专利名称:一种电子护照pki功能测试系统及方法
技术领域:
本发明涉及一种智能卡的测试系统及方法,尤其涉及一种电子护照PKI功能测试系统及方法。
背景技术:
随着Mifare (采用荷兰飞利浦半导体公司Mifare卡技术的非接触式IC卡)逻辑卡安全算法遭到破解,安全性较高的CPU卡开始走入舞台。仅支持加密逻辑和EEPROM存储数据读写的逻辑卡逐渐被支持CPU、EERP0M、RAM、R0M及各种加密算法的CPU智能卡取而代之。基于PKI算法的CPU智能卡由于其不仅支持对称算法也支持非对称算法而成为高端智能卡和若干高端应用的首选,如金融智能卡、电子护照等。金融智能卡要实现EMV迁移从SDA (静态数据认证)升级到DDA (动态数据认证)或CDA (复合数据认证),需要PKI特性的支持。电子护照从BAC (基本访问控制)升级到需要证书链验证的EAC (扩展访问控制), 需要PKI特性的支持。为支持PKI功能,安全芯片需要具有随机数发生器(符合FIPS140-2 和NIST SP800-22)、RSA协处理器、移位协处理器、流加密功能及相应的算法模块,有时不只需要RSA单一一种非对称密钥算法,还可能需要引入ECC椭圆曲线算法或国密非对称算法 SM2,甚至有多算法切换或算法长度的切换功能。在PKI进入到智能卡里面之前,已经在很多领域实现了成熟的应用,目前被视为一种非常安全的架构体系。在智能卡中实现此功能, 可实现卡内和卡外PKI基础实施中的互连互用。目前各个应用领域对PKI建设都非常关注,也产生了相应的测试规范,但作为提供PKI功能的高端安全智能卡尤其是电子护照,仍需要从测试方法学上来对系统进行全面准确的测试。ICAO (国际民用航空组织)规定电子护照支持非接触式IS0/IEC 14443 Type A和Type B国际标准,相应的读卡机具为非接触式、支持USB接口、支持PCSC驱动模式。
发明内容
本发明目的提供一种电子护照PKI功能测试系统及方法,支持PKI应用的电子护照测试。通过分层提取电子护照PKI测试特征,完成电子护照PKI功能的测试,提高测试覆盖率。一种电子护照PKI功能测试系统,包含电子护照PKI功能测试套件模块、算法支撑模块、PKI基础设施仿真模块、测试管理模块、设备控制模块以及读写机具。电子护照PKI功能测试套件基于EAC Versionl. 11及EAC Versionl. 12的电子护照国际标准构建,实现PKI指令集测试、证书体测试、证书链验证测试、证书生命期测试、访问控制策略测试、交叉认证测试、签名验证功能测试、密钥及算法测试。证书体测试中的证书格式以电子护照支持的卡片可验证格式的证书格式为主,也可采用X. 509格式证书(一种通用的证书格式,符合ITU-T X. 509国际标准)。设备控制模块连接外部读卡机具,测试管理模块单步或全速运行电子护照PKI功能测试套件中的测试脚本,在执行中调用算法支撑模块进行密钥运算,调用PKI基础设施仿真模块来仿真和外部πα的功能交互完成测试,并自动生成测试日志和测试报告。本发明还涉及一种电子护照PKI功能测试方法,包含以下步骤
(1)将PKI功能测试套件导入到测试管理模块;
(2)测试管理模块运行PKI测试脚本;
(3)测试中的算法运算通过算法支撑模块实现,并通过PKI基础设施仿真模块实现与外部的PKI交互;
(4)测试管理模块将脚本中交互指令发送到设备控制模块与电子护照进行通讯;
(5)电子护照响应数据回传至测试管理模块;
(6)分析响应数据,生成测试日志及测试报告。在脚本管理模块中选择一个脚本运行,脚本先调用PKI基础设施仿真模块生成相关证书并放置到指定路径,执行时通过设置认证模板指令导入证书链中的证书,再执行验证证书签名的指令来验证证书签名的正确性。证书和证书链验证成功后,通过设置认证模板指令设置证书链最低端证书为认证模板,此时测试脚本调用算法支撑模块的私钥签名算法通过证书链私钥生成签名数据,签名数据通过外部认证指令发送给电子护照,电子护照通过导入的证书链公钥进行验证,完成终端认证的测试执行流程。测试过程记录在测试日志中,执行结束自动生成测试报告。采用本发明所提供的电子护照测试系统及方法,能够通过提取PKI功能测试特征,达到对PKI系统测试的优化,提高测试覆盖率,满足高端智能卡产品在PKI测试中的需求。
图1电子护照PKI功能测试系统结构2电子护照PKI功能测试方法流程图。
具体实施方案以下结合各附图对本发明提出的内容进行详细的描述。图1为本发明提供的电子护照PKI功能测试系统的结构图,包括电子护照PKI功能测试套件、PKI基础设施仿真模块、 算法支撑模块、测试管理模块、设备控制模块及电子护照读写机具以及被测对象电子护照。智能卡PKI实现可以分层为PKI芯片硬件实现支撑层、PKI技术服务层、PKI应用支撑层,该分层划分有助于对电子护照πα内部功能的实现。进一步地智能卡外部PKI基础设施仿真模块用于测试电子护照内部PKI功能,其功能包括认证中心CA证书功能仿真模块(证书生成、证书签发、证书更新、证书撤销CRL)、密钥及算法管理模块(包括密钥生成、密钥更新、密钥销毁、密钥交换、密钥运算、密钥存储、算法设置)、安全认证管理模块(包括单向/双向认证、内部/外部认证、数字签名),证书格式为电子护照支持的卡片可验证格式的证书格式。算法支撑库由OpenSSL开源库以DLL形式提供,可为PKI基础设施仿真模块和测试管理模块提供算法服务。测试管理模块执行PKI测试套件中的脚本,通过设备控制模块与读卡机具和被测电子护照交互。设备控制模块主要由测试设备驱动模块构成。电子护照PKI功能测试套件基于EAC Versionl. 11及EAC Versionl. 12的电子护照国际标准构建,包括PKI指令集测试、证书体测试、证书链验证测试、证书生命期测试、访问控制策略测试、交叉认证测试、签名验证功能测试、密钥及算法测试。证书体测试、证书链验证测试、证书生命期测试、访问控制策略测试、交叉认证测试等完成与EAC认证流程相关的测试,其中证书生成由PKI基础设施仿真模块完成,该模块具有CA (认证中心)、RA (注册中心)jser (证书用户)三级证书链的生成能力,三级证书链对应为ICAO标准定义的国家CA、护照签发验证机构(RA)、检查系统IS (终端)。下面以DV (旅行证件验证机构)证书验证为例,进行详细的说明在测试管理模块中选择电子护照PKI测试套件中的DV证书验证脚本,执行脚本,执行中调用PKI基础设施仿真模块生成DV证书,执行设置验证公钥证书指令及证书验证指令,指令通过设备控制模块发送到读卡机具,读写机具将指令发送到电子护照并接收响应,对指令结果进行判断,得出报告结论,自动写入测试报告并进行日志记录。
权利要求
1.一种电子护照PKI功能测试系统,其特征在于该系统包含电子护照PKI功能测试套件模块、算法支撑模块、PKI基础设施仿真模块、测试管理模块、设备控制模块以及读写机具。
2.如权利要求1所述的一种电子护照PKI功能测试系统,其特征在于所述电子护照 PKI功能测试套件模块基于EAC Versionl. 11及EAC Versionl. 12的电子护照国际标准构建。
3.如权利要求1所述的一种电子护照PKI功能测试系统,其特征在于所述电子护照 PKI功能测试套件实现PKI指令集测试、证书体测试、证书链验证测试、证书生命期测试、访问控制策略测试、交叉认证测试、签名验证功能测试、密钥及算法测试。
4.如权利要求1或3所述的一种电子护照PKI功能测试系统,其特征在于所述证书体的证书格式为电子护照支持卡片可验证的证书格式,或符合X. 509证书格式。
5.如权利要求1所述的一种电子护照PKI功能测试系统,其特征在于所述PKI基础设施仿真模块实现认证中心CA功能仿真、密钥及算法管理和安全认证管理。
6.一种电子护照PKI功能测试方法,包含以下步骤(1)将PKI功能测试套件导入到测试管理模块;(2)测试管理模块运行PKI测试脚本;(3)测试中的算法运算通过算法支撑模块实现,并通过PKI基础设施仿真模块实现与外部的PKI交互;(4)测试管理模块将脚本中交互指令发送到设备控制模块与电子护照进行通讯;(5)电子护照响应数据回传至测试管理模块;(6)分析响应数据,生成测试日志及测试报告。
全文摘要
本发明提供一种电子护照PKI功能测试系统及方法。该系统包含电子护照PKI功能测试套件模块、算法支撑模块、PKI基础设施仿真模块、测试管理模块、设备控制模块以及读写机具。设备控制模块连接外部读卡机具,测试管理模块单步或全速运行电子护照PKI功能测试套件中的测试脚本,在执行中调用算法支撑模块进行密钥运算,调用PKI基础设施仿真模块来仿真和外部PKI的功能交互完成测试,并自动生成测试日志和测试报告。本发明还涉及一种电子护照PKI功能测试方法。通过本发明内容能够达到对PKI系统测试的优化,提高测试覆盖率,满足高端智能卡产品在PKI测试中的需求。
文档编号G06F11/22GK102486744SQ201010572278
公开日2012年6月6日 申请日期2010年12月3日 优先权日2010年12月3日
发明者刘玉军 申请人:上海华虹集成电路有限责任公司