一卡多用安全智能卡結構研究與應用

文章出處：http://5052h112.com 作者：萬方數據   人氣： 發表時間：2011年09月26日

    一、引 言 

    智能卡(Smart Card)是一種鑲嵌有單片機芯片的卡片。由于智能卡內含CPU，硬件資源豐富，而且有芯片操作系統的支持，因而安全性高，它已成為一種重要的安全設備，特別是在電子商務、電子金融和電子政務迅速發展的今天，智能卡將作為身份憑證、電子錢包、電子存折和各種證書以及重要數據的載體，發揮越來越重要的作用。 

    智能卡正朝著安全、高速、方便的方向迅速發展。隨著一卡多用以及用戶下載程序的需求不斷增加，現有的智能卡及其芯片操作系統就暴露出一些安全缺陷。它們或者不提供用戶下載功能，即給所有用戶提供固定不變的操作系統，或者允許用戶下載程序但只是試圖從軟件上實現對用戶數據及其程序的保護，例如對執行下載用戶命令的用戶進行身份認證，只有那些擁有某些秘密信息的用戶才能下載用戶命令。然而僅從軟件角度進行安全保護是不夠的，仍然存在安全隱患。一方面攻擊者可能通過某種渠道獲得這些秘密信息，另一方面不能杜絕具有合法下載權限的用戶進行惡意破壞。一旦用戶命令下載成功，則芯片操作系統就無法對這些下載的用戶命令進行監控，因為下載的用戶命令和操作系統處于同一級別，用戶命令也用CPU的匯編指令來實現，只要是合法指令，CPU就會執行。因為指令是軟件的最底層，芯片操作系統也是建立在指令之上的。這樣為特定應用下載的命令就可以對其他應用的程序或數據進行訪間。如果一個應用下載的命令中含有對另一應用的數據進行篡改的指令，那么芯片操作系統是不能控制其指令的執行的。 

    為克服上述缺陷，本文提出了一種新型的安全智能卡結構，它具有如下技術特點: 

    ·支持一卡多用，適應面寬，便于攜帶管理。
    ·支持用戶下載程序，使用靈活方便。
    ·不同應用程序由物理隔離保護，確保數據安全。
    ·具有密碼協處理器，可大大提高密碼運算速度。
    ·具有 U SB接口，便于實現電子鑰匙功能和高速數據傳輸。
    ·內部具有看門狗電路，系統可靠性高。 

    本文首先從軟硬件兩個方面論述一卡多用安全智能卡的結構原理，以及實現對多個應用區隔離的安全方案，即限制特定用戶命令的訪間范圍，真正達到對多個應用區進行保護的目的，然后討論這種新型安全智能卡的一種應用實例。

    二、新型安全智能卡的硬件結構

    新型安全智能卡首先從硬件上為實現多應用的隔離、確保用戶程序和數據的安全提供了支持，增加了硬件中斷、操作標志，以及內存地址比較寄存器、程序地址比較寄存器和數據地址比較寄存器。新型安全智能卡芯片由CPU、各種存儲器(RAM, ROM, EEP-ROM, Flash Memory),密碼協處理器、串行通信、地址隔離和中斷控制邏輯等部分組成，其硬件結構如圖 1所示。 

圖 1 新型安全智能卡的芯片結構

    新型安全智能卡中的CPU主要由時鐘邏輯、中斷邏輯、定時器邏輯、串行通信、并行I/O、片選邏輯、總線接口、指令邏輯、算術邏輯、寄存器文件等部分組成，CPU可采用 8位或 16位，最好使用RISC技術和流水線技術以提高速度，其硬件結構如圖2所示。 

圖 2 新型安全智能卡的CPU結構 

    為了支持用戶下載程序、一卡多用，同時確保各用戶數據安全，必須對多個用戶區進行隔離保護。通過地址隔離，把不同的應用限制在不同的區域，從而確保數據的安全。在新型安全智能卡的CPU中增加了操作標志和一個硬件中斷。操作標志用以區分當前操作模式是系統模式還是用戶模式，新增中斷用以在某應用的用戶命令訪間系統或其他應用的地址空間時通知芯片操作系統以終止該用戶命令的執行。進行存儲區之間隔離保護的方法之一是對相應的存儲區域設立地址比較寄存器，分別有內存地址上、下界地址寄存器，程序地址上、下界寄存器和數據地址上、下界寄存器。在用戶模式時，程序的訪問要受地址比較寄存器的限制，只有地址比較寄存器所限定的地址空間才可被訪問。當處于某一區域的程序執行時，其所訪間的存儲區地址都要與上、下界寄存器的值比較，如果不越界便可訪問，如果越界則不能訪問且產生硬件中斷，操作系統將終止程序的執行，從而保證特定應用下載的用戶命令只能訪問其自身的地址空間，而不能對系統或其他應用的用戶命令或數據進行訪問，實現存儲區之間的隔離保護。而在系統模式時，程序的訪問不受任何限制，可以訪問整個地址空間。 

    上、下界寄存器的值是軟件可設置的，由芯片操作系統對其進行管理，靈活方便。而且每一類比較寄存器只需要一對上、下界寄存器就可實現多個應用存儲區的隔離保護。 

    隨著網絡技術的普及與應用，由于Internet所固有的開放性、無國界、自由性的特點，網絡安全尤其是網絡信息交互時出現的身份鑒別、電子簽名、數據加密等間題已經成為人們關注的一個焦點。新型安全智能卡中設計了USB接口，以便于實現電子鑰匙(Electronic Key)功能和高速數據傳輸。 

    在新型安全智能卡中，ROM空間用于存儲COs和一些固定數據。RAM空間用于存放中斷向量、系統棧以及中間數據等,EEPROM/Flash Memory用于存放系統數據、用戶程序或用戶數據。 

    為了確保數據安全，智能卡中必須實現數字簽名。數字簽名可通過公開密鑰密碼RSA和ECC來實現。無論是RSA還是ECC，其運算都是極復雜的。完全依靠8位或16位CPU來軟件實現RSA和ECC，其速度將是很慢的。為了提高速度，必須采用硬件支持。因此，在智能卡中設計了密碼硬件協處理器，以適合智能卡的應用。 

    串行通信邏輯支持各種協議的智能卡通信。CPU提供一個全雙工雙向通信控制器，其邏輯結構如圖 3所示。 

圖3 串行通信控制器結構

    由于CPU內部結構合理，主要寄存器都是軟件可編程的，因此使得通信程序的編寫將變得十分容易。 

    三、新型安全智能卡的芯片操作系統結構

    智能卡的操作系統(簡稱為COS)是智能卡資源的管理者和安全保密的基礎。它由傳輸管理、文件管理、安全管理、命令處理四個功能模塊組成，如圖4所示。 

圖4 芯片操作系統邏輯結構圖

    傳愉管理模塊:按 ISO 7816-3標準實現智能卡與讀寫設備之間的通信、保證命令和數據的正確傳枯。根據用戶的要求可選擇宇符傳箱協議T=0 或塊傳輸協議T=1。 

    命令處理模塊:主要對卡接收的命令的可執行性進行判斷，根據接收到的命令檢查各項參數是否正確等，在此基礎上執行相應的操作和數據處理。文件管理模塊:將用戶數據按照設計的文件結構格式存儲在EEPROM或Flash Memory中，并根據安全訪問策略和機制，確保存儲數據的安全和文件訪問的快速便捷。
 
    安全管理模塊:是智能卡操作系統的核心和基礎，用來實現卡與讀寫設備之間的相互認證、持卡人的身份認證、文件訪間權限控制、安全報文傳翰、數據加解密、數字簽名等安全保密功能。對卡與讀寫設備之間的通信采取密碼保護，防止卡與終端之間的通信數據被非法竊取和篡改。 

    特別，為了支持一卡多用的安全使用，允許多個應用在智能卡中下載其特殊用戶命令，實現多個應用的隔離，使得每一應用只能訪問其自身的數據或用戶命令，而不能訪問其他應用的數據或命令，新型安全智能卡在增加硬件支持的同時，還為芯片操作系統實現多個應用的隔離保護提供相應支持。 

    ·兩種操作模式:為區分當前執行的是系統程序還是用戶程序，新型安全智能卡將操作模式分為系統模式和用戶模式，由特殊的狀態標志位來決定是用戶模式還是系統模式。
    ·新增指令:為實現系統模式和用戶模式間的相互轉換，在CPU 中增加若干新指令。同時將指令分為普遍指令和特殊指令。用戶命令只能使用普通指令，而系統程序可使用普通指令和特殊指令。 
    ·模式切換:應用通過操作系統執行特殊的模式中斷指令來執行用戶命令。應用初始化時首先應在系統模式下識別該用戶命令，然后通過特殊的模式中斷指令，將應用程序的地址和必要的參數存于寄存器中，清除所有其他未使用的寄存器和工作內存，將操作標志和返回地址入棧，改變狀態標志，執行應用程序，從而實現從系統模式到用戶模式的切換;當從用戶命令返回時應使用相應的特殊返回指令，將返回地址和操作標志出棧，返回至系統調用處，從而實現從用戶模式到系統模式的切換口為方便特殊的用戶命令的開發，系統應為用戶提供若干例程供用戶命令調用。用戶命令通過系統程序中斷來調用系統例程，將請求地址存于寄存器中，并將操作標志和應用程序返回地址入棧，改變操作標志，從而由用戶模式切換到系統模式;當從系統例程返回到用戶命令時使用相應的特殊的返回指令，清除除返回結果外的所有不必要的寄存器和工作內存，并從棧中取出操作標志和返回地址以返回到應用程序，從而由系統模式切換到用戶模式。在模式切換中斷指今或模式切換中斷返回指令執行期間應關閉硬件中斷，當指令執行完成后立即開放硬件中斷。
    ·異常中斷:若用戶程序試圖訪問地址比較寄存器范圍以外的地址空間，或試圖訪問地址比較寄存器，則引起硬件中斷，并且程序被異常終止。硬件中斷服務程序負責將出錯信息存于狀態字中并傳送給外部接口設備，同時復位CPU，清除所有的寄存器和工作內存。 

    四、新型安全智能卡的應用

    新型安全智能卡采用了多個應用區之間的物理隔離保護技術，克服了現有智能卡只注意了對芯片操作系統區的保護，而不能對多個應用區進行隔離保護，用戶為某一應用而下載的程序可能危害另一應用的數據安全的缺點。它具有支持用戶下載程序、一卡多用，能對多個用戶區進行隔離保護的安全特性，從而使其系統資源和安全性與普通智能卡相比有很大的提高，特別適合當今電子商務、電子金融、電子政務、電子身份證等重要應用領域。 

    新型安全智能卡可應用于嵌入式密碼計算機中。嵌入式密碼計算機是我們為適應信息安全的需求而專門設計的一種新型安全PC機，從主板硬件、BIOS、操作系統安全增強、虛擬專用網絡(VPN),密碼系統、密鑰管理等幾方面進行安全設計和管理，從而使其安全性達到很高的程度。在嵌入式密碼計算機中，新型安全智能卡為確保系統的信息安全發揮了重要作用，成為這一安全平臺的一個不可缺少的重要組成部分。
嵌入式密碼計算機采用新型安全智能卡作為用戶的身份憑證和權限憑證，同時還作為用戶的電子錢包、電子存折和密鑰證書，其系統結構如圖5所示。 

圖 5 嵌入式密碼計算機的系統結構

    新型安全智能卡與嵌入式密碼計算機的連接通過嵌入式安全模塊(Embedded Security Module)接入計算機系統。在嵌入式安全模塊中CPU通過智能卡控制芯片對智能卡進行讀寫操作。 

    新型安全智能卡在嵌人式密碼計算機系統中作用有: 

    ·作為用戶的身份識別憑證。
    ·作為用戶的權限憑證。
    ·作為用戶的密鑰證書。
    ·作為用戶的電子錢包和電子存折。
    ·其他應用。 

    由于智能卡的上述應用對其安全性要求很高，現有普通智能卡很難勝任，所以我們采用新型安全智能卡。 

    由于嵌入式密碼計算機是一種安全計算機，為了確保系統安全，只有對合法用戶計算機才向他提供服務，而且只提供與其權限相適應的服務。它采用新型智能卡作為用戶的身份識別憑證和權限憑證。智能卡上記錄有用戶的身份特征和權限特征，經過計算機識別后，由操作系統確定是否向他提供服務以及提供什么服務，這在嵌入式密碼計算機的啟動過程中由智能卡所標識的信息所確定。在嵌人式密碼計算機工作過程中，系統始終通過智能卡監視用戶的身份與權限的真實性。如果用戶的身份與權限是真實的，則嵌入式密碼計算機向用戶提供各種服務，如果發現用戶的身份與權限的不真實，則立刻封鎖計算機的所有操作。例如，一旦發現計算機中無合法智能卡或用戶的身份、權限不符時，則立刻封鎖計算機的所有操作。從而確保只有合法用戶才能使用計算機，并且只能得到與用戶權限相符的服務。 

    新型安全智能卡的另一重要應用是作為電子鑰匙。隨著電子商務的迅速發展，客戶端迫切需要一種具有良好性能、操作簡單、便于使用的安全設備保護個體敏感數據和網上交互信息 新型智能卡作為電子鑰匙，可通過 USB接口與計算機終端相連，具有安全、實用、小巧、方便等特點。新型安全智能卡中集成了硬件密碼協處理器，能提供高強度的認證能力和數據加密能力，可用于要求個體識別、身份認證、數據加密的應用環境中。同時由于采用硬件物理隔離技術，以及芯片操作系統對存放的數據采用嚴格的訪問控制技術，它也可作為個體敏感信息存儲和密鑰管理的載體。

    五、結束語

    本文介紹了一卡多用新型安全智能卡的特點和關鍵技術，它從硬件和軟件兩個方面對系統和用戶安全提供保證，能方便地支待應用下載其特定的用戶程序，并且確保用戶下載的程序不能危及系統或其他應用的安全。新型安全智能卡可廣泛用于要求提供認證和保密的應用環境中。