智能IC卡表的數(shù)據(jù)加密技術(shù)

　　數(shù)據(jù)加密技術(shù)是最基本的安全技術(shù)，被譽(yù)為信息安全的核心，主要用于保證數(shù)據(jù)在存儲(chǔ)和傳輸過(guò)程中的安全性。它是將明文的文件或數(shù)據(jù)按某種算法轉(zhuǎn)換成一段不可讀的代碼，通常稱之為“密文”，然后只能輸入相應(yīng)的密鑰后才顯示原明文的內(nèi)容，反之，將編碼信息轉(zhuǎn)化為原來(lái)數(shù)據(jù)信息的過(guò)程稱之為解密，通過(guò)這種加密方法達(dá)到保護(hù)數(shù)據(jù)。本文以智能IC卡表為例，講述數(shù)據(jù)加密技術(shù)在智能IC卡表中的應(yīng)用。

　　數(shù)據(jù)加密技術(shù)是最基本的安全技術(shù)，被譽(yù)為信息安全的核心，主要用于保證數(shù)據(jù)在存儲(chǔ)和傳輸過(guò)程中的安全性。它是將明文的文件或數(shù)據(jù)按某種算法轉(zhuǎn)換成一段不可讀的代碼，通常稱之為“密文”，然后只能輸入相應(yīng)的密鑰后才顯示原明文的內(nèi)容，反之，將編碼信息轉(zhuǎn)化為原來(lái)數(shù)據(jù)信息的過(guò)程稱之為解密，通過(guò)這種加密方法達(dá)到保護(hù)數(shù)據(jù)。本文以智能IC卡表為例，講述數(shù)據(jù)加密技術(shù)在智能IC卡表中的應(yīng)用。

　　智能IC卡表以IC卡為媒介完成后臺(tái)管理系統(tǒng)與表具內(nèi)數(shù)據(jù)的信息傳遞，表具內(nèi)的運(yùn)行參數(shù)和后臺(tái)管理系統(tǒng)的數(shù)據(jù)信息是否一致，很大程度上取決于IC卡內(nèi)的數(shù)據(jù)信息，為解決IC卡的數(shù)據(jù)安全性，首先要對(duì)相應(yīng)的數(shù)據(jù)信息進(jìn)行全面、可靠、安全和多層次的備份，然后再對(duì)數(shù)據(jù)進(jìn)行一定的加密處理。數(shù)據(jù)加密技術(shù)可以細(xì)分為數(shù)據(jù)加密、安全傳輸和身份認(rèn)證三部分。

　　數(shù)據(jù)加密

　　通過(guò)變換和置換等各種方法將明文數(shù)據(jù)信息轉(zhuǎn)換成密文，然后再進(jìn)行信息的存儲(chǔ)或傳輸，在存儲(chǔ)或者傳輸過(guò)程中即使加密信息為非授權(quán)人員獲得，也可以保證這些信息不為其認(rèn)知，從而達(dá)到保護(hù)數(shù)據(jù)信息的目的。該方法的保密性直接取決于所采用的算法和密鑰長(zhǎng)度。數(shù)據(jù)加密技術(shù)被公認(rèn)為是保護(hù)數(shù)據(jù)安全傳輸?shù)奈ㄒ粚?shí)用方法和保護(hù)數(shù)據(jù)安全存儲(chǔ)的有效方法。

　　智能IC卡分存儲(chǔ)器卡、邏輯加密卡和CPU卡，不同的智能IC卡選用不同的數(shù)據(jù)加密算法。

　　存儲(chǔ)器卡它的集成電路內(nèi)部只含有EEPROM存儲(chǔ)器，像磁卡一樣存儲(chǔ)信息，以明文的方式傳輸數(shù)據(jù)，安全性比較差，可以通過(guò)對(duì)卡片內(nèi)的數(shù)據(jù)信息進(jìn)行一定的處理來(lái)提高卡內(nèi)數(shù)據(jù)的安全性。例如，首先利用軟件產(chǎn)生一系列的偽隨機(jī)數(shù)，在卡片內(nèi)寫滿該隨機(jī)數(shù)，并在指定的位置寫入卡表數(shù)據(jù)，將這些數(shù)據(jù)經(jīng)過(guò)不定期的處理得到一有效數(shù)據(jù)，如另一隨機(jī)碼的異或運(yùn)算或取反運(yùn)算等，然后將此有效數(shù)據(jù)進(jìn)行校驗(yàn)產(chǎn)生一校驗(yàn)碼，最后表具在讀取信息時(shí)進(jìn)行校驗(yàn)運(yùn)算，校驗(yàn)成功后才能讀取卡片內(nèi)的有效數(shù)據(jù)。如果微控制器內(nèi)存容量較大，可以通過(guò)更復(fù)雜的運(yùn)算來(lái)提高卡上數(shù)據(jù)的安全性。

　　邏輯加密卡它的集成電路含有邏輯電路和EEPR0M 存儲(chǔ)器兩部分，在電路中具有邏輯加密功能，安全性能上比存儲(chǔ)器卡更進(jìn)一步，數(shù)據(jù)傳輸方式上也是以明文的方式傳輸，對(duì)卡上數(shù)據(jù)的安全處理和存儲(chǔ)器卡的處理方法一樣，進(jìn)行類似的加密，只有密碼認(rèn)證成功后才能對(duì)卡片進(jìn)行寫和密碼等操作。

　　CPU卡它的集成電路帶有中央處理器CPU、EEPR0M 存儲(chǔ)器、RAM 存儲(chǔ)器、R0M存儲(chǔ)器以及片內(nèi)操作系統(tǒng)COS， 裝有COS的CPU卡相當(dāng)于一臺(tái)微型計(jì)算機(jī)，不僅能對(duì)數(shù)據(jù)進(jìn)行復(fù)雜的運(yùn)算，同時(shí)在安全性能有了顯著提高。

　　智能CPU卡采用應(yīng)用較早、技術(shù)成熟的DES對(duì)稱加密算法，數(shù)據(jù)加密和解密采用同一個(gè)密鑰，其安全性主要依賴于所持有密鑰的安全性。在對(duì)稱加密算法中，發(fā)信方將明文和密鑰經(jīng)過(guò)特殊加密算法處理后，使其變成復(fù)雜的密文發(fā)送;收信方收到密文后，只能使用相同的密鑰和相同加密算法的逆算法對(duì)密文進(jìn)行解密，恢復(fù)成明文。對(duì)稱加密算法的特點(diǎn)是算法公開、計(jì)算量小、加密速度快、加密效率高，不足之處是交易雙方需要使用惟一的密鑰，發(fā)、收信雙方所擁有的密鑰數(shù)量成幾何級(jí)數(shù)增長(zhǎng)，使密鑰的統(tǒng)一管理成本加大。

　　安全傳輸

　　數(shù)據(jù)的安全傳輸是指數(shù)據(jù)在傳輸過(guò)程中確保數(shù)據(jù)的安全性、完整性和不可篡改性，傳輸過(guò)程中的安全性通過(guò)對(duì)數(shù)據(jù)流進(jìn)行加密實(shí)現(xiàn)，數(shù)據(jù)的完整性通過(guò)數(shù)字簽名的方式實(shí)現(xiàn)。數(shù)據(jù)發(fā)送方在發(fā)送數(shù)據(jù)時(shí)，利用一定的加密算法或其它信息文摘算法，計(jì)算出所傳輸數(shù)據(jù)的消息文摘，同時(shí)將該消息文摘作為數(shù)字簽名與數(shù)據(jù)一起發(fā)送：接收方在收到數(shù)據(jù)時(shí)也收到相應(yīng)的數(shù)字簽名，只有使用相同的算法恢復(fù)出數(shù)據(jù)的數(shù)字簽名，若前后兩者簽名相同，則說(shuō)明數(shù)據(jù)在傳輸過(guò)程中未被修改，保證了數(shù)據(jù)的完整性。

　　存儲(chǔ)器卡和邏輯加密卡是以明文方式傳輸數(shù)據(jù)，傳輸過(guò)程中不進(jìn)行加密處理，只能通過(guò)軟件校驗(yàn)碼MAC確保數(shù)據(jù)的完整性和準(zhǔn)確性，相對(duì)來(lái)說(shuō)安全性比較低：CPU卡是以安全報(bào)文方式傳輸數(shù)據(jù)，保證了數(shù)據(jù)的機(jī)密性、完整性和對(duì)發(fā)送方的認(rèn)證。數(shù)據(jù)的機(jī)密性通過(guò)數(shù)據(jù)域的加密實(shí)現(xiàn)，數(shù)據(jù)的完整性和對(duì)發(fā)送方的認(rèn)證通過(guò)報(bào)文鑒別代碼MAC實(shí)現(xiàn)。

　　身份認(rèn)證管理

　　身份認(rèn)證管理是確定對(duì)lC卡卡片操作的訪問(wèn)者是否為合法用戶，采用登錄密碼、代表用戶身份的物品(如智能lC卡)或反映用戶生理特征的標(biāo)識(shí)進(jìn)行身份認(rèn)證。參與安全通信的雙方在進(jìn)行數(shù)據(jù)通信前，必須互相鑒別對(duì)方的身份，保證系統(tǒng)中的數(shù)據(jù)只能被有權(quán)限的人訪問(wèn)，未經(jīng)授權(quán)的人無(wú)法訪問(wèn)數(shù)據(jù)。

　　根據(jù)智能lC卡的種類不同，采用的認(rèn)證方式也不同，邏輯加密卡采用口令認(rèn)證方式，CUP卡除采用口令認(rèn)證外，還采用DES對(duì)稱加密算法認(rèn)證，即內(nèi)部認(rèn)證和外部認(rèn)證相結(jié)合。

　　口令認(rèn)證方式請(qǐng)求認(rèn)證時(shí)必須具備一個(gè)lD，該lD在認(rèn)證者的用戶數(shù)據(jù)庫(kù)(該數(shù)據(jù)庫(kù)包括lD和口令)中是唯一的，為保證認(rèn)證的有效性，在傳輸過(guò)程中， 口令不能被竊看、替換。

　　邏輯加密卡的口令認(rèn)證是對(duì)卡進(jìn)行操作，只有口令認(rèn)證成功后，才能對(duì)卡進(jìn)行數(shù)據(jù)寫和修改等操作，如果連續(xù)輸入口令認(rèn)證都不成功并超過(guò)認(rèn)證有效次數(shù)后此卡片將永久性鎖死：CPU卡的口令認(rèn)證是校驗(yàn)密鑰的正確性，同樣是在有限次數(shù)內(nèi)口令驗(yàn)證成功才能進(jìn)行相應(yīng)的操作。

　　DES對(duì)稱加密算法認(rèn)證方式在使用DES對(duì)稱加密算法認(rèn)證時(shí)，認(rèn)證雙方的個(gè)人信息(如口令)不用進(jìn)行傳送，通過(guò)認(rèn)證雙方之間的一個(gè)隨機(jī)數(shù)字簽名和驗(yàn)證該數(shù)字簽名來(lái)實(shí)現(xiàn)，減少了認(rèn)證風(fēng)險(xiǎn)。它包括內(nèi)部認(rèn)證和外部認(rèn)證，認(rèn)證通過(guò)后，雙方建立安全通道進(jìn)行請(qǐng)求和響應(yīng)，接受信息方先從接收到的信息中驗(yàn)證發(fā)信方的身份信息，驗(yàn)證通過(guò)后根據(jù)發(fā)送的信息進(jìn)行相應(yīng)的處理。

　　總之，在智能IC卡表應(yīng)用中，實(shí)現(xiàn)數(shù)據(jù)加密技術(shù)的方法很多，用戶根據(jù)實(shí)際情況決定具體采用哪種數(shù)據(jù)加密方法。