运营商发展国密UIM卡技术探讨.docVIP

运营商发展国密UIM卡技术探讨 【摘 要】阐述了运营商发展国密UIM卡产品的必要性，介绍了国密 卡产品的实现方法，对不同的实现方式进行了对比，并结合目前的产品推 广现状提出了实现方案建议。 【关键词】国密运营商移动支付UIM蓝牙 doi : 10. 3969/j. issn. 1006-1010. 2017. 02.015 中图分 类号： TN918. 91 文献标志码：A 文章编号：1006-1010 (2017) 02-0074-05 引用格式：郭建昌，姜奎.运营商发展国密UIM卡技术探讨[J].移 动通信，2017, 41 (2)： 74-78. 1引言 一场始于美国东部的大规模互联网瘫痪于2016年21日席卷全美，美 国公共服务、社交平台、民众网络服务器等遭到空前网络攻击，半个国家 的网络几乎陷入瘫痪。本次网络瘫痪不仅规模惊人，而且对民众生活产生 了严重影响，带来的损失超过数千万美元。近期类似的信息安全事件引发 了大众的广泛关注，随着科技的发展和社会的进步，各行各业对于信息安 全的需求越来越紧迫，信息安全己成为国家的重点战略。 智能卡作为接入运营商网络的鉴权工具以及承载各种应用、数据的安 全载体，已经成为信息安全技术发展的重要组成部分，在智能卡领域保障 信息安全的关键技术就是采用各种密码算法对数据进行加密存储及运算。 一直以来，我国长期沿用国际通用的密码算法(如DES、3DES、RSA、SHA-1 等）体系及相关标准，近年来国家密码管理局先后发布了一系列由我国自 主研发的国产商用密码算法（包括SM2、SM3、SM4等）体系及相关标准， 并在相关领域进行试点推广。 近日，全国信息安全标准化技术委员会发布了 24项与信息安全相关 的国家标准，其屮《信息安全技术具有中央处理器的IC卡嵌入式软件安 全技术要求》［1］、《信息安全技术具有中央处理器的IC卡芯片安全技术 要求》［2］、《信息安全技术SM2椭圆曲线公钥密码算法》［3］、《信息安全 技术SM3密码杂凑算法》［4］、《信息安全技术SM4分组密码算法》［5］等 多项标准与智能卡行业有密切关联。 随着“互联网+”战略的逐步落地，各行各业Z间的融合也日益加深, 目前运营商均在推动利用手机终端和UIM卡在移动支付领域的发展，包括 金融支付类、身份识别类、门禁考勤类、公交一卡通类、医疗卫生类、社 保健康卡、EID等，这与国密算法的应用领域不谋而合。运营商基于现有 U1M卡产品实现国密算法，既减少对国际算法的依赖性，抵御现冇的国际 算法攻击风险，可提供更加安全可靠的产品，又符合国家针对信息安全相 关政策的要求，提高行业自主可控能力，更加有利于占领市场先机。 本文介绍了运营商实现国密UIM卡产品的实现方法，对不同的实现方 式进行了对比验证，并结合目前的产品推广现状提出了实现方案建议。 2原理 ?\营商现有移动支付UIM卡是一种复合型电信智能卡。卡片以UICC 多应用平台为基础进行构建，引入了 Java Card虚拟机（JCVM） ［6］、Java Card 运行时环境(JCRE) [7]、Global Platform 运行环境(OPEN) [8 非接触框架（Contactless Framework）等多类应用的运行环境，从而实 现了多个维度的“一卡多应用”。具体来说，运营商现有移动支付UIM卡 可以在一张UICC ±同时支持接触式应用、非接触应用、电信应用（NAA, 如UIM、USIM）、非电信应用（如安全域、金融支付类应用、身份识别类应 用、门禁考勤类应用、公交一卡通类应用、医疗卫生类应用、社保健康卡 应用等），实现多类应用并存的业务需求，所有应用均采用Java Applet 方式实现，是一种可以应用于跨领域业务的电信智能卡。 运营商现有移动支付UIM卡架构如图1所示，主要由底层架构和应用 层组成，其中底层架构主要由四部分组成： （1）硬件层:UIM卡用于同外部设备进行通信的物理接口，包括IS07816 接口 [9]、SWP接口 [10]、蓝牙接口等。 （2） COS层：提供内存和文件等基础管理，实现虚拟机和安全机制， 实现底层传输协议及命令分发、APDU指令处理，并实现多个应用间防火墙 等，为上层提供基础的逻辑处理机制。 （3） 应用基础能力层：负责为UIM卡应用层的各种卡应用程序提供 在卡内容下载、安装、删除的管理和存储等服务，并实现用户卡与外部设 备通信的指令报文，以及包含鉴权和加密机制的安全信道会话机制。实现 GP应用管理、空间管理、生命周期管理，为UIM卡提供了与终端进行交互 的应用工具箱能力（包括Setup Menu （菜单显示）、Display （信息显示）、 Get Input （信息输入）、Send Short Message （发送短信）、Set Up Ca