应用系统的保护是建立在硬件和操作系统的相应机制之上的。应用系统依赖于两个较低的层次履行其防护 职责，因为它不可能校正硬件或操作系统中的任何差错。如果它可以用分析的方法去读出eeprom的内容，即 使是最复杂而安全的加密处理也将完全无用。攻击者可能直接从eeprom取得密钥，一个应用系统必须被构造 成只能危及单独一张卡的安全，不会危及整个系统的安全。

　　（1）防护：简化机制

　　为了对攻击提供有效的防护，应用系统应当遵照“保持简单”的原则。使对机制正确工作和保护机制的有效性的检查变得容易，如果认为把某些事物做得足够复杂，就能抵抗所有可能的攻击，这是极端危险的想法。事实上恰恰相反，作为一个规律，复杂的处理和机制常常导致大量的事情被遗忘或忽视，从而使一个攻击者有机可乘。

　　基本上，由操作系统提供的保护机制应当始终被应用系统所采用。它们已经经过了可靠性的测试，它们从较低层软件开始提供的防御要强于应用所提供的，这意思并不是说一个应用系统本身就不再需要有它自己的保护机制了，已经存在于操作系统中的机制始终是应当使用的。

　　（2）防护：保留访问特权

　　除了“保持简单”的原则之外，还有第2个有效的规律，在智能卡中对文件和命令的访问权的授予应当尽可能地谨慎保守，一般来说应当禁止访问，只有在绝对必须时才被允许。

　　这种做法的好处是使重要的数据和命令较少受到无意中被允许的访问，从而使一个攻击者要付出额外的努力来获取所必需的信息。这样能降低对进行攻击的吸引力，因为它增加了所需工作的总量。

　　（3）防护：命令序列的状态机

　　如果不能在任何预期的时间以不受限制的次数执行每一条命令时，将使对智能卡应用的攻击的难度显著地增大，它可用一个决定允许的命令序列的状态机来实现。例如，若终端和智能卡间的相互鉴别被规定为首先需要的动作，则一个攻击者在他执行任何其他命令之前，首先就需要攻克这一保护壁垒。

　　（4）防护：双重访问安全措施

　　如果智能卡的文件不仅受到存储在对象中的访问条件的保护，而且还受到有预定的命令序列和可允许的参数的命令状态机的保护时，则攻击者的任务显然会困难得多。由此攻击者不可能用依次尝试每一条命令或命令组合来发现系统的特殊性能。如果命令的序列是用一台状态机来管理的，则只有应用中规定的命令才能被智能卡执行。原则上所有其他命令都会被状态机封锁。由于对命令的管理，大大缩减了攻击者可能利用的机会。｜

　　（5）防护：不同的测试级别

　　对于钞票来说，已经有标准的测试级别，这些已经做好的安全特征可由不同的人群或不同类型机器予以检验。例如一些可见的特征诸如丝纹和水印，可由街上的任何人来检验；但对于进一步的检验，需要有一盏紫外线灯以便能识别纸上的荧光颜料；更进一步测试，则要用自动化设各来验证钞票的真假。一个典型的例子是钞票的红外特征，以及其他独有特征的测试则由中央银行执行。

　　这样的思路可以引人到智能卡中来，并且可以做出不是任何人或任何设各都能检测全部特征的结论。可以想像，如一个电子钱包系统中的零售终端仅仅含有用于签名验证的几个密钥（而不是它们的全部）。从加密的意义来说，并不会使系统弱化，这样做的好处是攻击者在了解某个零售终端的主密钥时并不会危及整个系统。在系统中知道完整交易数据集合所必需的全部密钥的惟一实体是系统的运营者，他可由假签名识别出一个攻击者，因而就可以采取适当的对策。

　　（6）防护：安全特征

　　当智能卡投人使用时，微控制器以额外增加的功能元件来保证其安全性，这些补充的功能元件可由终端和在芯片中的软件共同来测试，模拟的和数字的元件均可用于此目的。这些安全性特征来源于其隐蔽性（每个应用其特征都不相同），这就意味着芯片是专用的。

　　（7）防护：安全数据传输

　　在潜在的不安全环境中传输数据的确包含有某些风险，在一个会话（期）中，用比较简单的技术去操纵终端和卡之间的接口，有可能在正常的数据流中插人或删除任一预期的数据。如果发生在与安全有关的敏感数据传输之时，一个攻击者就能从中受益。为了阻止这类比较简单而且又比较容易实行的攻击，可以使用秘密通信的方法。例如，仅将加密用于秘密密钥的传送。应当避免对数据的完全加密，因为在传输数据的过程需要双重加密，它将显著地降低有效数据传输率；另一反对完全加密数据的论点是数据保护法规所规定的，几乎所有写人智能卡存储器的信息都是公开的，如果这些信息被加密了，没有入能够检查究竟真正向卡写人或读出了些什么，为了避免对加密数据的任何怀疑，应能证明它们是合法的，在传输时应尽可能使数据保留在不加密的状态中。

　　（8）防护：差错恢复功能

　　如果一个会话（期）由于未知的理由被结束了，或者存在有关系到较