智能卡安全性評(píng)估保護(hù)輪廓PP的研究
文章出處:http:// 作者:中國(guó)一卡通網(wǎng) 收編 人氣: 發(fā)表時(shí)間:2011年10月08日
目前智能卡應(yīng)用已滲透到社會(huì)生活的各個(gè)方面,其在帶給人們高效便捷生活的同時(shí),安全性也倍受人們關(guān)注。因此,國(guó)內(nèi)一些智能卡廠商通過(guò)對(duì)智能卡進(jìn)行評(píng)估以提高智能卡的安全信譽(yù)。在進(jìn)行智能卡產(chǎn)品安全性評(píng)估時(shí),首先需要相關(guān)的指導(dǎo)性文檔,其中位于高層抽象級(jí)的指導(dǎo)性文檔是安全性評(píng)估保護(hù)輪廓PP。它依據(jù)的是GB/T 18336-2001《信息技術(shù)安全性評(píng)估準(zhǔn)則》[1]。該準(zhǔn)則的前身是國(guó)際通行的最先進(jìn)的信息安全測(cè)評(píng)標(biāo)準(zhǔn)CC[2](Common Crietira),即ISO/IEC 15408。
1 PP概述
1.1 概念介紹
要認(rèn)識(shí)PP,先介紹CC中的幾個(gè)重要術(shù)語(yǔ)。
(1)評(píng)估對(duì)象TOE(Target of Evaluation):評(píng)估申請(qǐng)方提供的被評(píng)估對(duì)象。
(2)安全組件包:多個(gè)安全要求組件構(gòu)成一個(gè)安全組件包。安全組件包用于構(gòu)造PP或ST。
(3)保護(hù)輪廓PP(Protect Profile):對(duì)于某一類TOE而言的高級(jí)抽象的安全要求說(shuō)明書(shū),與TOE的實(shí)現(xiàn)無(wú)關(guān)。
(4)安全目標(biāo)ST(Security Target):與PP類似,是針對(duì)某一特定安全產(chǎn)品而言,與TOE安全環(huán)境相關(guān)的安全要求與概要設(shè)計(jì)說(shuō)明書(shū),可以引用某個(gè)(些)PP。
(5)評(píng)估保證級(jí)EAL(Evaluation Assurance Level):代表TOE的安全保證程度。CC標(biāo)準(zhǔn)將EAL分為7級(jí)。
CC標(biāo)準(zhǔn)由簡(jiǎn)介和一般模型、安全功能要求和安全保證要求3部分文檔組成。其中,簡(jiǎn)介和一般模型相當(dāng)于某一類TOE的PP;安全功能要求根據(jù)TOE使用安全環(huán)境提出安全功能標(biāo)準(zhǔn)。相應(yīng)地CC評(píng)估也分為3部分:PP評(píng)估、ST評(píng)估和TOE評(píng)估。若某一類種信息安全技術(shù)或產(chǎn)品通過(guò)CC評(píng)估,則意味著同時(shí)通過(guò)了這3部分評(píng)估。三者之間的評(píng)估順序如圖1。
鑒于PP評(píng)估在CC認(rèn)證中的關(guān)鍵地位,要使智能卡產(chǎn)品順利通過(guò)EAL評(píng)估,就有必要對(duì)智能卡的安全保護(hù)輪廓PP進(jìn)行深入細(xì)致的研究。
PP作為高層指導(dǎo)性文件,主要介紹TOE的安全環(huán)境、安全目的、安全要求和基本原理。安全要求包括安全功能要求SFR(Security Functional Requirements)和安全保證要求SAR(Security Assurance Requirements)。安全原理指出安全環(huán)境、安全目的和安全功能之間的關(guān)系,如圖2所示。
1.2 PP分類
從不同的角度考慮,PP的分類不同:
(1)CC標(biāo)準(zhǔn)中將評(píng)估級(jí)別分為7級(jí),因此,PP可以按評(píng)估級(jí)別分為7類,即為EAL1級(jí)PP,EAL2級(jí)PP等。
(2)由于PP是針對(duì)某一類TOE而定,因此PP就可以按TOE分類,如DBMS PP、防火墻PP、智能卡PP等。
(3)從TOE的安全環(huán)境角度看,PP可分為高風(fēng)險(xiǎn)環(huán)境(HRE)PP、中風(fēng)險(xiǎn)環(huán)境(MRE)PP和低風(fēng)險(xiǎn)環(huán)境(LRE)PP。
2 智能卡評(píng)估介紹
2.1 智能卡概述
智能卡也稱為集成電路卡(Integrated Circuit Card),即IC卡。智能卡的分類有多種,根據(jù)卡上集成電路的不同,可分為存儲(chǔ)器卡、邏輯加密卡和CPU卡3種,由于CPU卡上的集成電路包括有片內(nèi)操作系統(tǒng)COS(Card Operating System),能存儲(chǔ)并處理數(shù)據(jù),所以CPU卡才是真正的智能卡(如無(wú)特殊說(shuō)明,本文所討論的智能卡均屬CPU卡)。
2.2 智能卡安全性評(píng)估意義
智能卡的安全性非常重要。智能卡安全性評(píng)估是依照國(guó)內(nèi)外行業(yè)相關(guān)安全技術(shù)標(biāo)準(zhǔn),對(duì)智能卡生命周期各階段的安全功能和安全保證進(jìn)行評(píng)估,以確認(rèn)該智能卡產(chǎn)品是否滿足相應(yīng)的安全要求。通過(guò)這一過(guò)程,可以促使生產(chǎn)者或開(kāi)發(fā)商規(guī)范生產(chǎn)過(guò)程、節(jié)省人力物力資源,同時(shí),也向用戶和社會(huì)提供一個(gè)衡量智能卡產(chǎn)品安全性的客觀標(biāo)準(zhǔn)。
2.3 智能卡安全要求
由于智能卡的功能和使用環(huán)境不同,所以對(duì)智能卡的評(píng)估需分級(jí)進(jìn)行。如對(duì)醫(yī)療卡、社??ā⒔煌ǖ脑u(píng)估屬于低級(jí)別的,而對(duì)于電信卡、信用卡、現(xiàn)金卡等屬于高級(jí)別的評(píng)估活動(dòng)。目前國(guó)內(nèi)評(píng)估機(jī)構(gòu)——中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心,對(duì)電信行業(yè)的SIM卡、UIM卡、PIM卡以及智能卡芯片開(kāi)展的分級(jí)評(píng)估為EAL4+級(jí)。
EAL4+級(jí)又稱為EAL4增強(qiáng)級(jí),是在EAL4級(jí)的基礎(chǔ)上提升了TOE安全保證要求的深度、廣度和嚴(yán)格性。目前國(guó)際上開(kāi)展的智能卡評(píng)估活動(dòng)的保證級(jí)多數(shù)是EAL4+,也有智能卡通過(guò)了相應(yīng)國(guó)家認(rèn)證機(jī)構(gòu)的EAL5+認(rèn)證。
3 EAL4+級(jí)智能卡PP
CC規(guī)定了每級(jí)應(yīng)具有的SFR,但沒(méi)有明確規(guī)定每級(jí)EAL應(yīng)包含哪些SFR,所以智能卡PP的主要任務(wù)是說(shuō)明在預(yù)期的使用環(huán)境下的安全需求??梢愿鶕?jù)智能卡安全使用環(huán)境來(lái)確定智能卡PP應(yīng)包括的安全目的和安全要求,從而設(shè)計(jì)切實(shí)可用的智能卡PP。
3.1 智能卡安全環(huán)境
智能卡在整個(gè)生命周期中存在的敏感資產(chǎn)有用戶的各種數(shù)據(jù)、系統(tǒng)應(yīng)用數(shù)據(jù)、密鑰、軟件開(kāi)發(fā)工具與技術(shù)等。智能卡務(wù)必要保護(hù)這些數(shù)據(jù)的私密性,所有可能危及到這類數(shù)據(jù)的行為或情況都要在保護(hù)輪廓中考慮到。智能卡PP需考慮的安全環(huán)境有3種。
3.1.1 假設(shè)
攻擊者的能力(A.Attack):假設(shè)攻擊者有足夠的時(shí)間,并具備智能卡所需的技術(shù)知識(shí),擁有電腦和相關(guān)設(shè)備,動(dòng)機(jī)可能有經(jīng)濟(jì)利益、政治利益或其他等。
用戶權(quán)限(A.User):假設(shè)用戶擁有訪問(wèn)智能卡某些信息的權(quán)限。
管理者能力(A.Admin):假設(shè)管理或使用智能卡的人勝任工作。
角色管理(A.Role_Man):假設(shè)智能卡的開(kāi)發(fā)者、發(fā)行者、管理者和使用者能被安全地管理。
外部數(shù)據(jù)存儲(chǔ)(A.Data_Store):假設(shè)能以安全的方式管理相關(guān)的外部數(shù)據(jù)。
生命周期管理(A.Life_Man):假設(shè)智能卡的生命周期的每個(gè)階段都被唯一標(biāo)識(shí),這樣可以確保能通過(guò)標(biāo)識(shí)信息追溯到生命周期的各個(gè)階段。
密鑰生成(A.Key_Gen):假設(shè)智能卡應(yīng)用系統(tǒng)中生成的密鑰都是安全的。
3.1.2 威脅
智能卡面臨的威脅主要有針對(duì)應(yīng)用軟件的威脅和對(duì)使用環(huán)境的威脅。在應(yīng)用軟件的使用過(guò)程中,如用戶可能操作或引入錯(cuò)誤數(shù)據(jù)而使卡內(nèi)信息混亂,或攻擊者反復(fù)使用某些數(shù)據(jù)或操作,通過(guò)觀察卡的輸出結(jié)果而獲得卡的機(jī)密信息等威脅;在應(yīng)用軟件開(kāi)發(fā)過(guò)程中,會(huì)面臨保密數(shù)據(jù)泄漏、軟件修改和開(kāi)發(fā)工具失竊等威脅。
使用環(huán)境中由于不完善的控制程度或失竊造成密鑰泄漏,使得攻擊者在非法獲得密鑰后,就可以對(duì)卡內(nèi)的信息和功能進(jìn)行操作。管理者可能執(zhí)行暴露智能卡安全功能或數(shù)據(jù)的操作而將智能卡置于危險(xiǎn)境地。
3.1.3 組織安全策略
(1)數(shù)據(jù)訪問(wèn):智能卡內(nèi)的不同數(shù)據(jù)有不同的訪問(wèn)者,同一數(shù)據(jù)不同訪問(wèn)者有不同的權(quán)限。智能卡內(nèi)數(shù)據(jù)應(yīng)根據(jù)不同的使用者制定不同的訪問(wèn)規(guī)則。
(2)文件訪問(wèn):智能卡內(nèi)文件可能涉及不同的使用者,如系統(tǒng)集成商、智能卡發(fā)行者、用戶等,對(duì)于文件的具體操作,需要不同的訪問(wèn)權(quán)限和規(guī)則。
(3)標(biāo)識(shí):智能卡內(nèi)各文件應(yīng)能唯一被標(biāo)識(shí)。
(4)專業(yè)領(lǐng)域的信息技術(shù)標(biāo)準(zhǔn):智能卡及其COS和應(yīng)用軟件的設(shè)計(jì)都應(yīng)符合國(guó)家標(biāo)準(zhǔn)、行業(yè)及組織的信息技術(shù)安全標(biāo)準(zhǔn)或規(guī)范。
(5)密碼標(biāo)準(zhǔn):智能卡中使用的密碼或數(shù)據(jù)鑒別都必須與國(guó)家標(biāo)準(zhǔn)或行業(yè)規(guī)范相符合。
(6)配置管理:為了安全和便于管理,智能卡應(yīng)使用配置管理工具管理所有代碼。
3.2 智能卡安全目的
由于安全環(huán)境決定安全目的,所以智能卡PP中的安全目的應(yīng)適應(yīng)安全環(huán)境中的任何情況,具體見(jiàn)表1、表2和表3(限于篇幅,表3只列出了智能卡安全環(huán)境中部分威脅),即每種安全環(huán)境都有一個(gè)安全目的與之對(duì)應(yīng)。表1~表3中各組件的詳細(xì)說(shuō)明請(qǐng)見(jiàn)參考文獻(xiàn)[4]。
3.3 智能卡安全要求
智能卡安全要求是指針對(duì)安全環(huán)境而提出的要求。智能卡PP中安全要求組件也分為安全功能要求組件和安全保證要求組件。
3.3.1 安全功能要求組件
安全告警:當(dāng)檢測(cè)到潛在的安全侵害時(shí),智能卡應(yīng)能采取相應(yīng)措施將危害降到最低。
審計(jì)并分析潛在侵害:智能卡應(yīng)能用一定的規(guī)則去監(jiān)控審計(jì)事件,并根據(jù)這些規(guī)則指示出對(duì)智能卡的潛在侵害,如用戶進(jìn)入系統(tǒng)時(shí)需要身份認(rèn)證或用戶簽名等,都是為了實(shí)現(xiàn)事后追查和安全審計(jì)。
密鑰的生成、訪問(wèn)和運(yùn)算:智能卡密鑰生成所用的算法必須與國(guó)家法規(guī)和行業(yè)標(biāo)準(zhǔn)相一致,密鑰訪問(wèn)必須有嚴(yán)格的方法。
無(wú)過(guò)度損失的自動(dòng)恢復(fù):當(dāng)不能從失敗或服務(wù)中斷自動(dòng)恢復(fù)時(shí),智能卡安全功能應(yīng)進(jìn)入一個(gè)安全狀態(tài),并確保數(shù)據(jù)或客體在無(wú)過(guò)度損失的情況下恢復(fù)到初始狀態(tài)。如當(dāng)用戶在向智能卡內(nèi)寫(xiě)數(shù)
據(jù)時(shí)突然斷電,則智能卡應(yīng)能確??▋?nèi)數(shù)據(jù)的安全,并在下次使用時(shí)功能正常。
3.3.2 安全保證要求組件
智能卡安全保證要求組件包括:部分配置管理自動(dòng)化組件、產(chǎn)生支持和接收程序組件、安全加強(qiáng)的高層設(shè)計(jì)組件、模塊化組件和描述性低層設(shè)計(jì)組件等。
3.4 智能卡安全原理
智能卡中的安全環(huán)境、安全目的和安全要求是相互關(guān)聯(lián)的[5]。表4給出一部分安全要求與安全目的、安全環(huán)境的對(duì)應(yīng)關(guān)系。
4 智能卡PP發(fā)展趨勢(shì)
(1)智能卡PP開(kāi)發(fā)流程化。PP的開(kāi)發(fā)涉及多方面內(nèi)容,工作量極大。如果能夠通過(guò)有效方法使開(kāi)發(fā)過(guò)程趨于流程化,則不僅會(huì)使開(kāi)發(fā)時(shí)間大大縮短,而且開(kāi)發(fā)產(chǎn)品PP將更令人滿足。
(2)智能卡安全環(huán)境規(guī)范化。從之前的描述中可知,智能卡的安全環(huán)境是PP開(kāi)發(fā)及評(píng)估的基礎(chǔ)和前提,并且智能卡的安全環(huán)境具有相似性。因此,安全環(huán)境的規(guī)范化將會(huì)使智能卡PP的開(kāi)發(fā)更標(biāo)準(zhǔn)、高效。
(3)HRE PP的研究開(kāi)發(fā)。目前國(guó)內(nèi)對(duì)智能卡開(kāi)展的安全性評(píng)估大多是在EAL4+,屬于中風(fēng)險(xiǎn)PP。隨著智能卡的普及,人們對(duì)智能卡的安全期望值會(huì)更高,屆時(shí),必將需要更高風(fēng)險(xiǎn)的PP以適應(yīng)技術(shù)發(fā)展的需要。
優(yōu)質(zhì)的智能卡PP對(duì)安全性評(píng)估有著重要的意義和作用,本文通過(guò)對(duì)智能卡安全性評(píng)估保護(hù)輪廓PP的研究及PP的發(fā)展展望,希望對(duì)下一步智能卡PP的開(kāi)發(fā)有所幫助。同時(shí)也希望有助于其他的信息安全產(chǎn)品或技術(shù)PP的開(kāi)發(fā)。