智能卡COS的安全性测试研究

文章出处：http://www.singbon.com 作者： 人气： 发表时间：2011年12月11日

    摘要：智能卡操作系统（COS）的安全性至关重要。通过分析智能卡使用环境得出潜在的不安全因素，结合软件测试的基础知识，研究针对智能卡COS 安全的详细测试内容，从而不仅对智能卡COS 其他方面的测试有帮助，而且对其他软件的安全性测试有借鉴意义。

    0 引言

    随着社会的发展和科技的进步， 智能卡亦日益渗透社会生活的方方面面。智能卡的广泛应用离不开智能卡的良好质量和强大功能， 特别是智能卡内敏感的数据，对智能卡的安全性提出了更高的要求。来源一卡通世界。智能卡的核心部件是智能卡操作系统，即智能卡COS（Chip Operating System）。智能卡的安全性很大程度上依赖于智能卡COS 的质量。因此，有必要对智能卡COS 的安全性进行研究，以制定全面可行的测试计划。

    1 软件测试概述

    1.1 软件测试

    到目前为止，软件测试还没有统一定义，现在普遍接受的一种定义为： 为了发现程序中的错误而进行的检查工作过程。软件测试可以帮助开发中或完成的计算机软件的正确度、完全度和质量的软件过程，是软件质量保证的重要组成部分。

    软件测试的目的分为验证和确认。验证就是保证软件达到了预先规定的目标。确认是一系列的活动和过程，目的是证实在特定环境下软件的逻辑正确性。确认分为静态确认和动态确认。

    软件测试的内容不仅是程序， 而且还包括整个软件开发期间各阶段所产生的文档， 例如需求规格说明书、可行性分析报告、概要设计文档、开发进度计划表。

    1.2 软件测试分类

    软件测试是一项复杂的系统工程， 从不同的视角考虑可以有不同的划分方法。
    ●按是否运行被测软件：静态测试和动态测试；
    ●按软件开发阶段：单元测试，集成测试，系统测试，验收测试，回归测试；
    ●按测试方法划分：白盒测试、黑盒测试和灰盒测试。

    2 智能卡COS 简介

    2.1 智能卡概述

    智能卡，就是内嵌有微芯片的塑料卡（通常是一张信用卡的大小）的通称，它是IC卡的一种。智能卡有多种分类方法，按所嵌的芯片类型的不同，IC卡可分为三类：

    （1）存储器卡：卡内集成电路是可电擦除的可编程只读存储器， 它仅具数据存储功能， 没有数据处理能力；
    （2）逻辑加密卡：卡内集成电路包括加密逻辑电路和可编程只读存储器， 加密逻辑电路可在一定程度上保护卡和卡中数据的安全,但只是低层次防护；
    （3）智能卡：卡内集成电路包括中央处理器、可编程只读存储器、随机存储器和固化在只读存储器ROM中的卡内操作系统COS。

    本文讨论的智能卡就属第三类。

    2.2 智能卡COS 的生命周期

    智能卡操作系统通常称为芯片操作系统COS，一般都有自己的安全体系， 其安全性能通常是衡量COS的重要技术指标。智能卡作为一种特殊的软件产品，有自己的生命周期，如表1。智能卡COS 自从写入智能卡里后就开始它的使命旅程，直至智能卡物理破坏。

表1 智能卡产品的生命周期

    3 智能卡COS 的安全要求

    由于智能卡COS 内存有大量的数据，包括用户的资料，系统应用数据、密钥等，为了保护这些数据的私密性，智能卡务必要应对所有可能危险的行为或情况。由于目前国内外通信行业对智能卡COS 的安全性限定在EAL4+的级别上， 所以本文所讨论的安全和测试主要也是基于此种等级上。