射頻優(yōu)卡多芯片操作系統(tǒng)隔離與安全通信方法研究.pdf

1、智能卡作為個(gè)人數(shù)據(jù)載體已廣泛應(yīng)用于生產(chǎn)生活中的各個(gè)領(lǐng)域。隨著應(yīng)用的普及，智能卡發(fā)行數(shù)量劇增，導(dǎo)致單個(gè)用戶卡攜帶不便和卡資源管理的復(fù)雜。同時(shí)，智能卡的多次重復(fù)發(fā)行，且用戶手中大部分智能卡大部分時(shí)間處于非工作狀態(tài)，導(dǎo)致卡軟硬件資源的重復(fù)配置與閑置浪費(fèi)。由于現(xiàn)行多應(yīng)用智能卡只支持單個(gè)芯片操作系統(tǒng)（Chip Operating System，簡(jiǎn)稱COS），不同COS所支持的卡應(yīng)用程序間存在不兼容性，故多應(yīng)用智能卡未能有效解決傳統(tǒng)智能卡的便攜性和

2、資源閑置浪費(fèi)問(wèn)題。
　　 射頻優(yōu)卡的出現(xiàn)為上述問(wèn)題的解決提供一個(gè)很好的技術(shù)思路。射頻優(yōu)卡在體系結(jié)構(gòu)上集成相互獨(dú)立的現(xiàn)行多個(gè)COS及應(yīng)用；在通信接口上采用射頻實(shí)現(xiàn)非接觸通信。
　　 這些特點(diǎn)使得射頻優(yōu)卡在有效解決日益嚴(yán)峻的多卡攜帶問(wèn)題，優(yōu)化卡資源利用的同時(shí)，提供卡應(yīng)用的快速自動(dòng)處理。但同時(shí)，射頻優(yōu)卡的多操作系統(tǒng)架構(gòu)及無(wú)線信道通信，引發(fā)了兩大關(guān)鍵安全問(wèn)題：卡內(nèi)的多COS 安全隔離與卡外的射頻通信安全。
　　 基于射頻

3、優(yōu)卡體系結(jié)構(gòu)特點(diǎn)，分析其生命周期中涉及的各種安全角色，建立多級(jí)安全依賴關(guān)系。根據(jù)每次用卡中的狀態(tài)轉(zhuǎn)移路徑，建立運(yùn)行時(shí)k-COS和k-block（存儲(chǔ)塊）的有限狀態(tài)機(jī)模型。采用計(jì)算樹邏輯語(yǔ)言對(duì)運(yùn)行時(shí)安全屬性進(jìn)行形式化定義；
　　 使用基于有序二元決策圖的符號(hào)模型驗(yàn)證規(guī)范語(yǔ)言對(duì)有限狀態(tài)機(jī)模型進(jìn)行系統(tǒng)說(shuō)明；運(yùn)行符號(hào)模型驗(yàn)證器檢驗(yàn)安全模型對(duì)于安全屬性的滿足性。驗(yàn)證結(jié)果表明，多COS 射頻優(yōu)卡運(yùn)行時(shí)有限狀態(tài)機(jī)模型滿足運(yùn)行時(shí)三大安全屬性，并

4、表明符號(hào)模型驗(yàn)證對(duì)于COS數(shù)量小于10的射頻優(yōu)卡運(yùn)行時(shí)安全模型是一種可行的形式化驗(yàn)證方法。
　　 基于可編程動(dòng)態(tài)地址總線的隔離機(jī)制通過(guò)對(duì)主CPU部分地址總線進(jìn)行控制來(lái)限制運(yùn)行COS的存儲(chǔ)訪問(wèn)。由于地址映射控制參數(shù)可能遭受非法篡改，該機(jī)制可能出現(xiàn)運(yùn)行時(shí)的非法數(shù)據(jù)訪問(wèn)。從現(xiàn)實(shí)生活中會(huì)議的組織模式得到啟發(fā)，提出一種基于席位約束會(huì)議模型的隔離機(jī)制，該機(jī)制在射頻優(yōu)卡的硬件層增加一個(gè)類似于會(huì)議中主席臺(tái)的專用主席臺(tái)存儲(chǔ)器來(lái)存儲(chǔ)運(yùn)行COS所需的

5、代碼與數(shù)據(jù)。與可編程動(dòng)態(tài)地址總線隔離機(jī)制不同，會(huì)議模型隔離機(jī)制不需對(duì)主CPU的地址總線做任何限制，而由主席臺(tái)存儲(chǔ)器提供一個(gè)隔離域來(lái)限制運(yùn)行COS的存儲(chǔ)訪問(wèn)。由于主席臺(tái)存儲(chǔ)器的易失性，且與其它存儲(chǔ)器在物理上是隔離的，從而保證運(yùn)行COS與其它COS的完全隔離。功能仿真表明，會(huì)議模型隔離機(jī)制能夠提供很好的運(yùn)行時(shí)安全隔離環(huán)境。
　　 射頻優(yōu)卡系統(tǒng)由于射頻信道的開放性，在鏈路層上存在多卡沖突問(wèn)題。基于對(duì)單讀寫器系統(tǒng)卡輸入過(guò)程、服務(wù)時(shí)間分布

6、和服務(wù)規(guī)則的分析，建立多卡識(shí)別過(guò)程的排隊(duì)模型，對(duì)系統(tǒng)達(dá)到統(tǒng)計(jì)平衡狀態(tài)下讀寫器識(shí)別范圍內(nèi)卡的概率分布、平均卡數(shù)及卡的平均逗留時(shí)間進(jìn)行數(shù)學(xué)分析。借鑒已有算法中的幀長(zhǎng)及卡應(yīng)答概率調(diào)整策略，設(shè)計(jì)一種雙邊同步動(dòng)態(tài)調(diào)整SDA（Synchronous Dynamic Adjusting）算法。SDA 根據(jù)上一輪閱讀循環(huán)的沖突狀況，在讀寫器和射頻優(yōu)卡雙邊分別調(diào)整幀長(zhǎng)和應(yīng)答概率。
　　 軟件仿真表明，當(dāng)服務(wù)卡數(shù)大于100時(shí)，若卡平均到達(dá)率在0.5

7、與2之間變化，卡初始應(yīng)答概率為0.875 或1.0時(shí)，SDA算法將達(dá)到最優(yōu)識(shí)別率。在相同的仿真條件下，SDA總的服務(wù)時(shí)間、卡的平均逗留時(shí)間和識(shí)別率均優(yōu)于兩種典型的射頻識(shí)別系統(tǒng)多標(biāo)簽沖突解決算法。
　　 射頻優(yōu)卡系統(tǒng)由于信道的開放性和非對(duì)稱性，在實(shí)際應(yīng)用環(huán)境中會(huì)受到各種可能的攻擊?；趯?duì)攻擊的分析，提出射頻優(yōu)卡系統(tǒng)應(yīng)用層的安全需求；基于讀寫器角色分配與授權(quán)，設(shè)計(jì)一種雙向認(rèn)證保護(hù)協(xié)議。協(xié)議采用動(dòng)態(tài)身份更新機(jī)制防止重發(fā)攻擊和位置跟蹤；