《智能卡技術(shù)》PPT課件.ppt

1、1,第4章 智能卡技術(shù),4.1 IC卡概述 4.2 存儲卡和邏輯加密卡 4.3 CPU卡 4.4 COS的安全體系 4.5 智能卡的應(yīng)用USB Key,2,4.1.1 IC卡的概念,IC卡 內(nèi)部帶有微處理器和存儲單元 具有獨(dú)立的計(jì)算和存儲能力 可存儲示證者的私鑰及數(shù)字證書等信息 能作為計(jì)算設(shè)備代理示證者參與認(rèn)證協(xié)議客戶端部分的計(jì)算 外形和普通磁卡相似 使用和攜帶方便、計(jì)算環(huán)境安全 和示證者口令一起能構(gòu)成雙因素認(rèn)證,3,4.1.1 IC卡的概念,IC卡(集成電路卡,Integrated Circuit Card),也稱智能卡、靈巧卡和智慧卡 由法國人Roland Mereno于1974年發(fā)明 是

2、一個(gè)鑲嵌了集成電路芯片的塑料卡片，其外形和尺寸都遵循國際標(biāo)準(zhǔn)，并與覆蓋磁條的磁卡相似 由兩個(gè)完全不同的部件組成： 一個(gè)部件帶有表面印刷的安全特征,可能有磁條 另一個(gè)部件包含有芯片模塊的卡體,4,接觸式IC卡外形,5,IC卡優(yōu)點(diǎn),采用了最先進(jìn)的半導(dǎo)體制造技術(shù)和信息安全技術(shù): 使用方便 存儲容量大 安全性高 可靠性高 綜合成本低,6,IC卡分類,(1)按嵌入IC卡的集成電路芯片類型分類 (2)按卡與外界數(shù)據(jù)傳送的形式分類 (3)按卡與外界數(shù)據(jù)交換的格式分類 (4)按卡的應(yīng)用領(lǐng)域分類,7,(1)按嵌入IC卡的集成電路芯片類型分類,非加密存儲卡： 具有數(shù)據(jù)存儲功能,不具有數(shù)據(jù)處理功能和硬件加密功能 邏

3、輯加密卡： 具有加密邏輯電路，通過校驗(yàn)口令來限制外部對卡內(nèi)數(shù)據(jù)的訪問 低層次的安全保護(hù)，無法防范惡意攻擊，適用于一般保密要求 CPU卡： 帶有微處理器(CPU),存儲單元,輸入輸出單元,芯片操作系統(tǒng)(Chip Operating System, COS) 有硬件保護(hù)和操作系統(tǒng)的軟件支持,安全保密性更好,是IC卡發(fā)展的主要方向 在認(rèn)證系統(tǒng)中使用的IC卡主要是CPU卡,8,(2)按卡與外界數(shù)據(jù)傳送的形式分類,接觸式IC卡： 表面有方型鍍金接口，有八個(gè)或六個(gè)鍍金觸點(diǎn)，用于與讀寫器接觸，通過電流信號完成讀寫 非接觸式IC卡： 與接觸式IC卡的芯片技術(shù)和特性相同 有射頻信號收發(fā)器，在一定距離內(nèi)即可與讀寫

4、器通信，和讀寫器之間沒有機(jī)械接觸，常被稱作射頻卡或RF(Radio Frequency)卡 雙界面卡： 將接觸式IC卡和非接觸式IC卡組合到一張卡中 雙界面卡主要是CPU卡,9,(3)按卡與外界數(shù)據(jù)交換的格式分類,串行IC卡： 數(shù)據(jù)流按串行方式輸入輸出 當(dāng)前大多數(shù)IC卡 接口簡單,使用方便,具有國際標(biāo)準(zhǔn) 并行IC卡： 數(shù)據(jù)流按并行方式輸入輸出 提高數(shù)據(jù)交換速度 增加存儲容量 缺乏國際標(biāo)準(zhǔn),無法大規(guī)模應(yīng)用,10,(4)按卡的應(yīng)用領(lǐng)域分類,金融卡： 信用卡:由銀行發(fā)行和管理,可使用預(yù)先設(shè)定的透支限額資金 現(xiàn)金卡(儲蓄卡):可用作電子存折和電子錢包,不允許透支 非金融卡： 事物管理,安全管理 金融卡

5、之外的所有領(lǐng)域:電信,旅游,教育,公交,稅務(wù),11,IC卡應(yīng)用,金融： 可作為信用卡,現(xiàn)金卡,證券卡,電子資金轉(zhuǎn)帳卡 目前主要以磁卡為主 電信： 數(shù)字蜂窩電話卡(SIM卡),電話儲值卡 電子錢包： 針對小額支付,不需電話確認(rèn),簽名,密碼 在我國的應(yīng)用剛剛起步 政府： 工商、稅務(wù)、公安、海關(guān)、人事部門 輔助手段,12,IC卡應(yīng)用,身份證明： 我國的第二代身份證（非接觸式IC卡）、會員證 公用事業(yè)： 水、電、煤氣、有線電視的費(fèi)用收取 交通： 公共汽車、地鐵、輪渡、高速公路收費(fèi)系統(tǒng) 主要應(yīng)用非接觸式IC卡 醫(yī)療保健： 健康卡、少兒疫苗卡、就診卡 社團(tuán)、機(jī)構(gòu)內(nèi)部管理： 企業(yè)員工卡、校園一卡通,13,4

6、.1.2 IC卡相關(guān)的國際標(biāo)準(zhǔn),按照數(shù)據(jù)傳輸方式分類: 接觸式IC卡國際標(biāo)準(zhǔn) 非接觸式IC卡國際標(biāo)準(zhǔn),14,IC卡測試標(biāo)準(zhǔn),質(zhì)量測試： 用于判斷IC卡能否使用 通常在引入新的卡體、芯片、模塊或操作系統(tǒng)之前進(jìn)行 產(chǎn)品測試： 快速:滿足大量生產(chǎn)中關(guān)于短處理時(shí)間和高吞吐率的要求 主要包括物理和電氣特性測試，以及送往智能卡微處理器的命令及響應(yīng)測試,15,4.1.3 IC卡接口設(shè)備,IC卡接口設(shè)備IFD(Interface Device),或稱IC卡讀寫器或IC卡終端: 連接IC卡與應(yīng)用系統(tǒng)的橋梁 性能、可靠性、安全性對整個(gè)應(yīng)用系統(tǒng)有重要影響 專用接口設(shè)備: 一般以一個(gè)獨(dú)立面向應(yīng)用的應(yīng)用機(jī)具方式出現(xiàn),如

7、水,電,煤氣等的IC卡計(jì)費(fèi)設(shè)備,IC卡付費(fèi)電話,IC卡自動售貨機(jī) 機(jī)具的使用方式和功能在出廠前由廠家設(shè)置好,用戶使用時(shí)僅能根據(jù)不同的情況進(jìn)行小范圍設(shè)定 通用接口設(shè)備: 通常以從設(shè)備方式(或稱外部設(shè)備)與主設(shè)備(一般是微機(jī))一起構(gòu)成IC卡應(yīng)用機(jī)具 功能上僅完成面向IC卡的操作,設(shè)備本身不針對任何特定應(yīng)用 豐富而靈活的應(yīng)用接口給應(yīng)用開發(fā)者提供良好的支持,是應(yīng)用系統(tǒng)中合適的選擇,16,IC卡接口設(shè)備分類,通用型接口設(shè)備: 一般只具備讀寫的功能，以標(biāo)準(zhǔn)數(shù)據(jù)接口方式與其它設(shè)備進(jìn)行連接 可支持?jǐn)?shù)十種卡 一般可進(jìn)行二次開發(fā)，所以都有輔助開發(fā)應(yīng)用的開發(fā)平臺提供給應(yīng)用開發(fā)人員 構(gòu)成IC卡應(yīng)用系統(tǒng)是一個(gè)代價(jià)較高的

8、方案，但它提供了一個(gè)多場合應(yīng)用的機(jī)制，可更加方便、靈活地組織系統(tǒng)，非常適合于小型應(yīng)用系統(tǒng) 專用型接口設(shè)備: 可以直接安裝使用，并可在內(nèi)部安裝與應(yīng)用有關(guān)的其它設(shè)備 只針對該系統(tǒng)應(yīng)用需要，支持一種或幾種卡 一般不支持二次開發(fā)，供用戶直接使用,17,通用型IC卡接口設(shè)備的硬件結(jié)構(gòu),18,IC卡接口設(shè)備分類,按照IC卡接口設(shè)備的構(gòu)建方式分類: 固定式: 采用市電電網(wǎng)供電，或通過數(shù)據(jù)接口供電 分為內(nèi)置型和外置型讀寫器 便攜式(脫機(jī)式讀卡器):以電池作為電源,19,IC卡接口設(shè)備,20,4.1.4 IC卡的生命周期,（1）生產(chǎn)階段: （2）準(zhǔn)備階段: 把芯片植入預(yù)先準(zhǔn)備好的卡體后所有跟應(yīng)用相關(guān)數(shù)據(jù)的準(zhǔn)備

9、（3）個(gè)人化階段: IC卡發(fā)行商在卡上寫入信息,發(fā)給持卡人 （4）使用階段: 持卡人對IC卡進(jìn)行激活和讀寫 （5）回收階段:,21,第4章 智能卡技術(shù),4.1 IC卡概述 4.2 存儲卡和邏輯加密卡 4.3 CPU卡 4.4 COS的安全體系 4.5 智能卡的應(yīng)用USB Key,22,4.2 存儲卡和邏輯加密卡,存儲卡: 數(shù)據(jù)讀、寫均無安全機(jī)制 邏輯加密卡: 在存儲卡的基礎(chǔ)上增加了邏輯加密的保護(hù)功能 用于訪問限制，避免卡內(nèi)數(shù)據(jù)被非法修改或讀取 德國Siemens系列存儲卡/邏輯加密卡: SLE4404、SLE4406、SLE4412、SLE4418、SLE4428、SLE4432、SLE443

10、6、SLE4442 美國Atmel系列： 存儲卡：AT24C01A、AT24C02、AT24C04、AT24C08、AT24C16、AT24C32、AT24C64 邏輯加密卡：AT88SC06、AT88SC102、AT88SC1604,23,第4章 智能卡技術(shù),4.1 IC卡概述 4.2 存儲卡和邏輯加密卡 4.3 CPU卡 4.4 COS的安全體系 4.5 智能卡的應(yīng)用USB Key,24,4.3 CPU卡,高數(shù)據(jù)安全性: 對存儲在卡中的信息的存取作出限制,保護(hù)卡內(nèi)的軟件,提高安全性 應(yīng)用靈活性: 可同時(shí)用于幾種不同的應(yīng)用,卡與系統(tǒng)的互相操作受存放在卡中和系統(tǒng)中的軟件控制 應(yīng)用與交易的合法性

11、證實(shí): 當(dāng)卡連到合法的系統(tǒng)以實(shí)現(xiàn)某項(xiàng)應(yīng)用時(shí)，通過來自用戶的數(shù)據(jù)（如PIN數(shù)據(jù)或生物特征）或系統(tǒng)的數(shù)據(jù)（如加密/解密密鑰），可在任何時(shí)候?qū)Τ挚ㄈ嘶蛳到y(tǒng)進(jìn)行驗(yàn)證,25,4.3 CPU卡,多應(yīng)用能力： CPU卡中有微處理器,可實(shí)現(xiàn)一卡多用 脫機(jī)能力： CPU卡可進(jìn)行數(shù)據(jù)合法性檢查,能存儲交易的詳細(xì)數(shù)據(jù),不必為每一筆交易與中央計(jì)算機(jī)/數(shù)據(jù)庫進(jìn)行通信,提高了交易速度,降低了處理費(fèi)用,26,4.3.1 CPU卡的硬件結(jié)構(gòu),27,CPU卡的硬件結(jié)構(gòu),CPU: 一般為8位或16位的微處理器,計(jì)算能力與最早的IBM/PC相當(dāng) 在COS的控制下，接收從讀寫設(shè)備發(fā)來的命令，根據(jù)需要控制對存儲器的訪問，對訪問到的數(shù)據(jù)

12、作進(jìn)一步的處理，實(shí)現(xiàn)卡與外界的信息傳輸、加密/解密和判別處理等功能 EEPROM: 是用戶訪問的存儲區(qū)，用于保存CPU卡的各種信息:口令、密鑰、應(yīng)用文件 一般大小為132 KB,28,CPU卡的硬件結(jié)構(gòu),ROM: 用于存放COS，系統(tǒng)啟動時(shí)從中讀取數(shù)據(jù)，加載操作系統(tǒng)，管理整個(gè)卡上的資源 一般大小為332 KB RAM: 存放系統(tǒng)的中間處理結(jié)果 充當(dāng)卡與讀寫器間信息交換的中間緩存器 一般大小為128 Byte2 KB 協(xié)處理器(Crypto Analytic Unit): 專門用于加密/解密運(yùn)算 DES、三重DES、RSA,29,CPU卡的存儲區(qū)的分配,制造區(qū)/發(fā)行區(qū):存放制造和發(fā)行商代碼、卡的

13、序列號等 ROM代碼區(qū):存放與COS相關(guān)的控制信息 保密區(qū):存放與文件操作權(quán)限相關(guān)的各種密碼,密鑰及相應(yīng)描述信息 文件區(qū):存放應(yīng)用數(shù)據(jù)(文件) 文件分配表:存儲與文件區(qū)中各個(gè)文件對應(yīng)的描述信息,如文件起始地址,長度,權(quán)限,30,4.3.2 CPU卡芯片操作系統(tǒng),芯片操作系統(tǒng)(Chip Operating System, COS) 一般根據(jù)所服務(wù)的CPU卡的特點(diǎn)開發(fā) 受CPU卡內(nèi)微處理器芯片的性能及內(nèi)存容量影響 不同于常見的操作系統(tǒng) COS是專用系統(tǒng)而不是通用系統(tǒng)，一種COS一般只能應(yīng)用于特定的某種CPU卡中，不同卡內(nèi)的COS一般不相同 COS本質(zhì)上更加接近于監(jiān)控程序，而不是一個(gè)真正意義上的操作

14、系統(tǒng),31,CPU卡芯片操作系統(tǒng),COS的主要功能: 控制CPU卡和外界的信息交換 管理CPU卡內(nèi)的存儲器并在卡內(nèi)部完成各種命令的處理 COS所遵循的信息交換協(xié)議: 基于異步字符傳輸?shù)腡=0協(xié)議 基于異步分組傳輸?shù)腡=1協(xié)議,32,COS的命令處理過程,33,(1) 傳送管理器(Transmission Manager),傳送管理： 根據(jù)CPU卡所用的信息傳輸協(xié)議，對由讀寫設(shè)備發(fā)出的命令進(jìn)行接收，在判斷是否正確接收命令后，按照信息傳輸協(xié)議中規(guī)定的格式向讀寫設(shè)備進(jìn)行應(yīng)答 通常采用奇偶校驗(yàn)位或校驗(yàn)和的方法判斷命令是否正確接收 由于CPU卡只有一個(gè)I/O口可以使用，所以卡和讀寫設(shè)備間采用半雙工的方式

15、交換信息 絕大多數(shù)CPU卡的微處理器都在8個(gè)觸點(diǎn)區(qū)中保留了兩個(gè)I/O端口，全雙工的數(shù)據(jù)交換技術(shù)也可能實(shí)現(xiàn),34,(2) 安全管理器(Security Manager),安全管理器： 對所傳送的信息進(jìn)行安全性檢查或處理，防止非法的竊聽或侵入 涉及的安全機(jī)制主要有卡的認(rèn)證與驗(yàn)證，數(shù)據(jù)的加/解密和文件訪問的權(quán)限控制 該部分為用戶提供了一個(gè)安全性的保證，是CPU卡的重要組成部分,35,(3) 應(yīng)用管理器(Application Manager),對CPU卡接收的命令的可執(zhí)行性進(jìn)行判斷 卡的各個(gè)應(yīng)用都以文件的形式存在 實(shí)質(zhì)是文件訪問的安全控制問題 可把應(yīng)用管理器看成文件管理器的一部分,36,(4)文件管

16、理器(File Manager),COS通過給每種應(yīng)用建立一個(gè)對應(yīng)文件的方法實(shí)現(xiàn)對各個(gè)應(yīng)用的存儲及管理，所有文件都有唯一對應(yīng)的文件標(biāo)識符(File Identifier),以便直接查找所需要的文件 文件管理器通過驗(yàn)證命令的操作權(quán)限，最終完成對命令的處理,37,4.3.3 COS的命令和響應(yīng),CPU卡和讀寫設(shè)備(IFD)間的全部數(shù)據(jù)交換是用應(yīng)用協(xié)議數(shù)據(jù)單元(APDU)來進(jìn)行的 APDU含有命令信息(Command),將IFD的命令傳輸給CPU卡 APDU含有響應(yīng)信息(Response),將卡對這些命令的應(yīng)答傳給IFD APDU可理解為IFD和CPU卡之間一次通信傳輸?shù)淖钚⌒畔挝?，如某一命?3

17、8,命令A(yù)PDU,COS的命令（從IFDCPU卡）APDU由一個(gè)4字節(jié)的命令頭和一個(gè)變長的命令體組成:,39,命令A(yù)PDU,40,命令A(yù)PDU的參數(shù)說明,CLA： 識別應(yīng)用和專有的命令組，如GSM移動電話的命令使用A0，基于ISO/IEC7816-4標(biāo)準(zhǔn)的命令都用0X編碼 識別保護(hù)出入卡的部分信息的安全信息SM（Secure Messaging）和邏輯通道 INS 只使用偶數(shù)編碼 命令體在相關(guān)數(shù)據(jù)字段為空時(shí)可不存在,41,響應(yīng)APDU,COS的響應(yīng)（從CPU卡IFD）APDU由一個(gè)可選的變長返回?cái)?shù)據(jù)體和一個(gè)必備的2 字節(jié)的狀態(tài)字組成:,42,響應(yīng)APDU狀態(tài)字段的含義,43,響應(yīng)APDU狀態(tài)字

18、段的含義,44,響應(yīng)APDU狀態(tài)字段的含義,45,COS常用命令的指令碼,46,COS常用命令的指令碼,47,4.4 COS的安全,使用偽造的智能卡進(jìn)入系統(tǒng) 冒用他人遺失的或盜用的智能卡，冒充合法用戶進(jìn)入系統(tǒng) 主動攻擊,48,安全報(bào)文傳送,機(jī)密性保護(hù) 完整性保護(hù) 機(jī)密性加完整性保護(hù),49,4.5 智能卡技術(shù)規(guī)范,1）ISO 7816 智能卡底層接口標(biāo)準(zhǔn) 讀卡器和智能卡之間如何傳遞字節(jié)流 塑料基片的物理和尺寸特性(7816/1) 觸點(diǎn)的尺寸和位置(7816/2) 信息交換的底層協(xié)議描述(7816/3),50,智能卡技術(shù)規(guī)范,2）PC/SC (Personal Computer/Smart Car

19、d ) 用于Win32平臺個(gè)人計(jì)算機(jī)與智能卡之間實(shí)現(xiàn)互通信 目的在于規(guī)范一個(gè)開放的Windows接口 PC/SC 工作組于1996年5月成立,51,智能卡技術(shù)規(guī)范,3）OpenCard 框架 由IBM, Netscape, NCI, Sun在1997年3月27日提出 用于網(wǎng)絡(luò)環(huán)境的智能應(yīng)用框架 目的: 支持智能卡應(yīng)用程序在網(wǎng)絡(luò)計(jì)算機(jī)、PC機(jī)、ATM和GSM平臺上實(shí)現(xiàn)應(yīng)用互操作 提供到PC/SC的接口,52,智能卡技術(shù)規(guī)范,4）Java Card 論壇 1996年10月推出Java Card API規(guī)范 1997年4月27日，Java Card論壇宣布成立 成立目的: 完善Java Card A

20、PI規(guī)范，使之最終成為多應(yīng)用智能卡的首選編程語言,53,智能卡技術(shù)規(guī)范,Java Card: 能夠運(yùn)行Java程序的智能卡 加入操作系統(tǒng), Java Card虛擬機(jī), API類庫,可選的applets 定義了Java作為一種獨(dú)立于平臺的編程技術(shù)在智能卡上的應(yīng)用 Java Card API與正式的國際標(biāo)準(zhǔn)(如ISO7816)和工業(yè)規(guī)范標(biāo)準(zhǔn)(如Europay/Master Card/Visa)兼容,54,4.6 智能卡的應(yīng)用USB Key,USB接口+智能卡技術(shù) 內(nèi)置密碼芯片 可存儲用戶的私鑰、數(shù)字證書、公鑰算法 廣泛應(yīng)用于國內(nèi)網(wǎng)上銀行 是公認(rèn)的較為安全的身份認(rèn)證技術(shù) 無需單獨(dú)的讀寫設(shè)備，讀寫設(shè)備

21、和CPU卡合一，使用方便 由通過國家公安部審核并發(fā)放生產(chǎn)許可證的專用商用密碼產(chǎn)品制造商生產(chǎn),55,USB Key特點(diǎn),（1）基于硬件PIN碼保護(hù)的雙因素認(rèn)證 （2）安全的存儲介質(zhì) 用戶私鑰等敏感信息存儲在USB Key的安全介質(zhì)之中，外部用戶無法直接讀取 對密鑰文件的讀寫和修改都必須由USB Key內(nèi)的程序進(jìn)行調(diào)用 （3）硬件實(shí)現(xiàn)加密算法 常規(guī)加密算法、簽名算法、散列函數(shù)、各種密碼協(xié)議的客戶端部分 算法僅在USB Key內(nèi)部進(jìn)行 （4）加密數(shù)據(jù)傳輸 和主機(jī)之間通過USB接口進(jìn)行的數(shù)據(jù)傳輸可被加密 （5）與PKI體系結(jié)合 保存用戶的數(shù)字證書和私鑰,56,USB Key使用實(shí)例,安徽省工商網(wǎng)上年檢

22、系統(tǒng)： 安徽CA數(shù)字證書驅(qū)動包 網(wǎng)上年檢系統(tǒng)數(shù)字證書應(yīng)用 電子印章,57,CA認(rèn)證在年檢系統(tǒng)中的網(wǎng)絡(luò)結(jié)構(gòu),58,安徽CA數(shù)字證書驅(qū)動包安裝,企業(yè)電子證書由安徽省電子認(rèn)證管理中心有限責(zé)任公司簽發(fā)，安徽省工商行政管理部門在其內(nèi)嵌入企業(yè)基本注冊信息，用于網(wǎng)上證明企業(yè)合法身份的電子證書 2. 企業(yè)領(lǐng)取的企業(yè)電子證書介質(zhì)中包含企業(yè)的電子證書、電子執(zhí)照、電子印章 3. 企業(yè)電子證書具備身份認(rèn)證、數(shù)字簽名及加密傳輸?shù)裙δ?，以其保密性、完整性、真?shí)性和不可否認(rèn)性，為企業(yè)提供基本的安全與信用保證,59,安徽CA數(shù)字證書驅(qū)動包安裝,1. 首先將安裝光盤放入光驅(qū)，等待幾秒鐘，系統(tǒng)會自動彈出主安裝界面,60,安徽CA

23、數(shù)字證書驅(qū)動包安裝,打開“我的電腦”，鼠標(biāo)右擊光驅(qū)圖標(biāo)。,61,安徽CA數(shù)字證書驅(qū)動包安裝,雙擊運(yùn)行“autorun.exe”進(jìn)入主安裝界面,62,安徽CA數(shù)字證書驅(qū)動包安裝,63,USB Key使用實(shí)例,安徽省工商網(wǎng)上年檢系統(tǒng)： 安徽CA數(shù)字證書驅(qū)動包 網(wǎng)上年檢系統(tǒng)數(shù)字證書應(yīng)用 電子印章,64,網(wǎng)上年檢系統(tǒng)數(shù)字證書應(yīng)用流程,填寫和修改報(bào)告書,查看審核狀態(tài),否,是,否,是,Internet,Internet,提示：一次填不完，可以下次重新登錄后繼續(xù)填。,65,網(wǎng)上年檢系統(tǒng)數(shù)字證書應(yīng)用流程,1. 插入U(xiǎn)SBkey，打開IE，進(jìn)入各市工商網(wǎng)上年檢首頁，點(diǎn)擊“安徽CA用戶登錄”,66,網(wǎng)上年檢系統(tǒng)數(shù)字證書應(yīng)用流程,2.IE彈出證書選擇對話框，選擇相應(yīng)的證書,67,網(wǎng)上年檢系統(tǒng)數(shù)字證書應(yīng)用流程,2. 彈出對話框提示用戶輸入U(xiǎn)sbkey的口令，初始口令為123456，正確輸入口令后，即可成功登錄,68,網(wǎng)上年檢系