資源描述:
《《智能卡安全技術(shù)》ppt課件》由會(huì)員上傳分享���,免費(fèi)在線閱讀����,更多相關(guān)內(nèi)容在教育資源-天天文庫。
1��、1第七章智能卡安全技術(shù)關(guān)鍵技術(shù)身份鑒別報(bào)文鑒別數(shù)據(jù)加密數(shù)字簽名主要內(nèi)容7.1密鑰管理系統(tǒng)7.2智能卡的安全訪問機(jī)制7.3智能卡防拔插處理7.4智能卡的安全使用7.5安全操作相關(guān)的基本命令7.1密鑰管理系統(tǒng)1.何為密鑰管理�����?密鑰管理是一門綜合性的技術(shù)�,它涉及密鑰的產(chǎn)生�����、檢驗(yàn)、分配�����、傳遞���、保管和使用���。2.密鑰管理系統(tǒng)——層次結(jié)構(gòu)基本思想:用密鑰保護(hù)密鑰用第i層的密鑰Ki來保護(hù)第i+1層密鑰Ki+1Ki本身也受到第i-1層密鑰Ki-1的保護(hù)下層的密鑰可按某種協(xié)議不斷變化;密鑰管理系統(tǒng)是動(dòng)態(tài)變化的(1)三層密鑰管理系統(tǒng)的結(jié)構(gòu)(2)三層密鑰管理系統(tǒng)的舉例設(shè)采用對(duì)稱密
2���、碼體制主密鑰在智能卡和讀寫器中存放相同的主密鑰子密鑰主密鑰對(duì)某些指定的數(shù)據(jù)加密后生成子密鑰主密鑰子密鑰會(huì)話密鑰①②③如:每張卡的芯片制造商的標(biāo)識(shí)碼的序列號(hào)或應(yīng)用序列號(hào)是不相同的�����,且都設(shè)置在IC卡內(nèi),因此可利用序列號(hào)進(jìn)行加密生成子密鑰���;會(huì)話密鑰用子密鑰對(duì)可變數(shù)據(jù)進(jìn)行加密����,加密的結(jié)果即為會(huì)話密鑰(或過程密鑰)����。一個(gè)會(huì)話密鑰僅使用一次����。如:用子密鑰對(duì)交易時(shí)間或命令計(jì)數(shù)器進(jìn)行加密生成會(huì)話密鑰��,這樣即使是同一張卡�,每次使用時(shí)的會(huì)話密鑰就不同�����,或做不同的操作,會(huì)話密鑰也不同。3.主密鑰的生成主密鑰可由幾個(gè)可信任的人彼此獨(dú)立提出的數(shù)據(jù)組合成一個(gè)密鑰,然后對(duì)隨機(jī)數(shù)進(jìn)行加密
3�、運(yùn)算而獲得��,這樣主密鑰的生成和變化規(guī)律就很難估計(jì)�����。4.主密鑰的下載IC卡中主密鑰的下載主密鑰下載是在專門設(shè)備上進(jìn)行的,下載的環(huán)境是安全的;但要保證IC卡上的觸點(diǎn)的信息不能被竊取�,主密鑰下載后����,不能再讀出,這由硬件(熔絲)和軟件(COS卡內(nèi)操作系統(tǒng))來保證讀寫器中主密鑰的下載讀寫器內(nèi)部沒有COS,不能保證主密鑰不被讀出����,常采用安全存取模塊SAM,密鑰下載到SAM模塊中���,加密/解密算法也在SAM中進(jìn)行�。7.2智能卡的安全訪問機(jī)制1.鑒別與核實(shí)2.安全報(bào)文傳送3.文件訪問的安全控制4.數(shù)字簽名/認(rèn)證1.鑒別與核實(shí)鑒別(Authentication)指的是對(duì)智能卡
4�����、(或者是讀寫設(shè)備)的合法性的驗(yàn)證,即是如何判定一張智能卡(或讀寫設(shè)備)不是偽造的卡(或讀寫設(shè)備)的問題���;核實(shí)(verify)是指對(duì)智能卡的持有者的合法性的驗(yàn)證�,也就是如何判定一個(gè)持卡人是否經(jīng)過了合法的授權(quán)的問題�。讀寫器鑒別IC卡的真?zhèn)危▋?nèi)部認(rèn)證)讀寫器生成隨機(jī)數(shù)N�,并向卡發(fā)內(nèi)部認(rèn)證指令(InternalAuthentication)���,將隨機(jī)數(shù)送卡�����;卡對(duì)隨機(jī)數(shù)N加密成密文M(密鑰已存在卡和讀寫器中),并將M送讀寫器�;讀寫器將M解密成明文N1;讀寫器將明文N1和原隨機(jī)數(shù)N比較,相同則讀寫器認(rèn)為卡是真的���。IC卡鑒別讀寫器的真?zhèn)危ㄍ獠空J(rèn)證)讀寫器向卡發(fā)生成隨機(jī)數(shù)命
5���、令卡產(chǎn)生隨機(jī)數(shù)N�,并送讀寫器���;讀寫器對(duì)隨機(jī)數(shù)加密成密文M(密鑰已存在卡和讀寫器中)���;讀寫器向卡發(fā)外部認(rèn)證命令(ExternalAuthentication),并將密文M送卡;卡將密文M解密成明文N1���,并將明文N1和原隨機(jī)數(shù)N比較��,相同則卡認(rèn)為讀寫器是真的����。鑒別核實(shí)方法驗(yàn)證個(gè)人識(shí)別號(hào)PIN(personalidentificationnumber);生物特征�;下意識(shí)特征;PINPIN(PersonalIdentificationNumber)個(gè)人識(shí)別號(hào)是IC卡中的保密數(shù)據(jù)���。功能:保證只有合法持卡人才能使用該卡或卡中的某一項(xiàng)或幾項(xiàng)功能�����,以防止拾到該卡的人惡意使
6�、用或非法偽造�。錯(cuò)誤計(jì)數(shù)器:用以記錄、限制PIN輸入錯(cuò)誤的次數(shù)PIN的類型全局PIN(GlobalPIN)處于系統(tǒng)的較高層次(如主文件)中�,一旦因錯(cuò)誤計(jì)數(shù)溢出等原因自鎖,也同時(shí)鎖住使用該P(yáng)IN的其他應(yīng)用層次��。局部PIN(LocalPIN)處于某一具體應(yīng)用層次中����,一旦因錯(cuò)誤計(jì)數(shù)溢出等原因自鎖,則僅鎖住該應(yīng)用層次���。PIN功能簡(jiǎn)單匯總表功能簡(jiǎn)單IC卡復(fù)雜IC卡(如CPU卡)PIN無或有有PIN數(shù)量一個(gè)若干個(gè)PIN位數(shù)較短較長/可自定義(如1~8位十進(jìn)制數(shù))PIN輸入錯(cuò)誤限制次數(shù)較少(如3次)較長/可自定義(如1~15次)全局/局部PIN否是可修改性等其他屬性否是個(gè)
7���、人解鎖碼(PUC)否是PUC:PersonalUnblockingCodePIN明碼識(shí)別讀卡器與卡間以明碼傳輸,在IC卡內(nèi)部完成PIN的鑒別PIN密碼識(shí)別生物識(shí)別生物識(shí)別技術(shù)就是依靠人體的身體特征來進(jìn)行身份驗(yàn)證的技術(shù)���,例如語音�����、掌紋���、面孔、虹膜�����、視網(wǎng)膜��、骨架和指紋上述人體特征都具有終生不變的穩(wěn)定性和人人不同的特定性��,這決定了它們可以作為個(gè)人身份鑒定的可靠依據(jù)。其中指紋識(shí)別是最流行��、最方便以及最可靠的個(gè)人身份認(rèn)證方法之一��。GO指紋識(shí)別的特點(diǎn)具有唯一性和穩(wěn)定性避免記憶眾多而又復(fù)雜的口令便于獲取指紋樣本��,實(shí)用性強(qiáng)一個(gè)人的十指指紋皆不相同,可以方便地利用多個(gè)指紋構(gòu)
8��、成多重口令�,提高系統(tǒng)的安全性��,同時(shí)并不增加設(shè)計(jì)負(fù)擔(dān)指紋識(shí)別中使用的
