（机械电子工程专业论文）智能卡抗干扰测试系统的研究.pdf

北京邮电大学硕士论文 智能卡抗干扰测试系统的研究 摘要 本文首先介绍了国内外智能卡测试的特点、发展现状和前景，提 出智能卡抗干扰测试系统研究的必要性。 在分析智能卡故障原因的基础上，结合智能卡可靠性预计理论， 提出采用故障注入方式进行干扰的测试方法。在该测试方法的基础 上，将接触式智能卡的抗干扰测试系统划分为接触式干扰注入和辐射 式干扰注入两类。 详细介绍接触式抗干扰测试系统的设计方案，从硬件和软件设计 角度对自主研发的接触式故障注入器进行剖析。说明接触式故障注入 器和测试主机之间的通信协议，对测试系统的上层软件设计和整个系 统的测试流程都进行了详细的阐述。 接触式抗干扰测试由信号中断测试、供电稳定性测试和磨损测试 三部分组成。对辐射干扰测试和接触式抗干扰测试的数据进行整理分 析。针对每种测试，都给出相关的测试结论，并指出该种测试对于提 高智能卡可靠性的必要性。 研究结果表明该测试系统可以有效地评估智能卡防御旁路攻击 的能力和抗干扰可靠性，能够及时有效地为设计人员提供反馈信息， 为智能卡抗干扰测试提供了一种方便、经济、较为高效的测试方法， 同时也为抗干扰测试的自动化研究提供了一种可行方案。 关键字接触式智能卡故障注入 可靠性旁路攻击测试 北京邮电大学硕士论文 r e s e a r c ho fa n t i d i s u t u rb a n c et e s t i n g s y s t e mo ns m a r tc a r d s a bs t r a c t t h i sd i s s e r t a t i o ni n t r o d u c e st h ed o m e s t i ca n dc i v i l i n t e g r a t e dc a r d s f i r s t l y c o n c e r n i n gt h e i rt e s t i n gc h a r a c t e r i s t i c ，d e v e l o p i n gs i t u a t i o na n d p o t e n t i a l ，i td i s c u s s e st h ee s s e n t i a lo fs e t t i n gu pa na n t i d i s t u r b a n c e t e s t i n gs y s t e mo ns m a r tc a r d s a c c o r d i n gt ot h ea n a l y s e so ff a u l t st h a tt a k ep l a c et oi n t e g r a t e dc a r d s ， i ta f f i r m st h a tw es h o u l dt a k et h ef a u l t - i n j e c t i o nm e t h o dt ot e s ti n t e g r a t e d c a r do nt h eb a s i so fc a r dr e l i a b i l i t yt h e o r y a n db a s e do nt h i st e s t i n g m e t h o d ，i tc a nb ed i v i d e di n t ot w os e c t i o n st od i s t i n g u i s ht h ec o n t a c t i n g a n t i - d i s t u r b a n c et e s t i n gs y s t e mb yt h o s es 0 - c a l l e dc o n t a c t i n ga n dr a d i a n t f a u l ti n j e c t i o nm e t h o d s i n t r o d u c i n gt h es c h e m ea b o u tt h a tc o n t a c tf a u l ti n j e c t i o ni nd e t a i l ，i t d e e p l ya n a l y z e s t h e c o n t a c t i n gf a u l t - i n je c t i n gs y s t e md e s i g n e d i n d e p e n d e n t l ya t b o t hh a r d w a r ea n ds o f t w a r ea s p e c t i ts h o w st h e c o m m u n i c a t i o np r o t o c o lb e t w e e ni n je c t o ra n dt e s t i n gm a i n f r a m e ，f u l l y a c c o u n t i n gf o rt h ew h o l eu p p e rl a y e rd e s i g na n dt e s t i n gp r o c e s sc h a r t m e a n w h i l e c o n t a c t i n g a n t i d i s t u r b a n c et e s t c o m p r i s e ss i g n a l b r e a k o u tt e s t ， p o w e rs u p p l y i n gs t a b i l i t yt e s ta n dw e a r - o u tt e s t a f t e rs o r t i n gt h er e s u l t s c o m e sf r o mb o t hc o n t a c t i n ga n dr a d i a n tf a u l t i n je c t i o ns y s t e m ，t h e d i s s e r t a t i o nc o n c l u s i o nb a s i c a l l yp r o v et ob ea d v a n t a g e o u st ob o o s t r e l i a b i l i t yo fi n t e g r a t e dc a r d ，a n dp o i n to u tt h ea p p l i c a b l ee n v i r o n m e n t a c c o r d i n g l y i tp r o v e so u tt h a tt h et e s t i n gs y s t e mc a ne f f i c i e n t l ye s t i m a t et h e c a p a b i l i t y o fs i d ec h a n n e l c r y p t a n a l y s i sr e s i s t a n c ea n dr e l i a b i l i t yo f a n t i d i s t u r b a n c ea sw e l l ，p r o v i d i n gd e s i g n e r sw i t hf e e d b a c ki n f o r m a t i o n e f f e c t i v e l y a d v a n c i n gt h es i t u a t i o no fa n t i d i s t u r b a n c e ，i tc a np r o b a b l y 北京邮电大学硕士论文 o f f e ran e wt e s t i n gm e t h o d ，w h i c hi sm o r ec o n v e n i e n t ，e c o n o m i c a la n d e f f i c a c i o u s ，a n da l s op r o v i d ead if f e r e n tf e a s i b i l i t yf o rt h ea u t o m a t i c r e s e a r c h k e yw o r d s i n t e g r a t e dc a r d ( s ) w i t hc o n t a c t s f a u l ti n j e c t i o n r e l i a b i l i t y s i d e c h a n n e lc r y p t a n a l y s i s t e s t i n g 北京邮电大学硕士论文 独创性( 或创新性) 声明 本人声明所呈交的论文是本人在导师指导下进行的研究工作及取得的研究 成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不 包含其他人已经发表或撰写过的研究成果，也不包含为获得北京邮电大学或其他 教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任 何贡献均已在论文中作了明确的说明并表示了谢意。 申请学位论 本人签名： 处，本人承担一切相关责任。 日期： 关于论文使用授权的说明 学位论文作者完全了解北京邮电大学有关保留和使用学位论文的规定，即： 研究生在校攻读学位期间论文工作的知识产权单位属北京邮电大学。学校有权保 留并向国家有关部门或机构送交论文的复印件和磁盘，允许学位论文被查阅和借 阅；学校可以公布学位论文的全部或部分内容，可以允许采用影印、缩印或其它 复制手段保存、汇编学位论文。( 保密的学位论文在解密后遵守此规定) 保密论文注释：本学位论文属于保密在一年解密后适用本授权书。非保密论 文注释：本学位 本人签名： 导师签名： 适用本授权书。 日期： 日期： 北京邮电大学硕士论文 1 1 课题意义 第一章绪论 智能卡是i c 卡( 集成电路卡) 的一种，它将微电子与计算机技术结合在一 起，具有保密性强、存储量大、安全度高、能真正实现“一卡通”的特点。如 今这项技术已经广泛应用到通信、金融、交通、医疗、身份证明等多个行业，提 高了人们生活和工作的现代化程度。按通信方式的不同：智能卡分接触式和非接 触式两种。前者芯片有8 个触点可与外界接触。非接触式卡表面无触点，因此接 口设备与非接触式卡的通信方式与接触式卡不同，提供电源的方式也不同。二者 各有特点，结合相应的应用需求各自发挥着作用。本论文的研究对象为接触式智 能卡，详见2 1 节【l j 。 智能卡投入商用前需要进行一系列的测试项目。针对智能卡的测试，有一系 列的国际行业标准，针对其特点和应用范围，对卡片规格和性能做出了严格的规 定。智能卡制造商必须以大批量、高质量以及低成本来制造和推销其产品。 首先，智能卡的特点决定了其测试独具特色的重要性。和半导体行业中其它 分支不同，智能卡产品中含有比较复杂的微控制器以及大多数不能更改的软件。 与标准的个人微型计算机( p cp e r s o n a lc o m p u t e r ) 应用软件比较，p c 的应用软 件，在短时间( 大约从数周到至多l - - 2 月的范围内) 使用修订的和改进的版本 ( 版本编号的末尾通常为“a 、“b 、“c 等等) 用来代替第1 次发行的新软件 ( 通常在版本编号的末尾用“0 ”来标识) ，以弥补产品上市前未发现的漏洞。这 在智能卡是不可能的，掩模编程软件的特点是固定的，不可能用任何召回活动来 替换己发行的大量的卡。这样的行为也会对智能卡制造商的声誉造成持久性的危 害，其代价是无法估计的【2 】。可以想象此类情况如果在具有特殊敏感型的金融交 易领域发生所能引发的灾难。此外，任何产品的测试标准都不是一成不变停止不 前的，接触式智能卡产品也不例外。因此，在总结原有测试标准的基础上，研究 有效可行的测试方法具有重要意义。 其次，智能卡应用环境的复杂性决定了其可靠性的特殊要求。智能卡以其自 身高效、安全、便捷的特点在众多的领域应用，同时由于其应用环境复杂多变， 环境影响因素相对增多。智能卡固有的安全性是其关键优势之一，也是许多领域 使用智能卡的前提和基础。这种安全性是传统磁条卡、存储器卡以及逻辑加密卡 北京邮电大学硕上论文 所不具备或者安全保护措施所不及的。基于智能卡安全性能以及其应用环境的复 杂性，国际标准i s o i e c7 8 1 6 中已经考虑了诸多因素并有详细的环境应用指标。 这些测试指标多为验证测试的参考值，仅仅满足现有的标准达不到目前智能卡研 发的速度和要求。因此，研究一种方法满足智能卡可靠性的评估是厂商的迫切需 求。 最后，出于智能卡设计研发阶段的考虑。实践表明，在不同的阶段检测并排 除故障，其成本的开销相差巨大。越早发现问题越有助于降低成本，提高经济效 益。质量保证，以及相关的测试过程与方法，对智能卡来说特别重要。本课题的 研究意义之一在于通过对智能卡抗干扰可靠性测试，评估设计人员的可靠性设计 并提供有效的反馈。 对接触式智能卡测试方法的研究具有重要的应用价值。本文在借鉴现有的智 能卡测试理论的基础上，结合接触式智能卡应用特点进行研究，从而产生一套适 用于接触式卡的抗干扰性测试方法。这对测试技术的发展本身也有一定的推动作 用，因此具有重要的理论价值。 1 2 现状分析 目前人们在接触式智能卡的制造方面已经积累了丰富的经验，使接触式智能 卡的可靠性在过去的几年中持续地得到了改进和提高。电话卡的一年寿命期内的 损坏率目前已在于分之一以下【3 j 。 近几年来，接触式智能卡的应用已经进入了一个新的阶段，它的生产、制造 和发行在技术层面上也得到了长足的进步。在此基础上，接触式智能卡的测试技 术显然也需要得到进一步的发展。本文对接触式智能卡的可靠性测试方法进行了 设计与研究。 尽管智能卡的各项技术已经取得长足的进步，智能卡使用中还是出现了诸多 故障问题，常见的故障现象主要有：密码检验错误，数据写入出错，乱码，全“0 、 全“f ，数据丢失等。这些故障的存在给使用者带来很大的不便甚至巨大的损失， 严重影响了智能卡在数据安全要求高的众多领域的应用。可以说是小问题大麻 烦。已经投放市场的智能卡，除重大设计或生产失误外，故障现象的产生大多是 偶然发生的。这种偶发性和不确定性在测试人员解决用户投诉时带来了麻烦，如 果芯片没有完全损伤，使用破坏性的失效分析方法是查不到根本原因的。如果重 新下载c o s ( c h i po p e r a t i n gs y s t e m ，卡内操作系统) ，无法确定何种问题导致产 品出现投诉故障。因此十分有必要结合智能卡的使用环境对智能卡进行故障现象 分析，探索导致故障乃至智能卡失效的原因，在智能卡设计阶段进行故障测试进 而采取相应的措施改进智能卡质量和性能。目前有关接触式智能卡故障模拟测试 2 北京邮电大学硕十论文 方面的研究比较少，这方面的欠缺也引起了智能卡制造商的广泛关注。 尽管智能卡的各项技术已经取得长足的进步，研究资料显示电接触点仍然是 接触式智能卡机电系统中最频繁的故障原因之一。例如，接触电极被弄脏或磨损 都有可能导致故障；在汽车上应用的设备中，振动可能产生短暂的中断接触的现 象；由于卡面的触点是与潜入卡里的集成电路的输入端直接相连的，因而存在着 有静电放电导致集成电路被损坏的风斛4 1 。本文在分析接触式智能卡故障原因的 基础上主要针对电接触点引入的故障进行故障分类和模拟测试，进而提出几个重 要的故障注入模型。希望通过对测试结果的分析评估智能卡该方面的可靠性。 安全性是智能卡的关键优势之一。一个智能卡并不天然具有所要求的安全 性，其芯片安全、操作系统安全、应用代码安全和芯片密码算法实现需要符合一 个专业认可的标准，否则一些特定的攻击方法使得攻击i c 卡内的签名私钥或对 称加密算法密钥比起以软件和算法方式攻击相应的密钥容易得多。众多不法分子 智能卡所承载的保密信息一直持有极高的兴趣。各种各样的手段层出不穷，比如 破解算法【5 】。近几年来，出现许多旁路攻击的案例。一言以蔽之，旁路攻击是从 智能卡的硬件敲开保密信息的大门的多种方法的总称。 基于智能卡安全性能考虑，对智能卡安全性能保护措施的评测以及容错机制 的评价测试各厂商目前各有一套机制，但大都通过设计阶段的仿真和软件测试评 价。本文为确保智能卡的高度安全，通过对智能卡故障注入测试方式的研究和实 现，希望为智能卡安全性能的所有指标( 安全评估准备) ，硬件指标( 芯片) ，以及 芯片和软件之间的有机结合，软件指标等等因素提供有效的测试依据，进而帮助 研发设计人员创建和改进安全设计方法。智能卡的安全，其软硬件的有机契合， 这也是本文主要关注的问题之一。 系统可靠性是件复杂的工程。目前，接触式智能卡的可靠性评估系统的总结 文献较少。本文希望在总结接触式智能卡可靠性评估系统的基础上，结合测试方 法的研究，为其抗干扰可靠性提供一种简单可行的有效的评估方法。 1 3 主要工作 本文简单地介绍接触式卡的生命周期及测试流程，在总结现有测试技术的特 点和常用方法的基础上提出一套智能卡抗干扰测试方法。总结现有常见的智能卡 故障现象，分析可能诱发的故障原因，提出了接触式智能卡故障注入模型。设计 实现故障注入器对智能卡进行测试，结合其他测试设备进行智能卡抗干扰测试平 台的研究。最后对研究测试结果进行分析和总结和评价。 测试方案的设计，是测试技术的关键部分，也是本文的重点之一。在本文中， 首先从整体的角度，简单介绍现有的接触式智能卡测试。随后深入细节，结合传 3 北京邮电大学硕上论文 统智能卡的测试技术，着重对智能卡抗干扰测试提供了详细的方案设计。这些内 容，对日后的测试技术发展具有借鉴价值。 1 4 本文结构 本论文一共包括6 章： 第一章绪论，对接触式智能卡测试技术的现状进行了分析，着重说明课题的 研究背景和研究意义，介绍课题研究的主要工作。 第二章主要介绍接触式智能卡的基础知识，包括其结构、功能和发展趋势等。 并且从多个角度介绍了智能卡的测试内容，提出了本文测试平台研究内容的填补 意义。 第三章首先讨论和总结接触式智能卡的可靠性评估方法，着重从可靠性、故 障注入和旁路攻击三个方面来探讨接触式智能卡抗干扰测试平台的可行性。 第四章主要介绍接触式智能卡抗干扰系统的系统实现。首先讨论测试系统的 总体方案，从硬件、软件角度对接触式故障注入器的实现进行介绍。然后从通信 协议、软件和测试流程等角度对测试系统进行详细的阐述。 第五章对信号中断、供电稳定性、磨损和电磁干扰等测试的测试结果进行分 析。针对各项测试，总结出相关的测试结论。 第六章对本论文的内容进行了总结，并对下一步的工作进行了展望。 4 北京邮电大学硕士论文 第二章接触式智能卡概述 本章首先简单介绍智能卡历程，智能卡的基本构成，并着重说明智能卡安全 性这一特点。然后从生命周期，结构体系和测试目的的角度详细介绍了目前智能 卡通用测试方法和流程。进而说明本测试系统的测试研究内容。 2 1 智能卡概述 智能卡，英文名为s m a r tc a r d ，又称集成电路卡，是继光电卡、条码卡、 磁卡等传统标识卡之后出现的一种新型高性能标识卡。这种集成电路卡是随着半 导体技术的发展以及社会对信息的安全性和存储容量要求的日益提高应运而生 的，它涉及到微电子技术、计算机技术、信息技术、系统工程和社会工程等。1 2 1 2 1 1 智能卡的发展历程和特点 2 0 世纪7 0 年代，法国人罗兰莫雷诺( r o l a n dm o r e n o ) 发明了第一张智能 卡，它的外表与普通信用卡相仿，上面含有一颗内嵌式的硅芯片，用于大量数据 存储或复杂计算。 到了上世纪8 0 年代，智能卡在欧洲已经被广泛使用。如今，智能卡已经遍 布世界各地。2 0 0 8 年是我国金卡工程启动1 5 周年，金卡工程是中国信息化建设 的四个起步工程之一，以电子货币应用起步，促进了我国银行卡业务联营与发展。 截至2 0 0 7 年1 0 月，我国银行业统一标识的银联卡发行总量达1 3 6 亿张。随着 金卡工程的发展，行业性i c 卡应用工程陆续启动，i c 卡已在我国电信、社会保 障、公安、税务、交通、建设及公用事业、卫生、金融、石油石化、组织机构代 码管理等多个领域得到广泛应用，发卡总量已达4 0 亿张。 日前，国家金卡工程协调领导小组印发了国家金卡工程全国i c 卡应用 ( 2 0 0 8 2 0 1 3 年) 发展规划，指出了2 0 0 8 2 0 1 3 年金卡工程发展目标、主要任务与 发展重点，并对重点领域i c 卡应用提出了具体要求。该规划的主要任务与 发展重点是：一、紧紧围绕经济社会发展和信息化建设大局，谋划i c 卡与r f i d 产业的创新发展；二、实现i c 卡“一卡多用”，在发行“多功能卡”方面要有实质 性突破，促进信息资源的整合与服务共享；三、坚持标准先行，积极稳妥地推进 电子标签应用试点；四、加快银行卡芯片化进程，促进银行i c 卡与行业性i c 卡应用的结合与共同发展。【6 】 相比较其它的传统标识卡，智能卡具有很高的数据处理能力、计算能力及较 大的存储容量，而且智能卡还拥有完善的安全技术体制及面向应用编程良好的适 5 北京邮电大学硕士论文 应性及灵活性，自出现以来就受到有关应用领域的极大关注及青睐。 2 1 2 智能卡的基本构成 智能卡( c p u 卡) 纵向体系主要由三方面构成：智能卡芯片、卡内操作系 统( c o s ，c h i po p e r a t i n gs y s t e m ) 和应用程序。卡内的数据分为外部读取和内 部处理部分，确保卡中数据安全可靠。智能卡芯片的集成电路包括中央处理器 c p u 、可编程只读存储器e e p r o m ( 用户存储器) 、随机存储器r a m 和只读存储 器r o m ，实际上是一台卡上的单片微机系统。有些高级的c p u 芯片还有协处理 器，为数据加密、解密提供快速的数学运算功能。卡内操作系统来管理卡上的软 件和硬件资源，一般固化在只读存储器r o m 中。应用程序针对应用不同设计， 即卡内操作系统管理的软件部分。智能卡的功能大部分决定于这些功能模块的设 置( 是否) 及其功能的强弱【_ 7 1 。 1 智能卡的内嵌c p u 内嵌c p u 是智能卡芯片的核心，所有的算法协处理器( d e s 、r s a 、e c c 、 c r c 等) 、通讯接口( i s 0 7 8 1 6 、1 y p ea 、n 旧eb 、r f 接口、u s b 接口、包 括一些通用i o 接口) 、安全模块( 啊g 等) 都作为c p u 的外设，通过内部总 线与c p u 相接。其主要指标是指令集的精简性和高效率性；指令的执行速度和 低功耗特性。作为智能卡引擎c p u 也在不断的发展。早期智能卡内的c p u 与普 通的嵌入式微控制器没有太多的区别，仅仅是一个c p u 内核而已。但是随着智 能卡安全性、多用途等需求的不断提高，智能卡内c p u 的体系结构也相应地发 生了很大的变化。除了必须具有通用嵌入式微控制器的各种特性外，更多的是表 现在安全性能方面逐步形成为一个特定的、安全的智能卡c p u 内核。 2 智能卡的存储单元 智能卡的存储单元是在特定条件下用来存储数字信息的芯片。存储的信息可 以是操作代码，数据文件或者是二者的结合。根据特性的不同，存储器可以分为 以下几类，闪存( f l a s h ) ，只读存储器( r o m ) ，静态随机读取存储器( s r a m ) ， 电编程只读存储器( e p r o m ) ，电可编程擦除编程只读存储器( e e p r o m ) ，动 态随机读取存储器( d r a m ) 等。 3 智能卡的接口 智能卡的接口主要有接触卡接口( i s 0 7 8 1 6 ) 、非接触卡接口( i s 0 1 4 4 4 3 ， 包括t y p ea 和t y p eb ；甚至一些r f i d 等) 和u s b 接口等，现阶段已经发 展到一个芯片中集成了多种通讯接口，形成所谓的双界面卡( 接触非接触、7 8 1 6 接i s i u s b 接口等组合) 。图2 1 所示为本文接触式智能卡7 8 1 6 接口协议栈。 4 智能卡的操作系统( c o s ) 之所以智能卡能够支持这么复杂的应用，其便利和安全的基础便是卡内操作 6 北京邮电人学硕士论文 o s i 第7 层应用层 o s i 第2 层链路层 o s i 第1 层物理层 t i ； o 上 i s o c7 8 1 6 - 4 i s o 正c7 8 1 6 7 g s m l l 1 l i s o i e c7 8 1 6 3 图2 1 智能卡接口协议栈 系统( c h i po p e r a t i n gs y s t e m ，以下简称为c o s ) 。和传统的p c 软件系统相比较， c o s 在智能卡系统中的地位类似于w i n d o w s ，u n i x 这样的操作系统，所以通常 称之为卡片操作系统。c o s 是紧紧围绕着它所服务的智能卡的特点而开发。从 功能上来说，c o s 并不是一个完整意义的操作系统，更类似于一个监控程序， 它提供的主要功能包括以下几个部分：智能卡的上电复位；芯片底层硬件的驱动； 卡片对外接口交互；卡内内存空间的维护；卡内文件系统的维护；系统运行安全 的控制；命令的处理；应用代码的执行【8 】。 目前智能卡操作系统在实现c o s 的基础功能之外致力于开放体系结构的设 计与实现，从而为多应用性能提供良好的平台接口，j a 、，a 卡是目前这方面的研 究热点。 标识智能卡的参数有很多，一般用户感兴趣的参数如表2 1 所示。c p u 的位 数，目前最常用的是1 6 位，3 2 位的智能卡已经被部分公司开发使用。e e p r o m 的大小，此参数是一个主要的参数，市场上所说的1 6 k 卡、3 2 k 卡，就是指 e e p o r m 的大小，它往往决定了文件系统和最终用户使用空间的大小。r o m 的 大小，智能卡的操作系统将来就是存放到此空间，因此c o s 的大小必须小于r o m 的空间。r a m 的大小，操作系统或应用在运行时所建立的堆栈和需要的全变量 都需要占用r a m 空间。协处理器是为了提高一些特定运算的速度用硬件实现的 控制单元，一般有d e s 、r s a 、e c c 等。工作电压是由i s o 标准规定，有1 8 v 、 3 v 、5 v 。其它的功能，不同的生产厂家根据用户需要提供。 此外，和智能芯片结构相关的另外一个重要特性是编址的问题：c o s 开发人 员如何才能访问智能卡的资源如r o m 、r a m 、e e p r o m 等，它们是如何进行 编址。目前使用较多的编址方式是线性编址，这种方式对开发人员来说相对简单。 表2 2 是编址的示意刚引。 表2 1 智能卡的相关参数 项目描述 产品名称 x x x x c p u1 6 位 e e p r o m3 6 k 字节 7 北京邮电大学硕士论文 r o m1 9 6 k 字节 r a m5 k 字节 协处理器 d e s 协处理器 i o 接口i s 0 7 8 1 6 安全功能电压和频率各种异常检测；监视时间和随枳擞发生器 频率电压l 5 m h z 3 0 v ；1 5 m h z 5 0 v ； 表2 - 2 智能卡地址映射表 r o m1 9 6 k g a p 间隙 e e p r o m3 6 k g a p 间隙 r a m5 k g 印 间隙 内部i o 2 1 3 智能卡安全 智能卡安全性在于其是一类带有微型处理器持有相关数据的电子产品。根据 其应用领域的不同，相关数据的内容也就不同。但是总的来说，主要是这几类数 据：用户信息，密码，普通内容数据等等。智能卡的安全是从下到上层层壁垒的 保护措施，前面已经提到的层次芯片安全、操作系统安全、应用代码安全和芯片 密码算法。各类算法的实施是目前最主要也是最有效的保护措施，这不是本论文 探讨的内容，仅作简要介绍。透彻一点的说，智能卡安全所保护的内容主要是防 止关键数据的盗用和改写。因此在后续的测试判断标准中也主要关注数据区的情 况。 安全加密算法是智能卡的必要组成部分，是实现智能卡认证和加密功能的基 础。在逻辑加密卡阶段，一般都是采用一些私有的加密算法，算法不公开。对应 的读卡器也采用相应的算法，形成一套封闭系统。这种系统的安全性更多是依赖 于对私有加密算法的保密来保证。 随后，智能卡加密算法的发展引入了对称加密算法，典型的有国际通用的 d e s 算法。对称加密算法的算法本身是公开的，安全性依赖于密钥的保密。 但是，对称算法具有密钥管理相对困难、不具有不可抵赖性等特点。在电子 商务、电子政务等应用中不能满足应用需求。在这种情况下，智能卡内嵌入了 p k i 算法，形成了p k i 智能卡。公钥算法的算法也是公开的，公钥也公开，只 要求保证私钥的保密。p k i 加密系统更多应用在数字签名、对称算法密钥的传输 加密等方面；而对称算法加密系统更多应用在认证、大量数据的加密传输等方面。 在传统的安全模型中，对密码系统的攻击都是从协议规范的数学基础进行分 8 北京邮电大学硕士论文 析。虽然使用穷举攻击可以对对称密码系统进行攻击，但是耗费的代价及其高昂； 而且由于公钥密码系统的安全性基于大整数分解的问题，经过2 0 多年来发展， 公钥密码系统在理论上讲是相对完善的，目前还没有攻击方法可以有效攻击公钥 密码系统。但是旁路攻击完全不同于以往的数学攻击方法，可以绕过其通过物理 方法对密码系统其进行攻击，所消耗的成本却及其低廉。在后续文字中还将详细 介绍旁路攻击【5 j 。 2 2 智能卡通用测试 2 2 1 基于生命周期的测试流程 接触式智能卡的生命周期，可以分为制造流程和发行流程两大部分。 1 、制造流程 总体上说，接触式智能卡的制造流程涉及多个过程。总体上可分为晶圆制造 一芯片制造一卡制造一卡发行四个部分：晶圆的制造主要指从自然界的沙子，经 过高温、氧化、提炼生成硅棒，之后切割成晶圆的过程；芯片制造的过程主要包 括芯片设计、芯片模块封装的过程。芯片设计商在晶圆上开发芯片级的操作系统 ( c o s ) 和测试机制，并提供装载用户识别模块c o s 的机制。芯片封装厂将芯 片封装成模块；卡制造商取得封装后的模块，进行卡的制造。其中的核心价值在 于芯片上的操作系统开发( c o s ) ，业务开发，和最后的工业化实现。图2 2 为 接触式智能卡模块的系统层次图： 豇硪岳 应用i应用2应用1 1 内核层g s m l l 1 1 c d m au i m p h s s i m 图2 2 接触式智能卡模块的系统层次图 接触式智能卡模块在封装后通过工业化发卡程序，完成预个人化、个人化的 过程，最后出厂发给运营商。 9 北京邮电大学硕士论文 2 、发行流程 用户识别模块的发行流程主要描述其在白卡一预个人化一个人化一用户卡 四个阶段的过程。 这里统一定义白卡是还处于芯片的操作系统控制状态下的卡，在白卡阶段， 卡商的c o s 还没有转载在卡中，或卡商的c o s 虽然装载到了卡中，但是还没有 控制权。白卡具有几个重要功能：1 通过芯片的机制下载c o s ；2 通过芯片 的机制检查卡片；3 按物理地址透明读取卡中的字节 图2 2 接触式智能卡模块发行流程 卡片的预个人化是向卡片装入应用所属的全部数据，它对于应用的所有智能 卡都是一样的。这是因为：首先，应用数据不是从一张卡到一张卡而改变；其次， 所有其它非个人的数据对于每张用户识别模块卡都是一样的。 从文件结构的层次看，预个人化包括建立所有的必需的文件( m f ，d f 和 e f ) 并尽可能的填入应用数据。这个步骤是最后把所有的同种应用智能卡都同 等对待的一次。卡片的个人化是在预个人化卡中写入个性化的数字、密码和密钥。 在最终用户手中的卡，这些个性化的数字有些是绝对不能重复的。 用户卡阶段是卡从卡提供商出厂到卡使用商的阶段，在这个阶段卡使用商将 根据其需要通过某一特定方式配号发行。卡被用户购买后，用户添加例如电话本、 使用过程中的应用，这些对卡数据的改动被称为“后个人化 阶段。 3 、基于生命周期的测试流程 在接触式智能卡生命周期的各个环节，都离不开相应的测试技术。目前基于 生命周期的测试流程具体内容如图2 3 所示。 在上图的模型中，将接触式智能卡的测试流程分割成了三大部分：芯片测试 阶段和c o s 测试阶段和系统应用测试阶段。 芯片测试又可以分为如下2 个部分：w a 向测试：对应晶圆制造工序，对切 割后的晶圆进行性能、参数上的测量，以满足下一步工艺的要求，一般由半导体 制造产商实现，测试与其半导体工艺相关；封装测试：对应芯片制造工艺，一般 由芯片制造商实现，测试对象为己封装成模块的芯片； 接触式智能卡的c o s 测试：是对片上操作系统( c o s ) 的测试过程，从本 质上说属于一种软件测试，方法通常包括黑盒测试、白盒测试等； l o 北京邮电大学硕上论文 发行流程! 制造流程测试流程 白卡 工业原料 7 丫丫 芯片测试 阶段 化| 臣苤沣壶c 鬻 个人化 甩户卡 _ t 蜜 ， 系统应用 测试阶段 ；虚| 图2 3 基于生命周期的测试流程 接触式智能卡的系统应用测试阶段由协议一致性测试和应用测试：协议一致 性测试，介于卡制造与卡发行之间，用于全面检测智能卡的性能、质量和各项技 术参数，使其符合国际或行业中的标准规范，充分保障用户的利益。该测试将全 面验证之前的阶段测试成果，涵盖了电气特性、逻辑特性、应用特性等一系列测 试内容，一般由卡提供方和应用方进行，有时也需要第三方权威测试机构介入。 应用测试主要针对智能卡的特定应用模块，主要测试关注点在于软件方面。 智能卡产品制造与发行与测试是息息相关的，本文所研究的测试内容不含 w a f e r 测试，属于封装测试、c o s 测试和应用测试的范畴。协议一致性测试一般 是智能卡使用领域入行测试的主要内容。 2 2 2 基于结构体系的测试过程 现有的接触式智能卡测试标准以及特殊行业接触式智能卡测试标准是按照 智能卡的结构体系编写的。如i s o i e c1 0 3 7 3 标准，针对电信应用s i m 卡的g s m 1 1 1 7 测试。以g s m1 1 1 7 测试规范为例说明一般的测试规范组成：物理特性； 电信号和传输协议；逻辑模型；安全功能；功能特性；命令测试；文件内容。本 文中将这几部分综合为三大部分：卡体测试；微控制器硬件测试；软件的评估与 测试【l0 1 。下面进行简单的介绍。 1 、卡体测试 图2 4 简明地叙述了关于智能卡常用的测试和检验项目。卡制造商的测试实 北京邮电大学硕士论文 验室通常有卡的1 0 0 - - 1 5 0 项不同的测试。测试环境标准化要求测试实验室内必 须保持温度为2 3 c 3 而相对湿度在4 0 - - - , 6 0 之间，被测卡必须在这种条件 下适应2 4 小时以上的时间，再进行实际测试。 软化性 图2 4 卡体测试常用测试项 2 、微控制器硬件测试 除卡体测试外，质量保证的主要任务之一是保护微控制器有良好的工作秩 序。接触式智能卡中，它是最重要也是最容易受到攻击的元件。对微控制的硬件 测试基本上是贯穿整个智能卡生命周期的。 c p u 和存储器要经受大量的测试。每个微控制器都有个测试r o m ，它允许 从外部访问c p u 和存储器的各种各样的程序。此外，还有些特殊的触点( 焊盘) 也允许外部访问处理器的总线。封装为模块后需要用模块触点执行测试。这类测 试应用于生产过程中的全检快速测试。 最终的测试将在卡被初始化和个人化之后执行，这取决于制造商。此外，除 所有制造中的卡要经历那些较简单而可快速执行的测试外，还有某些采样测试 ( 批测试) 仅对选中的个别样卡实行，如果必要时需要进行破坏性测试。 微控制器典型的采样和合格测试有：i o ( 触点上) 的上升与下降时间； e e p r o m 可能的写入擦除循环次数；e e p r o m 的数据保持力；c l k 频率过高 或过低的检出；v c c 过压或次压的检出；i o 触点电压；c l k 输入端的电流损耗； 复位触点的电流损耗；v c c 输入端的电流损耗等。 3 、软件测试 软件测试是个及其广泛的论题，已经成为信息技术一个独立的分支，它的所 1 2 北京邮电人学硕士论文 有变化和手段在许多文献中都有详细的说明。这里仅针对智能卡的软件特殊性作 简单介绍。 智能卡微控制器软件和其他软件比起来并无巨大差别，它们的特殊性在于如 果智能卡已经投入服务，基本不可能修改已经存在的软件。由于该严峻条件的限 制，要求智能卡微控器的软件必需只有极少量的错误。在这一前提下智能卡软件 所采用的测试方法与一般的软件测试方法相同。智能卡软件的动态测试一般从操 作系统的数据传输测试开始【i 。 本文测试方法研究的入手方向是微控制器硬件测试，笔者在课题调研阶段参 与微控制器的采样合格测试工作内容，在调研阶段发现针对预个人化智能卡进行 的微控制器硬件测试可以发现传统软件测试无法或单纯硬件测试没有发现的问 题。例如，v c c 过压或次压的检出。单纯的芯片硬件测试是在没有应用功能的基 础上进行的，以智能卡上电复位信号a t r ( a n s w e rt or e s e t ) 为判断标准。该判断 标准有一定的局限性，在笔者文献【1 2 】已经指出。传统的软件测试，关注点主要 在于软件而忽略了芯片硬件。本文的研究内容有助于弥补二者的不足。 2 2 3 针对测试目的测试分类 按照所要达到的目的，可以将智能卡测试分为三类，即特性测试、产品测试 和老化测试。 1 、特性测试 特性测试也称验证测试，这类测试是在一个新的设计进入量产阶段之前进行 的，目的是验证这个设计是否正确，是否满足了规范中所有的要求。特性测试的 测试项目非常全面，包括功能测试、交流参数测试和直流参数测试等，也可能会 探索芯片的内部结构，在产品测试这很少见。 2 、产品测试 每一个生产出来的芯片都要接受产品测试。产品测试没有特性测试全面，但 是必须满足质量上的要求，即在产品测试中通过的芯片应满足规范要求。从降低 测试成本的角度出发，产品测试在保证故障覆盖率的前提下，通常使用尽可能小 的测试向量集合，从而缩短测试时间。这个过程不进行故障诊断，只判定合格或 不合格。 3 、老化测试 通过产品测试的产品寿命也不尽相同，投入使用以后，有的器件很快就失效 了，而有的器件可以用很久。老化测试的目的就是保证被测器件的使用可靠性， 即在一段时间之内，进行持续性的或者周期性的测试，使得有问题的器件在这段 时间之内就失效了。老化测试可以筛选出两类失效，一种是早期失效，这类失效 通常是由比较敏感的实际和工艺的偏差所导致的，可以在正常的或者稍微强化的 1 3 北京邮电大学硕上论文 环境下通过短期的老化测试就筛选出来；另一种是反常失效( 具有随机特征) ， 需要在强化环境下进行很长时间的老化测试才行【1 3 】。 本文的研究手段属于老化测试中的反常失效方式，在强化环境下进行测试。 测试目的中为设计人员提供反馈部分属于特性测试的内容。 本文的抗干扰测试的另一个目的：为接触式智能卡提供可靠性评估依据。系 统可靠性是个复杂的系统，第三章3 1 节详细总结接触式智能卡可靠性评估方法。 1 4 北京邮电人学硕士论文 第三章智能卡可靠性评估方法和测试方法 本章首先介绍接触式智能卡的可靠性评估方法。然后从智能卡的可靠性测试 角度入手，从故障注入和旁路攻击两个方面进行详细的介绍和分析，探讨说明了 本文研究测试方法的可行性。 3 1 接触式智能卡可靠性评估方法 3 1 1 系统可靠性评估方法 接触式智能卡系统的可靠性评估与单纯的硬件或软件可靠性评估略有不同。 下面是人们根据评估智能卡系统中的成功经验，总结出的一种简单有效的可靠性 评估方法，已在很多智能卡项目中取得了良好的应用效果。 智能卡系统可靠性主要从成熟度、容错性和易恢复性三方面考虑。 1 、成熟性度量 ( 1 ) 错误发现率d d p ( d e f e c td e t e c t i o np e r c e n t a g e ) 。在测试中查找出来的错误 越多，实际应用中出错的机会就越小，系统也就越成熟。 d d p = 澳i j 试发现的错误数量己知的全部错误数量式( 3 1 ) 己知的全部错误数量是测试己发现的错误数量加上可能会发现的错误数量 之和。 接触式智能卡的错误主要包括两方面：一是智能卡执行基本功能时出现的问 题。二是新设计的引入，智能卡没有达到预期设计目的的状况。 ( 2 ) 测试覆盖率度量。测试的覆盖率，可以用测试项目的数量和内容进行度 量。除此之外，如果涉及的系统软件数量较大，还要考虑数据量。测试的覆盖率， 可以根据表3 1 所示在测试指标进行评价。通过检查这些指标达到的程度，就可 以度量出测试内容的覆盖程度。 表3 1 测试覆盖程度表 测试覆盖项 测试覆盖率指标测试描述 测试结果 接口覆盖 符合需求 静态功能覆盖功能满足需求 动态功能覆盖所有功能的转换功能正确 正常测试覆盖所有硬件软件正常时的处理 异常测试覆盖硬件或软件异常时的处理测试结束判断测试结束判断 某些测试覆盖项并非独立进行，是相互关联共同进行的。 1 5 北京邮电大学硕士论文 2 、容错性评估 容错性评估分为控制容错性评估、数据容错性评估、硬件故障恢复容错性评 估、软件故障恢复容错性评估。 容错性= 以下各项评分之和总项数 式( 3 2 ) ( 1 ) 控制容错性度量 对并发处理的控制能力：错误的可修正性和处理可继续进行能力。 ( 2 ) 数据容错性度量 非法输入数据的容错；对相互冲突的要求和非法组合容错；输出数据是否合理 容错。 ( 3 ) 硬件故障恢复容错性度量 故障后硬件恢复能力容错。 ( 4 ) 软件故障恢复容错性度量 故障后软件恢复能力容错。 各项评分的权重和分值等由卡制造商自行确定。 3 、易恢复性度量 与易恢复性紧密相关的测试是强度测试和健壮测试。强度测试又称为力度测 或极限测试，主要测试系统对空间强度和时间强度的容忍极限：健壮测试又称异 常测试，是很重要的可靠性测试项目。通过易恢复性测试，一方面使系统具有异 常情况的抵抗能力，另一方面使系统测试质量可控制。 易恢复性= 以下各项评分之和总项数 式( 3 3