智能卡的操作系统——COS2003-4-12 随着 Ic卡从简单的同步卡发展到异步卡，从简单的 EPROM卡发展到内带微处理器的智能卡(又称CPU卡)，对IC卡的各种要求越来越高。

而卡本身所需要的各种管理工作也越来越复杂，因此就迫切地需要有一种工具来解决这一矛盾，而内部带有微处理器的智能卡的出现，使得这种工具的实现变成了现实。

人们利用它内部的微处理器芯片，开发了应用于智能卡内部的各种各样的操作系统，也就是在本节将要论述的COS。

COs的出现不仅大大地改善了智能卡的交互界面，使智能卡的管理变得容易；而且，更为重要的是使智能卡本身向着个人计算机化的方向迈出了一大步，为智能卡的发展开拓了极为广阔的前景。

1 COS概述COS的全称是Chip Operating System(片内操作系统)，它一般是紧紧围绕着它所服务的智能卡的特点而开发的。

由于不可避免地受到了智能卡内微处理器芯片的性能及内存容量的影响，因此，COS在很大程度上不同于我们通常所能见到的微机上的操作系统(例如DOS、UNIX等)。

首先，COS是一个专用系统而不是通用系统。

即：一种COS一般都只能应用于特定的某种(或者是某些)智能卡，不同卡内的COS一般是不相同的。

因为coS一般都是根据某种智能卡的特点及其应用范围而特定设计开发的，尽管它们在所实际完成的功能上可能大部分都遵循着同一个国际标准。

其次，与那些常见的微机上的操作系统相比较而言，COS在本质上更加接近于监控程序、而不是一个通常所谓的真正意义上的操作系统，这一点至少在目前看来仍是如此。

因为在当前阶段，COS所需要解决的主要还是对外部的命令如何进行处理、响应的问题，这其中一般并不涉及到共享、并发的管理及处理，而且就智能卡在目前的应用情况而盲，并发和共享的工作也确实是不需要曲。

COS在设计时一般都是紧密结合智能卡内存储器分区的情况，按照国际标准(ISO／IEC7816系列标准)中所规定的一些功能进行设计、开发。

但是由于目前智能卡的发展速度很快，而国际标准的制定周期相对比较长一些，因而造成了当前的智能卡国际标准还不太完善的情况，据此，许多厂家又各自都对自己开发的COS作了一些扩充。

就目前而言，还没有任何一家公司的CoS产品能形成一种工业标准。

因此本章将主要结合现有的(指1994年以前)国际标准，重点讲述CO5的基本原理以及基本功能，在其中适当地列举它们在某些产品中的实现方式作为例子。

COs的主要功能是控制智能卡和外界的信息交换，管理智能卡内的存储器并在卡内部完成各种命令的处理。

其中，与外界进行信息交换是coS 最基本的要求。

在交换过程中，COS所遵循的信息交换协议目前包括两类：异步字符传输的 T＝0协议以及异步分组传输的T=l协议。

这两种信息交换协议的具体内容和实现机制在ISO／IEC7816—3和ISO／IEC7816—3A3标准中作了规定；而COS所应完成的管理和控制的基中功能则是在ISO／IEC7816—4标准中作出规定的。

在该国际标准中，还对智能卡的数据结构以及COS的基本命令集作出了较为详细的说明。

至于ISO／IEC7816—1和2，则是对智能卡的物理参数、外形尺寸作了规定，它们与COS的关系不是很密切。

2 COS的体系结构依赖于上一节中所描述的智能卡的硬件环境，可以设计出各种各样的cos。

但是，所有的COS都必须能够解决至少三个问题，即：文件操作、鉴别与核实、安全机制。

事实上，鉴别与核实和安全机制都属于智能卡的安全体系的范畴之中，所以，智能卡的coS中最重要的两方面就是文件与安全。

但再具体地分析一下，则我们实际上可以把从读写设备(即接口设备IFD)发出命令到卡给出响应的一个完整过程划分为四个阶段，也可以说是四个功能模块：传送管理器(TM)、安全管理器(SM)、应用管理器(AM)和文件管理器(FM)，如图6．35中所示。

其中，传送管理器用于检查信息是否被正确地传送。

这一部分主要和智能卡所采用的通信协议有关；安全管理器主要是对所传送的信息进行安全性的检查或处理，防止非法的窃听或侵入；应用管理器则用于判断所接收的命令执行的可能性；文件管理器通过核实命令的操作权限，最终完成对命令的处理。

对于一个具体的COS命令而言，这四个阶段并不一定都是必须具备的，有些阶段可以省略，或者是并人另一阶段中；但一般来说，具备这四个阶段的COS是比较常见的。

以下我们将按照这四个阶段对COS 进行较为详细的论述。

在这里需要提起注意的是，智能卡中的“文件”概念与我们通常所说的“文件”是有区别的。

尽管智能卡中的文件内存储的也是数据单元或记录，但它们都是与智能卡的具体应用直接相关的。

一般而言，一个具体的应用必然要对应于智能卡中的一个文件，因此，智能卡中的文件不存在通常所谓的文件共享的情况。

而且，这种文件不仅在逻辑广必须是完整的，在物理组织上也都是连续的。

此外，智能卡中的文件尽管也可以拥有文件名(FileN8me)，但对文件的标识依靠的是与卡中文件—一对应的文件标识符(F3te ldentifier)，而不是文件名。

因为智能卡中的文件名是允许重复的，它在本质上只是文件的一种助记符，并不能完全代表莱个文件。

1．传送管理(Transmission Manaeer)传送管理主要是依据智能卡所使用的信息传输协议，对由读写设备发出的命令进行接收。

同时，把对命令的响应按照传输协汉的格式发送出去。

由此可见，这一部分主要和智能卡具体使用的通信协议有关；而且，所采用的通信协议越复杂，这一部分实现起来也就越困难、越复杂。

我们在前面提到过目前智能卡采用的信息传输协议一般是T＝0协议和T ＝1协议，如果说这两类协议的COS在实现功能上有什么不同的话，主要就是在传送管理器的实现上有不同。

不过，无论是采用T＝0协议还是T＝1协议，智能卡在信息交换时使用的都是异步通信模式；而且由于智能卡的数据端口只有一个，此信息交换也只能采用半双工的方式，即在任一时刻，数据端口上最多只能有一方(智能卡或者读写设备)在发送数据。

T＝0、T＝1协议的不同之处在于它们数据传输的单位和格式不一样，T＝0协汉以单字节的字符为基本单位，T＝1协议则以有一定长度的数据块为传输的基本单位。

传送管理器在对命令进行接收的同时，也要对命令接收的正确性作出判断。

这种判断只是针对在传输过程中可能产生的错误预言的，并不涉及命令的具体内容，因此通常是利用诸如奇偶校验位、校验和等手段来实现。

对分组传输协议，则还可以通过判断分组长度的正确与否来实现。

当发现命令接收有错后，不同的信息交换协议可能会有不同的处理方法：有的协议是立刻向读写设备报告，并且请求重发原数据；有的则只是简单地在响应命令上作一标记，本身不进行处理，留待它后面的功能模块作出反应。

这些都是由交换协议本身所规定的。

如果传送管理器认为对命令的接收是正确的，那么，它一般是只将接收到的命令的信息部分传到下—功能模块，即安全管理器，而滤掉诸如起始位、停止位之类的附加信息。

相应地，当传送管理器在向读写设备发送应答的时候，则应该对每个传送单位加上信息交换协议中所规定的各种必要的附属信息。

2．安全体系(—SecvritySCructure)智能卡的安全体系是智能卡的COs中一个极为重要的部分，它涉及到卡的鉴别与核实方式的选择，包括COS在对卡中文件进行访问时的权限控制机制，还关系列卡中信息的保密机制。

可以认为，智能卡之所以能够迅速地发展并且流行起来．其中的一个重要的原因就在于它能够通过COS的安全体系给用户提供—个较高的安全性保证。

安全体系在概念上包括三大部分：安全状态(Security Status)，安全属性(SecurityAttributes)以及安全机制(Security Machanisms)。

其中，安全状态是指智能卡在当前所处的一种状态，这种状态是在智能—卡进行完复位应答或者是在它处理完某命令之后得到的。

事实上，我们完全可以认为智能卡在整个的工作过程中始终都是处在这样的、或是那样的一种状态之中，安全状态通常可以利用智能卡在当前已经满足的条件的集合来表示。

安全属性实际上是定义了执行某个命令所需要的一些条件，只有智能卡满足了这些条件，该命令才是可以执行的。

因此，如果将智能卡当前所处的安全状态与某个操作的安全属性相比较，那么根据比较的结果就可以很容易地判断出一个命令在当前状态下是否是允许执行的，从而达到了安全控制的目的。

和安全状态与安全属性相联系的是安全机制。

安全机制可以认为是安全状态实现转移所采用的转移方法和手段，通常包括：通行字鉴别，密码鉴别，数据鉴别及数据加密。

一种安全状态经过上述的这些手段就可以转移到另一种状态，把这种状态与某个安全属性相比较，如果一致的话，就表明能够执行该属性对应的命令，这就是COS安全体系的基本工作原理。

从上面对coS安全体系的工作原理的叙述中，我们可以看到，相对于安全属性和安全状态而言，安全机制的实现是安全体系中极力重要的一个方面。

没有安全机制，COS就无法进行任何操作。

而从上面对安全机制的介绍中，我们可以看到，COS的安全机制所实现的就是如下三个功能：鉴别与核实，数据加密与解密，文件访问的安全控制。

因此，我们将在下面对它们分别进行介绍。

其中，关于文件访问的安全控制，由于它与文件管理器的联系十分紧密,因此我们把它放到文件系统中加以讨论。

(1)鉴别与核实：鉴别与核实其实是两个不同的概念，但是由于它们二者在所实现的功能上十分地相似，所以我们同时对它们进行讨论，这样也有利于在比较中掌握这两个概念。

通常所谓的鉴别(Authentication)指的是对智能卡(或者是读写设备)的合法性的验证，即是如何判定一张智能卡(或读写设备)不是伪造的卡(或读写设备)的问题；而核实(verify)是指对智能卡的持有者的合法性的验证，也就是如何判定一个持卡人是经过了合法的授权的问题。

由此可见，二者实质都是对合法性的一种验证，就其所完成的功能而言是十分类似的。

但是，在具体的实现方式上，由于二者所要验证的对象的不同，所采用的手段也就不尽相同了。

具体而言，在实现原理上，核实是通过由用户向智能卡出示仅有他本人才知道的通行字，并由智能卡对该通行宇的正确性进行判断来达到验证的目的的。

在通行字的传送过程中，有时为了保证不被人窃听r还可以对要传送的信息进行加密／解密运算，这一过程通常也称为通行字鉴别。

鉴别则是通过智能卡和读写设备双方同时对任意一个相同的随机数进行某种相同的加密运算(目前常用 DES算法)，然后判断双方运算结果的一致性来达到验证的日的的。

根据所鉴别的对象的不同，COS又把鉴别分为内部鉴别(Interna1 uthentication)和外部鉴别(External Authentication)两类。