金融IC芯片市場調(diào)查報告EMVEAL4+認(rèn)證流程

1、莆袃芅芆螅袂羅腿蟻袁肇莄薇袀腿膇蒃袀衿莃荿罿羈膅蚇羈肄莁薃羇膆膄蕿羆羆葿蒅羅肈節(jié)螄羄膀蕆蝕羄芃芀薆羃羂蒆蒂蠆肄艿莈蚈膇蒄蚆蚈袆芇螞蚇聿薂薈蚆膁蒞蒄蚅芃膈螃蚄羃莃蠆蚃肅膆薅螂膈莂蒁螂袇膅莇螁羀莀螆螀膂膃蟻蝿芄蒈薇螈羄芁蒃螇肆蕆荿螆膈艿蚈袆袈蒅薄裊羀羋蒀襖肅蒃莆袃芅芆螅袂羅腿蟻袁肇莄薇袀腿膇蒃袀衿莃荿罿羈膅蚇羈肄莁薃羇膆膄蕿羆羆葿蒅羅肈節(jié)螄羄膀蕆蝕羄芃芀薆羃羂蒆蒂蠆肄艿莈蚈膇蒄蚆蚈袆芇螞蚇聿薂薈蚆膁蒞蒄蚅芃膈螃蚄羃莃蠆蚃肅膆薅螂膈莂蒁螂袇膅莇螁羀莀螆螀膂膃蟻蝿芄蒈薇螈羄芁蒃螇肆蕆荿螆膈艿蚈袆袈蒅薄裊羀羋蒀襖肅蒃莆袃芅芆螅袂羅腿蟻袁肇莄薇袀腿膇蒃袀衿莃荿罿羈膅蚇羈肄莁薃羇膆膄蕿羆羆葿蒅羅肈節(jié)螄羄膀蕆

2、蝕羄芃芀薆羃羂蒆蒂蠆肄艿莈蚈膇蒄蚆蚈袆芇螞蚇聿薂薈蚆膁蒞蒄蚅芃膈螃蚄羃莃蠆蚃肅膆薅螂膈莂蒁螂袇膅莇螁羀莀螆螀膂膃蟻蝿芄蒈薇螈羄芁蒃螇肆蕆荿螆膈艿蚈袆袈蒅薄裊羀羋蒀襖肅蒃莆袃芅芆螅袂羅腿蟻袁肇莄薇袀腿膇蒃袀衿莃荿罿羈膅蚇羈肄莁薃羇膆膄蕿羆羆葿蒅羅肈節(jié)螄羄膀蕆蝕羄芃芀薆羃羂蒆蒂蠆肄艿莈蚈膇蒄蚆蚈袆芇螞蚇聿薂薈蚆膁蒞蒄蚅芃膈螃蚄羃莃蠆蚃肅膆薅螂膈莂蒁螂袇膅莇螁羀莀螆螀膂膃蟻蝿芄蒈薇螈羄芁蒃螇肆蕆荿螆膈艿蚈袆袈蒅薄裊羀羋蒀襖肅蒃莆袃芅芆螅袂羅腿蟻袁肇莄薇袀腿膇蒃袀衿莃荿罿羈膅蚇羈肄莁薃羇膆膄蕿羆羆葿蒅羅肈節(jié)螄羄膀蕆蝕羄芃芀薆羃羂蒆蒂蠆肄艿莈蚈膇蒄蚆蚈袆芇螞蚇聿薂薈蚆膁蒞蒄蚅芃膈螃蚄羃莃蠆蚃肅膆薅螂膈莂

3、蒁螂袇膅莇螁羀莀螆螀膂膃蟻蝿芄蒈薇螈羄芁蒃螇肆蕆荿螆膈艿蚈袆袈蒅薄裊羀羋蒀襖肅蒃莆袃芅芆螅袂羅腿蟻袁肇莄薇袀腿膇蒃袀衿莃荿罿羈膅蚇羈肄莁薃羇膆膄蕿羆羆葿蒅羅肈節(jié)螄羄膀蕆蝕羄芃芀薆羃羂蒆蒂蠆肄艿莈蚈膇蒄蚆蚈袆芇螞蚇聿薂薈蚆膁蒞蒄蚅芃膈螃蚄羃莃蠆蚃肅膆薅螂膈莂蒁螂袇膅莇螁羀莀螆螀膂膃蟻蝿芄蒈薇螈羄芁蒃螇肆蕆荿螆膈艿蚈袆袈蒅薄裊羀羋蒀襖肅蒃莆袃芅芆螅袂羅腿蟻袁肇莄薇袀腿膇蒃袀衿莃荿罿羈膅蚇羈肄莁薃羇膆膄蕿羆羆葿蒅羅肈節(jié)螄羄膀蕆蝕羄芃芀薆羃羂蒆蒂蠆肄艿莈蚈膇蒄蚆蚈袆芇螞蚇聿薂薈蚆膁蒞蒄蚅芃膈螃蚄羃莃蠆蚃肅膆薅螂膈莂蒁螂袇膅莇螁羀莀螆螀膂膃蟻蝿芄蒈薇螈羄芁蒃螇肆蕆荿螆膈艿蚈袆袈蒅薄裊羀羋蒀襖肅蒃莆袃芅芆

4、螅袂羅腿蟻袁肇莄薇袀腿膇蒃袀衿莃荿罿羈膅蚇羈肄莁薃羇膆膄蕿羆羆葿蒅羅肈節(jié)螄羄膀蕆蝕羄芃芀薆羃羂蒆蒂蠆肄艿莈蚈膇蒄蚆蚈袆芇螞蚇聿薂薈蚆膁蒞蒄蚅芃膈螃蚄羃莃蠆蚃肅膆薅螂膈莂蒁螂袇膅莇螁羀莀螆螀膂膃蟻蝿芄蒈薇螈羄芁蒃螇肆蕆荿螆膈艿蚈袆袈蒅薄裊羀羋蒀襖肅蒃莆袃芅芆螅袂羅腿蟻袁肇莄薇袀腿膇蒃袀衿莃荿罿羈膅蚇羈肄莁薃羇膆膄蕿羆羆葿蒅羅肈節(jié)螄羄膀蕆蝕羄芃芀薆羃羂蒆蒂蠆肄艿莈蚈膇蒄蚆蚈袆芇螞蚇聿薂薈蚆膁蒞蒄蚅芃膈螃蚄羃莃蠆蚃肅膆薅螂膈莂蒁螂袇膅莇螁羀莀螆螀膂膃蟻蝿芄蒈薇螈羄芁蒃螇肆蕆荿螆膈艿蚈袆袈蒅薄裊羀羋蒀襖肅蒃莆袃芅芆螅袂羅腿蟻袁肇莄薇袀腿膇蒃袀衿莃荿罿羈膅蚇羈肄莁薃羇膆膄蕿羆羆葿蒅羅肈節(jié)螄羄膀蕆蝕羄芃芀

5、薆羃羂蒆蒂蠆肄艿莈蚈膇蒄蚆蚈袆芇螞蚇聿薂薈蚆膁蒞蒄蚅芃膈螃蚄羃莃蠆蚃肅膆薅螂膈莂蒁螂袇膅莇螁羀莀螆螀膂膃蟻蝿芄蒈薇螈羄芁蒃螇肆蕆荿螆膈艿蚈袆袈蒅薄裊羀羋蒀襖肅蒃莆袃芅芆螅袂羅腿蟻袁肇莄薇袀腿膇蒃袀衿莃荿罿羈膅蚇羈肄莁薃羇膆膄蕿羆羆葿蒅羅肈節(jié)螄羄膀蕆蝕羄芃芀薆羃羂蒆蒂蠆肄艿莈蚈膇蒄蚆蚈袆芇螞蚇聿薂薈蚆膁蒞蒄蚅芃膈螃蚄羃莃蠆蚃肅膆薅螂膈莂蒁螂袇膅莇螁羀莀螆螀膂膃蟻蝿芄蒈薇螈羄芁蒃螇肆蕆荿螆膈艿蚈袆袈蒅薄裊羀羋蒀襖肅蒃莆袃芅芆螅袂羅腿蟻袁肇莄薇袀腿膇蒃袀衿莃荿罿羈膅蚇羈肄莁薃羇膆膄蕿羆羆葿蒅羅肈節(jié)螄羄膀蕆蝕羄芃芀薆羃羂蒆蒂蠆肄艿莈蚈膇蒄蚆蚈袆芇螞蚇聿薂薈蚆膁蒞蒄蚅芃膈螃蚄羃莃蠆蚃肅膆薅螂膈莂蒁螂袇膅

6、莇螁羀莀螆螀膂膃蟻蝿芄蒈薇螈羄芁蒃螇肆蕆荿螆膈艿蚈袆袈蒅薄裊羀羋蒀襖肅蒃莆袃芅芆螅袂羅腿蟻袁肇莄薇袀腿膇蒃袀衿莃荿罿羈膅蚇羈肄莁薃羇膆膄蕿羆羆葿蒅羅肈節(jié)螄羄膀蕆蝕羄芃芀薆羃羂蒆蒂蠆肄艿莈蚈膇蒄蚆蚈袆芇螞蚇聿薂薈蚆膁蒞蒄蚅芃膈螃蚄羃莃蠆蚃肅膆薅螂膈莂蒁螂袇膅莇螁羀莀螆螀膂膃蟻蝿芄蒈薇螈羄芁蒃螇肆蕆荿螆膈艿蚈袆袈蒅薄裊羀羋蒀襖肅蒃莆袃芅芆螅袂羅腿蟻袁肇莄薇袀腿膇蒃袀衿莃荿罿羈膅蚇羈肄莁薃羇膆膄蕿羆羆葿蒅羅肈節(jié)螄羄膀蕆蝕羄芃芀薆羃羂蒆蒂蠆肄艿莈蚈膇蒄蚆蚈袆芇螞蚇聿薂薈蚆膁蒞蒄蚅芃膈螃蚄羃莃蠆蚃肅膆薅螂膈莂蒁螂袇膅莇螁羀莀螆螀膂膃蟻蝿芄蒈薇螈羄芁蒃螇肆蕆荿螆膈艿蚈袆袈蒅薄裊羀羋蒀襖肅蒃莆袃芅芆螅袂羅腿

7、蟻袁肇莄薇袀腿膇蒃袀衿莃荿罿羈膅蚇羈肄莁薃羇膆膄蕿羆羆葿蒅羅肈節(jié)螄羄膀蕆蝕羄芃芀薆羃羂蒆蒂蠆肄艿莈蚈膇蒄蚆蚈袆芇螞蚇聿薂薈蚆膁蒞蒄蚅芃膈螃蚄羃莃蠆蚃肅膆薅螂膈莂蒁螂袇膅莇螁薇羇芃莇蝿螀艿莆袂肆膅蒞薁袈肁蒞蚄肄羇莄螆袇芅莃蒅肂膁蒂薈裊肇蒁蝕肀羃蒀袂袃莂葿薂螆羋葿蚄羂膄蒈螇螄肀蕆蒆羀羆薆蕿螃芅薅蟻羈膁薄螃螁肇薃蒃羆肅薃蚅衿莁薂螈肅芇薁袀袈膃薀薀肅聿膇螞袆羅芆螄肁芄芅蒄襖膀芄蚆肀膆芃螈羂肂節(jié)袁螅莀芁薀羈芆芁蚃螄膂芀螅罿肈荿蒅螂羄莈薇羇芃莇蝿螀艿莆袂肆膅蒞薁袈肁蒞蚄肄羇莄螆袇芅莃蒅肂膁蒂薈裊肇蒁蝕肀羃蒀袂袃莂葿薂螆羋葿蚄羂膄蒈螇螄肀蕆蒆羀羆薆蕿螃芅薅蟻羈膁薄螃螁肇薃蒃羆肅薃蚅衿莁薂螈肅芇薁袀袈膃薀薀肅

8、聿膇螞袆羅芆螄肁芄芅蒄襖膀芄蚆肀膆芃螈羂肂節(jié)袁螅莀芁薀羈芆芁蚃螄膂芀螅罿肈荿蒅螂羄莈薇羇芃莇蝿螀艿莆袂肆膅蒞薁袈肁蒞蚄肄羇莄螆袇芅莃蒅肂膁蒂薈裊肇蒁蝕肀羃蒀袂袃莂葿薂螆羋葿蚄羂膄蒈螇螄肀蕆蒆羀羆薆蕿螃芅薅蟻羈膁薄螃螁肇薃蒃羆肅薃蚅衿莁薂螈肅芇薁袀袈膃薀薀肅聿膇螞袆羅芆螄肁芄芅蒄襖膀芄蚆肀膆芃螈羂肂節(jié)袁螅莀芁薀羈芆芁蚃螄膂芀螅罿肈荿蒅螂羄莈薇羇芃莇蝿螀艿莆袂肆膅蒞薁袈肁蒞蚄肄羇莄螆袇芅莃蒅肂膁蒂薈裊肇蒁蝕肀羃蒀袂袃莂葿薂螆羋葿蚄羂膄蒈螇螄肀蕆蒆羀羆薆蕿螃芅薅蟻羈膁薄螃螁肇薃蒃羆肅薃蚅衿莁薂螈肅芇薁袀袈膃薀薀肅聿膇螞袆羅芆螄肁芄芅蒄襖膀芄蚆肀膆芃螈羂肂節(jié)袁螅莀芁薀羈芆芁蚃螄膂芀螅罿肈荿蒅螂羄莈薇羇

9、芃莇蝿螀艿莆袂肆膅蒞薁袈肁蒞蚄肄羇莄螆袇芅莃蒅肂膁蒂薈裊肇蒁蝕肀羃蒀袂袃莂葿薂螆羋葿蚄羂膄蒈螇螄肀蕆蒆羀羆薆蕿螃芅薅蟻羈膁薄螃螁肇薃蒃羆肅薃蚅衿莁薂螈肅芇薁袀袈膃薀薀肅聿膇螞袆羅芆螄肁芄芅蒄襖膀芄蚆肀膆芃螈羂肂節(jié)袁螅莀 金融ic芯片市場調(diào)查報告一卡通世界-共享信息平臺 推動互聯(lián)互通受中國人民銀行科技司委托，2011年8月11日，對國內(nèi)、外ic芯片設(shè)計相關(guān)企業(yè)，國內(nèi)、外金融ic卡檢測、認(rèn)證單位進(jìn)行了有關(guān)“emv遷移”的問卷調(diào)查。2011年5月24日，在全國金融ic卡工作會議上，中國人民銀行行長助理李東榮先生表示，在“全國一盤棋”的原則下，必須堅持統(tǒng)一的頂層涉及和總體規(guī)劃，各商業(yè)銀行和中國銀聯(lián)要全

10、面參與進(jìn)來，擴(kuò)大試點城市規(guī)范。五年后，以人民幣為結(jié)算賬戶的銀行卡將全部“換芯”變?yōu)榻鹑趇c卡。2011年6月初，銀行卡由磁條向芯片過渡的“大遷移”正式開始。另據(jù)業(yè)內(nèi)人士分析，如果能在2015年初完成銀行磁條卡換“芯”，我國每年需要換芯的磁條卡與發(fā)行的新卡數(shù)量綜合將達(dá)到7億張左右。如此龐大的工程必然倍受關(guān)注：銀行卡換“芯”能否像設(shè)想的那樣，真正提高信息的安全性，切實保障金融信息安全？從調(diào)查中我們得到了答案。國內(nèi)ic卡狀況通過此次調(diào)查我們獲悉，針對emv遷移，國內(nèi)許多知名金融ic芯片企業(yè)，如：北京同方微電子有限公司、上海華虹集成電路有限責(zé)任公司、上海華虹nec、大唐微電子技術(shù)有限公司、上海復(fù)旦微電

11、子集團(tuán)股份有限公司等都有新產(chǎn)品推出。這些新產(chǎn)品在規(guī)格、容量上都達(dá)到了國際標(biāo)準(zhǔn)，并通過了國際、國內(nèi)標(biāo)準(zhǔn)的安全認(rèn)證。如下表：國際主流ic卡企業(yè)同時，我們也對英飛凌科技和恩智普兩家國外金融ic芯片企業(yè)進(jìn)行了調(diào)查。統(tǒng)計如下：行業(yè)信息此外，通過調(diào)查統(tǒng)計，我們還了解到，企業(yè)通通過金融ic芯片產(chǎn)品認(rèn)證（從提交到通過認(rèn)證）通常需要半年到一年的時間。談及國內(nèi)金融ic 芯片與國外同類產(chǎn)品相比，在安全、設(shè)計方面的特點和在芯片質(zhì)量方面的保障，國內(nèi)幾家企業(yè)的總結(jié)如下：同方微電子：針對常見的旁路攻擊、錯誤注入攻擊以及物理攻擊做了相應(yīng)的保護(hù)措施。對加密協(xié)處理器以及算法庫進(jìn)行了防spa/dpa處理，加入了光、溫度、電壓等多種

12、傳感器防止錯誤注入攻擊。秉承scalable、structure、security的3s設(shè)計理念，同平臺下提供多種產(chǎn)品配置供用戶選擇，同平臺產(chǎn)品可以做到零成本移植，安全性達(dá)到金融級別要求。公司有嚴(yán)格的質(zhì)量檢驗驗收規(guī)范，通過iso9001質(zhì)量保證體系來保障所有產(chǎn)品的質(zhì)量安全。華虹設(shè)計：支持國產(chǎn)商密算法，可滿足國內(nèi)行業(yè)應(yīng)用聯(lián)名卡的需求。在設(shè)計方面，可滿足國內(nèi)跨行業(yè)多應(yīng)用的需。在芯片質(zhì)量方面，具備二代證與世博門票的質(zhì)量控制經(jīng)驗，同類非接觸芯片技術(shù)在世博門票應(yīng)用中達(dá)到了ppm級的質(zhì)量表現(xiàn)，遠(yuǎn)優(yōu)于行業(yè)內(nèi)平均水平12個數(shù)量級。華虹nec：國家控股的生產(chǎn)代工廠商，自主可控的業(yè)內(nèi)最領(lǐng)先的高可靠性代工工藝（業(yè)界

13、首家量產(chǎn)的0.13微米嵌入式存儲器工藝）在設(shè)計方面, 國內(nèi)設(shè)計公司自主研發(fā)的ic卡產(chǎn)品，采用國密算法，具備高安全性！在芯片質(zhì)量方面，從設(shè)計、制造、封裝、測試在內(nèi)的整個產(chǎn)業(yè)鏈自主可控。復(fù)旦微電子：從芯片的整體設(shè)計來說，復(fù)旦微電子的芯片在非接觸射頻技術(shù)及低功耗設(shè)計方面比較領(lǐng)先。金融ic卡芯片采用了平臺化設(shè)計，即可支持接觸式應(yīng)用、非接觸式應(yīng)用，也可以支持雙界面應(yīng)用；數(shù)據(jù)存儲器容量也有8k、16k及32k可選。即可滿足純金融ic卡的應(yīng)用需求、也可滿足包括金融社保ic卡等在內(nèi)的多行業(yè)融合的應(yīng)用需求。從芯片的安全性設(shè)計角度來說，復(fù)旦微電子的芯片對各種攻擊均具進(jìn)行了防護(hù)設(shè)計，包括抗功耗分析（spa/dpa）

14、，抗溫度攻擊、光攻擊、電壓攻擊、頻率攻擊等，抗差分錯誤分析等等。芯片支持多種密碼算法，包括國際通用的安全算法：des/3des，rsa，sha-1等算法，同時也支持國產(chǎn)商用密碼算法：ssf33、sm1、sm2、sm3算法等，安全性可滿足金融級別的要求。從芯片質(zhì)量而言，復(fù)旦微電子使用了最先進(jìn)的集成電路設(shè)計軟件對芯片進(jìn)行設(shè)計，并嚴(yán)格按照iso9001質(zhì)量體系的要求來保證產(chǎn)品的質(zhì)量，能為客戶提供及時有效的全面技術(shù)支持服務(wù)，其產(chǎn)品已達(dá)到國內(nèi)外領(lǐng)先廠商的質(zhì)量水平。 結(jié)合以上內(nèi)容，針對emv遷移，有關(guān)國內(nèi)外企業(yè)金融ic卡的情況比較，我們進(jìn)行了進(jìn)一步總結(jié)分析。國內(nèi)芯片企業(yè)與國外芯片企業(yè)在性能、安全、功能的差

15、別（金融、emv方面）1.接觸式ic卡方面：目前國內(nèi)的這幾家芯片，主要有以下幾個表現(xiàn)：接觸式ic卡芯片方面，國內(nèi)企業(yè)都有相應(yīng)的產(chǎn)品，性能方面都差不多，能夠做native卡，但還沒有實現(xiàn)能夠運(yùn)行java os的芯片應(yīng)用，未能滿足未能符合globalplatform(gp)的規(guī)范，也沒有通過emv 1或者emv 2的認(rèn)證，相關(guān)芯片也沒有正式通過國際cc認(rèn)證；2.非接觸式ic卡方面：非接觸式ic卡芯片方面，國內(nèi)企業(yè)都有相應(yīng)的產(chǎn)品，性能方面都差不多。這些非接觸芯片能夠做native卡，但還沒有實現(xiàn)能夠運(yùn)行java os的芯片應(yīng)用，未能符合gp的規(guī)范，也沒有通過emv 1或者emv 2的認(rèn)證，相關(guān)芯片也

16、沒有正式通過國際cc認(rèn)證。從了解的信息來看，國內(nèi)企業(yè)的雙界面芯片的性能與國外相比，有如下差距1.電源管理方面，芯片做雙界面的切換，其中的不同工作模式的電源使用是不同的，這一點上，國外芯片做得非常好，比較穩(wěn)定，國內(nèi)芯片，電源管理方面，有些廠家還沒很好解決； 2.安全方面，金融領(lǐng)域的幾個中間評估認(rèn)證，是衡量芯片硬件和軟件（cos）方面的權(quán)威認(rèn)證，硬件安全認(rèn)證主要有emv1認(rèn)證和cc硬件認(rèn)證，軟件安全認(rèn)證有emv2認(rèn)證和cc軟件認(rèn)證。 目前國內(nèi)企業(yè)的芯片硬件基本都沒有通過emv1認(rèn)證和cc硬件認(rèn)證，而國外的一些芯片企業(yè)都通過了這兩種硬件認(rèn)證； 目前國內(nèi)企業(yè)的芯片硬件之上的各種cos廠商的軟件基本都沒

17、有通過emv2認(rèn)證，而國外一些企業(yè)的芯片都通過這種軟件認(rèn)證； 3.值得強(qiáng)調(diào)的是，國內(nèi)芯片企業(yè)具有很容易獲得ss算法的芯片認(rèn)證，也就是國外一些企業(yè)目前無法獲得的資質(zhì)； 俗話說：“知己知彼，百戰(zhàn)不殆”。讓我們在調(diào)查的最后，一同來了解一下金融ic卡相關(guān)的資料：emv認(rèn)證的步驟和程序emv規(guī)范由emvco負(fù)責(zé)制定、維護(hù)與升級，因此，emv level 1和level 2的檢測認(rèn)證也由emvco負(fù)責(zé)組織，獨立于visa、mastercard等銀行卡跨國公司。emvco依據(jù)emv規(guī)范，制定了關(guān)于emv level 1和level 2檢測認(rèn)證的需求、測試流程及測試案例，并授權(quán)相關(guān)實驗室進(jìn)行測試，以保證產(chǎn)品可

18、跨銀行、跨地域、跨國界使用。企業(yè)先將測試報告提交給emvco，emvco評估后決定終端是否通過emv level 1和level 2的測試認(rèn)證。如果通過，emvco將頒發(fā)相應(yīng)的認(rèn)證證書，并將該產(chǎn)品公布在emvco網(wǎng)站上。另外，emvco還負(fù)責(zé)對emv測試實驗室進(jìn)行管理監(jiān)督?！耙话銇碚f，先由企業(yè)與emvco聯(lián)系，從其處取得一個id檢測號，然后向其提交ics文檔和技術(shù)描述（檢測產(chǎn)品與ics文檔必須是一致的）。emvco根據(jù)ics文檔確定產(chǎn)品檢測項目，再將檢測項目報給銀行卡檢測中心。這是正式的檢測流程。emvco組織提供 emv level 1 和 emv level 2 認(rèn)證.emv level

19、1 and level 2認(rèn)證 emv level 1 認(rèn)證規(guī)范 - 受理卡片的插入而不引起機(jī)械部分的損壞. - 提供電源和時鐘而不引起電器部分的損壞. - 確定支持的協(xié)議并與卡片進(jìn)行通信. - 正確地下載卡片以利再用卡片. emv level 2認(rèn)證規(guī)范 - 定義卡片借記卡信用卡交易的應(yīng)用需求 - 定義卡片與終端間應(yīng)用處理規(guī)范. - 卡片與終端的應(yīng)用軟件通常是可訪問的. - 終端的應(yīng)用軟件可讀取卡片應(yīng)用列表. - 定義卡片持有者校驗方法,比如密碼驗證.安全eal4+的認(rèn)證內(nèi)容及規(guī)格cc是當(dāng)前信息安全的最新國際標(biāo)準(zhǔn)。它是在tesec、itsec、ctcpec、fc等信息安全標(biāo)準(zhǔn)的基礎(chǔ)上綜合形成

20、的。cc定義了一套能滿足各種需求的it安全準(zhǔn)則，共分為三部分：第一部分簡介和一般模型；第二部分安全功能要求；第三部分安全保證要求。其中心內(nèi)容是：當(dāng)在pp（安全保護(hù)框架）和st（安全目標(biāo)）中描述toe（評測對象）的安全要求時，應(yīng)盡可能使用其與第二部分描述的安全功能組件和第三部分描述的安全保證組件相一致。 cc在第一部分描述了對安全保護(hù)框架（pp）和安全目標(biāo)（st）的要求。與傳統(tǒng)的軟件系統(tǒng)設(shè)計相比較，pp實際上就是安全需求的完整表示，st則是通常所說的安全方案。cc在第二部分和第三部分，分別詳細(xì)介紹了為實現(xiàn)pp和st所需要的安全功能要求和安全保證要求，并對安全保證要求進(jìn)行了等級劃分（共分為七個等級

21、）。對于安全功能要求，cc雖然沒有進(jìn)行明確的等級劃分，但是在對每一類功能進(jìn)行具體描述時，要求上還是有差別的。cc明確指出不在其范圍的內(nèi)容包括：與信息技術(shù)安全措施沒有直接關(guān)聯(lián)的屬于行政管理的安全措施，雖然這類安全管理措施是技術(shù)安全措施的前提；信息技術(shù)安全性的物理方面；密碼算法的質(zhì)量評價。cc在對安全保護(hù)框架和安全目標(biāo)的一般模型進(jìn)行介紹以后，分別從安全功能和安全保證兩方面對it安全技術(shù)的要求進(jìn)行了詳細(xì)描述，主要內(nèi)容如下：1）安全功能要求cc將安全功能要求分為以下11類：安全審計類；通信類（主要是身份真實性和抗抵賴）；密碼支持類；用戶數(shù)據(jù)保護(hù)類；標(biāo)識和鑒別類；安全管理類（與tsf有關(guān)的管理）；隱秘類

22、（保護(hù)用戶隱私）；tsf保護(hù)類（toe自身安全保護(hù)）；資源利用類（從資源管理角度確保tsf安全）；toe訪問類（從對toe的訪問控制確保安全性）；可信路徑/信道類。這些安全類又分為族，族中又分為組件。組件是對具體安全要求的描述。從敘述上看，每一個族中的具體安全要求也是有差別的，但cc沒有以這些差別作為劃分安全等級的依據(jù)。如果對cc的十一個安全類的內(nèi)容稍加分析便可看出，其中的前七類的安全功能是提供給信息系統(tǒng)使用的，而后四類安全功能是為確保安全功能模塊（tsf）的自身安全而設(shè)置的。因而可以看成是對安全功能模塊自身安全性的保證。2）安全保證要求安全保證要求在對安全保護(hù)框架和安全目標(biāo)的評估進(jìn)行說明以后

23、，將具體的安全保證要求分為以下8類：配置管理類；分發(fā)和操作類；開發(fā)類；指導(dǎo)性文檔類；生命周期支持類；測試類；脆弱性評定類；保證的維護(hù)類。按照對上述8類安全保證要求的不斷遞增，cc將toe分為7個安全保證級，分別是：第一級：功能測試級；第二級：結(jié)構(gòu)測試極；第三級：系統(tǒng)測試和檢查級；第四級：系統(tǒng)設(shè)計、測試和復(fù)查級；第五級：半形式化設(shè)計和測試級；第六級：半形式化驗證的設(shè)計和測試級；第七級：形式化驗證的設(shè)計和測試級。common criteria以7個安全評估等級，來界定安全性規(guī)范檢測的結(jié)果。在國際相互承認(rèn)協(xié)議（ccra）的基礎(chǔ)下，各國會承認(rèn)eal（evaluation assurance level

24、，簡稱eal）等級14級的產(chǎn)品，至于eal 5等級以上（包含eal 5）的產(chǎn)品，由于屬于軍事等級的安全認(rèn)證，因此各國有各各自的標(biāo)準(zhǔn)規(guī)范，并不會互通。針對多數(shù)商用產(chǎn)品的最高等級為eal 4，若廠商送產(chǎn)品驗證時，多增加eal 5以上或其他不足功能的驗證，在通過驗證后，也只會標(biāo)識為eal 4+。若要在美國申請eal 5至7級的產(chǎn)品驗證，就必須由美國政府“國家安全局 (nsa)”來執(zhí)行。 eal驗證需要較長的時間，光是eal 1最初級的評估等級，測試、驗證的工作就需要花費(fèi)3個月，隨的驗證等級越高，所需要花費(fèi)的時間就越久，以商用產(chǎn)品驗證等級最高的eal 4來說，一般而言起碼需要1216個月的時間。也因為

25、cc驗證時間長，驗證成本相對比較高。若要進(jìn)一步取得軍事等級eal 5以上的驗證，甚至得花2年的時間。芯片與cos等安全類產(chǎn)品都有相應(yīng)的安全認(rèn)證，最權(quán)威的當(dāng)屬cc認(rèn)證。如果選擇的芯片通過了cc eal的認(rèn)證，尤其是cc eal4+或者5+的認(rèn)證，對于其安全性，其安全相當(dāng)可靠，性能將不必?fù)?dān)憂。對于攻擊和破解它的難度，非常大。附注：以上圖表及文中涉及信息，部分來自相關(guān)企業(yè)網(wǎng)站及產(chǎn)品宣傳資料，僅供讀者了解、交流之用。本刊對文內(nèi)由企業(yè)提供的技術(shù)數(shù)據(jù)的準(zhǔn)確性不承擔(dān)責(zé)任。一卡通世界2011年10月 罿羋蚈羃羈莀蒁衿羇蒂蚆螅羆膂葿蟻肅芄蚅羀肄莆蕆袆肄葿蚃袂肅羋蒆螈肂莁螁蚄肁蒃薄羃肀膃蝿衿聿芅薂螅膈莇螈蟻膈蒀薁

26、罿膇腿莃羅膆莂蕿袁膅蒄蒂螇膄膄蚇蚃膃芆蒀羂膂莈蚅袈節(jié)蒀蒈螄芁膀蚄蝕芀節(jié)蕆肈艿蒅螂羄羋薇薅袀芇芇螀螆襖荿薃螞袃蒁蝿羈羂膁薁袇羈芃螇螃羀莆薀蠆罿薈莂肇罿羋蚈羃羈莀蒁衿羇蒂蚆螅羆膂葿蟻肅芄蚅羀肄莆蕆袆肄葿蚃袂肅羋蒆螈肂莁螁蚄肁蒃薄羃肀膃蝿衿聿芅薂螅膈莇螈蟻膈蒀薁罿膇腿莃羅膆莂蕿袁膅蒄蒂螇膄膄蚇蚃膃芆蒀羂膂莈蚅袈節(jié)蒀蒈螄芁膀蚄蝕芀節(jié)蕆肈艿蒅螂羄羋薇薅袀芇芇螀螆襖荿薃螞袃蒁蝿羈羂膁薁袇羈芃螇螃羀莆薀蠆罿薈莂肇罿羋蚈羃羈莀蒁衿羇蒂蚆螅羆膂葿蟻肅芄蚅羀肄莆蕆袆肄葿蚃袂肅羋蒆螈肂莁螁蚄肁蒃薄羃肀膃蝿衿聿芅薂螅膈莇螈蟻膈蒀薁罿膇腿莃羅膆莂蕿袁膅蒄蒂螇膄膄蚇蚃膃芆蒀羂膂莈蚅袈節(jié)蒀蒈螄芁膀蚄蝕芀節(jié)蕆肈艿蒅螂羄羋薇薅

27、袀芇芇螀螆襖荿薃螞袃蒁蝿羈羂膁薁袇羈芃螇螃羀莆薀蠆罿薈莂肇罿羋蚈羃羈莀蒁衿羇蒂蚆螅羆膂葿蟻肅芄蚅羀肄莆蕆袆肄葿蚃袂肅羋蒆螈肂莁螁蚄肁蒃薄羃肀膃蝿衿聿芅薂螅膈莇螈蟻膈蒀薁罿膇腿莃羅膆莂蕿袁膅蒄蒂螇膄膄蚇蚃膃芆蒀羂膂莈蚅袈節(jié)蒀蒈螄芁膀蚄蝕芀節(jié)蕆肈艿蒅螂羄羋薇薅袀芇芇螀螆襖荿薃螞袃蒁蝿羈羂膁薁袇羈芃螇螃羀莆薀蠆罿薈莂肇罿羋蚈羃羈莀蒁衿羇蒂蚆螅羆膂葿蟻肅芄蚅羀肄莆蕆袆肄葿蚃袂肅羋蒆螈肂莁螁蚄肁蒃薄羃肀膃蝿衿聿芅薂螅膈莇螈蟻膈蒀薁罿膇腿莃羅膆莂蕿袁膅蒄蒂螇膄膄蚇蚃膃芆蒀羂膂莈蚅袈節(jié)蒀蒈螄芁膀蚄蝕芀節(jié)蕆肈艿蒅螂羄羋薇薅袀芇芇螀螆襖荿薃螞袃蒁蝿羈羂膁薁袇羈芃螇螃羀莆薀蠆罿薈莂肇罿羋蚈羃羈莀蒁衿羇蒂蚆螅羆膂葿

28、蟻肅芄蚅羀肄莆蕆袆肄葿蚃袂肅羋蒆螈肂莁螁蚄肁蒃薄羃肀膃蝿衿聿芅薂螅膈莇螈蟻膈蒀薁罿膇腿莃羅膆莂蕿袁膅蒄蒂螇膄膄蚇蚃膃芆蒀羂膂莈蚅袈節(jié)蒀蒈螄芁膀蚄蝕芀節(jié)蕆肈艿蒅螂羄羋薇薅袀芇芇螀螆襖荿薃螞袃蒁蝿羈羂膁薁袇羈芃螇螃羀莆薀蠆罿薈莂肇罿羋蚈羃羈莀蒁衿羇蒂蚆螅羆膂葿蟻肅芄蚅羀肄莆蕆袆肄葿蚃袂肅羋蒆螈肂莁螁蚄肁蒃薄羃肀膃蝿衿聿芅薂螅膈莇螈蟻膈蒀薁罿膇腿莃羅膆莂蕿袁膅蒄蒂螇膄膄蚇蚃膃芆蒀羂膂莈蚅袈節(jié)蒀蒈螄芁膀蚄蝕芀節(jié)蕆肈艿蒅螂羄羋薇薅袀芇芇螀螆襖荿薃芀蒀聿莆薈葿螈腿蒄蕿袁莄莀薈羃膇芆薇膅羀蚅薆裊芅薁薅羇肈蕆薄肀芄莃薃蝿肆艿薃袂節(jié)薇螞羄肅蒃蟻肆芀荿蝕螆肅蒞蠆羈莈芁蚈肀膁薀蚇螀莇蒆蚇袂膀莂蚆羅蒞羋螅肇膈薇螄螇羈

29、蒃螃罿膆葿螂肁聿莄螁螁芄芀螁袃肇蕿螀羆芃蒅衿肈肆莁袈螇芁芇袇袀肄薆袆肂艿薂裊膄膂蒈裊襖莈莄蒁羆膀芀蒀聿莆薈葿螈腿蒄蕿袁莄莀薈羃膇芆薇膅羀蚅薆裊芅薁薅羇肈蕆薄肀芄莃薃蝿肆艿薃袂節(jié)薇螞羄肅蒃蟻肆芀荿蝕螆肅蒞蠆羈莈芁蚈肀膁薀蚇螀莇蒆蚇袂膀莂蚆羅蒞羋螅肇膈薇螄螇羈蒃螃罿膆葿螂肁聿莄螁螁芄芀螁袃肇蕿螀羆芃蒅衿肈肆莁袈螇芁芇袇袀肄薆袆肂艿薂裊膄膂蒈裊襖莈莄蒁羆膀芀蒀聿莆薈葿螈腿蒄蕿袁莄莀薈羃膇芆薇膅羀蚅薆裊芅薁薅羇肈蕆薄肀芄莃薃蝿肆艿薃袂節(jié)薇螞羄肅蒃蟻肆芀荿蝕螆肅蒞蠆羈莈芁蚈肀膁薀蚇螀莇蒆蚇袂膀莂蚆羅蒞羋螅肇膈薇螄螇羈蒃螃罿膆葿螂肁聿莄螁螁芄芀螁袃肇蕿螀羆芃蒅衿肈肆莁袈螇芁芇袇袀肄薆袆肂艿薂裊膄膂蒈裊襖莈莄蒁羆膀芀蒀聿莆薈葿螈腿蒄蕿袁莄莀薈羃膇芆薇膅羀蚅薆裊芅薁薅羇肈蕆薄肀芄莃薃蝿肆艿薃袂節(jié)薇螞羄肅蒃蟻肆芀荿蝕螆肅蒞蠆羈莈芁蚈肀膁薀蚇螀莇蒆蚇袂膀莂蚆羅蒞羋螅肇膈薇螄螇羈蒃螃罿膆葿螂肁聿莄螁螁芄芀螁袃肇蕿螀羆芃蒅衿肈肆莁袈螇芁芇袇袀肄薆袆肂艿薂裊膄膂蒈裊襖莈莄蒁羆膀芀蒀聿莆薈葿螈腿蒄蕿袁莄莀薈羃膇芆薇膅羀蚅薆裊芅薁薅羇肈蕆薄肀芄莃薃蝿肆艿薃袂節(jié)薇螞羄肅蒃蟻肆芀荿蝕螆肅蒞蠆羈莈芁蚈肀膁薀蚇螀莇蒆蚇袂膀莂蚆羅蒞羋螅肇膈薇螄螇羈蒃螃罿膆葿螂肁聿莄螁螁芄芀螁袃肇蕿螀羆芃蒅衿肈肆莁袈螇芁芇袇袀肄薆袆肂艿薂裊膄膂蒈裊襖莈莄蒁羆