智能卡cos多应用隔离的安全性测试方法

智能卡cos多应用隔离的安全性测试方法
【技术领域】
[0001]本发明涉及智能卡COS (Chip Operating System片内操作系统)的测试领域,尤其涉及一种智能卡COS多应用隔离的安全性测试方法。
【背景技术】
[0002]随着现代生活中对于智能卡“一卡多用”要求的不断提高，在一张智能卡上集成多个应用的趋势越来越明显，这就要求卡数据及卡的应用安全对于不同的应用是相对独立的。也就是说各个应用的应用数据必须是分区存放的，各个应用对自已的数据进行的是独享式的访问和处理。
[0003]对于智能卡COS多应用的测试，目前主要集中在对各个应用的功能性测试上，即各个应用是否能正确的实现本身的功能的测试上，而对于安全性测试，特别是多应用隔离的安全性测试，则很少涉及。但是，随着“一卡多用”的不断发展，保证卡上各个应用数据访问的安全性将会越来越重要，特别是当应用中有金融应用时，则显得尤为重要。目前的测试方法主要是通过对卡上每个应用分别进行功能测试，通过验证每个应用的功能正确性来推论出多应用智能卡是安全可用的，但这样的测试并不是真正意义上的安全性测试，不足以防范未来智能卡COS多应用可能受到的安全攻击。

【发明内容】

[0004]本发明要解决的技术问题是提供一种智能卡COS多应用隔离的安全性测试方法，它可以提高智能卡COS多应用的安全性。
[0005]为解决上述技术问题，本发明的智能卡COS多应用隔离的安全性测试方法，包括:
[0006]文件结构测试，核实多应用环境下，各个应用的存储空间独立，相互间无覆盖；
[0007]文件管理测试，核实各个应用对于自身的文件存储与访问的正确性，各个应用间不能相互访问；
[0008]密钥管理测试，核实各个应用对于密钥使用的独立性，各个应用只能使用或修改本应用中的密钥，而无法使用到其他应用下的密钥；
[0009]安全管理测试，核实多应用环境下，各应用的安全状态独立，相互间不受影响；核实多应用环境下，各应用所处的应用生命周期独立，相互间不受影响；
[0010]指令管理测试，核实应用中的专有指令以及符合该应用要求的7816指令，只在该应用中有效，各应用间不可通用。
[0011]本发明通过对智能卡多应用COS进行文件结构测试、文件管理测试、密钥管理测试、安全管理测试以及指令管理测试来完成对各应用间隔离的安全性测试，从系统设计和系统实现两个角度，对智能卡多应用COS的文件结构、文件管理、密钥管理、安全管理以及指令管理的安全性进行检测，进而减少智能卡多应用COS在多个应用并存时，可能存在的多应用间的安全漏洞，使COS应用系统的安全性得以提高。
【附图说明】
[0012]图1是多应用文件结构示意图。
[0013]图2是所述智能卡COS多应用隔离的安全性测试方法流程示意图。
【具体实施方式】
[0014]为对本发明的技术内容、特点与功效有更具体的了解，现结合图示的实施方式，详述如下:
[0015]参见图2所示，本发明实施例的智能卡COS多应用隔离的安全性测试方法，主要是通过对智能卡多应用COS进行文件结构测试、文件管理测试、密钥管理测试、安全管理测试以及指令管理测试来完成对各应用间隔离的安全性测试。在下面的描述中，所述的“某个应用”是指所有各个应用中的任意一个应用。所述“某个文件”是指所有文件中的任意一个文件。
[0016]在进行文件结构测试之前，首先对智能卡COS的系统设计文档进行审核，以从系统设计角度，核实当多应用文件结构建立时，系统设计是否采用了独立性存储空间设计。
[0017]所述文件结构测试，是核实多应用环境下，各个应用的存储空间独立，相互间无覆盖。采用下述方法实现:对各个应用所占存储空间的独立性进行测试，检测某个应用所能使用到的存储空间不会越界到其他应用的存储空间，即只能使用到为该应用定义好的存储空间。具体测试的项目如下:
[0018](I)各个应用所占存储空间的独立性进行测试。要求多应用文件结构建立后(如图1所示)，某个应用数据满载之后，不影响其他应用的正常功能，也不影响其他应用的满载。
[0019](2)对存储空间的边界测试。对某个应用进行满载数据写入操作，将写入的最后一部分数据量设置成写入的数据总量，超过本应用的满载数据量，要求COS处理本次数据写入不成功，并返回相应的错误返回码，即应用不可越界。
[0020]( 3 )文件链表异常保护测试(需要在仿真器上构造异常)。在某个应用下，对某个文件(例如EF文件)的文件链表进行修改，然后对该文件进行写操作，COS处理本次数据写入不成功，并返回相应的错误返回码，即写操作不会越界到其他应用中。
[0021]在进行文件管理测试之前，首先，对智能卡COS的系统设计文档进行审核，以从系统设计角度，核实当多应用并存时，多应用间的文件存储与访问是否采用了隔离性设计。
[0022]所述文件管理测试，是核实各个应用对于自身的文件存储与访问的正确性，各个应用间不能相互访问。采用下述方法实现:检测某个应用只能访问到本应用下的DDF(Directory Definit1n File 目录定义文件)、ADF (Applicat1n Definit1n File 应用数据文件)以及EF (Elementary File基本文件)文件,而无法访问到其他应用下的DDF、ADF以及EF文件。具体测试的项目如下:
[0023]( i )对于各个应用的DDF、ADF以及EF文件访问的正确性测试。要求访问后能正确的选中文件，并返回正确的信息(例如:文件控制信息)。
[0024](? )对于越应用访问文件的测试。要求COS禁止越应用进行DDF、ADF以及EF文件的访问，并返回相应的错误返回码。
[0025]在进行密钥管理测试之前，首先，对智能卡COS的系统设计文档进行审核，以从系统设计角度，核实当多应用并存时，多应用间的密钥管理是否采用了隔离性设计。
[0026]所述密钥管理测试，是核实各个应用对于密钥使用的独立性，各个应用只能使用或修改本应用中的密钥，而无法使用到其他应用下的密钥。采用下述方法实现:检测各个应用只能使用或修改自身的密钥，即无法使用或修改到其他应用的密钥；检测各个应用创建文件和追加密钥中MAC (message authenticat1n code报文鉴别代码)计算使用的主控密钥独立，即各应用只能使用到自己的主控密钥，无法使用到其他应用的主控密钥。具体测试的项目如下:
[0027]( I )密钥使用的正确性测试。各个应用间若有类型与索引相同的密钥，则在当前应用下只能使用或修改本应用中的密钥。
[0028]( II )多主控密钥使用的正确性测试。在创建各个应用，需要计算MAC时，只能使用指定给该应用的主控密钥，在创建各个应用下的文件，需要计算MAC时，也只能使用该应用下指定的主控密钥。
[0029](III)越应用密钥使用的测试。当前应用下涉及到使用密钥的指令(例如:涉及到计算MAC的指令)，该指令所需要的密钥未建立，则在当前应用下使用该指令，COS不会使用到其他应用中类型与索引符合该指令要求的密钥，该指令执行应不成功，COS应返回相应的错误返回码。
[0030](IV)越应用密钥修改的测试。当前应用下修改类型与索引并不存在的密钥，COS不会修改到其他应用中类型与索引相同的密钥，该指令执行应不成功，COS应返回相应的错误返回码。
[0031](V)越应用主控密钥使用的测试。在创建某个应用，需要计算MAC时，未使用指定给该应用的主控密钥，则该应用的DDF文件应创建不成功；在创建某个应用下的文件，需要计算MAC时，未使用指定給该应用的主控密钥，则该文件应创建不成功。
[0032]在进行安全管理测试之前，首先，对智能卡COS的系统设计文档进行审核，以从系统设计角度，核实当多应用并存时，多应用间的安全管理是否采用了隔离性设计。
[0033]所述安全管理测试，是核实多应用环境下，各应用的安全状态独立，相互间不受影响；核实多应用环境下，各应用所处的应用生命周期独立，相互间不受影响。采用下述方法实现:安全状态的独立性测试，检测某个应用下获得的安全状态，在离开该应用进入其他应用后，安全状态失效，即便再次返回该应用，安全状态仍失效；生命周期的独立性测试，检测所有应用中的一个应用完成个人化后，进入用户