智能卡安全性評估保護輪廓PP的研究
文章出處:http://5052h112.com 作者:中國一卡通網 收編 人氣: 發表時間:2011年10月08日
目前智能卡應用已滲透到社會生活的各個方面,其在帶給人們高效便捷生活的同時,安全性也倍受人們關注。因此,國內一些智能卡廠商通過對智能卡進行評估以提高智能卡的安全信譽。在進行智能卡產品安全性評估時,首先需要相關的指導性文檔,其中位于高層抽象級的指導性文檔是安全性評估保護輪廓PP。它依據的是GB/T 18336-2001《信息技術安全性評估準則》[1]。該準則的前身是國際通行的最先進的信息安全測評標準CC[2](Common Crietira),即ISO/IEC 15408。
1 PP概述
1.1 概念介紹
要認識PP,先介紹CC中的幾個重要術語。
(1)評估對象TOE(Target of Evaluation):評估申請方提供的被評估對象。
(2)安全組件包:多個安全要求組件構成一個安全組件包。安全組件包用于構造PP或ST。
(3)保護輪廓PP(Protect Profile):對于某一類TOE而言的高級抽象的安全要求說明書,與TOE的實現無關。
(4)安全目標ST(Security Target):與PP類似,是針對某一特定安全產品而言,與TOE安全環境相關的安全要求與概要設計說明書,可以引用某個(些)PP。
(5)評估保證級EAL(Evaluation Assurance Level):代表TOE的安全保證程度。CC標準將EAL分為7級。
CC標準由簡介和一般模型、安全功能要求和安全保證要求3部分文檔組成。其中,簡介和一般模型相當于某一類TOE的PP;安全功能要求根據TOE使用安全環境提出安全功能標準。相應地CC評估也分為3部分:PP評估、ST評估和TOE評估。若某一類種信息安全技術或產品通過CC評估,則意味著同時通過了這3部分評估。三者之間的評估順序如圖1。
鑒于PP評估在CC認證中的關鍵地位,要使智能卡產品順利通過EAL評估,就有必要對智能卡的安全保護輪廓PP進行深入細致的研究。
PP作為高層指導性文件,主要介紹TOE的安全環境、安全目的、安全要求和基本原理。安全要求包括安全功能要求SFR(Security Functional Requirements)和安全保證要求SAR(Security Assurance Requirements)。安全原理指出安全環境、安全目的和安全功能之間的關系,如圖2所示。
1.2 PP分類
從不同的角度考慮,PP的分類不同:
(1)CC標準中將評估級別分為7級,因此,PP可以按評估級別分為7類,即為EAL1級PP,EAL2級PP等。
(2)由于PP是針對某一類TOE而定,因此PP就可以按TOE分類,如DBMS PP、防火墻PP、智能卡PP等。
(3)從TOE的安全環境角度看,PP可分為高風險環境(HRE)PP、中風險環境(MRE)PP和低風險環境(LRE)PP。
2 智能卡評估介紹
2.1 智能卡概述
智能卡也稱為集成電路卡(Integrated Circuit Card),即IC卡。智能卡的分類有多種,根據卡上集成電路的不同,可分為存儲器卡、邏輯加密卡和CPU卡3種,由于CPU卡上的集成電路包括有片內操作系統COS(Card Operating System),能存儲并處理數據,所以CPU卡才是真正的智能卡(如無特殊說明,本文所討論的智能卡均屬CPU卡)。
2.2 智能卡安全性評估意義
智能卡的安全性非常重要。智能卡安全性評估是依照國內外行業相關安全技術標準,對智能卡生命周期各階段的安全功能和安全保證進行評估,以確認該智能卡產品是否滿足相應的安全要求。通過這一過程,可以促使生產者或開發商規范生產過程、節省人力物力資源,同時,也向用戶和社會提供一個衡量智能卡產品安全性的客觀標準。
2.3 智能卡安全要求
由于智能卡的功能和使用環境不同,所以對智能卡的評估需分級進行。如對醫療卡、社保卡、交通卡的評估屬于低級別的,而對于電信卡、信用卡、現金卡等屬于高級別的評估活動。目前國內評估機構——中國信息安全產品測評認證中心,對電信行業的SIM卡、UIM卡、PIM卡以及智能卡芯片開展的分級評估為EAL4+級。
EAL4+級又稱為EAL4增強級,是在EAL4級的基礎上提升了TOE安全保證要求的深度、廣度和嚴格性。目前國際上開展的智能卡評估活動的保證級多數是EAL4+,也有智能卡通過了相應國家認證機構的EAL5+認證。
3 EAL4+級智能卡PP
CC規定了每級應具有的SFR,但沒有明確規定每級EAL應包含哪些SFR,所以智能卡PP的主要任務是說明在預期的使用環境下的安全需求。可以根據智能卡安全使用環境來確定智能卡PP應包括的安全目的和安全要求,從而設計切實可用的智能卡PP。
3.1 智能卡安全環境
智能卡在整個生命周期中存在的敏感資產有用戶的各種數據、系統應用數據、密鑰、軟件開發工具與技術等。智能卡務必要保護這些數據的私密性,所有可能危及到這類數據的行為或情況都要在保護輪廓中考慮到。智能卡PP需考慮的安全環境有3種。
3.1.1 假設
攻擊者的能力(A.Attack):假設攻擊者有足夠的時間,并具備智能卡所需的技術知識,擁有電腦和相關設備,動機可能有經濟利益、政治利益或其他等。
用戶權限(A.User):假設用戶擁有訪問智能卡某些信息的權限。
管理者能力(A.Admin):假設管理或使用智能卡的人勝任工作。
角色管理(A.Role_Man):假設智能卡的開發者、發行者、管理者和使用者能被安全地管理。
外部數據存儲(A.Data_Store):假設能以安全的方式管理相關的外部數據。
生命周期管理(A.Life_Man):假設智能卡的生命周期的每個階段都被唯一標識,這樣可以確保能通過標識信息追溯到生命周期的各個階段。
密鑰生成(A.Key_Gen):假設智能卡應用系統中生成的密鑰都是安全的。
3.1.2 威脅
智能卡面臨的威脅主要有針對應用軟件的威脅和對使用環境的威脅。在應用軟件的使用過程中,如用戶可能操作或引入錯誤數據而使卡內信息混亂,或攻擊者反復使用某些數據或操作,通過觀察卡的輸出結果而獲得卡的機密信息等威脅;在應用軟件開發過程中,會面臨保密數據泄漏、軟件修改和開發工具失竊等威脅。
使用環境中由于不完善的控制程度或失竊造成密鑰泄漏,使得攻擊者在非法獲得密鑰后,就可以對卡內的信息和功能進行操作。管理者可能執行暴露智能卡安全功能或數據的操作而將智能卡置于危險境地。
3.1.3 組織安全策略
(1)數據訪問:智能卡內的不同數據有不同的訪問者,同一數據不同訪問者有不同的權限。智能卡內數據應根據不同的使用者制定不同的訪問規則。
(2)文件訪問:智能卡內文件可能涉及不同的使用者,如系統集成商、智能卡發行者、用戶等,對于文件的具體操作,需要不同的訪問權限和規則。
(3)標識:智能卡內各文件應能唯一被標識。
(4)專業領域的信息技術標準:智能卡及其COS和應用軟件的設計都應符合國家標準、行業及組織的信息技術安全標準或規范。
(5)密碼標準:智能卡中使用的密碼或數據鑒別都必須與國家標準或行業規范相符合。
(6)配置管理:為了安全和便于管理,智能卡應使用配置管理工具管理所有代碼。
3.2 智能卡安全目的
由于安全環境決定安全目的,所以智能卡PP中的安全目的應適應安全環境中的任何情況,具體見表1、表2和表3(限于篇幅,表3只列出了智能卡安全環境中部分威脅),即每種安全環境都有一個安全目的與之對應。表1~表3中各組件的詳細說明請見參考文獻[4]。
3.3 智能卡安全要求
智能卡安全要求是指針對安全環境而提出的要求。智能卡PP中安全要求組件也分為安全功能要求組件和安全保證要求組件。
3.3.1 安全功能要求組件
安全告警:當檢測到潛在的安全侵害時,智能卡應能采取相應措施將危害降到最低。
審計并分析潛在侵害:智能卡應能用一定的規則去監控審計事件,并根據這些規則指示出對智能卡的潛在侵害,如用戶進入系統時需要身份認證或用戶簽名等,都是為了實現事后追查和安全審計。
密鑰的生成、訪問和運算:智能卡密鑰生成所用的算法必須與國家法規和行業標準相一致,密鑰訪問必須有嚴格的方法。
無過度損失的自動恢復:當不能從失敗或服務中斷自動恢復時,智能卡安全功能應進入一個安全狀態,并確保數據或客體在無過度損失的情況下恢復到初始狀態。如當用戶在向智能卡內寫數
據時突然斷電,則智能卡應能確保卡內數據的安全,并在下次使用時功能正常。
3.3.2 安全保證要求組件
智能卡安全保證要求組件包括:部分配置管理自動化組件、產生支持和接收程序組件、安全加強的高層設計組件、模塊化組件和描述性低層設計組件等。
3.4 智能卡安全原理
智能卡中的安全環境、安全目的和安全要求是相互關聯的[5]。表4給出一部分安全要求與安全目的、安全環境的對應關系。
4 智能卡PP發展趨勢
(1)智能卡PP開發流程化。PP的開發涉及多方面內容,工作量極大。如果能夠通過有效方法使開發過程趨于流程化,則不僅會使開發時間大大縮短,而且開發產品PP將更令人滿足。
(2)智能卡安全環境規范化。從之前的描述中可知,智能卡的安全環境是PP開發及評估的基礎和前提,并且智能卡的安全環境具有相似性。因此,安全環境的規范化將會使智能卡PP的開發更標準、高效。
(3)HRE PP的研究開發。目前國內對智能卡開展的安全性評估大多是在EAL4+,屬于中風險PP。隨著智能卡的普及,人們對智能卡的安全期望值會更高,屆時,必將需要更高風險的PP以適應技術發展的需要。
優質的智能卡PP對安全性評估有著重要的意義和作用,本文通過對智能卡安全性評估保護輪廓PP的研究及PP的發展展望,希望對下一步智能卡PP的開發有所幫助。同時也希望有助于其他的信息安全產品或技術PP的開發。