Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
ISO/IEC 25185-1:2024 — 卡安全 — 通用框架与概念
身份证卡系统的奠基性安全架构
ISO/IEC 25185-1:2024 建立了 ISO/IEC 识别卡生态系统中的卡安全通用框架和基础概念。该标准的第一版旨在满足支付卡、身份证、访问控制凭证以及新兴用例(如数字驾照和移动嵌入式安全单元)对统一安全架构日益增长的需求。对于安全工程师而言,该标准提供了一种基于威胁模型驱动的方法来定义安全目标和选择适当的加密机制。
ISO/IEC 25185-1 是 24727 系列(卡应用 API)和 7816 系列(物理卡特性)的顶层安全框架文件。它设计为与底层卡技术无关——无论是接触式、非接触式还是双接口。
1. 威胁模型与安全目标
该标准定义了五类威胁:(T1)物理篡改和侧信道攻击、(T2)逻辑攻击包括恶意软件和协议操纵、(T3)克隆和伪造、(T4)通过未经授权的数据访问或追踪侵犯隐私、(T5)针对卡基础设施的拒绝服务。针对每个类别,标准映射了合规卡系统必须解决的强制性安全目标和可选安全目标。
从工程角度来看,这种威胁分类法是该标准最有价值的贡献。它迫使产品架构师系统地考虑攻击向量,而不是被动地修补漏洞。例如,T4(隐私)目标要求非接触式交易中使用的卡标识符必须是多样化的或会话特定的——这一设计选择直接影响了 EMV 非接触式规范和 Apple Pay 的设备账户号方案。
| 威胁类别 | 攻击途径 | 安全目标 | 典型对策 |
|---|---|---|---|
| T1 — 物理 | 探针攻击、故障注入、侧信道(DPA/SPA) | 防篡改、泄漏弹性 | 带主动屏蔽的安全单元、噪声注入 |
| T2 — 逻辑 | 协议降级、缓冲区溢出、中继攻击 | 安全通道、认证加密 | 会话密钥协商(ECDH)、MAC-then-Encrypt |
| T3 — 克隆 | 存储器读取、密钥提取 | 唯一性、硬件绑定密钥存储 | 物理不可克隆函数(PUF)、eFuse |
| T4 — 隐私 | 通过静态 ID 追踪、数据泄露 | 数据最小化、不可关联性 | 假名标识符、卡上数据过滤 |
| T5 — 拒绝服务 | 射频干扰、交易洪水 | 可用性、故障安全模式 | 速率限制、带风险参数的离线回退 |
克隆(T3)仍然是支付行业经济损失最大的威胁。标准强制要求硬件绑定的密钥存储——纯软件实现无法达到合规要求。工程师应在架构阶段就规划专用的安全单元或可信执行环境(TEE)。
2. 加密协议与密钥管理
该框架要求支持卡与终端之间的双向认证,可使用对称机制(AES-128/256 搭配 CMAC)或非对称机制(ECDSA 或 RSA-PSS)。会话密钥派生必须使用提供完美前向保密(PFS)的密钥协商协议。对于隐私敏感型应用,卡必须在每笔交易中支持临时密钥生成。
密钥管理在三个层面处理:(L1)制造阶段的个性化密钥注入、(L2)用于发卡后更新的应用级密钥、(L3)每笔交易的会话密钥。标准规定 L1 密钥绝不能以明文形式离开安全单元——这一要求对卡个性化供应链有重大影响。
通过 ECDHE(椭圆曲线临时 Diffie-Hellman)实现 PFS 仅增加 3-5 毫秒的非接触式交易时间,同时确保即使卡的长期密钥泄露,过去的会话也不会被暴露——这对于遵守 GDPR 等数据保护法规至关重要。
3. 合规系统的工程设计洞察
部署 25185-1 合规系统的一个实用洞察是:该标准的分层方法自然地映射到多微控制器架构——专用安全协处理器处理所有加密操作和密钥存储,而独立的应用处理器运行卡操作系统和文件系统。这种分离通过减少应用层逻辑错误暴露的攻击面来强化 T1(防篡改)目标。
对于非接触式接口,标准建议将防冲突和选择阶段返回的数据限制在最低限度——仅应用标识符(AID)和应用标签。任何额外数据都应要求明确的终端认证。这一建议解决了早期 MIFARE 实现在轮询阶段以明文传输卡元数据所引发的隐私问题。
一个关键的合规陷阱:不包含终端生成随机数的会话密钥可能被重放。标准要求卡和终端都为会话密钥派生贡献熵值。仅使用卡随机数的实现(这在多个预认证设计中被发现)是不合规且存在漏洞的。
常见问题
Q: ISO/IEC 25185-1 与 EMV 规范有何关系?
ISO/IEC 25185-1 提供总体安全框架,而 EMV 规范定义特定于支付的应用层协议。一张卡可以同时符合 EMV 和 25185-1。实际上,EMVCo 自 EMV 4.4 版本起已将其安全要求与 25185 框架对齐。
ISO/IEC 25185-1 提供总体安全框架,而 EMV 规范定义特定于支付的应用层协议。一张卡可以同时符合 EMV 和 25185-1。实际上,EMVCo 自 EMV 4.4 版本起已将其安全要求与 25185 框架对齐。
Q: 25185-1 是否适用于移动钱包(Apple Pay、Google Pay)?
是的。该框架的技术无关性设计涵盖了移动嵌入式安全单元(eSE)和主机卡模拟(HCE)实现。对于 HCE,标准要求基于云的卡配置文件强制执行与物理卡相同的密钥管理和会话派生规则。
是的。该框架的技术无关性设计涵盖了移动嵌入式安全单元(eSE)和主机卡模拟(HCE)实现。对于 HCE,标准要求基于云的卡配置文件强制执行与物理卡相同的密钥管理和会话派生规则。
Q: 非对称加密的最小密钥长度是多少?
标准要求非对称操作至少使用 2048 位 RSA 或 256 位 ECC(NIST P-256)。对于对称操作,AES-128 是最低要求,建议处理高于基线安全级别的数据的应用使用 AES-256。
标准要求非对称操作至少使用 2048 位 RSA 或 256 位 ECC(NIST P-256)。对于对称操作,AES-128 是最低要求,建议处理高于基线安全级别的数据的应用使用 AES-256。
Q: 该标准是否要求物理层面的 Common Criteria(ISO/IEC 15408)评估?
该标准未强制要求特定的评估方案,但强烈建议卡产品中使用的安全单元根据 ISO/IEC 15408(通用准则)进行 EAL5+ 或更高级别的评估。这对于政府身份计划和高价值支付系统尤为重要。
该标准未强制要求特定的评估方案,但强烈建议卡产品中使用的安全单元根据 ISO/IEC 15408(通用准则)进行 EAL5+ 或更高级别的评估。这对于政府身份计划和高价值支付系统尤为重要。
