SCWS技術(shù)在圖形化界面卡的接口及其應用

　　1) BIP 服務(wù)器模式 如果智能卡沒(méi)有自己的 IP 地址并且不直接支持TCP/IP 協(xié)議，終端內的BIP 網(wǎng)關(guān)可被用 作協(xié)議轉換器。TCP/IP 協(xié)議用于實(shí)現終端內的HTTP 應用程序與BIP 網(wǎng)關(guān)間的通信；BIP 協(xié)議用于BIP 網(wǎng)關(guān)和智能卡間的通信。

　　移動(dòng)手機中的 HTTP 應用程序（如，瀏覽器）將回送的IP 地址用作BIP 網(wǎng)關(guān)尋址。BIP 網(wǎng)關(guān)*SCWS，必須打開(kāi)兩個(gè)端口：為來(lái)自手機的HTTP 應用程序的HTTP 請求打開(kāi)端口； 為HTTP over TLS（HTTPs）請求打開(kāi)端口。 當一個(gè)手機中的HTTP應用程序經(jīng)BIP 網(wǎng)關(guān)連接到SCWS并開(kāi)始進(jìn)行數據交換時(shí)，SCWS 可以打開(kāi)另外的BIP 通道（使用Open Channel 命令），以允許手機中其他HTTP 應用程序連 接到SCWS，實(shí)現多個(gè)應用程序的同時(shí)連接。

　　2) TCP/IP 傳輸協(xié)議 如果智能卡擁有自己的 IP 地址并直接支持TCP/IP，而且手機終端支持來(lái)自智能卡的直 接IP 訪(fǎng)問(wèn)，TCP/IP 則被視作手機上HTTP 應用程序和卡上SCWS 間通信的首選協(xié)議。

　　有一組預先設置的端口：用于 HTTP 通信的80 端口和用于HTTPS 通信的443 端口是 默認端口。這種情況下終端中的HTTP 應用程序可以不依賴(lài)手機內置BIP 網(wǎng)關(guān)而直接與 SCWS 通信。因此，SCWS 將*默認端口和安全端口，以響應來(lái)自手機的HTTP 請求和 HTTP over TLS 請求。

　　5 安全協(xié)議

　　為保證傳輸的安全性，采用傳輸層安全TLS（Transport Layer Security）為通信的雙方提 供一種安全可靠的傳輸機制，以保證傳輸的私密性和完整性，也可根據要求采用單向或雙向 認證。TLS 工作于客戶(hù)端-服務(wù)器方式，其中發(fā)起認證的一端稱(chēng)為客戶(hù)端，響應的一端稱(chēng)為服務(wù)器。大多數情況下，TLS 客戶(hù)端使用公共密鑰證書(shū)方式來(lái)認證服務(wù)器，而雙向認證可以 使用公共密鑰證書(shū)方式，或者是預共享密鑰PSK-TLS 方式。

　　SCWS 作為本地的HTTPS 服務(wù)器時(shí)，必須能夠采用公共密鑰實(shí)現HTTP over TLS，也可以采用PSK-TLS 實(shí)現HTTP over TLS。

　　1) 采用 PSK-TLS 方式的HTTP over TLS

　　在SCWS 和已連接的主機（如遠程管理服務(wù)器）間共享一個(gè)對稱(chēng)密鑰時(shí)，采用PSK-TLS。

　　SCWS 必須支持下列加密算法：

　　TLS_PSK_WITH_3DES_EDE_CBC_SHA [PSK-TLS]

　　TLS_PSK_WITH_AES_128_CBC_SHA [PSK-TLS]

　　2) 公共密鑰對和設備證書(shū)

　　SCWS 應該能使用一個(gè)公共鑰密鑰對，并把它們保存在安全的區域，這些密鑰只能用于 TLS 的實(shí)現或卡應用的驗證，這是由卡發(fā)行者的內部安全策略決定的。SCWS 也應該為公共 密鑰嵌入一個(gè)設備證書(shū)，該設備證書(shū)由卡發(fā)行者提供并由權威發(fā)行者簽署。

　　公共密鑰對和設 備證書(shū)應該用于服務(wù)器在TLS 上的認證（如TLS 二級認證）。 如果 SCWS 采用公共密鑰對和設備證書(shū)，則必須支持下列所有的加密算法：

　　TLS_RSA_WITH_3DES_EDE_CBC_SHA

　　TLS_RSA_WITH_AES_128_CBC_SHA

　　SCWS 必須支持采用TLS1.0 的服務(wù)器認證，并且應該能采用WAP profiled X.509 服務(wù)器證書(shū)[WAPCert]。

　　3) 支持 TLS 擴展

　　由于容量限制或者帶寬限制， SCWS 必須確定一個(gè)較小的最大片段長(cháng)度，擴展允許使用以下定義的片段長(cháng)度（默認值是2^14）：

　　2^9(1), 2^10(2), 2^11(3), 2^12(4), (255)

　　卡管理代理可以使用[RFC3546]定義協(xié)商的最大片段長(cháng)度，管理服務(wù)器需要支持 [RFC3546]定義協(xié)商的最大片段長(cháng)度，連接到SCWS 的HTTP 客戶(hù)端可以使用[RFC3546]定 義協(xié)商的最大片段長(cháng)度，SCWS 需要支持[RFC3546]定義協(xié)商的最大片段長(cháng)度，也可以支持 最小到512byte 的最大片段長(cháng)度。如果客戶(hù)端沒(méi)有協(xié)商定義，SCWS 需要接受預先定義的16K 作為T(mén)LS 片段長(cháng)度。

　　4) 會(huì )話(huà)恢復

　　SCWS 應該支持TLS 定義的會(huì )話(huà)恢復，能夠使用更長(cháng)的會(huì )話(huà)周期（如12 小時(shí)）。會(huì )話(huà) 恢復流程應該遵守TLS1.0 中的相關(guān)定義。

　　6 總結

　　圖形化界面 SIM 卡技術(shù)的使用突破了以往SIM 卡只能支持SMS 短信類(lèi)業(yè)務(wù)的局限， 將圖形界面引入到SIM 卡中，支持GPRS、EDGE、UMTS 類(lèi)數據網(wǎng)絡(luò )業(yè)務(wù)的推廣，使用戶(hù) 不必連接網(wǎng)絡(luò )，即使在網(wǎng)絡(luò )無(wú)法覆蓋的區域也可使用，并且不產(chǎn)生任何費用；同時(shí)運營(yíng)商可 按需定制SIM 卡，及時(shí)更新智能卡網(wǎng)絡(luò )服務(wù)器SCWS 內容，可跟蹤、統計用戶(hù)的使用行為， 定期發(fā)送到服務(wù)器統計分析，以實(shí)時(shí)調整業(yè)務(wù)推廣策略，為運營(yíng)商創(chuàng )造了展示最佳服務(wù)和解 決方案的可控平臺，助推3G 業(yè)務(wù)的快速發(fā)展。