智能卡脆弱性测试技术研究.docVIP

智能卡脆弱性测试技术研究 　　【 摘 要 】 各个测评机构在对智能卡产品实施脆弱性评估时，往往根据已有的脆弱性攻击方法或者工具进行测评，容易出现测评结果不一致、不全面的情况。论文结合传统产品的脆弱性评估方法，提出建立智能卡脆弱性测试平台。该平台旨在建立智能卡信息库，并在信息库的基础上建立测试用例知识库和测试工具箱，为智能卡的脆弱性测试提供基准平台，最终实现智能卡的定性或者定量化评估。 　　【 关键词 】 智能卡；通用准则；知识库；信息库；脆弱性攻击 【 文献标识码 】 A 　　1 引言 　　智能卡本质上是一种微型计算机系统，计算机安全系统的基本概念、威胁以及局限性同样适用于智能卡。计算机安全系统是一个相对概念，并不存在绝对安全的信息系统。如果攻击者的资源是无限的，则任何形式的安全都能遭到破坏。但是在现实世界中，攻击者的资源仍然是有限的。考虑到这一点，应该这样来设计计算机安全系统：让攻击者为破坏这些系统所付出的，远远大于破坏之后他们所能得到的。 　　计算机信息系统安全的威胁主要划分为几类。 　　机密性攻击：利用加密算法中的弱点或以其他方式，试图窃取机密信息。 　　完整性攻击：出于自私或恶意而试图修改信息。应该注意的是，完整性攻击也可以是偶然的。 　　可用性攻击：试图中断系统的正常运行。可用性攻击又称为拒绝服务 （DoS）攻击，包括CPU利用率或者内存使用率偏高等。 　　在近几年针对智能卡产品的攻击事件中，主要是对智能卡内敏感信息的机密性和完整性进行攻击。比如2015年初美国NSA和英国情报组织窃取了世界最大SIM生产商Gemalto的加密密钥，导致全球大部分SIM卡可能存在语音和数据通信泄漏的风险；国内著名安全漏洞分享平台乌云网上经常发布有关修改RFID卡篡改数据的漏洞信息。尽管可用性攻击在智能卡产品中不太常见，但是该攻击方式对于智能卡产品仍然有效，甚至有可能在攻击过程中泄漏敏感信息。 　　尽管目前针对智能卡的攻击方法有很多研究成果，但是系统性、全面性的安全评估能力显得不足，无法满足信息技术和应用的快速发展。一方面，由于产品的复杂性，无法在较短时间内准确地给出测试评估结果；另一方面，针对智能卡缺乏自动化测评工具和环境，已有的攻击工具往往被国外垄断，同时，新的攻击技术缺少工具支撑，存在成功率较低等问题。 　　本文结合传统的信息安全产品评估方法，提出建立智能卡渗透性测试平台，可针对智能卡的不同攻击技术分门别类，形成测试用例知识库，并且分别开发相应的工具，形成测试工具箱。该平台可全面、系统地对智能卡的脆弱性进行评估，并且随着新的攻击方法的出现，可及时添加到测试知识库中。该平台对各个测评机构安全评估智能卡产品提供工具支撑，并保持评估能力的一致性和全面性。 　　2 安全评估模型 　　2.1 安全评估目标 　　信息安全领域一般用机密性、完整性和可用性描述一款产品的安全性。根据智能卡开发者提供的安全功能需求、安全保证需求和实际应用环境的需求，评估者根据经验和第三方资源确定目标对象的安全目标。安全目标应符合通用准则，并且保持与安全需求的一致性。 　　在确定安全目标后，需要设计相应的安全模型，安全模型是用来精确地描述系统的安全需求和安全策略的工具，是一种独立于软件实现的高层概念模型。安全模型所描述的安全策略，主要是用来维护系统中数据的保密性和完整性访问控制策略，应该与信息系统安全目标一致，而安全目标符合通用准则，这样间接决定了安全模型与通用准则的一致性。 　　安全测试评估的目的是提供信息系统的安全性强度，以供用户进行选择，所以测试评估结果应该是直观的和可比较的。因此，信息系统安全定性和量化评估是非常有必要的。 　　2.2 CC评估 　　在信息安全评估标准中，信息技术安全评估通用准则（Common Criteria，CC）是目前使用最广泛的信息安全评估体系。CC的目的是建立一个各国都能接受的通用的信息安全产品和系统的安全评估准则，国家之间可以通过签订互认协议，决定相互接受的认可级别，这样就能使大部分的基础性安全机制，在任何一个地方通过了CC准则评估后进入国际市场时，不需要再作评价，使用国只需要测试与国家主权和安全相关的安全功能，从而大幅度节省评估费用，有利于产品的市场推广。 　　针对IC卡、智能卡以及相关设备，CC组织里的许多国家已经发布了相关保护轮廓（Protection Profile，PP）和认证产品。比如德国在2009年发布了电子身份智能卡的保护轮廓，对电子身份智能卡的安全问题定义、安全目标、安全要求（安全功能要求和安全保证要求）等进行了定义；英国、法国等国家根据定义的PP发布了相关智能卡的认证产品。 　　国内的信息系统安全评估的研究与应用方面与其他先进国家相比还有一定的差距，我国相关机构参考国际标