智能卡與公開(kāi)密鑰基礎設施的結合及應用

文章出處：http://psychicreadingswithdeb.com 作者： 人氣： 發(fā)表時(shí)間：2012年03月15日

　PKI是Public Key Infrastructure(公開(kāi)密鑰基礎設施)的縮寫(xiě)，是一種遵循標準的利用公鑰加密技術(shù)為電子商務(wù)的開(kāi)展提供一套安全基礎平臺的技術(shù)和規范，也是目前比較成熟、完善的Internet網(wǎng)絡(luò )安全解決方案.

　認證中心CA是PKI的核心環(huán)節，是電子交易信賴(lài)的基礎。認證中心作為權威的、可信賴(lài)的、公正的第三方機構，專(zhuān)門(mén)負責發(fā)放并管理所有參與網(wǎng)上交易的實(shí)體所需的數字證書(shū)。其所頒發(fā)的數字證書(shū)在PKI應用系統中有著(zhù)舉足輕重的作用，它就象一張“身份證”——用戶(hù)在安全網(wǎng)絡(luò )中通行所需的”電子身份證”。那用戶(hù)如何存放自己重要的“身份證”呢？

　以往人都把私鑰和數字證書(shū)存儲在傳統媒介中，如計算機的硬盤(pán)或軟盤(pán)中，但都存在著(zhù)一定的安全隱患。用戶(hù)的數字證書(shū)在計算機硬盤(pán)中存放時(shí)，用戶(hù)可能被“綁”在固定的計算機上，而且存放證書(shū)的計算機必須受到安全保護，否則一旦被攻擊，證書(shū)就有可能被盜用。使用軟盤(pán)保存證書(shū)，被竊取的可能性有所降低，但軟盤(pán)容易損壞，一旦損壞，證書(shū)便無(wú)法使用。目前，黑客和病毒的入侵威脅著(zhù)任何一臺連到互聯(lián)網(wǎng)上計算機，硬盤(pán)或軟盤(pán)無(wú)法為用戶(hù)的私鑰和數字證書(shū)提供安全保護，并且計算機、軟盤(pán)、鍵盤(pán)硬件本身也無(wú)任何安全可言，無(wú)法保證這些電子器件沒(méi)被心懷叵測的人作了手腳，竊取用戶(hù)的私人信息.

　正是基于上述因素，人們才關(guān)注起高度安全的數據載體---智能卡和電子鑰匙，并使用他們存儲私鑰和數字證書(shū).

　使用智能卡、電子鑰匙則有以下優(yōu)點(diǎn):

　1. 私鑰不可讀: 智能卡和電子鑰匙的軟硬件設計嚴格控制用戶(hù)私鑰的使用權限，只能在滿(mǎn)足條件時(shí)方可使用，保護私鑰的安全性。

　2. 卡內簽名、驗證: 私鑰的簽名、驗證功能一律在卡內實(shí)現，不存在傳輸中私鑰泄露的可能性.

　3. 卡內生成RSA密鑰對: RSA密鑰對能直接在卡內產(chǎn)生，從而從源頭上杜絕私鑰泄露的可能性.

　4. 使用方便: 智能卡和電子鑰匙小巧易攜，使用上不受地域限制、不受辦公環(huán)境及安全因素限制。用戶(hù)只需在安裝有相應驅動(dòng)程序的計算機上執行幾條簡(jiǎn)單指令后，就能激活帶有一個(gè)私人安全數字證書(shū)的智能卡或電子鑰匙，方便、安全的在網(wǎng)絡(luò )上實(shí)現電子交易.

　總之，將用戶(hù)私鑰、CA的公鑰、數字證書(shū)等存儲在智能卡或電子鑰匙上為用戶(hù)提供最高級別的安全保障。智能卡和電子鑰匙使用了公開(kāi)密鑰和多種加密算法技術(shù)，用更安全的方式把用戶(hù)私人信息存在智能卡或電子鑰匙上，而非易于受到黑客攻擊的計算機中，而且PIN口令可以確?？ㄆ螂娮予€匙不被他人非法使用。具有非對稱(chēng)密鑰算法的智能卡和電子鑰匙可以滿(mǎn)足人們對私鑰和數字證書(shū)的安全要求、移動(dòng)式存貯要求和防偽要求等，成為目前最理想的存儲載體.

　2、握奇數據PKI產(chǎn)品的發(fā)展

　握奇數據成立之初便立志于以公開(kāi)鑰密碼體系為基礎，進(jìn)行信息安全技術(shù)的開(kāi)發(fā)工作。公司利用自身在智能卡上的先進(jìn)技術(shù)和豐富經(jīng)驗結合PKI推出了多款產(chǎn)品.

　1997年握奇數據推出了第一個(gè)PKI產(chǎn)品——支持FAC算法的智能卡。此產(chǎn)品一經(jīng)推出就成功的應用于北京國稅的電子申報系統中，成為國內最早實(shí)現電子簽名應用的智能卡產(chǎn)品。該電子申報系統后又推廣至10個(gè)稅務(wù)局，使支持FAC算法的智能卡也得到了一定的發(fā)展，并且至今握奇數據部分智能卡產(chǎn)品還一直支持FAC算法.

　1998年握奇數據推出了第二個(gè)PKI產(chǎn)品——支持RSA算法的智能卡TimeCOS/PK卡。此產(chǎn)品能夠在卡內快速完成RSA算法的簽名，驗證，加密，解密運算，并在卡片內生成密鑰對。TimeCOS/PK成為國內最早在卡內實(shí)現RSA算法的智能卡，并首家通過(guò)了國家商業(yè)密碼管理委員會(huì )的安全評審。在海關(guān)總署的“中國電子口岸卡”中大量應用，也是電子口岸執法系統唯一入選卡片.

　2001年握奇數據推出了第三個(gè)PKI產(chǎn)品—— 2001年推出的WatchKEY系列產(chǎn)品。此系列產(chǎn)品是基于USB接口的讀卡器和智能卡的集成體，適應小型化、便攜式的應用需求，其中WatchKEY PRO產(chǎn)品具有TimeCOS/PK卡的全部功能，并已在電子口岸卡、上海CA等項目中大批量的使用.

　隨后握奇數據在基于TimeCOS/PK卡和WatchKEY基礎上推出了第四個(gè)PKI產(chǎn)品——客戶(hù)端網(wǎng)絡(luò )安全套件 WatchSAFE。此產(chǎn)品采用模塊化設計，嵌入方式嚴格遵循瀏覽器的協(xié)議，實(shí)現了NETSCAPE的PKCS#11模塊、IE的CSP模塊接口，將智能卡TimeCOS/PK與計算機和讀寫(xiě)器或電子鑰匙WatchKEY與計算機結合起來(lái)。并已在福建CA, 北京市國家稅務(wù)局涉外稅收管理分局的網(wǎng)上納稅申報系統中廣泛的應用.

　客戶(hù)端網(wǎng)絡(luò )安全套件 WatchSAFE適用于Internet/Intranet上瀏覽器/服務(wù)器(Browser/Server)結構應用，其嵌入瀏覽器方式就是重新編寫(xiě)瀏覽器中相應的功能操作模塊，加入可以操作TimeCOS/PK卡和電子鑰匙WatchKEY的函數接口，實(shí)現WatchSAFE產(chǎn)品與計算機的無(wú)縫連接。WatchSAFE的嵌入方式嚴格遵循瀏覽器的協(xié)議，能夠建立從瀏覽器開(kāi)始的真正的SSL、S/MIME安全通信，從而支持多種應用，實(shí)現Netscape或IE等瀏覽器對TimeCOS/PK卡、讀卡器和電子鑰匙WatchKEY的操作，完成與TimeCOS/PK卡和WatchKEY相關(guān)的簽名認證、建立安全通道、表單簽名，Outlook Express、Messenger下簽名郵件、加密郵件等功能.

　3、結語(yǔ)

　IC卡自本世紀70年代問(wèn)世以來(lái)，發(fā)展十分迅速，其應用領(lǐng)域日益廣泛，也日益成熟。而PKI技術(shù)也將逐步集成到更多的操作系統和應用中去，并實(shí)現對用戶(hù)的透明。利用PKI作為安全基礎平臺，使用數字證書(shū)實(shí)現網(wǎng)上各項工作的認證加密功能，必將是實(shí)現安全電子商務(wù)、政務(wù)的主要發(fā)展方向。將PKI技術(shù)發(fā)布的數字證書(shū)與IC卡技術(shù)巧妙結合后，提出的應用解決方案可以說(shuō)是安全級別最高的網(wǎng)絡(luò )安全應用解決方案.

　握奇數據系統有限公司在中國智能卡領(lǐng)域內占有絕對的優(yōu)勢，也是推動(dòng)智能卡應用于中國電子政務(wù)領(lǐng)域的進(jìn)程中無(wú)可爭議的“領(lǐng)跑者”，握奇公司有著(zhù)豐富的基于智能卡加PKI技術(shù)的成功應用經(jīng)驗，無(wú)論在產(chǎn)品質(zhì)量上、供貨保障、售后服務(wù)、長(cháng)久的產(chǎn)品供應等各個(gè)方面，都可以為客戶(hù)提供充分的服務(wù)保障.

　“把握奇跡，創(chuàng )造未來(lái)！”是握奇公司的口號，我們真誠的愿意與我公司的合作伙伴、國內各大CA廠(chǎng)商和我們廣大客戶(hù)團體，建立良好的合作關(guān)系共同努力，為實(shí)現美好的中國電子政務(wù)、電子商務(wù)市場(chǎng)的未來(lái)作出我們的貢獻.