RF-SIM卡的多应用COS研究与设计

针对RF-SIM卡特点,设计了一种多应用智能卡操作系统(COS)结构,包括多应用文件系统、安全机制及双通道通信管理。通过实验验证了该COS结构的稳定性和安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

 

摘   要:随着芯片技术的发展以及运营商之间的业务扩展,手机智能卡将会向多应用平台方向发展。就是在多应用要求下,重点对文件系统、安全机制和双通道通信管理进行研究与设计。最后基于RF-SIM卡设计了一种多应用COS(智能卡操作系统)结构和实现了一个简单原型,具有较高的稳定性和安全性,对其他研究人员设计多应用COS有一定的借签价值。

    1 前言

    随着芯片技术的发展以及运营商之间的业务扩展,手机智能卡将会突破个人身份识别的单应用平台向多应用平台方向发展,特别是移动支付平台。如今芯片生产商已经开发出了支持2.4 GHz频率的RF-SIM 卡,它是接触式智能卡与非接触式智能卡的结合,在设计上,接触式界面遵守ISO7816 接口标准,非接触式界面采用2.4G ISM频段进行通信。在硬件实现上,RF-SIM 卡有三芯片、双芯片和单芯片三种硬件实现架构方式[1] (如图1)。在安全方面,数据采用自动TDES 加密技术进行空中传输,防止窃听数据,在刷卡时采用双向认证的安全机制,所以它是可靠的连接和安全的通信。另外,在不用更换手机的前提下,RF-SIM卡能够完成更多手机终端无法完成的功能,所以基于RF-SIM卡的多行业多应用服务平台具有广阔的前景。在这个平台体系里,COS(Chip Operating System)是非常重要的,它既要管理底层硬件高效地工作,又要保证上层应用安全地运行。所以本文的目的就是设计一种基于RF-SIM卡的多应用COS结构。 

    2 COS结构模型的选择

    虽然智能卡芯片的硬件资源有限,但是COS结构设计的要求却并不低,它需要综合考虑功能、性能、可移植性、可扩展性、灵活性和复杂度等诸多因素的要求:(1)功能上不但要求SIM 卡端能够实现电信方面的应用,而且还要求非接触式界面端能够实现无线方面的应用,如公交IC 刷卡。(2)性能要求是指能在有效的时间内利用有限的存储空间完成系统要求的功能。(3)可移植性要求COS能够方便地移植到其他环境中运行。(4)可扩展性是指多应用平台能够方便地扩展上层业务功能,方便地增加、修改和删除上层应用的功能模块。最后从实现环节上还需要考虑系统的灵活性和复杂性要求。如今常见的COS结构模型有简单结构、层次结构、微内核结构和外核结构4种,其特性分析详见表1。 

    显然微内核结构的综合特性较优,但时间性能和移植性却是一般,所以,在微内核结构模型基础上进行改良设计(如图2):在微内核层增设虚拟硬件层增强系统的可移植性和简化比较耗时的进程机制与中断处理机制提高系统时间性能。 

    3 多应用COS设计的关键技术

    3.1 多应用文件系统的设计

    多应用平台的设计本质上就是设计多应用文件系统,并在此基础上安全运行多个应用。所以文件系统是COS 的核心,它不仅负责存储、管理和维护卡内存储的数据而且为上层应用提供统一的透明访问机制。具体设计方案如下。

    3.1.1 多样性存储设计

    SIM 卡的文件结构遵守GSM11.11 规范,是以MF为根,DF为枝叶和EF为叶的树形结构(如图3)[2],而RF端的文件结构却可能没有统一的规范,它可能是某行业通用结构也可能是运营商的私有结构。因此,文件格式具有多样性,为方便管理和解决文件系统间格式混乱问题,把存储空间分成基本文件区、应用文件区(如GSM文件区和Mifare 文件区)和未分配存储区三部分。其中不仅每部分区域连续分配,而且每个应用文件系统也是连续分配存储空间(如图4)。基本文件区存储各文件系统的公共信息和注册信息,如空间分配情况表、GSM文件和Mifare 文件注册表、全局安全信息等。GSM文件结构区以隐式链接方式存储结构,用目录项表示MF、DF、EF之间的逻辑结构,分配连续区域存放目录项;统一把DF、EF放在实体文件区。Mifare 文件实际上就是一种结构化的记录块文件,结构规范、管理较简单、存储较方便,所以可以把该区域按记录形式存储操作。未分配存储区的容量是该芯片的大小减去应用文件区的大小,所以它是应用文件区的空间补集。它的作用主要有两方面:(1)为新应用分配存储空间:在卡片运营过程中,如果需要安装新的应用软件AppS1,那么从该区域划分等于或微大于AppS1 的存储空间安装它并且注册在应用文件区中,剩下的空间成为新的未存储分配区。(2)作为掉电保护的备份区之一。

    3.1.2 文件API接口设计

    为多个文件系统设置统一的文件API接口,使上层应用能够共享一套接口函数和存储管理机制。对此具体设置了5 个API 访问接口函数:FS_SeleteFile(选择文件),FS_CreateFile(创建文件),FS_DeleteFile(删除文件),FS_ReadFile(读文件),FS_WriteFile(写文件)。

    3.1.3 文件安全性设计

    智能卡的安全性就是对卡片内数据对象访问的安全控制能力,卡片安全体系的总体结构分为安全属性、安全状态和安全机制[3]。对于文件对象而言,首先设置多个级别的安全属性增强安全级别的灵活性和多样性设置,然后采取先鉴权后操作的访问机制,也就是说只有在鉴权通过时才能够执行后继操作,若不通过,则拒绝访问,例如选择文件,创建文件都必须通过要SCB(Secure Control Byte)字节的鉴权操作,如GSM11标准里的PIN码、PUK码和CDM码的共同构成SCB。 

3.1.4 环境的适应性设计

    一般来说,智能卡的应用环境是比较恶劣的,特别是供电不稳定和存储介质寿命约束问题。所以为保证系统的稳定性和延长卡片寿命设计了掉电保护和均衡磨损机制[4]。掉电保护是指在写数据块时,先把更新区数据备份到其他区域,防止在写数据过程中系统掉电而破坏原数据区的数据,可以从备份区把数据重新写回。具体算法如图5 所示(例如数据B要写到数据A区域)。 

    由上述算法可知,每完成一次掉电保护操作至少要写一次备份区C,因此从整体来说备份区C的读写是频繁的,但是对存储介质的读写次数有严格限制(如flash 的擦写次数为100 000~1 000 000 次),所以备份区C不能静态分配,需要动态选择。更本质上说,由于对存储块的读写访问不均匀,导致出现了“冷”“热”数据块,因此有必要协调好两者之间的关系,也就是尽量使数据块擦写趋于均衡,即均衡磨损机制。综合考虑芯片的硬件环境及算法实现的难易程度,本系统采用“冷热置换”策略:首先把当前应用的数据块擦除次数表(Data-block Erase Table,DET)调入RAM,对数据块的擦除都要更新DET,当某块S 的擦除次数大于某一阈值时(如256 次),选择一擦除次数最少的数据块置换。当DET表所有记录的擦除项为“满”(所有都为256 次)或者DET总更新次数大于或等于某临界值时(如1 000 次),DET 记录的擦除次数项全部清零,并且把DET 从RAM 中保存至flash 存储器。显然,这种“冷热置换”方式能够很好地保证应用系统内部数据块的均衡磨损,但是在掉电保护算法中,因为备份区C不需要置换,只是覆盖即可,所以对于备份区C的选择采用“循环写空闲块”的方式:从未分配区域和系统文件区(如GSM文件区)中通过循环查找的方式选择空闲块充当备份区。

    3.2 多应用安全机制的设计

    具体的单应用系统平台中,一般都设计了规范的或者行业间私有的安全机制,所以本部分重点讨论多文件系统环境下的安全问题。

    3.2.1 数据内容安全管理:对文件中的数据进行加密来保证内容的安全,因为即使数据被非法读取,窃取的也只是密文,破解难度大。
    3.2.2 非法越界管理:多应用文件系统的最大威胁就是非法越界访问其他文件系统数据,所以必须设计防止多应用文件间非法越界访问的安全机制[5]:因为各文件系统的存储空间是连续分配的,物理地址的范围可表述为Addr[上界,下界],所以可以通过Addr 中的上界和下界进行匹配隔离方式防止越界访问,这样就如同在文件系统的上界和下界处设置了一道坚固的隔离墙。
    3.2.3 交互行为安全:某些事务逻辑中,需要在一次原子性操作过程中访问两个或以上的文件系统,如用手机银行为公交IC 卡充值。在交互过程中,设置日志管理机制来保证事务逻辑的原子性。为保证多个应用系统间交互操作的行为安全,建立信任机制,采用双向鉴权方式来增强行为安全的可信度,同时使用数字签名认证方式来界定安全责任,因为这种方式具有不可抵赖性。

    3.3 双通道通信设计

    RF-SIM卡具有接触和非接触两个界面,因此它存在SCD(接触式7816 接口)和SCR(非接触式RF接口)两个逻辑传输通道。两个通道既能够独立地进行数据传输又需要相互协调工作,当然也跟智能卡芯片内核密切联系,它们之间的调用关系如图6 所示。 

    为方便移植和其他模块对SCD 与SCR 通道进行透明调用,分别设置如下通道命令处理接口[6]:Scd_RecvByte(7816 接口接收一个字节数据),Scd_SendByte(7816 接口发送一个字节数据),Scd_Mode(SCD 通道收发模式转换),Scd_Close(SCD通道关闭),Scd_Reset(SCD通道重设),Set_Timer(SCD通道发送60 函数)Scr_Send(RF 发数据),Scr_Recv(RF 收数据),Scr_Data(RF数据缓存),Scr_param(RF的参数),Scr_Star(启动射频功能)。

    4 实验测试

    经过对各功能模块进行认真研究、仔细分析和逐步细化的过程,最后设计出基于RF-SIM卡的多应用COS结构图(图7)。随后在此COS结构基础上设计实验方案:硬件平台是以AT90SC320288RCT 安全芯片为基础的RF-SIM芯片卡,编译工具使用的是IAR EWAVR4.3A 开发平台,应用层设计了GSM 应用和RF 应用。GSM 应用是以电信EVDO 卡为例设计,RF 应用则以公交IC卡为例,在EVDO卡部分,文件模块、安全模块、命令模块和通信模块遵守GSM11.11 系列规范和ISO 7816 规范。RF 应用方面,射频通信符合ISO/IEC 14443系列标准,文件系统采用MAFIRE I 格式结构。同时设计了STK菜单,支撑GSM应用和公交IC 卡的数据交互。最后经过编码、内部测试、仿真、卡片下载流程之后,基本实现了电信EVDO卡和公交IC 卡的功能与性能等方面的要求,从而验证了本设计方案的可行性。但是本方案只是在结构上预留了其他应用接口,而对应用的动态更新还有待研究。 

    5 总结

    在多应用环境下,重点对文件系统、安全机制和双通道通信管理进行了研究与设计,最后基于RF-SIM卡设计了一种多应用COS结构和实现了一个简单原型,具有较高的稳定性和安全性,对其他研究人员设计多应用COS有一定的借签价值。


c51智能cos操作系统源代码-keil uv2。 COS的全称是Chip Operating System(片内操作系统),它一般是紧紧围绕着它所服务的智能的特点而开发的。由于不可避免地受到了智能内微处理器芯片的性能及内存容量的影响,因此,COS在很大程度上不同于我们通常所能见到的微机上的操作系统(例如DOS、UNIX等)。   首先,COS是一个专用系统而不是通用系统。即:一种COS一般都只能应用于特定的某种(或者是某些)智能,不同内的COS一般是不相同的。因为COS一般都是根据某种智能的特点及其应用范围而特定设计开发的,尽管它们在所实际完成的功能上可能大部分都遵循着同一个国际标准。其次,那些常见的微机上的操作系统相比较而言,COS在本质上更加接近于临控程序、而不是一个通常所谓的真正意义上的操作系统,这一点至少在目前看来仍是如此。因为在当前阶段,COS所需要解决的主要还是对外部的命令如何进行处理、响应的问题,这其中一般并不涉及到共享、并发的管理及处理,而且就智能在目前的应用情况而盲,并发和共享的工作也确实是不需要曲。COS设计时一般都是紧密结合智能内存储器分区的情况,按照国际标准(ISO/IEC7816系列标准)中所规定的一些功能进行设计、开发。但是由于目前智能的发展速度很快,而国际标准的制定周期相对比较长一些,因而造成了当前的智能国际标准还不太完善的情况,据此,许多厂家又各自都对自己开发的COS作了一引起扩充。   就目前而言,还没有任何一家公司的COS产品能形成一种工业标准。因此本文将主要结合现有的(指l994年以前)国际标准,重点讲述COS的基本原理以及基本功能,在其中适当地列举它们在某些产品中的实现方式作为例子。   COS的主要功能是控制智能同外界的信息交换,管理智能内的存储器并在内部完成各种命令的处理。其中,外界进行信息交换是COS最基本的要求。在交换过程中,COS所遵循的信息交换协议目前包括两类:异步字符传输的T=0协议以及异步分组传输的T=l协议。这两种信息交换协议的具体内容和实现机制在IS0/IEC78l6-3和IS0/IEC7816-3A3标准中作了规定;而COS所应完成的管理和控制的基中功能则是在 ISO/IEC78l6-4标准中作出规定的。在该国际标准中,还对智能的数据结构以及COS的基本命令集作出了较为详细的说明。至于IS0/IEC78l6-l和2,则是对智能的物理参数、外形尺寸作了规定,它们COS的关系不是很密切。   COS的体系   依赖于上一节中所描述的智能的硬件环境,可以设计出各种各样的COS。但是,所有的COS都必须能够解决至少三个问题,即:文件操作、鉴别核实、安全机制。事实上,鉴别核实和安全机制都属于智能的安全体系的范畴之中,所以,智能COS中最重要的两方面就是文件安全。但再具体地分析一下,则我们实际上可以把从读写设备(即接口设备IFD)发出命令到给出响应的一个完整过程划分为四个阶段,也可以说是四个功能模块:传送管理器(TM)、安全管理器(SM)、应用管理器(AM)和文件管理器(FM)。其中,传送管理器用于检查信息是否被正确地传送。这一部分主要和智能所采用的通信协议有关;安全管理器主要是对所传送的信息进行安全性的检查或处理,防止非法的窃听或侵入;应用管理器则用于判断所接收的命令执行的可能性;文件管理器通过核实命令的操作权限,最终完成对命令的处理。对于一个具体的COS命令而言,这四个阶段并不一定都是必须具备的,有些阶段可以省略,或者是并人另一阶段中;但一般来说,具备这四个阶段的COS是比较常见的。以下我们将按照这四个阶段对COS进行较为详细的论述。   在这里需要提起注意的是,智能中的“文件”概念我们通常所说的“文件”是有区别的。尽管智能中的文件内存储的也是数据单元或记录,但它们都是智能的具体应用直接相关的。一般而言,一个具体的应用必然要对应于智能中的一个文件,因此,智能中的文件不存在通常所谓的文件共享的情况。而且,这种文件不仅在逻辑广必须是完整的,在物理组织上也都是连续的。此外,智能中的文件尽管也可以拥有文件名,但对文件的标识依靠的是中文件—一对应的文件标识符,而不是文件名。因为智能中的文件名是允许重复的,它在本质上只是文件的一种助记符,并不能完全代表整个文件。   传送管理(Transmission Manager)   传送管理主要是依据智能所使用的信息传输协议,对由读写设备发出的命令进行接收。同时,把对命令的响应按照传输协汉的格式发送出去。由此可见,这一部分主要和智能具体使用的通信协议有关,而且,所采用的通信协议越复杂,这一部分实现起来也就越困难、越复杂。   我们在前面提到过目
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值