标签(空格分隔): Java 智能卡
我们将从原理上理解Java Card开发中一些关键的技术信息。
名词解释
Applet:J2SE中也存在Applet这个概念。这里的Applet可以看做类似于Android中一个个APP。分为ROM Applet、事前发行和事后发行Applet。
AID:应用标识符。又区分为Package AID和Applet AID。相当于MAC地址的构造,前四个字节是IEEE分配的,后四个字节是厂商定义的内部序列号。Applet AID是Package AID的所有部分外加一些字节
CAP:Converted Applet。我们知道,J2SE中也存在Applet,这里沿袭了Applet的定义——小应用程序。由于智能卡的计算能力有限(据说是最小的计算平台),所以需要将二进制文件class进行削减,于是就构成了CAP
ATR:复位应答,卡-机交流的第一句话,包括协议之类的数据
DF:专用文件Dedicated File的缩写,DF的作用可以等同于计算机中的目录文件
MF:在一张卡片里(这里说的是卡片而不是某个应用)有且仅有一个特殊的DF,称为主文件MF,这个MF的FID默认为3F00,相当于计算机中的根目录,而且在任何时候MF都可以被选择
EF:基本信息文件Elementary File,也就是说通常情况下和应用相关的数据都会存放于EF中。
如果某个DF下没有子DF,只有若干EF,那么这个DF也被称作ADF,反之如果某个DF下除了有EF之外,还有子DF,那么这个父级的DF也被称作DDF。为了对文件进行访问,需要给文件分配一个特定的标识。无论是DF还是EF都会有对应的两个字节长ID标识,也就是所谓的FID。而DF还会有5-16个字节长的名字,也叫做AID。EF还会有一个5位长(范围从1到30)的短文件标识,就是SFI。
ADPU
| CLA | INS | P1 | P2 | Lc | 数据域 |
|---|---|---|---|---|---|
| 0x0 | 0xA4 | 0x4 | 0x0 | AID的长度 | AID 字节 |
APDU的全称是Application Protocol Data Unit,也就是在应用层实现的数据单元。其中读卡器发出的叫Command-APDU,卡回复的叫Response-APDU。
Command-APDU:
| CLA | INS | P1 | P2 | Lc | 数据域 |
|---|---|---|---|---|---|
| 0x0 | 0xA4 | 0x4 | 0x0 | AID的长度 | AID 字节 |
| Le | 数据域 | SW1 | SW2 |
|---|---|---|---|
| 0x00 | Null | 0x90 | 0x00 |
Response-APDU:
| Le | 数据域 | SW1 | SW2 |
|---|---|---|---|
| 0x00 | Null | 0x90 | 0x00 |
在卡-机通信开始之前,还有个请求和回复的过程。这时候我们可以收到一个ATR如:
ATR = 0x3b 0xf0 0x11 0x00 0xff 0x00
| TS | T0 | TA1,TB1,TC1,TD1 |T1,T2,...,T15 | TCK |
| :----: | :----: | :----: | :----: | :----: | :----: |
| 起始* | 格式*,决定接口和历史 | 接口(由T0决定:b5-TA1,b8-TD1) | 历史 | 校验 |
| 0x3B/0x3F | 0xF0 | 0x11 0x00 0xFF 0x00 | Null | Null |
Applet构成简介
我们以最简单的demo为例:
package hellojavacard;
import javacard.framework.APDU;
import javacard.framework.ISO7816;
import javacard.framework.Applet;
import javacard.framework.ISOException;
public class Appletcard extends Applet {
private Appletcard() {
}
public static void install(byte bArray[], short bOffset, byte bLength) throws ISOException {
new Appletcard().register(bArray, (short) (bOffset + 1), bArray[bOffset]);
}
public void process(APDU apdu) {
if (selectingApplet()) {
return;
}
byte[] buf = apdu.getBuffer();
switch (buf[ISO7816.OFFSET_INS]) {
case (byte) 0x00:
break;
default:
ISOException.throwIt(ISO7816.SW_INS_NOT_SUPPORTED);
}
}
}
注册Applet
这一步是通过register()函数实现的,register()函数有两种形式,一种是不带参数的,一种是带参数的,这些参数在Applet的安装期间就进行了传递:
register(byte[] bArray,short bOffset,byte bLength)
#byte[] bArray - 包含安装参数的数组
#short bOffset - 安装参数在 bArray 中的起始位移
#byte Length - bArray 中的参数数据的字节数
这些初始化值是Applet开发者定义的,通常钱包应用可以包括记录数目,钱包ID,卡初始余额等。
选择Applet
| CLA | INS | P1 | P2 | Lc | 数据域 |
|---|---|---|---|---|---|
| 0x0 | 0xA4 | 0x4 | 0x0 | AID的长度 | AID 字节 |
在未被选择之前,Applet是处于挂起状态的。这一步是通过selectingApplet()实现的,SELECT APDU 命令是在 Java 卡平台上被标准化的唯一 APDU 命令。注意,正常情况下Applet只能通过成功的SELECT APDU命令执行,但有些卡可以通过配置缺省Applet的方式省去这一步骤。
C-APDU:
| CLA | INS | P1 | P2 | Lc | 数据域 |
|---|---|---|---|---|---|
| 0x0 | 0xA4 | 0x4 | 0x0 | AID的长度 | AID 字节 |
| Le | 数据域 | SW1 | SW2 |
|---|---|---|---|
| 0x00 | Null | 0x90 | 0x00 |
R-APDU:
| Le | 数据域 | SW1 | SW2 |
|---|---|---|---|
| 0x00 | Null | 0x90 | 0x00 |
与之对应的反向操作为deselect(),相当于进程阻塞操作block。在复位和掉电的情况下,取消选择不执行deselect()。
获取APDU
为了处理APDU,我们先要将其获取并存储至字节数组buffer。APDU buffer 是一个字节数组,其长度可通过方法 apdu_buffer.length确定。
public void process(APDU apdu){
//索取APDU
buffer byte[] apdu_buffer = apdu.getBuffer();
}
在调用一个 applet 的 process 方法时,在APDU buffer 中只有命令的前 5 个字节是可用的――前 4
个字节是APDU 头〔CLA,INS,P1,P2〕而第 5 个字节(P3)是一个附加的长度域。P3 的含义是隐含的, 由命令的 case 决定:
- 对于 case1,P3=0;
- 对于 case2,P3=Le,表示输出的响应数据的长度;
- 对于 case3 和 case4,P3=Lc,表示输入的命令数据的长度。
返回状态字
- 正常状态:返回状态字0x9000。(SW1:0x90;SW2:0x0)
- 在 命 令 处 理 过 程 中 的 任 何 地 方 , applet 终 止 操 作 并 通 过 调 用 静 态 方 法
ISOException.throwIt(reason) 抛出 ISOException 例外。 - 如果由底层 Java 卡系统检测到错误, JCRE 的行为是不确定的。例如, JCRE 可能抛出一个例
外 APDUException 或 TransactionException。
智能卡安全
从上面的APDU交互过程我们可以看出,交互的过程完全通过明文传输。这就好比TCP/IP协议实现了端-端的传输,踢进了临门一脚。对于智能卡传输过程中的安全性,我们就要借助应用层协议(如SSL/TLS)。智能卡的传输过程也是一样,我们需要对一些敏感的信息进行加密(比如卡交易金额),同时对消息的可靠性也有认证的需求(还比如卡交易金额)。另外,加密可以作为一个身份认证的标示(比如SIM卡与注册网络),这样可以将其视作一个令牌(token)。
javacard.security 包
| 类或接口 | 描述 |
|---|---|
| Key | 所有密钥的基接口 |
| SecretKey | 用于对称算法的密钥的接口 |
| DESKey | 代表 DES 或双密钥 3DES 或 3 密钥 3DES 的 8/16/24 字节密钥 |
| PrivateKey | 关于用于非对称算法的私钥的基接口 |
| PublicKey | 关于用于非对称算法的公钥的基接口 |
| RSAPrivateKey | 用于利用模/指数形式的 RSA 算法签名数据 |
| RSAPrivateCrtKey | 用于利用中国余数定理形式的 RSA 算法签名数据 |
| RSAPublicKey | 用于验证利用 RSA 算法签名数据时的签名 |
| DSAKey | 关于 DSA 算法私钥和公钥实现的基接口 |
| DSAPrivateKey | 用于利用 DSA 算法签名数据 |
| DSAPublicKey | 用于验证利用 DSA 算法的签名 |
| KeyBuilder | 生成一个密钥对象的 Factory 类 |
| MessageDigest | 关于 hash 算法的抽象基类 |
| Signature | 关于签名算法的抽象基类 |
| RandomData | 关于随机数生成的抽象基类 |
| CryptoException | 代表一个密码技术相关的例外 |
| 类或接口 | 描述 |
|---|---|
| Cipher | 提供关于加密和解密的密码技术 cipher 的功能。类 cipher 是一个抽象基类 |
| KeyEncryption | 能使密钥的实现访问加密的密钥数据 |
javacardx.crypto 包
| 类或接口 | 描述 |
|---|---|
| Cipher | 提供关于加密和解密的密码技术 cipher 的功能。类 cipher 是一个抽象基类 |
| KeyEncryption | 能使密钥的实现访问加密的密钥数据 |
下面将一些应用进行举例:
计算消息摘要
Public static MessageDigest GetInstance(byte algorithm,boolean externalAccess);
#第一个参数可以为ALG_SHA、ALG_MD5,和 ALG_RIPEMD160
#第二个参数设置的是Applet计算的MD结果可否被外部访问
这里以SHA-1为例,对三个字节数组m1、m2、m3计算摘要:
Public class myApp extends Applet
{
Private MessageDigest sha;
Public MyApplet()
{
sha = MessageDigest.getInstance(MessageDigest.ALG_SHA,false);
//把字节数组 m1 中的整个数据馈入消息摘要计算
sha.update(m1,(short)0,(short)(m1.length));
//再从字节数组 m2 中位移 0 起馈入 8 字节数据
sha.update(m2,(short)0,(short)8);
//将字节数组 m3 中的全部数据作为最后一批发送给消息摘要计算,并将 hash 值保存于字节数组 digest 中位移 0 开始的地方
sha.doFinal(m3,(short)0,(short)(m3.length),digest,(short)0);
}
}
产生密钥
类 KeyBuilder 定义了一个供你选择的选择参数集,使你选择密钥的类型和密钥的长度。例如,为了建 立一个长度为 64 字节(64*8 = 512 位)的 RSA 私钥,你调用 buildKey 方法如下:
RSAPrivateKey rsa_private_key;
rsa_private_key = (RSAPrivateKey)KeyBuilder.buildkey(KeyBuilder.TYPE_RSA_PRIVATE, KeyBuilder.LENGTH_RSA_512,false);#这里进行了强制类型转换是便于调用RSAPrivateKey接口中的方法setModulus和setExponent
注意,这里生成的密钥对象未被初始化,还需要设置模数Modulus(r)和指数Exponent(e)。
计算和验证签名
签名就是生成摘要和产生密钥并进行加密的复合过程。所以我们要先构造签名实例:
Signature signature;
Signature = Signature.GetInstance(Signature.ALG_DSA_SHA,false);
#第一个参数支持主流的签名算法
#第二个参数设置的是Applet计算的Signature结果可否被外部访问
因为签名要使用一个密钥,我们需要初始化这个 Signature 对象。为此,我们需要调用两个 init 方法
之一:
public void init(Key theKey,byte theMode);
public void init(Key theKey,byte theMode,byte[] bArray,short bOff,short bLen);
#第二个init方法环允许你在字节数组bArray中规定算法初始化参数。如初始向量IV
在一个非对称算法中,签名和验证不是使用同一个密钥。所以,你应在第二个参数 theMode 中指
出如何使用密钥。有两种模式,如类 Signature 中所定义:
- MODE_SIGN--指出签名模式
- MODE_VERIFY--指出验证模式
下面的代码计算来自数组 s1, s2,和 s3 的数据的签名:
Public class myApp extends Applet
{
Private Signature signature;
Public MyApplet()
{
Signature = Signature.GetInstance(Signature.ALG_DSA_SHA,false);
Signnature.init(Key theKey,byte theMode);
//或Signnature.init(Key theKey,byte theMode,byte[] bArray,short bOff,short bLen);
//输入字节数组 s1 中的数据
Signature.update(s1,(short)0,(short)(s1.length));
//输入字节数组 s2 中的数据
Signature.update(s2,(short)0,(short)(s2.length));
//作为最后一批数据输入字节数组 s3 中的数据并生成签名,放到数组 sig_buffer 中,从位移 0 起
Signature.sign(s3,(short)0,(short)(s3.length),sig_buffer,(short)0);
}
}
下面的例子表明如何验证上一例子中计算出来的签名:
Public class myApp extends Applet
{
Private Signature signature;
Public MyApplet()
{
Signature = Signature.GetInstance(Signature.ALG_DSA_SHA,false);
Signnature.init(Key theKey,byte theMode);
//或Signnature.init(Key theKey,byte theMode,byte[] bArray,short bOff,short bLen);
//输入字节数组 s1 中的数据
Signature.update(s1,(short)0,(short)(s1.length));
//输入字节数组 s2 中的数据
Signature.update(s2,(short)0,(short)(s2.length));
//作为最后一批数据输入字节数组 s3 中的数据并生成签名,放到数组 sig_buffer 中,从位移 0 起
Signature.sign(s3,(short)0,(short)(s3.length),sig_buffer,(short)0);
//输入数组 s3 中的最后一批数据并用计算出来的签名验证放在 sig_buffer 中的签名
If(Signature.verify(s2,(short)0,(short)(s2.length),sig_buffer,sig_offset,sig_length) != true){ISOException.throwIt(SW_WRONG_SIGNATURE);}
}
}
数据加密和解密
下面的例子以 CBC 模式 DES 算法建立一个 Cipher 对象。输入数据无 padding。该 Cipher 对象以一个
用于加密的 DES 密钥初始化:
Public class myApp extends Applet
{
Private Cipher cipher;
Public MyApplet()
{
Cipher = Cipher.getInstance(Cipher.ALG_DES_CBC_NO_PAD,false);
Cipher.init(des_key,Cipher.MODE_ENCRYPT);
//或Signnature.init(Key theKey,byte theMode,byte[] bArray,short bOff,short bLen);
//输入字节数组 s1 中的数据
Signature.update(s1,(short)0,(short)(s1.length));
//输入字节数组 s2 中的数据
Signature.update(s2,(short)0,(short)(s2.length));
//作为最后一批数据输入字节数组 s3 中的数据并生成签名,放到数组 sig_buffer 中,从位移 0 起
Signature.sign(s3,(short)0,(short)(s3.length),sig_buffer,(short)0);
//输入数组 s3 中的最后一批数据并用计算出来的签名验证放在 sig_buffer 中的签名
If(Signature.verify(s2,(short)0,(short)(s2.length),sig_buffer,sig_offset,sig_length) != true){ISOException.throwIt(SW_WRONG_SIGNATURE);}
}
}
接着,为了加密数据,利用 update 方法和 doFinal 方法:
public short update(byte[] inBuf,short inOffset,short inLength,byte[] outBuff,short outOffset);
public short doFinal(byte[] inBuf,short inOffset,short inLength,byte[] outBuff,short outOffset);
随机数据的生成
随机数是密码技术过程( procedures)经常需要的。为了建立一个随机数发生器,你要调用类javacard.security.randomData中的方法getInstance并指出一种算法。算法选择参数可为RandomData.ALG_PSEDO_RANDOM,它表示伪随机数生成算法实用程序;或者为RandomData.ALG_SECURE_RANDOM,它指的是密码技术上安全性很强的随机数生成算法。
为了获得一个随机数,调用generatedata方法如下:
RandomData random_data = randomdata.getInstance(RandomData.ALG_SECURE_RANDOM);
//种子提供于字节数组 seed 中
random_data.setSeed(seed,seed_offset,seed_length);
//把一个随机数写入字节数组 random_num 中
random_data.generatedata(random_num, random_num_offset, random_num_ length);