郭 達(dá) 張智江

[摘要]文章從硬件能力、對(duì)網(wǎng)絡(luò)及業(yè)務(wù)安全的支持、擴(kuò)展功能等方面介紹了電信智能卡演進(jìn)發(fā)展的情況，分析了電信智能卡的新技術(shù)及其帶來的能力提升，并探討了電信智能卡演進(jìn)中遇到的問題。

[關(guān)鍵詞]智能卡手機(jī)終端USIM

1引言

智能卡的使用可以追溯到1950年，起初僅用于支付領(lǐng)域。用于移動(dòng)通信領(lǐng)域始于GSM(Global System of Mobile)系統(tǒng)，稱為用戶識(shí)別模塊(Subscriber Identity Module，SIM)卡，為移動(dòng)電話網(wǎng)絡(luò)的訪問提供了高安全性，實(shí)現(xiàn)了機(jī)卡分離。方便用戶更換手機(jī)終端，為移動(dòng)電話市場(chǎng)化帶來了巨大的商機(jī)，其本身也在移動(dòng)通信中獲得了廣泛的應(yīng)用。

SIM卡參與用戶的認(rèn)證鑒權(quán)，密鑰存儲(chǔ)在SIM卡中。相關(guān)的安全計(jì)算過程也在SIM卡中實(shí)現(xiàn)，大大提高了用戶的安全性，在使用之初，大大降低了號(hào)碼復(fù)制和盜打的情況。GSM系統(tǒng)中引入智能卡取得了巨大的成功。近年來全球每年發(fā)行的SIM卡數(shù)以億計(jì)。其他通信系統(tǒng)也紛紛引入智能卡機(jī)制，實(shí)現(xiàn)了機(jī)卡分離，如中國聯(lián)通在幾年前實(shí)現(xiàn)了CDMA系統(tǒng)的機(jī)卡分離，后來中國電信的小靈通也實(shí)現(xiàn)了機(jī)卡分離。第三代移動(dòng)通信的各個(gè)標(biāo)準(zhǔn)也都是用智能卡作為用戶識(shí)別模塊，UMTS中使用的叫做USIM(Universal Subscriber Identity Module，通用用戶識(shí)別模塊)卡。在今后的移動(dòng)通信系統(tǒng)中，終端使用的用戶識(shí)別裝置將大多采用智能卡。

除了標(biāo)識(shí)用戶、實(shí)現(xiàn)終端的認(rèn)證鑒權(quán)之外。智能卡還可為移動(dòng)通信業(yè)務(wù)提供安全機(jī)制。此外智能卡還提供了存儲(chǔ)用戶信息的功能，如電話號(hào)碼簿、短消息、通話記錄等；智能卡應(yīng)用工具箱能為用戶提供一些基于智能卡菜單的業(yè)務(wù)，如SIM卡能通過STK菜單提供業(yè)務(wù)菜單。

2智能卡硬件的發(fā)展

智能卡是一個(gè)微型計(jì)算機(jī)，具有存儲(chǔ)器、運(yùn)算器和輸入輸出設(shè)備。下面先討論智能卡硬件的發(fā)展情況。

半導(dǎo)體和芯片技術(shù)近年來取得了長(zhǎng)足的發(fā)展，使智能卡的成本越來越低，硬件能力越來越強(qiáng)。

智能卡本身內(nèi)部就有處理芯片。目前常用的處理器是8位處理器，今后的處理器將朝著16位和32位的方向發(fā)展。

在存儲(chǔ)容量上，基于EEPROM存儲(chǔ)器價(jià)格越來越低，體積越來越小。最早的SIM卡其EEPROM存儲(chǔ)容量只有16K～32K，現(xiàn)在已經(jīng)能達(dá)到256K甚至512K，基于EEPROM的存儲(chǔ)其瓶頸在于封裝的工藝，超過512K的存儲(chǔ)容最很難封裝在現(xiàn)有的卡片體積里面。閃存技術(shù)為智能卡提供了價(jià)格低廉、體積小、容量大的存儲(chǔ)方式，目前基于閃存的智能卡存儲(chǔ)容量已經(jīng)輕松上G，但是基于閃存的存儲(chǔ)耗電相對(duì)高，而且閃存的存儲(chǔ)速度比EEPROM慢?？煽啃韵鄬?duì)EEPROM較差。但無論如何，閃存技術(shù)的引入，智能卡的容量限制得以突破，智能卡可以存儲(chǔ)更多的數(shù)據(jù)、裝載更多的應(yīng)用。

智能卡與終端之間通過觸點(diǎn)之間的電平信號(hào)進(jìn)行信號(hào)傳輸，傳統(tǒng)的智能卡基于ISO 7816標(biāo)準(zhǔn)進(jìn)行數(shù)據(jù)傳輸，現(xiàn)有手機(jī)中的SIM卡和USIM卡都基于該標(biāo)準(zhǔn)。常用的智能卡有8個(gè)觸點(diǎn)，而手機(jī)上一般只有6個(gè)觸點(diǎn)，還有2個(gè)未使用的觸點(diǎn)是保留觸點(diǎn)。ETSI提出的機(jī)卡接口USB傳輸就使用了這兩個(gè)觸點(diǎn)，在終端與智能卡之間實(shí)現(xiàn)了USB傳輸，實(shí)現(xiàn)機(jī)卡接口之間傳輸達(dá)到USB 2.0的HIGH SPEED模式(如圖1所示)，傳輸速率理論值達(dá)到12Mb/s。該模式使用的電壓為1.8V和3V，且與ISO模式兼容，ISO傳輸與USB傳輸參數(shù)比較見表1。ETSI在2004年就推出了機(jī)卡接口USB傳輸標(biāo)準(zhǔn)，但到目前為止，支持這種接口的手機(jī)還非常罕見。

3電信智能卡安全性能的發(fā)展

智能卡最初應(yīng)用于GSM系統(tǒng)，是為了實(shí)現(xiàn)網(wǎng)絡(luò)的認(rèn)證鑒權(quán)，與第一代移動(dòng)通信系統(tǒng)相比，大大減少了電話盜打、復(fù)制號(hào)碼等情況的發(fā)生。但是好景不長(zhǎng)，由于SIM卡內(nèi)部安全算法的泄漏以及攻擊手段的提高，SIM卡的驗(yàn)證方式又是單向的，即網(wǎng)絡(luò)驗(yàn)證SIM卡，SIM卡不驗(yàn)證網(wǎng)絡(luò)，攻擊者可以使用程序冒充基站給SIM卡提出驗(yàn)證請(qǐng)求并得到響應(yīng)，導(dǎo)致SIM卡被攻破，復(fù)制SIM卡成為一件很容易的事情。

針對(duì)第二代移動(dòng)通信系統(tǒng)和SIM卡安全性能的缺陷，第三代移動(dòng)通信UMTS采用了USIM卡，USIM卡基于UICC架構(gòu)。UICC架構(gòu)是電信智能卡的發(fā)展方向，與SIM卡相比，USIM能夠裝載多個(gè)應(yīng)用；另外。雖然第二代和第三代移動(dòng)通信都使用了認(rèn)證與密鑰協(xié)商機(jī)制AKA(Authentication and Key Agreement)，但USIM卡與網(wǎng)絡(luò)之間的驗(yàn)證不再是單向驗(yàn)證，而采用了安全性能較高的雙向驗(yàn)證，即網(wǎng)絡(luò)驗(yàn)證USIM卡，USIM卡也對(duì)網(wǎng)絡(luò)進(jìn)行驗(yàn)證，攻擊者無法偽造網(wǎng)絡(luò)來對(duì)智能卡發(fā)起攻擊，大大提高了智能卡的安全性，目前尚未見USIM卡被攻破復(fù)制的報(bào)道出現(xiàn)。

隨著網(wǎng)絡(luò)的演進(jìn)，安全架構(gòu)也隨之演進(jìn)，如演進(jìn)的分組系統(tǒng)EPS(Evolved Packet System)采用雙層安全架構(gòu)，與UMTS相比，將安全的層次分為了接入層AS(Access Stratum)和非接入層NAS(Non Access Stratum)，其密鑰體系也發(fā)生了較大的改變，但EPS仍將采用USIM卡作為其用戶識(shí)別模塊。3GPP也在USIM卡的新版本中加入了EPS安全的內(nèi)容。

AKA過程為用戶接入網(wǎng)絡(luò)提供了認(rèn)證鑒權(quán)方式，通過AKA的用戶能夠使用基礎(chǔ)的電信業(yè)務(wù)，如打電話、發(fā)短信等，但這些基礎(chǔ)的業(yè)務(wù)遠(yuǎn)遠(yuǎn)滿足不了人們的需求。移動(dòng)通信提供了越來越多的服務(wù)，如多媒體業(yè)務(wù)、位置服務(wù)、游戲、互聯(lián)網(wǎng)服務(wù)等，這些業(yè)務(wù)需要可靠的安全機(jī)制來保證業(yè)務(wù)的安全使用和準(zhǔn)確的計(jì)費(fèi)，而基礎(chǔ)的AKA認(rèn)證無法為這些服務(wù)提供安全機(jī)制。在進(jìn)一步通信之前，需要在用戶端(如手機(jī))和應(yīng)用服務(wù)器之間進(jìn)行雙向認(rèn)證。因此在移動(dòng)通信中要實(shí)現(xiàn)這些業(yè)務(wù)，就有必要定義一套通用的認(rèn)證框架。許多應(yīng)用在通信前都需要在客戶與應(yīng)用服務(wù)器間進(jìn)行認(rèn)證。

通用認(rèn)證框架GAA(Generic Authentication Architecture)就描述了一個(gè)這樣的框架。通常的認(rèn)證機(jī)制有兩種，一類是基于通信實(shí)體之間的共享密鑰。另一類是基于密鑰對(duì)(共有或私有)。GAA包含了這兩種機(jī)制?；诠蚕砻荑€的機(jī)制又叫做GBA(Generic Bootstrapping Architecture)。GBA為終端和服務(wù)器建立一個(gè)共享密鑰，而且提供了一個(gè)基于3GPP AKA的通用機(jī)制。GBA有GBA_ME和GBA_U兩種形式，前者通過手機(jī)終端實(shí)現(xiàn)，后者通過USIM卡實(shí)現(xiàn)。

GBA參考模型如圖2所示，下面簡(jiǎn)單介紹一下GBA新增的網(wǎng)元：

BSF(Bootstrapping服務(wù)功能，Server Bootstrapping

Function)是引入GBA后新增的網(wǎng)元，BSF與HSS都位于歸屬網(wǎng)絡(luò)中，BSF、HSS和UE共同參與GBA，在GBA過程中，通過執(zhí)行Bootstrapping過程，在網(wǎng)絡(luò)與UE之間建立一個(gè)共享的密鑰，該密鑰用于保護(hù)UE和NAF之間的數(shù)據(jù)。

NAF(Netwo rk Application網(wǎng)絡(luò)應(yīng)用功能，F(xiàn)unction)就是位于網(wǎng)絡(luò)側(cè)的應(yīng)用服務(wù)器，每個(gè)應(yīng)用都有一個(gè)NAF，因此BSF和uE可能與多個(gè)NAF進(jìn)行交互。NAF除了提供應(yīng)用服務(wù)之外，還要參與安全方面的交互過程。在Bootstrapping過程之前，UE和NAF之間沒有進(jìn)行安全關(guān)聯(lián)，而NAF能夠與BSF進(jìn)行通信，從BSF獲取UE和BSF達(dá)成的共享密鑰。NAF在GBA過程中實(shí)現(xiàn)的功能有根據(jù)本地策略設(shè)置共享密鑰的本地有效情況、檢測(cè)共享密鑰的生命周期、與UE采取措施來保證密鑰的刷新。

因此，通過GBA_U可以實(shí)現(xiàn)業(yè)務(wù)密鑰的協(xié)商，如手機(jī)電視業(yè)務(wù)。但是使用GBA業(yè)務(wù)使用之前需要對(duì)用戶訂購的信息進(jìn)行確認(rèn)，并協(xié)商相應(yīng)的密鑰。

IMS(IP多媒體子系統(tǒng)，IP Multimedia Subsystem)也可以使用USIM卡上的GBA認(rèn)證機(jī)制進(jìn)行認(rèn)證。成為USIM應(yīng)用，通過AKA過程認(rèn)證用戶，并用GBA為IMS業(yè)務(wù)協(xié)商密鑰。

4擴(kuò)展功能的發(fā)展

除了上述安全的功能之外，智能卡領(lǐng)域還出現(xiàn)了一些新技術(shù)，用于增強(qiáng)電信智能卡的擴(kuò)展功能，這里簡(jiǎn)要介紹BIP協(xié)議和智能卡WEB服務(wù)器。

4.1BIP協(xié)議

智能卡一旦發(fā)行，到了用戶手里，隨著業(yè)務(wù)的發(fā)展和網(wǎng)絡(luò)的演進(jìn)，其上面的內(nèi)容也有必要按照運(yùn)營商或用戶的要求進(jìn)行更改，如更新STK菜單、安裝下載智能卡上的程序等，這就需要網(wǎng)絡(luò)與智能卡之間進(jìn)行通信。現(xiàn)有的運(yùn)營商一般通過OTA的方式更新智能卡上的菜單，而OTA大多基于短消息，短消息每次最多只能傳送140個(gè)英文字符，且傳送的時(shí)延、可靠性和順序無法得到保證，這對(duì)智能卡的內(nèi)容更新來說是十分不利的，事實(shí)上，靠短信更新STK菜單的OTA卡，其成功率都不高。

ETSI提出了與承載無關(guān)的協(xié)議(BIP)，如圖3所示，該協(xié)議用于傳輸智能卡應(yīng)用工具CAT_TP(Card Application Toolkit-TransferProtocol)，使得智能卡可以使用手機(jī)與網(wǎng)絡(luò)之間的數(shù)據(jù)通道來更新智能卡上的內(nèi)容，大大提高了數(shù)據(jù)速率和更新成功率。131P協(xié)議還可用于在網(wǎng)絡(luò)與智能卡之間傳送大文件，支持智能卡WEB服務(wù)器等。但在智能卡中使用BIP協(xié)議需要手機(jī)的支持，目前支持BIP的手機(jī)款型并不多。

4.2智能卡Web服務(wù)器

智能卡可以為用戶提供菜單，通過菜單提供增值服務(wù)，這些菜單基于智能卡應(yīng)用工具箱，如SIM卡的STK菜單，用戶選擇這些菜單，可以獲得一些增值服務(wù)。但基于智能卡應(yīng)用工具箱的界面是以文本、字符的方式呈現(xiàn)的，表現(xiàn)方式簡(jiǎn)單。針對(duì)此，OMA提出了智能卡Web服務(wù)器SCWS(Smart Card Web Server)，在智能卡中實(shí)現(xiàn)基于Web技術(shù)的應(yīng)用，豐富了運(yùn)營商為用戶提供的移動(dòng)通信智能卡業(yè)務(wù)，智能卡WEB服務(wù)器連接結(jié)構(gòu)如圖4所示。但SCWS需要手機(jī)側(cè)支持8IP服務(wù)器模式，目前支持的手機(jī)款型也很少。

5結(jié)束語

智能卡在電信領(lǐng)域的應(yīng)用將伴隨著移動(dòng)通信發(fā)展的全過程，智能卡特性決定了智能卡適合作為用戶識(shí)別模塊并承載一些業(yè)務(wù)，事實(shí)上，近年來電信智能卡除了數(shù)量上的增加，在這個(gè)領(lǐng)域還出現(xiàn)了很多新技術(shù)，國際標(biāo)準(zhǔn)化組織和企業(yè)也投入了很多力量來從事這方面的研究。另一方面，智能卡和手機(jī)是不能分割的，智能卡和手機(jī)合并起來才稱之為終端。因此電信智能卡的發(fā)展與手機(jī)的支持是分不開的。但由于電信智能卡方面的新技術(shù)不能為手機(jī)廠商帶來現(xiàn)實(shí)的利益，以及智能卡某些功能與手機(jī)的重復(fù)，導(dǎo)致了大部分手機(jī)廠商都不愿意嘗試最新的智能卡技術(shù)，這是制約智能卡發(fā)展的一個(gè)重要因素。因此，智能卡要得到更好的發(fā)展，智能卡新技術(shù)要得到更廣泛的應(yīng)用，應(yīng)該尋求讓運(yùn)營商、卡商、手機(jī)廠商、用戶都得益的業(yè)務(wù)模式，才能實(shí)現(xiàn)多贏，真正推動(dòng)電信智能卡的蓬勃發(fā)展。