馬捷

摘要：研究基于金融應(yīng)用安全芯片的多應(yīng)用多證書(shū)動(dòng)態(tài)加載技術(shù)，可為支付用戶提供行業(yè)多應(yīng)用管理、證書(shū)動(dòng)態(tài)加載，實(shí)現(xiàn)在跨行業(yè)跨平臺(tái)的網(wǎng)絡(luò)支付或卡支付等不同支付方式中使用單一載體進(jìn)行認(rèn)證與支付。基于上述研究?jī)?nèi)容，本文主要研究可動(dòng)態(tài)下載多應(yīng)用多證書(shū)關(guān)鍵技術(shù)，研究該技術(shù)的基本應(yīng)用需求、總體技術(shù)方案以及應(yīng)用方案，與應(yīng)用適配的技術(shù)規(guī)范等。

一、技術(shù)應(yīng)用研究

（一）基本應(yīng)用需求研究

“一卡多應(yīng)用”已經(jīng)成為一種必然的趨勢(shì)，智能IC卡管理機(jī)制必須要考慮到不同商業(yè)合作伙伴之間平等獨(dú)立及資源共享的要求，由于智能IC卡不僅僅是應(yīng)用和服務(wù)的載體，更是業(yè)務(wù)拓展的渠道，因此卡管理機(jī)制可以通過(guò)加載不同應(yīng)用服務(wù)商的數(shù)字證書(shū)來(lái)證明應(yīng)用服務(wù)商的權(quán)利。

基于上述需求而提出了可動(dòng)態(tài)下載多應(yīng)用多證書(shū)技術(shù)，該技術(shù)主要面向需在一張智能IC卡上動(dòng)態(tài)下載多種應(yīng)用及證書(shū)的業(yè)務(wù)需求，如行業(yè)內(nèi)不同服務(wù)應(yīng)用、跨行業(yè)服務(wù)與應(yīng)用、政府推進(jìn)的公共服務(wù)等。根據(jù)可動(dòng)態(tài)下載多應(yīng)用多證書(shū)技術(shù)應(yīng)用特點(diǎn)，基本應(yīng)用需求主要為：

（1）多應(yīng)用多證書(shū)卡支持多應(yīng)用多證書(shū)動(dòng)態(tài)下載，可多應(yīng)用識(shí)別;

（2）具有主發(fā)卡機(jī)構(gòu)標(biāo)識(shí)，以保證發(fā)卡機(jī)構(gòu)可溯源;

（3）具備安全保障體系，多應(yīng)用多證書(shū)卡應(yīng)用安全隔離可靠;應(yīng)用動(dòng)態(tài)處理時(shí)，不能刪除本機(jī)構(gòu)外的應(yīng)用;

（4）數(shù)字證書(shū)符合多應(yīng)用多證書(shū)應(yīng)用要求，適應(yīng)不同CA機(jī)構(gòu)發(fā)放證書(shū)需要;

（5）要實(shí)現(xiàn)以數(shù)字證書(shū)為安全保障的業(yè)務(wù)應(yīng)用。

（二）技術(shù)應(yīng)用總體框架研究

多應(yīng)用多證書(shū)動(dòng)態(tài)加載技術(shù)應(yīng)用總體框架由多應(yīng)用多證書(shū)卡、行業(yè)應(yīng)用系統(tǒng)、綜合服務(wù)系統(tǒng)（公共服務(wù)系統(tǒng)）、CA系統(tǒng)等組成。方案如圖1所示。

（1）多應(yīng)用多證書(shū)卡，可支持動(dòng)態(tài)地下載多應(yīng)用和多證書(shū)，且每個(gè)應(yīng)用證書(shū)唯一綁定卡片上的應(yīng)用，實(shí)現(xiàn)以數(shù)字證書(shū)為安全保障的業(yè)務(wù)應(yīng)用場(chǎng)景。

（2）行業(yè)應(yīng)用系統(tǒng)，行業(yè)內(nèi)不同應(yīng)用或跨行業(yè)應(yīng)用時(shí)某行業(yè)的可動(dòng)態(tài)下載多應(yīng)用多證書(shū)系統(tǒng)，其中應(yīng)用系統(tǒng)負(fù)責(zé)通過(guò)讀卡器為多應(yīng)用多證書(shū)卡下載指定的行業(yè)應(yīng)用及證書(shū)，同時(shí)負(fù)責(zé)通過(guò)POS或移動(dòng)支付終端等業(yè)務(wù)終端為行業(yè)應(yīng)用提供業(yè)務(wù)服務(wù)。

注：移動(dòng)支付終端為項(xiàng)目的一項(xiàng)研發(fā)成果，支持可動(dòng)態(tài)下載多應(yīng)用多證書(shū)。

（3）綜合服務(wù)系統(tǒng)，可向多應(yīng)用多證書(shū)卡提供多種應(yīng)用及證書(shū)動(dòng)態(tài)下載的業(yè)務(wù)服務(wù)系統(tǒng)，如政府主導(dǎo)建設(shè)的公共服務(wù)系統(tǒng)。綜合服務(wù)系統(tǒng)通過(guò)綜合服務(wù)動(dòng)態(tài)加載服務(wù)系統(tǒng)，為多應(yīng)用多證書(shū)卡提供下載多個(gè)行業(yè)應(yīng)用、證書(shū)的服務(wù)。

綜合應(yīng)用系統(tǒng)與不同的行業(yè)應(yīng)用系統(tǒng)間的連接，以及綜合應(yīng)用系統(tǒng)通過(guò)業(yè)務(wù)終端進(jìn)行業(yè)務(wù)處理的業(yè)務(wù)處理系統(tǒng)，屬于本方案外部系統(tǒng)。

（4）CA系統(tǒng)負(fù)責(zé)通過(guò)行業(yè)應(yīng)用系統(tǒng)和綜合服務(wù)系統(tǒng)（公共服務(wù)系統(tǒng)）提供證書(shū)服務(wù)。

（三）多應(yīng)用多證書(shū)卡證書(shū)種類

多應(yīng)用多證書(shū)卡使用三類證書(shū)構(gòu)建安全體系。一是卡片證書(shū)，二是機(jī)構(gòu)證書(shū)，三是應(yīng)用證書(shū)。多應(yīng)用多證書(shū)卡使用的證書(shū)種類及用途如表1所示。

（四） 多應(yīng)用多證書(shū)卡片應(yīng)用框架與功能要求

多應(yīng)用多證書(shū)卡主要包括通用的智能IC卡，以及具有某些特殊功能的智能IC卡如大容量可視智能卡。多應(yīng)用多證書(shū)卡片由安全芯片及基于安全芯片的中間件技術(shù)組成，框架參見(jiàn)圖2-2。

（1）安全芯片

安全芯片同時(shí)集成主控芯片與密碼運(yùn)算功能，既要負(fù)責(zé)控制其他外圍模塊，又要負(fù)責(zé)在該安全芯片上的應(yīng)用的安全，具有高集成、高安全特性。安全芯片采用基于安全芯片存儲(chǔ)器介質(zhì)的信息安全機(jī)制技術(shù)，來(lái)保障芯片安全性。終端應(yīng)用通過(guò)應(yīng)用編程接口來(lái)訪問(wèn)安全芯片，并只能通過(guò)該接口來(lái)使用安全芯片存儲(chǔ)的密鑰，無(wú)法獲取私鑰。

（2）基于安全芯片的中間件

基于安全芯片的中間件實(shí)現(xiàn)了卡片的多應(yīng)用多證書(shū)動(dòng)態(tài)加載的功能，包括硬件抽象層（HAL層）、通訊模型、存儲(chǔ)模型、內(nèi)核、應(yīng)用管理器、應(yīng)用編程接口等組成。

1）硬件抽象層（HAL層）：是為卡片安全芯片提供的接口，為中間件提供虛擬硬件平臺(tái)。

2）通訊模型：封裝了與外部通信的接口（通訊模型包含與卡片的通信和與服務(wù)器的通信等）。

3）存儲(chǔ)模型：該部分封裝了數(shù)據(jù)文件處理，增加對(duì)密鑰文件和證書(shū)文件的存儲(chǔ)處理。尤其對(duì)于密鑰文件的訪問(wèn)控制，密鑰存在不可讀存儲(chǔ)區(qū)。

4）內(nèi)核：處理應(yīng)用管理（含應(yīng)用下載、存儲(chǔ)和運(yùn)行）、處理指令分發(fā)等功能。

5）應(yīng)用管理器：負(fù)責(zé)應(yīng)用的管理，該模塊負(fù)責(zé)應(yīng)用的下載、存儲(chǔ)和運(yùn)行。

6）應(yīng)用編程接口：該部分增加PKI接口以支持生成公私鑰對(duì)、簽名驗(yàn)簽、加密解密等功能，供開(kāi)發(fā)人員開(kāi)發(fā)終端應(yīng)用。

（3）終端應(yīng)用

終端應(yīng)用是在中間件的基礎(chǔ)上調(diào)用應(yīng)用編程接口的軟件程序。不同的終端應(yīng)用有不同的用戶交互界面、交易流程處理、與支付系統(tǒng)交互的接口和與卡片交互的接口。

（4）多應(yīng)用多證書(shū)卡功能要求研究

多應(yīng)用多證書(shū)的智能IC卡主要提供的功能要求設(shè)計(jì)參見(jiàn)表2。

（五）技術(shù)應(yīng)用的關(guān)鍵技術(shù)及相關(guān)規(guī)范

技術(shù)應(yīng)用基于國(guó)產(chǎn)安全芯片提出，涉及安全芯片、智能IC卡、多應(yīng)用多證書(shū)等，方案應(yīng)用的關(guān)鍵技術(shù)為：基于安全芯片的中間件技術(shù)。

此外為適應(yīng)多應(yīng)用卡裝載數(shù)字證書(shū)的需要，本文提出了“多應(yīng)用卡數(shù)字證書(shū)模板規(guī)范”。

二、關(guān)鍵技術(shù)研究

（一）概述

關(guān)鍵技術(shù)為：基于安全芯片的中間件技術(shù)。該技術(shù)主要應(yīng)用于多應(yīng)用多證書(shū)卡下載應(yīng)用和證書(shū)，使得多應(yīng)用多證書(shū)卡可以按需加載不同應(yīng)用和證書(shū)，并實(shí)現(xiàn)相應(yīng)管理。

其中，卡片證書(shū)的公私鑰由卡內(nèi)產(chǎn)生，保證多應(yīng)用多證書(shū)卡的物理可信性;機(jī)構(gòu)證書(shū)由機(jī)構(gòu)產(chǎn)生，并導(dǎo)入卡片中。

該技術(shù)關(guān)鍵點(diǎn)主要包括：應(yīng)用和證書(shū)的認(rèn)證綁定技術(shù)、應(yīng)用動(dòng)態(tài)裝載技術(shù)、數(shù)據(jù)安全隔離技術(shù)。

（二）基本實(shí)現(xiàn)方法

A.多應(yīng)用多證書(shū)卡下載卡片證書(shū)的流程

（1）空白卡在可信環(huán)境中，通過(guò)讀卡器連接發(fā)卡機(jī)構(gòu)的業(yè)務(wù)系統(tǒng);

（2）卡內(nèi)安全芯片生成公私鑰對(duì)，將公鑰上傳至業(yè)務(wù)系統(tǒng);

（3）業(yè)務(wù)系統(tǒng)向CA機(jī)構(gòu)申請(qǐng)卡片證書(shū)，成功后使用“數(shù)據(jù)安全隔離技術(shù)”將卡片證書(shū)寫入卡內(nèi)。

B.多應(yīng)用多證書(shū)卡下載機(jī)構(gòu)證書(shū)的流程

（1）在可信環(huán)境中，通過(guò)讀卡器連接到行業(yè)機(jī)構(gòu)的業(yè)務(wù)系統(tǒng);

（2）業(yè)務(wù)系統(tǒng)通過(guò)卡片簽名對(duì)卡片進(jìn)行認(rèn)證;

（3）認(rèn)證成功后，使用“數(shù)據(jù)安全隔離技術(shù)”將機(jī)構(gòu)證書(shū)寫入卡內(nèi)。

C.多應(yīng)用多證書(shū)卡下載應(yīng)用的流程

（1）在可信環(huán)境中，通過(guò)讀卡器連接到行業(yè)機(jī)構(gòu)的業(yè)務(wù)系統(tǒng);

（2）業(yè)務(wù)系統(tǒng)使用機(jī)構(gòu)私鑰對(duì)應(yīng)用數(shù)據(jù)包進(jìn)行簽名，卡片接收到數(shù)據(jù)后進(jìn)行驗(yàn)簽;

（3）驗(yàn)簽成功后，使用“應(yīng)用動(dòng)態(tài)裝載技術(shù)”、“數(shù)據(jù)安全隔離技術(shù)”完成應(yīng)用的裝載、注冊(cè)和安全隔離。

D.多應(yīng)用多證書(shū)卡下載應(yīng)用證書(shū)的流程

（1）在可信環(huán)境中，通過(guò)讀卡器連接到業(yè)務(wù)系統(tǒng);

（2）卡內(nèi)安全芯片生成公私鑰對(duì)，將公鑰上傳至業(yè)務(wù)系統(tǒng);

（3）業(yè)務(wù)系統(tǒng)向CA機(jī)構(gòu)申請(qǐng)應(yīng)用證書(shū)，成功后使用“數(shù)據(jù)安全隔離技術(shù)”將應(yīng)用證書(shū)寫入卡內(nèi)，并使用“應(yīng)用和證書(shū)的認(rèn)證綁定技術(shù)”將應(yīng)用和證書(shū)進(jìn)行綁定。

（三）關(guān)鍵機(jī)制

A.應(yīng)用和證書(shū)的認(rèn)證綁定技術(shù)

（1）每張卡片上有唯一的卡片證書(shū)，用于標(biāo)示持卡人身份的唯一性;

（2）每個(gè)機(jī)構(gòu)在卡上對(duì)應(yīng)有唯一的機(jī)構(gòu)證書(shū)，用于標(biāo)識(shí)機(jī)構(gòu)發(fā)行應(yīng)用的合法性;

（3）每個(gè)應(yīng)用都對(duì)應(yīng)一個(gè)唯一的應(yīng)用證書(shū)，用于標(biāo)示應(yīng)用身份的合法性，以及用于交易中的合法性和不可否認(rèn)性;

（4）采用標(biāo)識(shí)方式映射到應(yīng)用證書(shū)，實(shí)現(xiàn)應(yīng)用和證書(shū)的綁定;中間件負(fù)責(zé)實(shí)現(xiàn)證書(shū)的存儲(chǔ)管理和卡片上的簽名驗(yàn)簽。

B.應(yīng)用動(dòng)態(tài)裝載技術(shù)

（1）采用非易失性存儲(chǔ)器頁(yè)管理算法，實(shí)現(xiàn)卡片存儲(chǔ)空間的動(dòng)態(tài)管理，可以按需分配應(yīng)用數(shù)據(jù)空間。

（2）采用存儲(chǔ)碎片管理算法，實(shí)現(xiàn)應(yīng)用數(shù)據(jù)的整理、清除和回收，從而實(shí)現(xiàn)應(yīng)用的動(dòng)態(tài)裝載和卸載。

C.數(shù)據(jù)安全隔離技術(shù)

中間件通過(guò)內(nèi)置的虛擬機(jī)，通過(guò)將應(yīng)用的存儲(chǔ)空間地址映射在不同的物理地址的方式，實(shí)現(xiàn)應(yīng)用的安全隔離。具體為：

（1）通過(guò)把不同應(yīng)用的運(yùn)行內(nèi)存，映射在不同的RAM空間，防止應(yīng)用數(shù)據(jù)溢出干擾其他應(yīng)用的數(shù)據(jù)空間;

（2）通過(guò)把不同應(yīng)用的存儲(chǔ)空間，映射在不同非易失性存儲(chǔ)器，完成應(yīng)用交易敏感數(shù)據(jù)和密鑰數(shù)據(jù)的隔離，防止應(yīng)用惡意代碼竊取其他應(yīng)用的數(shù)據(jù)。

三、應(yīng)用方案

城市通卡應(yīng)用基本方案如圖2所示。

主要為：

（1）采用基于安全芯片的多應(yīng)用多證書(shū)卡;

（2）發(fā)卡機(jī)構(gòu)寫入卡上主應(yīng)用及證書(shū)并激活后，該卡可以使用;其他應(yīng)用及證書(shū)，可由相關(guān)城市通卡應(yīng)用部門寫入;

（3）遵循《可動(dòng)態(tài)下載多應(yīng)用多證書(shū)關(guān)鍵技術(shù)應(yīng)用方案》中提出的數(shù)字證書(shū)模版，以保障多應(yīng)用可用性;

（4）應(yīng)用可互識(shí)別，除寫入機(jī)構(gòu)外，其他機(jī)構(gòu)不能處理寫入機(jī)構(gòu)的應(yīng)用。

四、創(chuàng)新性與安全性

本文的創(chuàng)新性與安全性主要為：使用的中間件技術(shù)，適用于小型嵌入式系統(tǒng)的字節(jié)碼體系，具有跨平臺(tái)、多應(yīng)用、空間動(dòng)態(tài)管理的特點(diǎn)，系統(tǒng)資源占有量小;該技術(shù)實(shí)現(xiàn)了基于國(guó)密證書(shū)的應(yīng)用安全隔離，可支撐多應(yīng)用多證書(shū)應(yīng)用場(chǎng)景。

本文中，進(jìn)一步應(yīng)用了方案所研究的基于安全芯片的中間件技術(shù)，通過(guò)應(yīng)用和證書(shū)的認(rèn)證綁定、應(yīng)用動(dòng)態(tài)裝載、數(shù)據(jù)安全隔離等，進(jìn)一步保障了多應(yīng)用多證書(shū)卡的安全性。

五、總結(jié)

本文主要描述了可動(dòng)態(tài)下載多應(yīng)用多證書(shū)關(guān)鍵技術(shù)以及技術(shù)應(yīng)用方案。同時(shí)，提出了“多應(yīng)用卡數(shù)字證書(shū)模板規(guī)范”，該規(guī)范可用于CA機(jī)構(gòu)面對(duì)多應(yīng)用多證書(shū)應(yīng)用需求時(shí)數(shù)字證書(shū)的發(fā)放。

參考文獻(xiàn)：

[1]周航慈? 《基于嵌入式實(shí)時(shí)操作系統(tǒng)的程序設(shè)計(jì)技術(shù)》? 北京航空航天大學(xué)出版社 2011.1? ISBN： 9787512402508

[2]金融系統(tǒng)電子商務(wù)聯(lián)絡(luò)與研究小組 《電子商務(wù) 安全認(rèn)證與網(wǎng)上支付》 人民出版社 2000.4? ISBN：9787010031750

[3]劉英卓 《電子商務(wù)安全與網(wǎng)上支付》 電子工業(yè)出版社 2010.7 ISBN：9787121112331

[4]帥青紅 《網(wǎng)上支付與安全》 北京大學(xué)出版社 2010.4? ISBN：9787301170441