基于智能卡的嵌入式網(wǎng)絡(luò)加密安全系統(tǒng)設(shè)計(jì)
加入技術(shù)交流群
摘 要:針對C/S模式中傳統(tǒng)的用戶層網(wǎng)絡(luò)通信方式效率低,安全性差的問題,全面考慮了系統(tǒng)整體的安全保密性能,提出了核22層實(shí)現(xiàn)方案。采用客戶身份認(rèn)證、數(shù)據(jù)完整性驗(yàn)證、傳輸信息加密安全策略,在智能卡的硬件支持和嵌入式uClmux平臺下基于microwindowsGUI和TinyWidgets控件集設(shè)計(jì)實(shí)現(xiàn)加密系統(tǒng)。
本文引用地址:http://www.czjhyjcfj.com/article/157041.htm引 言
金融安全支付系統(tǒng)是專門針對金融領(lǐng)域應(yīng)用需求,實(shí)現(xiàn)小型化、便捷、安全的自助交易的軟硬件平臺,能夠?yàn)槎喾N應(yīng)用提供高速安全服務(wù),解決目前交易信息在傳輸過程中存在的各種安全問題,實(shí)現(xiàn)金融信息的安全交易。基于該嵌入式系統(tǒng)的網(wǎng)絡(luò)安全加密系統(tǒng)就是為了保證客戶端的某些重要的數(shù)據(jù)信息在與銀行服務(wù)器通信過程中能夠安全地傳輸。
1 智能卡基礎(chǔ)
1.1 內(nèi)部結(jié)構(gòu)及特點(diǎn)
智能卡又稱為Ic卡,英文名稱為smart card或Integrated CircuitCard。根據(jù)卡中使用的集成電路的不同可以分為存儲器卡、邏輯加密卡、CPU卡和射頻卡。由于CPU卡中集成了微處理器CPU、存儲單元(包括隨機(jī)存儲器RAM、程序存儲器ROM(FLASH)、用戶數(shù)據(jù)存儲器EEPR0M)以及芯片操作系統(tǒng)COS(chipoperating system),從而構(gòu)成一個完整的計(jì)算機(jī)系統(tǒng)。
它不僅具有數(shù)據(jù)存儲功能,同時還具有命令處理和數(shù)據(jù)安全保護(hù)等功能,因此安全性大大增強(qiáng),從而得到了廣泛的應(yīng)用,成為智能卡中的主流產(chǎn)品?。本系統(tǒng)所采用的CPU卡,其芯片內(nèi)核為ASIC硬件實(shí)現(xiàn),安全度非常高,符合ISO/IEC 7816智能卡標(biāo)準(zhǔn),符合《中國金融集成電路(Ic)卡規(guī)范》。其內(nèi)部結(jié)構(gòu)(如圖1所示),智能卡具有以下特點(diǎn) :① 自身的物理安全機(jī)制和COS的安全體系為CPU卡提供了雙重的安全保證;② 自帶操作系統(tǒng)的CPU卡對計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)要求較低,可實(shí)現(xiàn)脫機(jī)操作;③ 可實(shí)現(xiàn)真正意義上的一卡多應(yīng)用,每個應(yīng)用之間相互獨(dú)立,并受控于各自的密鑰管理系統(tǒng);④ 存儲容量大,可提供1K~64K字節(jié)的數(shù)據(jù)存儲空間;⑤使用壽命長,數(shù)據(jù)存儲時間可達(dá)l0年以上。
1.2 主要功能
智能卡具有以下功能:①身份認(rèn)證:對持卡人、卡終端和卡片3方的合法身份做認(rèn)證;②支付和結(jié)算工具:電子錢包和電子存折的支付手段,可避免攜帶大量現(xiàn)金和找零的不便,提高交易效率;③ 安全模塊:使用相應(yīng)的密鑰實(shí)現(xiàn)加密、解密以及交易處理,從而完成與用戶卡之間的安全認(rèn)證;④數(shù)據(jù)載體:CPU卡可作為個人檔案或重要數(shù)據(jù)的安全載體,數(shù)據(jù)可至少保存l0年以上。
1.3 工作原理
智能卡安全體系包括3部分:安全狀態(tài)、安全屬性以及安全機(jī)制。安全狀態(tài)是指智能卡當(dāng)前所處的安全級別,即當(dāng)前安全狀態(tài)寄存器的值。安全屬性又稱為訪問權(quán)限,即在進(jìn)行某種操作時要求安全狀態(tài)寄存器的值是什么。安全機(jī)制從廣義上說是卡片支持的各種安全模式,從狹義上說是安全狀態(tài)實(shí)現(xiàn)轉(zhuǎn)移所采用的方法和手段。一種安全狀態(tài)通過上述安全機(jī)制轉(zhuǎn)移到另一種狀態(tài),把該安全狀態(tài)與某個安全屬性相比較,如果一致,則表明能夠執(zhí)行該屬性對應(yīng)的命令;如果不一致,則相關(guān)命令不能被執(zhí)行,從而達(dá)到了安全控制的目的 。這就是智能卡安全體系的基本工作原理。
智能卡主要是對由客戶端發(fā)出的信息進(jìn)行加密和對由服務(wù)器端傳來的信息進(jìn)行解密。該智能卡支持多種對稱密碼體制,它還存儲著客戶端主密鑰和客戶端ID號,通過它可以對文件傳輸過程中產(chǎn)生的各種敏感信息進(jìn)行加密,對用戶的身份進(jìn)行認(rèn)證,以保證信息的安全性和完整性。
在密鑰管理方面,智能卡根據(jù)注入其中的客戶端ID號,利用Diversify密鑰分散算法生成客戶端主密鑰。在與密碼服務(wù)器進(jìn)行通信時,服務(wù)器取得其ID號,同樣利用密鑰分散算法生成客戶端主密鑰,再利用客戶端主密鑰加密附帶工作密鑰的簽到回應(yīng)報文傳回客戶端,客戶端的智能卡解密得到工作密鑰,利用工作密鑰調(diào)用相應(yīng)算法完成加解密及消息完整性驗(yàn)證“】。
評論