智能卡穿透性测试研究和示范应用.docVIP

智能卡穿透性测试研究和示范应用 　　摘要：随着智能卡应用范围的不断扩大，应用环境的日趋复杂，智能卡面临着越来越多的安全威胁，需要对其进行穿透性测试。本文综述了智能卡的穿透性测试技术、在此基础上提出了穿透性测试的评估方法，并通过一个实际的智能卡穿透性测试案例对穿透性测试技术和评估方法的有效性进行了验证，表明该方法可以为实施智能卡穿透性测试提供指导。 　　关键词：智能卡；穿透性测试；非侵入式攻击；半侵入式攻击；侵入式攻击 　　中图分类号：TP274 　　智能卡也称CPU卡，具有较强的数据处理能力，其应用范围日趋广泛，2012年全球智能卡发行量约为70亿张。但智能卡在实际应用中却频频遭受破解，针对Mifare卡和英飞凌SLE66芯片的攻击实例表明，对于智能卡，不仅需要通过数学模型来证明其算法的安全性、通过功能测试来评估其安全功能实现的准确性，同时必须通过穿透性测试验证智能卡的实际安全。 　　对于智能卡穿透性测试的研究已经进行了一段时间，国内对各种攻击手段已开展相应分析，但缺少系统性的穿透性测试种类和测试方法的研究，亟待建立评估方法模型。本文在已有研究工作和成果的基础上，总结智能卡的穿透性测试技术，提出智能卡的穿透性测试评估方法，并通过示范应用实例对技术方法的有效性进行了分析验证。 　　1 智能卡的穿透性测试技术 　　近年来，对智能卡的穿透性测试手段越来越多，常用的大致分为三类：非侵入式攻击、半侵入式攻击和侵入式攻击。 　　1.1 非侵入式攻击，不需要打开智能卡芯片的封装，攻击者通过观察电路中的某些物理量如能量消耗、电磁辐射、时间等的变化规律来分析智能卡的加密数据。包括简单能量攻击，对密码算法执行过程中所采集到的能量消耗信息进行直接分析；差分能量攻击，通过使用大量的密文和能量迹，分析固定时刻设备的能量消耗，使用统计分析技术提取密钥信息；电磁辐射攻击，通过电磁辐射信号查找算法泄露位置，并通过对电磁信号的统计分析提取密钥信息[1]。 　　1.2 半侵入式攻击，需要打开智能卡芯片的封装来访问芯片表面。由于智能卡控制器的集成电路芯片是由硅制成的，其电性能会随不同的环境参数而改变。如异常温度、光照，可能导致程序执行错误；故障注入攻击，在智能卡密码算法运行的过程中注入电压毛刺和时钟毛刺，使得芯片产生错误结果，或直接将高能量的激光或放射线注入芯片表面，借此在特定的运算过程中引入错误[2]。 　　1.3 侵入式攻击，先对其进行反向工程，攻击者使用切割研磨机、电子显微镜等设备，进行重构版图，并通过干刻、湿刻、染色、总线探测等技术，获取存储器中各单元的信息；攻击者在反向工程后，使用聚焦离子束、微探针、激光切割器等设备对总线进行修改；对存储单元进行覆盖和改变，对各安全模块进行修改和破坏。从而尝试获取密钥信息[3]。 　　2 智能卡的穿透性测试评估方法 　　对于任何智能卡，都必须通过穿透性测试证明：智能卡安全功能完备合理、实现准确；安全数据无法获取、不可篡改。国际大多依据通用准则（Common Criteria）实施信息技术产品安全性评估与认证，国内则基于GB/T 18336-2008（等同采用通用准则2.3版）实施。本文在已有研究工作和成果的基础上，研究认为，智能卡穿透性测试评估可以采用离散的定量设计方法，通过计算攻击潜力分值，结合通用准则的评分要求来定量分析脆弱性。本文制定出智能卡穿透性测试的评估方法如下： 　　（1）每个攻击场景均由非侵入式、半侵入式、侵入式攻击进行选择或组合，并可以根据需要进行扩展、裁剪、循环，以达到攻击目标。 　　（2）设定每一个攻击场景均包含了2个攻击阶段：分析阶段、攻击阶段。在分析阶段，攻击者创建各种攻击思路，并论证攻击思路的可行性，包括设计攻击设备；在攻击阶段，攻击者利用分析阶段设计的攻击设备、攻击脚本来完成具体攻击测试。 　　（3）针对每个攻击场景，均设定6个关键评估因素：攻击时间、人员水平、芯片资料、样本数、攻击设备、开放样本；对6个评估因素的评分规则参见表1。 　　（4）攻击者设计出一个攻击场景后，首先对分析阶段和攻击阶段分别进行6个因素的评分，然后依据表1查表分别计算出分析阶段和攻击阶段的攻击分值，最后将分析阶段攻击分值和攻击阶段攻击分析相加，得到总攻击分值。 　　（5）根据通用准则要求，智能卡应至少“抵御中等攻击潜力的攻击者发起的攻击”。即计算得到的总攻击分值应大于等于25分[4]。如针对某测试案例设计的攻击场景的总攻击分值超过25分，表示该测试案例符合安全要求。否则表明智能卡无法抵御该项穿透性测试，应有针对性的制定合理有效的软硬件防护策略，以增加其安全性。 　　3 智能卡穿透性测试实例 　　为了验证基于上文的穿透性测试技术和评估结算方法，设计了一个实验穿透性测评环境，系统由上