首 页文档资料下载资料维修视频包年699元
请登录  |  免费注册
当前位置:精通维修下载 > 文档资料 > 家电技术 > 单元电路介绍 > 其它电路
智能卡安全性评估保护轮廓PP的研究
来源:本站整理  作者:佚名  2010-06-20 10:28:05




2.2 智能卡安全性评估意义
    智能卡的安全性非常重要。智能卡安全性评估是依照国内外行业相关安全技术标准,对智能卡生命周期各阶段的安全功能和安全保证进行评估,以确认该智能卡产品是否满足相应的安全要求。通过这一过程,可以促使生产者或开发商规范生产过程、节省人力物力资源,同时,也向用户和社会提供一个衡量智能卡产品安全性的客观标准。
2.3 智能卡安全要求
    由于智能卡的功能和使用环境不同,所以对智能卡的评估需分级进行。如对医疗卡、社保卡、交通卡的评估属于低级别的,而对于电信卡、信用卡、现金卡等属于高级别的评估活动。目前国内评估机构——中国信息安全产品测评认证中心,对电信行业的SIM卡、UIM卡、PIM卡以及智能卡芯片开展的分级评估为EAL4+级。
    EAL4+级又称为EAL4增强级,是在EAL4级的基础上提升了TOE安全保证要求的深度、广度和严格性。目前国际上开展的智能卡评估活动的保证级多数是EAL4+,也有智能卡通过了相应国家认证机构的EAL5+认证。
3 EAL4+级智能卡PP
    CC规定了每级应具有的SFR,但没有明确规定每级EAL应包含哪些SFR,所以智能卡PP的主要任务是说明在预期的使用环境下的安全需求。可以根据智能卡安全使用环境来确定智能卡PP应包括的安全目的和安全要求,从而设计切实可用的智能卡PP。
3.1 智能卡安全环境
    智能卡在整个生命周期中存在的敏感资产有用户的各种数据、系统应用数据、密钥、软件开发工具与技术等。智能卡务必要保护这些数据的私密性,所有可能危及到这类数据的行为或情况都要在保护轮廓中考虑到。智能卡PP需考虑的安全环境有3种。
3.1.1 假设
    攻击者的能力(A.Attack):假设攻击者有足够的时间,并具备智能卡所需的技术知识,拥有电脑和相关设备,动机可能有经济利益、政治利益或其他等。
    用户权限(A.User):假设用户拥有访问智能卡某些信息的权限。
    管理者能力(A.Admin):假设管理或使用智能卡的人胜任工作。
    角色管理(A.Role_Man):假设智能卡的开发者、发行者、管理者和使用者能被安全地管理。
    外部数据存储(A.Data_Store):假设能以安全的方式管理相关的外部数据。
    生命周期管理(A.Life_Man):假设智能卡的生命周期的每个阶段都被唯一标识,这样可以确保能通过标识信息追溯到生命周期的各个阶段。
    密钥生成(A.Key_Gen):假设智能卡应用系统中生成的密钥都是安全的。
3.1.2 威胁
    智能卡面临的威胁主要有针对应用软件的威胁和对使用环境的威胁。在应用软件的使用过程中,如用户可能操作或引入错误数据而使卡内信息混乱,或攻击者反复使用某些数据或操作,通过观察卡的输出结果而获得卡的机密信息等威胁;在应用软件开发过程中,会面临保密数据泄漏、软件修改和开发工具失窃等威胁。
    使用环境中由于不完善的控制程度或失窃造成密钥泄漏,使得攻击者在非法获得密钥后,就可以对卡内的信息和功能进行操作。管理者可能执行暴露智能卡安全功能或数据的操作而将智能卡置于危险境地。
3.1.3 组织安全策略
    (1)数据访问:智能卡内的不同数据有不同的访问者,同一数据不同访问者有不同的权限。智能卡内数据应根据不同的使用者制定不同的访问规则。
    (2)文件访问:智能卡内文件可能涉及不同的使用者,如系统集成商、智能卡发行者、用户等,对于文件的具体操作,需要不同的访问权限和规则。
    (3)标识:智能卡内各文件应能唯一被标识。
    (4)专业领域的信息技术标准:智能卡及其COS和应用软件的设计都应符合国家标准、行业及组织的信息技术安全标准或规范。
    (5)密码标准:智能卡中使用的密码或数据鉴别都必须与国家标准或行业规范相符合。
    (6)配置管理:为了安全和便于管理,智能卡应使用配置管理工具管理所有代码。
3.2 智能卡安全目的
    由于安全环境决定安全目的,所以智能卡PP中的安全目的应适应安全环境中的任何情况,具体见表1、表2和表3(限于篇幅,表3只列出了智能卡安全环境中部分威胁),即每种安全环境都有一个安全目的与之对应。表1~表3中各组件的详细说明请见参考文献[4]。


上一页  [1] [2] [3] 

关键词:

  • 好的评价
      0%(0)
  • 差的评价
      0%(0)

文章评论评论内容只代表网友观点,与本站立场无关!

   评论摘要(共 0 条,得分 0 分,平均 0 分)
Copyright © 2007-2017 down.gzweix.Com. All Rights Reserved .
页面执行时间:19,000.00000 毫秒