專利名稱:智能卡的順應(yīng)性評估和安全測試的制作方法
相關(guān)申請的交叉引用本申請聲明2004年8月17日提交的美國臨時專利申請No.60/602,293的優(yōu)先權(quán)����,該申請通過引用全部結(jié)合于此。
背景技術(shù):
智能卡技術(shù)在我們的文化和日常生活中正在快速普及�。智能卡是嵌有微處理器和存儲器芯片的卡,或者是僅嵌有具有不可編程邏輯的存儲器芯片�。微處理器卡可添加��、刪除或以其它方式處理該卡上的信息��,而存儲器芯片卡(例如預(yù)付電話卡)僅可執(zhí)行預(yù)定的操作����。與磁條卡不同�����,智能卡可在卡上帶有所有必需功能和信息�����。因此,在交易中它們無需訪問遠(yuǎn)程數(shù)據(jù)庫����。
通常在行業(yè)內(nèi)也稱為“微處理器卡”或“芯片卡”的智能卡比傳統(tǒng)的磁條卡提供更大的存儲量和數(shù)據(jù)安全性。智能卡可具有高達(dá)8KB(千字節(jié))的RAM����、346KB的ROM、256KB的可編程ROM���、以及16-位的微處理器��。智能卡使用串行接口并從像讀卡器的外部源中接收其功率�。處理器使用對諸如密碼學(xué)的諸應(yīng)用的有限指令集��。智能卡用于各種各樣的應(yīng)用�,特別是那些具有需要處理大數(shù)的內(nèi)嵌密碼的應(yīng)用。因而���,智能卡已是保存安全數(shù)字身份的卡的主平臺。最普遍的智能卡應(yīng)用為*信用卡*電子貨幣*計算機(jī)安全系統(tǒng)*無線通信*忠誠度系統(tǒng)(例如?���?头e分)*銀行業(yè)務(wù)*衛(wèi)星電視*政府鑒定設(shè)計成專用的智能卡可運(yùn)行專用操作系統(tǒng)��。設(shè)計成具有運(yùn)行多個應(yīng)用程序的能力的智能卡通常運(yùn)行MULTOS或Java Card�。
智能卡是電子貨幣管理的一種理想方法�。包括GeldKarte、Mondex�、Chipper、Quick等的支付卡將給定貨幣量轉(zhuǎn)換成位����,并將它們直接寫入卡的存儲器中,而諸如Eurocard����、Mastercard、Visa和American Express的信用卡使用持卡人的數(shù)據(jù)和總鑰匙�����,連同諸如SET(安全電子交易)的協(xié)議以確保安全支付���。
智能卡上的微處理器是用于安全性的����。主計算機(jī)和讀卡器實際上與微處理器“交談”����。微處理器控制對卡上數(shù)據(jù)的訪問�����。如果主計算機(jī)讀寫智能卡的隨機(jī)存取存儲器(RAM)��,則它與磁盤無異�����。
傳送安全性-即授權(quán)持卡人僅確保對授權(quán)使用的訪問-是智能卡的基本屬性�����。智能卡在傳送安全性中的有效性是它們被如此廣泛采用(特別是在金融服務(wù)和移動電話中)���、為什么智能卡已爆發(fā)式發(fā)展、以及為什么期望其使用對諸如個人身份卡����、健康、運(yùn)輸和訪問付款TV/娛樂等其它應(yīng)用快速擴(kuò)展的原因之一�����。
對于任一領(lǐng)域�,安全性標(biāo)準(zhǔn)并不是靜止不動的?���?傆幸恍┤顺鲇谄墼p、道德���、或試驗原因想要破壞安全屏障�����。同樣對于任一領(lǐng)域�,對每一種設(shè)想到(或設(shè)想不到)的情形的永恒安全概念是不實際的��,并且要在安全和成本之間的最后比例之間進(jìn)行權(quán)衡�。
現(xiàn)在考慮智能卡的順應(yīng)性評估和安全性測試。注意智能卡方案中的所有組件��,即-芯片�、卡、操作系統(tǒng)和應(yīng)用軟件���、終端��、以及卡的個性化�、網(wǎng)絡(luò)接口的確認(rèn)和終端集成。要特別注意用于由卡協(xié)會上市或使用的所有類型的電子支付卡的通用風(fēng)險評估和安全證書的系統(tǒng)和方法��。
發(fā)明內(nèi)容
本發(fā)明提供一種順應(yīng)性評估和安全性測試過程����,用于保證供應(yīng)商的智能卡產(chǎn)品順應(yīng)卡協(xié)會的安全性準(zhǔn)則,并準(zhǔn)予在卡協(xié)會的品牌名下的智能卡電子支付系統(tǒng)中使用��。當(dāng)識別出新的安全威脅和形成的攻擊可能時��,更新安全性準(zhǔn)則并因此更新產(chǎn)品證書�。當(dāng)在供應(yīng)商的智能卡產(chǎn)品中發(fā)現(xiàn)安全弱點時,進(jìn)行風(fēng)險分析以確定弱點是將可接受級別的風(fēng)險還是將不可接受級別的風(fēng)險提供給了成員銀行�����。風(fēng)險分析報告可由成員銀行準(zhǔn)備以便使用�����。
順應(yīng)性評估和安全測試過程不管形狀因子或供應(yīng)商如何都可應(yīng)用于所有類型的智能卡產(chǎn)品���。使用該測試過程����,在智能卡電子支付系統(tǒng)使用的各個品牌智能卡產(chǎn)品類型可制成為符合卡協(xié)會的安全性要求。
順應(yīng)性評估和安全測試過程可由與產(chǎn)品供貨商合作的卡協(xié)會進(jìn)行�����?���?▍f(xié)會可連續(xù)監(jiān)視智能卡行業(yè)中的威脅���、攻擊和安全性形成���,并相應(yīng)地更新智能卡產(chǎn)品的安全性準(zhǔn)則。經(jīng)更新的安全性準(zhǔn)則被提供給產(chǎn)品供應(yīng)商��,從而它們可設(shè)計和建立相容的智能卡產(chǎn)品��。測試供應(yīng)商產(chǎn)品以確定在產(chǎn)品設(shè)計過程中供應(yīng)商是否足夠地考慮了威脅�����。可向相容或順應(yīng)產(chǎn)品提供順應(yīng)證書����。可向確信具有可接受或容許弱點的產(chǎn)品提供組合順應(yīng)證書����。具有不可接受弱點的產(chǎn)品被拒絕提供順應(yīng)證書。當(dāng)安全性準(zhǔn)則響應(yīng)于新識別的威脅���、攻擊和風(fēng)險而更新時��,可重新測試先前認(rèn)證的產(chǎn)品并重新認(rèn)證�。
根據(jù)附圖和以下詳細(xì)描述�,本發(fā)明的其它特征、其性質(zhì)和各個優(yōu)點將變得更加顯而易見�。
圖1是根據(jù)本發(fā)明原理使用順應(yīng)性評估和安全性測試方案的兩種智能卡產(chǎn)品的組件的示意圖。
圖2是示出根據(jù)本發(fā)明原理的用于智能卡產(chǎn)品的順應(yīng)性評估和安全性測試方案的示例性子過程的流程圖�。
圖3是示出根據(jù)本發(fā)明原理的用于智能卡產(chǎn)品的順應(yīng)性評估和安全性測試方案的示例性步驟的流程圖。
具體實施例方式
本發(fā)明提供一種順應(yīng)性評估和安全性測試(CAST)方案或認(rèn)證過程�����,用于保證供應(yīng)商的智能卡產(chǎn)品適于或準(zhǔn)許電子支付行業(yè)中的安全使用�����。CAST方案可適用于符合行業(yè)廣泛通用的芯片卡規(guī)范(例如EMV集成電路卡規(guī)范)的智能卡產(chǎn)品,這些產(chǎn)品被設(shè)計成確保不管地點����、金融機(jī)構(gòu)或制造商如何,所有芯片都可用所有芯片讀取終端運(yùn)行���。CAST方案涵蓋多方-電子支付方案供應(yīng)商或卡協(xié)會(例如MasterCard)、供卡商和制造商����、以及發(fā)卡方或收單方(例如成員銀行),它們可參與智能卡電子支付系統(tǒng)的實現(xiàn)�����。
在圖2所示的一個應(yīng)用中��,CAST方案應(yīng)用于供應(yīng)商的旨在卡協(xié)會的品牌名(例如MasterCard)下使用或營銷的智能卡產(chǎn)品��。如果顯示了足夠的保證并且未發(fā)現(xiàn)找得到的弱點�����,則卡協(xié)會可向供應(yīng)商簽發(fā)產(chǎn)品的CAST證書號。當(dāng)發(fā)現(xiàn)弱點時�����,可進(jìn)行進(jìn)一步的分析以確定這些弱點是否引起了不可接受級別的風(fēng)險�����。如果所發(fā)現(xiàn)的弱點未引起不可接受級別的風(fēng)險�,則卡協(xié)會可向供應(yīng)商簽發(fā)產(chǎn)品的附條件CAST證書。
CAST方案可應(yīng)用于所有類型的智能卡產(chǎn)品���。CAST方案確保不管形狀因子或供應(yīng)商如何����,智能卡電子支付系統(tǒng)中使用的每個品牌智能卡產(chǎn)品都符合卡協(xié)會的安全性要求����。
CAST方案被設(shè)計成在考慮了智能卡產(chǎn)品的組件供應(yīng)商之間的關(guān)系、其開發(fā)過程�、和目前在進(jìn)行芯片遷移的事實的情況下反映智能卡行業(yè)的結(jié)構(gòu)。此外���,CAST方案反映智能卡行業(yè)安全性評估方法中的最新發(fā)展�����,并結(jié)合獨(dú)立評估和內(nèi)部安全性測試����。這種靈活性可允許卡協(xié)會(例如MasterCard)保持高水平的安全保證,同時使供應(yīng)商的財物負(fù)擔(dān)最小��。
CAST方案是補(bǔ)償性的�,并可結(jié)合卡協(xié)會可用于智能卡質(zhì)量保證或證書的其它方案(例如MasterCard的卡類核準(zhǔn)程序,用于智能卡與M/Chip技術(shù)規(guī)范的順應(yīng)性���;卡質(zhì)量管理(CQM)程序,用于卡的質(zhì)量保證和可靠性��;以及官方證書程序�,用于查看芯片標(biāo)簽上的邏輯安全性要求)使用。
卡協(xié)會可不管卡的形狀因子或供應(yīng)商如何����,將CAST方案用于各智能卡實現(xiàn)的強(qiáng)制性評估。評估品牌智能卡的各個組件(例如集成電路或芯片�����、操作系統(tǒng)(OS)和應(yīng)用程序)。
CAST方案識別出智能卡是內(nèi)嵌于操作系統(tǒng)之上的應(yīng)用程序的復(fù)合物���,該操作系統(tǒng)構(gòu)建于一集成電路上�。CAST方案過程通過授予不同級別的證書來反映之�。CAST方案可應(yīng)用于主要的兩組或兩個級別的可保證產(chǎn)品-集成電路(IC)和集成電路卡(ICC)。參見圖1���。每組可保證產(chǎn)品在CASE方案看來包括一組組件��。例如可保證IC產(chǎn)品被視為包括IC芯和存儲器配置組件���。可保證ICC產(chǎn)品被視為還包括操作系統(tǒng)和應(yīng)用程序組件��。一種產(chǎn)品的一組相似變體���,諸如具有不同存儲器配置的IC芯�����,可被評估為要進(jìn)行認(rèn)證的��、通過CAST方案由單個證書包括的單個產(chǎn)品�。
為了評估IC產(chǎn)品,CAST方案考慮在智能卡產(chǎn)品中使用的實際集成電路的安全性����。CAST方案可能需要高度確保IC芯組件安全功能,這些安全功能被設(shè)計成有效處理包括諸如逆向工程���、信息泄漏和故障引發(fā)等威脅的公知攻擊方法����。CAST方案考慮產(chǎn)品設(shè)計�、開發(fā)和送貨過程中的安全性。CAST方案有利地利用已由供應(yīng)商執(zhí)行的評估工作���,這可用卡協(xié)會的附加外部評估或內(nèi)部評估來補(bǔ)充(例如通過MasterCard的內(nèi)部分析實驗室(MCAL))�����。
為了評估ICC產(chǎn)品(即卡的評估),CAST方案評估開發(fā)操作系統(tǒng)的卡制造商的安全性����。所評估的一個重要特征是卡的制造商如何基于芯片的安全性建立以提供智能卡的整體安全性。這種評估可包括對可能物理弱點的輔助防御的評估和實現(xiàn)的校正����。此外�����,用于認(rèn)證產(chǎn)品卡的CAST方案可考慮對諸如MULTOS或JavaCard操作系統(tǒng)的虛擬機(jī)的特定要求����。這些操作系統(tǒng)的性質(zhì)要求嚴(yán)格的評估以確保智能卡的安全性��。CAST方案可包括(1)平臺的邏輯測試���,以校驗該實現(xiàn)符合規(guī)范并不包含已知的弱點�;(2)平臺的物理穿透測試�����,以確保實現(xiàn)具有對付潛在弱點的對策�����;以及(3)測試?yán)缛蚱脚_(Global Platform)的應(yīng)用程序載入機(jī)制��,以校驗對規(guī)范的順應(yīng)性以及對已知弱點的防御���。
認(rèn)證ICC產(chǎn)品的CAST方案還包括應(yīng)用程序組件的評估�。結(jié)合對ICC產(chǎn)品中的IC和操作系統(tǒng)組件的評估或之后,僅進(jìn)行應(yīng)用程序評估����。在沒有相應(yīng)的IC和在卡上實現(xiàn)的操作系統(tǒng)的情況下不評估應(yīng)用程序。對于應(yīng)用程序評估�,CAST方案評定應(yīng)用程序開發(fā)商,并確保所開發(fā)的應(yīng)用程序符合芯片和操作系統(tǒng)設(shè)計者的安全性準(zhǔn)則�����。CAST方案包括對財務(wù)應(yīng)用程序(例如包括MChip)的實現(xiàn)評論以確保高水平的保證���。這些評論包括代碼評論和穿透測試����。當(dāng)具有專用操作系統(tǒng)或虛擬機(jī)的卡上有一個以上應(yīng)用程序時�,嘗試保證顯示應(yīng)用程序之間的防火墻、和/或缺乏對象共享�����。對一些應(yīng)用程序還可進(jìn)行風(fēng)險評估�����。如果卡下部件在安全處理中扮演了重要的角色����,則風(fēng)險評估可包括結(jié)合這些卡下部件。
在CAST方案中���,產(chǎn)品的安全保證通過安全性評定來獲得��,這些安全性評定由著名的外部評定實驗室使用卡協(xié)會的安全準(zhǔn)則(例如MasterCard的安全性準(zhǔn)則)和/或通過外部開發(fā)的測試工具來進(jìn)行��?��?▍f(xié)會可利用由供應(yīng)商或成員先前進(jìn)行的工作?��?▍f(xié)會可識別在諸如Common Criteria(通用標(biāo)準(zhǔn))等一些正式評定方案中使用的方法�,但僅可接收全面評估報告作為證據(jù)����。
CAST方案反映卡協(xié)會與產(chǎn)品供應(yīng)商之間的合伙關(guān)系,并嘗試使評估工作中所花的非必需成本和時間最少??▍f(xié)會可用它自己內(nèi)部的R&D(研究開發(fā))程序來支持CAST方案,以確保威脅和防御的最佳獲知同時保持與外部實驗室和供應(yīng)商的秘密關(guān)系�����。
CAST方案的輸出是標(biāo)識了從芯片供應(yīng)商經(jīng)由卡制造商到成員銀行��、包括適用的獨(dú)立的應(yīng)用程序開發(fā)商的單個核準(zhǔn)路徑的認(rèn)證鏈路�����?�?梢笾悄芸óa(chǎn)品供應(yīng)商向成員銀行提供CAST證書號���,作為它們的產(chǎn)品通過CAST方案已評估和核準(zhǔn)為符合卡協(xié)會的安全準(zhǔn)則的證據(jù)����。在供應(yīng)商產(chǎn)品中發(fā)現(xiàn)可能的安全缺陷或弱點的實例中�,不可授予CAST證書??扇娴馗嬷?yīng)商任何這種安全缺陷或弱點的細(xì)節(jié)??▍f(xié)會可與供應(yīng)商一起工作以充分地告知智能卡發(fā)卡方可能的安全缺陷或弱點���,從而可適當(dāng)?shù)卦u估其風(fēng)險或暴露����。此外,卡協(xié)會可與供應(yīng)商一起工作以開展引入減少了弱點的修訂產(chǎn)品的計劃��。
電子支付應(yīng)用程序(例如MasterCard的Mchip應(yīng)用程序)的在智能卡中通用的安全功能部件允許眾多的風(fēng)險管理手段���。這些風(fēng)險管理手段可在支付應(yīng)用程序規(guī)范(例如Mchip規(guī)范)和/或諸如由EMVCo.公布的EMV安全準(zhǔn)則的行業(yè)準(zhǔn)則中具體化�����。這些風(fēng)險管理手段通過CAST方案補(bǔ)充或開展��,這可使智能卡安全評估成為供應(yīng)商產(chǎn)品設(shè)計和開發(fā)過程的一個必要部分����。當(dāng)供應(yīng)商出售產(chǎn)品時����,它們可能需要說明已進(jìn)行的測試以便于滿足CAST方案的保證和測試過程。
CAST方案中的安全性測試可在識別出新的安全威脅和形成中的可能攻擊時持續(xù)和及時地更新���。CAST方案中的測試水平可持續(xù)增長以反映‘技術(shù)發(fā)展水平’的攻擊可能���。因此�,新認(rèn)證的智能卡產(chǎn)品將總是針對最新的威脅提供比早先認(rèn)證更高的保護(hù)水平���。成員銀行或發(fā)卡銀行可檢查供應(yīng)商的智能卡產(chǎn)品的CAST證書的日期�,以獲得有關(guān)產(chǎn)品對新的安全威脅是否安全的信息����。CAST方案可有利地使電子支付行業(yè)保持領(lǐng)先攻擊者一步。
CAST方案認(rèn)識到不可能有完美的安全性��。智能卡上的主要資產(chǎn)是密鑰和PIN���。次要資產(chǎn)包括諸如安全計數(shù)器(例如應(yīng)用程序交易計數(shù)器)的參數(shù)�。具有足夠高功函(技巧����、設(shè)備和時間)的攻擊會在破壞卡的安全性和訪問智能卡上的主要資產(chǎn)或次要資產(chǎn)時獲得成功。CAST方案被設(shè)計成標(biāo)識這些項中的弱點以適于成員銀行或發(fā)卡方的適當(dāng)系統(tǒng)風(fēng)險分析���。
成員銀行或發(fā)卡方可通過包括對所有級別弱點的防御來開發(fā)或?qū)崿F(xiàn)安全的智能卡支付系統(tǒng)�����。發(fā)卡方可開發(fā)對阻止����、檢測和復(fù)原的策略���。攻擊者可受公開性或報酬的需要驅(qū)使���。成員銀行或發(fā)卡方可對任一動機(jī)的攻擊者計劃突發(fā)管理手段,并實現(xiàn)適當(dāng)?shù)陌踩侄我苑乐癸L(fēng)險/報酬的平衡向利于攻擊者的方向傾斜����。
在供應(yīng)商產(chǎn)品未接收到CAST證書的實例中,供應(yīng)商可暫停以說明缺失CAST證書的原因��。供應(yīng)商可提供有關(guān)對發(fā)卡方的實現(xiàn)計劃的可能風(fēng)險的指導(dǎo)���。風(fēng)險有時可通過其它安全手段減輕到成員銀行或發(fā)卡方可接收的程度����。
圖2示出在由卡協(xié)會(例如MasterCard)實現(xiàn)的CAST方案200中使用的一組示例性過程���。CAST方案200可被設(shè)計成能使成員銀行進(jìn)行對其智能卡程序或?qū)崿F(xiàn)的基于獲知的風(fēng)險評估����,并在確保金融交易的安全性時便于協(xié)調(diào)連續(xù)改進(jìn)。CAST方案200也被設(shè)計成高亮供應(yīng)商的具有技術(shù)發(fā)展水平功能的產(chǎn)品���。
在CAST方案200中��,在步驟202����,與卡協(xié)會相關(guān)聯(lián)的分析實驗室持續(xù)監(jiān)視智能卡行業(yè)中的威脅和安全發(fā)展���。該分析實驗室可自己或聯(lián)合其它安全實驗室進(jìn)行這種監(jiān)視活動����。該分析實驗室可進(jìn)行研究和開發(fā)以標(biāo)識新的威脅��、攻擊和安全性評估方法���。
該分析實驗室可將其威脅和安全監(jiān)視的相關(guān)結(jié)果���、以及R&D活動結(jié)合到安全性準(zhǔn)則中�����,這些安全性準(zhǔn)則包括用于設(shè)計安全智能卡產(chǎn)品和過程安全性監(jiān)視的可更新信息��。安全性準(zhǔn)則可根據(jù)產(chǎn)品類型來分組(例如IC的設(shè)計準(zhǔn)則���、操作系統(tǒng)的設(shè)計準(zhǔn)則、以及應(yīng)用程序的設(shè)計準(zhǔn)則)��?����?▍f(xié)會可保持安全性準(zhǔn)則以向供應(yīng)商提供最新的用于設(shè)計安全智能卡產(chǎn)品的準(zhǔn)則�。在步驟204���,將安全性準(zhǔn)則給予供應(yīng)商以在開發(fā)其智能卡產(chǎn)品時幫助它們�����,和/或?qū)踩詼?zhǔn)則給予外部測試實驗室以在評估CAST方案框架內(nèi)的智能卡產(chǎn)品時幫助它們���??▍f(xié)會可使最新的設(shè)計準(zhǔn)則在線可用(參見例如www.mastercard.com\-------��。)在步驟206�,供應(yīng)商可根據(jù)卡協(xié)會提供的準(zhǔn)則來設(shè)計其智能卡產(chǎn)品。然后在CAST方案200的“測試和認(rèn)證產(chǎn)品”步驟208中�����,評估供應(yīng)商的產(chǎn)品以及適當(dāng)相關(guān)過程(如果有的話)以確定供應(yīng)商在設(shè)計產(chǎn)品時是否以充分地考慮了威脅和攻擊��。該評估可涉及圖3所示的詳細(xì)測試和認(rèn)證過程300���。作為步驟208的評估的結(jié)果�,卡協(xié)會可簽發(fā)供應(yīng)商產(chǎn)品的證書或附條件證書�����。如果在步驟208未發(fā)現(xiàn)殘余弱點����,則卡協(xié)會簽發(fā)CAST證書。如果在步驟208發(fā)現(xiàn)了殘余弱點��,則在風(fēng)險分析指示所風(fēng)險弱點會引起可控風(fēng)險或容許風(fēng)險時卡協(xié)會可簽發(fā)附條件的CAST證書。風(fēng)險分析可在步驟208進(jìn)行�����。(參見例如圖3的過程300�。)卡協(xié)會所簽發(fā)的證書可確認(rèn)證書上標(biāo)識的供應(yīng)商的產(chǎn)品已進(jìn)行了CAST評估,并且已執(zhí)行了對所發(fā)現(xiàn)殘余弱點的風(fēng)險分析���??▍f(xié)會可公布該CAST證書是有條件的�����。結(jié)果���,可迫使供應(yīng)商向成員銀行(和其它各方)公開風(fēng)險分析報告中所包含的信息,供應(yīng)商向這些成員銀行(和其它各方)銷售附條件CAST證書所涵蓋的產(chǎn)品�����。該公開對于確保供應(yīng)商的客戶能將其余風(fēng)險納入其風(fēng)險評估���、并允許它們將足夠的對這些其余風(fēng)險的對策引入電子支付系統(tǒng)是必要的�����。
CAST方案200可包括任選安全性監(jiān)視步驟209���,在該步驟卡協(xié)會進(jìn)行一深入過程以檢查防新標(biāo)識攻擊和風(fēng)險的認(rèn)證產(chǎn)品��,從而確保充分的風(fēng)險管理���。在適當(dāng)或必要時,卡協(xié)會可告知具有CAST認(rèn)證產(chǎn)品的供應(yīng)商其已認(rèn)證產(chǎn)品的新發(fā)現(xiàn)弱點���。這可使供應(yīng)商能消除風(fēng)險并支持其客戶的風(fēng)險管理程序���。
圖3示出可在CAST方案200的步驟206中使用的測試和認(rèn)證過程300的示例性步驟。參與智能卡產(chǎn)品實現(xiàn)或與之相關(guān)聯(lián)的各方�����,包括卡協(xié)會����、產(chǎn)品供應(yīng)商和外部和內(nèi)部實驗室,可執(zhí)行過程300的步驟����。圖3示出用于實現(xiàn)各步驟的職責(zé)�����、以及必要形式�,并示出各過程步驟的結(jié)果或所需文檔����。
參看圖3,在預(yù)備步驟312�,卡協(xié)會和供應(yīng)商可簽訂秘密協(xié)議(312)。作為該過程步驟的結(jié)果��,雙方可接收到經(jīng)簽名版本(336)的CAST協(xié)議表(302)��。在步驟314���,供應(yīng)商可向卡協(xié)會提供有關(guān)計劃用于CAST評估和相關(guān)管理信息的產(chǎn)品的細(xì)節(jié)��。CAST登記細(xì)節(jié)(338)可通過完成標(biāo)準(zhǔn)CAST登記表304來提供。在可任選步驟316�����,供應(yīng)商和卡協(xié)會可基于所完成的CAST登記表338進(jìn)行初始討論,以達(dá)成對評估過程和基礎(chǔ)信息的共同理解����。供應(yīng)商可提交已對產(chǎn)品執(zhí)行的安全性評估的在先證據(jù),因此卡協(xié)會可自己準(zhǔn)備有效的初始討論���。
在步驟318�,如果尚未在開始過程200或300之前完成���,則供應(yīng)商可響應(yīng)于從公布CAST準(zhǔn)則306中導(dǎo)出的要求確定產(chǎn)品的設(shè)計或?qū)Ξa(chǎn)品進(jìn)行更改(參見圖2的步驟204)��。在步驟318�,過程還可包括執(zhí)行或更改對產(chǎn)品以及基礎(chǔ)開發(fā)和制造過程的安全性能的自我評估或第三方評估��。同樣在步驟318�����,供應(yīng)商可提供產(chǎn)品設(shè)計文檔308和用于測試的產(chǎn)品樣本310����。
作為響應(yīng),在步驟320卡協(xié)會可選擇用于測試所提交供應(yīng)商產(chǎn)品310的實驗室�,并確定所需評估的細(xì)節(jié)�����。步驟320還可包括供應(yīng)商和卡協(xié)會之間的討論���,以對所需評估的細(xì)節(jié)達(dá)成一致。這些細(xì)節(jié)可包括強(qiáng)制評估和要使用實驗室的選擇的列表���。步驟320可包括卡協(xié)會對有關(guān)已由供應(yīng)商或第三方執(zhí)行的對產(chǎn)品的安全性評估的現(xiàn)有證據(jù)的評論�。供應(yīng)商和卡協(xié)會可同意考慮各種需要和供應(yīng)商先前所完成的工作����。然而,卡協(xié)會可保留對CAST方案內(nèi)哪組最少的評估被視為必要的最終判定�����。
步驟320可在供應(yīng)商和卡協(xié)會同意產(chǎn)品已足夠成熟到可準(zhǔn)備評估之后的步驟316后的任何適當(dāng)時間執(zhí)行�。在完成步驟320之后,可對選定測試實驗室下定購單342���,并且可記錄最少評估細(xì)節(jié)(340)�。
接著在步驟322����,選定實驗室可執(zhí)行供應(yīng)商產(chǎn)品和基礎(chǔ)結(jié)構(gòu)的所需評估(340)。由選定實驗室進(jìn)行的評估可包括產(chǎn)品樣本的物理測試�、設(shè)計文檔的評估和/或供應(yīng)商的開發(fā)和制造過程的審計。在步驟324���,選定實驗室可直接向卡協(xié)會或通過供應(yīng)商提交記錄結(jié)果的實驗室評估報告�。
在步驟326���,卡協(xié)會驗證所提交的實驗室評估報告�����?����?▍f(xié)會可嚴(yán)格地查閱實驗室評估報告�,并且可能需要進(jìn)一步評估����,在該情形中過程300可返回步驟320以便于選擇實驗室和評估細(xì)節(jié)。如果在步驟316卡協(xié)會認(rèn)為實驗室評估報告提供了足夠的保證�,則卡協(xié)會可準(zhǔn)備CAST總結(jié)報告(348)����。在已發(fā)現(xiàn)了弱點的情形中���,可準(zhǔn)備殘余弱點報告(350)作為總結(jié)報告348的一部分����。
此外�����,基于步驟326對實驗室評估報告的嚴(yán)格查閱���,可在步驟328執(zhí)行所發(fā)現(xiàn)弱點的風(fēng)險分析����。供應(yīng)商和卡協(xié)會可單獨(dú)地或聯(lián)合地在步驟328執(zhí)行風(fēng)險分析���。響應(yīng)于該風(fēng)險分析�����,供應(yīng)商可選擇補(bǔ)救所發(fā)現(xiàn)的弱點����,并提交新的樣本或產(chǎn)品版本以便于重新評估(例如在步驟320)�。
如果在步驟326發(fā)現(xiàn)了殘余弱點,并且供應(yīng)商決定不補(bǔ)救這些弱點(步驟328)����,則供應(yīng)商和卡協(xié)會可聯(lián)合地準(zhǔn)備風(fēng)險分析報告(352)。風(fēng)險分析報告352包含對計劃使用供應(yīng)商產(chǎn)品的卡協(xié)會的成員銀行的風(fēng)險信息�。卡協(xié)會可嘗試相關(guān)于風(fēng)險分析報告351的內(nèi)容理解和考慮供應(yīng)商的期望��。然而���,卡協(xié)會必須保留對風(fēng)險分析報告352的內(nèi)容的最終權(quán)威���,從而它在向其成員銀行提供其智能卡項目的有效風(fēng)險評估的可靠信息時可完成其對其成員銀行的義務(wù)。
如果卡協(xié)會得出了通過步驟328已顯示足夠保證��,并且未發(fā)現(xiàn)可利用的弱點的結(jié)論�,則在步驟334卡協(xié)會可向供應(yīng)商簽發(fā)產(chǎn)品的CAST證書(354)。如果卡協(xié)會得出所發(fā)現(xiàn)弱點已被風(fēng)險分析報告352充分地涵蓋���、并且不構(gòu)成成員銀行的不可控或不允許風(fēng)險的結(jié)論�,則卡協(xié)會可向供應(yīng)商簽發(fā)產(chǎn)品的附條件CAST證書。這些證書可結(jié)合產(chǎn)品登記細(xì)節(jié)(330或338)�,并使用電子模板(322)以便于處理和電子傳送?���?▍f(xié)會可保留不簽發(fā)任何CAST證書的權(quán)利。
可以理解�,前述內(nèi)容僅僅說明了本發(fā)明的原理,并且可由本領(lǐng)域技術(shù)人員作出各種更改而不背離本發(fā)明的范圍和精神�。
權(quán)利要求
1.一種用于供應(yīng)商的智能卡產(chǎn)品的順應(yīng)性評估和安全性測試的方法,所述產(chǎn)品旨在以卡協(xié)會的品牌名稱而使用在電子支付系統(tǒng)中�����,所述卡協(xié)會具有智能卡產(chǎn)品的安全準(zhǔn)則�����,所述方法包括以下步驟(a)監(jiān)視智能卡行業(yè)中的威脅���、攻擊和安全發(fā)展���;(b)基于步驟(a)向所述供應(yīng)商提供包括可更新的用于設(shè)計安全智能卡產(chǎn)品的信息的卡協(xié)會的安全性準(zhǔn)則,以使所述供應(yīng)商能根據(jù)所述卡協(xié)會的安全性準(zhǔn)則設(shè)計智能卡產(chǎn)品;(c)測試所述供應(yīng)商的智能卡產(chǎn)品以確定所述供應(yīng)商是否在設(shè)計產(chǎn)品時充分考慮了威脅�����;以及(d)基于步驟(c)的結(jié)果簽發(fā)順應(yīng)證書�。
2.如權(quán)利要求1所述的方法,其特征在于�,如果在步驟(c)發(fā)現(xiàn)了弱點,則該方法還包括以下步驟(e)進(jìn)行風(fēng)險分析以確定所述已發(fā)現(xiàn)弱點引起的風(fēng)險水平����;以及(f)基于步驟(e)的結(jié)果簽發(fā)所述供應(yīng)商產(chǎn)品的帶條件的順應(yīng)證書�����。
3.如權(quán)利要求2所述的方法����,其特征在于,還包括步驟(g)公布所述順應(yīng)證書是帶條件的����。
4.如權(quán)利要求1所述的方法,其特征在于��,還包括步驟(h)針對新標(biāo)識的威肋、攻擊和風(fēng)險進(jìn)行已認(rèn)證產(chǎn)品的深入檢查�����。
5.如權(quán)利要求4所述的方法��,其特征在于���,還包括步驟(i)告知供應(yīng)商在步驟(h)中在先前所認(rèn)證產(chǎn)品中新發(fā)現(xiàn)的弱點��。
6.如權(quán)利要求1所述的方法����,其特征在于����,步驟(c)包括從所述供應(yīng)商接收有關(guān)已對所述產(chǎn)品進(jìn)行了安全評估的信息。
7.如權(quán)利要求1所述的方法���,其特征在于����,步驟(c)還包括評估從所述供應(yīng)商接收的有關(guān)已對所述產(chǎn)品進(jìn)行了安全評估的信息����,并相應(yīng)地進(jìn)行所述供應(yīng)商的智能卡產(chǎn)品的附加測試��,以確定所述供應(yīng)商在設(shè)計所述產(chǎn)品時是否已充分考慮了威脅����。
8.如權(quán)利要求1所述的方法�����,其特征在于���,響應(yīng)于在步驟(b)中向所述供應(yīng)商所提供的所述安全性準(zhǔn)則中的經(jīng)更新信息,所述供應(yīng)商對所述產(chǎn)品作出更改�����。
9.如權(quán)利要求1所述的方法�,其特征在于,未由所述供應(yīng)商補(bǔ)救的弱點在步驟(c)發(fā)現(xiàn)����,所述方法進(jìn)一步步驟(h)包括準(zhǔn)備風(fēng)險分析報告。
10.如權(quán)利要求9所述的方法���,其特征在于�,還包括步驟(i)向所述卡協(xié)會的計劃使用所述供應(yīng)商產(chǎn)品的成員銀行提供風(fēng)險分析報告。
全文摘要
一種順應(yīng)性評估和安全性測試過程(1)提供供應(yīng)商的智能卡產(chǎn)品符合卡協(xié)會的安全性準(zhǔn)則��,并被核準(zhǔn)用于卡協(xié)會的品牌名下的智能卡電子支付系統(tǒng)�����。如果被核準(zhǔn)則授予產(chǎn)品順應(yīng)證書����。安全性準(zhǔn)則在識別出新的安全威脅和形成中的攻擊可能時更新,并相應(yīng)地更新產(chǎn)品認(rèn)證����。當(dāng)在供應(yīng)商的智能卡產(chǎn)品中發(fā)現(xiàn)了安全弱點時,進(jìn)行風(fēng)險分析以確定這些弱點是否引起了對成員銀行的不可接受的風(fēng)險水平���。
文檔編號G06Q40/00GK101023444SQ200580031431
公開日2007年8月22日 申請日期2005年8月17日 優(yōu)先權(quán)日2004年8月17日
發(fā)明者A·穆希恩 申請人:萬事達(dá)卡國際股份有限公司