USB智能卡應用技術(shù)研究

文章出處：http://psychicreadingswithdeb.com 作者： 人氣： 發(fā)表時(shí)間：2012年03月15日

    摘要：公鑰基礎設施PKI是以公開(kāi)密鑰技術(shù)為基礎，以數據的機密性、完整性和不可抵賴(lài)性為安全目的而構建的認證、授權、加密等硬件、軟件的綜合體系，是信息安全基礎設施的一個(gè)重要組成部分，是一種普遍適用的網(wǎng)絡(luò )安全體系。將智能卡與PKI技術(shù)有機結合可以增強文件傳輸安全性，在客戶(hù)端與服務(wù)器之間傳輸數據前進(jìn)行身份驗證，并且能對傳輸的內容進(jìn)行加密，解決了在Internet傳輸敏感信息的顧慮。
    關(guān)鍵詞：公鑰基礎設施；PKI ；智能卡

    科學(xué)技術(shù)的發(fā)展使得計算機幾乎成為各個(gè)領(lǐng)域的信息處理工具，政府機關(guān)、企業(yè)、銀行及軍事機構等國家重要部門(mén)都使用計算機建立信息系統，各種重要的信息和情報均由計算機進(jìn)行處理。特別是Internet的出現，以計算機聯(lián)網(wǎng)方式獲得信息和交流信息已成為現代信息社會(huì )的重要特征。然而，隨著(zhù)網(wǎng)絡(luò )的開(kāi)放性、共享性、互聯(lián)程度的擴大，以及社會(huì )對網(wǎng)絡(luò )信息系統日益增強的依賴(lài)性，網(wǎng)絡(luò )安全問(wèn)題日益突出。

    目前網(wǎng)絡(luò )通信主要提供五種安全服務(wù)，即身份認證服務(wù)、訪(fǎng)問(wèn)控制服務(wù)、機密性服務(wù)、完整性服務(wù)和抗否認性服務(wù)，所有的網(wǎng)絡(luò )應用環(huán)境包括銀行、電子交易、政府以及互聯(lián)網(wǎng)本身都需要上述網(wǎng)絡(luò )安全服務(wù)支持。

    身份認證用于實(shí)現網(wǎng)絡(luò )通信方身份的互相驗證，在網(wǎng)絡(luò )安全中占據十分重要的位置。用戶(hù)在訪(fǎng)問(wèn)網(wǎng)絡(luò )系統之前，首先經(jīng)過(guò)身份認證系統識別身份，然后訪(fǎng)問(wèn)監控器根據用戶(hù)身份和授權數據庫決定用戶(hù)能否訪(fǎng)問(wèn)某個(gè)資源?？梢?jiàn)身份認證是最基本的安全服務(wù)，訪(fǎng)問(wèn)控制、審計等其它安全服務(wù)都要依賴(lài)于身份認證系統提供的用戶(hù)身份信息。一旦身份認證系統被攻破，那么系統所有安全措施將形同虛設。

    1 PKI體系結構

    PKI是以公鑰密碼體制的概念和技術(shù)為基礎，實(shí)施和提供信息安全服務(wù)的具有普適性的安全基礎設施，是信息安全基礎設施的重要組成部分，是對密碼學(xué)的最完整的應用。PKI遵循既定的標準，能為所有網(wǎng)絡(luò )應用提供加密和數字簽名等安全服務(wù)及必需的密鑰和證書(shū)管理體系。公鑰基礎設施能為具有各種不同安全需求的用戶(hù)提供各種安全服務(wù)。其核心的目標是解決網(wǎng)絡(luò )空間的信任問(wèn)題，確定網(wǎng)絡(luò )空間各行為主體的身份的唯一性和真實(shí)性，保護信息網(wǎng)絡(luò )空間中各種主體的安全利益。

    PKI涉及多個(gè)實(shí)體間的協(xié)作，圖1說(shuō)明了典型PKI系統的架構，其組成部分包括認證中心、注冊機構、證書(shū)庫、密鑰管理和最終實(shí)體。認證中心(Certification‘Authority，CA )，CA是PKI的核心，具備權威性。CA負責最終確認PKI用戶(hù)的身份，以公鑰證書(shū)的形式建立一個(gè)身份和一對公／私鑰問(wèn)的唯一關(guān)聯(lián)；同時(shí)負責頒發(fā)和管理公鑰證書(shū)。整個(gè)過(guò)程包括了軟、硬件，服務(wù)集合，以及人、操作過(guò)程和操作環(huán)境，制定諸如怎樣鑒別用戶(hù)身份，頒發(fā)哪種格式的證書(shū)等安全策略。

圖1 典型的PKI系統的體系結構

    注冊機構(Registration Authority，RA)，RA的主要功能是確認證書(shū)申請者的身份信息，將申請者的身份信息和公鑰用RA的私鑰簽名后發(fā)送給CA；接收證書(shū)作廢的申請，驗證其有效性，向CA發(fā)出該申請。對于地理上分散的機構，RA的存在可使CA離線(xiàn)運作，減少遭受攻擊的可能，增強安全性。

    證書(shū)庫(Certificate Repository)，證書(shū)庫存放經(jīng)CA簽發(fā)的證書(shū)和己撤銷(xiāo)證書(shū)列表，最終實(shí)體可通過(guò)證書(shū)庫提供的服務(wù)得到其他實(shí)體的證書(shū)，驗證其真偽，查詢(xún)證書(shū)的狀態(tài)。密鑰管理(Key Management)，密鑰對可能在某個(gè)集中的密鑰生成服務(wù)器中創(chuàng )建，也可能在智能卡中生成，并存放在相應密鑰存儲容器中。但無(wú)論如何都需要存檔用于)Jn／解密的密鑰對，以便在丟失時(shí)可以及時(shí)恢復，避免造成因丟失密鑰而導致信息無(wú)法恢復。但需要注意的是，為了保證簽名密鑰的唯一性，和對數字簽名的權威性，一般不對用于數字簽名的密鑰對進(jìn)行備份操作。

    最終實(shí)體(End Entity)，最終實(shí)體是PKI系統的使用者，它可能是人，也可能是其他需要安全服務(wù)的應用程序。因此，可以將最終實(shí)體視作PKI提供的應用接口系統，它使得各種各樣的應用能夠以
安全、一致和可信的方式與PKI交互，使用PKI提供的安全服務(wù)，確保安全網(wǎng)絡(luò )環(huán)境的完整性和易用性。

    2 PKI提供的核心安全服務(wù)

    PKI提供的核心服務(wù)有認證、完整性和機密性，其實(shí)現機制如下：

    (1)認證：PKI的認證服務(wù)采用數字簽名技術(shù)，通常是用用戶(hù)證書(shū)的私鑰對(i)被認證的數據；(ii)用戶(hù)希望發(fā)送到遠程設備的請求；(iii)遠程設備生成的隨機詢(xún)問(wèn)信息；這三種數據的雜湊值簽名。其中第一項支持PKI的數據來(lái)源認證服務(wù)，即可以確定數據是來(lái)自特定的用戶(hù)；后兩項支持PKI的實(shí)體認證服務(wù)，即是向對方證實(shí)自己是某個(gè)用戶(hù)。
    (2)完整性：PKI的數據完整性服務(wù)可以采用兩種技術(shù)，第一種是使用用戶(hù)私鑰對數據雜湊值的數字簽名技術(shù)，既可以提供實(shí)體認證，也可以保證被簽名數據的完整性。數據的任何變化都會(huì )導致其雜湊值的改變，從而使對雜湊值的原簽名與變化后雜湊值不匹配，簽名就無(wú)法通過(guò)驗證，因而保證了數據的完整性。第二種技術(shù)是信息認證碼(MAC)。這種方法的實(shí)現需要兩個(gè)通信的實(shí)體事先商定一個(gè)MAC的私鑰，因而受到一定的限制。
    (3)機密性：假設一個(gè)PKI中的兩個(gè)實(shí)體A欲與B通信，機密通信按如下方式實(shí)現。
    (i)A生成一個(gè)對稱(chēng)密鑰，并用它加密通信數據；
    (ii)A將加密過(guò)的數據和用B的公鑰加密的對稱(chēng)密鑰一齊發(fā)送給B；
    (iii)B收到信息后，先用自己的公鑰解密對稱(chēng)密鑰，再用對稱(chēng)密鑰解密A發(fā)送的數據。

    3 智能卡

    PKI極大地保障了電子商務(wù)、電子政務(wù)并推動(dòng)其他信息安全技術(shù)的發(fā)展。智能卡作為PKI的安全終端，保存著(zhù)用戶(hù)的數字證書(shū)，包含著(zhù)用戶(hù)公鑰和個(gè)人信息，在系統中是機密數據的移動(dòng)載體。

    3．1 USB智能卡概述

    USB智能卡是一種使用了硬件微處理器(MPU)的，以USB總線(xiàn)為通訊接口的硬件設備。它能夠根據不同要求生成對稱(chēng)和非對稱(chēng)密鑰，支持對稱(chēng)和非對稱(chēng)加密及數字簽名等安全機制，使用個(gè)人識別碼(PIN)驗證持卡人。事實(shí)上，USB智能卡內部是一個(gè)小型嵌入式系統，主要由處理器，存儲器和I／O接口三部分組成，其組成結構如圖2所示。

圖2 USB智能卡的組成結構

    處理器部分主要由MPU、密碼協(xié)處理器(CAU)和隨機數發(fā)生器(RNG )三個(gè)部件組成。MPU的主要功能類(lèi)似微機中的CPU，負責執行系統的中央運算、處理和管理；CAU是專(zhuān)用的實(shí)現高速加／解密運算的硬件處理器；RNG的主要功能是通過(guò)硬件快速產(chǎn)生加密算法所需要的高質(zhì)量隨機數。存儲器部分主要由ROM，RAM和EEPROM三個(gè)部件組成。ROM是只讀存儲器，存儲與應用緊密關(guān)聯(lián)的芯片操作系統(Chip Operating System，COS)程序，COS是芯片資源的管理者和安全保密的基礎；RAM是隨機存儲器，作為內存使用，用于臨時(shí)保存工作數據；EEPROM是電可擦除存儲器，主要功能是存儲應用程序數據。

    存儲器和微處理器之間通過(guò)總線(xiàn)進(jìn)行數據交換，而圖2中的I／O接口則連接著(zhù)符合USB2．0規范的接口電路，完成數據輸入輸出所必需的處理；安全邏輯sL保護存儲器(主要是EEPROM)內的數據，對卡內資源實(shí)施訪(fǎng)問(wèn)控制。

    3．2 USB智能卡的優(yōu)點(diǎn)

    作為硬件載體，USB智能卡的結構和卡內安全邏輯能為公鑰證書(shū)和用戶(hù)私鑰提供硬件級安全保護。與其他載體相比，usB智能卡具有以下優(yōu)點(diǎn)：

    (1)提高了密鑰對的私有性：密鑰對由CAU在MPU的控制下生成，改變了密鑰對由服務(wù)器統一產(chǎn)生的方式，使得密鑰對的安全性不再僅僅依賴(lài)于服務(wù)器的安全性和可信度。
    (2)提高了私鑰的安全性：私鑰以只讀形式存儲在USB智能卡內，幾乎不可能出現在除此以外的任何地方，所有涉及私鑰(如簽名等)的操作全部在USB智能卡內部完成，只有知道PIN碼的合法用戶(hù)才可能完成這些操作，保證了私鑰的安全性。
    (3)降低了秘鑰管理的復雜度：每張智能卡只需要秘密保存自己的私鑰，M張智能卡和 臺主機相互鑒別只需要( M+N)對密鑰。
    (4)具有黑盒特性的安全操作：USB智能卡提供統一的API接口，以類(lèi)似“黑盒”的形式完成數字簽名和數據加／解密等私鑰相關(guān)安全操作，不僅加強安全性，而且操作十分簡(jiǎn)便。
    (5)具有較高的性?xún)r(jià)比：USB智能卡的成本較低，且具有廣泛的軟硬件支持，支持即插即用。此外，它還具有良好的便攜性和耐用性等優(yōu)點(diǎn)。

    4 總結

    PKI是一種遵循既定標準的密鑰管理平臺，它可以為各種網(wǎng)絡(luò )應用透明地提供采用加密和數字簽名等密碼服務(wù)所必須的密鑰和證書(shū)管理，從而達到保證網(wǎng)上傳遞信息的保密、真實(shí)、完整和不可否認性的目的。利用PKI，人們可以方便地建立和維護一個(gè)可信的網(wǎng)絡(luò )計算環(huán)境，無(wú)須直接見(jiàn)面就能確認彼此的身份，安全地進(jìn)行信息交換。USB智能卡作為PKI的安全終端，既提高了PKI系統的安全性能，又降低了用戶(hù)的使用復雜度。但是，智能卡本身也存在著(zhù)被攻擊的可能，需要進(jìn)行進(jìn)一步的研究，這也對網(wǎng)絡(luò )安全提出了更高的要求。

    參考文獻
    1 關(guān)振勝．公鑰基礎設施PKI與認證機構CA．北京：電子工業(yè)出版社，2002
    2 張先紅．數字簽名原理及技術(shù)．北京：機械工業(yè)出版社，2004
    3 張佳偉．一種基于PKI的局域網(wǎng)防泄密系統的設計與實(shí)現．上海師范大學(xué)碩士學(xué)位論文，2006

    第一作者簡(jiǎn)介：孫海濤，博士研究生。研究方向：集成電路信息泄漏與主動(dòng)防護技術(shù)研究。

   【稿件聲明】：如需轉載，必須注明來(lái)源和作者，保留文中圖片和內容的完整性，違者將依法追究。