（信号与信息处理专业论文）智能卡的税控应用研究.pdf

北方工业大学硕士学位论文 摘要 智能卡具有以下优点：一是可靠性高一智能卡具有防磁、防静电、防机械 损坏和防化学破坏等能力，信息可保存1 0 0 年以上，读写次数在1 0 万次以上， 至少可用1 0 年；二是安全性好，可以使用多种加密手段以保证数据的安全性。 u 盘是近年来发展起来的一类设备，由于其容量大，便于携带，且成本较低，得 到了迅速的普及和发展。智能卡与u 盘相结合将能够进一步发挥智能卡的安全、 稳定的优势并且可以满足其在特定领域的大数据量存储需求。本选题正是研究智 能卡与u 盘的结合产品并把其应用于税务领域，最终形成产品税控盘，实 现领购发票、开发票、报送发票等一系列税务功能。 本课题的主要工作包括两个部分：税控盘设备的应用软件设计、开发和税控 盘设备性能测试的测试计划设计、测试脚本编写以及实际测试。 软件设计部分又包含了设备文件结构设计、设备安全性能设计、接口函数实 现设计三个部分。本文对这三部分分别进行了介绍并着重描述了安全报文构成方 法、大数据量通信方法和大数据量存储空间管理方法三方面内容。其中，大数据 量存储空间管理方法是本设备与一般智能卡设备的主要区别之一，也是本课题的 一个创新点。这部分的软件实现是在中兴z s o f c d e v 2 0 平台上使用c 语言实现的。 测试部分分别对基础c o s 测试、安全测试、指令测试、防拔以及流程压力 测试的测试目的、要点、实现方法进行了描述。特别给出了流程压力测试的测试 步骤。这部分测试使用的工具是通用界面软件s m a r t b l u e ，测试使用的测试脚本 是在v c 6 环境下开发的。 关键词：智能卡，税控盘，安全，测试 北方t 业大学硕十学位论文 a b s t r a c t s m a r t 训h 弱柳oa d v 觚t a g c s f i r s t ，i th a sh i 曲d e p e n d a b i l i t y nc 柚p f c 、r e n t m a 伊e t i s m ，s t a t i c 雒dd a m a g cb ym a c h i n e 孔dc h e m i s t 彤t h ei n f o m a t i i ni tc a n b c k e p ta tl e a s t0 n eh u n d l c dy e a r s ，r c a d - w r i t ea tl e a s to n eh u n d i e dt h ( m s 觚dt i m e s a n d t h ec 删c 觚b eu s e df o rt 锄y e 嬲a tl e a s t s e c o n d ，i th 弱倒s e c i l r i t y f o ri t 咖u s e m 龃y 胁c r y p tm e 粗st 0e n s u 托d cs e c i l r i t y0 ft h ed a t a u s bd i s kd c v e l 叩sf a s tr c c e n t l y b 伽s eo fi t sb i gc a p a b i l i t y ，p o n a b i l i t y 觚dl o w 埘c e c 0 m b i n e 锄a n c a 】旧研mu s b d i s l 【，、锄g c tam a 出n en o to n l yh 勰t l l ea d v 觚t a g e so f l l i g hs e c l l r i t y 锄d d 印e n d a b i l i t y ，b u ta l s oc 柚u s e d i ns o m ef i e l d st h a tr c q u 眈b 远m 锄。呼n e 9 0 a lo f t h i si 鼹u ei sj u s tg o i i l gt 0d e v e l o pak i n do fp r o d u c tw h i c h 锄b i n e ss m 缸t 硼w i t h u s bd i s kt 0r c a l i z et h ef u n c t i o no fb u y i n gi n v o i c e ，i s s u ei n v o i c c ，n d i n gi n v o i c c 觚d s p r o d u c t i s n a m c d t 觚d i s k 1 1 l i si s s u em a 瑚yi n d u d e sd e s i 印m e m 柚dd c v e l o p m e n to fs o n w a r ci n1 奴- d i s k 孤d w h o l e t c s t 、釉r k o f t h e p r o d u c t s o r w a 托d e s i g n m e n tc o n s i s t s0 ft h r e ep a n s ：衄es t m c t l l r e ，c i l r i t y 强da p ip a r t t l l l i sp a p e ri n t 加d u c e st h e s et h r c ep a r t s 觚dh i g h l i g h t st h es 协l c t i i r eo fs e c u r i t y m e s s a g e ，m e 觚so fb u l l 【m c s s a g ec o m m u l l i c a t i o n 觚db i gm e m o 巧m 锄a g e m e n t t h e b i gm 锄o r ) rm 孤a g e m e n ti s e0 fd i 虢棚l c e sb e 懈e 朗t 奴- d i s k 柚dc o m m 衄s m a n 姒a n d i ti so n ei n n o v a t i o np o i n to f t h i si s s a ns 0 f ；t w a r eo f t h i sp a ni sd c v e l o p e d w i t hc l 觚g i l a g ci nz s o f ! 【d c v 2 0p l 缅珊 t e s tp a i td e s 嘶b e st h ea i m s ，c m c c s 锄dm e t h o d so fc o st e s t ，s e c i l r i t yt e s t ，a p i t c s t ，f l o wt e s tr c 洲i v c l y t h et c s to ft l l i sp a r tu s e st h eg e 聆r a li n t c t 0 0 l s m a n b l u e ，柚dt h es c 咖tu s c di nt e s ti sd c v e l o p e di nv c 6e n v i r o 姗c n t k e y w o r d s ：s m a nc 砌，1 觚一d i s k ，蝴r i 劬t e s t 2 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的 研究成果。据我所知，除了文中特别加以标注和致谢的地方外，论文中不包含 其他人已经发表或撰写过的研究成果，也不包含为获得j 壁友王些太堂或其他教 育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任 何贡献均已在论文中作了明确的说明并表示谢意。 学位论文作者签名：事掰 签字日期：沙形年厢z 日 学位论文版权使用授权书 本学位论文作者完全了解j 丝友王些太堂有关保留、使用学位论文的规定， 有权保留并向国家有关部门或机构送交论文的复印件和磁盘，允许论文被查阅 和借阅。本人授权j 壁友王些太堂可以将学位论文的全部或部分内容编入有关数 据库进行检索，可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后适用本授权书) 学位论文作者签名：乡掰 签字日期：矽巧年月2 ，日 学位论文作者毕业后去向： 工作单位： 通讯地址： 导师签名砀膏敌 签字日期：舻占月2 日 电话： 邮编： 北方下业大学硕+ 学位论文 l 引言 1 1 智能卡概论 1 1 1 智能卡的发展历程 智能卡也称为i c 卡焦成电路卡( i n t e 伊a t e dc 栅i tc a r d ) 的英文简称【。 将一个专用的集成电路芯片镶嵌于符合i s o7 8 1 6 标准的p v c ( 或a b s 等) 塑料基 片中【2 】，封装成外形与磁卡类似的卡片形式，即制成一张智能卡。当然也可以封 装成纽扣、钥匙、饰物等特殊形状，或是使用其他材料、形式封装。 智能卡的最初设想是由日本人提出来的。1 9 6 9 年1 2 月，日本的有村国孝 ( k u n i t a k a 加面m u 啪提出一种制造安全可靠的信用卡方法，并于1 9 7 0 年获得叫d 卡( i d e 而f i c a t i c a r d ) 的专利。1 9 7 4 年，一位名叫罗兰莫里诺( r o l 锄dm o r c n 0 ) 的法国新闻工作者申请了一项世界专利，这项专利的理念是将一个微型控制器植 入一张塑料银行卡内。莫里诺认为，总有一天我们将人手一张智能卡，就像拥有 了一位电子理财管家。银行卡产业中的那些梦想家用巨大的热情接受了他的理 念。这种热情促进了法国政府、财政、交通、医疗、无线电通信等部门内的讨论。 进而开始了将会改变卡片技术面貌的一系列试验。1 9 7 6 年法国布尔( b u l l ) 公司研 制出世界第一枚智能卡。1 9 8 4 年，法国的p 1 t ( p o s t s ，t e l e 鲫l l s 趾dt c l e p h o m s ) 将智能卡用于电话卡，由于智能卡良好的安全性和可靠性，获得了意想不到的成 功。8 0 年代，法国、英国、日本等发达国家陆续开展了智能卡试点项目，为进 一步改进支付结算手段，推动电子货币的发展，以电子钱包为代表的智能卡应用 尤为金融业所重视。最典型的项目如m o n d e x 、v i s a | c a s h 、p r o t o n 等。随 后，国际标准化组织( i s o ，i n t e m a t i o n a ls t 卸d 硼i z a t i o no l g a n i z a t i 衄) 与国际电工 委员会( c ，h i t e m a t i a 1e l e c 昀t e c h n i c a lc o m m i s s i o n ) 的联合技术委员会为之制 订了一系列的国际标准、规范，极大地推动了智能卡的研究和发展。 1 1 2 智能卡的性能特点 智能卡具有以下特点： ( 1 ) 可靠性高 智能卡具有防磁、防静电、防机械损坏和防化学破坏等能力，信息可保存 1 0 0 年以上，读写次数在1 0 万次以上，至少可用1 0 年1 3 j 。 ( 2 ) 安全性好 硬件上采用专用安全芯片，可以防止硬件破解；软件上，可以使用多种加密 北方工业大学硕十学位论文 手段以保证数据的安全性。 ( 3 ) 存储容量大 存储空间从几k 到几十k 甚至数百k ，能够满足不同应用下的多种需求。 ( 4 ) 类型多 智能卡的应用形式已经发展到很多领域，封装形式也多种多样【4 l 。最常见的 就是银行卡、手机s i m 卡、i c 电话卡、电卡、水卡、u s bk c v 等。 1 2 课题的研究背景 改革开放后，智能卡也逐步进入了我国市场。中国政府大力推动的“金卡工 程”实施十五年来，我国智能卡的研究有了飞速发展，我国i c 卡应用已成为全球 i c 卡应用最重要的组成部分，目前发卡总量已由2 0 0 0 年底的5 4 亿张增加到2 1 亿张，5 年增加了3 倍，发卡量已占世界1 5 ，并能够自主开发、生产智能卡芯 片。但是，我国智能卡的研究还不成熟，目前的研究仍落后于国外。尤其是金融 方面的研究应用。国外的银行用智能卡已经逐步由磁条卡向接触式i c 卡过渡； 税控方面也在积极研发税控盘产品以提高工作效率。而我国统一的智能卡金融规 范才刚刚制定，税控盘的研究也很不完善，正处于“百家争鸣”的阶段。 1 3 课题研究目的和意义 u 盘是近年来发展起来的另一类设备，由于其容量大，便于携带，且成本较 低，得到了迅速的普及和发展。智能卡与u 盘相结合将能够进一步发挥智能卡 的安全、稳定的优势并且可以满足其在特定领域的大数据量需求。本选题研究的 目的正是要研究智能卡与u 盘的结合产品并把其应用于税务领域，最终形成产 品税控盘，实现领购发票、开发票、报送发票等一系列税务功能。 本课题的意义在于把智能卡与u 盘的优点结合起来并应用于税务领域，使 今后的税务操作更加简便、安全，并且填补了国内税控盘应用方面的空白。 目前在货物运输业还存在的偷税、骗税、漏税、欠税、越权减免税等问题。 而且由于货物运输业税源零星分散、经营地点不固定，特别是近年来，承包、挂 靠等新的经营方式不断涌现，货物运输业税务管理已成为税务部门税收征管中的 “难点 。为了配合税控管理系统的推广使用，货运发票税控系统项目组组织开 发了自开票系统。税控盘就是其中重要的组成部分，用于正确生成并存储发票税 控码和发票税控数据以及安全传输发票税控数据。本课题正是响应税控系统项目 组要求，对货物运业税控盘设备的应用研究。 2 北方t 业大学硕士学位论文 1 4 课题研究的主要内容 本课题研究的目标是把智能卡与u 盘的优点结合起来并应用于税务领域， 并最终完成税控盘产品。 1 4 1 研究7 8 1 6 系列协议及税控应用规范 要实现智能卡功能，首先要充分阅读i s o7 8 1 6 系列协议，掌握i s o7 8 1 6 协 议结构、通信方法、文件结构及安全策略。其次为了实现税控应用，要仔细阅读 相关税务规范，了解税务知识。另外，要熟悉相关芯片中兴z 3 2 2 1 芯片、 专用时钟芯片、三星n a s h ( k 9 f ) 芯片的功能。 1 4 2 硬件电路设计 整个系统可分为p c 主机端和税控盘设备端两个部分。p c 主机端主要为用 户界面及u s b 通信控制部分，此部分由税务机关实现；税控设备端是本课题需 要自行设计的部分，采用了微控制器+ 时钟芯片+ 膦h 芯片的设计组合。这部 分的硬件电路由项目组专人负责。 1 4 3 系统软件设计及实现 由智能卡的特性决定，税控设备软件设计分为两部分：底层c o s 设计和应 用层设计。底层c o s 主要用于完成数据通信、内存管理及安全控制；应用层用 于实现税务功能。我主要负责税务应用部分软件设计及实现，其它部分由项目组 专人负责。 1 4 4 测试计划设计及实现 测试部分是本课题中、后期的关键部分，也是检测设备是否能够正常、安全、 稳定运行的途径。前期要根据设备软硬件结构特点设计全面、有效的测试计划； 然后根据测试计划进行测试脚本的编写、调试，后期还要在测试过程中不断对应 发现的问题对测试计划及脚本进行完善。测试主要分为下面几个部分： 基础c o s 部分：主要对c o s 实现的通信协议、i s o7 8 1 6 基础指令、基础算 法运算速度、存储空间管理等内容进行测试。由于大部分涉及硬件及协议，测试 方法、工具已经基本固定化，由测试组专人负责。 文件系统部分：根据应用的需要对系统文件组成的各种情况进行模拟测试， 并对各种情况下的实际使用空间进行对比测试。 应用指令部分：对税务应用指令的正确情况、错误情况及各种情况下指令执 行前后系统状态、相关数据进行对比测试。 系统安全部分：对系统安全状态转换、安全属性是否满足的条件下能否进行 3 北方工业大学硕士学位论文 安全操作。 生命周期部分：对系统各个生命周期状态转换条件及各个指令在不同生命周 期是否能够执行及执行后对生命周期状态的影响进行测试。 掉电防拔部分：测试系统断电、误拔除等操作后对操作数据是否能够正确保 存或回复。 系统压力部分：模拟实际系统长时间、大数据量使用的过程是否能够稳定工 作，并对比系统长时间工作的数据、系统状态是否正确。 1 5 术语和定义 1 5 1 发票税控盘( 简称税控盘) 在发票开票软件的配合下实现发票税控功能的电子装置，能满足税务机关对 发票的管理要求，保证发票税控数据的正确生成、可靠存储、防止篡改。 1 5 2 税控盘应用类型、盘级应用、税务应用和发票类型 税控盘应用类型包括1 个盘级应用以及盘级应用下的若干种税务应用，每种 税务应用下可有若干种发票类型。 当税控盘在打开后，未选择税务应用之前为盘级应用，用1 个字节o x o o 表 示。盘级应用具有所有密钥。 税务应用包括国税税务应用( 简称国税应用) 和地税税务应用( 简称地税应 用) ，位于盘级应用之下。税务应用用1 个字节表示，国税应用为o x 0 1 ，地税应 用为o x 0 2 。 每个税务应用可支持多种发票类型。在国税应用、地税应用下，分别具有除 了用户基本登记信息以外的所有管理数据，以及所有密钥，但同一密钥类型的密 钥值在国税应用和地税应用下不同。 当切换税务应用时，须首先切换到盘级应用，然后再选择税务应用。 盘级应用和盘级应用下的税务应用分别具有不同的密钥，税控盘、传输盘须 根据命令要求，使用当前应用下相应的密钥。 1 5 3 发票税控码( 简称税控码) 由发票税控盘根据发票上的有关数据生成，以字符形式打印在发票相应区域 上。发票税控码由可还原税控码( 用于扫描认证，简称长码) 或真伪鉴别税控码( 用 于真伪鉴别，简称短码) 或二者的组合组成，具体的组成方式由监控管理数据和 票据模板决定。 4 北方工业大学硕十学位论文 1 5 4 发票企业端 包括自开票企业和代开票机构等。 1 5 5 发票管理软件( 简称管理软件) 。 税务机关对发票税控盘、发票传输盘和税控数据进行管理的软件。 1 5 6 发票开票软件( 简称开票软件) 安装在发票企业端，用于开具发票的应用软件。 1 5 7 宿主 安装了发票开票软件的计算机。 1 5 8 监控管理数据 税务机关为实现发票企业端税控功能，回送给税控盘的数据。 1 5 9 数据报送签名 税控盘对税款所属期内的关键票据数据进行汇总并运算生成的电子签名。数 据报送签名的明文数据格式采用p k c s # 1 ( v 1 5 ) 标准。 1 5 1 0 发票号码 用于标志发票的一串十六进制数，由发票代码( 标志发票类型的数据串) 和发 票号码( 标志发票顺序的数据串) 两部分串联构成，长度由税务机关规定。 5 北方j i 业大学硕十学位论文 2 税控盘体系结构 2 1 税控盘结构 2 1 1 系统结构 税控盘采用了分层控制的体系结构。主要控制层分为基础c o s 层和应用 c o s 层两个部分。基础c o s 用于控制e e p r o m 、f i a s h 及时钟芯片；应用c o s 主要用于控制与外部设备的数据交换和实现加解密算法并与基础c o s 进行数据 交换实现数据提取与数据存储。系统框图如图2 1 所示： u s b 乍 e e p r o m 工 基础 c o s 、广1 时钟芯片 算法 c 应用 模块 c o s n 柚dn a s h 图2 1 智能卡系统结构框图 基础c o s ：用于实现系统的内存管理和安全策略，是保证系统安全和数据 正常操作的关键。 e e p r o m ：用于存放系统文件结构、密钥及关键数据。 f i a s h ：用于存放发票明细、报税信息等应用数据。 时钟芯片：专用安全芯片，用于提供系统时钟及生成时钟印、税控码等关键 数据以确保发票数据的唯一性。 应用c o s ：模块内部的一个逻辑实体。有独立的c s r 和唯一的地址，可以 被独立的复位。 2 1 2 系统文件结构 税控盘和大多数智能卡一样是通过文件形式【5 】【6 j 来实现存储、管理用户数据 的。所有用户相关数据均以文件形式存在。整个文件结构系统采用类似c o s 的 目录管理方式。 税控盘文件结构如图2 2 所示： 6 北方工业大学硕士学位论文 图2 2 文件结构图 7 北方工业大学硕七学位论文 3 系统硬件电路设计 整个税控盘设备主要由m c u 、外接f i a s h 新、时钟控制芯片、u s b 接口 芯片、电源管理芯片( 包括电池) 、晶振等其他辅助硬件组成。 3 1 系统结构描述及原理 税控盘设备硬件结构如图3 1 所示。 图3 1 税控盘硬件结构图 ， 税控盘设备的主要功能是通过u s b 接口与外部设备完成数据交换，响应外 部命令，实现发票购买、用户身份验证、安全数据对比( 片内e e p r o m ) 、发票数 据生成、票据数据存储( 外部f ia s h 中) 、发票报税等一系列税务功能。图3 1 中各部分的功能描述如下： 片内r o m ：用于存放设备控制代码，以实现设备功能。 片内e e p r o m ：用于存放设备关键数据，如设备密钥、用户信息、设备状 态信息、防拔备份数据等。 片内硬件算法模块：主要用于实现硬件随机数生成、d e s 加解密、r s a 公 私钥对生成、r s a 私钥签名、r s a 公钥验证等功能。 u s b 接口：实现税控盘设备控制芯片与外部设备的接口转换，保证税控盘 设备与外接设备u s b 通信的正常进行。 外接膦h 芯片：用于存储发票数据并使用了e a t 表与关键节点记录相结 合的存储管理机制对其进行存储管理。 时钟芯片：为设备提供标准时钟并根据发票数据生成时钟印、税控码等关键 数据以确保发票数据的唯一性、完整性和正确性。 电源管理芯片：对u s b 接口提供的电压转换为设备工作需要的不同标准电 8 北方工业大学硕十学位论文 压并确保设备工作电压的稳定性。外接电池主要是为时钟芯片提供电源，以确保 系统时钟的准确。 3 2 主要芯片介绍 3 2 1 中兴z 3 2 主控芯片 本设计采用单芯片方案，主控芯片使用中兴公司z 3 23 2 位安全控制器。其 主要特性为： ( 1 ) 片上存储单元 3 2 k be e p r o m 用于数据和程序的存储； 2 5 6 k bf i a s h 用于程序、函数库、不常变动数据的存储，页面大小为1 k 字 节； r _ 讧：8 k b 。 ( 2 ) 安全组件 公钥算法引擎： 支持大数( 1 0 2 4 比特) 模乘模幂乘法运算协处理 支持多项式( 5 1 1 比特) 模乘乘法运算协处理 1 0 2 4 比特r s a 算法签名速度达到6 次秒 2 4 m h z ( 不带c r d 1 0 2 4 比特r s a 算法签名速度达到1 4 次秒 2 4 m k ( 带c l 玎) 1 0 2 4 比特r s a 算法签名速度达到2 5 次秒 9 6 m h z ( 不带c r d 1 0 2 4 比特r s a 算法签名速度达到5 5 次秒 9 6 m h z ( 带c r d 1 9 2 比特e c c 算法o 域) 验证速度达到1 8 次秒 9 6 m h z 1 9 2 比特e c c 算法o 域) 验证速度达到4 次_ 秒 2 4 m h z d e s 3 d e s 引擎： 支持d e s 、3 d e s ( 2k e y 和3k e l d 算法的加密和解密 支持e b c 模式和c b c 模式的加密和解密 优化的数据传送通道，3 d e s 加解密速度达到3 5 m b p s 真随机数发生器： 随机数发生码率为6 4 k b p s ( 3 ) 通讯接口 u s b 接口： 支持u s b 2 0 协议全速率1 2 m b p s 工作模式。 支持四个端点，包括一个双向控制端点、一个b u l k 小端点、一个b u l l 【o u t 端点和一个中断端点。 9 北方j i = 业大学硕+ 学位论文 i s 0 7 8 1 6 主控制器： 具备两路i s 0 7 8 1 6 主控制器，能够同时接入两路智能卡 符合i s 0 7 8 1 6 - 3 标准，最高传送速率3 1 0 l 卸s 支持的最高传送速率为1 1 5 2 勋p s s p i 接口： 作为s p l 主设备，能够接入串行f 1 a s h 等设备 能够接大容量m 悄df 1 a s h 能够接s 洲，读写速率最高可达2 4 m b s 9 6 m h z 可以直接外接u s b 2 0 高速率主控芯片，支持u s b 2 o 高速加解密 兼容n 觚d n 弱h 从接口，可以外接各种n 卸d f l a s h 主控芯片。读写速率最 高可达5 m b s 9 6 m k 兼容s r a m 从接口，可以外接s r a m 主控芯片，读写速率最高可达8 m b | s 9 6 m h z 该部分的原理图如图3 2 所示： u u 旧9 30 3 4 5 6 i j dc 0 姗 z 3 2h d8 z 3 2r x d9 1 0 l l f l s h 、艋巳 同l a s hr l b f i a s h 啊匮 1 5 1 6 3 2 2 时钟芯片和电池 例 图3 2 中兴z 3 2 控制器原理图 时钟由总参提供，具体描述可参看其提供的时钟模块说明。它通过标准异步 串口方式与主控芯片连接。 1 0 北方工业大学硕士：学位论文 电池部分考虑硬件整体尺寸、使用寿命的要求以及时钟的供电电压，选用了 s o n y 2 0 3 2 的3 v 纽扣电池。 该部分原理图如图3 3 所示： 舢t 实i 湘辩 图3 3 时钟芯片原理图 3 2 3 非易失性存储器 使用s a m s u n g 公司的k 9 f 1 g d 8 u o a 芯片，该芯片为n 甜呵df 1a s h ，存 储容量1 2 8 m ，页大小为2 k ，具体描述可参考芯片技术手册。 该部分电路图如图3 4 所示： 3 2 4 u s b 接口 n 舯鼬 哇攀 k cn c n cn c n cn c k cn c mc耵7 m cl d 6 r田鄹6 瓜e肼 足zn _ c k cm c n cn c v tv k 妇妇 m cm c m cn c a卫nc ale勘b ，w ed 2 ，w pd 1 埔差 nc0 m cn c m cn c n cm c k cn c 图3 4 膦h 部分原理图 由于中兴z 3 2 芯片自带u s b 接口，只要将其相应的用于u s b 通信的两个i o 口按下面电路连接到电脑上的标准u s b 接口即可。此部分原来图如图3 5 所示： 1 l 北方工业大学硕士学位论文 出 氅砦 荡r4 7 pl u 2 ：v b u g d + i 口 g n d u s b 对存储在盘内的数据提供安全保护 保证报文传输过程中数据的保密性和完整性 ( 2 ) 税控专用算法： 税控专用算法需求 税控专用算法实现 税控专用算法的使用流程 ( 3 ) 密钥管理体系： 保证密钥传输中数据的安全性 盘内密钥的安全存储 更新指定的密钥 支持非对称密钥体系 ( 4 ) 安全管理体系： 提供完善的安全管理机制 支持多种身份识别功能 4 2 2 安全需求分析 ( 1 ) 安全机制需求： 设计安全框架 设计完善的安全管理策略： 文件管理策略 内部认证策略 内部密钥管理策略 设计完整的安全服务机制 北方t 业人学硕十学位论文 ( 2 ) 密码算法需求： 采用对称密钥算法d e s 、3 d e s 采用税控专用算法s s f 4 4 采用非对称r s a 算法【8 l ( 3 ) 提供完善的税务应用认证体制 口令认证 外部认证【9 】 安全命令 ( 砷安全c o s 需求【1 0 】： 可用性 机密性 完整性 ( 5 ) 密钥管理需求【1 1 l ： 密钥的有效分类 密钥的安全更新 密钥的使用条件 4 2 3 安全需求实现 密钥不允许直接读写； 密钥必须在主控密钥的控制下安装和更新； 工作密钥不能被外界直接访问，只能接受内部操作系统发来的操作 指令，按照指定的流程使用； 计算临时密钥产生的结果只保留在卡片内部，不能被外界直接访问。 密钥的使用都有一定的限制，必须满足密钥属性的要求。 密钥属性有一系列详细的规定。 ( 4 ) 提供多种鉴别机制【1 2 】【1 3 l ： 基于p 玳检验的身份鉴别 基于外部认证的身份鉴别f 1 4 】 主要用于完成税务盘和税务后台系统之间的身份鉴别，此鉴别过程 是交互的。 数据鉴别1 1 5 1 数据鉴别的目的意在防止数据在传输过程中被意外、蓄意改变，保 证关键数据传输过程中的完整性。同时也有效方正了恶意攻击者伪 造数据，达到不良目的。 ( 5 ) 安全威胁及防范措施如表4 1 所示： 1 7 北方t 业大学硕士学位论文 表4 1 安全威胁及防范策略表 安全威胁防范措施 一次一密，使用随机数进行认证。 通过窃听用户盘的高强度专用加密算法。 通信链路【阍，来攻击密 关键数据加密存储和传递，防伪造和篡改。 钥或算法盘内的密钥只能在盘内部参与加密运算，任何情况下不会以明文 形式泄露给外部f 1 7 1 。 严格控制厂商传输密钥。创建加f 必须通过厂商传输密钥的认证才 能进行。 非法发行税控盘严格控制盘主控密钥和应用主控密钥。只有通过主控密钥的认证 才有权进行盘文件创建和密钥加载。 专门的灌装和发行机构在安全环境内完成文件创建及算法和密钥 加载。 专用算法采用后下载方式。算法与文件系统之间有防火墙，无法 攻击算法【1 8 】越界防问。c o s 不支持任何方式读取算法也不支持应用代码后下载， 杜绝安全隐患。 穷举攻击持盘人口高强度算法、限次错误尝试次数。 ， 令、密钥或算法【1 9 】关键数据加密存储和传递。 非法读取或更改盘只能通过文件方式访问应用数据。应用数据的访问可提供认证及 应用数据加密、m a c 安全报文等安全措施来防止未经授权的安全攻击。 4 3 安全报文设计 根据安全性能设计的需要税控盘设备提供了四种报文传输方式： ( 1 ) 明文传输。 ( 2 ) 密文传输。 ( 3 ) 明文加眦传输。 ( 4 ) 密文加m a c 传输。 后三种属于安全报文传输，密文传输可以保证数据的私密性，m a c 传输可 以保证数据传输的完整性和可靠性。在使用中具体采用哪种报文传输方式由税控 盘技术规范规定，对未明确规定的用户数据，可由用户在建立文件结构时设置。 4 3 1 明文传输 当对数据传输时的私密性、完整性、可靠性没有要求时，可以采用明文传输 的方式。采用明文传输命令的数据域和响应的数据域均是明文，不需要做数据变 北方工业大学硕士学位论文 换。 4 3 2 密文传输 当只对数据传输时的私密性有要求时，尽量采用密文传输的方式。密文传输 可以使数据被安全算法加密，防止未经授权的第三方获取数据信息。 下面以d e a 算法为例说明密文传输中密文的生成过程： 第一步：用似1 字节) 表示明文数据的长度，在明文数据前加上l d 产生新 的数据块。 第二步：将该数据块分成8 字节为单位的数据块，表示为b l o c k l 、 b l o c k 2 、b l o c k 3 、b l o c k 4 等。最后的数据块有可能是1 8 个字节。 第三步：如果最后( 或唯一) 的数据块的长度是8 字节的话，转到第四步；如 果不足8 字节，则在其后加入1 6 进制数8 0 ，如果达到8 字节长度，则转到第 四步；否则在其后加入1 6 进制数0 0 直到长度达到8 字节。 第四步：按照图4 4 和图4 5 所述的算法使用指定密钥对每一个数据块进行 加密。 图4 4 单倍长密钥d e a 数据加密算法 1 9 北方工业大学硕士学位论文 图4 5 双倍长密钥d e a 数据加密算法 第五步：计算结束后，所有加密后的数据块依照原顺序连接在一起即为生成 的可用于传输的密文。 4 3 3 明文加m a c 传输 当只对数据传输时的完整性、可靠性有要求时，尽量采用m a c 传输的方式。 眦传输可以保证数据传输时不被纂改。 m a c 是使用命令的所有元素( 包括命令头和命令数据域中的数据) 来产生的。 以保证命令连同数据能够正确完整地传送，并对发送方进行认证。 用d e a 加密方式为例按照如下方式使产生心： 第一步：终端通过向税控盘卡发g e tc h a i i ，e n g e 命令获得一个8 字节随 机数作为初始值。 第二步：将5 字节命令头( c l a ，s ，p 1 ，p 2 ，l c ) 【刎和命令数据域中的明 文或密文数据连接在一起形成数据块。注意，这里的l c 应是数据长度加上将计 算出的m a c 的长度( 4 字节) 后得到的实际长度。 第三步：将该数据块分成8 字节为单位的数据块，表示为b l o c k l 、 b l o c k 2 、b l o c k 3 、b l o c k 4 等。最后的数据块有可能是1 8 个字节。 第四步：如果最后的数据块的长度是8 字节的话，则在该数据块之后再加一 个完整的8 字节数据块8 00 0 0 0 o o0 0 0 0 0 00 0 ，转到第五步。 如果最后的数据块的长度不足8 字节，则在其后加入1 6 进制数8 0 ，如果 达到8 字节长度，则转到第五步；否则接着在其后加入1 6 进制数0 0 直到长 度达到8 字节。 北方工业大学硕士学位论文 第五步：按照图4 6 和图4 7 所述的算法对这些数据块使用指定密钥进行加 密来产生眦。 图4 6 单倍长密钥m a c 算法 图4 7 双倍长密钥m a c 算法 第六步：最终取计算结果( 高4 字节) 作为m a c 。 把计算生成的m a c 直接添加到要传输的数据后面就产生了可用于传输的添 加了龇的数据。 4 3 4 密文加m a c 传输 当对数据传输时的私密性、完整性、可靠性均有要求时，采用密文m a c 传 2 l 北方工业大学硕士学位论文 输的方式。 传输数据的产生分为两步： 第一步：按照4 3 2 所示的方法，把要传输的明文数据生成密文数据。 第二步：按照4 3 3 所示的方法，把生成的密文数据连同命令头生成m a c ， 并把m a c 添加到密文数据后面就生成了可用于传输的密文加m a c 数据。 4 4 大数据量通信方法设计 4 4 1 智能卡通信特点与实际要求的差别 根据智能卡i s 0 7 8 1 6 系列协议，智能卡标准通信接口每次传递的数据长度 最多为2 5 5 字节，而在税控应用中，很多相关数据的长度都超过了2 5 5 这一长度 限制。如果把通信数据分解为若干条指令的形式进行传递，虽然可以解决通信数 据长度限制这一问题，但同时会产生数据合法性、完整性不能确定的风险，而且 容易在全部数据未能完全传递时设备非正常复位情况下导致数据不完整存储却 无法辨别的可能。 4 4 2 解决大数据量通信方法 为了解决上面提到的问题，我们采用数据级联的读写方法。具体方法如下： ( 1 ) 数据级联写操作的方法 ( a ) 级联写数据时，管理软件或宿主须先发送写数据的命令，并将 b c m d i j l l l 【( b o t 命令头最后一个字节，命令头格式参考b o t 协议) 设置为1 ；税 控盘判断数据包顺序号并处理第1 个数据包的数据。管理软件或宿主须通过“数 据级联写一命令继续或终止数据级联读操作。 ( 1 ) ) 税控盘每接收完一个级联数据包，如果级联顺序号非零，须返回 0 】【d 2 x 】【( 】( 1 2 5 5 ) 为当前级联顺序号) 的错误代码。如果级联顺序号为零，则须 不返回错误代码。 ， ( c ) 级联顺序号从1 到2 5 5 顺序递增，如果超过2 5 5 ，须从1 开始继续递增 计数。 ( d ) 如果在级联过程中，税控盘判断级联顺序号出错，须返回0 】【d 3 】【) 【( 殛为 正确的级联顺序号) 。 ( e ) 如果在级联过程中，税控盘返回非数据级联错误( 即不是0 ) 【d 2 】| 【】【、 o x d 3 x x 、0 x d 4 x x 、0 x d 5 x x ) 的错误代码，则此次级联操作出错，管理软件或宿主 须重新启动数据级联写操作。 级联写操作中，除了b q n d u n k 为0 x o o 的数据包外，每个数据包的数据 北方l ：业大学硕士学位论文 长度须为5 1 2 的倍数，否则，税控盘将返回0 x d 4 蕊的错误代码。 ( g ) 只有管理软件或宿主才能通过设置b c m d u i l l 【为0 x 0 0 来结束级联写操 作，税控盘不能结束级联写操作。 ( h ) 税控盘在数据级联写过程中，不能处理其他税控命令。如果税控盘接收 了一个非数据级联写的命令，则须返回0 x d 5 蕊的错误代码。只有当级联结束后， 才能处理其他税控命令。 ( i ) 为了同步数据级联操作，管理软件或宿主和税控盘的状态转换描述如下： 当管理软件或宿主发送b c m d i j n l 【为0 】【0 0 的c b w 后，如果税控盘不返 回错误代码，说明此次级联操作已经成功完成。税控盘将结束级联操作， 等待接收新的税控命令。管理软件或宿主结束级联操作，继续发送新的 税控命令。如果税控盘返回错误代码，说明此次级联操作没有成功完成。 税控盘将结束级联操作，等待接收新的税控命令。管理软件或宿主结束 级联操作，继续发送新的税控命令。 当管理软件或宿主发送b q n d i j n k 为非零的c b w 后，如果税控盘返回 0 x d 2 殛。税控盘已经正确处理级联顺序号为殛的数据包，等待接收下 一包数据。管理软件或宿主发送下一个数据包。如果税控盘返回o x d 3 殛、 o x d 4 】【】【或撅d 1 5 艇。税控盘没有正确处理级联顺序号为殛的数据包， 并将该包数据丢弃，等待接收级联顺序号为殛的数据包。管理软件或 宿主发送下一个数据包。如果税控盘返回其他错误代码或税控盘未返回 错误代码，说明此次级联操作没有成功完成。税控盘将结束级联操作， 等待接收新的税控命令。管理软件或宿主管理软件或宿主结束级联操 作，继续发送新的税控命令。 ( 2 ) 数据级联读操作的方法 ( a ) 级联读数据时，管理软件或宿主须先发送读数据的命令，并将b c t n d u n l 【 设置为1 ；税控盘判断数据包顺序号并返回第1 个数据包的数据。管理软件或宿 主须通过“数据级联读命令继续或终止数据级联读操作。 ( 1 ”级联顺序号从1 到2 5 5 顺序递增，如果超过2 5 5 ，须从l 开始继续递增 计数。 ( c ) 级联读操作中，管理软件或宿主须将d c b w d a t a t r 锄s f e r k n 醇h ( b o t 命 令头中传输长度字节，命令头格式参考b o t 协议) 设置为5 1 2 的倍数。税控盘返 回的每一个数据包的长度不一定是d c b w d a t a l r a n s f e r k n 舀h 。 ( d ) 税控盘成功发送完一个级联数据包后，不返回错误代码。只有在没有成 功发送完一个级联数据包时，才返回错误代码。 ( c ) 如果在级联过程中，税控盘判断级联顺序号出错，须返回o 】【d 3 殛( 】【】【为 北方工业大学硕士学位论文 正确的级联顺序号 ) 。 ( d 如果在级联过程中，税控盘返回非数据级联错误( 即不是0 x d 3 x x 、 0 】【d 叙x 、0 】【d 5 殛) 的错误代码，则此次级联操作出错，管理软件或宿主须重新启 动数据级联读操作。 ( g ) 如果在级联过程中，税控盘已经将数据完全返回，则最后一个数据包须 不返回错误代码。 ( 1 1 ) 管理软件或宿主可以通过设置b q n d u n k 为o x o o 提前结束级联读操作。 税控盘须判断后续是否还有数据，如果还有数据未返回，须返回0 】【c 0 0 2 的错误 代码；如果数据已经完全返回，则返回数据，且不返回错误代码。 ( i ) 税控盘在数据级联读过程中，不能处理其他税控命令。如果税控盘接收 了一个非数据级联读的命令，则须返回0 】【d 5 x x 的错误代码。只有当级联结束后， 才能处理其他税控命令。 ( j ) 为了同步数据级联操作，管理软件或宿主和税控盘的状态转换描述如下： 当管理软件或宿主发送b o n d i j n l 【为0 】【0 0 的c b w 后，如果税控盘不返 回错误代码，说明此次级联操作成功完成。税控盘已经将所有数据返回， 将结束级联操作，等待接收新的税控命令。管理软件或宿主结束级联操 作，等待发送新的税控命令。如果税控盘返回0 x c 0 0 2 的错误代码，说 明此次级联操作没有成功完成。税控盘还未将所有数据返回，将结束级 联操作，等待接收新的税控命令。管理软件或宿主结束级联操作，继续 发送新的税控命令。如果税控盘返回其他的错误代码，说明此次级联操 作没有成功完成。此时，税控盘将结束级联操作，等待接收新的税控命 令。管理软件或宿主结束级联操作，继续发送新的税控命令。 当管理软件或宿主发送b c m d u n k 为非零的c b w 后，如果税控盘不返 回错误代码，说明税控盘已经将该级联顺序号为b c m d u n l 【的数据包成 功返回，等待接收c b w ，发送下一包数据。管理软件或宿主设置 b c m d i j n l 【后发送c b w ，等待接收下一包数据。如果税控盘返回0 】| 【d 3 】【】【、 o 】【d 4 x x 或o x d 5 x x 。税控盘没有将级联顺序号为繇的数据包返回，等 待接收c b w ，发送下一包数据。管理软件或宿主设置b c l n d u l l l 【后发 送c b w ，等待接收下一包数据。如果税控盘返回0 x d 2 0 0 。税控盘已经 成功将所有数据返回，将结束级联操作，等待接收新的税控命令。管理 软件或宿主结束级联操作，等待发送新的税控命令。如果税控盘返回其 他错误代码，说明此次级联操作没有成功完成。税控盘将结束级联操作， 等待