一種新型智能卡多應用授權發卡系統

楊小寶, 朱志祥

(西安郵電大學 物聯網與兩化融合研究院, 陜西 西安 710061)

一種新型智能卡多應用授權發卡系統

楊小寶, 朱志祥

(西安郵電大學 物聯網與兩化融合研究院, 陜西 西安 710061)

針對現有智能卡多應用系統授權及發卡機制存在流程復雜、效率低下和成本偏高的缺陷，基于數據準備原理，設計一種新型遠程即時授權發卡系統。該系統通過保活進程和虛擬專用通道，以網絡方式，即時地向客戶端發送包含授權密鑰或者和數據在內的任務文件，并由處在客戶端的制卡系統依據邏輯接口約束，調用不同行業的任務文件，經分解后進行授權和發卡。通過驗證平臺進行模擬測試和對比分析，結果表明新型系統在授權發卡效率、運營成本、卡信息管理方面都有所改進。

智能卡;多應用;安全訪問模塊;虛擬專用網絡

隨著微型電子技術的發展和市場的需求，智能卡開始由單一行業的單應用向跨行業的多應用[1]或者“一卡通”方向發展。無論是國外市場成熟的Java卡[2]和Multos卡[3]，還是國內則是以單卡片多芯片和單芯片加磁條形成的復合卡，在進行多個行業的應用發卡時，都會涉及到卡上應用加載時的授權問題。通過對市場上交通卡、建行IC卡、寧波市多應用市民卡等授權發卡的調查和研究，可知，以授權卡方式進行單一行業應用的授權機制比較簡單，而在進行多應用授權和發卡時，由于行業的隔離、應用的獨立、用戶信息資源保護等因素，則存在機制流程復雜，效率低下、成本偏高的缺陷[4]。為了加快實現“一卡通”或者跨行業的多應用，改進這一關鍵環節的問題，許多業內人士和技術開發人員著手研究獨立的遠程密鑰授權技術[5]。

本文擬在分析當前多應用結構和授權發卡機制的基礎上，結合數據準備系統[6]，設計出一種新型授權發卡系統，并在驗證平臺上進行了模擬測試。

1 多應用授權和發卡機制

根據Java或者Multos卡片的多應用原理，智能卡多應用系統框架，主要分為3個部分[7]，即行業后臺業務系統、讀卡端和多應用智能卡。各行業后臺的業務系統和讀卡端設備獨立運營和運行，卡片為單芯片單操作系統(Card operate system，COS)，卡上行業應用根據需求動態的加載和卸載，不同行業之間的應用、密鑰、及數據由防火墻和物理介質隔離，具有獨立的運行環境。讀卡端設備通過匹配卡上應用標識符(Application Identifier，AID)[8]，選擇和運行卡上的行業應用程序，完成操作。

由卡上的應用結構可知，各行業的應用和數據在卡上初始加載時，必須獲得卡片的讀寫權限，即授權的讀寫密鑰,不同行業該密鑰不同，具有唯一性。調研發現，當前應用授權密鑰大多是以安全訪問模塊(Security Access Module，SAM)[9]為安全傳輸介質，進行授權和發卡。以a、b、c分別代表3個行業應用的授權和發卡，其共同的機制和流程如圖1所示。

圖1 現有的SAM卡授權發卡流程

前期，授權中心的密鑰管理系統(Key Management System，KMS)[10]根據采購用戶卡片的唯一復位應答(Answer To Reset ，ATR)數據產生卡片的主控密鑰，并依此根據行業代碼生成卡上各行業初始應用主控密鑰。授權中心統一進行卡片主控密鑰的更換和不同的行業專有文件(Dedicated File，DF)空目錄的創建，并將各應用初始主控密鑰寫進對應的DF目錄下，使卡片變成授權中心統一控制的用戶白卡。

行業a卡管中心向授權中心進行發卡申請，授權中心依據行業a代碼分散出行業授權密鑰，該密鑰與用戶卡片上行業a初始應用主控密鑰對應，并寫進授權SAM卡中，然后將用戶白卡、授權SAM卡以不同的途徑運送到行業a卡管中心。

行業a卡管中心在讀卡端，通過授權SAM卡對用戶卡上該行業DF目錄下的應用主控密鑰進行合法性驗證，通過后，獲得用戶白卡上對應DF目錄的讀寫訪問權限，在該目錄下加載本行業的密鑰和數據,成功后，并向授權中心反饋卡片的狀態信息。然后再進行本行業應用的個人化[11]工作。

在初始加載完成行業a應用后，根據需要繼續加載行業b、c應用的流程同上，但只得到授權SAM卡，并不會得到用戶卡，用戶卡由持卡人攜帶到行業柜臺前申請加載應用和進行個人化工作。

由上可知，授權SAM卡控制的多行業應用發卡機制中，授權中心除了進行大量卡和密鑰的生成和管理外，還需要進行卡的購買、密鑰更換、數據加載、備份、和信息統計等工作，大大的加重了授權中心的工作量，使授權中心脫離工作重點、并且加長發卡時間周期，降低發卡效率；各行業卡管中心不能實時的溝通發卡狀態信息，容易造成重復發卡，浪費資源；發卡過程中，用戶卡、授權SAM卡的來回運輸，也容易造成卡片的遺失、被復制、和盜用等一系列安全問題，增加發卡機構和卡商的發卡和維護成本。

為解決上述問題，在不改變圖1所示授權應用加載思想下，在數據準備系統[9]的基礎上，設計出新的授權數據準備系統，遠程實現密鑰授權和數據加載。

2 新型多應用授權發卡系統的組成

新型系統是為授權中心、行業卡管中心及其卡商提供密鑰授權和數據安全加載的軟件系統，根據多應用系統框架，和授權思想，新型系統的核心由兩部分構成，即授權數據準備服務器(Authorization Data Preparation Server，ADPS)和授權數據準備客戶端(Authorization Data Preparation Client，ADPC)。配合KMS、數據采集系統、個人化制卡系統,可以組成一個完整的授權和發卡系統，結構如圖2所示。

圖2 授權發卡系統的簡單組成結構

ADPS負責獲得卡片密鑰和數據，將密鑰和數據合成任務文件，向目標ADPC下發，并提供安全加密功能，位于授權中心或各行業卡管中心。

ADPC負責接收ADPS下發的任務，進行安全存儲，與行業卡管中心或者受委托卡商生產線通信，提供反饋消息；根據要求，可向ADPS提供卡和持卡人數據信息。ADPC處于各行業卡管中心或者受委托制卡商。

KMS是密鑰管理系統，主要功能包括密鑰的生成、分配、注入、保管、銷毀等，密鑰的生成、發行、更新是整個系統的核心內容，其密鑰管理機制直接關系到整個系統的安全性、靈活性、和通用可靠性。存在于授權中心和各行業卡管中心。

數據采集系統和個人卡制卡系統的功能和部署不在此贅述，請參考相關資料查閱。

3 系統的工作原理

根據新型系統的結構，授權數據準備系統位于授權中心的數據采集系統和個人化制卡系統之間。首先所有的ADPS和ADPC以VPN方式進行安全連接，授權中心根據各行業卡管中心的業務申請，向對應的卡商發送卡片訂貨信息，依此，各卡商和行業卡管中心向授權中心發送芯片唯一的ATR信息和持卡人信息，授權中心ADPS調用KMS生成密鑰數據，調用采集系統生成個人化制卡數據，并合成任務文件。密鑰數據包括卡片的授權讀寫密鑰、應用主控初始密鑰、維護密鑰、APDU安全下載密鑰等，個人化制卡數據包含采集的個人信息、行業應用卡內程序、行業應用密鑰等其它信息。ADPS然后將任務文件通過VPN安全通道遠程下發到行業卡管中心或者受委托卡商網絡中心的前置ADPC中，再由ADPC傳至個人化制卡系統，個人化系統在得到任務文件后，進行任務分解，翻譯成可執行的腳本文件，由腳本文件自動執行權中心生成的卡主控密鑰與出廠卡片密鑰的替換，或直接向卡灌入該密鑰；完成卡內行業DF目錄的創建和行業應用初始主控密鑰的寫入；進一步執行圖1中所示的行業授權驗證工作，加載卡管中心下發的行業應用程序和替換應用主控密鑰、進行個人化操作等，并向各ADPS反饋發卡狀態信息。

ADPS和ADPC之間有保活進程，保活進程實時探測經過認證的合法ADPC狀態。如果ADPS存在新的文件，會主動探測申領該批次密鑰的ADPC是否活躍，如果活躍，自動建立加密通道，將卡片密鑰數據推送至ADPC中,并反饋信息。如鏈接失敗，則返回錯誤信息，通知操作者錯誤來源。遠程授權發卡工作機制如圖3所示。

圖3 遠程授權發卡工作機制

4 多應用的授權發卡驗證

根據新型系統的模型和工作原理，搭建跨行業的多應用密鑰授權和多個卡商進行批量發卡的驗證系統平臺。平臺中的數據采集使用二代身份證閱讀器自動進行信息采集，KMS由支持國家商用密碼管理辦公室發布的密碼算法[12]的商用加密機和管理軟件組成，卡片為可以承載多應用的Java卡，由飛天誠信信息公司提供，搭建地模擬驗證平臺網絡結構如圖4所示。

此平臺設計的一個卡商可能接受多個行業的業務，一個行業的業務亦可分有多個卡商完成，因此，部署的前置ADPC，自身通過采用加密模塊邏輯分離的原理，根據接口約束區分各行業的業務，形成多個虛擬的ADPC(Virtual Data Preparation Client, VADPC)，以接收不同行業ADPS下發的任務文件，然后轉至個人化制卡系統完成授權和發卡。

以3個行業業務應用,說明新型系統平臺的多應用的授權和發卡流程。

假定行業c委托授權中心指定卡商A制卡，行業a指定的卡商A制卡，而行業b指定卡商A和B制卡，行業a、b和卡商A以VPN方式與授權中心連接，同時卡商A以VPN方式與行業a連接，卡商B以VPN方式與行業b連接，根據圖4，授權和發卡流程詳述如下。

(1) 信息采集

各行業卡管中心通過信息采集系統，確定的卡片的需求數據，分別從卡商獲取卡片ATR、COS等信息，通過本級ADPC上報授權中心，授權中心進行持卡人個人數據信息、卡ATR、COS信息備案。

(2) 密鑰數據生成和下發

授權中心KMS對備案的芯片、COS進行判定，若合格，則KMS根據卡片ATR生成系列主控密鑰；根據行業a、b、c代碼，生成不同行業的應用初始主控密鑰和授權密鑰。行業a、b的授權密鑰任務文件直接下發給行業卡管中心的前置ADPC，行業c的主控密鑰、授權密鑰和其它數據，形成合成任務文件，直接下發給卡商A在授權中心的VADPC；如果不是預先在備案的芯片，則拒絕產生密鑰進行發卡，同時記錄于數據準備系統日志。密鑰的生命周期僅存活于本批次制卡。

(3) 應用ADPS合成文件下發

行業a卡管中心的ADPS分別從本級ADPC獲取行業授權密鑰，從行業應用KMS獲取應用系列密鑰，采集系統獲取個人數據信息，然后合并成任務文件，下發給卡商A的前置ADPC。行業b的任務文件合成過程類似行業a，但是可以同時分別下發給廠商A和卡商B的前置ADPC。

(4) 卡商制卡

卡商A的前置ADPC接收各ADPS下發的任務文件，并通過不同邏輯通道，分發給各行業對應的VADPC，由VADPC進行分解和腳本翻譯。制卡系統依據行業a、b、c的腳本，批量執行用戶卡密鑰更換、授權讀寫認證、初始化應用程序加載、卡片個人化、卡面制作等工作。卡商B的前置ADPC同樣接收和翻譯行業b卡管中心的ADPS任務文件，所屬制卡系統進行批量制卡。

(5) 卡狀態信息反饋

卡商A和B，將卡片的業務加載信息反饋給行業卡管中心，行業卡管中心反饋給授權中心，行業c的狀態信息直接由卡商A反饋給授權中心，授權中心對所有卡片狀態進行實時更新，確保卡片發放的唯一性。

圖4 授權發卡系統的網絡應用模型

到此，卡商A出廠的卡片完成行業a、b、c三個行業應用的授權和發卡任務，卡商B的卡片只加載了行業b的應用。對于兩者，后續其它行業應用的加載，必須到相應行業的業務柜臺，通過在線自助模式完成。本系統支持行業在線自助發卡模式和批量發卡模式。

5 對比分析

以單個操作員對3個行業a、b、c的應用，分別通過新型系統平臺和單臺SAM卡授權發卡機，進行授權發卡模擬驗證測試,并從授權發卡的測試周期時長、過程因素成本、安全性及卡信息管理方面的效果進行分析對比。

測試中，對2、4、16張普通用戶卡進行授權和發卡，兩種方式下，單個操作員授權發卡的周期時長對比結果如表1所示,其中周期時長為多次測試的實驗平均值。

表1 多應用卡授權發卡周期時長對比(小時/人)

從表1可見，隨著發卡量增大，新型系統可以明顯縮短所用時間。由于搭建的新型系統驗證平臺支持多行業用戶、多卡商的并發操作，結合多個行業的授權發卡的情況，實際效率提升將會更加明顯。

對于3個行業a、b、c應用的授權發卡成本，結合測試和實際的授權發卡環節，以兩種方式發卡的因素成本的高低進行比較，如表2所示。

表2 多應用卡授權發卡的因素成本對比

由于新型系統是基于網絡化的計算機軟件遠程實現，因此，在上述跨行業多應用實現過程中，實際成本的降低效果亦將非常明顯。

在安全方面，新型授權發卡系統中的信息都是以安全通道硬件加密的方式傳輸，對授權中心和行業卡管中心形成保護，非獲得授權的行業卡管中心和卡商無法直接接入上級授權中心系統，避免了原有方式卡片運輸過程中，由于卡片的遺失和被盜而使密鑰和數據存在危險的紕漏。新型系統本身具有完善的人員安全認證、管理控制、運維監控、數據跟蹤備份、審計等機制[13]，使安全性進一步加強。在卡信息管理環節，新型系統可以連接各行業卡管中心的管理平臺，可以實時地獲得卡和持卡人的狀態信息，及時地對這些數據進行同步更新和維護，使管理的更加便捷和高效。

6 結 語

給出一種新型授權發卡系統的設計思路，能夠改善當前授權機制存在的部分問題，并滿足智能卡多應用的跨行業授權和發卡的需求。但是新型系統需要依靠網絡實現，為了滿足授權和數據更新的即時性，就需要對網絡寬帶提出嚴格要求。怎樣優化系統結構、降低對帶寬的要求，改進系統在大數據時代云平臺下的接入方式[14]，進一步提高使用效果將是下一步研究的重點。

[1] 董威.多應用智能卡新技術研究[D].北京:北京郵電大學,2008:24-26.

[2] Sun Microsystems Inc. Java card classic platform specification 3.0.4[EB/OL]. (2012-06-21)[2013-08-01]. http://www.oracle.com/technetwork/cn/testcontent/specs-jsp-136430.html.

[3] Sauveron D. Multiapplication smart card: Towards an open smart card[J]. Information Security Technical Report,2009,14(2):70-78.

[4] 黃振華. 基于SIM卡的身份認證功能的設計與實現[D].廣州:華南理工大學,2011:51-53.

[5] Hwang Min-Shiang, Li Li-hua. A new remote user authentication scheme using smart cards[J]. IEEE Transactions on Consumer Electronics, 2000, 46(1): 28-30.

[6] 盛其杰,何小英,宋向陽,等.基于 DPS 的校園一卡通數據發布模式設計[J].中國教育信息化:高教職教, 2010(11):18-20.

[7] 楊小寶.Java卡多應用安全發卡系統的研究[J].計算機安全,2012(4):42-45.

[8] ISO. ISO/IEC7816-4:Identification cards - Integrated circuit cards - Part 4: Organization security and commands for interchange[S/OL].(2013-04-04)[2013-08-15].http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=36134.

[9] 唐業,張申生.單發卡商多應用智能卡訪問控制模型[J].計算機工程與應用,2005,41(18):4-6.

[10] 楊寅.一個基于智能卡的密鑰管理系統[J].電腦知識與技術,2012,8(6): 1379-1386.

[11] Mammass H, Ghadi F. Implementation of smart card personalization software[J].International Journal of Future Generation Communication and Networking, 2012,5(4):39-54.

[12] 孫含元. 國家商用密碼算法護航金融應用更安全[J]. 金融電子化,2010(12):119-120.

[13] 王忠民,史育蘭,張榮. 一種移動智能搜索個性化客戶端[J].西安郵電大學學報,2013,18(3):71-75.

[14] 閔祥參. 桌面云的接入身份認證方法[J].西安郵電大學學報,2013,18(4):26-28.

[責任編輯:王輝]

A new authentication and issuing system ofmulti-application smart card

YANG Xiaobao, ZHU Zhixiang

(Institute of IOT & IT-based Industrialization, Xi’an University of Posts and Telecommunications, Xi’an 710061, China)

In the current multi-application smart card system, authentication and issuing mechanism have some defects such as complexity of the process, inefficiency, and high cost etc. In order to solve these defects, a new system which can authorize remotely and issue instantly is designed based on the data preparation system. In this system the server can send the task files of keys or combined data to the client in real time and remotely through the keep-alive processes and the virtual private network. Then the personalization system would call the different task file depending on the logical interface of client, translate them into the script files, and finish the work of authorizing and issuing. Tests are carried on a verification platform with the new method and compared with the old one. The results show that the new system can be greatly improved in the efficiency of the issuing authority, operating costs, information management and other aspects.

smart card, multi-application, security access module, virtual private network

2013-09-05

國家科技重大專項基金資助項目(2009ZX03004-003)；西安郵電大學青年教師科研基金資助項目(ZL2013-39)

楊小寶(1978-)，男，碩士，工程師，從事多媒體通信技術與智能卡技術研究。E-mail:y78h11b09@xupt.edu.cn 朱志祥(1959-)，男，博士，教授，博導，從事多媒體通信與信息安全研究。E-mail：zhuzhix369@163.com

10.13682/j.issn.2095-6533.2014.02.013

TP399

A

2095-6533(2014)02-0072-05