智能卡COS多应用隔离的安全性测试方法

　　然后，进行如下正向测试：

　　(1)密钥使用的正确性测试。各个应用问若有类型与索引相同的密钥，则在当前应用下只能使用或修改本应用中的密钥。

　　(2)多主控密钥使用的正确性测试。在创建各个应用，需要计算MAC时，只能使用指定给该应用的主控密钥，在创建各个应用下的文件，需要计算MAC时，也只能使用该应用下指定的主控密钥。

　　最后，进行如下反向测试：

　　(1)越应用密钥使用的测试。当前应用下涉及到使用密钥的指令(例如：涉及到计算MAC的指令)，该指令所需要的密钥未建立，则在当前应用下使用该指令，COS不会使用到其他应用中类型与索引符合该指令要求的密钥，该指令执行应不成功，COS应返回相应的错误返回码。

　　(2)越应用密钥修改的测试。当前应用下修改类型与索引并不存在的密钥，COS不会修改到其他应用中类型与索引相同的密钥，该指令执行应不成功，COS应返回相应的错误返回码。

　　(3)越应用主控密钥使用的测试。在创建某个应用，需要计算MAC时，未使用指定给该应用的主控密钥，则该应用的DDF文件应创建不成功;在创建某个应用下的文件，需要计算MAC时，未使用指定给该应用的主控密钥，则该文件应创建不成功。

　　密钥管理测试的完成标准为：多应用环境下，对于密钥隔离管理的安全性符合系统设计文档的要求。

　　5 安全管理测试

　　5.1　测试目标

　　应用生命周期分：勾两个阶段：个人化阶段以及用户应用阶段。个人化阶段中设立的安全权限只在用户应用阶段生效，即个人化阶段中的操作不受所设安全权限的限制。

　　安全管理的测试目标如下：

　　(1)核实多应用环境下，各应用的安全状态独立，相互间不受影响。

　　(2)核实多应用环境下，各应用所处的应用生命周期独立，相互问不受影响。

　　5.2　测试方法

　　首先，在系统设计文档完成时，需要参与评审，从系统设计角度，核实当多应用并存时，多应用间的安全管理是否采用了隔离性设计。

　　然后，进行如下Ⅱ：向测试：

　　(1)安全状态的有效性测试，包括如下内容：

　　●在当前应用下通过某种认证(例如：外部认证)获得了安全状态，跳转到其他应用后，该安全状态不被保留，即其他应用下也需要通过相同认证方式方可获得的安全状态未被激活。

　　●在当前应用下通过了某种认证(例如：外部认证)获得了安全状态，跳转到其他应用后，再跳转回该应用，该安全状态不被保留。

　　●在当前应用下通过了某种认证(例如：外部认证)获得了安全状态，再次进行该种认证，但认证失败，则该安全状态被清除。

　　●生命周期的有效性测试。在当前应用下完成个人化后，进入用户应用阶段，所设立的安全权限在该阶段生效。

　　最后，进行如下反向测试：

　　(1)在当前应用已无法使用(例如：应用锁定)的情况下，其他应用的使用正常，可获得的安全状态途径不变。

　　(2)当前应用已进入用户应用阶段，即所设立的安全权限已生效，而其他应用应不会受影响，依然处于各自的原有阶段。

　　安全管理测试的完成标准为：多应用环境下，对于安全隔离管理的安全性符合系统设计文档的要求。

　　6 指令管理测试

　　6.1　测试目标

　　智能卡的应用中，一般都会包含该应用所依据的规范中定义的专有指令(例如：金融应用PBOC3.0规范中定义的金融专有GPO指令[21)以及7816协议定义的部分7816指令(例如：select指令)。

　　指令管理测试的测试目标为：核实应用中的专有指令以及符合该应用要求的7816指令，只在该应用中有效，各应用间不可通用。

　　6.2　测试方法

　　首先，在系统设计文档完成时，需要参与评审，从系统设计角度，核实当多应用并存时，多应用间的指令管理是否采用了隔离性设计。

　　然后，进行正向测试：指令的有效性测试。当前应用的专有指令以及符合该应用要求的7816指令，可在当前应用下正确使用。

　　最后，进行反向测试：其他应用的专有指令不可在当前应用下使用，不符合当前应用要求的7816指令不可在当前应用下使用，COS应返回相应的错误返回码。

　　指令管理测试的完成标准为：多应用环境下，对于指令隔离管理的安全性符合系统设计文档的要求。

　　7 结论

　　本文探讨了智能卡COS多应用隔离的安全性测试方法，包括文件结构测试、文件管理测试、密钥管理测试、安全管理测试以及指令管理测试五部分内容。通过在实际工作中的使用情况表明，所设计的安全陛测试方法行之有效。