Организация разграничения доступа к данным смарт-карты на уровне операционной системы
Категория » GPS/GSM/RFID системы » Смарт-карты
Очевидно, что все усилия по обеспечению физической защиты смарт-карты будут напрасны, если уязвима система разграничения доступа ОС. Разграничение доступа производится на уровне структур данных, которые регламентируются международным стандартом ISO 4. Основной единицей хранения информации является файл. Файл может быть бесструктурным массивом данных или состоять из записей. Записи бывают фиксированной или переменной длины. В зависимости от организации доступа к записям выделяют линейные и циклические файлы.
В циклических файлах каждая новая запись замещает наиболее старую, если пустого места больше нет. Это удобно для ведения автоматически обновляющихся списков данных по транзакциям. Базовые структуры данных могут быть расширены и специализированы. Так, на основе циклического файла записей фиксированной длины можно реализовать электронный кошелек. Электронный кошелек обычно содержит текущий баланс состояние счета и счетчик транзакций, позволяющий однозначно идентифицировать каждую транзакцию по номеру. Оба поля непосредственно недоступны для модификации и управляются ОС смарт-карты. Помимо последнего значения электронный кошелек содержит предысторию из нескольких транзакций, позволяющую отследить движение средств.
Файлы образуют иерархическую файловую систему, напоминающую файловые системы ОС универсальных ЭВМ. Каждая директория может рассматриваться как группа файлов, обладающих определенными общими свойствами, в первую очередь относящимися к системе разграничения доступа (СКУД). Так, для одной производственной компании, которая производит модернизированные металлические конструкции типа строительные вышки тура различных габаритов, внедренная нами СКУД для офисного здания компании позволила руководству иметь надежный и многофункциональный инструмент для обеспечения безопасности офиса. Для различных структур данных определены соответствующие виды доступа, например чтение и модификация записи для файловой структуры. Для каждого вида доступа определяются атрибуты доступа, то есть условия, при которых доступ данного вида возможен.
Обычно выделяют четыре атрибута доступа:
1. Проверка наличия санкции владельца карты, производимая путем ввода владельцем пароля.
2. Аутентификация внешнего окружения той ответной части, которая взаимодействует с картой (центр авторизации, терминальное оборудование).
3. Требование шифрования передаваемых сообщений.
4. Требование снабжения передаваемых сообщений имито-вставкой.
Атрибуты доступа должны быть независимы друг от друга, то есть разным видам доступа могут назначаться различные наборы атрибутов и разные наборы ключей. В противном случае выбор эффективных протоколов обмена будет сильно ограничен или невозможен. Хорошим правилом считается использование общих атрибутов доступа и наборов ключей для целой директории, а также наследование их из объемлющей директории. Серьезная система разграничения доступа должна предусматривать спецификацию ключей, то есть четкое определение, как, при каких обстоятельствах и в каких целях тот или иной ключ может использоваться.
Специфицируются:
1. криптографический алгоритм;
2. операции допустимые с данным ключом;
3. порядок смены ключа;
4. условия блокирования/раз блокирования ключа и др.
Ключи, используемые для аутентификации владельца смарт-карты или внешнего окружения, обычно блокируются после заданного числа идущих подряд неверных предъявлении. Это особенно актуально для аутентификации владельца, поскольку обычно длина таких ключей не превышает 4-6 знаков и становится реальным полный перебор вариантов.
Должна предусматриваться диверсификация ключей с целью получения уникальных сессионных ключей для каждой транзакции.
В циклических файлах каждая новая запись замещает наиболее старую, если пустого места больше нет. Это удобно для ведения автоматически обновляющихся списков данных по транзакциям. Базовые структуры данных могут быть расширены и специализированы. Так, на основе циклического файла записей фиксированной длины можно реализовать электронный кошелек. Электронный кошелек обычно содержит текущий баланс состояние счета и счетчик транзакций, позволяющий однозначно идентифицировать каждую транзакцию по номеру. Оба поля непосредственно недоступны для модификации и управляются ОС смарт-карты. Помимо последнего значения электронный кошелек содержит предысторию из нескольких транзакций, позволяющую отследить движение средств.
Файлы образуют иерархическую файловую систему, напоминающую файловые системы ОС универсальных ЭВМ. Каждая директория может рассматриваться как группа файлов, обладающих определенными общими свойствами, в первую очередь относящимися к системе разграничения доступа (СКУД). Так, для одной производственной компании, которая производит модернизированные металлические конструкции типа строительные вышки тура различных габаритов, внедренная нами СКУД для офисного здания компании позволила руководству иметь надежный и многофункциональный инструмент для обеспечения безопасности офиса. Для различных структур данных определены соответствующие виды доступа, например чтение и модификация записи для файловой структуры. Для каждого вида доступа определяются атрибуты доступа, то есть условия, при которых доступ данного вида возможен.
Обычно выделяют четыре атрибута доступа:
1. Проверка наличия санкции владельца карты, производимая путем ввода владельцем пароля.
2. Аутентификация внешнего окружения той ответной части, которая взаимодействует с картой (центр авторизации, терминальное оборудование).
3. Требование шифрования передаваемых сообщений.
4. Требование снабжения передаваемых сообщений имито-вставкой.
Атрибуты доступа должны быть независимы друг от друга, то есть разным видам доступа могут назначаться различные наборы атрибутов и разные наборы ключей. В противном случае выбор эффективных протоколов обмена будет сильно ограничен или невозможен. Хорошим правилом считается использование общих атрибутов доступа и наборов ключей для целой директории, а также наследование их из объемлющей директории. Серьезная система разграничения доступа должна предусматривать спецификацию ключей, то есть четкое определение, как, при каких обстоятельствах и в каких целях тот или иной ключ может использоваться.
Специфицируются:
1. криптографический алгоритм;
2. операции допустимые с данным ключом;
3. порядок смены ключа;
4. условия блокирования/раз блокирования ключа и др.
Ключи, используемые для аутентификации владельца смарт-карты или внешнего окружения, обычно блокируются после заданного числа идущих подряд неверных предъявлении. Это особенно актуально для аутентификации владельца, поскольку обычно длина таких ключей не превышает 4-6 знаков и становится реальным полный перебор вариантов.
Должна предусматриваться диверсификация ключей с целью получения уникальных сессионных ключей для каждой транзакции.
Вы можете сохранить эту статью:
Просто нажмите на кнопку нужного Вам сервиса и данная статья будет сохранена.
Организация разграничения доступа к данным смарт-карты на уровне операционной системы
из категории » Смарт-карты » в сервисах:Просто нажмите на кнопку нужного Вам сервиса и данная статья будет сохранена.
Дополнительная информация по теме:
 |
Стандартизированные файловые структуры в смарт-картах
В смарт-картах могут быть использованы только стандартизированные файловые структуры. Определяемая стандартом ISO/IEC 7816-4 файловая система является сравнительно простой иерархической структурой, включающей в себя элементы трех категорий:1. главный файл MF (Masteг File);2. файл каталога DF (Dedica ... |
 |
Получение доступа к разным уровням хранения данных в смарт-карте с помощью ...
Для считывания информации на смарт-карте могут быть использованы только выделенные и авторизованные считыватели. Для получения доступа к разным уровням хранения данных в смарт-карте считыватели должны содержать три различных криптографически защищенных модуля:1. модуль считывания общих сведений;2. м ... |
 |
Операции обмена ключами смарт-карт
Распределение ключей является самым ответственным процессом в управлении ключами. При использовании симметричной криптосистемы две вступающие в информационный обмен стороны должны сначала согласовать секретный сессионный ключ, то есть ключ для шифрования всех сообщений, передаваемых в процессе обмен ... |
 |
Смарт-карты компании Gemplus
В последнее время широкое распространение получили смарт-карты фирмы Gemplus (Франция) стандарта EMV, поддерживающие самые распространенные в мире спецификации платежных систем Europay, MasterCard и Visa такие карты характеризуются высоким уровнем защиты от мошенников, их невозможно подделать. Кажда ... |
 |
Бесконтактные смарт-карты Mifare компании Philips Seiniconductor
Важное место среди производителей интегральных микросхем и смарт-карт занимает компания Philips Semiconductor. Эта компания разработала технологию под торговой маркой Mifare, предназначенную для создания бесконтактных смарт-карт промышленного стандарта. Для бесконтактных карт характерно отсутствие ... |
Для поиска по всем категориям нашего сайта рекомендуем Вам пройти авторизацию либо зарегистрироваться.
