Java世界98|技术专题：智能卡专题（三）：Java智能卡进阶—

Java 智能卡进阶

——Java与电子钱夹

---- 摘要

---- 本文描述如何着手去开发一个支持Java 的智能卡。这里所举的例子都基于Schlumberger Cyberflex 的Java 智能卡系列产品，这些产品最先对JavaSoft 授权的Java Card 1.0 API 提供了支持。本文所提供的例子展示了在Java 智能卡开发过程中的几个步骤：如何为CyberFlex 智能卡编制程序，为下载程序做好准备，将程序下载至智能卡中，最后在智能卡中运行程序。除此之外，还讨论了以下几方面的内容：智能卡的编程技术、实现基本的安全功能（例如管脚确认）以及CyberFlex 智能卡的个人化。

---- 最近，JavaSoft 发布了Java Card 2.0 API（这是JavaSoft 基于Java 智能卡的第二代标准）并得到了公众的接纳，这将导致一些细节上的改变，但是很多通用的知识和原则仍然没有过时。并且因为CyberFlex 已经在做这方面的销售工作，所以实际上你完全可以利用这种技术开发产品并将之推向市场 — — 但是你必须认识到技术将随着Java Card 2.0 API 的推出而发生很大的变化。Schlumberger 已经制订好计划生产遵循2.0 API 的CyberFlex 智能卡，但将保持与Java Card 1.0 API 的向后兼容性。本文的结尾是一份FAQ。

CyberFlex Java 智能卡简介

---- 在本次专题的前两篇文章里（即《智能卡基础篇》和《智能卡与OpenCard 框架》），我们讨论过如何利用Java 与智能卡通信，以及如何开发一个智能卡终端接口。在Schlumberger 的CyberFlex 智能卡上运行用Java 语言编写的程序。CyberFlex 卡看上去就象一张信用卡一样，但实际上它是一个微型的计算机。该卡中含有一个具有一定处理能力的微处理器和一片可以存储少量数据和指令的内存。关于CyberFlex 2.0 与Java 智能卡的关系的更多信息，请参阅文后的“FAQ” 部分。这种卡可以按照功能分成以下几个部分：

CPU
RAM
ROM
EEPROM

---- CyberFlex 智能卡可以存储更新帐户信息、个人数据，甚至还可以存储财务信息。它们非常适用于安全Internet 访问、购物、便携数字电话，还给一些医疗保健方面的应用带来了极大的方便。智能卡为应用程序带来了新的服务，并提供增强的安全性、可移植性和方便性。下面图中描述了一个可以支持多应用程序的结构框架。

CyberFlex结构

---- 一些消费者对于把他们的个人的健康信息和银行信息存储在同一张卡上，然后用这张卡与某些在线服务打交道心存疑虑。智能卡的制造者已经在这个问题上潜心数年，并且已经提出了基于分割的安全方案。

一个简单的例子

---- 我们开始先向大家提供一个极为简单的例子。正如前文所述，ATR("answer to reset") 在ISO7816 这一认可的智能卡标准中是最为基本的。当一张智能卡被复位或是插到阅读器中时，它就是通过ATR 这一途径提供一些身份确认的信息。ATR 是一个精心定义的ISO 标准。在OpenCard 中介绍了一个出色的ATR 卸出工具。

---- 我们的第一个例子叫做cardlet（这是智能卡中运行的一些Java 类的名字），它修改了ATR，可以返回一些特定的信息。应用程序将会被下载到智能卡中，作为启动程序加载。当智能卡复位时，智能卡通过阅读器发送到上层应用的ATR 是经过我们的应用程序修改的。完成这项任务要经由以下步骤：

书写应用程序
对CyberFlex 智能卡的Java.Class文件做后期处理
用开发工具将应用程序下载
测试应用程序

“CardHello” 应用程序

---- 下面就是我们所写的应用程序。我们利用了标准的ATR，在其域中添入了“Hello World” 字符串。在ISO 7816-3 中有ATR 的详尽介绍。下面是程序的代码，并加入了详尽的注释。（请注意2.0 和以前版本的不同要求）

/*
* CardHello: Custom ATR
*/
 
// Use import for CyberFlex 2.0 only; Comment out for pre-release cards
// import javacardx.framework.*;
 
public class CardHello {
 
        public static void main() {
 
                /////////////////////////////////////////
                // Without this statement, you could potentially
                // lock a card out forever. This statement allows the
                // default system loader to be executed on the 
                // next reset. In other words, without this
                // statement, the CyberFlex card will run
                // your downloaded program every time, so if it has
                // a bug you will be unable to get to it --
                // unless, of course, your program has the ability to
                // unload itself and restore the default loader.
                /////////////////////////////////////////
                _OS.Execute((short)0,(byte)0); // Return control to default loader
 
                byte ATR[] = new byte[4];
                ATR[0] = 0x3B;
                ////////////////////////////////////////////
                // Send the first byte of the ATR to gain some time.
                // Welcome to the world of real time. Some readers
                // require responses within x ms of inserting a card,
                // so we send one byte to the reader to get it to wait,
                // and then send the rest of the data.  
                ////////////////////////////////////////////
                _OS.SendMessage(ATR,(byte)1);
 
                ////////////////////////////////////////////
                // Fill the last part of the ATR and send it 
                // starting at ATR[4]. The prior bytes are ATR
                // data and can be decoded using the ISO 7816
                // specification. Unfortunately, ISO charges
                // you for a copy of the specification.
                ////////////////////////////////////////////
                ATR[0] = (0x30 | 0x0a);
                ATR[1] = 0x15;
                ATR[2] = 0x00;
                ATR[3] = 0x49;
                _OS.SendMessage(ATR,(byte)4);
                //////////////////////////////
                // Write the historical data
                //////////////////////////////
                byte atrHistorical[] = new byte[10];
                atrHistorical[0] = 'H';
                atrHistorical[1] = 'e';
                atrHistorical[2] = 'l';
                atrHistorical[3] = 'l';
                atrHistorical[4] = 'o';
                atrHistorical[5] = 'W';
                atrHistorical[6] = 'o';
                atrHistorical[7] = 'r';
                atrHistorical[8] = 'l';
                atrHistorical[9] = 'd';
                _OS.SendMessage(atrHistorical,(byte) atrHistorical.length);
                //////////////////////////////
                // Wait here forever
                //////////////////////////////
                while (true) ;  
        }
}

----

后期处理：将Java 类的字节代码转化为智能卡可识别的格式

为成功编译上面的程序，你的目录中一定要有OS.class 文件。这个文件为智能卡操作系统提供了与智能卡相关的方法。这一后期处理步骤是十分必要的，它可以将字节代码转换为智能卡认可的格式。在此之前，智能卡是不能直接理解Java 类的字节代码的。运行mksolo.exe 命令后，你将会得到如下结果：

Schlumberger (R) (a registered trademark) MakeSolo (a trademark) Post-processor
Version 1.001 Copyright (C) Schlumberger Technologies 1997. All rights
reserved.
 
Solo size statistics:
Output: 238 bytes; Max stack: 8 bytes; Max object: 0 bytes
Successfully generated cardlet 'CardHello.bin'

下载应用程序

---- 下面简单介绍一下如何利用EZ Formatter 和Litronic 210 阅读器把Java 程序下载到CyberFlex 智能卡中。EZ Formatter 是一个用于向CyberFlex 智能卡下载应用程序的Windows 95 实用工具。而Litronic 210 是Schlumberger 开发包中提供的智能卡阅读器。

测试智能卡阅读器的连接。对于Litronic 的阅读器来说，有一个测试工具可以让绿色的LED 灯闪亮10 次。这表明不存在硬件上或是软件上的冲突问题。该工具位于..\Schlumberger\CyberFlex SDK\Litronic\Config，选择阅读器所连接的端口然后按下“Test” 按钮。如果一切正常，阅读器上的绿色LED 灯将闪亮10 次。按下“OK” 按钮推出该程序。
在Windows Explorer 中选择“EZ Formatter” 目录中的“Ez2us”，然后选择“File” 菜单中的“Properties”。在书写本文之时，正确的创建时间是5/13/97 5:35 PM。
运行EZ Formatter（从“EZ Formatter” 目录中的“Ez2us”）。
“System Configuration” 窗口将会弹出。（如果该窗口并未弹出，选择工具条中的“System Configuration” 按钮，该按钮位于监控器和“?” 图标的左侧。）
从阅读器文件中选择LITR210.RDC。
从智能卡文件中选择CYBERFLX.CDC。
选择本地端口（很可能是COM1，不过这依赖于你的阅读器连接）。
选择“OK”。
将CyberFlex 智能卡插入到阅读器之中。
按下工具条中“Power On” 按钮（最左侧的按钮）。你的Litronic 阅读器上的绿色LED 灯将会点亮。你会看见底部有一条显示智能卡和阅读器就绪的消息。在这条消息的上方是ATR 字符串，ATR=3B 32 15 00 49 10。
注意：如果在这儿发现错误，很有可能是选择的COM1 端口正在被其它的应用程序所用，比如说PC/SC，它缺省使用COM1。如果在你的机器上有多个COM 端口，你可以简单的把EZ Formatter 改向到另外一个空闲端口上去。如果你只有一个COM 端口，那么你必须拆下PC/SC（或是其它占用COM 端口的进程），让EZ Formatter 能够使用空出来的COM 端口。
选择在工具条中“?” 图标右侧的框。键入2222。（这是Java 程序的File 标志号，是由CyberFlex 智能卡初始化的。）
按下该框右侧的箭头按钮。你将会看到底部的一条消息：File/Directory "22 22" Now Active。
按下LoadSolo(CyberFlex)，将会显示File 标志号2222。
按下“Get Java Program” 按钮。选择由MakeSolo 创建的.BIN 文件。该程序将会加载并被显示在一个较大的窗口之中。一定要确认你的程序是以“4D 00 00 00” 结尾的。（所有的CyberFlex 程序都应该以这个序列结尾。）
选择“Download” 按钮。按下在确认对话框中的“YES”。
下面将弹出一个“Security Manager” 对话框。选择左侧列表中的Key 0。在Code/Key Format 中选择Hex Values。右下方的框里将被标志为“Press Key 0”。在其中键入“AD 9F 61 FE FA 20 CE 63”，然后按下“Present” 按钮。
下面将显示出一条消息：Key/Code approved。如果一切无误，按下“Close” 按钮。如果结果不是这样，你就应该检查你的键入过程并重新来一次。
按下“Close” 按钮之后，你应该在下面的窗口之中看到每次下载的过程显示。在下载过程当中，不要按键盘上的任何一个按键。当显示“4D 00 00 00t” 时表示下载完成。下面的消息应该变为“OK”。
按下“Set To Run” 按钮。这将导致Java 程序随着下一次复位而开始运行。你的程序必须含有下面的声明：_OS.Execute((short)0,(byte)0);。这最好是你程序的首行代码，因为这样不论你的程序里面有什么样的毛病，这行代码都将获得运行。如果程序没有将首行设置成上面那行代码，那么你的智能卡再也不会运行其它任何程序了。这是不可恢复的！

运行并测试应用程序

---- 现在可以开始运行应用程序了。下一次复位时，你的程序就开始运行了。你可以看到上面例子确定的ATR；在EZ Formatter 中ATR 显示在显示器右上角。假定程序象上面所描述的那样运行了_OS.Execute 命令，程序运行之后的下一次复位将使智能卡停在缺省加载程序里，这使你能够重复上述过程修改已有的程序。 ---- 如果要再一次运行同样一段程序，你可以选择2222 文件，选择Security Manager( 工具条上的Lock 按钮）, 在Security Manager 中键入你的Key/Code，然后设置2222 程序再次运行，跳过了“Get Java Program” 和“Download” 两个步骤。 ---- 熟悉了这些过程之后，我建议你进一步阅读EZ Formatter 的文档，学习如何改进你的程序。

用OpenCard 运行例程

---- 安全性

---- 关于智能卡有许多安全技术。通行的技术大都基于以下出发点：在智能卡中的内容都是安全的，因为这些内容是以安全的方法放置其中的，并且智能卡是抗篡改的。换句话说，因为你自己把东西放置在你拥有钥匙的房间中，所以它们总是安全的。智能卡具有抗篡改的特性 — — 这中安全特性使得智能卡在未经授权的情况下难于被篡改和干扰。为了支持对象和数据在智能卡之间移动，可以用访问控制表对访问权限加以控制。在下载过程中，我们看到了必须输入一个密匙才能更新文件。

---- 智能卡经常以文件形式组织在一起，所以通过设置与文件相关的访问权限和相关的密钥，我们可以获得精确的安全性。举例说来，你的密钥仅仅允许你读某一文件，但是我的密钥却允许我读写同一文件。为了在最初进行授权，你需要一个密钥，或是设置一个授权密钥。我想有一点是十分明显的，那就是如果你不对安全原则的设定这一权限进行限制，就毫无安全性可言了。

---- 下面有一个简单的例子展示如何进行持卡人的身份确认。持卡人确认是至关重要的问题。在这一领域有许多技术和非常复杂的要求。例如，在OpenCard 中，我们看到银行方面总是要求PIN 恰好处在智能卡周围的“ 信任区域” 之中。（安全人员在分析安全方案是总是要定义一部分安全区；在这里，智能卡、智能卡阅读器、与计算机的连接和PIN 入口都属安全区。）通常我们利用直接与PIN 板连接的智能卡阅读器获得安全的PIN 入口，这样PIN 就决不会离开阅读器的环境。我们的例子并没有使用这一技术，因为这里的阅读器没有PIN 板。

import Java Cardx.framework.*;
 
public class Verifchv {
 
// Constants used throughout the program
static final byte ACK_CODE = (byte)0;
static final byte BUFFER_LENGTH = 32;
static final byte ISO_COMMAND_LENGTH = (byte)5;
 
public static void main () {
 
// Reset the RST bootstrap pointer to the ROM bootstrap
     _OS.Execute((short)0, (byte)0);
        byte bReturnStatus; 
 
      byte pbuffer[] = new byte[ISO_COMMAND_LENGTH];
      byte dbuffer[] = new byte[BUFFER_LENGTH];
 
        /////////////////////////////////////////////////////////
        //      Look for a message that contains the correct key
        /////////////////////////////////////////////////////////
        
        while (true) {
                // Command w/ right chv is 
                // pBuffer = C0 20 00 01 08
                // dBuffer = 48 49 4A 4B 4C 4D 4E 4F
            _OS.GetMessage(pbuffer, ISO_COMMAND_LENGTH, ACK_CODE);
        
                bReturnStatus = _OS.VerifyCHV(pbuffer[3], dbuffer, (byte)0x00);
                _OS.SendStatus((byte)bReturnStatus);
                /////////////////////////////////////////////////////////
                // Give the user access and/or data based on success
                // or failure of the CHV
                /////////////////////////////////////////////////////////
                }
        }
}

智能卡个人化原则

---- 个人化的问题涉及到创建一个适于你特定需要的文件结构。你创建的这些程序或是数据文件被组织到目录或子目录之中。CyberFlex 2.0 3K 提供了很小的存储空间。CyberFlex 1.0 引进了一个缺省的文件系统。目前CyberFlex 2.0 支持你创建自己的文件系统；由你根据自身需要对系统进行优化。

---- 程序文件

---- 你必须创建一个足以容纳程序的文件。开发过程中，你应该注意MakeSolo 给出的统计数字，确保拥有足够大的空间（为保险起见，最好打出一定的富裕量）。

---- CHV 文件

---- 如果你想使用CHV 方法，就必须创建若干特定的文件。CHV 文件对于名字和结构有着非常严格的要求。CHV 所需的两个文件必须位于根目录下。CHV1 文件的ID 为0000；而CHV2 的ID 必须为0100。手册中的CHV 部分介绍了关于CHV 许多信息，本文后面的例子中也对CHV 做了介绍。

---- 将结构转变为文件系统布局

---- 刚开始你可能无法创建正确的结构，一般你都得重新创建。在CyberFlex 2.0 中，你只能从目录中将上一次创建的文件删除，因此记住文件的创建顺序是十分重要的。你也可以利用CyberFlex 加载器中的Directory APDU 在你的目录下浏览所有的文件，这样你就会对文件结构有一个清晰的认识。。

---- 例子：在2.0 智能卡中创建CyberFlex 1.0 缺省文件结构

---- 创建CyberFlex 1.0 文件结构的操作步骤如下：

验证密钥0（以获得足够的权限创建文件）
利用CyberFlex Loader 中的命令APDU CreateFile 创建CHV1 文件（id=0000）
创建Program File（ID=2222）
创建数据文件目录（ID=7777）
选择数据文件目录7777
创建第一个二进制数据文件（ID=7701）
创建第二个二进制数据文件（ID=7702）
创建记录文件（ID=7703）

---- 删除该结构时，仅需按照创建步骤的相反顺序删除即可。

复位智能卡
确认密钥0
选择目录7777
删除文件7703
删除文件7702
删除文件7701
选择父目录
删除目录7777
删除程序文件2222
删除CHV 文件0000

---- 请注意千万不要删除在主目录下的文件0011（密钥文件），这是系统缺省的访问控制表，它需要密钥0 才能授权创建或是删除文件。对该文件的删除将导致你无法创建新文件，你的智能卡就变成了废物。

安全性

---- 前面我们讨论了CHV 和个人化。CHV 作为开端很容易让人理解。智能卡最有价值的一个方面就是它们所提供的安全性。正如上面例子中所展现的那样，下载和存储程序均需要密钥，并且还可以进行持卡人的身份验证。下个月我们将更为广泛和深入的讨论安全性问题。我们的讨论将会集中在以下几方面：

---- 私用密钥加密 —— 使用同一密钥进行加密和解密

---- 公用密钥加密 —— 加密和解密使用两个不同的密钥

---- 单向函数 —— 这是一种特殊的函数，它可以为原始消息生成签名，用以验证原始消息的可认证性

FAQ

---- 有许多问题来自下面两个方面：智能卡工业界的读者和用户。我把这些问题作为FAQ 在这里回答。

---- PC/SC 与OpenCard 之间有什么关系？

---- IBM 和Bull 正在积极的开发PC/SC 的适配器。它比直接在PC/SC 中使用C 或是C++ 要容易得多。我不赞成直接在PC/SC 的级别开发，因为这样的应用程序不具有可移植性。用OpenCard 或是其它更为高级的标准比较合适。下个月，我们将提供更为完整的OpenCard 实现。

---- 我是否可以将CyberFlex 和PC/SC 混用？

---- 可以，Schlumberger 在CyberFlex Developers 手册中提供了这方面的文档。

---- CyberFlex 智能卡的安全模型是什么？

---- 有多种等级的安全模型。这种智能卡提供了加载应用程序和执行持卡人确认的安全机制。事实上，每一种CyberFlex 的智能卡都支持六种标志和密钥，可以用于保护不同的应用程序和数据对象。另外，借助于Java 安全防火墙，Java 应用程序不能够访问其它应用程序的数据。未来的智能卡将支持工业标准的加密算法。

---- 我的CyberFlex 程序是否可以移植？

---- 任何利用Java Card 1.0 API 开发的智能卡应用都可相互移植。但是Java Card 2.0 API 的智能卡就不能再运行Java Card 1.0 API 的应用程序了，因为Java Card 2.0 API 对于1.0 来说不具有向后兼容性。但是，Schlumberger 已经决定提供与两个版本的Java Card API 兼容的智能卡。

---- CyberFlex 2.0 是Java 智能卡吗？

---- CyberFlex 2.0 是兼容于Java Card 1.0 API 的第二代产品。它获得了JavaSoft 的许可，在卡中运行Java 虚拟机。Java Card 2.0 API 规范刚刚完成，我们希望在1998 年的上半年能够有与2.0 API 兼容的智能卡出现。这里所提供的概念仍然适用，但是程序需要修改。

---- 如果不将程序下载到智能卡中如何调试？

---- 通常需要一个仿真器实现调试。

---- 我可以自己设计安全解决方案吗？

---- Schlumberger 提供的一种CryptoFlex 智能卡是安全的理想之选，因为这种智能卡的板上配备了密码处理器，可以处理1024 位的RSA 密钥。我们期望在1998 年Schlumberger 和其它智能卡厂家能够提供集成Java 编程和密码处理能力的智能卡。

结论

---- 我们向你描述了如何利用Schlumberger 的Java 智能卡包开发应用程序。随着时间的推移，我们期望2.0 Java Card 规范能够大幅度的简化应用程序的开发。

---- 本文中的例子展示了基于1.0 Java Card API 的Java 智能卡应用程序的开发过程。我们能够在100% 的Java 环境中用各种各样的JDK 将Java 程序编译成类文件。Schlumberger 也提供了一个Java 版本的MakeSolo，但是因为它没有一个好的类文件查看器，所以Schlumberger 没把它加入到开发包中。Schlumberger 还提供了一个依赖于Swing 集的仿真器作为集成开发环境，这个仿真器将会在JavaSoft 的非beta 测试版Swing 中推出。

编译：沈加翔
文章来源：http://www.javaworld.com/javaworld/jw-02-1998/jw-02-javadev.html

Java 智 能 卡 进 阶

——Java与 电 子 钱 夹

CyberFlex Java 智 能 卡 简 介

一 个 简 单 的 例 子

“CardHello” 应 用 程 序

后 期 处 理： 将Java 类 的 字 节 代 码 转 化 为 智 能 卡 可 识 别 的 格 式

下 载 应 用 程 序

运 行 并 测 试 应 用 程 序

用OpenCard 运 行 例 程

智 能 卡 个 人 化 原 则

安 全 性

FAQ

结 论