智能卡COS的安全性測試研究

文章出處：http://psychicreadingswithdeb.com 作者： 人氣： 發(fā)表時(shí)間：2011年12月11日

    摘要：智能卡操作系統（COS）的安全性至關(guān)重要。通過(guò)分析智能卡使用環(huán)境得出潛在的不安全因素，結合軟件測試的基礎知識，研究針對智能卡COS 安全的詳細測試內容，從而不僅對智能卡COS 其他方面的測試有幫助，而且對其他軟件的安全性測試有借鑒意義。

    0 引言

    隨著(zhù)社會(huì )的發(fā)展和科技的進(jìn)步， 智能卡亦日益滲透社會(huì )生活的方方面面。智能卡的廣泛應用離不開(kāi)智能卡的良好質(zhì)量和強大功能， 特別是智能卡內敏感的數據，對智能卡的安全性提出了更高的要求。來(lái)源一卡通世界。智能卡的核心部件是智能卡操作系統，即智能卡COS（Chip Operating System）。智能卡的安全性很大程度上依賴(lài)于智能卡COS 的質(zhì)量。因此，有必要對智能卡COS 的安全性進(jìn)行研究，以制定全面可行的測試計劃。

    1 軟件測試概述

    1.1 軟件測試

    到目前為止，軟件測試還沒(méi)有統一定義，現在普遍接受的一種定義為： 為了發(fā)現程序中的錯誤而進(jìn)行的檢查工作過(guò)程。軟件測試可以幫助開(kāi)發(fā)中或完成的計算機軟件的正確度、完全度和質(zhì)量的軟件過(guò)程，是軟件質(zhì)量保證的重要組成部分。

    軟件測試的目的分為驗證和確認。驗證就是保證軟件達到了預先規定的目標。確認是一系列的活動(dòng)和過(guò)程，目的是證實(shí)在特定環(huán)境下軟件的邏輯正確性。確認分為靜態(tài)確認和動(dòng)態(tài)確認。

    軟件測試的內容不僅是程序， 而且還包括整個(gè)軟件開(kāi)發(fā)期間各階段所產(chǎn)生的文檔， 例如需求規格說(shuō)明書(shū)、可行性分析報告、概要設計文檔、開(kāi)發(fā)進(jìn)度計劃表。

    1.2 軟件測試分類(lèi)

    軟件測試是一項復雜的系統工程， 從不同的視角考慮可以有不同的劃分方法。
    ●按是否運行被測軟件：靜態(tài)測試和動(dòng)態(tài)測試；
    ●按軟件開(kāi)發(fā)階段：?jiǎn)卧獪y試，集成測試，系統測試，驗收測試，回歸測試；
    ●按測試方法劃分：白盒測試、黑盒測試和灰盒測試。

    2 智能卡COS 簡(jiǎn)介

    2.1 智能卡概述

    智能卡，就是內嵌有微芯片的塑料卡（通常是一張信用卡的大?。┑耐ǚQ(chēng)，它是IC卡的一種。智能卡有多種分類(lèi)方法，按所嵌的芯片類(lèi)型的不同，IC卡可分為三類(lèi)：

    （1）存儲器卡：卡內集成電路是可電擦除的可編程只讀存儲器， 它僅具數據存儲功能， 沒(méi)有數據處理能力；
    （2）邏輯加密卡：卡內集成電路包括加密邏輯電路和可編程只讀存儲器， 加密邏輯電路可在一定程度上保護卡和卡中數據的安全,但只是低層次防護；
    （3）智能卡：卡內集成電路包括中央處理器、可編程只讀存儲器、隨機存儲器和固化在只讀存儲器ROM中的卡內操作系統COS。

    本文討論的智能卡就屬第三類(lèi)。

    2.2 智能卡COS 的生命周期

    智能卡操作系統通常稱(chēng)為芯片操作系統COS，一般都有自己的安全體系， 其安全性能通常是衡量COS的重要技術(shù)指標。智能卡作為一種特殊的軟件產(chǎn)品，有自己的生命周期，如表1。智能卡COS 自從寫(xiě)入智能卡里后就開(kāi)始它的使命旅程，直至智能卡物理破壞。

表1 智能卡產(chǎn)品的生命周期

    3 智能卡COS 的安全要求

    由于智能卡COS 內存有大量的數據，包括用戶(hù)的資料，系統應用數據、密鑰等，為了保護這些數據的私密性，智能卡務(wù)必要應對所有可能危險的行為或情況。由于目前國內外通信行業(yè)對智能卡COS 的安全性限定在EAL4+的級別上， 所以本文所討論的安全和測試主要也是基于此種等級上。