2024卡及身份识别安全设备片上操作系统 第1部分：架构

1目 次前言 II引言 III范围 1规范性引用文件 1术语和定义 1缩略语 2系统架构 3功能要求 5基础层 5应用支持层 7应用接口层 8性能要求 11时间特性 11资源利用性 117.3容量 12兼容性要求 12易用性要求 12可靠性要求 13安全要求 13随机数生成器 13密码运算 13安全功能 13权限管理 13安全接口 14附录A应用编译、加载、安装、执行流程 错误！未定义书签。参考文献 16图1通用片上操作系统架构 3图2支持应用后下载的片上操作系统架构 4图A.1应用编译、加载、安装、执行流程 15表1片上操作系统各模块的功能描述 4I引 言片上操作系统指运行在卡及身份识别安全设备的安全芯片上的操作系统，通常应用于智能卡、USBKEYESAMSEGB/TXXXXX第1部分：架构。目的在于确立片上操作系统架构及系统组成，为片上操作系统系列规范提供指南和索引，并规范片上操作系统总体功能、性能、安全性、兼容性、易用性等软件质量特性要求。第2部分：通用基础层技术要求。目的在于规范片上操作系统通用基础层的具体功能技术要求。第3部分：支持应用后下载的基础层技术要求。目的在于规范支持应用后下载的基础层的应用安装器及执行器具体功能技术要求。第4部分：应用支持层技术要求。目的在于规范应用支持层的应用管理、生命周期管理及应用全局服务的具体功能技术要求。第5部分：应用接口层技术要求。目的在于规范片上操作系统的数据通信、存储管理、文件系统等应用编程接口。第6部分：安全技术要求。目的在于规范片上操作系统的信息安全防护目标和信息安全功能技术要求。GB/TXXXXX.1III卡及身份识别安全设备片上操作系统第1部分：架构范围本文件适用于卡及身份识别安全设备的片上操作系统的研发、检测、验收及应用。规范性引用文件（包括所有的修改单适用于本文件。GB/T16649.3识别卡集成电路卡第3部分：带触点的卡电气接口和传输协议GB/T25000.10(SQuaRE)第10模型GB/T25062信息安全技术鉴别与授权基于角色的访问控制模型与管理规范GB/T37092信息安全技术密码模块安全要求GB/T42756.4卡及身份识别安全设备无触点接近式对象第4部分：传输协议术语和定义下列术语和定义适用于本文件。3.1安全芯片securitychip实现了密码算法功能，直接或间接地使用密码技术来处理密钥和敏感信息的集成电路芯片。安全芯[来源：GM/T0008-2021，3.1]3.2片上操作系统chipoperatingsystem运行在卡及身份识别安全设备中的安全芯片上的操作系统。注：通常应用于智能卡、USBKEY、ESAM、SE等产品形态。3.3应用application为满足特定功能所需的数据结构、数据元和程序模块。[来源：GB/T16649.4-2010，3.3]13.4可加载文件loadablefile由应用编译器生成的，能够加载到片上操作系统中的特定文件。3.5可执行文件executablefile由应用安装器生成，可以由片上操作系统执行的文件。3.6可执行模块executablemodule包含在可执行文件中的单个应用的可执行代码。注：如果可执行文件包含该模块，则可被安装，否则不能被安装。3.7原子操作atomicoperation所涉及的非易失性存储区的数据操作全部操作成功或保持原态的单个操作单元。3.8事务操作transactionoperation一组涉及非易失性存储区的数据全部操作成功或保持原态的操作组合。3.9易失性存储volatilestorage断开电源后无法保有其内容的存储。[来源：GB/T25069-2022，3.722，有修改]3.10非易失性存储non-volatilestorage断开电源后仍保有其内容的存储。[来源：GB/T25069-2022，3.156]3.11应用后下载applicationpost-download搭载片上操作系统的产品发行给持有人后，再进行应用下载的操作。3.12逻辑通信接口logiccommunicationinterface片上操作系统与外部进行数据交换时，为逻辑信息流提供进出片上操作系统的逻辑入口和出口。缩略语下列缩略语适用于本文件。I2C：互联电路总线（Inter-IntegratedCircuitbus）MSC：大容量存储设备类（MassStoragedeviceClass）SPI：串行外设接口（SerialPeripheralInterface）SWP：单线协议（SingleWireProtocol）USB：通用串行总线（UniversalSerialBus）2系统架构图1图1通用片上操作系统架构图2说明了支持应用后下载的片上操作系统内部各层之间的关系及各层所支持的功能。支持应用后下载的片上操作系统包含三层：基础层、应用支持层和应用接口层。附录A说明了应用的编译、加载、安装、执行流程。3图2支持应用后下载的片上操作系统架构表1说明了各模块的功能描述。表1片上操作系统各模块的功能描述层名称模块名称模块功能描述基础层硬件抽象片上操作系统基础层与芯片硬件之间的接口，为片上操作系统提供虚拟的硬件平台数据通信用于片上操作系统与外部进行数据交互及协议解析存储管理用于片上操作系统对芯片的存储空间和存储数据进行管理文件系统用于片上操作系统对文件进行组织和管理任务管理用于对外部发送的指令进行管理，主要包括对指令的顺序、指令和响应之间关系进行管理的功能。事务管理包括原子操作和事务操作异常管理用于片上操作系统对运行期间发生的异常进行管理应用安装器用于片上操作系统进行应用的加载、安装、删除等操作执行器用于片上操作系统运行可执行文件应用支持层应用管理用于片上操作系统对应用加载、安装、删除等操作进行管理生命周期管理用于对片上操作系统、可执行文件/可执行模块及应用的生命周期进行管理应用间服务用于应用为其它应用提供服务4表1片上操作系统各模块的功能描述（续）层名称模块名称模块功能描述应用接口层存储管理接口用于片上操作系统为应用提供存储管理的接口数据通信接口用于片上操作系统为应用提供数据通信的接口算法接口用于片上操作系统为应用提供算法的接口文件系统接口用于片上操作系统为应用提供文件系统的接口应用管理接口用于片上操作系统为应用提供管理的接口基础层、应用支持层、应用接口层安全管理基于安全芯片提供信息安全保障服务，保障信息的完整性、可用性、保密性及可靠性功能要求基础层硬件抽象应具有所需硬件的抽象功能：非易失性存储器读写接口。封装非易失性存储器的读写操作接口，提供给基础层其余部分或应用进行调用，以操作非易失性存储器；随机数接口。封装算法单元中随机数发生器的获取接口，提供给基础层其余部分或应用进行调用，以获取随机数；密码库接口。封装算法单元中加解密、签名验签等运算接口，提供给基础层其余部分或应用进行调用，以进行加解密、签名验签等操作；时钟接口。封装定时器接口，提供给基础层其余部分或应用进行调用，以进行设置时钟、读取时钟等操作；数据通信接口。封装通信的逻辑接口，提供给基础层其余部分或应用进行调用，以进行数据收发等操作。宜具有以下抽象功能：电源控制接口，时钟设置，功耗模式设置；安全功能接口，安全功能自检及强制检测。数据通信应具有以下功能：至少具备一种以上的逻辑通信接口与外界进行数据交换；逻辑通信接口的传输协议符合该传输协议通用的标准要求，传输协议可包括但不限于：1)GB/T16649.3；2)GB/T42756.4；USB2.0MSC大容量传输协议；SWP协议；SPI协议；IC协议；蓝牙协议。5SPI、I2C、蓝牙协议的数据链路层的要求不在本文件定义的范围内。宜具有以下功能：各逻辑通信接口之间的数据并行处理；某逻辑通信接口的数据优先处理；同一个逻辑通信接口不应泄露在之前通信交互中的残留数据。任务管理应具有以下功能：管理片上操作系统信息、应用信息和应用权限信息；处理应用选择指令，包括应用选择、应用在不同逻辑通道上被选择和应用去选择等操作；对接收到的指令进行分发，将指令转给对应的应用进行处理；按照遵循的数据通信协议解析任务数据并返回明确的处理结果。宜具有以下功能：每个逻辑通道上分配独立资源以便任务能独立运行。事务管理事务管理包括原子操作及事务操作，应具有以下功能：非易失性存储器单次写入具备原子操作的能力；非易失性存储器多个地址同时写入具备事务操作的能力。存储管理易失性存储器管理应具有以下功能：分配易失性存储器空间；释放易失性存储器空间；c）读取易失性存储器空间数据；d）将数据写入易失性存储器空间。宜具有以下功能：易失性存储器空间的碎片整理；回收泄漏的易失性存储器空间。非易失性存储器管理应具有以下功能：分配非易失性存储器空间；释放非易失性存储器空间；c）读取非易失性存储器空间数据；d）将数据写入非易失性存储器空间。宜具有以下功能：f)非易失性存储器空间的碎片整理。异常管理6应具有以下功能：异常处理机制，当程序在运行过程中遇到不可预期的错误或条件时，能正确处理这些情况，而使程序直接崩溃或产生不确定的结果。宜具有以下功能：对各类异常进行分类，并返回相应的异常信息；抛出异常。当程序检测到错误或异常情况时，能创建一个异常对象并“抛出”它。这个异常对象通常包含有关错误的详细信息，如错误类型、错误消息等。e文件系统若支持文件系统，应具有以下功能：支持一种或一种以上类型的文件系统；宜具有以下功能：定义文件的类型和目录结构；定义文件的标识和属性。应用安装器若支持应用后下载，应具有以下功能：加载应用。将应用的代码和数据从片上操作系统外部加载到非易失性存储器中；分条或分包应用下载的顺序检测和处理机制；加载、安装、删除过程中的冲突、内存不足、下载过程中断等异常处理机制；e）加载应用的完整性检测与处理机制；f)删除应用。从非易失性存储器中移除应用的代码、数据、注册表项和配置设置。执行器若支持应用后下载，应具有以下功能：执行应用。运行应用程序以接收外部命令并进行响应；片上操作系统复位后，启动并初始化执行器，初始化完成后等待接收外部的命令；为运行中的各类型数据及方法调用分配资源；支持无效指令、栈溢出、空指针、无效地址、内存不足等情况的异常处理机制；具备应用间防火墙在内的各种安全机制，返回异常信息，并执行相关安全处理。宜支持以下功能：向下兼容基于历史版本片上操作系统实现的应用。应用支持层总则应用管理7应具有以下功能：（应用内容管理，包括对应用版本信息、应用引用包信息、应用敏感信息的管理；应用的加载、安装和删除管理，包括对应用的加载初始化、代码的传输、代码加载结束、应用实例安装、配置及删除等过程中的冲突、执行顺序等管理；应用注册信息的管理，包括应用标识、应用名称、应用权限、存储资源占用、应用生命周期状态的管理；应用权限的管理，包括权限的定义、分配、以及应用相关请求合法性的检测；应用的选择及命令分发机制。生命周期管理应具有以下功能：卡及身份识别安全设备、可执行文件/可执行模块、应用的生命周期状态定义；卡及身份识别安全设备、可执行文件/可执行模块、应用的生命周期状态转换规则；/应用全局服务宜具有以下功能:允许具有特殊权限的应用注册一个或多个全局服务，或者取消已经注册的全局服务；应用通过唯一的服务名对全局服务进行访问。应用接口层总则本章仅规定了片上操作系统应用接口层的接口定义，具体实现可视应用场景裁剪。算法接口随机数生成算法具有以下接口：生成随机数。用于生成一个或多个指定格式或范围的随机数；b）随机数运算构建。用于构建基于随机数的复杂运算逻辑；密钥管理具有以下接口：创建密钥。用于创建新的指定密钥属性、类型和长度等参数的对称密钥；产生密钥对。用于生成包含公钥和私钥的密钥对；安全读取密钥。用于通过身份验证、权限检查和访问控制等安全措施读取片上操作系统中的密钥；安全导入密钥。用于将已有的密钥安全地导入到片上操作系统中；8检查密钥是否已经初始化；清除密钥数据。用于清除密钥所有相关信息，以确保其无法被恢复或重新使用，减少密钥泄露和滥用的风险；密钥空间释放。用于释放已删除或不再使用的密钥所占用的存储空间。加解密具有以下接口：算法运算类型构建。用于选择和构建特定的加解密算法运算类型；算法运算模式、运算所需密钥参数的初始化。用于在加解密运算之前对算法运算模式和密钥参数进行初始化，可设置算法的加解密模式及填充方式等；累积计算运算数据。用于将待加密或解密的数据分块或流式地输入到算法中进行累积计算；d)加解密运算操作。用于执行加解密运算操作。对于加密操作，接口将接收明文数据并输出加密后的密文；对于解密操作，接口将接收密文数据并输出解密后的明文；e）算法空间释放。释放算法所占用的临时数据、缓存和状态信息空间。签名验签具有以下接口：算法运算类型构建。用于选择和构建签名或验签的算法运算类型；算法运算模式、运算所需密钥参数的初始化。用于在进行签名或验签之前对算法运算模式和密钥等参数进行初始化；累积计算运算数据。用于将待签名或验签的数据分块或流式地输入到算法中进行累积计算；d）签名。用于执行签名操作，使用初始化时设置的参数和算法对待签名数据生成签名值；e)验签。用于执行验签操作，接收签名值、待验签数据和用于验签的密钥参数，通过比较生成的签名值和提供的签名值，验证提供的签名值是否正确；f）算法空间释放。释放算法所占用的临时数据、缓存和状态信息空间。摘要算法具有以下接口：a）摘要运算构建。用于创建一个摘要算法的实例并进行算法类型等配置；初始化。用于初始化摘要算法的内部状态，为处理新的输入数据做准备；更新数据。用于向摘要算法提供待处理的数据块。这些数据块可以是任意大小，算法将按照其内部逻辑逐步处理这些数据，并更新其内部状态；计算摘要。用于算法的最终计算，生成输入数据的摘要值。；e）获取摘要的长度。用于获取摘要计算结果值的长度；获取算法类型。用于获取当前摘要算法的类型；复位摘要算法。用于将摘要算法重置为其初始状态，但不释放已分配的资源；h）算法空间释放。释放算法所占用的临时数据、缓存和状态信息空间。密钥协商算法具有以下接口：a）密钥协商运算构建。用于构建密钥协商算法的实例，设置算法所需的基本参数，如加密算法类型、密钥长度等；初始化。进行算法的初始化，包含设置会话参数、加载密钥等；9计算密钥协商秘密数据。用于在双方或多方参与密钥协商的过程中，执行一系列复杂的数学运算和逻辑操作，以生成一个或多个共享的密钥；获取算法类型。用于获取当前密钥协商算法类型；算法空间释放。释放算法所占用的临时数据、缓存和状态信息空间。数据通信接口具有以下接口：收取指令。用于从外部设备接收指令；发送指令。用于向外部设备发送指令；获取指令数据长度；获取指令执行状态；指定偏移收取指令数据。用于从指定的偏移量收取指令数据；指定偏移发送指令数据。用于从指令的偏移量发送指令数据；获取当前通道号。在某些应用中，设备可能支持多个通信通道，此接口用于获取当前正在使用的通道号。存储管理接口具有以下接口：申请空间。用于根据可用资源和请求的大小分配一定数量的存储空间，并返回指向该空间的引用或句柄；释放空间。用于释放已分配的空间；获取数组大小。用于返回指定数组的大小；原子拷贝数组。用于原子性拷贝数据数据；非原子拷贝数组。用于非原子性地拷贝数据数据；比较数组。用于比较两个数组的数据内容是否相同；读取数组。用于从数组中读取数据；更新数组。用于修改数组中的数据；填充数组。用于使用指定的数据值填充数组的一部分或全部；获取剩余空间。用于返回存储系统中当前可用的剩余空间量。异常管理接口具有以下接口：抛出指定类型异常。用于在代码中的特定位置抛出特定类型的异常；获取异常类型。用于获取被捕获异常的类型；抛出指令状态码。用于抛出指令的状态码或状态字。文件系统接口具有以下接口：创建文件。用于在文件系统中创建一个新的文件；读取文件。用于从文件中读取数据；更新文件。用于修改文件的内容；修改文件大小。用于调整文件的大小；获取文件信息。用于获取有关文件的各种信息；10删除文件。用于从文件系统中删除一个文件，并释放与该文件关联的所有资源。应用管理接口具有以下接口：应用安装。用于将应用程序安装到片上操作系统中；应用注册。用于将应用程序的信息添加到片上操作系统的注册表中；应用删除。用于从片上操作系统中删除已安装的应用；应用选择。用于从多个已安装的应用实例中选择一个应用进行特定的操作或处理；应用去选择。用于取消之前选择的应用；设置应用生命周期。用于设置应用的生命周期状态；获取应用生命周期。用于获取应用的生命周期状态。通用接口具有以下接口：启动事务。用于开始一个事务；提交事务。用于提交一个事务，即确认事务中的操作，并使其永久化。如果事务成功，那么所有在事务中进行的更改都将被保存；终止事务。用于终止并撤销一个事务，并回滚事务中的更改。如果事务失败或出现错误，可以使用这个接口来撤销所有在事务中进行的更改；获取事务深度。用于返回当前嵌套事务的层数；获得版本号。用于获取片上操作系统的程序版本号；获取设备生产信息。用于获取设备生产相关的信息；获取应用AID。用于获取分配给每个应用的唯一标识符；设置设备生命周期。用于设置设备的生命周期；获取设备生命周期。用于获取设备的生命周期；g)获得应用共享接口。用于获取一个或多个应用程序之间共享的接口。性能要求时间特性应结合具体应用，从以下方面评价片上操作系统的时间特性：与外部通信的传输速率；一条指令或多条指令集的处理时间；安全算法执行时间；数据读写时间；若支持应用后下载，应用的加载、安装、删除时间。资源利用性应结合具体应用，从以下方面评价片上操作系统的资源利用性：内存使用效率；工作寿命；功耗；11若支持文件系统，能创建的目录和文件的个数及深度；对资源非法操作的检测。宜结合具体应用，符合应用的以下要求：支持设定创建目录和文件的最大个数和深度。容量应结合具体应用，从以下方面评价片上操作系统的容量：可用的易失性存储器空间大小；可用的非易失性存储器空间大小；支持的安装包个数；支持的应用加载个数；支持的应用安装个数。兼容性要求互操作性应从以下方面评价片上操作系统的互操作性：提供给应用的统一操作接口；提供与外部交互的统一操作接口。应用兼容性若支持应用后下载，应从以下方面评价片上操作系统的应用兼容性：加载、安装符合应用接口层标准的应用;支持的应用类型包含安装后可直接执行的应用类型和安装