发布时间:2008-11-25阅读:1876
下面的例子说明典型的智能卡应用。它们是中等规模的数据处理应用,因而无需广泛的系统设计,它们的用户将是中等规模的公司。所用后台系统是在安全环境中的PC机,这就使得安装费用和运行费用二者均处于低档规模。
这些简单的例子说明了一个典型的智能卡应用是如何构造的。我们一步步地解释建造过程,并说明如何逐渐在智能卡中建立起最终的应用。对每一案例,我们对终端和后台系统都只大概地予以注意,因为系统的这些方面可从有用的信息推导出来。
所有这些例子都立足于许多单个的、分开的系统的分布信息原则之上。和普通所用的集中式主机方案相反,在那里所有的信息都放在一个地方。如果把这样的方法演译到智能卡应用中来,那就是说卡只不过是一类身份的证明,而所有的信息则存储在一个无所不包的后台系统中。如果按这种方式建立的一个系统则必须扩充系统,结果将使那个强大的后台系统也必须付出昂贵而费时的更新。
这里,我们试图采取一个不同的方法,让后台系统仅负责管理整个系统的一致性,所有其他信息都局部地存在卡上。一个全局的数据库当然是系统管理所需要的,使得丢失的或故障的卡可从手边的数据予以复制。然而,这个数据库对系统的正常运转而言却不是必需的。
一个分布的智能卡系统可以被看作是有着许多分枝的大树,像所有的树一样它从许多树叶的光合作用来吸取营养,能量的生产分布在树叶中并在许多地方同时进行。形象地看,对一个有效而完善设计的智能卡的应用来说也是同样的。信息存储在非集中的卡中,可以在攻击中保护每张卡。大量的信息同样也不由后台系统承担,它只处理那些和集中管理有关的任务,真正的系统处理是分散的,正如同大树树叶中的光合作用的过程一样,是并行在局部化的终端和智能卡中进行的。这使得整个系统的扩充变得极其简单,只要增加终端和卡就可以了,而不必担心对后台计算机系统的任何重大的影响。
对刚才所规划的系统的相反做法是把所有活动都集中于中央的后台系统中。按我们的比喻,这将把大量的光合作用从树叶移到树干,从而导致一颗巨大的树干的产生,整个系统将因此不仅十分巨大而昂贵,并且它对于后台系统中的干扰也变得极其脆弱。无论如何,应当尽可能避免这种情况。
许多自诩的系统运营者由于对智能卡特性的无知,错误地自顶向下设计整个系统。当他们进行到(从安全的观点来看)最关键的部分,即终端和“智能卡”时,他们只能以某种含糊不清的方式规定这些部件应当秘密的制造。
恰巧相反,这里所建议的手段是自底向上的,从一开始就从最低水平的对象(智能卡)来规定系统及其所需特性并逐渐向上进行,用这种方法可以非常有效地减小安全漏洞的风险,因为系统是从最小的单元向上建造的。