智能卡安全机制比较系列（二）DS SmartCard

DS Smart Card是飞利浦公司自己开发的一款CPU卡产品，在早期芯片厂商开发自己的COS并进行推广很普遍，现在像英飞凌（前西门子半导体）以及恩智普（前飞利浦半导体）几乎很少推广自己的COS，大多时候都是在集中精力推广自己的芯片。

飞利浦的DS系列智能卡COS结合了ISO7816和ETSI的规范（也就是SIM卡规范），在安全机制上采取了和SIM卡类似的密码验证方式，即主要通过密码比对的方式获取对文件的访问控制权限。

DS CPU卡一共定义了三种基本的访问权限，分别是发卡商权限（0到3）共享权限（0和1），持卡人权限（0和1）。这些访问权限通过密码单元中对应的访问权限区域来定义，对应的密码分别是发卡商密码和持卡人密码，而共享权限可以利用发卡商密码或者持卡人密码来获得。在正确验证密码后根据访问权限区域设定的数据位就可以获得其中的一种或几种权限。一旦获得了某种权限，那么这种权限就一直保留，直到到卡片断电，或者是对同一个密码又进行了错误的认证后才会消失。每次正确的密码认证所获得的权限是累加的关系。

在可以设定的权限中共有16种状态，其中0表示始终满足，即不需要认证，而15表示永远都不满足，即拒绝任何访问。其余的14种状态可以分别对应不同的密码或者密码组合来实现访问控制。每个密码还设计了对应的解锁密码，当连续错误验证密码超过规定的次数后，该密码将被锁定，只有通过核对解锁密码才能解开。下表是访问控制权限组合：

访问控制编号	需要的访问控制权限	访问控制条件
0	不可用	始终满足
1	10 00 0000 (80H)	持卡人权限0
2	01 00 0000 (40H)	持卡人权限1
3	00 00 0000 (00H)	永远不满足
4	00 00 1000 (08H)	发卡商权限0
5	00 00 0100 (04H)	发卡商权限1
6	00 00 0010 (02H)	发卡商权限2
7	00 00 0001 (01H)	发卡商权限3
8	10 00 1000 (88H)	持卡人权限0和发卡商权限0
9	01 00 1000 (48H)	持卡人权限1和发卡商权限0
10	00 10 0000 (28H)	共享权限0
11	00 01 0000 (10H)	共享权限1
12	00 10 1000 (28H)	共享权限0和发卡商权限0
13	00 10 0100 (24H)	共享权限0和发卡商权限1
14	00 10 0010 (22H)	共享权限0和发卡商权限2
15	不可用	永远不满足

总体上看DS的CPU卡COS主要是依据SIM卡的规范而设计的安全机制，而其中的文件管理和操作也符合SIM卡的标准，比如对于文件的访问除了一般的读写之外，还有对文件的禁用和启用，在文件被禁用后不能更改，根据文件建立时规定的禁用可读与否来决定文件禁用后是否可读。

DS卡只支持一种EF文件类型，那就是透明二进制文件。

DS卡还有一种据称申请专利的认证技术，采用DES的算法来认证卡片上存储的数据，借以判断终端明确知道的某个地址的卡片内容对不对，这种认证方式类似于7816规定的内部认证，但是机制上又有自己的定义，所以也比较有意思。在目前广泛应用的CPU卡中几乎没有人再使用这种机制了。

这种认证机制可以核对更改后的数据是否正确、实现文件内容的密文读出、实现带有随机数的内部认证。实际上终端应该能够确切地知道卡片中某个位置存储的4个字节数据，在认证中并不是采用简单的密码比较方式，而是采用随机数和认证响应的方式进行计算和比较。

认证是依靠当前的EF文件来进行的，在认证进行之前，对于文件的读权限必须满足。通过两步来完成认证，第一步是生成临时密钥，第二步是使用第一步得到的临时密钥计算认证数据。首先终端发送8字节的随机数据给卡片，卡片把前两字节用当前文件的标识给替换掉，使用该数据通过认证密钥Kc进行DES解密运算来得到临时密钥。如果重新进行了正确的文件选择，那么原来计算得到的临时密钥就会被破坏。然后利用临时密钥对文件中某个地址的4个字节数据及其对应的两个字节的地址进行DES解密运算，出于冗余和8字节DES计算的需要，两个字节的数据被重复，即8字节的数据结构为：数据（4字节）+地址（2字节）+地址（2字节）。经过计算得到的8字节认证数据传送给终端，终端可以比对计算的结果是否正确，来确定认证是否成功。