（计算机应用技术专业论文）3g智能卡cos安全的研究与实现.pdf

摘要 手两斐 随着第三代移动通信技术的飞速发展和普及，在移动通信领域中出现了越来越 丰富的业务种类，除了传统的语音与数据业务外，多媒体业务、交互式数据业务、 电子商务、互联网业务等多种信息服务也越来越受到人们的青睐。这些新业务对通 信系统中信息的安全性以及网络资源使用的安全性提出了更高的要求，移动通信网 络和终端智能卡的安全性将变得越来越重要。 本文的主要目标是对3 g 智能卡c o s 安全的研究，以及根据3 g 智能卡c o s 所受 到的安全威胁，以3 g 移动的u s i m 卡为载体，研究和实现保护智能卡的各种安全机 制。论文描述了所选课题的研究背景、项目背景、选题意义等内容。介绍了智能卡 的研究现状和发展趋势，智能卡分类，智能卡近年的应用情况，电信行业智能卡的 u s i m 卡，智能卡c o s 的功能，工作原理及一般体系结构，绑定式的c o s 体系结构等 内容。论文重点研究安全为主，所以接下来介绍了第二代移动通信网络的缺陷，描 述了3 g 系统新的业务和特点，分析了3 g 网络存在的各种安全问题。根据3 g 的各 种安全威胁，本文设计了文件安全保护机制和认证与密钥协商机制，并详细介绍了 这两种机制的内容。另外，本文通过模拟器和测试软件进一步验证设计的文件保护 和认证等机制的正确性。论文最后阐述了课题涉及的安全技术的创新点。本文改进 了安全访问规则的编码，有利于节省占用空间的容量：根据项目的研究，提出了以绑 定式实现多种认证算法，有效提高c o s 的移植速度。 本文所涉及的课题是广东工业大学与中国通信服务股份有限公司广东公司之间 的横向合作项目，该项目于2 0 0 7 年7 月1 日开始进行分析设计，到目前为止已完 成整体的设计，硬件底层的代码编写，文件系统的部分代码编写，安全管理模块的 部分算法代码编写。本文正是在这个项目实践的基础上编写的。 关键字：3 g ；智能卡；c o s ；u s i m 卡；a k a ； 广东工业大学硕士学位论文 a b s t r a c t w i t ht h er a p i dd e v e l o p m e n ta n d t h ep o p u l a r iz a ti o no f3 r dg e n e r a t i o n ，m o r e a n dm o r ec l a s so fb u s i n e s se m e r g e si nm o b il ec o m m u n i c a t i o n b e s i d e st h e t r a d i t i o n a lv o i c ea n dd a t eb u s i n e s s ， m u l t i m e d i ab u s i n e s s 、i n t e r a c t i v ed a t a b u s i n e s s 、e - c o m m e r c e 、i n t e r n e tb u s i n e s sa n ds oo nw h i c hi n f o r m a t i o n b u s i n e s s e sa r eg a i n i n gi np o p u l a r i t y b e c a u s et h e s en e wb u s i n e s sd e m a n da h i g h e rs e c u r i t yo ft h ei n f o r m a t i o ni nc o m m u n i c a t i o ns y s t e m sa n dt h eu s eo f n e t w o r kr e s o u r c e s ，t h es e c u r i t yo fm o b il ec o m m u n i c a t i o nn e t w o r ka n dt e r m i n a l s m a r tc a r db e c o m em o r ea n dm o r ei m p o r t a n t am a j o rg o a lo ft h i sp a p e ri st os t u d ys e c u r i t yo f3 gs m a r tc a r dc o s a n d r e a l i z et h es e c u r i t ym e c h a n i s m so fs m a r tc a r d sp r o t e c t i o nw h i c hb a s eo n 3 gs m a r tc a r dc o si sa tr i s ka n du s et h em o b il eu s i mc a r d t h i sp a p e rd e s c r i b e s t h es t u d yb a c k g r o u n d 、p r o j e c tb a c k g r o u n da n dm e a n i n go fs e l e c t e dt o p i c i t i n t r o d u c e da c t u a l i t ys t u d y 、d e v e l o p m e n tt r e n d 、t h ec l a s s i f i c a t i o no fs m a r t c a r d 、t h eo fa p p li c a t i o no fs m a r tc a r di nr e c e n ty e a r s 、t h eu s i mc a r do f t e l e c o m m u n i c a t i o n s i n d u s t r y 、t h ef u n c t i o no fs m a r tc a r dc o s 、w o r k i n g p r i n c i p l e 、g e n e r a la r c h i t e c t u r e 、b i n d i n go fc o sa r c h i t e c t u r ea n ds oo n b e c a u s et h i sp a p e rf o c u so ns e c u r i t y ，t h en e x ti si n t r o d u c e dt h ed e f e c t s o fs e c o n dg e n e r a t i o nm o b il ec o m m u n i c a t i o nn e t w o r k i td e s c r i b e st h en e w b u s i n e s sa n dc h a r a c t e r i s t i co f3 g ，a n a l y s e sv a r i o u ss e c u r i t yi s s u e so f3 g n e t w o r k a c c o r d i n ga l l t h es e c u r i t yt h r e a t so f3 g ，t h i sp a p e rd e s i g n st h e p r o t e c t i o nm e c h a n i s m so fd o c u m e n ts e c u r i t ya n dc o n s u l t a t i o nm e c h a n i s m so f a u t h e n t i c a t i o na n ds e c r e t k e y ： i td e t a ii st h ec o n t e n t so ft h e s et w o m e c h a n i s m s i na d d i t i o n ，t h i sp a p e rf u r t h e rv e r i f i e st h ec o r r e c t n e s so f d o c u m e n tp r o t e c t i o na n dv e r i f i c a t i o nm e c h a n i s m sb yt h es i m u l a t o ra n dt e s t s o f t w a r e i nt h e e n do ft h i sp a p e r ，i ts e t sf o r t ht h ei n n o v a t i o no fs e c u r i t y t e c h n o l o g y i nt h i sp a p e r ，i ti m p r o v e st h ec o d eo fs e c u r ea c c e s sr u l e sa n d i ti so fa d v a n t a g et os a v et h ec o n t e n t ：a c c o r d i n gt os t u d yt h i st o p i c ，i t p u tf o r w a r dr e a l i z ev a r i e t ya u t h e n t i c a t i o na l g o r i t h mb yb i n da n di m p r o v e a b s t ra c t t h et r a n s p l a n ts p e e do fc o s t h et o p i co ft h i sp a p e ri sap r o j e c tw h i c hc o o p e r a t e db e t w e e ng u a n g d o n g u n i v e r s i t yo ft e c h n o l o g y a n dc h i n ac o m m u n i c a t i o n ss e r v i c e sc ol t d ( g u a n d d o n g ) t h i sp r o j e c tb e g i nt h ea n a l y s i sa n dd e s i g ni nj u l y1 ，2 0 0 7 s o f a ri tf i n i s ht h ew h o l ed e i g n ，c o d i n go fu n d e r l y i n gh a r d w a r e ，t h ep a r to f c o d i n go fd o c u m e n ts y s t e ma n ds e c u r i t ym a n a g e m e n tm o d u l e t h i sp a p e ri s b a s i so nt h ep r o j e c t k e y w o r d ：3 g ；s m a r tc a r d ；c o s ；u s i m ； a k a 。 i i i 独创性声明 独创性声明 秉承学校严谨的学风与优良的科学道德，本人声明所呈交的论文是我个人在导 师的指导下进行的研究工作及取得的研究成果。尽我所知，除了文中特别加以标注 和致谢的地方外，论文中不包括其他人己经发表或撰写过的研究成果，不包含本人 或其他用途使用过得成果。与我一同工作的同志对本研究所做的任何贡献均己在论 文中作了明确的声明，并表示了谢意。 本学位论文成果是本人在广东工业大学读书期间在导师的指导下取得的，论文 成果归广东工业大学所有。 申请学位论文与资料若有不实之处，本人承担一切相关责任，特此声明。 论文作者签字： 飞恕试 币彰尹= = = 7 砌c 【年6 月弓日 6 1 第一章绪论 第一章绪论 1 1 研究背景 随着移动通信技术快速发展，电信智能卡在人们的社会生活中占有越来越重要 的地位。移动通信是指手机等移动终端设备之间的语音或数据通信，移动通信给人 们生活带来极大的方便性。然而，移动通信在给用户带来便利的同时，也带来了风 险。由于移动网络把利用空间传播的电磁波作为信息的载体，电磁波是没有明显界 限的，所以移动网络比有线网络更容易遭受攻击，通信过程都有可能被窃听或者干 扰信息。如果没有采取足够的安全措施，用户使用移动网络时将面临着搭线窃听、 冒充网络、冒充用户、信息篡改、伪造、干扰、新式病毒、克隆等安全隐患问题n 1 ， 这些问题将使用户不能正常通信，并给用户和移动网络服务商都将造成重大损失。 移动通信网络经历了三个发展阶段，不同阶段都存在安全问题幢，：第一代蜂窝移 动通信系统( 1 g ) 出现在2 0 世纪7 0 年代后期，以模拟通信技术为基础，采用频分复用 ( f d m a ) 模式，以模拟电路单元为基本模块实现话音通信。主要制式有a m p s 、n m t 、 t a c s 和h c m t s 等。因为第一代网络没有采用密码技术来保护无线网络访问的安全性， 所以出现移动用户的通话信息很容易被窃听、用户身份容易被假冒、容易出现手机 克隆等安全隐患问题。第二代数字移动通信系统( 2 g ) 出现于2 0 世纪8 0 年代后期，以 g s m ，c d m a ，d a m p s 和p d c 为代表。采用先进的数字语音编码技术在保证话音质量的前 提下，可以大大减少通信带宽，从而提高网络频段资源的利用效率：差错控制技术 可以用来增强网络抗干扰能力：数字加密技术可以保护数字化了的用户语音、数据 和网络信令，身份认证技术可以鉴别移动用户的身份，有效地防止身份假冒。第 三代移动通信系统( 3 g ) 大致目标是实现全球化、综合化和个人化。全球化就是提供 全球海陆空三维的无缝隙覆盖，支持全球漫游业务：综合化就是提供多种话音和非 话音业务，特别是多媒体业务：个人化就是有足够的系统容量、强大的多种用户管理 能力、高保密性能和服务质量。3 g p p 、3 g p p 2 和中国电信分别制定了第三代蜂窝移 动通信网络的三大标准：w c d m a 、c d m a 2 0 0 0 和t d - s c d m a ，根据不同的标准构建网络。 智能卡的迅猛发展离不开移动通信网络的推动作用。电信行业智能卡的使用， 包括2 g 系统的移动的s i m 卡、联通的u i m 卡、电信p i m 卡，以及3 g 系统的移动的 u s i m 卡、电信的e v d o 卡，电信行业智能卡应用是目前最大的智能卡行业应用。目 广东工业大学硕士学位论文 前，电信行业中s i m 卡、u i m 卡、p i m 卡的应用已经非常成熟，但作为3 g 系统中终 端的配套项目u s i m 卡应用尚不成熟，2 g ，2 5 g 中使用的智能卡存在一定的安全问 题，比如g s m 中s i m 卡与网络的认证存在问题、卡数据保密等，另外国内对3 g 系 统的u s i m 卡研究近年刚起步，需要进一步研究以改进2 g 、2 5 g 中s i m 卡存在的问 题。因此对3 g 智能卡u s i m 的研究对推动智能卡在电信行业的应用发展、推动3 g 移动通信发展、提高人们的通信安全保障显得尤为重要和迫切。 1 2 选题意义 智能卡操作系统是一个跨多学科的应用系统，它将大量来自不同专业领域诸如 计算机技术、网络技术、高频技术、电磁兼容性、半导体技术、数据保护和密码学 等技术综合在一起。智能卡由硬件资源( 智能卡芯片) 与芯片操作系统c o s ( c h i p o p e r a t i n gs y s t e m ) 组成，c o s 是智能卡的灵魂，包括通信协议、文件系统、安全等。 3 g 系统是一个在全球范围内覆盖与使用的网络系统，信息可通过全开放的无 线链路和开放的全球有线网络进行传输。在第三代移动通信系统中，除了传统的语 音业务外，它还提供多媒体业务、数据业务、以及电子贸易、电子商务、互联网服 务等多种信息服务。因此，在第三代移动通信系统中保证业务信息和网络资源的安 全性己成为3 g 系统中重要而迫切的问题。 在第三代移动通信系统中，终端设备和服务网间的接口是最容易被攻击的地 方，所以加强实现更加可靠的网络接入安全能力，是3 g 系统安全方案中至关重要 的一个问题。解决方案主要包括：u s i m 卡接入网络的安全，即用户与网络间的双向 身份认证：信息在终端和网络间的安全传输，即数据的完整性保护和机密性保护。 另外，保护卡中的数据安全，防止被非法访问，也是十分重要的。 3 g 系统是一个崭新的系统，针对层出不穷的新的数据业务，特别是对数据安 全性提出了很高要求。3 g 系统目前只在少数国家展开试运营，但从其前景来看具 有极大的发展空间，所以研究3 g 智能卡的安全具有非常重要的现实意义。 1 3 项目背景 本文作者在硕士研究生期间，主要从事“嵌入式系统和智能卡技术研究 ，期 间研究分析了i s 0 7 8 1 6 系列的智能卡通用标准，及2 5 g 、3 g 体系中与u s i m 卡相关的 标准，本课题研究内容属于广东工业大学与中国通信服务有限公司广东公司的下属 公司x x 智能卡公司合作的横向项目。本项目以当前智能卡在各行业广泛应用和第三 2 第一章绪论 代移动通信系统商用网络即将出炉为背景，以智能卡安全技术和文件系统技术为核 心，在第二代移动逋信系统s i m 卡的基础上，以区别于j a v ac a r d 、w i n d o wf o rs m a r t c a r d 、m u l t o s 等通用系统方式，采用自然语言方式研究设计了3 g 体系中的u s i mc o s 的体系结构。本项目的主要内容：u s i mc o s 体系结构的设计，重点以研究安全问题， 根据智能卡的各种安全问题，设计了各种保护机制。本文详细研究文件安全保护机 制和认证与密钥协商机制，并通过电信的测试标准进行测试验证。 中国通信服务有限公司广东公司的下属公司x x 智能卡公司在智能卡行业具有 较强的生产能力，但该公司在u s i mc o s 上的技术研发偏弱，该公司生产的s i m 卡和 u s i m 卡均由芯片公司提供付版权费c o s ，这样导致x x 智能卡公司的每张卡的成本增 加，企业竞争力下降。本横向项目恰好结合了学校的嵌入式研发技术力量和x x 智能 卡公司较强的生产力量，使企业和学校之间达到了双赢。 本项目的开展到撰写本文为止已有1 年半的时间，目前完成了u s i mc o s 的结构 设计，安全管理模块和部分代码编写。本文主要在本项目设计实践基础上进行了分 析和总结。 1 4 论文结构安排 本文从介绍通用i c 卡的现状、c o s 情况开始；接着介绍了本文研究的载体3 g 的 u s i m 卡，最后重点研究和实现u s i m 卡c o s 的安全相关内容。具体的细节参见各章中 的描述： 第一章：绪论，在本章中本文重点描述了本文所选课题的研究背景、项目背景、 选题意义等内容。另外，描述了本论文的结构安排。 第二章：u s i m 卡c o s 体系结构，在本章中总结了智能卡分类，智能卡c o s 的功 能，工作原理及一般体系结构，各个功能模块等内容，并概括了与本论文相关的项 目的基础内容和设计模型。 第三章：3 g 系统的安全体系结构，介绍了2 g 系统的安全缺陷、3 g 系统新业务 特征及安全特性、3 g 系统的安全威胁、3 g 安全体系结构等内容。 第四章：u s i m 卡c o s 安全的研究与实现，重点讲述智能卡安全体系原理、u s i m 卡的文件访问安全机制、u s i m 卡的认证与密钥协商机制( a k a ) 等。 第五章：安全测试方案，通过测试与安全相关的a p d u 命令，判断文件安全访 问机制的正确性和安全性；设定相关的参数，通过认证命令测试，判断返回的网络 广东工业大学硕士学位论文 的认证数据的正确性。 第六章：课题涉及的安全技术的创新。以引用关联的方式读取安全规则，通过 以绑定的方式实现多种认证算法结合在一起，编译后形成完整的卡操作系统。 4 第二章3 g 智能卡c o s 体系结构 第二章3 g 智能卡c o s 体系结构 2 1 智能卡硬件结构 1 u s i m 卡的外部通信艘点 本文以移动的u s i m 卡作为3 g 智能卡的研究对象。在实际使用中有两种功能相 同而形式不同的u s i m 卡：卡片式( 俗称大卡) u s i m 卡，这种形式的u s i m 卡符合有 关i c 卡的i s 0 7 8 1 6 标准。嵌入式( 俗称小卡) u s i m 卡，其大小只有2 5 m m 1 5 姗，是 半永久性地装入到移动台设各中的卡。而目前新出的机型基本上都使用“小卡”。 u s i m 卡硬件上有八个触点，通常与移动设备连接需要六个触点，具体接口定 义如图2 一i 所示： 图2 - 1u s i m 触点示意图 f i g u r e 2 1u s i mt o u c hi n t e r f a c e 各个触点说明以下，v c c ：电源电压；r s t ：复位信号：c l k ：时钟触脚；g n d ： 参考地；v p p ：编程电压；i 0 ：i 0 数据；r f u ：保留未用。 2u s l _ 卡的内部硬件结构 u s i m 卡内部集成电路一般具有多个模块，每个模块具有不同的功能，各厂家 的u s i m 卡内部结构不一定相同，但就u s i w 卡的外部特性来说必须遵循i s 0 7 8 1 6 系 列标准。u s i m 卡一般具有微处理器c p u 、存储单元( 包含程序存储器r o m 、工作存 储器r a m 、数据存储器e e p r o w f l a s h ) 、外部通信接口、探测器硬件保护模块、数 据协处理器、定时器、随机数发生器等。u s m 卡般的内部结构如图2 - 2 所示： 蒜舞馨习 叵互h _ 卜_ f 一h = ” 阿司闻向网f 图2 - 2u s i w 结构图 f i g u r e 2 2u s i mf r a m e 广东工业大学硕士学位论文 u s i m 卡c p u 在国产芯片中，比如中电华大、华虹电子，c p u 普遍是8 位字长， 通常其核心电路为m o t o r o l a 6 8 0 5 或者i n t e l 8 0 5 1 的内核。而国外的芯片多数都是 1 6 位以上，8 位芯片较少，3 2 位芯片已经出现在部分高端的应用中。 u s i m 卡存储单元中的r o m ：用于存储卡上固定不变的程序。在要使用要求对 u s i m 卡c o s 作掩模封装时，u s i m 卡需要配备r o m ，一般情况下可用e e p r o m 和f l a s h 代替。r a m - 随机存取存储器，用作暂存工作区，可存储数据和修改数据，r a m 是 非持久存储器，但存储器电源断电后，存储器上存储的信息不能保留。 u s i m 卡协处理器加速器：主要用于安全逻辑应用中的加速计算，特别是模运 算和大整数计算，如r s a 算法。目前，绝大多数芯片带有d e s 加密协处理器或t - d e s 协处理器。部分芯片带a e s 协处理器。在u s i m 卡上是否包含有协处理器一般影响 智能卡的成本和价格。 e e p r o m ：电可擦涂存储器，当存储器的电源断电后可保存数据内容。不同r o m 是在智能卡正常使用期间，卡上的这种存储器的内容是可以修改的。因此，智能卡 上的这种存储器相当于个人计算机的硬盘，在数据存储时是非常有用的。 储存器管理单元m m u ：负责存储寻址功能，不是每个芯片上都有m m u 的。带有 m m u 的芯片，可以增大c p u 的寻址地址。最大可以达到1 6 m 。也可以辅助存取，可 以不通过c p u 来管理内存和接口，内存和内存之间的通信。减少c p u 的负担。 i o 接口：所有的芯片都按i s 0 - - 7 8 1 6 的串行异步通信标准设计i 0 接口。不 过国内厂家都只提供的是t = o 时的传输( 字符传输) ，国外芯片都提供了t = o 和 t = 1 ( 块传输) 两种传输协议。有些少数芯片还提供u s b 接口传输。 随机数发生器：基本上每个芯片都有随机数发生器。主要用于系统在加密解密 的时，产生随机数供系统使用。 定时器：产生外部时钟计算。芯片不一样，定时器的个数和位数也不一样。普 遍的是两个1 6 位的定时器，也有没有定时器的芯片。 电压：根据i s 0 - - 7 8 1 6 标准，s i m 卡的供电分为5 v 、5 v 与3 v 兼容、3 v 、1 8 v 等，当然这些卡必须与相应的移动电话机配合使用，即移动电话机产生的s i m 卡供 电电压与该s i m 卡所需的电压相匹配。 安全管理：很多厂家根据不同要求提供各种安全管理。包括：过高频率保护、 过低频率保护、过高电压保护、过低电压保护、非法存取监视、非定义指令监视、 c y c 模块检测、e e p r o m 自动错误纠正。甚至有些芯片提供防火墙保护存储器里面的 6 第二章3 g 智能卡c o s 体系结构 数据。目前的u s i m 卡供应商，国外主要有s t 、三星、瑞萨、i n f i n e o n 等，国内的 u s i m 卡厂家较少，主要有华虹、华大电子、北京同方微电子、大唐微电子等厂家， 国内厂家u i c c 主要为8 位结构的u s i m 卡，产品线较为单一。智能卡控制器从c p u 结构上分主要有8 b i t 、1 6 b i t 、3 2 b i t 的c p u 。 2 2 用户服务识别模块 1 用户服务识别模块( 缩写u s i m ) u s i m 卡是u s e rs e r v i c ei d e n t i t ym o d u l e ( 用户服务识别模块) 的缩写，也 称为智能卡、用户身份识别卡。u s i m 与s i m 都是一种逻辑上的概念，它们的实现 需要i c 芯片的物理支撑。 u s i m 是i c 芯片上的一种应用。u s i m 提供了不同于s i m 的另外一组参数，它包 括用户签约信息、认证信息、付费方式、用户短消息等。u s i m 用于通用移动通信 系统( u m t s ，u n i v e r s a lm o b i l et e l e c o m m u n i c a t i o ns y s t e m ) 网络中。 当终端要使用t d - s c d m a 业务时，必须使用u s i m 卡。s i m 和u s i m 可以共存于 同一张u s i m 卡中。u s i m 包括下列信息：国际移动用户标识( i m s i ，i n t e r n a t i o n a l m o b i l es u b s c r i b e ri d e n t i t y ) 、移动用户i s d n 号码( m s i s d n ，m o b il es u b s c r i b e r i s d nn u m b e r ) 、加密密钥( c k ，c i p h e rk e y ) 和完整性密钥( i k ，i n t e g r i t yk e y ) 、 短消息( s m s ，s h o r tm e s s a g es e r v i c e ) 、短消息参数、多媒体消息业务m m s 信息、 m m s 用户优选信息h 1 。 2 u s i m 卡的功能总体结构图 本论文设计相关的u s i m 卡是在绑定式c o s 底层代码设计的基础上，具有通信 管理、安全管理、文件系统等功能。u s i m 卡功能总体结构如图2 3 所示。 困 回回固圆副 广东工业大学硕士学位论文 2 33 g 智能卡c o s 体系结构 3 g 电信智能卡由硬件资源( 智能卡芯片) 与卡的操作系统( c o s ) 组成，c o s 是智 能卡的灵魂，智能卡正因为有了c o s 才具有了“智能”。c o s 由于不可避免地受到 了智能卡内微处理器芯片的性能及内存容量的影响，因此，在很大程度上不同于我 们通常所能见到的微机上的操作系统。首先，c o s 是一个专用系统而不是通用系统。 即：一种c o s 一般都只能应用于特定的某种智能卡，不同卡内的c o s 一般是不相同 的。其次，与那些常见的微机上的操作系统相比较而言，c o s 在本质上更加接近于 监控程序，而不是一个通常所谓的真正意义上的操作系统。在第三代通信网络应用 的智能卡，同样需求c o s 作为重要的组成部分。 2 3 1 智能卡c o s 的基本功能 c o s 的主要功能是控制智能卡同外界的信息交换，管理卡内的存储器，并在卡内 部完成各种命令的执行，管理文件，管理和执行加密算法。当智能卡上电时，c o s 应向终端发送上电复位指令a t r ，同时与终端协商应该使用的通信协议物理特性， 可采用t = o 或t = i 协议，完成初始化后，c o s 等待终端发送命令，c o s 会分析接收到指 令进行相应处理，包括文件的添加删除、数据的更新，安全状态的更新、数据加密 解密等。总的说来，c o s 提供的基本功能包括以下几个部分： a t r 响应：终端给智能卡上电后，c o s 自动从芯片的某位置开始运行程序，此时 c o s 首先向终端发送a t r 指令，让终端清楚知道卡片支持和目前使用的电源特性、通 信的波特率等参数，在终端不支持卡片当前使用的物理特性参数时，双方进行按照 i s 0 7 8 1 6 5 标准进行p p s 协商，使双方达成一致的物理特性接口参数，此后c o s 需要 设置好所有的环境，等待应用的执行。 卡片对外接口交互：芯片对外通过i 0 端口收发数据，所传递的数据格式必须 符合i s 0 7 8 1 6 - 3 的标准。 芯片底层硬件的驱动：c o s 应将上层逻辑的应用与底层相对分离设计，以使得 c o s 可方便移植到不同的硬件平台上，芯片底层程序设计，应包括对存储器的读写、 运算协处理器的使用、端口的监控、随机数发生器的使用等。 卡内内存空间的维护：卡片的内存空间是程序的数据临时空间，是智能卡内重 要的资源之一由于价格等因素，内存空间通常十分有限，c o s 需要提供相应的保障 机制合理分配内存。 8 第二章3 g 智能卡c o s 体系结构 命令的处理：卡片与终端的信息交互采用命令与响应方式进行交互。c o s 的命 令库中需要支持i s 0 7 8 1 6 - 4 、- 9 中的行业间交互指令。 。 系统运行安全的控制：c o s 需要按照i s 0 7 8 1 6 标准体系和具体的行业标准体系， 比如电信行业的3 g p p l 0 2 2 2 3 等构建整个卡片的安全体系，一方面实现卡片与终端 的认证，另一方面实现对卡中文件和数据安全访问机制，同时在终端与卡片某些指 令交互后相应更新卡片的安全状态。 卡内文件系统的维护：数据在卡内以文件的形式存在，和p c 中操作系统的文件 系统类似，c o s 的文件系统必须提供文件的建立、读写、删除、维护等基本操作， 此外，还有文件的寻址，文件的访问安全控制等等。 2 3 2 智能卡c o s 的一般体系结构 从指令的流向上看，指令从外部终端开始进入智能卡，一般需要四个过程的处 理，通常也可以说是c o s 中的四个功能模块：通信管理模块、安全管理模块、命令 处理模块和文件管理模块，整个处理过程如图2 4 所示： 读写设各智能卡c 0 s - 鱼萼町面磊司陌网陌硼压碉 刚 模块 广模块h 模块h模块 厂l l 瓦f 上l 图2 4c o s 层次模型图 f i g u r e 2 4c o sh i b e r a r c h ym o d e l 上图c o s 采用自然语言进行设计时具有的一般模型，大多数c o s 设计采用此模 型，此模型具有简单明了的优点。 1 通信管理模块 通信管理模块主要是依据智能卡所使用的信息传输协议，对由读写设备发出的 命令进行接收。同时，把对命令的响应按照传输协议的格式发送出去。这一部分主 要和智能卡具体使用的通信协议有关，而且，所采用的通信协议越复杂，这一部分 实现起来也就越困难、越复杂。目前智能技术卡采用的传输协议一般是必选t = 0 协 议，可选t = i 协议。未来几年，为了提高卡与终端的通信速度，u s b 协议将被引用 到智能卡中。 2 命令处理模块 命令处理模块主要对卡接收的命令的可执行性进行判断，根据接收到的命令 检查各项参数是否正确等，在此基础上执行相应的操作和数据处理。分析a p d u 命 9 广东工业大学硕士学位论文 令帧中的c l a 、i n s ，调用相应的处理函数具体处理命令代表的功能，并产生处理 后的响应状态码。 3 安全管理模块 安全管理模块是智能卡c o s 的核心部分，实现智能卡认证进网和保护卡内的数 据。智能卡的安全体系是智能卡c o s 中一个极为重要的部分，它涉及到卡的鉴别与 核实方式的选择，包括c o s 在对卡中文件进行访问时的权限控制机制，还关系到卡 中信息的保密机制。鉴别指的是对智能卡( 或者是读写设备) 的合法性的验证，即是 如何判定一张智能卡( 或读写设备) 不是伪造的卡( 或读写设备) 的问题；而核实是指 对智能卡的持有者的合法性的验证，也就是如何判定一个持卡人是经过了合法的授 权的问题。安全体系包含了安全属性、安全机制、安全状态三方面内容。其中，安 全状态是指智能卡在当前所处的一种状态，这种状态是在智能卡进行完复位应答或 者是在它处理完某命令之后得到的。安全属性实际上是定义了执行某个命令所需要 的条件，只有智能卡满足了这些条件，该命令才是可以执行的。而安全机制就是把 安全状态与安全属性相联系到一起，安全机制可以认为是安全状态实现转移所采用 的转移方法和手段。 4 文件管理模块 文件管理模块实现智能卡内数据的保存和管理。文件是指关于数据单元或卡中 记录的有组织的集合。c o s 通过给每种应用建立一个对应文件的方法来实现它对各 个应用的存储及管理。因此，c o s 的应用文件中存储的都是与应用程序有关的各种 数据或记录。此外，对某些智能卡的c o s ，可能还包含有对文件进行控制的应用控 制文件。在c o s 中所有的文件都具有文件标识符，因此通过文件标识符就可以直接 查找所需的文件。此外，每个文件还可以有一个文件名作为助记符，它与文件标识 符的不同之处在于它是可以重复的。c o s 的文件按照其所处的逻辑层次可以分为三 类；主文件( m a s t e rf i l e ，m f ) ，专用文件( d e d i c a t e df i l e ，d f ) 以及基本文件 ( e l e m e n t a r yf i l e ，e f ) 。其中，主文件m f 对任何c o s 都是必不可少的，它是包含 有文件控制信息及可分配存储区的唯一文件，其作用相当于是c o s 文件系统的根文 件，处于c o s 文件系统的最高层；基本文件也是必不可少的一个部分，它是实际用 来存储应用的数据单元或记录的文件，处于文件系统的最底层，而专用文件是可选 的，它存储的主要是文件的控制信息、文件的位置、大小等数据信息。对文件可以 进行增加、删除、修改等操作。 1 0 第二章3 g 智能卡c o s 体系结构 2 3 3 绑定式u slm 卡c o s 体系结构 ， 本文所关联的项目，所设计的c o s 分为两个层面上的设计，一是针对单个芯片 的c o s 设计，项目中称其为m i n i _ c o s ，m i n i _ c o s 设计的硬件基础是以清华同方的 t h c 2 0 f 1 7 a d 芯片，软件基础是i s 0 7 8 1 6 规范和3 g p p 中关于智能卡的相关规范。 m i n i _ c o s 主要针对的是上层应用逻辑设计和底层针对某个具体芯片的底层设计，主 要解决上层逻辑应用问题。另一层设计是针对目前大多数芯片的c o s 设计，项目中 称其为m a x _ c o s ，m a x _ c o s 设计基础是对多种u i c c 硬件的不同分析。m a ) ( 0 s 针对的 对多个芯片的底层设计，主要解决在多个芯片上的驱动共享和移植问题。两种c o s 的设计具有一定的相同点，也有一定的不同点，两者考虑的角度不同，解决问题的 重点不同。m i n i _ c o s 与m a x - c o s 两者的共同点，主要体现上层应用逻辑基本一致， m a x 0 s 只是比m i n i _ c o s 支持更多的芯片晦1 。 1 川n l c o s 结构设计 体系结构上，传统操作系统体系结构有：1 、单块式结构，如图2 - 5 所示。2 、 层次结构，如图2 6 所示。3 、客户服务器结构，如图2 7 所示。4 、r e o 模型，图2 8 r e o 模型结构旧。 图2 - 5 单块式结构模型 f i g u r e 2 5s i n g l eb l o c km o d e l 用户靖匪亘囝圆匝耍亚网 图2 7 客户服务器系统结构 f i g u r e 2 - 7c sm o d e l 图2 - 6 分层系统结构 f i g u r e 2 6h i b e r a r c h ym o d e l ：应用程序：置备器 | 鏖匿；i ：l 璺墨篁垄r 叫墨壁筻蛋i ： i 应用2 安全控制y - 侍输警理i ： 图2 8r e o 模型结构 f i g u r e 2 - 8r e om o d e l 四种结构模型各自有优缺点、使用场景不同，单块模型和层次模型效率较高， 但不利于进行维护和扩展，r e o 模型和客户i t 务模型模块封装特性较好，利于系统 的扩展和维护，但对硬件的配置要求较高，任务调度复杂，需要耗费较多系统资源。 u s i mc o s 系统首先是一个高效准确的系统，其次要求具有良好的可维护性，和 垂 广东工业大学硕士学位论文 可扩展性。u s i mc o s 系统的设计目标：需要实现与外部终端的高效准确的通信，系 统模块化设计使系统具有较好的可扩展性和可维护性，模块之间任务调度效率以实 时为目标，系统需要在不同u i c c 平台上进行扩展使用，对不同的u i c c 硬件平台需要 有较好的适应性。 基于本项目u s i mc o s 系统的目标和特点，系统设计方案提出一种适合于本项目 的结构模型方案，方案结合了单块模型、层次模型、客户服务模型、r e o 模型的优 点，主要的思想是：为了系统的可扩展、可维护性、对不同硬件的适应性，系统采 用r e o 模型和客户服务模型中的微内核思想进行模块化设计，为了使系统具有较高 的运行效率，系统运行时对u i c c 的硬件要求较低，节省部分硬件成本，系统模型简 化r e o 模型的任务调度方式，将系统调度方式设计为单任务调度方式。系统模型结 构如图2 9 所示： 功能模块层 i 通信管理 i 安全管理il 命令处理il 文件管理 模块模块i 模块模块 徽! 艉鬈攀馒件 图2 9m i n i _ c o s 系统结构模型图 f i g u r e 2 - 9m i n i c o sf r a m em o d e l 2 m a xc o s 模块设计 为解决在多个芯片上的驱动共享和移植问题，项目中提出m a x c o s 的一种u s i m c o s 的覆盖模型。m a ) ( - c o s 针对多数芯片的底层驱动而设计，目标是增强m i n ic o s 上层逻辑在不同芯片上的适应性，减少在上层逻辑在不同应用上移植的难度。使得 u s i m 应用在市场变化时，u s i m 的生产厂家可以有更多的选择余地，并快速做出市 场响应，同时也减少了u s i m 厂家对多个版本c o s 保存的烦恼。 m a x _ c o s 模型是一个覆盖模型，同时也是一个抽象模型，它不能直接掩模到某 个具体的芯片中，而掩模罐装到u i c c 平台上的c o s 是一个专门针对一种芯片而裁 减的特殊具体模型m i n i c o s 。与m i n i c o s 相比，m a x _ c o s 并不是一个可以单独编 译运行的系统，简单的说只是一种组件的管理概念。对覆盖模型进行针对性裁减的 目的一方面是为了减少c o s 的代码量，保留相对较大的用户数据量，并缩减产品的 存储成本；另一方面也是获得一个可以单独编译运行并下载的u i c c 中可执行 m i n i _ c o s 。u s i m 的生产发放过程也即是由m a x c o s 的建立、裁减、抽象到m i n i c o s 的过程。在本文中采用硬件库、驱动库、c o s 生成器的概念对m a x - c o s 进行描述， 1 2 第二章3 g 智能卡c o s 体系结构 并在m i n i c o s 结构模型基础上，提出了如图2 1 0 所示的m a x - c o s 模型吲。 图2 - 1 0m a x c o s 模型 f i g u r e 2 1 0m a x c o sm o d e l 硬件库c h i p s e t ：表示多个芯片元u i c c 的集合，u i c c 由不同硬件属性p i 构成， 每一种属性与驱动库中的一种驱动d i 相对应，d i 与p i 的对应关系为一对多或一 对一关系。 驱动库d r s e t ：表示硬件库中所有硬件属性p i 对应的驱动d k 的集合，理论上 硬件属性p 的总量上限大于或等于驱动d 的总量上限。 驱动管理器：实现对下层驱动程序的管理，提供接口层到驱动的映射。 接口层：向功能层提供统一的设备访问函数，向下通过搜索驱动管理器寻找下 层驱动程序。 c o s 生成器：针对特定的芯片元u i c c 将覆盖模型进行裁减编译成特定的c o s 进 行掩模罐装。 微内核的设计过程包括：统一接口层的设计；驱动管理器的设计；驱动库的建 立过程；硬件库的建立过程；覆盖模型到抽象模型的建立过程；c o s 生成器的设计。 以下部分内容将逐步描述这六方面的内容。 1 3 广东工业大学硕士学位论文 第三章3 g 系统的安全体系结构 3 12 g 系统的安全缺陷 第二代数字移动通信系统( 2 g ) 比第一代系统采取了更多的安全措施。g s m 系