基于格式化分組指令流的CPU卡遠程控制方法探索

徐鋒 冷夢甜

摘 要：目前基于CPU卡的應用系統中存在高交互效率和強主機控制這一對矛盾，文中通過分析CPU卡指令的應用特性，制定了一套服務器和終端解釋模型，并將該模型應用于充值和發卡系統中。分析發現，該模型能夠在滿足各類業務需求的同時滿足高交互效率和強主機控制的要求，為基于CPU卡的應用系統提供了一種高效率、高安全性的控制方法。

關鍵詞：CPU卡;遠程控制;終端解釋模型;格式化

中圖分類號：TP39文獻標識碼：A文章編號：2095-1302（2019）01-00-04

0 引 言

CPU卡作為一種自帶計算和存儲能力的安全介質，卡片內含有微處理器、存儲器和操作系統，功能相當于一臺微型計算機，具有安全、穩定、可控和易攜帶等優點，被廣泛應用于金融、政府行業、公共交通等領域[1]。基于CPU卡的聯機應用服務包括CPU卡、終端、應用服務器等，現有的業務實現一般采用兩種模式實現應用服務器對CPU卡的遠程控制，分別為終端透傳模式[2]與終端處理模式[3-4]，這兩種模式無法同時滿足高交互效率和強主機控制的需求。在一卡通應用系統的終端開發過程中，一卡通應用方對業務比較熟悉，傾向于強主機控制;終端提供方對CPU技術比較熟悉，傾向于高交互效率，雙方一般依據基于業務和技術力量的不同選擇某一模式，但均有改進空間，因此研究一種滿足高交互效率和強主機控制需求的控制方法十分必要。

1 傳統遠程控制方法存在的問題及解決思路

1.1 終端透傳模式存在的問題

終端透傳模式是指所有業務邏輯由應用服務器控制，終端只作為通道下發APDU指令到CPU卡，并接收返回信息轉發給應用服務器，后續處理邏輯由應用服務器根據返回信息再次組織指令下發，終端在應用服務中的作用在于透傳信息，如圖1所示。這種模式的業務邏輯由應用服務器控制，雖然可以通過后臺軟件配置對業務流程進行調整，但會導致終端與應用服務器之間的交互增多，降低應用效率。

1.2 終端處理模式存在的問題

終端處理模式是指應用服務器接收應用所需的必要數據和提供CPU卡操作必須的數據。應用邏輯由終端和應用服務器共同控制，終端進行主要的業務控制，如圖2所示。這種模式可以提高系統的應用效率，但業務邏輯由終端控制，需要調整業務流程時需對不同部署區域不同種類的終端進行升級，難于實現業務流程的靈活調整。

1.3 解決思路

對于上述兩種傳統模式，前者因網絡交互太多而影響效率，后者因服務器對CPU卡的控制導致只能通過終端間接控制，而且受終端邏輯影響。為了解決現存的問題，必須引入一種在不增加交互過程的基礎上使服務器可直接遠程控制CPU卡操作的新模式。

如果想實現最少的交互次數，就需要將大量控制邏輯下放給終端處理，如果為實現最強的主機控制，就需要收回終端的控制邏輯能力，而這是一對矛盾。因此文中分析了CPU卡指令的特性，設計了一套服務器、終端的解釋邏輯，由服務器端編輯并下發控制邏輯，終端按規則解釋執行邏輯，以實現最少的交互與最強的控制，避免兩種傳統模式的缺點。

2 CPU卡指令分析

基于業務管理和安全的要求，一般業務系統在設計時會考慮關鍵業務的控制點。例如，在充值業務中，卡片充值必須有后臺服務器才能產生mac1數據，而mac1數據與交易金額、卡號、序列號、時間、充值密鑰等數據密切關聯，不可偽造、不可修改、不可重發，因此業務系統需以mac1數據的發出作為收款的關鍵控制點。由于業務系統存在各控制點，使得整個業務流程在CPU卡和后臺系統間必須經過一次或多次交互，即設計CPU卡指令的解釋邏輯不僅要考慮本次交互的指令順序和狀態控制，也要考慮多次交互時上下文的關系。

因CPU卡的狀態千差萬別，每次交互的指令組內部也需要定義一定的處理邏輯，前一條指令的返回狀態會影響后續指令的執行順序。例如，在聯機消費過程中，讀取卡片信息后，需要根據卡片是否在黑名單內而選擇正常消費或退出本流程;有時需要根據訪問目錄的返回情況而選擇進入不同的交易流程。

同時，不僅前一條指令的返回狀態會影響后續指令，前一組和前一條指令的返回數據也會影響后續指令的處理。例如，前一條查詢余額指令正常執行，余額太大后續則無法充值，余額太小后續無法消費等。

本文研究設想所有CPU卡業務流程都可能有關鍵業務控制點，需要通過多次交互實現，每次交互都需要根據指令返回狀態和返回數據確定下一步操作內容和后續步驟，同時也可能需要組織數據回送服務器。

3 CPU卡指令解釋邏輯設計

本文研究設想所有CPU卡業務流程（如充值業務、在線消費業務、遷移卡業務、測試業務等）都可以通過多個指令組實現，每個指令組表示需要一次CPU卡與應用服務間的交互，當次交互的指令信息和返回要求編入該分組，每個分組由多條指令組成，每條指令定義了操作內容和后續步驟，并定義了需要動態定義的操作內容和返回數據。

3.1 關鍵字

服務器端和終端進行邏輯解釋遇到關鍵字時，進行特定的解釋處理，設計了表1所列的關鍵字。

3.2 服務器端的指令配置模板

對于所有業務流程都可使用圖3所示的模板。

服務器端的指令配置按照統一模板，針對不同的業務進行具體的指令配置，以下是每個字段的配置說明：

（1）指令組ID：唯一標識指令組，由三位數字組成，從001開始（不能為000），一般按數字順序編號;

（2）指令ID：在同一指令組內唯一標識指令，由三位數字組成，從001開始（不能為000），一般按數字順序編號;

（3）指令（含數據）：APDU的具體數據，可以含可變參數，以{}標識，如805A000202{onlineSeqNo}08表示指令需要將之前指令獲取的onlineSeqNo值填入;

（4）期望值和順序號：指示該條指令期望的返回值以及對應的下一條指令的ID號，支持多節，每節以“+”分隔，節內返回值與下一條指令以“|”分割，匹配到第一個結果即結束匹配，“*”標識匹配任意值，下一條指令若為000則結束，如9000|002+6A82|006+*|006表示返回以9000結尾的數據下一條執行2號指令，返回以6A82結尾的數據下一條執行6號指令，其他返回值下一條執行6號指令;

（5）結果解釋域：指當前指令的執行結果可以解析出來的值，由值名和值位置標識，值名由書寫字母和/或數字組成，在一個動作內唯一標識執行結果內容，值位置由開始位置和長度組成，如{logicNo[0|8]}表示從本指令返回值的下標0開始，截取8 B長度，可以解析出logicNo參數的值;

（6）處理類型：由兩個數字組成，第一個數字表示服務端處理類型，第二個數字表示終端處理類型。

終端處理類型：0一般處理，只需將指令送往卡片并接收返回即可;1獲取終端信息，終端按“結果解釋域”指定的關鍵字要求填寫返回數據。

服務端處理類型：0一般處理，或只需將{}符號內的變量填充完成即可;2產生寫安全文件的mac值;3產生加密寫安全文件的mac值;4驗證充值mac1;5計算充值mac2。99為特殊類型表示錯誤，需終端重新處理。

3.3 服務器解釋流程

服務器解釋流程如圖4所示。

（1）從配置文件中讀取本應用對應的指令組（從001組開始處理）。

（2）從指令組中讀取指令進行處理，處理內容主要為填充“{}”內的變量。首先判斷處理類型是否需要服務器計算相應關鍵字的值，優先采用臨時計算的關鍵字的值填充相應變量;然后從結果解釋域中獲得相應變量的結果填充，如無對應的結果解釋域變量，則再讀取系統配置信息填充，如再無系統配置信息則報錯。

（3）將格式化的指令傳遞給終端并接收終端返回的信息。

（4）對照發出指令組內每條指令的“結果解析域內容”，逐條解析結果，并將結果記錄在服務器對應的參數中。

該業務流程如果還有指令組未執行，則取下一組指令重復步驟（1）～（4），直到全部完成。

3.4 終端解釋流程

終端解釋流程如圖5所示。

（1）從服務器獲取格式化指令組。

（2）對獲取的格式化指令組進行格式審查和解釋。

（3）進行卡片操作，終端優先按處理類型指示進行終端處理，然后終端對卡片執行指令（若指令為空則返回缺省值），獲取返回值和狀態值，按當前指令的“期望值和順序號”字段要求執行下一條指令，直到本組指令全部執行完成。終端對卡片執行指令前，首先與卡片完成尋卡、反沖突、選卡等操作，與卡片建立穩定的APDU通道，后續的操作邏輯和返回數據組織完全按服務器下發的格式化指令進行。

（4）組織本組指令的結果解析域返回給服務器。

終端持續請求、檢查、執行指令組并返回信息，直到收到組號為99的指令組。

3.5 解釋流程示例

3.5.1 服務器端指令模板

3.5.2 服務器解釋

服務器首先讀取模板信息，然后用系統變量替換“{}”內的變量，再格式化各指令，指令間以英文“;”分割，最后一條指令以“.”結束;每條指令包含指令組ID，指令ID，指令，期望值，解釋域和處理類型共6個字段，字段間以“，”分割，字段可以為空;期望值和順序號字段由期望值和指令ID對組成，用“|”連接，一個字段可以由多組期望值和指令ID對組成，組之間由“&”連接。系統最后形成如下字符串下發終端：“001，001，07，00a4000002ddf1，9000|002&*|000，0;001，002，05，c4fe000000，9000|003&*|000，phyNo[0|8]，0;001，003，05，00b0950808，9000|004&*|000，logicNo[0|8]，0;001，004，07，00a4000002adf1，6a81|005&*|000，0;001，005，07，00a4000002adf3，*|000，0.”。

3.5.3 終端解釋

4 CPU卡具體業務設計

本節以CPU卡應用領域比較常見的兩個業務場景—空中充值、空中發卡為例，設計了一套服務器配置模板、服務器解釋說明和終端解釋說明，用于說明基于終端邏輯解釋的設計在實際具體業務上的實現情況。

4.1 空中充值

一卡通行業的CPU卡充值一般遵循PBOC電子錢包規范，圖6所示為一套基于PBOC電子錢包充值的模板配置，共配置有3組操作指令和一組結束指令。

4.2 卡片發行

一卡通和銀行領域的卡片發行一般都遵循GlobalPlatform規范要求，在完成安全域初始化后進入具體的SSD安全域，替換SSD密鑰后，將卡片的密鑰和文件信息通過密文的方式寫入卡內。圖7所示是對已完成安全域初始化后的卡片發行的模板，共含3組指令組。

5 結 語

本文就CPU卡指令特征進行了分析，以高主機控制低交互次數為目標，設計了一套包括配置模板、服務端解釋流程、終端解釋流程的可行的解釋邏輯，并已應用到一卡通行業的空中充值和卡片發行中。同時，CPU卡還被應用于聯機消費、客服處理、身份驗證等領域，該解釋邏輯可以通過擴展關鍵字和解釋邏輯很好地適應新應用的要求。不足之處在于，應用的多樣性和不可預測性導致很難設計一套可以兼容所有應用的解釋邏輯，在增加新應用時只需修改配置模板即可，無需修改服務器和終端解釋流程。

參 考 文 獻

[1]周宏華，李樹國，周潤德.高安全性的智能卡芯片結構與設計[J].清華大學學報（自然科學版），2003（4）：569-572.

[2]蘇浩偉，鄒大畢，溫曉麗.基于安卓NFC接口的交通一卡通手機充值系統研究[J].信息化建設，2016（7）：58-61.

[3]鄧均.城市一卡通系統設計與實現[D].廣州：華南理工大學，2016.

[4]薛峰.智能公交充值服務系統的設計與實現[D].天津：天津大學，2017.

[5]唐柳，黃樟欽，張會兵.基于指令流混合比與功能單元匹配的軟錯誤脆弱性控制方法[J].計算機應用研究，2017，34（1）：98-101.

[6]童新，姚莉，倪波.基于物聯網的Cortex-A53智能云鏡系統的設計與實現[J].物聯網技術，2018，8（5）48-50.

[7]鄧超國，谷大武，李卷孺，等.一種基于全系統仿真和指令流分析的二進制代碼分析方法[J].計算機應用研究，2011，28（4）：1437-1441.

[8]李功麗，戴紫彬，徐進輝，等.基于流體系架構的分組密碼處理器設計[J].計算機研究與發展，2016，54（12）：2833-2842.