智能卡软件的评估
发布时间:2008/11/22 0:00:00 访问次数:400
由于智能卡是安全地存储数据,被主要用在对安全性敏感的领域中。然而,智能卡的使用带来的好处不仅 在安全存储数据方面,且对安全执行加密算法也有同样的优点。
特别是,电子金融交易领域是智能卡的一个正在扩展中的市场,大量的金钱将在一个很广泛的分布系统中 流通,应用提供者或卡发行者必须对半导体制造商,操作系统的生产者以及智能卡的个人化者具有极大的信 心。应用提供者必须绝对地确定智能卡执行的金融交易无任何错误,而且该软件没有安全漏洞,更不要说蓄 意引入软件中的“陷门”(trap door)了。
例如,假定有一条秘密命令可送给智能卡去读出pin和所有的秘密密钥,在gsm或欧陆卡的情况下,攻击者 将能克隆出任意数量的卡并以完全正常工作的情况来销售它们。
然而,对安全性的需求不仅与智能卡的制造有关,而与卡的初始化和个人化也同等有关,因为秘密密钥和 pin是在这些阶段装入卡中的。关于安全性,卡发行者必须把卡制造商放在可高度信任的位置上。
这些也同样适用于智能卡软件的基本安全性。即使一个“陷门”未能被有意地安插到软件中使得可窥探出 数据来,也仍会出现问题。对软件的错误操作,使用在正常处理中不应使用的命令组合完全能导致从卡中读 出数据或写入数据的可能。虽然,这种巧合的可能性极度之小,不过,众所周知,在目前软件技术的状态下 仍不足以保证在所有的情况下软件都是没有错误的。所以,在未来制作智能卡软件的公司,在尊重法律的明 确表述的基础上,对软件出现的错误将不再能否认所负的责任。
这里仅仅有两种方式使应用提供者可测试一个产品的可信赖性。他可以由自己测试智能卡软件所有可能的 变化,或让他可信任的当事人来测试它。第1种选择经常只具备有限度的可能性,因为提供者通常不具有全 部所需的专门技术和能力;第2种选择是把测试交给另一方,是目前经有关考虑后的可接受的解决方案。
同样的问题对军事应用的软件和系统开发来说已经存在许多年了,在智能卡世界中并不是一件新鲜事。为 了建立对软件产品可信赖性的度量,这需要把它的目标做成可测量的,美国国家计算机安全中心(ncsc)在 1983年颁布了一个评估信息技术系统可信赖性准则的目录。ncsc(national computer security center) 是由美国国防部(dod)在1981年建立的,接着在1985年出版了“可信赖的计算机系统评估准则(tcsec)。 这本书有着桔黄色的装订,所以它一般被叫做“桔皮书”。这些准则对ncsc起到了验证信息系统时的指导方 针的作用。
tcsec(trusted computer system evaluation criteria)对信息技术部分的所有实际的准则目录已经成 了国际的典范。在欧洲,已经规定了特定的欧洲准则,尽管它们是基于tcsec的,它们首先在1990年作为“ 信息技术安全评估准则(itsec)出版,而修订版则在1991年发行。
通用准则cc(common criteria)的建立是为了提供一个统一的测试软件正确性的标准。可以说它代表了 tcsec和itsec的本质部分。通用准则[common criteria 98]比tcsec和itsec还更好地组织了对软件的评估 ,虽然通用准则的第1版尽早地出版于1996年,它尚未能取代tcsec或itsec。通用准则也已经作为国际标准 (iso 15408)被公布了。和itsec具有的6级相反,通用准则的可信赖性有7级。从基于tcsec或itsec的评估 过渡到基于通用准则的评估是比较容易的,因为所有这些条目中具有许多共同的特点。然而,由于智能卡领 域的特殊性,itsec仍旧作为软件评估的实质的基础在使用,在下面的讨论中我们将仅以此样本作为参考。
不管采用什么样的方法学,评估过程都有四个特点。首先,必须没有偏见,这就是说评估者不管是对被评 估的项目还是它的生产者必须没有任何事先的观念;第2个特点是评估的过程必须是客观的,而且对此过程 的组织应使个人意见的影响降至最小;第3个特点是如果重复评估过程应能得到同样的结果。最后的特点是 评估过程必须是可复演的,这意味着采用不同的测试器或不同的测试机构应当能达到相同的结论,这些特点 在表示在图1中。
在任何评估中的一个最重要之点就是把安全目标规定为评估的目标toe(target ofevaluation),评估的 目标是测试的目的而安全目标则说明了要测试的机制。顺便说说,技巧地选择安全目标有可能使评估大大地 简化,因为可以把对安全是关键的因素排除在外,这恰恰是一种用最快而又花费最少的方式达到很高的评估 水平的一种欺骗手法,当然,其结果只能是使真正的安全性受到损害。
图1 评估过程的四个特点
1.itsec
由于itsec(information technology security evaluation criteria)以对所有可能的信息技术系统都 有效为前提,而文档长仅仅约150页,安全准则就必须以非常摘要的方式来描述。结果非常难于阅读,
由于智能卡是安全地存储数据,被主要用在对安全性敏感的领域中。然而,智能卡的使用带来的好处不仅 在安全存储数据方面,且对安全执行加密算法也有同样的优点。
特别是,电子金融交易领域是智能卡的一个正在扩展中的市场,大量的金钱将在一个很广泛的分布系统中 流通,应用提供者或卡发行者必须对半导体制造商,操作系统的生产者以及智能卡的个人化者具有极大的信 心。应用提供者必须绝对地确定智能卡执行的金融交易无任何错误,而且该软件没有安全漏洞,更不要说蓄 意引入软件中的“陷门”(trap door)了。
例如,假定有一条秘密命令可送给智能卡去读出pin和所有的秘密密钥,在gsm或欧陆卡的情况下,攻击者 将能克隆出任意数量的卡并以完全正常工作的情况来销售它们。
然而,对安全性的需求不仅与智能卡的制造有关,而与卡的初始化和个人化也同等有关,因为秘密密钥和 pin是在这些阶段装入卡中的。关于安全性,卡发行者必须把卡制造商放在可高度信任的位置上。
这些也同样适用于智能卡软件的基本安全性。即使一个“陷门”未能被有意地安插到软件中使得可窥探出 数据来,也仍会出现问题。对软件的错误操作,使用在正常处理中不应使用的命令组合完全能导致从卡中读 出数据或写入数据的可能。虽然,这种巧合的可能性极度之小,不过,众所周知,在目前软件技术的状态下 仍不足以保证在所有的情况下软件都是没有错误的。所以,在未来制作智能卡软件的公司,在尊重法律的明 确表述的基础上,对软件出现的错误将不再能否认所负的责任。
这里仅仅有两种方式使应用提供者可测试一个产品的可信赖性。他可以由自己测试智能卡软件所有可能的 变化,或让他可信任的当事人来测试它。第1种选择经常只具备有限度的可能性,因为提供者通常不具有全 部所需的专门技术和能力;第2种选择是把测试交给另一方,是目前经有关考虑后的可接受的解决方案。
同样的问题对军事应用的软件和系统开发来说已经存在许多年了,在智能卡世界中并不是一件新鲜事。为 了建立对软件产品可信赖性的度量,这需要把它的目标做成可测量的,美国国家计算机安全中心(ncsc)在 1983年颁布了一个评估信息技术系统可信赖性准则的目录。ncsc(national computer security center) 是由美国国防部(dod)在1981年建立的,接着在1985年出版了“可信赖的计算机系统评估准则(tcsec)。 这本书有着桔黄色的装订,所以它一般被叫做“桔皮书”。这些准则对ncsc起到了验证信息系统时的指导方 针的作用。
tcsec(trusted computer system evaluation criteria)对信息技术部分的所有实际的准则目录已经成 了国际的典范。在欧洲,已经规定了特定的欧洲准则,尽管它们是基于tcsec的,它们首先在1990年作为“ 信息技术安全评估准则(itsec)出版,而修订版则在1991年发行。
通用准则cc(common criteria)的建立是为了提供一个统一的测试软件正确性的标准。可以说它代表了 tcsec和itsec的本质部分。通用准则[common criteria 98]比tcsec和itsec还更好地组织了对软件的评估 ,虽然通用准则的第1版尽早地出版于1996年,它尚未能取代tcsec或itsec。通用准则也已经作为国际标准 (iso 15408)被公布了。和itsec具有的6级相反,通用准则的可信赖性有7级。从基于tcsec或itsec的评估 过渡到基于通用准则的评估是比较容易的,因为所有这些条目中具有许多共同的特点。然而,由于智能卡领 域的特殊性,itsec仍旧作为软件评估的实质的基础在使用,在下面的讨论中我们将仅以此样本作为参考。
不管采用什么样的方法学,评估过程都有四个特点。首先,必须没有偏见,这就是说评估者不管是对被评 估的项目还是它的生产者必须没有任何事先的观念;第2个特点是评估的过程必须是客观的,而且对此过程 的组织应使个人意见的影响降至最小;第3个特点是如果重复评估过程应能得到同样的结果。最后的特点是 评估过程必须是可复演的,这意味着采用不同的测试器或不同的测试机构应当能达到相同的结论,这些特点 在表示在图1中。
在任何评估中的一个最重要之点就是把安全目标规定为评估的目标toe(target ofevaluation),评估的 目标是测试的目的而安全目标则说明了要测试的机制。顺便说说,技巧地选择安全目标有可能使评估大大地 简化,因为可以把对安全是关键的因素排除在外,这恰恰是一种用最快而又花费最少的方式达到很高的评估 水平的一种欺骗手法,当然,其结果只能是使真正的安全性受到损害。
图1 评估过程的四个特点
1.itsec
由于itsec(information technology security evaluation criteria)以对所有可能的信息技术系统都 有效为前提,而文档长仅仅约150页,安全准则就必须以非常摘要的方式来描述。结果非常难于阅读,
相关技术资料- 6-17全新 Mali-G1-Ultra MC12应用详情
- 6-172nm GAA 工艺 Exynos 2600 原型芯片
- 6-17A系列芯片和蜂窝网络调制解调器C1
- 6-17最新一代BPU Nash架构RDK S100
- 6-17 4 核心 Arm Cortex-R52+ MCU应用详解
- 6-17分层决策(大小脑模型)和端到端一体化VLA
- 6-16DC/DC 降压电源模块技术参数设计
- 6-16集成高效降压 DC/DC 变换器特性和优势
- 6-16I2C 接口和 PmBUS 及 OTP/MTP 存储器应用
- 6-16IGBT高效率2.5KW空调电源方案
- 6-16NCP1622+NCP13992的100W 适配器电源应用
- 6-16Power Management Buck/降压转换器
- 相关IC型号
公网安备44030402000607
