電信智能卡發展現狀及趨勢研究

郭 達 張智江

[摘要]文章從硬件能力、對網絡及業務安全的支持、擴展功能等方面介紹了電信智能卡演進發展的情況，分析了電信智能卡的新技術及其帶來的能力提升，并探討了電信智能卡演進中遇到的問題。

[關鍵詞]智能卡手機終端USIM

1引言

智能卡的使用可以追溯到1950年，起初僅用于支付領域。用于移動通信領域始于GSM(Global System of Mobile)系統，稱為用戶識別模塊(Subscriber Identity Module，SIM)卡，為移動電話網絡的訪問提供了高安全性，實現了機卡分離。方便用戶更換手機終端，為移動電話市場化帶來了巨大的商機，其本身也在移動通信中獲得了廣泛的應用。

SIM卡參與用戶的認證鑒權，密鑰存儲在SIM卡中。相關的安全計算過程也在SIM卡中實現，大大提高了用戶的安全性，在使用之初，大大降低了號碼復制和盜打的情況。GSM系統中引入智能卡取得了巨大的成功。近年來全球每年發行的SIM卡數以億計。其他通信系統也紛紛引入智能卡機制，實現了機卡分離，如中國聯通在幾年前實現了CDMA系統的機卡分離，后來中國電信的小靈通也實現了機卡分離。第三代移動通信的各個標準也都是用智能卡作為用戶識別模塊，UMTS中使用的叫做USIM(Universal Subscriber Identity Module，通用用戶識別模塊)卡。在今后的移動通信系統中，終端使用的用戶識別裝置將大多采用智能卡。

除了標識用戶、實現終端的認證鑒權之外。智能卡還可為移動通信業務提供安全機制。此外智能卡還提供了存儲用戶信息的功能，如電話號碼簿、短消息、通話記錄等；智能卡應用工具箱能為用戶提供一些基于智能卡菜單的業務，如SIM卡能通過STK菜單提供業務菜單。

2智能卡硬件的發展

智能卡是一個微型計算機，具有存儲器、運算器和輸入輸出設備。下面先討論智能卡硬件的發展情況。

半導體和芯片技術近年來取得了長足的發展，使智能卡的成本越來越低，硬件能力越來越強。

智能卡本身內部就有處理芯片。目前常用的處理器是8位處理器，今后的處理器將朝著16位和32位的方向發展。

在存儲容量上，基于EEPROM存儲器價格越來越低，體積越來越小。最早的SIM卡其EEPROM存儲容量只有16K～32K，現在已經能達到256K甚至512K，基于EEPROM的存儲其瓶頸在于封裝的工藝，超過512K的存儲容最很難封裝在現有的卡片體積里面。閃存技術為智能卡提供了價格低廉、體積小、容量大的存儲方式，目前基于閃存的智能卡存儲容量已經輕松上G，但是基于閃存的存儲耗電相對高，而且閃存的存儲速度比EEPROM慢。可靠性相對EEPROM較差。但無論如何，閃存技術的引入，智能卡的容量限制得以突破，智能卡可以存儲更多的數據、裝載更多的應用。

智能卡與終端之間通過觸點之間的電平信號進行信號傳輸，傳統的智能卡基于ISO 7816標準進行數據傳輸，現有手機中的SIM卡和USIM卡都基于該標準。常用的智能卡有8個觸點，而手機上一般只有6個觸點，還有2個未使用的觸點是保留觸點。ETSI提出的機卡接口USB傳輸就使用了這兩個觸點，在終端與智能卡之間實現了USB傳輸，實現機卡接口之間傳輸達到USB 2.0的HIGH SPEED模式(如圖1所示)，傳輸速率理論值達到12Mb/s。該模式使用的電壓為1.8V和3V，且與ISO模式兼容，ISO傳輸與USB傳輸參數比較見表1。ETSI在2004年就推出了機卡接口USB傳輸標準，但到目前為止，支持這種接口的手機還非常罕見。

3電信智能卡安全性能的發展

智能卡最初應用于GSM系統，是為了實現網絡的認證鑒權，與第一代移動通信系統相比，大大減少了電話盜打、復制號碼等情況的發生。但是好景不長，由于SIM卡內部安全算法的泄漏以及攻擊手段的提高，SIM卡的驗證方式又是單向的，即網絡驗證SIM卡，SIM卡不驗證網絡，攻擊者可以使用程序冒充基站給SIM卡提出驗證請求并得到響應，導致SIM卡被攻破，復制SIM卡成為一件很容易的事情。

針對第二代移動通信系統和SIM卡安全性能的缺陷，第三代移動通信UMTS采用了USIM卡，USIM卡基于UICC架構。UICC架構是電信智能卡的發展方向，與SIM卡相比，USIM能夠裝載多個應用；另外。雖然第二代和第三代移動通信都使用了認證與密鑰協商機制AKA(Authentication and Key Agreement)，但USIM卡與網絡之間的驗證不再是單向驗證，而采用了安全性能較高的雙向驗證，即網絡驗證USIM卡，USIM卡也對網絡進行驗證，攻擊者無法偽造網絡來對智能卡發起攻擊，大大提高了智能卡的安全性，目前尚未見USIM卡被攻破復制的報道出現。

隨著網絡的演進，安全架構也隨之演進，如演進的分組系統EPS(Evolved Packet System)采用雙層安全架構，與UMTS相比，將安全的層次分為了接入層AS(Access Stratum)和非接入層NAS(Non Access Stratum)，其密鑰體系也發生了較大的改變，但EPS仍將采用USIM卡作為其用戶識別模塊。3GPP也在USIM卡的新版本中加入了EPS安全的內容。

AKA過程為用戶接入網絡提供了認證鑒權方式，通過AKA的用戶能夠使用基礎的電信業務，如打電話、發短信等，但這些基礎的業務遠遠滿足不了人們的需求。移動通信提供了越來越多的服務，如多媒體業務、位置服務、游戲、互聯網服務等，這些業務需要可靠的安全機制來保證業務的安全使用和準確的計費，而基礎的AKA認證無法為這些服務提供安全機制。在進一步通信之前，需要在用戶端(如手機)和應用服務器之間進行雙向認證。因此在移動通信中要實現這些業務，就有必要定義一套通用的認證框架。許多應用在通信前都需要在客戶與應用服務器間進行認證。

通用認證框架GAA(Generic Authentication Architecture)就描述了一個這樣的框架。通常的認證機制有兩種，一類是基于通信實體之間的共享密鑰。另一類是基于密鑰對(共有或私有)。GAA包含了這兩種機制。基于共享密鑰的機制又叫做GBA(Generic Bootstrapping Architecture)。GBA為終端和服務器建立一個共享密鑰，而且提供了一個基于3GPP AKA的通用機制。GBA有GBA_ME和GBA_U兩種形式，前者通過手機終端實現，后者通過USIM卡實現。

GBA參考模型如圖2所示，下面簡單介紹一下GBA新增的網元：

BSF(Bootstrapping服務功能，Server Bootstrapping

Function)是引入GBA后新增的網元，BSF與HSS都位于歸屬網絡中，BSF、HSS和UE共同參與GBA，在GBA過程中，通過執行Bootstrapping過程，在網絡與UE之間建立一個共享的密鑰，該密鑰用于保護UE和NAF之間的數據。

NAF(Netwo rk Application網絡應用功能，Function)就是位于網絡側的應用服務器，每個應用都有一個NAF，因此BSF和uE可能與多個NAF進行交互。NAF除了提供應用服務之外，還要參與安全方面的交互過程。在Bootstrapping過程之前，UE和NAF之間沒有進行安全關聯，而NAF能夠與BSF進行通信，從BSF獲取UE和BSF達成的共享密鑰。NAF在GBA過程中實現的功能有根據本地策略設置共享密鑰的本地有效情況、檢測共享密鑰的生命周期、與UE采取措施來保證密鑰的刷新。

因此，通過GBA_U可以實現業務密鑰的協商，如手機電視業務。但是使用GBA業務使用之前需要對用戶訂購的信息進行確認，并協商相應的密鑰。

IMS(IP多媒體子系統，IP Multimedia Subsystem)也可以使用USIM卡上的GBA認證機制進行認證。成為USIM應用，通過AKA過程認證用戶，并用GBA為IMS業務協商密鑰。

4擴展功能的發展

除了上述安全的功能之外，智能卡領域還出現了一些新技術，用于增強電信智能卡的擴展功能，這里簡要介紹BIP協議和智能卡WEB服務器。

4.1BIP協議

智能卡一旦發行，到了用戶手里，隨著業務的發展和網絡的演進，其上面的內容也有必要按照運營商或用戶的要求進行更改，如更新STK菜單、安裝下載智能卡上的程序等，這就需要網絡與智能卡之間進行通信。現有的運營商一般通過OTA的方式更新智能卡上的菜單，而OTA大多基于短消息，短消息每次最多只能傳送140個英文字符，且傳送的時延、可靠性和順序無法得到保證，這對智能卡的內容更新來說是十分不利的，事實上，靠短信更新STK菜單的OTA卡，其成功率都不高。

ETSI提出了與承載無關的協議(BIP)，如圖3所示，該協議用于傳輸智能卡應用工具CAT_TP(Card Application Toolkit-TransferProtocol)，使得智能卡可以使用手機與網絡之間的數據通道來更新智能卡上的內容，大大提高了數據速率和更新成功率。131P協議還可用于在網絡與智能卡之間傳送大文件，支持智能卡WEB服務器等。但在智能卡中使用BIP協議需要手機的支持，目前支持BIP的手機款型并不多。

4.2智能卡Web服務器

智能卡可以為用戶提供菜單，通過菜單提供增值服務，這些菜單基于智能卡應用工具箱，如SIM卡的STK菜單，用戶選擇這些菜單，可以獲得一些增值服務。但基于智能卡應用工具箱的界面是以文本、字符的方式呈現的，表現方式簡單。針對此，OMA提出了智能卡Web服務器SCWS(Smart Card Web Server)，在智能卡中實現基于Web技術的應用，豐富了運營商為用戶提供的移動通信智能卡業務，智能卡WEB服務器連接結構如圖4所示。但SCWS需要手機側支持8IP服務器模式，目前支持的手機款型也很少。

5結束語

智能卡在電信領域的應用將伴隨著移動通信發展的全過程，智能卡特性決定了智能卡適合作為用戶識別模塊并承載一些業務，事實上，近年來電信智能卡除了數量上的增加，在這個領域還出現了很多新技術，國際標準化組織和企業也投入了很多力量來從事這方面的研究。另一方面，智能卡和手機是不能分割的，智能卡和手機合并起來才稱之為終端。因此電信智能卡的發展與手機的支持是分不開的。但由于電信智能卡方面的新技術不能為手機廠商帶來現實的利益，以及智能卡某些功能與手機的重復，導致了大部分手機廠商都不愿意嘗試最新的智能卡技術，這是制約智能卡發展的一個重要因素。因此，智能卡要得到更好的發展，智能卡新技術要得到更廣泛的應用，應該尋求讓運營商、卡商、手機廠商、用戶都得益的業務模式，才能實現多贏，真正推動電信智能卡的蓬勃發展。