智能卡的操作系统——COS

智能卡的操作系统——COS

2003-4-12

随着 Ic卡从简单的同步卡发展到异步卡，从简单的 EPROM卡发展到内带微处理器的智能卡(又称CPU卡)，对IC卡的各种要求越来越高。而卡本身所需要的各种管理工作也越来越复杂，因此就迫切地需要有一种工具来解决这一矛盾，而内部带有微处理器的智能卡的出现，使得这种工具的实现变成了现实。人们利用它内部的微处理器芯片，开发了应用于智能卡内部的各种各样的操作系统，也就是在本节将要论述的COS。 COs的出现不仅大大地改善了智能卡的交互界面，使智能卡的管理变得容易；而且，更为重要的是使智能卡本身向着个人计算机化的方向迈出了一大步，为智能卡的发展开拓了极为广阔的前景。

1 COS概述

COS的全称是Chip Operating System(片内操作系统)，它一般是紧紧围绕着它所服务的智能卡的特点而开发的。由于不可避免地受到了智能卡内微处理器芯片的性能及内存容量的影响，因此，COS在很大程度上不同于我们通常所能见到的微机上的操作系统(例如DOS、UNIX等)。首先，COS是一个专用系统而不是通用系统。即：一种COS一般都只能应用于特定的某种(或者是某些)智能卡，不同卡内的COS一般是不相同的。因为coS一般都是根据某种智能卡的特点及其应用范围而特定设计开发的，尽管它们在所实际完成的功能上可能大部分都遵循着同一个国际标准。其次，与那些常见的微机上的操作系统相比较而言，COS在本质上更加接近于监控程序、而不是一个通常所谓的真正意义上的操作系统，这一点至少在目前看来仍是如此。因为在当前阶段，COS所需要解决的主要还是对外部的命令如何进行处理、响应的问题，这其中一般并不涉及到共享、并发的管理及处理，而且就智能卡在目前的应用情况而

盲，并发和共享的工作也确实是不需要曲。

COS在设计时一般都是紧密结合智能卡内存储器分区的情况，按照国际标准(ISO／IEC7816系列标准)中所规定的一些功能进行设计、开发。但是由于目前智能卡的发展速度很快，而国际标准的制定周期相对比较长一些，因而造成了当前的智能卡国际标准还不太完善的情况，据此，许多厂家又各自都对自己开发的COS作了一些扩充。就目前而言，还没有任何一家公司的CoS产品能形成一种工业标准。因此本章将主要结合现有的(指1994年以前)国际标准，重点讲述CO5的基本原理以及基本功能，在其中适当地列举它们在某些产品中的实现方式作为例子。

COs的主要功能是控制智能卡和外界的信息交换，管理智能卡内的存储器并在卡内部完成各种命令的处理。其中，与外界进行信息交换是coS 最基本的要求。在交换过程中，COS所遵循的信息交换协议目前包括两类：异步字符传输的 T＝0协议以及异步分组传输的T=l协议。这两种信息交换协议的具体内容和实现机制在ISO／IEC7816—3和ISO／

IEC7816—3A3标准中作了规定；而COS所应完成的管理和控制的基中功能则是在ISO／IEC7816—4标准中作出规定的。在该国际标准中，还对智能卡的数据结构以及COS的基本命令集作出了较为详细的说明。至于ISO／IEC7816—1和2，则是对智能卡的物理参数、外形尺寸作了规定，它们与COS的关系不是很密切。

2 COS的体系结构

依赖于上一节中所描述的智能卡的硬件环境，可以设计出各种各样的cos。但是，所有的COS都必须能够解决至少三个问题，即：文件操作、鉴别与核实、安全机制。事实上，鉴别与核实和安全机制都属于智能卡的安全体系的范畴之中，所以，智能卡的coS中最重要的两方面就是文件与安全。但再具体地分析一下，则我们实际上可以把从读写设备(即接口设备IFD)发出命令到卡给出响应的一个完整过程划分为四个阶段，也可以说是四个功能模块：传送管理器(TM)、安全管理器(SM)、

应用管理器(AM)和文件管理器(FM)，如图6．35中所示。其中，传送管理器用于检查信息是否被正确地传送。这一部分主要和智能卡所采用的通信协议有关；安全管理器主要是对所传送的信息进行安全性的检查或处理，防止非法的窃听或侵入；应用管理器则用于判断所接收的命令执行的可能性；文件管理器通过核实命令的操作权限，最终完成对命令的处理。对于一个具体的COS命令而言，这四个阶段并不一定都是必须具备的，有些阶段可以省略，或者是并人另一阶段中；但一般来说，具备这四个阶段的COS是比较常见的。以下我们将按照这四个阶段对COS 进行较为详细的论述。

在这里需要提起注意的是，智能卡中的“文件”概念与我们通常所说的“文件”是有区别的。尽管智能卡中的文件内存储的也是数据单元或记录，但它们都是与智能卡的具体应用直接相关的。一般而言，一个具体的应用必然要对应于智能卡中的一个文件，因此，智能卡中的文件不存在通常所谓的文件共享的情况。而且，这种文件不仅在逻辑广必须是完整的，在物理组织上也都是连续的。此外，智能卡中的文件尽管也可以拥有文件名(FileN8me)，但对文件的标识依靠的是与卡中文件—一对应的文件标识符(F3te ldentifier)，而不是文件名。因为智能卡中的文件名是允许重复的，它在本质上只是文件的一种助记符，并不能完全代表莱个文件。

1．传送管理(Transmission Manaeer)

传送管理主要是依据智能卡所使用的信息传输协议，对由读写设备发出的命令进行接收。同时，把对命令的响应按照传输协汉的格式发送出去。由此可见，这一部分主要和智能卡具体使用的通信协议有关；而且，所采用的通信协议越复杂，这一部分实现起来也就越困难、越复杂。

我们在前面提到过目前智能卡采用的信息传输协议一般是T＝0协议和T ＝1协议，如果说这两类协议的COS在实现功能上有什么不同的话，主要就是在传送管理器的实现上有不同。不过，无论是采用T＝0协议还是

T＝1协议，智能卡在信息交换时使用的都是异步通信模式；而且由于智能卡的数据端口只有一个，此信息交换也只能采用半双工的方式，即在任一时刻，数据端口上最多只能有一方(智能卡或者读写设备)在发送数据。 T＝0、T＝1协议的不同之处在于它们数据传输的单位和格式不一样，T＝0协汉以单字节的字符为基本单位，T＝1协议则以有一定长度的数据块为传输的基本单位。传送管理器在对命令进行接收的同时，也要对命令接收的正确性作出判断。这种判断只是针对在传输过程中可能产生的错误预言的，并不涉及命令的具体内容，因此通常是利用诸如奇偶校验位、校验和等手段来实现。对分组传输协议，则还可以通过判断分组长度的正确与否来实现。当发现命令接收有错后，不同的信息交换协议可能会有不同的处理方法：有的协议是立刻向读写设备报告，并且请求重发原数据；有的则只是简单地在响应命令上作一标记，本身不进行处理，留待它后面的功能模块作出反应。这些都是由交换协议本身所规定的。

如果传送管理器认为对命令的接收是正确的，那么，它一般是只将接收到的命令的信息部分传到下—功能模块，即安全管理器，而滤掉诸如起始位、停止位之类的附加信息。相应地，当传送管理器在向读写设备发送应答的时候，则应该对每个传送单位加上信息交换协议中所规定的各种必要的附属信息。

2．安全体系(—SecvritySCructure)

智能卡的安全体系是智能卡的COs中一个极为重要的部分，它涉及到卡的鉴别与核实方式的选择，包括COS在对卡中文件进行访问时的权限控制机制，还关系列卡中信息的保密机制。可以认为，智能卡之所以能够迅速地发展并且流行起来．其中的一个重要的原因就在于它能够通过COS的安全体系给用户提供—个较高的安全性保证。

安全体系在概念上包括三大部分：安全状态(Security Status)，安全属性(SecurityAttributes)以及安全机制(Security Machanisms)。其中，安全状态是指智能卡在当前所处的一种状态，这种状态是在智能—卡进行