一种新型智能卡多应用授权发卡系统

杨小宝, 朱志祥

(西安邮电大学 物联网与两化融合研究院, 陕西 西安 710061)

一种新型智能卡多应用授权发卡系统

杨小宝, 朱志祥

(西安邮电大学 物联网与两化融合研究院, 陕西 西安 710061)

针对现有智能卡多应用系统授权及发卡机制存在流程复杂、效率低下和成本偏高的缺陷，基于数据准备原理，设计一种新型远程即时授权发卡系统。该系统通过保活进程和虚拟专用通道，以网络方式，即时地向客户端发送包含授权密钥或者和数据在内的任务文件，并由处在客户端的制卡系统依据逻辑接口约束，调用不同行业的任务文件，经分解后进行授权和发卡。通过验证平台进行模拟测试和对比分析，结果表明新型系统在授权发卡效率、运营成本、卡信息管理方面都有所改进。

智能卡;多应用;安全访问模块;虚拟专用网络

随着微型电子技术的发展和市场的需求，智能卡开始由单一行业的单应用向跨行业的多应用[1]或者“一卡通”方向发展。无论是国外市场成熟的Java卡[2]和Multos卡[3]，还是国内则是以单卡片多芯片和单芯片加磁条形成的复合卡，在进行多个行业的应用发卡时，都会涉及到卡上应用加载时的授权问题。通过对市场上交通卡、建行IC卡、宁波市多应用市民卡等授权发卡的调查和研究，可知，以授权卡方式进行单一行业应用的授权机制比较简单，而在进行多应用授权和发卡时，由于行业的隔离、应用的独立、用户信息资源保护等因素，则存在机制流程复杂，效率低下、成本偏高的缺陷[4]。为了加快实现“一卡通”或者跨行业的多应用，改进这一关键环节的问题，许多业内人士和技术开发人员着手研究独立的远程密钥授权技术[5]。

本文拟在分析当前多应用结构和授权发卡机制的基础上，结合数据准备系统[6]，设计出一种新型授权发卡系统，并在验证平台上进行了模拟测试。

1 多应用授权和发卡机制

根据Java或者Multos卡片的多应用原理，智能卡多应用系统框架，主要分为3个部分[7]，即行业后台业务系统、读卡端和多应用智能卡。各行业后台的业务系统和读卡端设备独立运营和运行，卡片为单芯片单操作系统(Card operate system，COS)，卡上行业应用根据需求动态的加载和卸载，不同行业之间的应用、密钥、及数据由防火墙和物理介质隔离，具有独立的运行环境。读卡端设备通过匹配卡上应用标识符(Application Identifier，AID)[8]，选择和运行卡上的行业应用程序，完成操作。

由卡上的应用结构可知，各行业的应用和数据在卡上初始加载时，必须获得卡片的读写权限，即授权的读写密钥,不同行业该密钥不同，具有唯一性。调研发现，当前应用授权密钥大多是以安全访问模块(Security Access Module，SAM)[9]为安全传输介质，进行授权和发卡。以a、b、c分别代表3个行业应用的授权和发卡，其共同的机制和流程如图1所示。

图1 现有的SAM卡授权发卡流程

前期，授权中心的密钥管理系统(Key Management System，KMS)[10]根据采购用户卡片的唯一复位应答(Answer To Reset ，ATR)数据产生卡片的主控密钥，并依此根据行业代码生成卡上各行业初始应用主控密钥。授权中心统一进行卡片主控密钥的更换和不同的行业专有文件(Dedicated File，DF)空目录的创建，并将各应用初始主控密钥写进对应的DF目录下，使卡片变成授权中心统一控制的用户白卡。

行业a卡管中心向授权中心进行发卡申请，授权中心依据行业a代码分散出行业授权密钥，该密钥与用户卡片上行业a初始应用主控密钥对应，并写进授权SAM卡中，然后将用户白卡、授权SAM卡以不同的途径运送到行业a卡管中心。

行业a卡管中心在读卡端，通过授权SAM卡对用户卡上该行业DF目录下的应用主控密钥进行合法性验证，通过后，获得用户白卡上对应DF目录的读写访问权限，在该目录下加载本行业的密钥和数据,成功后，并向授权中心反馈卡片的状态信息。然后再进行本行业应用的个人化[11]工作。

在初始加载完成行业a应用后，根据需要继续加载行业b、c应用的流程同上，但只得到授权SAM卡，并不会得到用户卡，用户卡由持卡人携带到行业柜台前申请加载应用和进行个人化工作。

由上可知，授权SAM卡控制的多行业应用发卡机制中，授权中心除了进行大量卡和密钥的生成和管理外，还需要进行卡的购买、密钥更换、数据加载、备份、和信息统计等工作，大大的加重了授权中心的工作量，使授权中心脱离工作重点、并且加长发卡时间周期，降低发卡效率；各行业卡管中心不能实时的沟通发卡状态信息，容易造成重复发卡，浪费资源；发卡过程中，用户卡、授权SAM卡的来回运输，也容易造成卡片的遗失、被复制、和盗用等一系列安全问题，增加发卡机构和卡商的发卡和维护成本。

为解决上述问题，在不改变图1所示授权应用加载思想下，在数据准备系统[9]的基础上，设计出新的授权数据准备系统，远程实现密钥授权和数据加载。

2 新型多应用授权发卡系统的组成

新型系统是为授权中心、行业卡管中心及其卡商提供密钥授权和数据安全加载的软件系统，根据多应用系统框架，和授权思想，新型系统的核心由两部分构成，即授权数据准备服务器(Authorization Data Preparation Server，ADPS)和授权数据准备客户端(Authorization Data Preparation Client，ADPC)。配合KMS、数据采集系统、个人化制卡系统,可以组成一个完整的授权和发卡系统，结构如图2所示。

图2 授权发卡系统的简单组成结构

ADPS负责获得卡片密钥和数据，将密钥和数据合成任务文件，向目标ADPC下发，并提供安全加密功能，位于授权中心或各行业卡管中心。

ADPC负责接收ADPS下发的任务，进行安全存储，与行业卡管中心或者受委托卡商生产线通信，提供反馈消息；根据要求，可向ADPS提供卡和持卡人数据信息。ADPC处于各行业卡管中心或者受委托制卡商。

KMS是密钥管理系统，主要功能包括密钥的生成、分配、注入、保管、销毁等，密钥的生成、发行、更新是整个系统的核心内容，其密钥管理机制直接关系到整个系统的安全性、灵活性、和通用可靠性。存在于授权中心和各行业卡管中心。

数据采集系统和个人卡制卡系统的功能和部署不在此赘述，请参考相关资料查阅。

3 系统的工作原理

根据新型系统的结构，授权数据准备系统位于授权中心的数据采集系统和个人化制卡系统之间。首先所有的ADPS和ADPC以VPN方式进行安全连接，授权中心根据各行业卡管中心的业务申请，向对应的卡商发送卡片订货信息，依此，各卡商和行业卡管中心向授权中心发送芯片唯一的ATR信息和持卡人信息，授权中心ADPS调用KMS生成密钥数据，调用采集系统生成个人化制卡数据，并合成任务文件。密钥数据包括卡片的授权读写密钥、应用主控初始密钥、维护密钥、APDU安全下载密钥等，个人化制卡数据包含采集的个人信息、行业应用卡内程序、行业应用密钥等其它信息。ADPS然后将任务文件通过VPN安全通道远程下发到行业卡管中心或者受委托卡商网络中心的前置ADPC中，再由ADPC传至个人化制卡系统，个人化系统在得到任务文件后，进行任务分解，翻译成可执行的脚本文件，由脚本文件自动执行权中心生成的卡主控密钥与出厂卡片密钥的替换，或直接向卡灌入该密钥；完成卡内行业DF目录的创建和行业应用初始主控密钥的写入；进一步执行图1中所示的行业授权验证工作，加载卡管中心下发的行业应用程序和替换应用主控密钥、进行个人化操作等，并向各ADPS反馈发卡状态信息。

ADPS和ADPC之间有保活进程，保活进程实时探测经过认证的合法ADPC状态。如果ADPS存在新的文件，会主动探测申领该批次密钥的ADPC是否活跃，如果活跃，自动建立加密通道，将卡片密钥数据推送至ADPC中,并反馈信息。如链接失败，则返回错误信息，通知操作者错误来源。远程授权发卡工作机制如图3所示。

图3 远程授权发卡工作机制

4 多应用的授权发卡验证

根据新型系统的模型和工作原理，搭建跨行业的多应用密钥授权和多个卡商进行批量发卡的验证系统平台。平台中的数据采集使用二代身份证阅读器自动进行信息采集，KMS由支持国家商用密码管理办公室发布的密码算法[12]的商用加密机和管理软件组成，卡片为可以承载多应用的Java卡，由飞天诚信信息公司提供，搭建地模拟验证平台网络结构如图4所示。

此平台设计的一个卡商可能接受多个行业的业务，一个行业的业务亦可分有多个卡商完成，因此，部署的前置ADPC，自身通过采用加密模块逻辑分离的原理，根据接口约束区分各行业的业务，形成多个虚拟的ADPC(Virtual Data Preparation Client, VADPC)，以接收不同行业ADPS下发的任务文件，然后转至个人化制卡系统完成授权和发卡。

以3个行业业务应用,说明新型系统平台的多应用的授权和发卡流程。

假定行业c委托授权中心指定卡商A制卡，行业a指定的卡商A制卡，而行业b指定卡商A和B制卡，行业a、b和卡商A以VPN方式与授权中心连接，同时卡商A以VPN方式与行业a连接，卡商B以VPN方式与行业b连接，根据图4，授权和发卡流程详述如下。

(1) 信息采集

各行业卡管中心通过信息采集系统，确定的卡片的需求数据，分别从卡商获取卡片ATR、COS等信息，通过本级ADPC上报授权中心，授权中心进行持卡人个人数据信息、卡ATR、COS信息备案。

(2) 密钥数据生成和下发

授权中心KMS对备案的芯片、COS进行判定，若合格，则KMS根据卡片ATR生成系列主控密钥；根据行业a、b、c代码，生成不同行业的应用初始主控密钥和授权密钥。行业a、b的授权密钥任务文件直接下发给行业卡管中心的前置ADPC，行业c的主控密钥、授权密钥和其它数据，形成合成任务文件，直接下发给卡商A在授权中心的VADPC；如果不是预先在备案的芯片，则拒绝产生密钥进行发卡，同时记录于数据准备系统日志。密钥的生命周期仅存活于本批次制卡。

(3) 应用ADPS合成文件下发

行业a卡管中心的ADPS分别从本级ADPC获取行业授权密钥，从行业应用KMS获取应用系列密钥，采集系统获取个人数据信息，然后合并成任务文件，下发给卡商A的前置ADPC。行业b的任务文件合成过程类似行业a，但是可以同时分别下发给厂商A和卡商B的前置ADPC。

(4) 卡商制卡

卡商A的前置ADPC接收各ADPS下发的任务文件，并通过不同逻辑通道，分发给各行业对应的VADPC，由VADPC进行分解和脚本翻译。制卡系统依据行业a、b、c的脚本，批量执行用户卡密钥更换、授权读写认证、初始化应用程序加载、卡片个人化、卡面制作等工作。卡商B的前置ADPC同样接收和翻译行业b卡管中心的ADPS任务文件，所属制卡系统进行批量制卡。

(5) 卡状态信息反馈

卡商A和B，将卡片的业务加载信息反馈给行业卡管中心，行业卡管中心反馈给授权中心，行业c的状态信息直接由卡商A反馈给授权中心，授权中心对所有卡片状态进行实时更新，确保卡片发放的唯一性。

图4 授权发卡系统的网络应用模型

到此，卡商A出厂的卡片完成行业a、b、c三个行业应用的授权和发卡任务，卡商B的卡片只加载了行业b的应用。对于两者，后续其它行业应用的加载，必须到相应行业的业务柜台，通过在线自助模式完成。本系统支持行业在线自助发卡模式和批量发卡模式。

5 对比分析

以单个操作员对3个行业a、b、c的应用，分别通过新型系统平台和单台SAM卡授权发卡机，进行授权发卡模拟验证测试,并从授权发卡的测试周期时长、过程因素成本、安全性及卡信息管理方面的效果进行分析对比。

测试中，对2、4、16张普通用户卡进行授权和发卡，两种方式下，单个操作员授权发卡的周期时长对比结果如表1所示,其中周期时长为多次测试的实验平均值。

表1 多应用卡授权发卡周期时长对比(小时/人)

从表1可见，随着发卡量增大，新型系统可以明显缩短所用时间。由于搭建的新型系统验证平台支持多行业用户、多卡商的并发操作，结合多个行业的授权发卡的情况，实际效率提升将会更加明显。

对于3个行业a、b、c应用的授权发卡成本，结合测试和实际的授权发卡环节，以两种方式发卡的因素成本的高低进行比较，如表2所示。

表2 多应用卡授权发卡的因素成本对比

由于新型系统是基于网络化的计算机软件远程实现，因此，在上述跨行业多应用实现过程中，实际成本的降低效果亦将非常明显。

在安全方面，新型授权发卡系统中的信息都是以安全通道硬件加密的方式传输，对授权中心和行业卡管中心形成保护，非获得授权的行业卡管中心和卡商无法直接接入上级授权中心系统，避免了原有方式卡片运输过程中，由于卡片的遗失和被盗而使密钥和数据存在危险的纰漏。新型系统本身具有完善的人员安全认证、管理控制、运维监控、数据跟踪备份、审计等机制[13]，使安全性进一步加强。在卡信息管理环节，新型系统可以连接各行业卡管中心的管理平台，可以实时地获得卡和持卡人的状态信息，及时地对这些数据进行同步更新和维护，使管理的更加便捷和高效。

6 结 语

给出一种新型授权发卡系统的设计思路，能够改善当前授权机制存在的部分问题，并满足智能卡多应用的跨行业授权和发卡的需求。但是新型系统需要依靠网络实现，为了满足授权和数据更新的即时性，就需要对网络宽带提出严格要求。怎样优化系统结构、降低对带宽的要求，改进系统在大数据时代云平台下的接入方式[14]，进一步提高使用效果将是下一步研究的重点。

[1] 董威.多应用智能卡新技术研究[D].北京:北京邮电大学,2008:24-26.

[2] Sun Microsystems Inc. Java card classic platform specification 3.0.4[EB/OL]. (2012-06-21)[2013-08-01]. http://www.oracle.com/technetwork/cn/testcontent/specs-jsp-136430.html.

[3] Sauveron D. Multiapplication smart card: Towards an open smart card[J]. Information Security Technical Report,2009,14(2):70-78.

[4] 黄振华. 基于SIM卡的身份认证功能的设计与实现[D].广州:华南理工大学,2011:51-53.

[5] Hwang Min-Shiang, Li Li-hua. A new remote user authentication scheme using smart cards[J]. IEEE Transactions on Consumer Electronics, 2000, 46(1): 28-30.

[6] 盛其杰,何小英,宋向阳,等.基于 DPS 的校园一卡通数据发布模式设计[J].中国教育信息化:高教职教, 2010(11):18-20.

[7] 杨小宝.Java卡多应用安全发卡系统的研究[J].计算机安全,2012(4):42-45.

[8] ISO. ISO/IEC7816-4:Identification cards - Integrated circuit cards - Part 4: Organization security and commands for interchange[S/OL].(2013-04-04)[2013-08-15].http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=36134.

[9] 唐业,张申生.单发卡商多应用智能卡访问控制模型[J].计算机工程与应用,2005,41(18):4-6.

[10] 杨寅.一个基于智能卡的密钥管理系统[J].电脑知识与技术,2012,8(6): 1379-1386.

[11] Mammass H, Ghadi F. Implementation of smart card personalization software[J].International Journal of Future Generation Communication and Networking, 2012,5(4):39-54.

[12] 孙含元. 国家商用密码算法护航金融应用更安全[J]. 金融电子化,2010(12):119-120.

[13] 王忠民,史育兰,张荣. 一种移动智能搜索个性化客户端[J].西安邮电大学学报,2013,18(3):71-75.

[14] 闵祥参. 桌面云的接入身份认证方法[J].西安邮电大学学报,2013,18(4):26-28.

[责任编辑:王辉]

A new authentication and issuing system ofmulti-application smart card

YANG Xiaobao, ZHU Zhixiang

(Institute of IOT & IT-based Industrialization, Xi’an University of Posts and Telecommunications, Xi’an 710061, China)

In the current multi-application smart card system, authentication and issuing mechanism have some defects such as complexity of the process, inefficiency, and high cost etc. In order to solve these defects, a new system which can authorize remotely and issue instantly is designed based on the data preparation system. In this system the server can send the task files of keys or combined data to the client in real time and remotely through the keep-alive processes and the virtual private network. Then the personalization system would call the different task file depending on the logical interface of client, translate them into the script files, and finish the work of authorizing and issuing. Tests are carried on a verification platform with the new method and compared with the old one. The results show that the new system can be greatly improved in the efficiency of the issuing authority, operating costs, information management and other aspects.

smart card, multi-application, security access module, virtual private network

2013-09-05

国家科技重大专项基金资助项目(2009ZX03004-003)；西安邮电大学青年教师科研基金资助项目(ZL2013-39)

杨小宝(1978-)，男，硕士，工程师，从事多媒体通信技术与智能卡技术研究。E-mail:y78h11b09@xupt.edu.cn 朱志祥(1959-)，男，博士，教授，博导，从事多媒体通信与信息安全研究。E-mail：zhuzhix369@163.com

10.13682/j.issn.2095-6533.2014.02.013

TP399

A

2095-6533(2014)02-0072-05