CPU卡的设定与读写操作a.ppt

1) 应用顺序流程控制 应用顺序流程控制定义了某一应用的顺序流程，即状态机。例如，有一个较简单的应用分四步执行，同时该应用具有三个状态。启动该应用需满足条件1，然后进入状态1，执行相应操作；若在状态1下的操作满足了条件2，则进入状态2并执行相应操作；若在状态2下的操作满足了条件3，则进入状态3并执行相应操作。那么，此应用的流程如图4.12所示。 可见，所谓应用顺序流程控制，就是定义了某一应用的具体执行过程及相应条件。一旦确定了应用流程，某一应用就必须而且只能按其要求执行，如在上图中不可以从状态1直接跳跃到状态3去执行某一操作。 图4.12 应用流程图 2) 命令执行权限 进一步提高应用的安全性，在应用顺序流程中还定义了在某一应用的不同状态下对命令的执行权限。如一数据文件，在该文件建立时定义了其存取特性(如可读写但不能删除)，通过在该应用的顺序流程中定义读、写命令还可以进一步限制对该文件的存取。扩展上面的例子，假设在该应用中有一数据文件存储有重要数据，该文件的属性定义为可读写，但根据应用需求，读写操作只能在状态3执行，状态2只能进行读操作，这就可以通过禁止在状态2执行写命令而允许读命令，在状态3同时允许执行读、写命令的方法实现，如图4.13所示。 至此，从应用顺序控制的角度可以认为，在建立某一文件时定义的属性为该文件的静态属性，而结合具体应用定义的命令执行权限则为该文件的动态属性。由此可见，利用这种机制对数据文件的存取限期安全又灵活 图4.13 命令权限限制示意图 4．安全控制管理功能 安全控制管理就是对CPU卡中的静态、动态数据进行安全控制及管理。它可以具体分为两种功能：一是安全传输控制，即对传输数据的安全保护；二是对内部静态安全数据(如加密密钥、各种认证授权操作等)的控制管理。 1) 安全传输控制 为防止有关信息(命令、数据)在IFD和ICC之间的传输过程中被恶意截取、篡改，提高动态传输信息的安全性和可靠性，在CPU卡的操作系统中提供了安全传输控制机制。其主要原理为：或者通过将传输的信息加密，使非法截取的信息无实际应用意义；或者将待传输的信息(或部分信息)进行加密，并将该加密信息附加在传输的明文之后再进行传输，使恶意篡改信息变为不可能；再就是将以上两种方法共同使用，既可防止对传输信息的非法截取，又可防止对传输信息的非法篡改。 在CPU卡的操作系统中，一般具有四种信息传输方式：明文传输方式(Plaintext Transmit Mode)、认证传输方式(Authentic Transmit Mode)、加密传输方式(Encipher Transmit Mode)和混合传输方式(Mixed Transmit Mode)。 其中，明文传输方式对传输的信息不作任何处理，其他三种信息传输方式则分别实现三种安全控制传输机制。这三种传输方式的具体工作原理将在下一节中结合密码技术详细介绍。 在具体应用中，设计人员可以根据不同的应用对安全性的特殊要求灵活采用不同的信息传输方式。因为并非所有的信息都需要安全传输(将增加时间和空间开销)，所以大多数的CPU卡操作系统均可对每一次传输设定一种传输方式。例如，可以一次传输采用认证传输方式，而下一次采用明文传输方式，再下一次则采用混合传输方式，十分灵活。 2) 内部安全控制管理 内部安全控制管理的功能主要有两个：一是对数据及功能(如某一命令)的存取执行权限控制；二是对内部静态保密数据(如加密密钥等)的安全管理。 (1) 对数据及功能的存取执行权限控制。以IC卡为中心，在卡的应用中主要存在两种认证授权过程：IC卡持卡人认证和IC卡与终端机认证。IC卡验证持卡人身份的合法性这一过程通过个人识别号(PIN)来完成；而IC卡和应用终端之间的认证则通过相应的认证过程来完成。 IC卡应用中存在的两种认证授权过程如下： ① 个人识别号(PIN，Personal Identification Number)：PIN是IC卡中的保密数据。PIN的主要用途是保证只有合法持卡人才能使用该卡或该卡中的某一项或几项功能，以防止拾到该卡的人恶意使用或非法伪造。卡应用发行部门将每一张IC卡均初始化为一个PIN并将它经安全渠道分发给相应持卡人。使用时首先要求持卡人输入PIN，若输入的PIN和该卡中存储的PIN相同则证明此持卡人合法，可以使用该卡。 一般较简单的IC卡中只有一个PIN，在较复杂的卡(如CPU卡)中可以存在几个PIN