《智能卡的操作系统COS详细介绍》由会员分享,可在线阅读,更多相关《智能卡的操作系统COS详细介绍(9页珍藏版)》请在金锄头文库上搜索。
1、智能卡操作系统cos详解随着IC卡从简单的同步卡发展到异步卡,从简单的EPROM卡发展到内带微处理器的智 能卡(又称CPU卡),对IC卡的各种要求越来越高。而卡本身所需要的各种管理工作也越来越 复杂,因此就迫切地需要有一种工具来解决这一矛盾,而内部带有微处理器的智能卡的出现, 使得这种工具的实现变成了现实。人们利用它内部的微处理器芯片,开发了应用于智能卡内 部的各种各样的操作系统,也就是在本节将要论述的COS。COS的出现不仅大大地改善了智 能卡的交互界面,使智能卡的管理变得容易;而且,更为重要的是使智能卡本身向着个人计 算机化的方向迈出了一大步,为智能卡的发展开拓了极为广阔的前景。1、COS
2、概述COS的全称是Chip Opera ting Sys tem(片内操作系统),它一般是紧紧围绕着它所服务的 智能卡的特点而开发的。由于不可避免地受到了智能卡内微处理器芯片的性能及内存容量的 影响,因此,COS在很大程度上不同于我们通常所能见到的微机上的操作系统(例如DOS、UNIX 等)。首先,COS是一个专用系统而不是通用系统。即:一种COS-般都只能应用于特定的某 种(或者是某些)智能卡,不同卡内的COS-般是不相同的。因为COS-般都是根据某种智能 卡的特点及其应用范围而特定设计开发的,尽管它们在所实际完成的功能上可能大部分都遵 循着同一个国际标准。其次,与那些常见的微机上的操作系统
3、相比较而言,COS在本质上更 加接近于监控程序、而不是一个通常所谓的真正意义上的操作系统,这一点至少在目前看来 仍是如此。因为在当前阶段,COS所需要解决的主要还是对外部的命令如何进行处理、响应 的问题,这其中一般并不涉及到共享、并发的管理及处理,而且就智能卡在目前的应用情况 而言,并发和共享的工作也确实是不需要。COS在设计时一般都是紧密结合智能卡内存储器 分区的情况,按照国际标准(ISO/IEC7816系列标准)中所规定的一些功能进行设计、开发。 但是由于目前智能卡的发展速度很快,而国际标准的制定周期相对比较长一些,因而造成了 当前的智能卡国际标准还不太完善的情况,据此,许多厂家又各自都对
4、自己开发的COS作了 一些扩充。就目前而言,还没有任何一家公司的COS产品能形成一种工业标准。因此本章将 主要结合现有的(指1994年以前)国际标准,重点讲述COS的基本原理以及基本功能,在其中 适当地列举它们在某些产品中的实现方式作为例子。COS 的主要功能是控制智能卡和外界的信息交换,管理智能卡内的存储器并在卡内部完 成各种命令的处理。其中,与外界进行信息交换是cos最基本的要求。在交换过程中,cos 所遵循的信息交换协议目前包括两类:异步字符传输的T = o协议以及异步分组传输的T=l 协议。这两种信息交换协议的具体内容和实现机制在ISO/IEC78163和ISO/IEC78163A3
5、标准中作了规定;而COS所应完成的管理和控制的基本功能则是在ISO / IEC78164标准中 作出规定的。在该国际标准中,还对智能卡的数据结构以及COS的基本命令集作出了较为详 细的说明。至于ISO/IEC78161和2,则是对智能卡的物理参数、外形尺寸作了规定,它 们与COS的关系不是很密切。2、COS的体系结构依赖于上一节中所描述的智能卡的硬件环境,可以设计出各种各样的cos。但是,所有 的COS都必须能够解决至少三个问题,即:文件操作、鉴别与核实、安全机制。事实上,鉴 别与核实和安全机制都属于智能卡的安全体系的范畴之中,所以,智能卡的coS中最重要的 两方面就是文件与安全。但再具体地分
6、析一下,则我们实际上可以把从读写设备(即接口设备 IFD)发出命令到卡给出响应的一个完整过程划分为四个阶段,也可以说是四个功能模块:传 送管理器(TM)、安全管理器(SM)、应用管理器(AM)和文件管理器(FM),如图6. 35中所示。 其中,传送管理器用于检查信息是否被正确地传送。这一部分主要和智能卡所采用的通信协 议有关;安全管理器主要是对所传送的信息进行安全性的检查或处理,防止非法的窃听或侵 入;应用管理器则用于判断所接收的命令执行的可能性;文件管理器通过核实命令的操作权 限,最终完成对命令的处理。对于一个具体的COS命令而言,这四个阶段并不一定都是必须 具备的,有些阶段可以省略,或者是
7、并入另一阶段中;但一般来说,具备这四个阶段的COS 是比较常见的。以下我们将按照这四个阶段对COS进行较为详细的论述。在这里需要提起注意的是,智能卡中的“文件”概念与我们通常所说的“文件”是有区 别的。尽管智能卡中的文件内存储的也是数据单元或记录,但它们都是与智能卡的具体应用 直接相关的。一般而言,一个具体的应用必然要对应于智能卡中的一个文件,因此,智能卡 中的文件不存在通常所谓的文件共享的情况。而且,这种文件不仅在逻辑上必须是完整的, 在物理组织上也都是连续的。此外,智能卡中的文件尽管也可以拥有文件名(FileName),但 对文件的标识依靠的是与卡中文件对应的文件标识符(File lden
8、tifier),而不是文件名。因为智能卡中的文件名是允许重复的,它在本质上只是文件的一种助记符,并不能完全 代表整个文件。1 传送管理(Transmission Manaeer)传送管理主要是依据智能卡所使用的信息传输协议,对由读写设备发出的命令进行接收。 同时,把对命令的响应按照传输协议的格式发送出去。由此可见,这一部分主要和智能卡具 体使用的通信协议有关;而且,所采用的通信协议越复杂,这一部分实现起来也就越困难、 越复杂。我们在前面提到过目前智能卡采用的信息传输协议一般是T = 0协议和T = 1协议,如果 说这两类协议的COS在实现功能上有什么不同的话,主要就是在传送管理器的实现上有不同
9、。 不过,无论是采用T = 0协议还是T = 1协议,智能卡在信息交换时使用的都是异步通信模式 而且由于智能卡的数据端口只有一个,此信息交换也只能采用半双工的方式,即在任一时刻, 数据端口上最多只能有一方(智能卡或者读写设备)在发送数据。T = 0、T = 1协议的不同之 处在于它们数据传输的单位和格式不一样,T = 0协议以单字节的字符为基本单位,T = 1协议 则以有一定长度的数据块为传输的基本单位。传送管理器在对命令进行接收的同时,也要对 命令接收的正确性作出判断。这种判断只是针对在传输过程中可能产生的错误预言的,并不 涉及命令的具体内容,因此通常是利用诸如奇偶校验位、校验和等手段来实现
10、。对分组传输 协议,则还可以通过判断分组长度的正确与否来实现。当发现命令接收有错后,不同的信息 交换协议可能会有不同的处理方法:有的协议是立刻向读写设备报告,并且请求重发原数据; 有的则只是简单地在响应命令上作一标记,本身不进行处理,留待它后面的功能模块作出反 应。这些都是由交换协议本身所规定的。如果传送管理器认为对命令的接收是正确的,那么,它一般是只将接收到的命令的信息 部分传到下一功能模块,即安全管理器,而滤掉诸如起始位、停止位之类的附加信息。相应 地,当传送管理器在向读写设备发送应答的时候,则应该对每个传送单位加上信息交换协议 中所规定的各种必要的附属信息。2安全体系(一Secvrity
11、SCructure)智能卡的安全体系是智能卡的COS中一个极为重要的部分,它涉及到卡的鉴别与核实方 式的选择,包括COS在对卡中文件进行访问时的权限控制机制,还关系列卡中信息的保密机 制。可以认为,智能卡之所以能够迅速地发展并且流行起来其中的一个重要的原因就在于 它能够通过COS的安全体系给用户提供一个较高的安全性保证。安全体系在概念上包括三大 部分:安全状态(Securi ty Status),安全属性(Securi ty Attributes)以及安全机制(Securi ty Machanisms)。其中,安全状态是指智能卡在当前所处的一种状态,这种状态是在智能卡进行 完复位应答或者是在它
12、处理完某命令之后得到的。事实上,我们完全可以认为智能卡在整个 的工作过程中始终都是处在这样的、或是那样的一种状态之中,安全状态通常可以利用智能 卡在当前已经满足的条件的集合来表示。安全属性实际上是定义了执行某个命令所需要的一 些条件,只有智能卡满足了这些条件,该命令才是可以执行的。因此,如果将智能卡当前所 处的安全状态与某个操作的安全属性相比较,那么根据比较的结果就可以很容易地判断出一 个命令在当前状态下是否是允许执行的,从而达到了安全控制的目的。和安全状态与安全属 性相联系的是安全机制。安全机制可以认为是安全状态实现转移所采用的转移方法和手段, 通常包括:通行字鉴别,密码鉴别,数据鉴别及数据
13、加密。一种安全状态经过上述的这些手 段就可以转移到另一种状态,把这种状态与某个安全属性相比较,如果一致的话,就表明能 够执行该属性对应的命令,这就是COS安全体系的基本工作原理从上面对 COS 安全体系的工作原理的叙述中,我们可以看到,相对于安全属性和安全状 态而言,安全机制的实现是安全体系中极力重要的一个方面。没有安全机制,COS就无法进 行任何操作。而从上面对安全机制的介绍中,我们可以看到,COS的安全机制所实现的就是 如下三个功能:鉴别与核实,数据加密与解密,文件访问的安全控制。因此,我们将在下面 对它们分别进行介绍。其中,关于文件访问的安全控制,由于它与文件管理器的联系十分紧 密,因此
14、我们把它放到文件系统中加以讨论。(1)鉴别与核实:鉴别与核实其实是两个不同的概念,但是由于它们二者在所实现的功能 上十分地相似,所以我们同时对它们进行讨论,这样也有利于在比较中掌握这两个概念。通常所谓的鉴别(Authentication)指的是对智能卡(或者是读写设备)的合法性的验证, 即是如何判定一张智能卡(或读写设备)不是伪造的卡(或读写设备)的问题;而核实(verify) 是指对智能卡的持有者的合法性的验证,也就是如何判定一个持卡人是经过了合法的授权的 问题。由此可见,二者实质都是对合法性的一种验证,就其所完成的功能而言是十分类似的。 但是,在具体的实现方式上,由于二者所要验证的对象的不
15、同,所采用的手段也就不尽相同 了。具体而言,在实现原理上,核实是通过由用户向智能卡出示仅有他本人才知道的通行字, 并由智能卡对该通行字的正确性进行判断来达到验证的目的的。在通行字的传送过程中,有 时为了保证不被人窃听,还可以对要传送的信息进行加密解密运算,这一过程通常也称为 通行字鉴别。鉴别则是通过智能卡和读写设备双方同时对任意一个相同的随机数进行某种相同的加密 运算(目前常用DES算法),然后判断双方运算结果的一致性来达到验证的日的的。根据所鉴别的对象的不同,COS又把鉴别分为内部鉴别(In terna1 Au then tica tion)和外 部鉴别(Ex ternalAu then t
16、ica tion)两类。这里所说的“内部、“外部”均以智能卡作为参 照点,因此,内部鉴别就是读写设备对智能卡的合法性进行的验证;外部签别就是智能卡对 读写设备的合法性进行的验证。至于它们的具体的实现方式我们在第5章中已有详细论述, 此处不再重复。智能卡通过鉴别与核实的方法可以有效地防止伪卡的使用,防止非法用户的入侵,但还 无法防止在信息交换过程中可能发生的窃听,因此,在卡与读写设备的通信过程中对重要的 数据进行加密就作为反窃听的有效手段提了出来。关于数据加密的原理与方式可以参阅第5 章。我们下面仅对加密中的一个重要部件一一密码在COS中的管理及存储原理加以说明。(2)密码管理:目前智能卡中常用的数据加密算法是DES算法。采用DES算法的原因是因 为该算法已被证明是一个十分成功的加密算法,而且算法的运算复杂度相对而言也较小,比 较适用于智能卡这样运算能力不是很强的情况。DES算法的密码(或称密钥)长度是64位的。 COS 把数据加密时要用到的密码组织在一起,以文件的形式储存起来,称
