[发明专利]一种Java卡标准API安全性测试方法

说明书

本发明公开一种Java卡标准API安全性测试方法。该测试包括：针对待测试的API，获取编写的测试Applet；对所述测试Applet的Cap文件进行修改；将修改后的Cap文件下载到Java卡中；试图获取所述Java卡的有效信息从而根据获取结果确定Java卡标准API的安全性。本发明的Java卡标准API安全性测试方法，通过对标准API的入参对象的合法性进行校验，全面检测Java卡标准API可能存在的漏洞。

技术领域

本发明涉及Java软件平台测试领域，特别是涉及一种Java卡标准API安全性测试方法。

背景技术

Java卡将标准应用程序编程接口(Application Programming Interface，API)的定义引入了嵌入式开发，这带来了平台和应用开发的分离，使得Java卡软件平台更为通用与开放，开发应用更为便利。但是，这样的通用与开放也带来了一定的隐患，攻击者可通过使用标准API来编写自己的Java编程语言的小应用程序(Applet)并下载到智能卡中的方式，尝试非法获取当前卡中其他Applet的信息。特别是当智能卡中有金融应用时，金融应用在卡中存储的持卡人验证方法(Cardholder Verification Method，CVM)信息(例如：PIN值)、签名用私钥信息等都存在被非法获取的风险，这就使得Java卡标准API的安全性显得尤为重要。

目前对于Java卡标准API的测试主要集中在对各个API接口的功能测试上，最常用也是行业通用的是Oracle公司的TCK(JavaCardTM Technology Compatibility Kit)测试套件。但是，若只仅仅通过TCK的功能测试，是不足以防范未来多应用智能卡可能受到的安全攻击的。

发明内容

本发明的目的是提供一种Java卡标准API安全性测试方法，通过对标准API的入参对象的合法性进行校验，全面检测Java卡标准API可能存在的漏洞。

一种Java卡标准API安全性测试方法，包括：

针对待测试的API，获取编写的测试Applet；

对所述测试Applet的Cap文件进行修改；

将修改后的Cap文件下载到Java卡中；

试图获取所述Java卡的有效信息从而根据获取结果确定Java卡标准API的安全性。

可选的，所述待测试的API为带有入参的API。

可选的，所述测试Applet的编写方法为：

定义一个全局static对象并初始化；

编写以所述全局static对象作为入参的调用所述待测试的API的语句；

对所述语句进行编译，得到编译结果；

若所述编译结果表示编译失败，则返回步骤“编写以所述全局static对象作为入参的调用所述待测试的API的语句”；

若所述编译结果表示编译成功，则生成Cap文件。

可选的，所述对所述测试Applet的Cap文件进行修改，具体包括：

对所述Cap文件进行解析，得到解析出的12个组件；所述12个组件包括：Header组件、Directory组件、Applet组件、Import组件、Constant pool组件、Reference Location组件、Export组件、Debug组件、Class组件、Method组件、StaticField组件和Descriptor组件；

修改所述Method组件；

修改所述Reference Location组件。