分级管理模式密钥管理系统的安全性测试方法

摘要

本发明公开了一种分级管理模式密钥管理系统的安全性测试方法，包括：测试下一级密钥生成过程中，密钥存储与传递的安全性；以及测试上一级密钥重复生成下一级密钥的安全性。该密钥管理系统的安全性测试方法，从系统设计和系统实现两个角度，对采用分级管理模式的密钥管理系统的密钥存储、传递及密钥重复生成的安全性进行检验，从而减少了密钥管理系统可能存在的漏洞，提高了智能卡应用系统的安全性。

说明书

技术领域

本发明涉及密钥管理系统的测试技术，尤其涉及一种分级管理模式密钥管理系统的安全性测试方法。

背景技术

在智能卡项目中，应用系统的安全性取决于密钥的安全性，密钥的安全控制和管理由密钥管理系统(Key Management System，KMS)负责实现。

分级管理模式的密钥管理系统主要是为生产管理、应用服务提供密钥的生产、存储、分发和管理等服务，其主要特点是下一级密钥由上一级密钥按照一定的密钥计算规则生成。分级管理模式的密钥管理系统涉及到的干系卡及各干系卡相互间的关联关系可参阅图1所示，包括有：

领导卡，存放根密钥分量，用于生成根密钥卡；

根密钥卡，存放根密钥，用于与业务代码卡组合，生成主密钥卡；

主密钥卡，存放主密钥，用于与操作代码卡组合，生成发卡母卡或PSAM卡；

业务代码卡，存放所有业务的代码；

操作代码卡，存放所有业务的操作码；

用户卡发卡母卡，存放所有业务的卡片母密钥；

PSAM卡，存放卡片母密钥(不超过发卡母卡中存放的卡片母密钥量)；

传输卡，存放传输密钥，用于对干系卡进行外部认证以及线路保护。

对密钥管理系统的测试，目前主要是集中在功能、性能、安装/卸载以及易用性等方面，安全性测试，特别是数据传递方面的安全性测试，则很少涉及。但是，在密钥管理系统中，保证密钥的安全性是最主要的任务。虽然目前广泛使用的权限控制方法，即不同机构或人员对不同密钥的生成、更新、使用等操作拥有不同的权限，对于保证密钥的安全性具有一定的作用，但是随着计算机技术的不断提高，仅依靠权限控制方法已不足以防范系统可能受到的攻击。

发明内容

本发明要解决的技术问题是提供一种分级管理模式密钥管理系统的安全性测试方法，它可以提高智能卡应用系统的安全性。

为解决上述技术问题，本发明的分级管理模式密钥管理系统的安全性测试方法，包括以下步骤：

1)测试上一级密钥生成下一级密钥过程中，密钥存储与传递的安全性；

2)测试上一级密钥重复生成下一级密钥的安全性。

所述步骤1)之前，可先对密钥管理系统的设计文档进行审核，以从系统设计角度，核实密钥存储与传递的安全性以及密钥重复生成的安全性。

所述步骤1)可以通过以下步骤实现：在密钥管理系统中，执行密钥存储、导入和导出操作，验证密钥是否只存储在安全介质中并不可被读取、密钥计算规则的正确性以及是否采用了正确的线路保护传输方式。

所述步骤2)可以通过以下步骤实现：在密钥管理系统中，使用相同的密钥种子或密钥分散因子数据，分别对各级密钥重复执行密钥的生成和存储操作，检查每次生成的密钥的明文数据是否一致。

本发明通过对分级管理模式密钥管理系统的密钥存储与传递的安全性以及密钥重复生成的安全性进行测试，减少了智能卡应用系统可能存在的安全漏洞，从而使系统的安全性得以提高。

附图说明

图1是分级管理模式密钥管理系统的干系卡关联图；

图2是本发明的方法流程示意图。

具体实施方式

为对本发明的技术内容、特点与功效有更具体的了解，现结合图示的实施方式，详述如下：

本发明实施例的分级管理模式密钥管理系统的安全性测试方法，主要是对密钥管理系统的密钥存储与传递方面的安全性以及密钥重复生成方面的安全性进行测试。

在对上一级密钥生成下一级密钥过程中，密钥存储与传递的安全性进行测试时，首先审核系统设计文档，从系统设计角度，检查是否对密钥进行了分级管理，并将密钥存储在安全的存储介质(即相应的密钥卡)内，且对全部密钥采用了线路保护(即有随机数参与的密文加报文鉴别代码MAC)的传输方式。

然后，在密钥管理系统中执行密钥存储与导入/导出操作，检查系统在实施时，有否对密钥进行分级管理，并将密钥存储在安全介质中且不可被读取；同时，运行总线数据包的监视与抓取工具，捕捉来自密钥管理系统设备的协议包与输入输出数据，检查系统实施时，是否存在用明文传输密钥的风险。

在对上一级密钥重复生成下一级密钥的安全性进行测试时，首先，审核系统设计文档，检查在各级密钥的生成过程中是否加入了随机数因子，以检查系统采用相同密钥种子或密钥分散因子作为密钥恢复手段，在设计上的正确性。

然后，在系统中使用相同的密钥种子或密钥分散因子(即业务代码、操作代码等)数据，分别对各级密钥进行重复执行密钥生成和存储的操作，检查生成并存储在密钥卡中的密钥明文是否一致，以验证系统实施时，密钥重复生成的安全性。

下面以上一级卡为领导卡，下一级卡为根密钥卡为例，对本实施例的安全性测试方法做进一步说明。

请参阅图2所示，包括以下步骤：

(1)审查系统设计文档，从设计角度，对整个密钥管理系统中，密钥存储与传递的安全性以及密钥重复生成的安全性进行测试。

(2)在读卡器中分别插入3张领导卡以及相应的领导卡传输卡，通过密钥管理系统软件，使用PIN以及领导卡传输卡，对领导卡的身份进行确认，并使用总线数据包监视与抓取工具将此过程中的数据抓取下来。

如果身份确认通过，则将上述抓取到的过程数据，按照设计定义的规则，进行密文的解密，外部认证指令的辨别等操作，以验证确认过程的正确性。然后继续执行步骤(3)。

如果身份确认不通过，则给出错误提示，请用户确认PIN值或所插入的领导卡与领导卡传输卡的正确性。

(3)在读卡器中分别插入根密钥卡以及相应的根密钥传输卡，以对根密钥卡的身份进行确认，并使用总线数据包监视与抓取工具将此过程中的数据抓取下来。

如果身份确认通过，则将抓取到的过程数据按照设计定义的规则进行密文的解密，外部认证指令的辨别等操作，以验证确认过程的正确性，然后继续执行步骤(4)。

如果身份确认不通过，则给出错误提示，请用户确认所插入的根密钥卡与根密钥传输卡的正确性。

(4)进行生成根密钥的操作，并使用总线数据包监视与抓取工具将此过程中的数据抓取下来；对抓取到的过程数据按照设计定义的规则进行密文的解密，及MAC的计算等操作，验证密钥计算规则的正确性以及线路保护的正确性。

然后，使用读指令对根密钥卡进行读操作，验证根密钥卡是否不支持对密钥的读出操作。

(5)重复步骤4，并使用总线数据包监视与抓取工具将每次执行过程中的数据抓取下来进行分析，验证每次执行所生成的根密钥明文数据是否都相同。

以上仅列举了本发明的一个实施例，该实施例仅用于解释本发明，并非用于限定本发明。凡与上述实施例等效的变换与置换，均应属于本发明的保护范围。