国产COS的现状与展望.docx

国产cos的现状与展望 随着智能卡技术的发展，智能卡得到越来越广泛的应用，目前国内 主耍应用领域有： 移动通信：主耍应用是SIM卡，随着与金融和INTERNET应用的 结合，SIM卡使手 机变成一个交易工具并将INTERNET服务放入用 户口袋中” O 金融/银行业：基本应用有电子钱包和电子存折.这两个基本 应用是中国人民银 行智能卡标准规定的，对于小额支付或通讯条件 较差的情况下特別有效。 社保/医疗卡：主要用于记录被保险人的个人基本情况，保险 费支付情况，以及就医信息。 公交卡：主耍应用于公共汽车，地铁等的电子车票。 加油卡：典型的应用是电子油票，中国石化总公司(SINOPEC) 已为此专门制定了相关的标准如加油卡卡片标准，加油卡应用标 准以及加油终端机标准。 证件卡：主耍用于身份识别，往往和安全控制结合在一起。 具有一定社会应用规模的计量仪器如水表，电表等。 针对以上几个方而的应用，国内一些智能卡操作系统厂家已成 功开发出符合PBOC标准且拥有自主版权的COS.笔者在此就目 前国产COS的技术现状和发展趋势发表一些个人看法，请业界同 行指正. 1.国产COS的现状： 大多数国产cos厂家起步较晚，开发的力量还主耍集中在开发 符合PBOC标准的 银行卡上.PBOC标准是基于EMV规范制定而成的, 国外厂家诸如GEMPLUS, Schlumberger和GD等的COS早已符合EMV 和ISO的标准，所以这些厂家能够较顺利 地于99年通过PBOC测试. 到目前位为止，已有10多家国内外C0S厂家通过了 PBOC测试， 除5家国外厂家外，其余的都是国内COS厂家（从这一点来看，人 行标准的制 定和检测中心的成立对中国国产COS的发展起了很大的 推动作用）o 1）当前国产COS开发状况: 智能卡内的COS是智能卡的核心，但智能卡所选用的芯片在很 大程度上决定了智能卡的安全特性和卡片的价格.目前国产cos 所选用的芯片主要有:Infineon, ST, HITACHI, SAMSUNG, Philips, 明华、大唐电信、华虹等。这些芯片价格不同，功能上也有很大 差另U，功能强大的芯片可能会支持内置随机数产生器、CRC校验模 块、DES和EC2加速模块等。有些芯片还支持对用户数据 区（EEPROM） 的数据加密，更增加了智能卡的安全性。 智能卡所选用的芯片往往也决定了开发工具，选用某一厂家的 芯片，开发吋一般就会使用该厂家提供的仿真器。例如，选用 Infineon的SLE66CxxS系列的芯片，就 要使用IIitex/SET66仿真 器。现在使用的仿真器-?般功能都很强，可以很方便地 装载COS,并 且可以捕捉特定的事件，分析某段程序的吋序。另外，在COS开发过 程中，也可使用卡片仿真器，卡片仿真器从物理特性上讲，更接近 真正的卡片，在掩模新的COS之前，一般都会先用卡片仿真器做 系统的测试。 开发所用的编程语言主要有汇编语言，C或类C语言，以及JAVA 语言。一般 来讲，对时序要求较高的模块是用汇编语言实现的，如 输入输出模块、EEPROM读写模块。与应用有关的模块往往使用C 语言或JAVA语言实现的，如PBOC应用规范里的所有命 令都可用C 语言实现，便于以后的程序维护。 2）当前国产COS开发存在的问题: 由于国内智能卡操作系统厂家大多起步较晩，与国外有经验的同 行和比，国产cos在下面儿个方面存在不足，或者着说没有给予足 够重视。 对于一张实用的智能卡來讲，除符合PBOC标准 规定的应用数 据独立、密钥独立、数据在传输中完整可靠外，还应注意以下 儿点： 为保护EEPROM内的敏感数据如密钥、PIN码、钱包余额等，这 些数据应有额外保护措施，最简单的办法就是加一个校验和，每次使 用这些数据Z前，都应重新计算其校验和，以检查数据是否被非法修 改。若数据被非法修改，应 根据数据的安全级别，采取相应的措施: 或清除EEPROM数据；或使卡片失效（类似执行了 CARD BLOCK） o 严格定义智能卡的生命周期，在不同的生命周期中，卡片应有不 同的行为和命令集。例如，一张智能卡可能存在硬掩模期、个人化期、 使用期、报废期等四个工命周期。在硬掩模期，可以允许某些命令直 接读取EEPROM,但对 其它生命 周期，这些命令是绝对禁止的。 DES是智能卡常用算法，但是不同的DES算法实现，对卡片安全 有不同的影 响。好的DES算法实现应能防止SPA和DPA的攻击。同 时还应注意保护运算的中间结果（如调用该算法函数后,应清除RAM 区）。 人行标准规定DES和RSA都是合法的算法。在选择算法时，应注 意系统的安全级别。RSA虽在PKI领域或INTERNET应用中很流行， 但对于银行专用POS交易系统來讲，DES/3DES还是目前最好的选择。