RF-SIM卡的多应用COS研究与设计

3.1.4环境的适应性设计

一般来说，智能卡的应用环境是比较恶劣的，特别是供电不稳定和存储介质寿命约束问题。所以为保证系统的稳定性和延长卡片寿命设计了掉电保护和均衡磨损机制[4]。掉电保护是指在写数据块时，先把更新区数据备份到其他区域，防止在写数据过程中系统掉电而破坏原数据区的数据，可以从备份区把数据重新写回。具体算法如图5所示（例如数据B要写到数据A区域）。

由上述算法可知，每完成一次掉电保护操作至少要写一次备份区C，因此从整体来说备份区C的读写是频繁的，但是对存储介质的读写次数有严格限制（如flash的擦写次数为100000~1000000次），所以备份区C不能静态分配，需要动态选择。更本质上说，由于对存储块的读写访问不均匀，导致出现了“冷”“热”数据块，因此有必要协调好两者之间的关系，也就是尽量使数据块擦写趋于均衡，即均衡磨损机制。综合考虑芯片的硬件环境及算法实现的难易程度，本系统采用“冷热置换”策略：首先把当前应用的数据块擦除次数表（Data-blockEraseTable，DET）调入RAM，对数据块的擦除都要更新DET，当某块S的擦除次数大于某一阈值时（如256次），选择一擦除次数最少的数据块置换。当DET表所有记录的擦除项为“满”（所有都为256次）或者DET总更新次数大于或等于某临界值时（如1000次），DET记录的擦除次数项全部清零，并且把DET从RAM中保存至flash存储器。显然，这种“冷热置换”方式能够很好地保证应用系统内部数据块的均衡磨损，但是在掉电保护算法中，因为备份区C不需要置换，只是覆盖即可，所以对于备份区C的选择采用“循环写空闲块”的方式：从未分配区域和系统文件区（如GSM文件区）中通过循环查找的方式选择空闲块充当备份区。

3.2多应用安全机制的设计

具体的单应用系统平台中，一般都设计了规范的或者行业间私有的安全机制，所以本部分重点讨论多文件系统环境下的安全问题。

3.2.1数据内容安全管理：对文件中的数据进行加密来保证内容的安全，因为即使数据被非法读取，窃取的也只是密文，破解难度大。
3.2.2非法越界管理：多应用文件系统的最大威胁就是非法越界访问其他文件系统数据，所以必须设计防止多应用文件间非法越界访问的安全机制[5]：因为各文件系统的存储空间是连续分配的，物理地址的范围可表述为Addr[上界，下界]，所以可以通过Addr中的上界和下界进行匹配隔离方式防止越界访问，这样就如同在文件系统的上界和下界处设置了一道坚固的隔离墙。
3.2.3交互行为安全：某些事务逻辑中，需要在一次原子性操作过程中访问两个或以上的文件系统，如用手机银行为公交IC卡充值。在交互过程中，设置日志管理机制来保证事务逻辑的原子性。为保证多个应用系统间交互操作的行为安全，建立信任机制，采用双向鉴权方式来增强行为安全的可信度，同时使用数字签名认证方式来界定安全责任，因为这种方式具有不可抵赖性。

3.3双通道通信设计

RF-SIM卡具有接触和非接触两个界面，因此它存在SCD（接触式7816接口）和SCR（非接触式RF接口）两个逻辑传输通道。两个通道既能够独立地进行数据传输又需要相互协调工作，当然也跟智能卡芯片内核密切联系，它们之间的调用关系如图6所示。

为方便移植和其他模块对SCD与SCR通道进行透明调用，分别设置如下通道命令处理接口[6]：Scd_RecvByte（7816接口接收一个字节数据），Scd_SendByte（7816接口发送一个字节数据），Scd_Mode（SCD通道收发模式转换），Scd_Close（SCD通道关闭），Scd_Reset（SCD通道重设），Set_Timer（SCD通道发送60函数）Scr_Send（RF发数据），Scr_Recv（RF收数据），Scr_Data（RF数据缓存），Scr_param（RF的参数），Scr_Star（启动射频功能）。

4实验测试

经过对各功能模块进行认真研究、仔细分析和逐步细化的过程，最后设计出基于RF-SIM卡的多应用COS结构图（图7）。随后在此COS结构基础上设计实验方案：硬件平台是以AT90SC320288RCT安全芯片为基础的RF-SIM芯片卡，编译工具使用的是IAREWAVR4.3A开发平台，应用层设计了GSM应用和RF应用。GSM应用是以电信EVDO卡为例设计，RF应用则以公交IC卡为例，在EVDO卡部分，文件模块、安全模块、命令模块和通信模块遵守GSM11.11系列规范和ISO7816规范。RF应用方面，射频通信符合ISO/IEC14443系列标准，文件系统采用MAFIREI格式结构。同时设计了STK菜单，支撑GSM应用和公交IC卡的数据交互。最后经过编码、内部测试、仿真、卡片下载流程之后，基本实现了电信EVDO卡和公交IC卡的功能与性能等方面的要求，从而验证了本设计方案的可行性。但是本方案只是在结构上预留了其他应用接口，而对应用的动态更新还有待研究。