基于GP安全架构的应用管理模式研究

中国联通研究院 北京 100032

1 UICC与多应用卡

智能卡作为移动通信系统中的典型设备，其发展经历过一个比较漫长的过程。最初的2G SIM卡只需满足网络接入鉴权要求，是仅具备SIM单应用的智能卡。其后随着智能卡业务的发展和技术演进，智能卡应用场景和领域已经突破单一行业限制，不断扩展到其它行业其它类型的应用。近年来逐渐推广和普及的NFC卡、M2M卡等都是在电信卡基础上衍生的满足跨行业跨领域需求的智能卡类型。在这类新型业务卡当中，除移动网络鉴权功能之外，智能卡还需同时提供金融支付、身份认证、数据采集和配置等功能，即在同一智能卡平台之上承载多个不同功能的应用，多应用卡UICC的必要性大大增加[1]。

UICC(通用集成电路)是通用的智能卡平台，在提供统一的硬件平台和基本系统能力的基础之上，支持多个应用以安全的方式同时并存[2]。UICC是在3G时代提出的概念，3G移动网络鉴权应用USIM(Universal Subscriber Identity Module，通用用户识别模块)就是可以驻留在UICC上的应用之一，UICC平台上可驻留多个USIM应用或其它类型的应用。USIM虽然基于UICC实现，不过在相当长时间内，除了单一的USIM等鉴权应用，并无其它应用并存，UICC可以承载多应用的特点并没有充分发挥[3]。直到NFC(近场通信，Near Field Communication)卡出现后，由于NFC卡是电信卡与金融卡、公交卡、校企一卡通等其它行业的卡和应用的结合，因此，真正意义上实现了基于UICC平台的多应用卡。

NFC卡逐渐普及后，不同的应用类型和数量不断增多，应用的开发和分发方式也更加多样。除传统的预置外，后发行应用管理也成为主要方式之一。UICC卡后发行应用管理是指在UICC卡发行后，通过管理系统实现动态的应用加载、安装、更新等功能的管理方式。在UICC中，卡所有者和其他应用提供者各自的应用在UICC上并存，通用性安全性等问题都非常重要，在动态应用管理过程中的应用提供、分发、传输、部署等各环节的关系和流程都需考虑，国际标准中为规定卡的多应用管理要求制定了GP(Global Platform)规范。

2 GP安全架构

图1 GP可信安全架构

Global Platform是由运营商、卡商、终端商、卡组织等机构成员共同组成的国际标准组织，目的是建立跨越不同行业不同领域的安全芯片可信环境，使归属不同所有者的多个应用可以在通用平台上安全地部署和管理。GP制定发布了包括卡、设备和系统等各方面要求的系列技术规范。GP规范定义了统一的安全基础架构，各功能模块形成一定的相互支配和管理的关系，共同组成可靠互信的应用并存安全体系[4-5]。这为同一用户设备向不同行业的服务提供者在保障安全性的前提下充分开放，实现市场融合和创新的跨行业合作奠定了基础。

为保证来自于不同提供者的应用的安全性，GP架构提出安全域的概念，归属不同提供者的应用位于不同的安全域之中，保持各自的独立性、机密性和安全性(如图1)。安全域可以被认为是一种特殊的应用，其作用是为安全域内的应用提供安全服务，如密钥处理、数据加密、数据解密、数字签名的生成和校验。安全域按照所有者的属性不同分为两个基本类型，即发行者安全域(Issuer Security Domain，ISD)和应用提供者安全域(也称为辅助安全域，Supplementary Security Domain，SSD)。发行者安全域归属卡发行者，是基本组件卡管理实体(Card Manager，CM)中的一部分；应用提供者安全域归属应用提供者或授权控制中心。应用提供者安全域与发行者安全域，以及不同的应用提供者安全域之间相互独立[6]。

GP的基础是运行时环境(Runtime Environment，RTE)，其作用是为应用提供与硬件无关的应用程序接口(Application Programming Interface，API)、安全的存储和可执行的内存空间，具有安全性和多应用特性。运行时环境、发行者安全域和对卡持有者的校验方法三者组成卡管理实体CM。GP API/RTE API为应用提供卡持有者的校验、个人化等服务，同时也为应用提供卡的锁定、应用生命周期状态的更新等卡内容管理服务。发行者应用和应用提供者应用利用以上API服务开发实现，分别在各自的安全域当中，受到各自安全域的管理，相互之间处于隔离状态。

3 NFC卡的后发行管理

GP架构当中的发行者通常为运营商，应用提供者通常为其他第三方应用所有者，在进行应用管理时的模式和方案需要根据二者之间的关系和各自的特点决定。如在NFC[7]这种典型应用场景中，支付、金融等类型的应用对安全性的要求比较高，应用提供者银行等第三方具有相当的技术实力，自我管理意识也比较强，因此，在后发行应用管理中采用的是应用提供者直接管理的方式，即应用提供者系统不通过发行者系统，对所属的应用提供者安全域及其中的应用进行直接管理[8]。而由于运营商对于在所发行的UICC卡中安装应用也负有安全监管的责任，因此，在卡中基于GP建立了一定的机制和流程，以保证二者之间的互信关系和环境，这种兼顾发行者和应用提供者要求的后发行应用管理模式被称为委托管理。

在委托管理模式当中，第三方应用提供者可以在被发行者授权的情况下使用自有专用系统与所属的SSD建立安全通道，完成应用加载、删除、锁定等操作。命令中包含由系统提供的管理操作令牌，ISD通过对令牌的验证确定该管理操作是否被授权。如果验证通过，则说明管理操作为合法的授权操作，允许相应操作，如果验证未通过，ISD则终止该操作。管理操作的合法性通过管理令牌得到保证。委托管理模式的SSD的应用安装流程可分为三步，分别是应用文件的下载、应用的安装和应用的可选择化；它们分别对应三条主要命令：Install[for load]、Install[for install]、Install[for make selectable]；且分别都包含各自的令牌，应用文件数据由Load命令承载。图2是卡通过委托管理的方案进行SSD应用下载的流程。

同时，GP提供了若干种保障应用管理安全的方案，其中委托管理模式中应用的安全方案是最多最复杂的，这是因为这种模式是建立在运营商和第三方应用提供商互信环境之下的，互信环境的建立需要更为安全的手段加以保障。GP安全框架中提供两个方面的安全机制，分别是管理操作安全和通信安全。

管理操作安全可保证应用管理和内容管理的命令、数据、信息等相关内容的完整性和可信性，管理操作安全的方法包括以下4个方面。

1)加载文件数据块HASH值。用于验证加载文件数据块的完整性。

2)加载文件数据块(Data Authentication Patten，DAP)签名。用于验证数据提供者身份，由卡外实体(应用提供方或授权管理者)产生的认证数据值，附加在文件的数据鉴别块中。每个加载文件附有一个或多个数据鉴别块。向卡片加载文件时，每个签名必须由对应的安全域进行验证。该验证被称为DAP验证。

图2 委托管理模式SSD应用下载

3)委托管理令牌。发卡方对一个或多个委托管理操作创建的签名，作用是让发卡方能对其发行卡片的内容变化有所控制。该令牌通常由主安全域进行验证。

4)回执响应。委托管理时，恰当的安全域可以创建回执响应，作为应用提供方已经对卡片内容进行了改变的证据。

通信安全是保证卡和卡外实体的信息交换和传输的安全[9-10]，通信安全的方法包括以下4个方面。

1)实体认证。卡片和卡外实体能够通过加密的消息交换，验证对方的可信性。

2)完整性认证。接收方(卡片或卡外实体)可以确保从发送方(对应的卡外实体或卡片)收到的数据是来自通过了合法认证的实体，且消息序列正确无误，未遭篡改；

3)机密性。可以确保数据从发送方(卡外实体或卡片)传送到接收方(对应的卡片或卡外实体)的过程中，不会遭到未经认证的实体窥探。

4 后发行管理模式扩展

委托管理模式允许第三方应用提供者充分行使应用管理权利，比较适用于NFC等应用管理场景。不过随着多应用卡的类型增多，应用场景的扩展，也逐渐发展出不同类型的需求[11]。部分第三方应用提供者出于业务情况和自身条件考虑，在建立系统自行进行应用管理和通过运营商进行应用管理之间，更倾向于选择后者。这在一些新兴的业务当中很可能出现，比如在M2M业务中，第三方希望通过M2M卡提供基本的用户服务，属于通用服务，管理功能并不复杂，安全性要求一般，没有建立专用系统和流程进行自行应用管理的必要。在这种情况下，只要具备基本安全保障，通过运营商已有的成熟系统进行应用管理，对第三方应用提供者而言，既可以简化管理流程，降低管理成本，又不受卡应用管理技术和经验方面的限制，不失为比较有利的可行模式。

第三方应用提供者既然需要借助运营商系统实现应用管理，则说明第三方对运营商具有基本信任，互信环境的建立并不是必须。不过第三方应用通过运营商管理，其中还包括加载、删除等关键操作，则第三方属于安全敏感对象，其安全要求也需充分考虑[12-13]。

在标准中也为这种需求提供了实现方式，就是运营商系统与第三方应用提供者安全域建立安全通道，直接进行应用管理，这被称为授权管理。授权管理允许卡外实体在被认证为安全域所有者的情况下，无须授权即可进行应用管理。其中卡外实体的认证是在安全通道初始化过程中完成，通常使用对称加密，能够提供安全通道初始化所需密钥的就是安全可信实体。这种情况下，需要第三方应用提供者将加密密钥提供给运营商系统，使运营商系统代理应用管理操作，卡并不能区分安全域实际的所有者和拥有其安全通道密钥的代理者，也不能区分安全域所有者和安全域关联应用的提供者。应用提供者安全域如果需要进一步确认数据来源可靠性，可以在接收应用文件数据之后通过DAP验证等方式实现。尽管如此，因为这种方案需要提供密钥给运营商系统，对第三方应用提供者而言还是存在一定的安全风险。图3是通过授权管理的方案进行SSD应用下载的流程。

图3 授权管理模式SSD应用下载

GP定义了卡外实体与卡的接口，不过没有定义卡内各实体之间的接口，仅定义了相应的功能，以上两种应用管理模式就是根据各业务场景需求提供的相对完整的流程。

在通过运营商实现第三方应用管理的方式中，一般的第三方应用提供者可以使用授权管理模式，其特点是可以充分满足第三方应用提供者简单管理应用的需求，不过安全保障方面相对薄弱。怎样在无须额外增加第三方应用提供者应用管理负担的前提下，为其提高应用管理的安全性要求，对运营商和第三方应用提供者而言都是很值得研究的问题。为实现这一目的，应首先遵守GP规范的标准化和通用性的要求，同时在已定义的管理机制之外引入其它机制以支撑应用的关联加载。以下将基于GP规范，提出以应用迁移机制为核心，通过ISD与SSD之间的应用关系变更实现应用关联加载的解决方案。应用迁移是指通过迁移指令，可以将应用从原关联安全域转移关联到其它安全域。在通过ISD为SSD下载应用的方案中，就是首先将应用下载到ISD，再由ISD将应用迁移关联至目标SSD，在此过程中ISD与应用提供者SSD之间是基本信任的态度。SSD可以采用一定的安全策略以保证应用迁移的合法性，如加载阶段的DAP验证和迁移阶段的迁移令牌，不过这都不是必须的。上述方式可以称为迁移管理模式。图4是通过迁移管理模式的方案进行SSD应用下载的流程。

图4 迁移管理模式SSD应用下载

在迁移管理模式中，第三方应用提供者无须提供密钥给运营商系统就可以借助运营商系统对自身应用进行管理，也可以通过一定的安全机制保证管理的合法性，其安全性有明显的改善。需要指出的是，迁移操作分为隐式迁移和显式迁移。在图4流程中，可以在Install[for load]指令中直接指明目标SSD AID，则可执行加载文件和生成的应用实例关联SSD，无需再发送Install[for extradition]进行应用迁移操作，这种方式被称为隐式迁移；如果在Install[for load]命令中没有指明目标SSD的AID，则该应用的可执行加载文件和实例都从属于ISD，需要再发起Install[for extradition]指令改变关联安全域，将应用迁移至SSD，这种方式被称为显式迁移。

分析三种模式各自的特点会发现，它们有各自不同的适用场景，如果能够相互结合，可以为多应用卡提供广泛适用的、灵活动态的管理模式。

1)授权管理模式技术简单。由运营商系统执行，对第三方管理系统和应用提供要求不高，安全性一般，对于不需自行进行应用管理，发展通用类业务(如信息类业务、服务类业务)的第三方应用提供者比较适合。

2)委托管理模式技术要求比较复杂。第三方需具备管理系统，使用了较多的安全方法，充分保障了应用提供者和卡所有者在应用管理方面的安全，对于安全性较高的业务(如支付类业务、金融类业务)的第三方应用提供者比较适合。

3)迁移管理更多考虑介于二者之间的需求。这类模式技术要求一般，提升了第三方应用管理安全性，对运营商安全性也有基本的保障，是兼顾二者利益的模式。对于希望通过运营商系统进行应用管理，而又具有一定安全管理意识，需要具备基本安全要求的业务(如身份识别类业务、一卡通类业务)的第三方应用提供者比较适合。

5 总结与展望

电信智能卡目前正向着真正意义上的多应用卡演进，尤其随着NFC卡、M2M卡等新型卡品和业务的出现，智能卡在基本网络接入应用之外，也将更多地承载跨行业跨领域的应用，应用管理的需求相对之前的情况也会更加多样化和复杂化。在这种形势之下，国内外运营商近几年也纷纷发展各自的卡应用管理业务并部署相应的系统，而作为综合性的管理系统，以不同的模式满足不同类型的业务需求也是持续关注的问题，并取得了一定进展。结合此类实践经验，并从上述三种模式的分析和研究可以看出，应用管理的方案在安全性和便捷性方面存在一定程度的矛盾，而用户对这两方面性能的需求其实也各有侧重。按照用户需求划分不同的管理模式，基于GP架构建立支持不同模式的应用管理体系，提供满足不同特点不同场景下用户需求的整体方案，对运营商而言是比较适合目前形势的选择。未来GP架构安全应用管理的发展可能需要注重以下几个方面。

1)安全性与便捷性的平衡。系统的便捷性直接影响业务初期推广的效果和进度，而在业务普遍推广后，系统的安全性问题又会更加突出。二者在业务发展的不同阶段发挥出的影响力度不同，真正平衡两类要求，才能保证业务的可持续发展。GP架构提供了多种安全机制和策略，应该说已经提供了比较丰富的基础资源，再结合业务实际需求，设计出切实满足用户需求的方案，才能使GP架构灵活准确地得到应用。

2)多方权益的考虑。多应用卡的发展本身就会给卡业务带来更多类型更多角色的参与者，除运营商、应用提供者这些关键参与者之外，还包括未来可能的终端商、系统提供商、行业用户、最终用户等，这在M2M某些业务场景中已经出现了一些迹象。各参与者对应用管理会有不同的权益和诉求，应用管理系统需要充分考虑多方权益并体现在技术方案当中，以最大程度提升在产业环境中的适应性。

3)推进业务的开放性和扩展性。近年来卡业务运营模式逐渐发生变化，原有相对封闭的系统已有所突破，用户需求也随之不断拓展，应用管理本身是开放系统的一部分，这种变化的影响会更为显著，系统也会逐渐在开放性和扩展性上有所延伸。

参考文献

[1] 兰柯,埃芬.智能卡大全一智能卡的结构、功能[M].王卓人,王锋.译.北京:电子工业出版社,2002

[2] ETSI TS102.221 Smart Cards;UICC-Terminal interface;Physical and logical characteristics[S]

[3] 3GPP TS 31.102 Characteristics of the USIM application[S]

[4] GlobalPlatform Card Specif i cation v2.3,[S].2015

[5] GlobalPlatform Card Specification v2.3 - Amendment A-Conf i dential Card Content Management v1.1[S]

[6] 董威,杨义先,钮心忻.基于JavaSIM卡的GlobalPlatform安全技术研究[J].北京邮电大学学报.2006,29(03):91-94

[7] 夏文栋,林凯.融合NFC的3G智能卡系统[J].计算机工程.2011,37(2):229-231

[8] 罗标.智能卡动态多应用管理的研究及实现[M].武汉:华中科技大学2005

[9] ETSI TS 102 225 Smart Cards; Secured packet structure for UICC based applications[S]

[10] ETSI TS 102 226 Smart Cards; Remote APDU structure for UICC based applications[S]

[11] 吴俊.多应用智能卡平台和操作系统[J].计算机科学.2014,41(6A):490-493

[12] 王明飞.J a v a智能卡的安全性[J].电脑知识与技术.2011,7(24):6015-6016

[13] 徐燕.多应用智能卡平台及其安全性探讨[J].上海信息化,2014,9:65-69