CN101894234A

CN101894234A - 一种cos通用文件访问控制系统

Info

Publication number: CN101894234A
Application number: CN2010102380524A
Authority: CN
Inventors: 姚静晶; 胡善学; 张勇; 王国丰
Original assignee: Third Research Institute of the Ministry of Public Security
Current assignee: Third Research Institute of the Ministry of Public Security
Priority date: 2010-07-27
Filing date: 2010-07-27
Publication date: 2010-11-24

Abstract

本发明的目的在于公开一种COS通用文件访问控制系统，包括智能卡，所述智能卡包括IO传输管理器和命令解析器，在所述智能卡中设置有一通过访问控制策略对智能卡内的资源进行控制管理的通用访问控制管理器，所述通用访问控制管理器依次与所述命令解析器和所述IO传输管理器互相连接；将通用访问控制管理器嵌入到智能卡内部，然后由用户自主设置智能卡内部的访问控制策略，并写入到智能卡内的策略库文件，当外界访问智能卡时，通用访问控制管理器会根据相应的策略库文件中的策略对智能卡内资源进行控制管理，以提高智能卡对外界非法访问的控制能力，实现本发明的目的。

Description

一种COS通用文件访问控制系统

技术领域

本发明涉及一种COS通用文件访问控制系统，特别涉及一种计算机安全以及智能卡安全领域的智能卡对外部终端的安全访问控制的COS(智能卡操作系统Card Operating System)通用文件访问控制系统。

背景技术

在PKI应用中，用公钥加密的信息，只有用对应的私钥才能解密，所以PKI应用的安全性基于私钥的安全性，也就是说只要私钥是安全的，那么信息的安全性就能够得到保障。在早期的PKI应用中，私钥是以软证书形式保存在终端上的，由于终端容易遭受病毒、木马的攻击，因此容易出现私钥泄漏问题。为了解决这一问题，存有私钥和证书的智能卡作为独立于终端的密码设备被应用到PKI体系中，尤其是能够独立产生公私钥对的智能卡，其私钥无法被终端读取，各种非对称计算直接在智能卡内完成，从而加强了私钥的安全性，具有广泛的应用前景。

智能卡“私钥不出卡”的安全特性解决了私钥安全存储的问题，但这并不能解决私钥使用过程中面临的以下几种主要问题：

非法输入：攻击者可能会通过非法的输入确定出与安全相关的信息，并引起卡出现故障或者破坏智能卡的安全状态。

重放攻击：攻击者可能通过重用一个授权者已完成(或部分完成)的操作穿过卡内的安全环境，绕过安全机制，拦截智能卡操作指令并修改，导致智能卡执行非法指令。

强制复位：攻击者能通过选择性操作进行不恰当的指令执行，导致智能卡进入不安全的生命周期。

智能卡通过内置的安全体系实现对卡内资源的安全保护，智能卡的安全体系包括安全状态、安全属性和安全机制三部分：

1)智能卡的安全状态。智能卡的安全状态表示完成下列动作后所获得可能的当前状态：

完成复位应答(ATR)和对可能的协议参数选择；

执行完认证过程的单个命令或一系列命令。

智能卡规范ISO 7816-4阐述了四种智能卡的安全状态，分别是：

全局安全状态，与MF文件相关联的安全状态；

应用安全状态，与应用相关的安全状态，一般情况下会关联到代表某种应用的DF文件；

文件安全状态，与具体文件(包括DF和EF文件)相关联的安全状态；

指令安全状态，与指令相关的安全状态。

2)智能卡的安全属性。智能卡的安全属性定义了允许的行为以及完成这种行为要执行的条件。文件的安全属性依赖于它的类别(如MF、DF或EF)和文件控制信息里的可选参数，以及父文件的文件控制信息中的可选参数。

智能卡的安全属性可以做到：在访问数据之前指定智能卡的安全状态；在智能卡的特定状态下可以限制对某些数据和函数的访问；定义执行的安全函数，以获得某种安全状态。对智能卡文件进行初始化时，需要对文件进行安全属性设定。

3)智能卡的安全机制。智能卡的安全机制可以包括多种，如PIN码验证、内部认证、外部认证、SMC机制等。当智能卡的安全条件得到满足时，智能卡就会被提升到相应安全状态，由COS检查安全状态是否符合所要访问文件的安全属性。例如，将个人信息放入一个应用DF中，那么可以根据设计的要求选择一种或多种安全机制，如要求PIN码验证、外部认证；当外界访问个人信息，要依次通过PIN码验证、外部认证，才能成功访问。

常见的智能卡安全机制如下：

PIN码验证，指通过输入口令(PIN码)进行身份验证；为了防止外部的暴力攻击，PIN码验证可以设置出错上限，如果PIN码连续出错超过一定次数，智能卡就会自动锁定。

内部认证，指对智能卡内部所代表的身份进行验证；一般通过公钥证书来认证智能卡拥有对应的私钥。

外部认证，指对智能卡外部(包括远程用户，读卡器，CSP等)信息资源身份进行认证，认证方法同内部认证。

SMC机制，在普通的终端与智能卡交互中，终端发送到智能卡的PIN码、私钥数据可能会被黑客截获；为了解决指令传输的保密性问题，ISO/IEC 7816-4介绍了SMC(Security Module Card)机制，其具体流程是：用户先将智能卡操作指令传入SMC，SMC将指令加密后传出，发送给用户智能卡执行；这在一定程度上保证了智能卡指令的安全性；但是，当SMC对智能卡操作指令加密时，SMC的安全并不能得到保证，传向SMC的指令同样有被截取的风险。

虽然现有的智能卡的安全机制能够一定程度上保护智能卡内的信息不受外界非法访问，但是由于终端的安全得不到保证，攻击者完全有可能绕过智能卡的安全体系，直接访问卡内的信息。例如，当智能卡以共享模式打开时，合法的程序通过了安全机制的检查，智能卡的安全状态发生了变化，此时，如果非法程序也访问智能卡，非法程序就会绕过智能卡的安全机制，造成私钥文件被覆盖或替换的风险；而且，智能卡操作的共享模式是由终端操作系统管理的，攻击者完全可以通过进程注入和内核注入等攻击方式在独占模式下进行操作。

另一方面，传统的访问控制方式不够灵活。在智能卡应用过程中，COS决定卡内资源采用的访问控制方式。而COS是由发卡商来定制，用户是不可更改的。这样将会导致智能卡应用过于僵化，安全层次过于单一。

综上所述，特别需要一种COS通用文件访问控制系统来解决以上提到的问题。

发明内容

本发明的目的在于提供一种COS通用文件访问控制系统，针对现有技术的不足，在原有智能卡系统的基础上，基于策略库文件的访问控制方式，通过写入外部用户定制的策略，由通用访问控制管理器根据策略库文件对卡内资源进行访问控制管理，以解决现有的智能卡安全性问题，同时增加智能卡应用的灵活性。

本发明所解决的技术问题可以采用以下技术方案来实现：

一种COS通用文件访问控制系统，包括智能卡；所述智能卡包括IO传输管理器、命令解析器和通用访问控制管理器，其特征在于，在所述智能卡中设置有一通过访问控制策略对智能卡内的资源进行控制管理的通用访问控制管理器，所述通用访问控制管理器依次与所述命令解析器和所述IO传输管理器互相连接。

在本发明的一个实施例中，在所述通用访问控制管理器中还包括通过外部用户定制的策略库文件，通过策略库文件对智能卡内的资源进行管理。

在本发明的一个实施例中，当应用程序访问智能卡时，指令通过IO传输管理器、命令解析器，进入通用访问控制管理器，经过指令结构分析，确定访问的文件(F)及其文件类型(F_T)，然后查找策略库文件，根据文件应用类型(如个人信息、私钥文件等)得出文件可以采用的访问控制模型(A_C_M)。

进一步，在应用程序访问智能卡过程中，根据文件采用的访问控制模型，对此文件将持续使用这一访问控制模型。

本发明的COS通用文件访问控制系统，将通用访问控制管理器嵌入到智能卡内部，然后由用户自主设置智能卡内部的访问控制策略，并写入智能卡内。当外界访问智能卡时，通用访问控制管理器会根据相应的策略库文件中的策略对智能卡内资源进行控制管理，以提高智能卡对外界非法访问的控制能力，实现本发明的目的。

本发明的特点可参阅本案图式及以下较好实施方式的详细说明而获得清楚地了解。

附图说明

图1为本发明的COS通用文件访问控制系统的结构框图；

图2为本发明的COS通用文件访问控制系统的工作流程图。

具体实施方式

为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解，下面结合具体图示，进一步阐述本发明。

如图1、图2所示，本发明的通用COS文件访问控制系统，包括智能卡100，智能卡100包括通用访问控制管理器110、IO传输管理器120和命令解析器130；通用访问控制管理器110通过访问控制策略对智能卡100内的资源进行控制管理，通用访问控制管理器110依次与命令解析器130和IO传输管理器120互相连接。

IO传输管理器120的主要功能是接收来自终端硬件的电气信号，转换成逻辑数据传递给命令解析器130；将来自智能卡的响应信息以电气信号传递给终端硬件。

命令解析器130的主要功能是对指令解析处理。

通用访问控制管理器110的主要功能在于管理策略库文件、对接收到的指令信息分析其所需的策略、根据策略检测条件是否满足、修改文件系统的安全状态、返回检测结果。

当应用程序访问智能卡100时，指令通过IO传输管理器120、命令解析器130，进入通用访问控制管理器110，依据访问的文件(F)及其文件类型(F T)，查找策略库文件中对应的访问控制模型。在应用程序访问智能卡100时，根据文件采用的访问控制模型，对此文件将持续使用这一文件访问控制模型。

基于以上本发明的COS通用文件访问控制系统的设计，本发明的COS通用文件访问控制系统的具体执行流程，如图2所示。

本发明的COS通用文件访问控制系统工作时，命令解析器130将解析后的指令发送到通用访问控制管理器110；通用访问控制管理器110根据请求信息选择策略库文件中的策略；根据策略检测安全条件是否满足；如果满足，则修改安全状态；否则，维持原有的安全状态；返回检测结果。

实施例

加入通用访问控制管理器的智能卡采用的访问控制模型可以有很多种，下面我们以UCON_ABC访问控制模型为例进行详细分析。

本发明的COS通用文件访问控制系统的智能卡应用环境实例，采用常见的双证书机制，一张证书是用来做数字签名，其对应的公私钥是由智能卡自身产生的，智能卡本身的安全特性能够保证私钥不出卡；另一张证书是用来进行加解密操作的，其对应的公私钥是由第三方可信机构(如CA等)写入的。下面我们将结合UCON_ABC访问控制模型对智能卡的访问控制策略进行分析。

通常，合法用户是按照标准的步骤对智能卡的受保护资源进行访问的，也就是先进行验证，然后访问。但是，由于终端对于智能卡的访问操作不可控，特别是以共享模式访问智能卡时，攻击者可以等待合法用户或程序通过智能卡验证后，从终端直接向智能卡发出非法访问命令，绕过安全验证，造成信息泄漏。所以，在建立访问控制策略时，要充分考虑文件访问所采用的16种UCON_ABC基本模型，以便及时发现安全问题，保证文件的安全访问。

在一次会话中，智能卡可能选择这样的访问控制方式：1)在本次会话中，只验证一次，以后的数据访问，就不再需要验证；2)虽然是在一次会话中，但是每次数据访问，都会进行验证，也就是我们所说的onX模型。每当重新进行访问时，都要重新检验当前的安全环境，这样就会防止黑客绕过合法用户身份进行智能卡信息的访问。

根据具体的应用，我们以用户身份定制了智能卡的部分访问控制策略，如表1所示。

表1 访问控制策略

由表1可以看出，UCON_ABC(A、B、C)列是UCON_ABC模型中A、B和C代表的内容，采用模型列为资源访问采用的访问控制类型，它们隶属于UCON_ABC的16种基本模型。

我们用(S，O，R)表示主体对客体的访问，S可以表示用户，O表示为文件或者指令操作，R表示授予的权限。ATT(S)和ATT(O)分别表示主体S的属性集合和客体O的属性集合。M表示所有基本模型的集合，由于每一次操作都是由A、B和C三部分组成，所以我们用三元组M(A，B，C)来表示。而每一个模型中的元素(A，B，C)是由表1中的元素来表示，所以可以用二元方位值来表示，如(0，1)，即为(preA，pre-update)，表示为先授权，后使用，属性为前端更新；(1，2)，即为(onA，ongoing-Update)，表示访问中授权，属性为访问中更新。如果一个应用功能的模型为M((1，2)，(3，0)，(4，0))，这一模型表示授权的方式为访问中授权，并且属性为访问中更新；履行义务的方式为访问中履行，并且属性不可改变；条件为预判断，属性不可改变。

如果用户User-X访问个人信息，采用模型为M((1，2)，(3，0)，(4，0))。命令解析器从通用访问管理器的策略库文件中查询到这个对应的访问模型后，就可以按照这种访问控制模型执行文件操作，其具体形式化描述如下。

当用户User-X访问个人信息时，在访问过程中，A采用(onA，ongoing-update)，表示访问中授权，且访问中更新属性；B采用(onB，immutable)，表示访问中完成义务，且属性不可更改；C采用(preC，immutable)，表示先进行条件检测，且属性不可更改。其具体定义如下：

-S＝User-X，O＝个人信息

-ATT(S)，ATT(O)

-A＝(onA，ongoing-update)，

B＝(onB，immutable)，

C＝(preC，immutable)

-R＝{Read，Write，Update}

-getModel(M(A，B，C))

-ChangeATT(S，O)＝{0，1，2，3}(由UCON16种基本模型得到)

当用户User-X访问个人信息时，根据以上A、B、C的描述，需要执行以下三个步骤：首先，根据C的内容检测当前的安全条件，并且当检测完成后，下次对此信息的访问将不再检测；然后根据B的内容完成相应的义务，如写日志等，并且每次访问都要完成相应的义务；最后根据C和B的完成结果，来确定A的授权结果，如读操作，写操作，更新操作等。

检测安全条件的形式化描述如下：

C

preCon∈{卡已插入，建立通信}

getPreCon(S，O，R)：S×O×R×preCon

ChangeATT(S，O)_C＝0

preConChecked(getPreCon(S，O，R))

＝＞allowed(S，O，R)_C

(preConChecked(getPreCon(S，O，R)))

＝＞stopped(S，O，R)_C

完成相应义务的形式化描述如下：

B

onB∈{输入PINs，双向认证，写日志，限定次数}

getOnB(S，O，R)＝S×O×R×onB

ChangeATT(S，O)_B＝0

OnBChecked(getOnB(S，O，R))

＝＞allowed(S，O，R)_B

(OnBChecked(getOnB(S，O，R)))

＝＞stopped(S，O，R)_B

执行相关授权的形式化描述如下：

A

onA∈{读操作，写操作，更新操作}

ChangeATT(S，O)_A＝2

assign_right (S, O, R) =

\{\begin{matrix} OnA, ifallowed {(S, O, R)}_{C} \cap allowed {(S, O, R)}_{B} \\ NULL, others \end{matrix}

本发明的COS通用文件访问控制系统加入通用访问控制管理器110(如基于UCON_ABC访问控制模型)的智能卡100使其能够灵活有效地检测到终端的非法行为，这为各种智能卡应用安全提供了可靠的保证。如果应用到我们日常用到的U盾，对于非法终端试图读取其中信息的行为将会被U盾检测到，并会要求终端执行相应的策略，如写日志等。

以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解，本发明不受上述实施例的限制，上述实施例和说明书中描述的只是本发明的原理，在不脱离本发明精神和范围的前提下，本发明还会有各种变化和改进，这些变化和改进都落入要求保护的本发明范围内，本发明要求保护范围由所附的权利要求书及其等效物界定。

Claims

1.一种COS通用文件访问控制系统，包括智能卡，所述智能卡包括IO传输管理器、命令解析器和通用访问控制管理器，其特征在于，在所述智能卡中设置有一通过访问控制策略对智能卡内的资源进行控制管理的通用访问控制管理器，所述通用访问控制管理器依次与所述命令解析器和所述IO传输管理器互相连接。

2.如权利要求1所述的COS通用文件访问控制系统，其特征在于，在所述通用访问控制管理器中包括用户定制的策略库文件，COS通过策略库文件对智能卡内的文件进行管理。

3.如权利要求1所述的COS通用文件访问控制系统，其特征在于，当应用程序访问智能卡时，指令由IO传输管理器、命令解释器进入通用访问控制器，对指令结构进行分析，确定访问的文件及其文件类型，然后查找通用访问控制管理器中的策略库文件，根据文件应用类型得出文件采用的访问控制模型。

4.如权利要求3所述的COS通用文件访问控制系统，其特征在于，在应用程序访问智能卡时，根据文件采用的访问控制模型，在访问过程中对此文件将持续使用这一访问控制模型。