一卡多用安全智能卡結構研究與應用

文章出處：http://psychicreadingswithdeb.com 作者：萬(wàn)方數據   人氣： 發(fā)表時(shí)間：2011年09月26日

    一、引 言 

    智能卡(Smart Card)是一種鑲嵌有單片機芯片的卡片。由于智能卡內含CPU，硬件資源豐富，而且有芯片操作系統的支持，因而安全性高，它已成為一種重要的安全設備，特別是在電子商務(wù)、電子金融和電子政務(wù)迅速發(fā)展的今天，智能卡將作為身份憑證、電子錢(qián)包、電子存折和各種證書(shū)以及重要數據的載體，發(fā)揮越來(lái)越重要的作用。 

    智能卡正朝著(zhù)安全、高速、方便的方向迅速發(fā)展。隨著(zhù)一卡多用以及用戶(hù)下載程序的需求不斷增加，現有的智能卡及其芯片操作系統就暴露出一些安全缺陷。它們或者不提供用戶(hù)下載功能，即給所有用戶(hù)提供固定不變的操作系統，或者允許用戶(hù)下載程序但只是試圖從軟件上實(shí)現對用戶(hù)數據及其程序的保護，例如對執行下載用戶(hù)命令的用戶(hù)進(jìn)行身份認證，只有那些擁有某些秘密信息的用戶(hù)才能下載用戶(hù)命令。然而僅從軟件角度進(jìn)行安全保護是不夠的，仍然存在安全隱患。一方面攻擊者可能通過(guò)某種渠道獲得這些秘密信息，另一方面不能杜絕具有合法下載權限的用戶(hù)進(jìn)行惡意破壞。一旦用戶(hù)命令下載成功，則芯片操作系統就無(wú)法對這些下載的用戶(hù)命令進(jìn)行監控，因為下載的用戶(hù)命令和操作系統處于同一級別，用戶(hù)命令也用CPU的匯編指令來(lái)實(shí)現，只要是合法指令，CPU就會(huì )執行。因為指令是軟件的最底層，芯片操作系統也是建立在指令之上的。這樣為特定應用下載的命令就可以對其他應用的程序或數據進(jìn)行訪(fǎng)間。如果一個(gè)應用下載的命令中含有對另一應用的數據進(jìn)行篡改的指令，那么芯片操作系統是不能控制其指令的執行的。 

    為克服上述缺陷，本文提出了一種新型的安全智能卡結構，它具有如下技術(shù)特點(diǎn): 

    ·支持一卡多用，適應面寬，便于攜帶管理。
    ·支持用戶(hù)下載程序，使用靈活方便。
    ·不同應用程序由物理隔離保護，確保數據安全。
    ·具有密碼協(xié)處理器，可大大提高密碼運算速度。
    ·具有 U SB接口，便于實(shí)現電子鑰匙功能和高速數據傳輸。
    ·內部具有看門(mén)狗電路，系統可靠性高。 

    本文首先從軟硬件兩個(gè)方面論述一卡多用安全智能卡的結構原理，以及實(shí)現對多個(gè)應用區隔離的安全方案，即限制特定用戶(hù)命令的訪(fǎng)間范圍，真正達到對多個(gè)應用區進(jìn)行保護的目的，然后討論這種新型安全智能卡的一種應用實(shí)例。

    二、新型安全智能卡的硬件結構

    新型安全智能卡首先從硬件上為實(shí)現多應用的隔離、確保用戶(hù)程序和數據的安全提供了支持，增加了硬件中斷、操作標志，以及內存地址比較寄存器、程序地址比較寄存器和數據地址比較寄存器。新型安全智能卡芯片由CPU、各種存儲器(RAM, ROM, EEP-ROM, Flash Memory),密碼協(xié)處理器、串行通信、地址隔離和中斷控制邏輯等部分組成，其硬件結構如圖 1所示。 

圖 1 新型安全智能卡的芯片結構

    新型安全智能卡中的CPU主要由時(shí)鐘邏輯、中斷邏輯、定時(shí)器邏輯、串行通信、并行I/O、片選邏輯、總線(xiàn)接口、指令邏輯、算術(shù)邏輯、寄存器文件等部分組成，CPU可采用 8位或 16位，最好使用RISC技術(shù)和流水線(xiàn)技術(shù)以提高速度，其硬件結構如圖2所示。 

圖 2 新型安全智能卡的CPU結構 

    為了支持用戶(hù)下載程序、一卡多用，同時(shí)確保各用戶(hù)數據安全，必須對多個(gè)用戶(hù)區進(jìn)行隔離保護。通過(guò)地址隔離，把不同的應用限制在不同的區域，從而確保數據的安全。在新型安全智能卡的CPU中增加了操作標志和一個(gè)硬件中斷。操作標志用以區分當前操作模式是系統模式還是用戶(hù)模式，新增中斷用以在某應用的用戶(hù)命令訪(fǎng)間系統或其他應用的地址空間時(shí)通知芯片操作系統以終止該用戶(hù)命令的執行。進(jìn)行存儲區之間隔離保護的方法之一是對相應的存儲區域設立地址比較寄存器，分別有內存地址上、下界地址寄存器，程序地址上、下界寄存器和數據地址上、下界寄存器。在用戶(hù)模式時(shí)，程序的訪(fǎng)問(wèn)要受地址比較寄存器的限制，只有地址比較寄存器所限定的地址空間才可被訪(fǎng)問(wèn)。當處于某一區域的程序執行時(shí)，其所訪(fǎng)間的存儲區地址都要與上、下界寄存器的值比較，如果不越界便可訪(fǎng)問(wèn)，如果越界則不能訪(fǎng)問(wèn)且產(chǎn)生硬件中斷，操作系統將終止程序的執行，從而保證特定應用下載的用戶(hù)命令只能訪(fǎng)問(wèn)其自身的地址空間，而不能對系統或其他應用的用戶(hù)命令或數據進(jìn)行訪(fǎng)問(wèn)，實(shí)現存儲區之間的隔離保護。而在系統模式時(shí)，程序的訪(fǎng)問(wèn)不受任何限制，可以訪(fǎng)問(wèn)整個(gè)地址空間。 

    上、下界寄存器的值是軟件可設置的，由芯片操作系統對其進(jìn)行管理，靈活方便。而且每一類(lèi)比較寄存器只需要一對上、下界寄存器就可實(shí)現多個(gè)應用存儲區的隔離保護。 

    隨著(zhù)網(wǎng)絡(luò )技術(shù)的普及與應用，由于Internet所固有的開(kāi)放性、無(wú)國界、自由性的特點(diǎn)，網(wǎng)絡(luò )安全尤其是網(wǎng)絡(luò )信息交互時(shí)出現的身份鑒別、電子簽名、數據加密等間題已經(jīng)成為人們關(guān)注的一個(gè)焦點(diǎn)。新型安全智能卡中設計了USB接口，以便于實(shí)現電子鑰匙(Electronic Key)功能和高速數據傳輸。 

    在新型安全智能卡中，ROM空間用于存儲COs和一些固定數據。RAM空間用于存放中斷向量、系統棧以及中間數據等,EEPROM/Flash Memory用于存放系統數據、用戶(hù)程序或用戶(hù)數據。 

    為了確保數據安全，智能卡中必須實(shí)現數字簽名。數字簽名可通過(guò)公開(kāi)密鑰密碼RSA和ECC來(lái)實(shí)現。無(wú)論是RSA還是ECC，其運算都是極復雜的。完全依靠8位或16位CPU來(lái)軟件實(shí)現RSA和ECC，其速度將是很慢的。為了提高速度，必須采用硬件支持。因此，在智能卡中設計了密碼硬件協(xié)處理器，以適合智能卡的應用。 

    串行通信邏輯支持各種協(xié)議的智能卡通信。CPU提供一個(gè)全雙工雙向通信控制器，其邏輯結構如圖 3所示。 

圖3 串行通信控制器結構

    由于CPU內部結構合理，主要寄存器都是軟件可編程的，因此使得通信程序的編寫(xiě)將變得十分容易。 

    三、新型安全智能卡的芯片操作系統結構

    智能卡的操作系統(簡(jiǎn)稱(chēng)為COS)是智能卡資源的管理者和安全保密的基礎。它由傳輸管理、文件管理、安全管理、命令處理四個(gè)功能模塊組成，如圖4所示。 

圖4 芯片操作系統邏輯結構圖

    傳愉管理模塊:按 ISO 7816-3標準實(shí)現智能卡與讀寫(xiě)設備之間的通信、保證命令和數據的正確傳枯。根據用戶(hù)的要求可選擇宇符傳箱協(xié)議T=0 或塊傳輸協(xié)議T=1。 

    命令處理模塊:主要對卡接收的命令的可執行性進(jìn)行判斷，根據接收到的命令檢查各項參數是否正確等，在此基礎上執行相應的操作和數據處理。文件管理模塊:將用戶(hù)數據按照設計的文件結構格式存儲在EEPROM或Flash Memory中，并根據安全訪(fǎng)問(wèn)策略和機制，確保存儲數據的安全和文件訪(fǎng)問(wèn)的快速便捷。
 
    安全管理模塊:是智能卡操作系統的核心和基礎，用來(lái)實(shí)現卡與讀寫(xiě)設備之間的相互認證、持卡人的身份認證、文件訪(fǎng)間權限控制、安全報文傳翰、數據加解密、數字簽名等安全保密功能。對卡與讀寫(xiě)設備之間的通信采取密碼保護，防止卡與終端之間的通信數據被非法竊取和篡改。 

    特別，為了支持一卡多用的安全使用，允許多個(gè)應用在智能卡中下載其特殊用戶(hù)命令，實(shí)現多個(gè)應用的隔離，使得每一應用只能訪(fǎng)問(wèn)其自身的數據或用戶(hù)命令，而不能訪(fǎng)問(wèn)其他應用的數據或命令，新型安全智能卡在增加硬件支持的同時(shí)，還為芯片操作系統實(shí)現多個(gè)應用的隔離保護提供相應支持。 

    ·兩種操作模式:為區分當前執行的是系統程序還是用戶(hù)程序，新型安全智能卡將操作模式分為系統模式和用戶(hù)模式，由特殊的狀態(tài)標志位來(lái)決定是用戶(hù)模式還是系統模式。
    ·新增指令:為實(shí)現系統模式和用戶(hù)模式間的相互轉換，在CPU 中增加若干新指令。同時(shí)將指令分為普遍指令和特殊指令。用戶(hù)命令只能使用普通指令，而系統程序可使用普通指令和特殊指令。 
    ·模式切換:應用通過(guò)操作系統執行特殊的模式中斷指令來(lái)執行用戶(hù)命令。應用初始化時(shí)首先應在系統模式下識別該用戶(hù)命令，然后通過(guò)特殊的模式中斷指令，將應用程序的地址和必要的參數存于寄存器中，清除所有其他未使用的寄存器和工作內存，將操作標志和返回地址入棧，改變狀態(tài)標志，執行應用程序，從而實(shí)現從系統模式到用戶(hù)模式的切換;當從用戶(hù)命令返回時(shí)應使用相應的特殊返回指令，將返回地址和操作標志出棧，返回至系統調用處，從而實(shí)現從用戶(hù)模式到系統模式的切換口為方便特殊的用戶(hù)命令的開(kāi)發(fā)，系統應為用戶(hù)提供若干例程供用戶(hù)命令調用。用戶(hù)命令通過(guò)系統程序中斷來(lái)調用系統例程，將請求地址存于寄存器中，并將操作標志和應用程序返回地址入棧，改變操作標志，從而由用戶(hù)模式切換到系統模式;當從系統例程返回到用戶(hù)命令時(shí)使用相應的特殊的返回指令，清除除返回結果外的所有不必要的寄存器和工作內存，并從棧中取出操作標志和返回地址以返回到應用程序，從而由系統模式切換到用戶(hù)模式。在模式切換中斷指今或模式切換中斷返回指令執行期間應關(guān)閉硬件中斷，當指令執行完成后立即開(kāi)放硬件中斷。
    ·異常中斷:若用戶(hù)程序試圖訪(fǎng)問(wèn)地址比較寄存器范圍以外的地址空間，或試圖訪(fǎng)問(wèn)地址比較寄存器，則引起硬件中斷，并且程序被異常終止。硬件中斷服務(wù)程序負責將出錯信息存于狀態(tài)字中并傳送給外部接口設備，同時(shí)復位CPU，清除所有的寄存器和工作內存。 

    四、新型安全智能卡的應用

    新型安全智能卡采用了多個(gè)應用區之間的物理隔離保護技術(shù)，克服了現有智能卡只注意了對芯片操作系統區的保護，而不能對多個(gè)應用區進(jìn)行隔離保護，用戶(hù)為某一應用而下載的程序可能危害另一應用的數據安全的缺點(diǎn)。它具有支持用戶(hù)下載程序、一卡多用，能對多個(gè)用戶(hù)區進(jìn)行隔離保護的安全特性，從而使其系統資源和安全性與普通智能卡相比有很大的提高，特別適合當今電子商務(wù)、電子金融、電子政務(wù)、電子身份證等重要應用領(lǐng)域。 

    新型安全智能卡可應用于嵌入式密碼計算機中。嵌入式密碼計算機是我們?yōu)檫m應信息安全的需求而專(zhuān)門(mén)設計的一種新型安全PC機，從主板硬件、BIOS、操作系統安全增強、虛擬專(zhuān)用網(wǎng)絡(luò )(VPN),密碼系統、密鑰管理等幾方面進(jìn)行安全設計和管理，從而使其安全性達到很高的程度。在嵌入式密碼計算機中，新型安全智能卡為確保系統的信息安全發(fā)揮了重要作用，成為這一安全平臺的一個(gè)不可缺少的重要組成部分。
嵌入式密碼計算機采用新型安全智能卡作為用戶(hù)的身份憑證和權限憑證，同時(shí)還作為用戶(hù)的電子錢(qián)包、電子存折和密鑰證書(shū)，其系統結構如圖5所示。 

圖 5 嵌入式密碼計算機的系統結構

    新型安全智能卡與嵌入式密碼計算機的連接通過(guò)嵌入式安全模塊(Embedded Security Module)接入計算機系統。在嵌入式安全模塊中CPU通過(guò)智能卡控制芯片對智能卡進(jìn)行讀寫(xiě)操作。 

    新型安全智能卡在嵌人式密碼計算機系統中作用有: 

    ·作為用戶(hù)的身份識別憑證。
    ·作為用戶(hù)的權限憑證。
    ·作為用戶(hù)的密鑰證書(shū)。
    ·作為用戶(hù)的電子錢(qián)包和電子存折。
    ·其他應用。 

    由于智能卡的上述應用對其安全性要求很高，現有普通智能卡很難勝任，所以我們采用新型安全智能卡。 

    由于嵌入式密碼計算機是一種安全計算機，為了確保系統安全，只有對合法用戶(hù)計算機才向他提供服務(wù)，而且只提供與其權限相適應的服務(wù)。它采用新型智能卡作為用戶(hù)的身份識別憑證和權限憑證。智能卡上記錄有用戶(hù)的身份特征和權限特征，經(jīng)過(guò)計算機識別后，由操作系統確定是否向他提供服務(wù)以及提供什么服務(wù)，這在嵌入式密碼計算機的啟動(dòng)過(guò)程中由智能卡所標識的信息所確定。在嵌人式密碼計算機工作過(guò)程中，系統始終通過(guò)智能卡監視用戶(hù)的身份與權限的真實(shí)性。如果用戶(hù)的身份與權限是真實(shí)的，則嵌入式密碼計算機向用戶(hù)提供各種服務(wù)，如果發(fā)現用戶(hù)的身份與權限的不真實(shí)，則立刻封鎖計算機的所有操作。例如，一旦發(fā)現計算機中無(wú)合法智能卡或用戶(hù)的身份、權限不符時(shí)，則立刻封鎖計算機的所有操作。從而確保只有合法用戶(hù)才能使用計算機，并且只能得到與用戶(hù)權限相符的服務(wù)。 

    新型安全智能卡的另一重要應用是作為電子鑰匙。隨著(zhù)電子商務(wù)的迅速發(fā)展，客戶(hù)端迫切需要一種具有良好性能、操作簡(jiǎn)單、便于使用的安全設備保護個(gè)體敏感數據和網(wǎng)上交互信息 新型智能卡作為電子鑰匙，可通過(guò) USB接口與計算機終端相連，具有安全、實(shí)用、小巧、方便等特點(diǎn)。新型安全智能卡中集成了硬件密碼協(xié)處理器，能提供高強度的認證能力和數據加密能力，可用于要求個(gè)體識別、身份認證、數據加密的應用環(huán)境中。同時(shí)由于采用硬件物理隔離技術(shù)，以及芯片操作系統對存放的數據采用嚴格的訪(fǎng)問(wèn)控制技術(shù)，它也可作為個(gè)體敏感信息存儲和密鑰管理的載體。

    五、結束語(yǔ)

    本文介紹了一卡多用新型安全智能卡的特點(diǎn)和關(guān)鍵技術(shù)，它從硬件和軟件兩個(gè)方面對系統和用戶(hù)安全提供保證，能方便地支待應用下載其特定的用戶(hù)程序，并且確保用戶(hù)下載的程序不能危及系統或其他應用的安全。新型安全智能卡可廣泛用于要求提供認證和保密的應用環(huán)境中。