智能卡安全性评估保护轮廓PP的研究

3.1.2 威胁
智能卡面临的威胁主要有针对应用软件的威胁和对使用环境的威胁。在应用软件的使用过程中，如用户可能操作或引入错误数据而使卡内信息混乱，或攻击者反复使用某些数据或操作，通过观察卡的输出结果而获得卡的机密信息等威胁；在应用软件开发过程中，会面临保密数据泄漏、软件修改和开发工具失窃等威胁。
使用环境中由于不完善的控制程度或失窃造成密钥泄漏，使得攻击者在非法获得密钥后，就可以对卡内的信息和功能进行操作。管理者可能执行暴露智能卡安全功能或数据的操作而将智能卡置于危险境地。
3.1.3 组织安全策略
(1)数据访问：智能卡内的不同数据有不同的访问者，同一数据不同访问者有不同的权限。智能卡内数据应根据不同的使用者制定不同的访问规则。
(2)文件访问：智能卡内文件可能涉及不同的使用者，如系统集成商、智能卡发行者、用户等，对于文件的具体操作，需要不同的访问权限和规则。
(3)标识：智能卡内各文件应能唯一被标识。
(4)专业领域的信息技术标准：智能卡及其COS和应用软件的设计都应符合国家标准、行业及组织的信息技术安全标准或规范。
(5)密码标准：智能卡中使用的密码或数据鉴别都必须与国家标准或行业规范相符合。
(6)配置管理：为了安全和便于管理，智能卡应使用配置管理工具管理所有代码。
3.2 智能卡安全目的
由于安全环境决定安全目的，所以智能卡PP中的安全目的应适应安全环境中的任何情况，具体见表1、表2和表3(限于篇幅，表3只列出了智能卡安全环境中部分威胁)，即每种安全环境都有一个安全目的与之对应。表1～表3中各组件的详细说明请见参考文献[4]。

3.3 智能卡安全要求
智能卡安全要求是指针对安全环境而提出的要求。智能卡PP中安全要求组件也分为安全功能要求组件和安全保证要求组件。
3.3.1 安全功能要求组件
安全告警：当检测到潜在的安全侵害时，智能卡应能采取相应措施将危害降到最低。
审计并分析潜在侵害：智能卡应能用一定的规则去监控审计事件，并根据这些规则指示出对智能卡的潜在侵害，如用户进入系统时需要身份认证或用户签名等，都是为了实现事后追查和安全审计。
密钥的生成、访问和运算：智能卡密钥生成所用的算法必须与国家法规和行业标准相一致，密钥访问必须有严格的方法。
无过度损失的自动恢复：当不能从失败或服务中断自动恢复时，智能卡安全功能应进入一个安全状态，并确保数据或客体在无过度损失的情况下恢复到初始状态。如当用户在向智能卡内写数据时突然断电，则智能卡应能确保卡内数据的安全，并在下次使用时功能正常。
3.3.2 安全保证要求组件
智能卡安全保证要求组件包括：部分配置管理自动化组件、产生支持和接收程序组件、安全加强的高层设计组件、模块化组件和描述性低层设计组件等。

3.4 智能卡安全原理
智能卡中的安全环境、安全目的和安全要求是相互关联的[5]。表4给出一部分安全要求与安全目的、安全环境的对应关系。

4 智能卡PP发展趋势
(1)智能卡PP开发流程化。PP的开发涉及多方面内容，工作量极大。如果能够通过有效方法使开发过程趋于流程化，则不仅会使开发时间大大缩短，而且开发产品PP将更令人满足。
(2)智能卡安全环境规范化。从之前的描述中可知，智能卡的安全环境是PP开发及评估的基础和前提，并且智能卡的安全环境具有相似性。因此，安全环境的规范化将会使智能卡PP的开发更标准、高效。
(3)HRE PP的研究开发。目前国内对智能卡开展的安全性评估大多是在EAL4+，属于中风险PP。随着智能卡的普及，人们对智能卡的安全期望值会更高，届时，必将需要更高风险的PP以适应技术发展的需要。
优质的智能卡PP对安全性评估有着重要的意义和作用，本文通过对智能卡安全性评估保护轮廓PP的研究及PP的发展展望，希望对下一步智能卡PP的开发有所帮助。同时也希望有助于其他的信息安全产品或技术PP的开发。
参考文献
[1] 国家技术监督局.GB/T 18336-2001.信息技术安全技术信息技术安全性评估准则[S].北京:中国标准出版社，2001.
[2] Common Criteria for Information Technology Security Evaluation. Version 2.1.ISO/IEC 1548， CCIB-99-031，1999.
[3] 穆肇骊，赖华添，耿静.信息安全技术电信智能卡安全技术要求.中国信息安全产品测评认证中心，1999.
[4] 李守鹏，徐长醒，付敏，等.信息安全技术智能卡嵌入式软件安全技术要求(EAL4增强级).GB/T 20276-2006，2006.
[5] 中国信息安全测评中心分级文档编写指南EAL4.V2.0.EAL4+认证编写指南[S].北京:中国信息安全测评中心，2008.