动态多应用加载技术研究及转化应用

马捷

摘要：研究基于金融应用安全芯片的多应用多证书动态加载技术，可为支付用户提供行业多应用管理、证书动态加载，实现在跨行业跨平台的网络支付或卡支付等不同支付方式中使用单一载体进行认证与支付。基于上述研究内容，本文主要研究可动态下载多应用多证书关键技术，研究该技术的基本应用需求、总体技术方案以及应用方案，与应用适配的技术规范等。

一、技术应用研究

（一）基本应用需求研究

“一卡多应用”已经成为一种必然的趋势，智能IC卡管理机制必须要考虑到不同商业合作伙伴之间平等独立及资源共享的要求，由于智能IC卡不仅仅是应用和服务的载体，更是业务拓展的渠道，因此卡管理机制可以通过加载不同应用服务商的数字证书来证明应用服务商的权利。

基于上述需求而提出了可动态下载多应用多证书技术，该技术主要面向需在一张智能IC卡上动态下载多种应用及证书的业务需求，如行业内不同服务应用、跨行业服务与应用、政府推进的公共服务等。根据可动态下载多应用多证书技术应用特点，基本应用需求主要为：

（1）多应用多证书卡支持多应用多证书动态下载，可多应用识别;

（2）具有主发卡机构标识，以保证发卡机构可溯源;

（3）具备安全保障体系，多应用多证书卡应用安全隔离可靠;应用动态处理时，不能删除本机构外的应用;

（4）数字证书符合多应用多证书应用要求，适应不同CA机构发放证书需要;

（5）要实现以数字证书为安全保障的业务应用。

（二）技术应用总体框架研究

多应用多证书动态加载技术应用总体框架由多应用多证书卡、行业应用系统、综合服务系统（公共服务系统）、CA系统等组成。方案如图1所示。

（1）多应用多证书卡，可支持动态地下载多应用和多证书，且每个应用证书唯一绑定卡片上的应用，实现以数字证书为安全保障的业务应用场景。

（2）行业应用系统，行业内不同应用或跨行业应用时某行业的可动态下载多应用多证书系统，其中应用系统负责通过读卡器为多应用多证书卡下载指定的行业应用及证书，同时负责通过POS或移动支付终端等业务终端为行业应用提供业务服务。

注：移动支付终端为项目的一项研发成果，支持可动态下载多应用多证书。

（3）综合服务系统，可向多应用多证书卡提供多种应用及证书动态下载的业务服务系统，如政府主导建设的公共服务系统。综合服务系统通过综合服务动态加载服务系统，为多应用多证书卡提供下载多个行业应用、证书的服务。

综合应用系统与不同的行业应用系统间的连接，以及综合应用系统通过业务终端进行业务处理的业务处理系统，属于本方案外部系统。

（4）CA系统负责通过行业应用系统和综合服务系统（公共服务系统）提供证书服务。

（三）多应用多证书卡证书种类

多应用多证书卡使用三类证书构建安全体系。一是卡片证书，二是机构证书，三是应用证书。多应用多证书卡使用的证书种类及用途如表1所示。

（四） 多应用多证书卡片应用框架与功能要求

多应用多证书卡主要包括通用的智能IC卡，以及具有某些特殊功能的智能IC卡如大容量可视智能卡。多应用多证书卡片由安全芯片及基于安全芯片的中间件技术组成，框架参见图2-2。

（1）安全芯片

安全芯片同时集成主控芯片与密码运算功能，既要负责控制其他外围模块，又要负责在该安全芯片上的应用的安全，具有高集成、高安全特性。安全芯片采用基于安全芯片存储器介质的信息安全机制技术，来保障芯片安全性。终端应用通过应用编程接口来访问安全芯片，并只能通过该接口来使用安全芯片存储的密钥，无法获取私钥。

（2）基于安全芯片的中间件

基于安全芯片的中间件实现了卡片的多应用多证书动态加载的功能，包括硬件抽象层（HAL层）、通讯模型、存储模型、内核、应用管理器、应用编程接口等组成。

1）硬件抽象层（HAL层）：是为卡片安全芯片提供的接口，为中间件提供虚拟硬件平台。

2）通讯模型：封装了与外部通信的接口（通讯模型包含与卡片的通信和与服务器的通信等）。

3）存储模型：该部分封装了数据文件处理，增加对密钥文件和证书文件的存储处理。尤其对于密钥文件的访问控制，密钥存在不可读存储区。

4）内核：处理应用管理（含应用下载、存储和運行）、处理指令分发等功能。

5）应用管理器：负责应用的管理，该模块负责应用的下载、存储和运行。

6）应用编程接口：该部分增加PKI接口以支持生成公私钥对、签名验签、加密解密等功能，供开发人员开发终端应用。

（3）终端应用

终端应用是在中间件的基础上调用应用编程接口的软件程序。不同的终端应用有不同的用户交互界面、交易流程处理、与支付系统交互的接口和与卡片交互的接口。

（4）多应用多证书卡功能要求研究

多应用多证书的智能IC卡主要提供的功能要求设计参见表2。

（五）技术应用的关键技术及相关规范

技术应用基于国产安全芯片提出，涉及安全芯片、智能IC卡、多应用多证书等，方案应用的关键技术为：基于安全芯片的中间件技术。

此外为适应多应用卡装载数字证书的需要，本文提出了“多应用卡数字证书模板规范”。

二、关键技术研究

（一）概述

关键技术为：基于安全芯片的中间件技术。该技术主要应用于多应用多证书卡下载应用和证书，使得多应用多证书卡可以按需加载不同应用和证书，并实现相应管理。

其中，卡片证书的公私钥由卡内产生，保证多应用多证书卡的物理可信性;机构证书由机构产生，并导入卡片中。

该技术关键点主要包括：应用和证书的认证绑定技术、应用动态装载技术、数据安全隔离技术。

（二）基本实现方法

A.多应用多证书卡下载卡片证书的流程

（1）空白卡在可信环境中，通过读卡器连接发卡机构的业务系统;

（2）卡内安全芯片生成公私钥对，将公钥上传至业务系统;

（3）业务系统向CA机构申请卡片证书，成功后使用“数据安全隔离技术”将卡片证书写入卡内。

B.多应用多证书卡下载机构证书的流程

（1）在可信环境中，通过读卡器连接到行业机构的业务系统;

（2）业务系统通过卡片签名对卡片进行认证;

（3）认证成功后，使用“数据安全隔离技术”将机构证书写入卡内。

C.多应用多证书卡下载应用的流程

（1）在可信环境中，通过读卡器连接到行业机构的业务系统;

（2）业务系统使用机构私钥对应用数据包进行签名，卡片接收到数据后进行验签;

（3）验签成功后，使用“应用动态装载技术”、“数据安全隔离技术”完成应用的装载、注册和安全隔离。

D.多应用多证书卡下载应用证书的流程

（1）在可信环境中，通过读卡器连接到业务系统;

（2）卡内安全芯片生成公私钥对，将公钥上传至业务系统;

（3）业务系统向CA机构申请应用证书，成功后使用“数据安全隔离技术”将应用证书写入卡内，并使用“应用和证书的认证绑定技术”将应用和证书进行绑定。

（三）关键机制

A.应用和证书的认证绑定技术

（1）每张卡片上有唯一的卡片证书，用于标示持卡人身份的唯一性;

（2）每个机构在卡上对应有唯一的机构证书，用于标识机构发行应用的合法性;

（3）每个应用都对应一个唯一的应用证书，用于标示应用身份的合法性，以及用于交易中的合法性和不可否認性;

（4）采用标识方式映射到应用证书，实现应用和证书的绑定;中间件负责实现证书的存储管理和卡片上的签名验签。

B.应用动态装载技术

（1）采用非易失性存储器页管理算法，实现卡片存储空间的动态管理，可以按需分配应用数据空间。

（2）采用存储碎片管理算法，实现应用数据的整理、清除和回收，从而实现应用的动态装载和卸载。

C.数据安全隔离技术

中间件通过内置的虚拟机，通过将应用的存储空间地址映射在不同的物理地址的方式，实现应用的安全隔离。具体为：

（1）通过把不同应用的运行内存，映射在不同的RAM空间，防止应用数据溢出干扰其他应用的数据空间;

（2）通过把不同应用的存储空间，映射在不同非易失性存储器，完成应用交易敏感数据和密钥数据的隔离，防止应用恶意代码窃取其他应用的数据。

三、应用方案

城市通卡应用基本方案如图2所示。

主要为：

（1）采用基于安全芯片的多应用多证书卡;

（2）发卡机构写入卡上主应用及证书并激活后，该卡可以使用;其他应用及证书，可由相关城市通卡应用部门写入;

（3）遵循《可动态下载多应用多证书关键技术应用方案》中提出的数字证书模版，以保障多应用可用性;

（4）应用可互识别，除写入机构外，其他机构不能处理写入机构的应用。

四、创新性与安全性

本文的创新性与安全性主要为：使用的中间件技术，适用于小型嵌入式系统的字节码体系，具有跨平台、多应用、空间动态管理的特点，系统资源占有量小;该技术实现了基于国密证书的应用安全隔离，可支撑多应用多证书应用场景。

本文中，进一步应用了方案所研究的基于安全芯片的中间件技术，通过应用和证书的认证绑定、应用动态装载、数据安全隔离等，进一步保障了多应用多证书卡的安全性。

五、总结

本文主要描述了可动态下载多应用多证书关键技术以及技术应用方案。同时，提出了“多应用卡数字证书模板规范”，该规范可用于CA机构面对多应用多证书应用需求时数字证书的发放。

参考文献：

[1]周航慈  《基于嵌入式实时操作系统的程序设计技术》  北京航空航天大学出版社 2011.1  ISBN： 9787512402508

[2]金融系统电子商务联络与研究小组 《电子商务 安全认证与网上支付》 人民出版社 2000.4  ISBN：9787010031750

[3]刘英卓 《电子商务安全与网上支付》 电子工业出版社 2010.7 ISBN：9787121112331

[4]帅青红 《网上支付与安全》 北京大学出版社 2010.4  ISBN：9787301170441