密钥管理安全功能对密钥的产生、分配,访问和销毁做出了规定 A.5.4智能卡用户管理通过对智能卡用户赋予不同的角色,用户就能够对智能卡进行各种操作,角色是预先定义的一组规则,用户根据其授权角色的权限大小被附加了不同的安全级别智能卡安全功能应该能够对用户安全属性进行维护从而保证智能卡的安全性不会因为用户进行不符合自己身份的操作而降低智能卡用户管理是保证智能卡得到正确应用的基础,智能卡用户管理对用户安全属性以及用户与角色之间的关联做出了相应的规定,确保智能卡安全功能能够在用户对智能卡进行操作前对其进行标识和鉴别 A.5.5智能卡安全审查包括识别、记录、存储和分析那些与安全相关活动即由智能卡安全策略控制的活动)有关的信息检查审查记录结果可以用来判断发生了哪些与智能卡安全相关的活动以及哪个用户要对这些活动负责智能卡安全审查安全功能包括异常安全警告、安全审查数据产生、安全审查分析和安全审查记录管理 19
GB/T31507一2015 附录B 资料性附录智能卡攻击方法 B.1芯片层 B.1.1侵入攻击类 B.1.1.1 概述侵人式攻击也称物理攻击或物理分析,方法是用化学或物理方法去除芯片的表层封装,然后用精密仪器对芯片内部的功能单元和电路进行探测或改动,其目的如下确定芯片的内部结构及芯片各部件内部运行的详细信息和各部件间的联系; a 在未经授权情况下获取敏感信息 b e改变芯片行为根据这三个目标及攻击手段,侵人式攻击类又可划分为逆向工程(观测、物理探测和物理改动三个子类 B.1.1.2物理逆向工程物理逆向工程的目的是确定芯片的内部结构及芯片各部件内部运行的详细信息和各部件间的联系逆向工程将会对芯片造成破坏,而且一般不能直接得到如密钥一类的敏感信息,其最重要的功能是为实施进一步的物理攻击进行准备 B.1.1.3物理探测物理探测的目的是(在未经授权情况下)获取保存在芯片上的敏感信息,常与物理改动的方法一并使用 B.1.1.4物理改动物理改动的目的是通过改变芯片内部的线路或功能单元让电路出现新的行为进一步的目的可以是获取敏感信息,因此常与物理探测同时进行物理探测和物理改动攻击的实现需要芯片在封装打开后仍保持运行,因此需要更复杂的仪器和掌握与对象相关的更为精确的知识和技能 B.1.2物理探测和物理改动的攻击项举例使用物理方法可进行如下攻击项目总线探针检测; 传感器拆除探针检测读ROM; 读EEPROM; 读FLASH -FIB电路重构; 随机数发生器RNG攻击返回检测模式 20
GB/T31507一2015 B.1.3半侵入攻击类 B.1.3.1概述半侵人攻击时一般需要将芯片的封装打开一个窗口,并去除屏蔽层和钝化层直至暴露芯片表面的电路层,但一般不使用外部电子设备与芯片内部电路任何部分进行直接的物理接触半侵人的目的一是为了攻击者能用肉眼或借助显微设备对芯片内部的表面进行直接观测,以获得芯片内部的一些基本信息;二是对运行中的芯片进行故障引人攻击,可参见B.1.5.3;三是在半侵人条件下对芯片进行环境压力攻击,可参见B.1.5.4 B.1.3.2半侵入攻击举例典型的半侵人攻击方法是激光故障引人还可有其他光谐的强光照射、放射线照射等 B.1.4非侵入攻击类 B.1.4.1 非侵入攻击的一般特性非侵人攻击在不打开芯片的封装,不对卡片和芯片产生任何物理损害的情况下,通过采集,测量智能卡运行时所消耗或产生的某些物理量,然后通过对采集样本进行相关的算法特性分析和数据分析获取敏感信息 B.1.4.2非侵入攻击的项目非侵人式攻击的项目包括以下8项 -简单能量(能耗、功耗)分析;SimplePowerAnalysis(SPA); -简单电磁分析;SimpleElectro-MagneticAnalysis(SEMA) 差分能量(能耗,功耗)分析;DfferentialPowerAnalysis(DPA); 差分电磁分析;DifferentialElectro-MagneticAnalysis(DEMA); 关联能量(能耗,功耗)分析;CorelationPowerAnalysis(CPA)1 分割能量(能耗、功耗)分析;PartitioningPowerAnalysis(PPA); 交互信息分析MutuallInformationAnalysis(MIA); -时间(计时)分析;TimingAnalysisTA) 其中,能量分析攻击方法中还包括了一些扩展的方法，如模板攻击、高阶能量分析等,可参考 CCDB2007-09-002ETRtemplateforcompositeevaluationofSmartCardsandsimilardevicesV1.0. B.1.5故障引入和极限环境攻击 B.1.5.1 概述故障引人和极限环境攻击一般在非侵人条件下实施,但也可在半侵人和侵人条件下实施的攻击类型,这两种攻击类型的原理和过程类似,但手段不一 B.1.5.2故障引入对运行中的芯片进行故障引人,使进行加解密或执行其他指令的结果出错或进人到非正常状态,然后攻击者通过对应有的正确结果和获得的错误结果进行比较并结合密码算法进行专业分析如DFA 分析),或者利用芯片当前的非正常状态,可能达到破解密钥或获取其他敏感信息的目的 21
GB/T31507一2015 B.1.5.3故障引入攻击举例智能卡芯片层的故障引人攻击可有以下项目: -激光错误引人; 电压端错误引人 -随机数发生器故障引人; -时钟端子错误引人 B.1.5.4极限环境攻击令智能卡(芯片)运行于超出于正常工作所必需的环境条件下,尝试非法访问智能卡的各种安全资产;或令智能卡的加解密运算过程中产生可被利用的错误抑或进人到可被利用的状态与各种故障引人方法比,极限环境攻击不是一种在时间或位置上需要精确定位的攻击 B.1.5.5极限环境攻击举例可能的攻击项目有电磁干扰极限温度静电干扰强光干扰 B.2软件层对智能卡软件层面的攻击可能发生在cOS层也可能发生在应用层,具体项目可有: 初始化代码攻击，存储器操作代码攻击; 密码运算操作代码软件随机数发生器攻击; 重放攻击; 缓存溢出或堆栈溢出; 异常指令响应探测; 直接协议攻击; 绕过认证机制或访问控制机制 JAVA卡恶意应用接力攻击中间人攻击; 利用检测模式 22
GB/T31507一2015 附录c 资料性附录智能卡安全检测框架 C.1种种规定了检测的基本方法,是智能卡安全检测框架的最高层次智能卡安全检测分为两种;安全功能检测和渗透性检测安全功能检测:安全功能检测是检测者通过检测开发者提供的一个安全功能子集以确认受测件是符合安全功能规范的,抽样执行开发者的检测文档中的检测用例以验证开发者的检测结果的检测过程渗透性检测渗透性检测是检测者通过模拟攻击者的行为和手段,对受测件进行攻击性试验检验受测件的抵抗能力,证实受测件安全功能的有效性和完备性的检测过程 C.2 层检测层包含了进行于受测件同一逻辑层面上的所有检测智能卡安全检测层对应智能卡模型的三个逻辑层面,即;芯片层、嵌人软件层和应用层类 C.3 类指检测层中具有相同物理检测界面的检测项检测的类也可称为“式”,如智能卡芯片层的渗透性检测分为三类:侵人式、半侵人式和非侵人式 Cc.4 项检测项是所在层(类)中的一个独立的检测标题的检测用例集合,具有明确的检测目标和预期结果个项可分属于不同的类例 C.5 C.5.1 例定义检测例亦称检测用例,是一个(最小的)完整而独立的检测过程每个检测例具有独有的进程,步骤并产生结果,目标指向受测件一个(或一组)具体的安全资产一例检测只能属于一个项和一个类 C.5.2检测例的模板检测例一般是检测计划或方案中的对检测活动描述的最小单元,因此检测例的定义与创建是检测活动的基础具体做法可参考以下模板见表c.1 23
GB/T31507一2015 表c.1检测用例模板内容名称 ID号定义:A1-A2-A子A!A5-A6-A7-A8-n 主题编号-种-层-类(选)-项-卡片类(选-参数码(选)-算法码(选-用例号解释 Al=主题编号,自定义; A2=种;F为安全功能检测;P为渗透性检测 A3=层;c为芯片层;0为cos层;A为应用层用例D 类;N=非侵人;s=半侵人;l=侵人;(选项 -项;检测项代号,自定义; 卡片类;C=接触卡;CL=非接触卡;选项 A6 参数码;cK=时钟,Vc=电鄙;T=温度;EM电磁;(选项 A8=算法;3Des，DES,RRSA,RSA-CRT,ECC等标准算法缩写;(选项 =用例号;同一项内的用例编号;0N,N=检测项内检测例的数目减一用例名称检测项名称(项名应包含种,类、层等信息)8.用例号用汉字表示检测目标检测的具体对象,要验证的东西版本参考依据的标准或规范资源需求厂商应抛供的受测件,资料、工具等工时预计人力、工时设备实施本用例的软硬件设备、平台、系统前提条件实施本用例前必须(或最好应)进行的其他用例基本步骤实施本用例的一般过程中的基本步骤预期结果每一基本步骤的具体目标,最终具体目标(指向的安全资产后处理完成本用例后的善后工作内容 C.6步骤检测步骤是检测进程中一个基本状态转换,可视为检测活动的最小单位一组有序的检测步骤集合构成一个完整的检测例检测框架结构图例图c.1是一个渗透性种芯片层的检测框架图图例,在此图例中并未画出所有的检测项 24
GB/T31507一2015 渗透性测试种 cos层芯片层应用层半侵入类侵入类非侵入类简单能量分析项故障引入被动探测项主动探测项差错分析项用例1 用例2 用例用例n 用例" 用例x 用例，y" 步骤" 步迷" 步速" 步强n 步辈n 步骤n” 步深步骤1 步骤1 步葬1 步猾步辈l1 图C.1渗透性芯片层检测框架示例图 25
GB/T31507一2015 附录D 资料性附录主题检测大纲文件结构举例主题检测大纲文件的结构举例示例如下检测对象 (本次检测对象为××型号的××产品. 检测对象依据某个标准,如GB/T18336.2一2010) 检测环境 (可参考下图项目编号硬件环境软件环境检测框架计划检测框架计划参见附录c的c.7 总体框架图总体框架图参见图c.1 4.2检测层检测层参见附录C的C.2 4.3检测类 4.3.1定义定义参见附录C的C.3 26

信息安全技术智能卡通用安全检测指南GB/T31507-2015

智能卡作为一种安全存储介质，已经广泛应用于金融、电信、交通等领域。为了保障智能卡的安全性和稳定性，需要进行全面的安全检测。而信息安全技术智能卡通用安全检测指南GB/T31507-2015就是针对智能卡的安全检测所制定的规范。

GB/T31507-2015 适用范围

GB/T31507-2015适用于各类智能卡的安全性能检测，主要包括：

内部结构与布局的安全性评估；
数据存储及传输机制的安全性评估；
协议与算法的安全性评估；
应用软件的安全性检测。

测试环境及工具

在进行智能卡通用安全检测时，需要准备合适的测试环境和工具来保证测试结果的准确性和可靠性。测试环境主要包括：

测试终端：智能卡读卡器、测试软件等；
测试设备：石英钟、示波器、信号发生器等；
测试材料：智能卡测试卡片、标准测试数据等。

在选择测试工具时，需要考虑工具的功能、稳定性和兼容性等因素，以确保测试过程的顺利进行。

测试方法

智能卡通用安全检测主要涉及到以下测试方法：

物理安全性测试：包括外观检查、操作寿命、抗震动、抗静电等物理耐久性测试。
电气特性测试：包括电源电压范围、功耗、接口电压等电气特性测试。
安全机制测试：包括认证机制、密钥管理、权限控制、数据加/解密等安全机制测试。
性能测试：包括读写速度、响应时间、并发处理能力等性能测试。

在具体实施测试时，需要根据智能卡类型和安全特性进行选择和调整。

结论

通过智能卡通用安全检测指南GB/T31507-2015的实施，可以全面、系统地评估智能卡的安全性能，为智能卡的研发、生产、应用提供科学、规范的技术支持。因此，在智能卡的相关领域开展工作的企业和机构应该认真遵循该标准的要求，提高智能卡的安全性和可靠性。