動態多應用加載技術研究及轉化應用

馬捷

摘要：研究基于金融應用安全芯片的多應用多證書動態加載技術，可為支付用戶提供行業多應用管理、證書動態加載，實現在跨行業跨平臺的網絡支付或卡支付等不同支付方式中使用單一載體進行認證與支付。基于上述研究內容，本文主要研究可動態下載多應用多證書關鍵技術，研究該技術的基本應用需求、總體技術方案以及應用方案，與應用適配的技術規范等。

一、技術應用研究

（一）基本應用需求研究

“一卡多應用”已經成為一種必然的趨勢，智能IC卡管理機制必須要考慮到不同商業合作伙伴之間平等獨立及資源共享的要求，由于智能IC卡不僅僅是應用和服務的載體，更是業務拓展的渠道，因此卡管理機制可以通過加載不同應用服務商的數字證書來證明應用服務商的權利。

基于上述需求而提出了可動態下載多應用多證書技術，該技術主要面向需在一張智能IC卡上動態下載多種應用及證書的業務需求，如行業內不同服務應用、跨行業服務與應用、政府推進的公共服務等。根據可動態下載多應用多證書技術應用特點，基本應用需求主要為：

（1）多應用多證書卡支持多應用多證書動態下載，可多應用識別;

（2）具有主發卡機構標識，以保證發卡機構可溯源;

（3）具備安全保障體系，多應用多證書卡應用安全隔離可靠;應用動態處理時，不能刪除本機構外的應用;

（4）數字證書符合多應用多證書應用要求，適應不同CA機構發放證書需要;

（5）要實現以數字證書為安全保障的業務應用。

（二）技術應用總體框架研究

多應用多證書動態加載技術應用總體框架由多應用多證書卡、行業應用系統、綜合服務系統（公共服務系統）、CA系統等組成。方案如圖1所示。

（1）多應用多證書卡，可支持動態地下載多應用和多證書，且每個應用證書唯一綁定卡片上的應用，實現以數字證書為安全保障的業務應用場景。

（2）行業應用系統，行業內不同應用或跨行業應用時某行業的可動態下載多應用多證書系統，其中應用系統負責通過讀卡器為多應用多證書卡下載指定的行業應用及證書，同時負責通過POS或移動支付終端等業務終端為行業應用提供業務服務。

注：移動支付終端為項目的一項研發成果，支持可動態下載多應用多證書。

（3）綜合服務系統，可向多應用多證書卡提供多種應用及證書動態下載的業務服務系統，如政府主導建設的公共服務系統。綜合服務系統通過綜合服務動態加載服務系統，為多應用多證書卡提供下載多個行業應用、證書的服務。

綜合應用系統與不同的行業應用系統間的連接，以及綜合應用系統通過業務終端進行業務處理的業務處理系統，屬于本方案外部系統。

（4）CA系統負責通過行業應用系統和綜合服務系統（公共服務系統）提供證書服務。

（三）多應用多證書卡證書種類

多應用多證書卡使用三類證書構建安全體系。一是卡片證書，二是機構證書，三是應用證書。多應用多證書卡使用的證書種類及用途如表1所示。

（四） 多應用多證書卡片應用框架與功能要求

多應用多證書卡主要包括通用的智能IC卡，以及具有某些特殊功能的智能IC卡如大容量可視智能卡。多應用多證書卡片由安全芯片及基于安全芯片的中間件技術組成，框架參見圖2-2。

（1）安全芯片

安全芯片同時集成主控芯片與密碼運算功能，既要負責控制其他外圍模塊，又要負責在該安全芯片上的應用的安全，具有高集成、高安全特性。安全芯片采用基于安全芯片存儲器介質的信息安全機制技術，來保障芯片安全性。終端應用通過應用編程接口來訪問安全芯片，并只能通過該接口來使用安全芯片存儲的密鑰，無法獲取私鑰。

（2）基于安全芯片的中間件

基于安全芯片的中間件實現了卡片的多應用多證書動態加載的功能，包括硬件抽象層（HAL層）、通訊模型、存儲模型、內核、應用管理器、應用編程接口等組成。

1）硬件抽象層（HAL層）：是為卡片安全芯片提供的接口，為中間件提供虛擬硬件平臺。

2）通訊模型：封裝了與外部通信的接口（通訊模型包含與卡片的通信和與服務器的通信等）。

3）存儲模型：該部分封裝了數據文件處理，增加對密鑰文件和證書文件的存儲處理。尤其對于密鑰文件的訪問控制，密鑰存在不可讀存儲區。

4）內核：處理應用管理（含應用下載、存儲和運行）、處理指令分發等功能。

5）應用管理器：負責應用的管理，該模塊負責應用的下載、存儲和運行。

6）應用編程接口：該部分增加PKI接口以支持生成公私鑰對、簽名驗簽、加密解密等功能，供開發人員開發終端應用。

（3）終端應用

終端應用是在中間件的基礎上調用應用編程接口的軟件程序。不同的終端應用有不同的用戶交互界面、交易流程處理、與支付系統交互的接口和與卡片交互的接口。

（4）多應用多證書卡功能要求研究

多應用多證書的智能IC卡主要提供的功能要求設計參見表2。

（五）技術應用的關鍵技術及相關規范

技術應用基于國產安全芯片提出，涉及安全芯片、智能IC卡、多應用多證書等，方案應用的關鍵技術為：基于安全芯片的中間件技術。

此外為適應多應用卡裝載數字證書的需要，本文提出了“多應用卡數字證書模板規范”。

二、關鍵技術研究

（一）概述

關鍵技術為：基于安全芯片的中間件技術。該技術主要應用于多應用多證書卡下載應用和證書，使得多應用多證書卡可以按需加載不同應用和證書，并實現相應管理。

其中，卡片證書的公私鑰由卡內產生，保證多應用多證書卡的物理可信性;機構證書由機構產生，并導入卡片中。

該技術關鍵點主要包括：應用和證書的認證綁定技術、應用動態裝載技術、數據安全隔離技術。

（二）基本實現方法

A.多應用多證書卡下載卡片證書的流程

（1）空白卡在可信環境中，通過讀卡器連接發卡機構的業務系統;

（2）卡內安全芯片生成公私鑰對，將公鑰上傳至業務系統;

（3）業務系統向CA機構申請卡片證書，成功后使用“數據安全隔離技術”將卡片證書寫入卡內。

B.多應用多證書卡下載機構證書的流程

（1）在可信環境中，通過讀卡器連接到行業機構的業務系統;

（2）業務系統通過卡片簽名對卡片進行認證;

（3）認證成功后，使用“數據安全隔離技術”將機構證書寫入卡內。

C.多應用多證書卡下載應用的流程

（1）在可信環境中，通過讀卡器連接到行業機構的業務系統;

（2）業務系統使用機構私鑰對應用數據包進行簽名，卡片接收到數據后進行驗簽;

（3）驗簽成功后，使用“應用動態裝載技術”、“數據安全隔離技術”完成應用的裝載、注冊和安全隔離。

D.多應用多證書卡下載應用證書的流程

（1）在可信環境中，通過讀卡器連接到業務系統;

（2）卡內安全芯片生成公私鑰對，將公鑰上傳至業務系統;

（3）業務系統向CA機構申請應用證書，成功后使用“數據安全隔離技術”將應用證書寫入卡內，并使用“應用和證書的認證綁定技術”將應用和證書進行綁定。

（三）關鍵機制

A.應用和證書的認證綁定技術

（1）每張卡片上有唯一的卡片證書，用于標示持卡人身份的唯一性;

（2）每個機構在卡上對應有唯一的機構證書，用于標識機構發行應用的合法性;

（3）每個應用都對應一個唯一的應用證書，用于標示應用身份的合法性，以及用于交易中的合法性和不可否認性;

（4）采用標識方式映射到應用證書，實現應用和證書的綁定;中間件負責實現證書的存儲管理和卡片上的簽名驗簽。

B.應用動態裝載技術

（1）采用非易失性存儲器頁管理算法，實現卡片存儲空間的動態管理，可以按需分配應用數據空間。

（2）采用存儲碎片管理算法，實現應用數據的整理、清除和回收，從而實現應用的動態裝載和卸載。

C.數據安全隔離技術

中間件通過內置的虛擬機，通過將應用的存儲空間地址映射在不同的物理地址的方式，實現應用的安全隔離。具體為：

（1）通過把不同應用的運行內存，映射在不同的RAM空間，防止應用數據溢出干擾其他應用的數據空間;

（2）通過把不同應用的存儲空間，映射在不同非易失性存儲器，完成應用交易敏感數據和密鑰數據的隔離，防止應用惡意代碼竊取其他應用的數據。

三、應用方案

城市通卡應用基本方案如圖2所示。

主要為：

（1）采用基于安全芯片的多應用多證書卡;

（2）發卡機構寫入卡上主應用及證書并激活后，該卡可以使用;其他應用及證書，可由相關城市通卡應用部門寫入;

（3）遵循《可動態下載多應用多證書關鍵技術應用方案》中提出的數字證書模版，以保障多應用可用性;

（4）應用可互識別，除寫入機構外，其他機構不能處理寫入機構的應用。

四、創新性與安全性

本文的創新性與安全性主要為：使用的中間件技術，適用于小型嵌入式系統的字節碼體系，具有跨平臺、多應用、空間動態管理的特點，系統資源占有量小;該技術實現了基于國密證書的應用安全隔離，可支撐多應用多證書應用場景。

本文中，進一步應用了方案所研究的基于安全芯片的中間件技術，通過應用和證書的認證綁定、應用動態裝載、數據安全隔離等，進一步保障了多應用多證書卡的安全性。

五、總結

本文主要描述了可動態下載多應用多證書關鍵技術以及技術應用方案。同時，提出了“多應用卡數字證書模板規范”，該規范可用于CA機構面對多應用多證書應用需求時數字證書的發放。

參考文獻：

[1]周航慈? 《基于嵌入式實時操作系統的程序設計技術》? 北京航空航天大學出版社 2011.1? ISBN： 9787512402508

[2]金融系統電子商務聯絡與研究小組 《電子商務 安全認證與網上支付》 人民出版社 2000.4? ISBN：9787010031750

[3]劉英卓 《電子商務安全與網上支付》 電子工業出版社 2010.7 ISBN：9787121112331

[4]帥青紅 《網上支付與安全》 北京大學出版社 2010.4? ISBN：9787301170441