ARM7 智能卡的动态口令终端研究与实现(2)

内的文件类型

展性功能指的是对GSM11.14 协议栈的实现，是实现STK 应用的基础。OTA 菜单下载的实现借助于STK 功能和数据短消息通道，支持空中下载的COS 提供可行的人机接口界面供用户发起下载申请，OTA 应用下载服务器根据用户请求，以数据短信息的形式将相应的服务内容发给用户手机，并将下载数据透明地传递给ARM 智能卡芯片，COS 对下载的短信息内容通过双向认证后进行解析，把STK 菜单的字节码数据流重新进行组织存储，实现相应的STK 菜单管理。对手机而言，ARM7 智能卡相当于SIM 卡而屏蔽了其微处理器及相关电路的软硬件特性，而对SIM 卡而言，ARM7 智能卡就相当于手机而屏蔽了其微处理器及相关电路的软硬件特性。在此基础上，实现ARM7 智能卡对SIM 卡的STK 功能扩展，把不同规格的SIM卡整合到一个开放的STK 应用平台上。其整体硬件结构逻辑功能框图及ARM7 智能卡硬件接口分别如下图（1）和图（2）所示：

在 ARM7 智能卡硬件接口中，VDD、GND、RST、CLK 分别连接手机和SIM 卡的对应接口，保持手机和SIM 卡内线路连通，IO1 连接手机的IO 口，IO2 连接SIM 卡的IO 口，通过这两个接口实现ARM7 智能卡、手机以及SIM 卡之间的相互通信。

3 动态口令实现

3.1 动态口令实现流程

基于ARM7智能卡的动态口令认证系统终端采用双因素认证方式，首先获取动态口令具有PIN码保护，用户需要输入正确的PIN码，才能产生动态口令。利用手机STK菜单功能，使用Get Input命令输入数字PIN码。用户除了输入正确的PIN码之外，还要求与认证服务器的计数器实现同步才能得到正确的操作口令。

动态口令的实现过程包括开通服务、数据同步及获取口令等。开通服务主要包括密钥分散以及数据加密两部分，智能卡和认证服务器都预先存储10 组相同的主密钥。在开通时智能卡利用随机生成的密钥索引（简称KID）选取其中的一组（16 字节），采用PBOC 算法进行密钥分散后得到用于数据加密的会话密钥KC，然后使用KC 对卡号和随机生成的口令加密密钥（deskey）经过三重数据加密标准算法（简称3DES）加密，再将加密结果连同密钥索引一起以数据短信息的形式上行给认证服务器，认证服务器接收到数据后，利用密钥索引取出相同的主密钥，同样对主密钥进行PBOC 密钥分散得到解密密钥KC，再用KC 解出对应智能卡的ICCID 及deskey，并同时将同步计数器清零，实现了与卡端的同步。数据同步主要用于防止智能卡计数器与认证服务器计数器出现异常时能够重新获取同步信息的操作。

获取口令过程主要包括三部分，首先使用智能卡内部与认证服务器随机生成的deskey 对卡片序列号（简称ICCID）和计数器Counter 进行加密，然后对加密结果进行SHA1-HASH 处理得到20 字节密文，最后对HASH 结果进行数字化。其实现流程如下图（3）所示：

其中数字化是从 HASH 结果的20 字节（160bit）数据中动态取出4 字节的数据，把该4 字节数据转换为8 位十进制数字。

3.2 动态口令STK 菜单实现