智能卡的顺应性评估和安全测试的制作方法

文档序号:6656836阅读:304来源:国知局
专利名称:智能卡的顺应性评估和安全测试的制作方法
相关申请的交叉引用本申请声明2004年8月17日提交的美国临时专利申请No.60/602,293的优先权,该申请通过引用全部结合于此。
背景技术
智能卡技术在我们的文化和日常生活中正在快速普及。智能卡是嵌有微处理器和存储器芯片的卡,或者是仅嵌有具有不可编程逻辑的存储器芯片。微处理器卡可添加、删除或以其它方式处理该卡上的信息,而存储器芯片卡(例如预付电话卡)仅可执行预定的操作。与磁条卡不同,智能卡可在卡上带有所有必需功能和信息。因此,在交易中它们无需访问远程数据库。
通常在行业内也称为“微处理器卡”或“芯片卡”的智能卡比传统的磁条卡提供更大的存储量和数据安全性。智能卡可具有高达8KB(千字节)的RAM、346KB的ROM、256KB的可编程ROM、以及16-位的微处理器。智能卡使用串行接口并从像读卡器的外部源中接收其功率。处理器使用对诸如密码学的诸应用的有限指令集。智能卡用于各种各样的应用,特别是那些具有需要处理大数的内嵌密码的应用。因而,智能卡已是保存安全数字身份的卡的主平台。最普遍的智能卡应用为*信用卡*电子货币*计算机安全系统*无线通信*忠诚度系统(例如常客积分)*银行业务*卫星电视*政府鉴定设计成专用的智能卡可运行专用操作系统。设计成具有运行多个应用程序的能力的智能卡通常运行MULTOS或Java Card。
智能卡是电子货币管理的一种理想方法。包括GeldKarte、Mondex、Chipper、Quick等的支付卡将给定货币量转换成位,并将它们直接写入卡的存储器中,而诸如Eurocard、Mastercard、Visa和American Express的信用卡使用持卡人的数据和总钥匙,连同诸如SET(安全电子交易)的协议以确保安全支付。
智能卡上的微处理器是用于安全性的。主计算机和读卡器实际上与微处理器“交谈”。微处理器控制对卡上数据的访问。如果主计算机读写智能卡的随机存取存储器(RAM),则它与磁盘无异。
传送安全性-即授权持卡人仅确保对授权使用的访问-是智能卡的基本属性。智能卡在传送安全性中的有效性是它们被如此广泛采用(特别是在金融服务和移动电话中)、为什么智能卡已爆发式发展、以及为什么期望其使用对诸如个人身份卡、健康、运输和访问付款TV/娱乐等其它应用快速扩展的原因之一。
对于任一领域,安全性标准并不是静止不动的。总有一些人出于欺诈、道德、或试验原因想要破坏安全屏障。同样对于任一领域,对每一种设想到(或设想不到)的情形的永恒安全概念是不实际的,并且要在安全和成本之间的最后比例之间进行权衡。
现在考虑智能卡的顺应性评估和安全性测试。注意智能卡方案中的所有组件,即-芯片、卡、操作系统和应用软件、终端、以及卡的个性化、网络接口的确认和终端集成。要特别注意用于由卡协会上市或使用的所有类型的电子支付卡的通用风险评估和安全证书的系统和方法。

发明内容
本发明提供一种顺应性评估和安全性测试过程,用于保证供应商的智能卡产品顺应卡协会的安全性准则,并准予在卡协会的品牌名下的智能卡电子支付系统中使用。当识别出新的安全威胁和形成的攻击可能时,更新安全性准则并因此更新产品证书。当在供应商的智能卡产品中发现安全弱点时,进行风险分析以确定弱点是将可接受级别的风险还是将不可接受级别的风险提供给了成员银行。风险分析报告可由成员银行准备以便使用。
顺应性评估和安全测试过程不管形状因子或供应商如何都可应用于所有类型的智能卡产品。使用该测试过程,在智能卡电子支付系统使用的各个品牌智能卡产品类型可制成为符合卡协会的安全性要求。
顺应性评估和安全测试过程可由与产品供货商合作的卡协会进行。卡协会可连续监视智能卡行业中的威胁、攻击和安全性形成,并相应地更新智能卡产品的安全性准则。经更新的安全性准则被提供给产品供应商,从而它们可设计和建立相容的智能卡产品。测试供应商产品以确定在产品设计过程中供应商是否足够地考虑了威胁。可向相容或顺应产品提供顺应证书。可向确信具有可接受或容许弱点的产品提供组合顺应证书。具有不可接受弱点的产品被拒绝提供顺应证书。当安全性准则响应于新识别的威胁、攻击和风险而更新时,可重新测试先前认证的产品并重新认证。
根据附图和以下详细描述,本发明的其它特征、其性质和各个优点将变得更加显而易见。


图1是根据本发明原理使用顺应性评估和安全性测试方案的两种智能卡产品的组件的示意图。
图2是示出根据本发明原理的用于智能卡产品的顺应性评估和安全性测试方案的示例性子过程的流程图。
图3是示出根据本发明原理的用于智能卡产品的顺应性评估和安全性测试方案的示例性步骤的流程图。
具体实施例方式
本发明提供一种顺应性评估和安全性测试(CAST)方案或认证过程,用于保证供应商的智能卡产品适于或准许电子支付行业中的安全使用。CAST方案可适用于符合行业广泛通用的芯片卡规范(例如EMV集成电路卡规范)的智能卡产品,这些产品被设计成确保不管地点、金融机构或制造商如何,所有芯片都可用所有芯片读取终端运行。CAST方案涵盖多方-电子支付方案供应商或卡协会(例如MasterCard)、供卡商和制造商、以及发卡方或收单方(例如成员银行),它们可参与智能卡电子支付系统的实现。
在图2所示的一个应用中,CAST方案应用于供应商的旨在卡协会的品牌名(例如MasterCard)下使用或营销的智能卡产品。如果显示了足够的保证并且未发现找得到的弱点,则卡协会可向供应商签发产品的CAST证书号。当发现弱点时,可进行进一步的分析以确定这些弱点是否引起了不可接受级别的风险。如果所发现的弱点未引起不可接受级别的风险,则卡协会可向供应商签发产品的附条件CAST证书。
CAST方案可应用于所有类型的智能卡产品。CAST方案确保不管形状因子或供应商如何,智能卡电子支付系统中使用的每个品牌智能卡产品都符合卡协会的安全性要求。
CAST方案被设计成在考虑了智能卡产品的组件供应商之间的关系、其开发过程、和目前在进行芯片迁移的事实的情况下反映智能卡行业的结构。此外,CAST方案反映智能卡行业安全性评估方法中的最新发展,并结合独立评估和内部安全性测试。这种灵活性可允许卡协会(例如MasterCard)保持高水平的安全保证,同时使供应商的财物负担最小。
CAST方案是补偿性的,并可结合卡协会可用于智能卡质量保证或证书的其它方案(例如MasterCard的卡类核准程序,用于智能卡与M/Chip技术规范的顺应性;卡质量管理(CQM)程序,用于卡的质量保证和可靠性;以及官方证书程序,用于查看芯片标签上的逻辑安全性要求)使用。
卡协会可不管卡的形状因子或供应商如何,将CAST方案用于各智能卡实现的强制性评估。评估品牌智能卡的各个组件(例如集成电路或芯片、操作系统(OS)和应用程序)。
CAST方案识别出智能卡是内嵌于操作系统之上的应用程序的复合物,该操作系统构建于一集成电路上。CAST方案过程通过授予不同级别的证书来反映之。CAST方案可应用于主要的两组或两个级别的可保证产品-集成电路(IC)和集成电路卡(ICC)。参见图1。每组可保证产品在CASE方案看来包括一组组件。例如可保证IC产品被视为包括IC芯和存储器配置组件。可保证ICC产品被视为还包括操作系统和应用程序组件。一种产品的一组相似变体,诸如具有不同存储器配置的IC芯,可被评估为要进行认证的、通过CAST方案由单个证书包括的单个产品。
为了评估IC产品,CAST方案考虑在智能卡产品中使用的实际集成电路的安全性。CAST方案可能需要高度确保IC芯组件安全功能,这些安全功能被设计成有效处理包括诸如逆向工程、信息泄漏和故障引发等威胁的公知攻击方法。CAST方案考虑产品设计、开发和送货过程中的安全性。CAST方案有利地利用已由供应商执行的评估工作,这可用卡协会的附加外部评估或内部评估来补充(例如通过MasterCard的内部分析实验室(MCAL))。
为了评估ICC产品(即卡的评估),CAST方案评估开发操作系统的卡制造商的安全性。所评估的一个重要特征是卡的制造商如何基于芯片的安全性建立以提供智能卡的整体安全性。这种评估可包括对可能物理弱点的辅助防御的评估和实现的校正。此外,用于认证产品卡的CAST方案可考虑对诸如MULTOS或JavaCard操作系统的虚拟机的特定要求。这些操作系统的性质要求严格的评估以确保智能卡的安全性。CAST方案可包括(1)平台的逻辑测试,以校验该实现符合规范并不包含已知的弱点;(2)平台的物理穿透测试,以确保实现具有对付潜在弱点的对策;以及(3)测试例如全球平台(Global Platform)的应用程序载入机制,以校验对规范的顺应性以及对已知弱点的防御。
认证ICC产品的CAST方案还包括应用程序组件的评估。结合对ICC产品中的IC和操作系统组件的评估或之后,仅进行应用程序评估。在没有相应的IC和在卡上实现的操作系统的情况下不评估应用程序。对于应用程序评估,CAST方案评定应用程序开发商,并确保所开发的应用程序符合芯片和操作系统设计者的安全性准则。CAST方案包括对财务应用程序(例如包括MChip)的实现评论以确保高水平的保证。这些评论包括代码评论和穿透测试。当具有专用操作系统或虚拟机的卡上有一个以上应用程序时,尝试保证显示应用程序之间的防火墙、和/或缺乏对象共享。对一些应用程序还可进行风险评估。如果卡下部件在安全处理中扮演了重要的角色,则风险评估可包括结合这些卡下部件。
在CAST方案中,产品的安全保证通过安全性评定来获得,这些安全性评定由著名的外部评定实验室使用卡协会的安全准则(例如MasterCard的安全性准则)和/或通过外部开发的测试工具来进行。卡协会可利用由供应商或成员先前进行的工作。卡协会可识别在诸如Common Criteria(通用标准)等一些正式评定方案中使用的方法,但仅可接收全面评估报告作为证据。
CAST方案反映卡协会与产品供应商之间的合伙关系,并尝试使评估工作中所花的非必需成本和时间最少。卡协会可用它自己内部的R&D(研究开发)程序来支持CAST方案,以确保威胁和防御的最佳获知同时保持与外部实验室和供应商的秘密关系。
CAST方案的输出是标识了从芯片供应商经由卡制造商到成员银行、包括适用的独立的应用程序开发商的单个核准路径的认证链路。可要求智能卡产品供应商向成员银行提供CAST证书号,作为它们的产品通过CAST方案已评估和核准为符合卡协会的安全准则的证据。在供应商产品中发现可能的安全缺陷或弱点的实例中,不可授予CAST证书。可全面地告知供应商任何这种安全缺陷或弱点的细节。卡协会可与供应商一起工作以充分地告知智能卡发卡方可能的安全缺陷或弱点,从而可适当地评估其风险或暴露。此外,卡协会可与供应商一起工作以开展引入减少了弱点的修订产品的计划。
电子支付应用程序(例如MasterCard的Mchip应用程序)的在智能卡中通用的安全功能部件允许众多的风险管理手段。这些风险管理手段可在支付应用程序规范(例如Mchip规范)和/或诸如由EMVCo.公布的EMV安全准则的行业准则中具体化。这些风险管理手段通过CAST方案补充或开展,这可使智能卡安全评估成为供应商产品设计和开发过程的一个必要部分。当供应商出售产品时,它们可能需要说明已进行的测试以便于满足CAST方案的保证和测试过程。
CAST方案中的安全性测试可在识别出新的安全威胁和形成中的可能攻击时持续和及时地更新。CAST方案中的测试水平可持续增长以反映‘技术发展水平’的攻击可能。因此,新认证的智能卡产品将总是针对最新的威胁提供比早先认证更高的保护水平。成员银行或发卡银行可检查供应商的智能卡产品的CAST证书的日期,以获得有关产品对新的安全威胁是否安全的信息。CAST方案可有利地使电子支付行业保持领先攻击者一步。
CAST方案认识到不可能有完美的安全性。智能卡上的主要资产是密钥和PIN。次要资产包括诸如安全计数器(例如应用程序交易计数器)的参数。具有足够高功函(技巧、设备和时间)的攻击会在破坏卡的安全性和访问智能卡上的主要资产或次要资产时获得成功。CAST方案被设计成标识这些项中的弱点以适于成员银行或发卡方的适当系统风险分析。
成员银行或发卡方可通过包括对所有级别弱点的防御来开发或实现安全的智能卡支付系统。发卡方可开发对阻止、检测和复原的策略。攻击者可受公开性或报酬的需要驱使。成员银行或发卡方可对任一动机的攻击者计划突发管理手段,并实现适当的安全手段以防止风险/报酬的平衡向利于攻击者的方向倾斜。
在供应商产品未接收到CAST证书的实例中,供应商可暂停以说明缺失CAST证书的原因。供应商可提供有关对发卡方的实现计划的可能风险的指导。风险有时可通过其它安全手段减轻到成员银行或发卡方可接收的程度。
图2示出在由卡协会(例如MasterCard)实现的CAST方案200中使用的一组示例性过程。CAST方案200可被设计成能使成员银行进行对其智能卡程序或实现的基于获知的风险评估,并在确保金融交易的安全性时便于协调连续改进。CAST方案200也被设计成高亮供应商的具有技术发展水平功能的产品。
在CAST方案200中,在步骤202,与卡协会相关联的分析实验室持续监视智能卡行业中的威胁和安全发展。该分析实验室可自己或联合其它安全实验室进行这种监视活动。该分析实验室可进行研究和开发以标识新的威胁、攻击和安全性评估方法。
该分析实验室可将其威胁和安全监视的相关结果、以及R&D活动结合到安全性准则中,这些安全性准则包括用于设计安全智能卡产品和过程安全性监视的可更新信息。安全性准则可根据产品类型来分组(例如IC的设计准则、操作系统的设计准则、以及应用程序的设计准则)。卡协会可保持安全性准则以向供应商提供最新的用于设计安全智能卡产品的准则。在步骤204,将安全性准则给予供应商以在开发其智能卡产品时帮助它们,和/或将安全性准则给予外部测试实验室以在评估CAST方案框架内的智能卡产品时帮助它们。卡协会可使最新的设计准则在线可用(参见例如www.mastercard.com\-------。)在步骤206,供应商可根据卡协会提供的准则来设计其智能卡产品。然后在CAST方案200的“测试和认证产品”步骤208中,评估供应商的产品以及适当相关过程(如果有的话)以确定供应商在设计产品时是否以充分地考虑了威胁和攻击。该评估可涉及图3所示的详细测试和认证过程300。作为步骤208的评估的结果,卡协会可签发供应商产品的证书或附条件证书。如果在步骤208未发现残余弱点,则卡协会签发CAST证书。如果在步骤208发现了残余弱点,则在风险分析指示所风险弱点会引起可控风险或容许风险时卡协会可签发附条件的CAST证书。风险分析可在步骤208进行。(参见例如图3的过程300。)卡协会所签发的证书可确认证书上标识的供应商的产品已进行了CAST评估,并且已执行了对所发现残余弱点的风险分析。卡协会可公布该CAST证书是有条件的。结果,可迫使供应商向成员银行(和其它各方)公开风险分析报告中所包含的信息,供应商向这些成员银行(和其它各方)销售附条件CAST证书所涵盖的产品。该公开对于确保供应商的客户能将其余风险纳入其风险评估、并允许它们将足够的对这些其余风险的对策引入电子支付系统是必要的。
CAST方案200可包括任选安全性监视步骤209,在该步骤卡协会进行一深入过程以检查防新标识攻击和风险的认证产品,从而确保充分的风险管理。在适当或必要时,卡协会可告知具有CAST认证产品的供应商其已认证产品的新发现弱点。这可使供应商能消除风险并支持其客户的风险管理程序。
图3示出可在CAST方案200的步骤206中使用的测试和认证过程300的示例性步骤。参与智能卡产品实现或与之相关联的各方,包括卡协会、产品供应商和外部和内部实验室,可执行过程300的步骤。图3示出用于实现各步骤的职责、以及必要形式,并示出各过程步骤的结果或所需文档。
参看图3,在预备步骤312,卡协会和供应商可签订秘密协议(312)。作为该过程步骤的结果,双方可接收到经签名版本(336)的CAST协议表(302)。在步骤314,供应商可向卡协会提供有关计划用于CAST评估和相关管理信息的产品的细节。CAST登记细节(338)可通过完成标准CAST登记表304来提供。在可任选步骤316,供应商和卡协会可基于所完成的CAST登记表338进行初始讨论,以达成对评估过程和基础信息的共同理解。供应商可提交已对产品执行的安全性评估的在先证据,因此卡协会可自己准备有效的初始讨论。
在步骤318,如果尚未在开始过程200或300之前完成,则供应商可响应于从公布CAST准则306中导出的要求确定产品的设计或对产品进行更改(参见图2的步骤204)。在步骤318,过程还可包括执行或更改对产品以及基础开发和制造过程的安全性能的自我评估或第三方评估。同样在步骤318,供应商可提供产品设计文档308和用于测试的产品样本310。
作为响应,在步骤320卡协会可选择用于测试所提交供应商产品310的实验室,并确定所需评估的细节。步骤320还可包括供应商和卡协会之间的讨论,以对所需评估的细节达成一致。这些细节可包括强制评估和要使用实验室的选择的列表。步骤320可包括卡协会对有关已由供应商或第三方执行的对产品的安全性评估的现有证据的评论。供应商和卡协会可同意考虑各种需要和供应商先前所完成的工作。然而,卡协会可保留对CAST方案内哪组最少的评估被视为必要的最终判定。
步骤320可在供应商和卡协会同意产品已足够成熟到可准备评估之后的步骤316后的任何适当时间执行。在完成步骤320之后,可对选定测试实验室下定购单342,并且可记录最少评估细节(340)。
接着在步骤322,选定实验室可执行供应商产品和基础结构的所需评估(340)。由选定实验室进行的评估可包括产品样本的物理测试、设计文档的评估和/或供应商的开发和制造过程的审计。在步骤324,选定实验室可直接向卡协会或通过供应商提交记录结果的实验室评估报告。
在步骤326,卡协会验证所提交的实验室评估报告。卡协会可严格地查阅实验室评估报告,并且可能需要进一步评估,在该情形中过程300可返回步骤320以便于选择实验室和评估细节。如果在步骤316卡协会认为实验室评估报告提供了足够的保证,则卡协会可准备CAST总结报告(348)。在已发现了弱点的情形中,可准备残余弱点报告(350)作为总结报告348的一部分。
此外,基于步骤326对实验室评估报告的严格查阅,可在步骤328执行所发现弱点的风险分析。供应商和卡协会可单独地或联合地在步骤328执行风险分析。响应于该风险分析,供应商可选择补救所发现的弱点,并提交新的样本或产品版本以便于重新评估(例如在步骤320)。
如果在步骤326发现了残余弱点,并且供应商决定不补救这些弱点(步骤328),则供应商和卡协会可联合地准备风险分析报告(352)。风险分析报告352包含对计划使用供应商产品的卡协会的成员银行的风险信息。卡协会可尝试相关于风险分析报告351的内容理解和考虑供应商的期望。然而,卡协会必须保留对风险分析报告352的内容的最终权威,从而它在向其成员银行提供其智能卡项目的有效风险评估的可靠信息时可完成其对其成员银行的义务。
如果卡协会得出了通过步骤328已显示足够保证,并且未发现可利用的弱点的结论,则在步骤334卡协会可向供应商签发产品的CAST证书(354)。如果卡协会得出所发现弱点已被风险分析报告352充分地涵盖、并且不构成成员银行的不可控或不允许风险的结论,则卡协会可向供应商签发产品的附条件CAST证书。这些证书可结合产品登记细节(330或338),并使用电子模板(322)以便于处理和电子传送。卡协会可保留不签发任何CAST证书的权利。
可以理解,前述内容仅仅说明了本发明的原理,并且可由本领域技术人员作出各种更改而不背离本发明的范围和精神。
权利要求
1.一种用于供应商的智能卡产品的顺应性评估和安全性测试的方法,所述产品旨在以卡协会的品牌名称而使用在电子支付系统中,所述卡协会具有智能卡产品的安全准则,所述方法包括以下步骤(a)监视智能卡行业中的威胁、攻击和安全发展;(b)基于步骤(a)向所述供应商提供包括可更新的用于设计安全智能卡产品的信息的卡协会的安全性准则,以使所述供应商能根据所述卡协会的安全性准则设计智能卡产品;(c)测试所述供应商的智能卡产品以确定所述供应商是否在设计产品时充分考虑了威胁;以及(d)基于步骤(c)的结果签发顺应证书。
2.如权利要求1所述的方法,其特征在于,如果在步骤(c)发现了弱点,则该方法还包括以下步骤(e)进行风险分析以确定所述已发现弱点引起的风险水平;以及(f)基于步骤(e)的结果签发所述供应商产品的带条件的顺应证书。
3.如权利要求2所述的方法,其特征在于,还包括步骤(g)公布所述顺应证书是带条件的。
4.如权利要求1所述的方法,其特征在于,还包括步骤(h)针对新标识的威肋、攻击和风险进行已认证产品的深入检查。
5.如权利要求4所述的方法,其特征在于,还包括步骤(i)告知供应商在步骤(h)中在先前所认证产品中新发现的弱点。
6.如权利要求1所述的方法,其特征在于,步骤(c)包括从所述供应商接收有关已对所述产品进行了安全评估的信息。
7.如权利要求1所述的方法,其特征在于,步骤(c)还包括评估从所述供应商接收的有关已对所述产品进行了安全评估的信息,并相应地进行所述供应商的智能卡产品的附加测试,以确定所述供应商在设计所述产品时是否已充分考虑了威胁。
8.如权利要求1所述的方法,其特征在于,响应于在步骤(b)中向所述供应商所提供的所述安全性准则中的经更新信息,所述供应商对所述产品作出更改。
9.如权利要求1所述的方法,其特征在于,未由所述供应商补救的弱点在步骤(c)发现,所述方法进一步步骤(h)包括准备风险分析报告。
10.如权利要求9所述的方法,其特征在于,还包括步骤(i)向所述卡协会的计划使用所述供应商产品的成员银行提供风险分析报告。
全文摘要
一种顺应性评估和安全性测试过程(1)提供供应商的智能卡产品符合卡协会的安全性准则,并被核准用于卡协会的品牌名下的智能卡电子支付系统。如果被核准则授予产品顺应证书。安全性准则在识别出新的安全威胁和形成中的攻击可能时更新,并相应地更新产品认证。当在供应商的智能卡产品中发现了安全弱点时,进行风险分析以确定这些弱点是否引起了对成员银行的不可接受的风险水平。
文档编号G06Q40/00GK101023444SQ200580031431
公开日2007年8月22日 申请日期2005年8月17日 优先权日2004年8月17日
发明者A·穆希恩 申请人:万事达卡国际股份有限公司
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1