《智能卡的操作系统_COS介绍》由会员分享,可在线阅读,更多相关《智能卡的操作系统_COS介绍(8页珍藏版)》请在金锄头文库上搜索。
1、1 / 8智能卡的操作系统_COS 随着 Ic 卡从简单的同步卡发展到异步卡,从简单的EPROM 卡发展到内 带微处理器的智能卡 (又称 CPU 卡), 对 IC 卡的各种要求越来越高。 而卡本身所 需要的各种管理工作也越来越复杂,因此就迫切地需要有一种工具来解决这一矛 盾,而内部带有微处理器的智能卡的出现,使得这种工具的实现变成了现实。人 们利用它内部的微处理器芯片,开发了应用于智能卡内部的各种各样的操作系 统,也就是在本节将要论述的COS。 COs 的出现不仅大大地改善了智能卡的 交互界面, 使智能卡的管理变得容易; 而且,更为重要的是使智能卡本身向着个 人计算机化的方向迈出了一大步,为智
2、能卡的发展开拓了极为广阔的前景。1 COS 概述COS 的全称是 Chip Operating System( 片内操作系统 ),它一般是紧紧 围绕着它所服务的智能卡的特点而开发的。由于不可避免地受到了智能卡内微处 理器芯片的性能及内存容量的影响,因此,COS 在很大程度上不同于我们通常 所能见到的微机上的操作系统(例如 DOS 、UNIX 等)。首先, COS 是一个专用 系统而不是通用系统。即:一种COS 一般都只能应用于特定的某种(或者是某 些)智能卡,不同卡内的COS 一般是不相同的。因为coS 一般都是根据某种智 能卡的特点及其应用范围而特定设计开发的,尽管它们在所实际完成的功能上可
3、 能大部分都遵循着同一个国际标准。其次,与那些常见的微机上的操作系统相比 较而言, COS 在本质上更加接近于监控程序、而不是一个通常所谓的真正意义 上的操作系统,这一点至少在目前看来仍是如此。因为在当前阶段,COS 所需 要解决的主要还是对外部的命令如何进行处理、响应的问题, 这其中一般并不涉 及到共享、 并发的管理及处理, 而且就智能卡在目前的应用情况而盲,并发和共 享的工作也确实是不需要曲。COS 在设计时一般都是紧密结合智能卡内存储器 分区的情况,按照国际标准(ISO IEC7816系列标准 )中所规定的一些功能进 行设计、开发。但是由于目前智能卡的发展速度很快,而国际标准的制定周期相
4、 对比较长一些, 因而造成了当前的智能卡国际标准还不太完善的情况,据此,许 多厂家又各自都对自己开发的COS 作了一些扩充。就目前而言,还没有任何一 家公司的 CoS 产品能形成一种工业标准。 因此本章将主要结合现有的(指 1994 年以前 )国际标准,重点讲述 CO5 的基本原理以及基本功能, 在其中适当地列举 它们在某些产品中的实现方式作为例子。COs 的主要功能是控制智能卡和外界 的信息交换, 管理智能卡内的存储器并在卡内部完成各种命令的处理。其中,与 外界进行信息交换是coS 最基本的要求。在交换过程中,COS 所遵循的信息交 换协议目前包括两类:异步字符传输的T0 协议以及异步分组传
5、输的T=l 协 议。这两种信息交换协议的具体内容和实现机制在ISO IEC7816 3 和 ISO IEC7816 3A3 标准中作了规定;而COS 所应完成的管理和控制的基中功 能则是在 ISO IEC7816 4 标准中作出规定的。在该国际标准中,还对智能2 / 8卡的数据结构以及COS 的基本命令集作出了较为详细的说明。至于ISO IEC 7816 1 和 2,则是对智能卡的物理参数、 外形尺寸作了规定, 它们与 COS 的 关系不是很密切。2 COS 的体系结构依赖于上一节中所描述的智能卡的硬件环境,可以设计出各种各样的cos 。 但是,所有的 COS 都必须能够解决至少三个问题,即:
6、文件操作、 鉴别与核实、 安全机制。事实上,鉴别与核实和安全机制都属于智能卡的安全体系的范畴之中, 所以,智能卡的 coS 中最重要的两方面就是文件与安全。但再具体地分析一下, 则我们实际上可以把从读写设备(即接口设备 IFD) 发出命令到卡给出响应的一 个完整过程划分为四个阶段,也可以说是四个功能模块:传送管理器(TM) 、安 全管理器 (SM) 、应用管理器 (AM) 和文件管理器 (FM) ,如图 635 中所示。其 中,传送管理器用于检查信息是否被正确地传送。这一部分主要和智能卡所采用 的通信协议有关;安全管理器主要是对所传送的信息进行安全性的检查或处理, 防止非法的窃听或侵入; 应用
7、管理器则用于判断所接收的命令执行的可能性;文 件管理器通过核实命令的操作权限,最终完成对命令的处理。 对于一个具体的 COS 命令而言,这四个阶段并不一定都是必须具备的,有些阶段可以省略,或者 是并人另一阶段中;但一般来说,具备这四个阶段的COS 是比较常见的。以下 我们将按照这四个阶段对COS 进行较为详细的论述。在这里需要提起注意的是, 智能卡中的 “ 文件 ” 概念与我们通常所说的“ 文件” 是有区别的。 尽管智能卡中的文件内存储的也是数据单元或记录,但它们都是与 智能卡的具体应用直接相关的。一般而言, 一个具体的应用必然要对应于智能卡 中的一个文件,因此,智能卡中的文件不存在通常所谓的
8、文件共享的情况。而且, 这种文件不仅在逻辑广必须是完整的,在物理组织上也都是连续的。此外,智能 卡中的文件尽管也可以拥有文件名(FileN8me),但对文件的标识依靠的是与卡 中文件 一对应的文件标识符 (F3te ldentifier),而不是文件名。 因为智能卡中 的文件名是允许重复的, 它在本质上只是文件的一种助记符,并不能完全代表莱 个文件。1 传送管理 (Transmission Manaeer) 传送管理主要是依据智能卡所使用的信息传输协议,对由读写设备发出的 命令进行接收。同时,把对命令的响应按照传输协汉的格式发送出去。由此可见, 这一部分主要和智能卡具体使用的通信协议有关;而且
9、,所采用的通信协议越复 杂,这一部分实现起来也就越困难、越复杂。我们在前面提到过目前智能卡采用 的信息传输协议一般是T0 协议和 T1 协议,如果说这两类协议的COS 在 实现功能上有什么不同的话,主要就是在传送管理器的实现上有不同。不过,无 论是采用 T0 协议还是 T1 协议,智能卡在信息交换时使用的都是异步通信 模式;而且由于智能卡的数据端口只有一个,此信息交换也只能采用半双工的方3 / 8式,即在任一时刻, 数据端口上最多只能有一方(智能卡或者读写设备 )在发送数 据。 T0、T1 协议的不同之处在于它们数据传输的单位和格式不一样,T 0 协汉以单字节的字符为基本单位,T1 协议则以有
10、一定长度的数据块为传输 的基本单位。 传送管理器在对命令进行接收的同时,也要对命令接收的正确性作 出判断。这种判断只是针对在传输过程中可能产生的错误预言的,并不涉及命令 的具体内容, 因此通常是利用诸如奇偶校验位、校验和等手段来实现。 对分组传 输协议,则还可以通过判断分组长度的正确与否来实现。当发现命令接收有错后, 不同的信息交换协议可能会有不同的处理方法:有的协议是立刻向读写设备报 告,并且请求重发原数据; 有的则只是简单地在响应命令上作一标记,本身不进 行处理,留待它后面的功能模块作出反应。这些都是由交换协议本身所规定的。 如果传送管理器认为对命令的接收是正确的,那么,它一般是只将接收到
11、的命令 的信息部分传到下 功能模块, 即安全管理器, 而滤掉诸如起始位、 停止位之类 的附加信息。 相应地,当传送管理器在向读写设备发送应答的时候,则应该对每 个传送单位加上信息交换协议中所规定的各种必要的附属信息。2安全体系 (SecvritySCructure) 智能卡的安全体系是智能卡的COs 中一个极为重要的部分,它涉及到卡的 鉴别与核实方式的选择,包括COS 在对卡中文件进行访问时的权限控制机制, 还关系列卡中信息的保密机制。可以认为, 智能卡之所以能够迅速地发展并且流 行起来其中的一个重要的原因就在于它能够通过COS 的安全体系给用户提供 个较高的安全性保证。 安全体系在概念上包括
12、三大部分:安全状态 (Security Status),安全属性 (Security Attributes)以及安全机制 (Security Machani sms) 。其中,安全状态是指智能卡在当前所处的一种状态,这种状态是在智能 卡进行完复位应答或者是在它处理完某命令之后得到的。事实上,我们完全可 以认为智能卡在整个的工作过程中始终都是处在这样的、或是那样的一种状态之 中,安全状态通常可以利用智能卡在当前已经满足的条件的集合来表示。安全属 性实际上是定义了执行某个命令所需要的一些条件,只有智能卡满足了这些条 件,该命令才是可以执行的。 因此,如果将智能卡当前所处的安全状态与某个操 作的安全
13、属性相比较, 那么根据比较的结果就可以很容易地判断出一个命令在当 前状态下是否是允许执行的, 从而达到了安全控制的目的。 和安全状态与安全属 性相联系的是安全机制。 安全机制可以认为是安全状态实现转移所采用的转移方 法和手段,通常包括:通行字鉴别,密码鉴别,数据鉴别及数据加密。一种安全 状态经过上述的这些手段就可以转移到另一种状态,把这种状态与某个安全属性 相比较,如果一致的话,就表明能够执行该属性对应的命令,这就是COS 安全 体系的基本工作原理。从上面对 coS 安全体系的工作原理的叙述中,我们可以看到,相对于安全 属性和安全状态而言, 安全机制的实现是安全体系中极力重要的一个方面。没有
14、安全机制, COS 就无法进行任何操作。而从上面对安全机制的介绍中,我们可 以看到, COS 的安全机制所实现的就是如下三个功能:鉴别与核实,数据加密 与解密,文件访问的安全控制。 因此,我们将在下面对它们分别进行介绍。其中,4 / 8关于文件访问的安全控制,由于它与文件管理器的联系十分紧密,因此我们把它 放到文件系统中加以讨论。(1) 鉴别与核实:鉴别与核实其实是两个不同的概念,但是由于它们二者在 所实现的功能上十分地相似, 所以我们同时对它们进行讨论,这样也有利于在比 较中掌握这两个概念。通常所谓的鉴别(Authentication)指的是对智能卡 (或者 是读写设备 )的合法性的验证,即
15、是如何判定一张智能卡(或读写设备 )不是伪造 的卡(或读写设备 )的问题;而核实 (verify)是指对智能卡的持有者的合法性的验 证,也就是如何判定一个持卡人是经过了合法的授权的问题。由此可见, 二者实 质都是对合法性的一种验证,就其所完成的功能而言是十分类似的。但是,在具 体的实现方式上, 由于二者所要验证的对象的不同,所采用的手段也就不尽相同 了。具体而言,在实现原理上,核实是通过由用户向智能卡出示仅有他本人才 知道的通行字,并由智能卡对该通行宇的正确性进行判断来达到验证的目的的。 在通行字的传送过程中, 有时为了保证不被人窃听r 还可以对要传送的信息进行 加密解密运算, 这一过程通常也
16、称为通行字鉴别。鉴别则是通过智能卡和读写 设备双方同时对任意一个相同的随机数进行某种相同的加密运算(目前常用 DE S 算法),然后判断双方运算结果的一致性来达到验证的日的的。根据所鉴别的 对象的不同, COS 又把鉴别分为内部鉴别 (Interna1 Authentication)和外部 鉴别(External Authentication)两类。这里所说的 “ 内部” 、“ 外部” 均以智能卡 作为参照点, 因此,内部鉴别就是读写设备对智能卡的合法性进行的验证;外部 签别就是智能F 对读写设备的合法性进行的验证。至于它们的具体的实现方 式我们在第 5 章中已有详细论述,此处不再重复。智能卡通过鉴别与核实的 方法可以有效地防止伪卡的使用,防止非法用户的入侵, 但还无法防止在信息交 换过程中可能发生的窃听, 因此,在卡与读写设备的通信过程中对重要的数据进 行加密就作为反窃听的有效手段提了出来。关于数据加密的原理与方式可以参阅 第 5 章。我们下面仅对加密中的一个重要部件密码在 COS 中的管理及存储 原理加以说明。(2)
