智能卡安全性評估保護輪廓PP的研究

文章出處：http://psychicreadingswithdeb.com 作者：中國一卡通網(wǎng) 收編   人氣： 發(fā)表時(shí)間：2011年10月08日

    目前智能卡應用已滲透到社會(huì )生活的各個(gè)方面，其在帶給人們高效便捷生活的同時(shí)，安全性也倍受人們關(guān)注。因此，國內一些智能卡廠(chǎng)商通過(guò)對智能卡進(jìn)行評估以提高智能卡的安全信譽(yù)。在進(jìn)行智能卡產(chǎn)品安全性評估時(shí)，首先需要相關(guān)的指導性文檔，其中位于高層抽象級的指導性文檔是安全性評估保護輪廓PP。它依據的是GB/T 18336-2001《信息技術(shù)安全性評估準則》[1]。該準則的前身是國際通行的最先進(jìn)的信息安全測評標準CC[2](Common Crietira)，即ISO/IEC 15408。 

    1 PP概述 

    1.1 概念介紹 

    要認識PP，先介紹CC中的幾個(gè)重要術(shù)語(yǔ)。
    (1)評估對象TOE(Target of Evaluation)：評估申請方提供的被評估對象。
    (2)安全組件包：多個(gè)安全要求組件構成一個(gè)安全組件包。安全組件包用于構造PP或ST。
    (3)保護輪廓PP(Protect Profile)：對于某一類(lèi)TOE而言的高級抽象的安全要求說(shuō)明書(shū)，與TOE的實(shí)現無(wú)關(guān)。
    (4)安全目標ST(Security Target)：與PP類(lèi)似，是針對某一特定安全產(chǎn)品而言，與TOE安全環(huán)境相關(guān)的安全要求與概要設計說(shuō)明書(shū)，可以引用某個(gè)(些)PP。
    (5)評估保證級EAL(Evaluation Assurance Level)：代表TOE的安全保證程度。CC標準將EAL分為7級。 

    CC標準由簡(jiǎn)介和一般模型、安全功能要求和安全保證要求3部分文檔組成。其中，簡(jiǎn)介和一般模型相當于某一類(lèi)TOE的PP；安全功能要求根據TOE使用安全環(huán)境提出安全功能標準。相應地CC評估也分為3部分：PP評估、ST評估和TOE評估。若某一類(lèi)種信息安全技術(shù)或產(chǎn)品通過(guò)CC評估，則意味著(zhù)同時(shí)通過(guò)了這3部分評估。三者之間的評估順序如圖1。 

    鑒于PP評估在CC認證中的關(guān)鍵地位，要使智能卡產(chǎn)品順利通過(guò)EAL評估，就有必要對智能卡的安全保護輪廓PP進(jìn)行深入細致的研究。
PP作為高層指導性文件，主要介紹TOE的安全環(huán)境、安全目的、安全要求和基本原理。安全要求包括安全功能要求SFR(Security Functional Requirements)和安全保證要求SAR(Security Assurance Requirements)。安全原理指出安全環(huán)境、安全目的和安全功能之間的關(guān)系，如圖2所示。 

    1.2 PP分類(lèi) 

    從不同的角度考慮，ＰＰ的分類(lèi)不同：
    (1)CC標準中將評估級別分為7級，因此，PP可以按評估級別分為7類(lèi)，即為EAL1級PP，EAL2級PP等。
    (2)由于ＰＰ是針對某一類(lèi)TOE而定，因此PP就可以按TOE分類(lèi)，如DBMS PP、防火墻PP、智能卡PP等。
    (3)從TOE的安全環(huán)境角度看，PP可分為高風(fēng)險環(huán)境(HRE)PP、中風(fēng)險環(huán)境(MRE)PP和低風(fēng)險環(huán)境(LRE)PP。 

    2 智能卡評估介紹 

    2.1 智能卡概述 

    智能卡也稱(chēng)為集成電路卡(Integrated Circuit Card)，即IC卡。智能卡的分類(lèi)有多種，根據卡上集成電路的不同，可分為存儲器卡、邏輯加密卡和CPU卡3種，由于CPU卡上的集成電路包括有片內操作系統COS(Card Operating System)，能存儲并處理數據，所以CPU卡才是真正的智能卡(如無(wú)特殊說(shuō)明，本文所討論的智能卡均屬CPU卡)。 

    2.2 智能卡安全性評估意義 

    智能卡的安全性非常重要。智能卡安全性評估是依照國內外行業(yè)相關(guān)安全技術(shù)標準，對智能卡生命周期各階段的安全功能和安全保證進(jìn)行評估，以確認該智能卡產(chǎn)品是否滿(mǎn)足相應的安全要求。通過(guò)這一過(guò)程，可以促使生產(chǎn)者或開(kāi)發(fā)商規范生產(chǎn)過(guò)程、節省人力物力資源，同時(shí)，也向用戶(hù)和社會(huì )提供一個(gè)衡量智能卡產(chǎn)品安全性的客觀(guān)標準。 

    2.3 智能卡安全要求 

    由于智能卡的功能和使用環(huán)境不同，所以對智能卡的評估需分級進(jìn)行。如對醫療卡、社?？?、交通卡的評估屬于低級別的，而對于電信卡、信用卡、現金卡等屬于高級別的評估活動(dòng)。目前國內評估機構——中國信息安全產(chǎn)品測評認證中心，對電信行業(yè)的SIM卡、UIM卡、PIM卡以及智能卡芯片開(kāi)展的分級評估為EAL4+級。 

    EAL4+級又稱(chēng)為EAL4增強級，是在EAL4級的基礎上提升了TOE安全保證要求的深度、廣度和嚴格性。目前國際上開(kāi)展的智能卡評估活動(dòng)的保證級多數是EAL4+，也有智能卡通過(guò)了相應國家認證機構的EAL5+認證。 

    3 EAL4+級智能卡PP 

    CC規定了每級應具有的SFR，但沒(méi)有明確規定每級EAL應包含哪些SFR，所以智能卡PP的主要任務(wù)是說(shuō)明在預期的使用環(huán)境下的安全需求?？梢愿鶕悄芸ò踩褂铆h(huán)境來(lái)確定智能卡PP應包括的安全目的和安全要求，從而設計切實(shí)可用的智能卡PP。 

    3.1 智能卡安全環(huán)境 

    智能卡在整個(gè)生命周期中存在的敏感資產(chǎn)有用戶(hù)的各種數據、系統應用數據、密鑰、軟件開(kāi)發(fā)工具與技術(shù)等。智能卡務(wù)必要保護這些數據的私密性，所有可能危及到這類(lèi)數據的行為或情況都要在保護輪廓中考慮到。智能卡PP需考慮的安全環(huán)境有3種。 

    3.1.1 假設 

    攻擊者的能力(A.Attack)：假設攻擊者有足夠的時(shí)間，并具備智能卡所需的技術(shù)知識，擁有電腦和相關(guān)設備，動(dòng)機可能有經(jīng)濟利益、政治利益或其他等。

    用戶(hù)權限(A.User)：假設用戶(hù)擁有訪(fǎng)問(wèn)智能卡某些信息的權限。
    管理者能力(A.Admin)：假設管理或使用智能卡的人勝任工作。
    角色管理(A.Role_Man)：假設智能卡的開(kāi)發(fā)者、發(fā)行者、管理者和使用者能被安全地管理。
    外部數據存儲(A.Data_Store)：假設能以安全的方式管理相關(guān)的外部數據。
    生命周期管理(A.Life_Man)：假設智能卡的生命周期的每個(gè)階段都被唯一標識，這樣可以確保能通過(guò)標識信息追溯到生命周期的各個(gè)階段。
    密鑰生成(A.Key_Gen)：假設智能卡應用系統中生成的密鑰都是安全的。 

    3.1.2 威脅 

    智能卡面臨的威脅主要有針對應用軟件的威脅和對使用環(huán)境的威脅。在應用軟件的使用過(guò)程中，如用戶(hù)可能操作或引入錯誤數據而使卡內信息混亂，或攻擊者反復使用某些數據或操作，通過(guò)觀(guān)察卡的輸出結果而獲得卡的機密信息等威脅；在應用軟件開(kāi)發(fā)過(guò)程中，會(huì )面臨保密數據泄漏、軟件修改和開(kāi)發(fā)工具失竊等威脅。 

    使用環(huán)境中由于不完善的控制程度或失竊造成密鑰泄漏，使得攻擊者在非法獲得密鑰后，就可以對卡內的信息和功能進(jìn)行操作。管理者可能執行暴露智能卡安全功能或數據的操作而將智能卡置于危險境地。 

    3.1.3 組織安全策略 

    (1)數據訪(fǎng)問(wèn)：智能卡內的不同數據有不同的訪(fǎng)問(wèn)者，同一數據不同訪(fǎng)問(wèn)者有不同的權限。智能卡內數據應根據不同的使用者制定不同的訪(fǎng)問(wèn)規則。
    (2)文件訪(fǎng)問(wèn)：智能卡內文件可能涉及不同的使用者，如系統集成商、智能卡發(fā)行者、用戶(hù)等，對于文件的具體操作，需要不同的訪(fǎng)問(wèn)權限和規則。
    (3)標識：智能卡內各文件應能唯一被標識。
    (4)專(zhuān)業(yè)領(lǐng)域的信息技術(shù)標準：智能卡及其COS和應用軟件的設計都應符合國家標準、行業(yè)及組織的信息技術(shù)安全標準或規范。
    (5)密碼標準：智能卡中使用的密碼或數據鑒別都必須與國家標準或行業(yè)規范相符合。
    (6)配置管理：為了安全和便于管理，智能卡應使用配置管理工具管理所有代碼。 

    3.2 智能卡安全目的 

    由于安全環(huán)境決定安全目的，所以智能卡PP中的安全目的應適應安全環(huán)境中的任何情況，具體見(jiàn)表1、表2和表3(限于篇幅，表3只列出了智能卡安全環(huán)境中部分威脅)，即每種安全環(huán)境都有一個(gè)安全目的與之對應。表1～表3中各組件的詳細說(shuō)明請見(jiàn)參考文獻[4]。 

    3.3 智能卡安全要求 
 
    智能卡安全要求是指針對安全環(huán)境而提出的要求。智能卡PP中安全要求組件也分為安全功能要求組件和安全保證要求組件。 

    3.3.1 安全功能要求組件 

    安全告警：當檢測到潛在的安全侵害時(shí)，智能卡應能采取相應措施將危害降到最低。 

    審計并分析潛在侵害：智能卡應能用一定的規則去監控審計事件，并根據這些規則指示出對智能卡的潛在侵害，如用戶(hù)進(jìn)入系統時(shí)需要身份認證或用戶(hù)簽名等，都是為了實(shí)現事后追查和安全審計。 

    密鑰的生成、訪(fǎng)問(wèn)和運算：智能卡密鑰生成所用的算法必須與國家法規和行業(yè)標準相一致，密鑰訪(fǎng)問(wèn)必須有嚴格的方法。 

    無(wú)過(guò)度損失的自動(dòng)恢復：當不能從失敗或服務(wù)中斷自動(dòng)恢復時(shí)，智能卡安全功能應進(jìn)入一個(gè)安全狀態(tài)，并確保數據或客體在無(wú)過(guò)度損失的情況下恢復到初始狀態(tài)。如當用戶(hù)在向智能卡內寫(xiě)數
據時(shí)突然斷電，則智能卡應能確?？▋葦祿陌踩?，并在下次使用時(shí)功能正常。 

    3.3.2 安全保證要求組件 

    智能卡安全保證要求組件包括：部分配置管理自動(dòng)化組件、產(chǎn)生支持和接收程序組件、安全加強的高層設計組件、模塊化組件和描述性低層設計組件等。 

    3.4 智能卡安全原理 

    智能卡中的安全環(huán)境、安全目的和安全要求是相互關(guān)聯(lián)的[5]。表4給出一部分安全要求與安全目的、安全環(huán)境的對應關(guān)系。 

    4 智能卡PP發(fā)展趨勢 

    (1)智能卡PP開(kāi)發(fā)流程化。PP的開(kāi)發(fā)涉及多方面內容，工作量極大。如果能夠通過(guò)有效方法使開(kāi)發(fā)過(guò)程趨于流程化，則不僅會(huì )使開(kāi)發(fā)時(shí)間大大縮短，而且開(kāi)發(fā)產(chǎn)品PP將更令人滿(mǎn)足。 

    (2)智能卡安全環(huán)境規范化。從之前的描述中可知，智能卡的安全環(huán)境是PP開(kāi)發(fā)及評估的基礎和前提，并且智能卡的安全環(huán)境具有相似性。因此，安全環(huán)境的規范化將會(huì )使智能卡PP的開(kāi)發(fā)更標準、高效。 

    (3)HRE PP的研究開(kāi)發(fā)。目前國內對智能卡開(kāi)展的安全性評估大多是在EAL4+，屬于中風(fēng)險PP。隨著(zhù)智能卡的普及，人們對智能卡的安全期望值會(huì )更高，屆時(shí)，必將需要更高風(fēng)險的PP以適應技術(shù)發(fā)展的需要。 

    優(yōu)質(zhì)的智能卡PP對安全性評估有著(zhù)重要的意義和作用，本文通過(guò)對智能卡安全性評估保護輪廓PP的研究及PP的發(fā)展展望，希望對下一步智能卡PP的開(kāi)發(fā)有所幫助。同時(shí)也希望有助于其他的信息安全產(chǎn)品或技術(shù)PP的開(kāi)發(fā)。