智能卡COS的安全性測(cè)試研究
文章出處:http://56733.cn 作者: 人氣: 發(fā)表時(shí)間:2011年12月11日
摘要:智能卡操作系統(tǒng)(COS)的安全性至關(guān)重要。通過(guò)分析智能卡使用環(huán)境得出潛在的不安全因素,結(jié)合軟件測(cè)試的基礎(chǔ)知識(shí),研究針對(duì)智能卡COS 安全的詳細(xì)測(cè)試內(nèi)容,從而不僅對(duì)智能卡COS 其他方面的測(cè)試有幫助,而且對(duì)其他軟件的安全性測(cè)試有借鑒意義。
0 引言
隨著社會(huì)的發(fā)展和科技的進(jìn)步, 智能卡亦日益滲透社會(huì)生活的方方面面。智能卡的廣泛應(yīng)用離不開(kāi)智能卡的良好質(zhì)量和強(qiáng)大功能, 特別是智能卡內(nèi)敏感的數(shù)據(jù),對(duì)智能卡的安全性提出了更高的要求。來(lái)源一卡通世界。智能卡的核心部件是智能卡操作系統(tǒng),即智能卡COS(Chip Operating System)。智能卡的安全性很大程度上依賴(lài)于智能卡COS 的質(zhì)量。因此,有必要對(duì)智能卡COS 的安全性進(jìn)行研究,以制定全面可行的測(cè)試計(jì)劃。
1 軟件測(cè)試概述
1.1 軟件測(cè)試
到目前為止,軟件測(cè)試還沒(méi)有統(tǒng)一定義,現(xiàn)在普遍接受的一種定義為: 為了發(fā)現(xiàn)程序中的錯(cuò)誤而進(jìn)行的檢查工作過(guò)程。軟件測(cè)試可以幫助開(kāi)發(fā)中或完成的計(jì)算機(jī)軟件的正確度、完全度和質(zhì)量的軟件過(guò)程,是軟件質(zhì)量保證的重要組成部分。
軟件測(cè)試的目的分為驗(yàn)證和確認(rèn)。驗(yàn)證就是保證軟件達(dá)到了預(yù)先規(guī)定的目標(biāo)。確認(rèn)是一系列的活動(dòng)和過(guò)程,目的是證實(shí)在特定環(huán)境下軟件的邏輯正確性。確認(rèn)分為靜態(tài)確認(rèn)和動(dòng)態(tài)確認(rèn)。
軟件測(cè)試的內(nèi)容不僅是程序, 而且還包括整個(gè)軟件開(kāi)發(fā)期間各階段所產(chǎn)生的文檔, 例如需求規(guī)格說(shuō)明書(shū)、可行性分析報(bào)告、概要設(shè)計(jì)文檔、開(kāi)發(fā)進(jìn)度計(jì)劃表。
1.2 軟件測(cè)試分類(lèi)
軟件測(cè)試是一項(xiàng)復(fù)雜的系統(tǒng)工程, 從不同的視角考慮可以有不同的劃分方法。
●按是否運(yùn)行被測(cè)軟件:靜態(tài)測(cè)試和動(dòng)態(tài)測(cè)試;
●按軟件開(kāi)發(fā)階段:?jiǎn)卧獪y(cè)試,集成測(cè)試,系統(tǒng)測(cè)試,驗(yàn)收測(cè)試,回歸測(cè)試;
●按測(cè)試方法劃分:白盒測(cè)試、黑盒測(cè)試和灰盒測(cè)試。
2 智能卡COS 簡(jiǎn)介
2.1 智能卡概述
智能卡,就是內(nèi)嵌有微芯片的塑料卡(通常是一張信用卡的大?。┑耐ǚQ(chēng),它是IC卡的一種。智能卡有多種分類(lèi)方法,按所嵌的芯片類(lèi)型的不同,IC卡可分為三類(lèi):
(1)存儲(chǔ)器卡:卡內(nèi)集成電路是可電擦除的可編程只讀存儲(chǔ)器, 它僅具數(shù)據(jù)存儲(chǔ)功能, 沒(méi)有數(shù)據(jù)處理能力;
(2)邏輯加密卡:卡內(nèi)集成電路包括加密邏輯電路和可編程只讀存儲(chǔ)器, 加密邏輯電路可在一定程度上保護(hù)卡和卡中數(shù)據(jù)的安全,但只是低層次防護(hù);
(3)智能卡:卡內(nèi)集成電路包括中央處理器、可編程只讀存儲(chǔ)器、隨機(jī)存儲(chǔ)器和固化在只讀存儲(chǔ)器ROM中的卡內(nèi)操作系統(tǒng)COS。
本文討論的智能卡就屬第三類(lèi)。
2.2 智能卡COS 的生命周期
智能卡操作系統(tǒng)通常稱(chēng)為芯片操作系統(tǒng)COS,一般都有自己的安全體系, 其安全性能通常是衡量COS的重要技術(shù)指標(biāo)。智能卡作為一種特殊的軟件產(chǎn)品,有自己的生命周期,如表1。智能卡COS 自從寫(xiě)入智能卡里后就開(kāi)始它的使命旅程,直至智能卡物理破壞。
表1 智能卡產(chǎn)品的生命周期
3 智能卡COS 的安全要求
由于智能卡COS 內(nèi)存有大量的數(shù)據(jù),包括用戶(hù)的資料,系統(tǒng)應(yīng)用數(shù)據(jù)、密鑰等,為了保護(hù)這些數(shù)據(jù)的私密性,智能卡務(wù)必要應(yīng)對(duì)所有可能危險(xiǎn)的行為或情況。由于目前國(guó)內(nèi)外通信行業(yè)對(duì)智能卡COS 的安全性限定在EAL4+的級(jí)別上, 所以本文所討論的安全和測(cè)試主要也是基于此種等級(jí)上。
第1頁(yè)第2頁(yè) |