智能卡技術(shù)課件

1、第4章 智能卡技術(shù)4.1 IC卡概述4.2 存儲(chǔ)卡和邏輯加密卡4.3 CPU卡4.4 COS的安全體系4.5 智能卡的應(yīng)用USB Key14.1.1 IC卡的概念I(lǐng)C卡內(nèi)部帶有微處理器和存儲(chǔ)單元具有獨(dú)立的計(jì)算和存儲(chǔ)能力可存儲(chǔ)示證者的私鑰及數(shù)字證書等信息能作為計(jì)算設(shè)備代理示證者參與認(rèn)證協(xié)議客戶端部分的計(jì)算外形和普通磁卡相似使用和攜帶方便、計(jì)算環(huán)境安全和示證者口令一起能構(gòu)成雙因素認(rèn)證24.1.1 IC卡的概念I(lǐng)C卡(集成電路卡,Integrated Circuit Card),也稱智能卡、靈巧卡和智慧卡由法國人Roland Mereno于1974年發(fā)明是一個(gè)鑲嵌了集成電路芯片的塑料卡片，其外形和尺

2、寸都遵循國際標(biāo)準(zhǔn)，并與覆蓋磁條的磁卡相似由兩個(gè)完全不同的部件組成：一個(gè)部件帶有表面印刷的安全特征,可能有磁條另一個(gè)部件包含有芯片模塊的卡體3接觸式IC卡外形觸點(diǎn)編號(hào)功能觸點(diǎn)編號(hào)功能C1C2C3C4 VCC(電源電壓)RST(復(fù)位信號(hào))CLK(時(shí)鐘)NC(保留)C5C6C7C8 GND(地)NC(保留)I/O(數(shù)據(jù))NC(保留)4IC卡優(yōu)點(diǎn)采用了最先進(jìn)的半導(dǎo)體制造技術(shù)和信息安全技術(shù):使用方便存儲(chǔ)容量大安全性高可靠性高綜合成本低5IC卡分類(1)按嵌入IC卡的集成電路芯片類型分類(2)按卡與外界數(shù)據(jù)傳送的形式分類(3)按卡與外界數(shù)據(jù)交換的格式分類(4)按卡的應(yīng)用領(lǐng)域分類6(1)按嵌入IC卡的集成電

3、路芯片類型分類非加密存儲(chǔ)卡：具有數(shù)據(jù)存儲(chǔ)功能,不具有數(shù)據(jù)處理功能和硬件加密功能邏輯加密卡：具有加密邏輯電路，通過校驗(yàn)口令來限制外部對(duì)卡內(nèi)數(shù)據(jù)的訪問低層次的安全保護(hù)，無法防范惡意攻擊，適用于一般保密要求CPU卡：帶有微處理器(CPU),存儲(chǔ)單元,輸入輸出單元,芯片操作系統(tǒng)(Chip Operating System, COS)有硬件保護(hù)和操作系統(tǒng)的軟件支持,安全保密性更好,是IC卡發(fā)展的主要方向在認(rèn)證系統(tǒng)中使用的IC卡主要是CPU卡7(2)按卡與外界數(shù)據(jù)傳送的形式分類接觸式IC卡：表面有方型鍍金接口，有八個(gè)或六個(gè)鍍金觸點(diǎn)，用于與讀寫器接觸，通過電流信號(hào)完成讀寫非接觸式IC卡：與接觸式IC卡的芯片

4、技術(shù)和特性相同有射頻信號(hào)收發(fā)器，在一定距離內(nèi)即可與讀寫器通信，和讀寫器之間沒有機(jī)械接觸，常被稱作射頻卡或RF(Radio Frequency)卡雙界面卡：將接觸式IC卡和非接觸式IC卡組合到一張卡中雙界面卡主要是CPU卡8(3)按卡與外界數(shù)據(jù)交換的格式分類串行IC卡：數(shù)據(jù)流按串行方式輸入輸出當(dāng)前大多數(shù)IC卡接口簡單,使用方便,具有國際標(biāo)準(zhǔn)并行IC卡：數(shù)據(jù)流按并行方式輸入輸出提高數(shù)據(jù)交換速度增加存儲(chǔ)容量缺乏國際標(biāo)準(zhǔn),無法大規(guī)模應(yīng)用9(4)按卡的應(yīng)用領(lǐng)域分類金融卡：信用卡:由銀行發(fā)行和管理,可使用預(yù)先設(shè)定的透支限額資金現(xiàn)金卡(儲(chǔ)蓄卡):可用作電子存折和電子錢包,不允許透支非金融卡：事物管理,安全管

5、理金融卡之外的所有領(lǐng)域:電信,旅游,教育,公交,稅務(wù)10IC卡應(yīng)用金融：可作為信用卡,現(xiàn)金卡,證券卡,電子資金轉(zhuǎn)帳卡目前主要以磁卡為主電信：數(shù)字蜂窩電話卡(SIM卡),電話儲(chǔ)值卡電子錢包：針對(duì)小額支付,不需電話確認(rèn),簽名,密碼在我國的應(yīng)用剛剛起步政府：工商、稅務(wù)、公安、海關(guān)、人事部門輔助手段11IC卡應(yīng)用身份證明：我國的第二代身份證（非接觸式IC卡）、會(huì)員證公用事業(yè)：水、電、煤氣、有線電視的費(fèi)用收取交通：公共汽車、地鐵、輪渡、高速公路收費(fèi)系統(tǒng)主要應(yīng)用非接觸式IC卡醫(yī)療保?。航】悼ā⑸賰阂呙缈?、就診卡社團(tuán)、機(jī)構(gòu)內(nèi)部管理：企業(yè)員工卡、校園一卡通124.1.2 IC卡相關(guān)的國際標(biāo)準(zhǔn)按照數(shù)據(jù)傳輸方式分

6、類:接觸式IC卡國際標(biāo)準(zhǔn)非接觸式IC卡國際標(biāo)準(zhǔn)13IC卡測試標(biāo)準(zhǔn)質(zhì)量測試：用于判斷IC卡能否使用通常在引入新的卡體、芯片、模塊或操作系統(tǒng)之前進(jìn)行產(chǎn)品測試：快速:滿足大量生產(chǎn)中關(guān)于短處理時(shí)間和高吞吐率的要求主要包括物理和電氣特性測試，以及送往智能卡微處理器的命令及響應(yīng)測試144.1.3 IC卡接口設(shè)備IC卡接口設(shè)備IFD(Interface Device),或稱IC卡讀寫器或IC卡終端:連接IC卡與應(yīng)用系統(tǒng)的橋梁性能、可靠性、安全性對(duì)整個(gè)應(yīng)用系統(tǒng)有重要影響專用接口設(shè)備:一般以一個(gè)獨(dú)立面向應(yīng)用的應(yīng)用機(jī)具方式出現(xiàn),如水,電,煤氣等的IC卡計(jì)費(fèi)設(shè)備,IC卡付費(fèi)電話,IC卡自動(dòng)售貨機(jī)機(jī)具的使用方式和功能

7、在出廠前由廠家設(shè)置好,用戶使用時(shí)僅能根據(jù)不同的情況進(jìn)行小范圍設(shè)定通用接口設(shè)備:通常以從設(shè)備方式(或稱外部設(shè)備)與主設(shè)備(一般是微機(jī))一起構(gòu)成IC卡應(yīng)用機(jī)具功能上僅完成面向IC卡的操作,設(shè)備本身不針對(duì)任何特定應(yīng)用豐富而靈活的應(yīng)用接口給應(yīng)用開發(fā)者提供良好的支持,是應(yīng)用系統(tǒng)中合適的選擇15IC卡接口設(shè)備分類通用型接口設(shè)備:一般只具備讀寫的功能，以標(biāo)準(zhǔn)數(shù)據(jù)接口方式與其它設(shè)備進(jìn)行連接可支持?jǐn)?shù)十種卡一般可進(jìn)行二次開發(fā)，所以都有輔助開發(fā)應(yīng)用的開發(fā)平臺(tái)提供給應(yīng)用開發(fā)人員構(gòu)成IC卡應(yīng)用系統(tǒng)是一個(gè)代價(jià)較高的方案，但它提供了一個(gè)多場合應(yīng)用的機(jī)制，可更加方便、靈活地組織系統(tǒng)，非常適合于小型應(yīng)用系統(tǒng)專用型接口設(shè)備:可以

8、直接安裝使用，并可在內(nèi)部安裝與應(yīng)用有關(guān)的其它設(shè)備只針對(duì)該系統(tǒng)應(yīng)用需要，支持一種或幾種卡一般不支持二次開發(fā)，供用戶直接使用16通用型IC卡接口設(shè)備的硬件結(jié)構(gòu)17IC卡接口設(shè)備分類按照IC卡接口設(shè)備的構(gòu)建方式分類:固定式:采用市電電網(wǎng)供電，或通過數(shù)據(jù)接口供電分為內(nèi)置型和外置型讀寫器便攜式(脫機(jī)式讀卡器):以電池作為電源18IC卡接口設(shè)備194.1.4 IC卡的生命周期（1）生產(chǎn)階段:（2）準(zhǔn)備階段: 把芯片植入預(yù)先準(zhǔn)備好的卡體后所有跟應(yīng)用相關(guān)數(shù)據(jù)的準(zhǔn)備（3）個(gè)人化階段: IC卡發(fā)行商在卡上寫入信息,發(fā)給持卡人（4）使用階段: 持卡人對(duì)IC卡進(jìn)行激活和讀寫（5）回收階段:20第4章 智能卡技術(shù)4.1

9、 IC卡概述4.2 存儲(chǔ)卡和邏輯加密卡4.3 CPU卡4.4 COS的安全體系4.5 智能卡的應(yīng)用USB Key214.2 存儲(chǔ)卡和邏輯加密卡存儲(chǔ)卡:數(shù)據(jù)讀、寫均無安全機(jī)制邏輯加密卡:在存儲(chǔ)卡的基礎(chǔ)上增加了邏輯加密的保護(hù)功能用于訪問限制，避免卡內(nèi)數(shù)據(jù)被非法修改或讀取德國Siemens系列存儲(chǔ)卡/邏輯加密卡:SLE4404、SLE4406、SLE4412、SLE4418、SLE4428、SLE4432、SLE4436、SLE4442美國Atmel系列：存儲(chǔ)卡：AT24C01A、AT24C02、AT24C04、AT24C08、AT24C16、AT24C32、AT24C64邏輯加密卡：AT88SC0

10、6、AT88SC102、AT88SC160422第4章 智能卡技術(shù)4.1 IC卡概述4.2 存儲(chǔ)卡和邏輯加密卡4.3 CPU卡4.4 COS的安全體系4.5 智能卡的應(yīng)用USB Key234.3 CPU卡高數(shù)據(jù)安全性:對(duì)存儲(chǔ)在卡中的信息的存取作出限制,保護(hù)卡內(nèi)的軟件,提高安全性應(yīng)用靈活性:可同時(shí)用于幾種不同的應(yīng)用,卡與系統(tǒng)的互相操作受存放在卡中和系統(tǒng)中的軟件控制應(yīng)用與交易的合法性證實(shí):當(dāng)卡連到合法的系統(tǒng)以實(shí)現(xiàn)某項(xiàng)應(yīng)用時(shí)，通過來自用戶的數(shù)據(jù)（如PIN數(shù)據(jù)或生物特征）或系統(tǒng)的數(shù)據(jù)（如加密/解密密鑰），可在任何時(shí)候?qū)Τ挚ㄈ嘶蛳到y(tǒng)進(jìn)行驗(yàn)證244.3 CPU卡多應(yīng)用能力：CPU卡中有微處理器,可實(shí)現(xiàn)一卡

11、多用脫機(jī)能力：CPU卡可進(jìn)行數(shù)據(jù)合法性檢查,能存儲(chǔ)交易的詳細(xì)數(shù)據(jù),不必為每一筆交易與中央計(jì)算機(jī)/數(shù)據(jù)庫進(jìn)行通信,提高了交易速度,降低了處理費(fèi)用254.3.1 CPU卡的硬件結(jié)構(gòu)26CPU卡的硬件結(jié)構(gòu)CPU:一般為8位或16位的微處理器,計(jì)算能力與最早的IBM/PC相當(dāng)在COS的控制下，接收從讀寫設(shè)備發(fā)來的命令，根據(jù)需要控制對(duì)存儲(chǔ)器的訪問，對(duì)訪問到的數(shù)據(jù)作進(jìn)一步的處理，實(shí)現(xiàn)卡與外界的信息傳輸、加密/解密和判別處理等功能EEPROM:是用戶訪問的存儲(chǔ)區(qū)，用于保存CPU卡的各種信息:口令、密鑰、應(yīng)用文件一般大小為132 KB27CPU卡的硬件結(jié)構(gòu)ROM:用于存放COS，系統(tǒng)啟動(dòng)時(shí)從中讀取數(shù)據(jù)，加載操

12、作系統(tǒng)，管理整個(gè)卡上的資源一般大小為332 KBRAM:存放系統(tǒng)的中間處理結(jié)果充當(dāng)卡與讀寫器間信息交換的中間緩存器一般大小為128 Byte2 KB協(xié)處理器(Crypto Analytic Unit):專門用于加密/解密運(yùn)算DES、三重DES、RSA28CPU卡的存儲(chǔ)區(qū)的分配制造區(qū)/發(fā)行區(qū):存放制造和發(fā)行商代碼、卡的序列號(hào)等ROM代碼區(qū):存放與COS相關(guān)的控制信息保密區(qū):存放與文件操作權(quán)限相關(guān)的各種密碼,密鑰及相應(yīng)描述信息文件區(qū):存放應(yīng)用數(shù)據(jù)(文件)文件分配表:存儲(chǔ)與文件區(qū)中各個(gè)文件對(duì)應(yīng)的描述信息,如文件起始地址,長度,權(quán)限制造區(qū)/發(fā)行區(qū)ROM代碼區(qū)RAM保密區(qū)文件區(qū)文件分配表294.3.2

13、CPU卡芯片操作系統(tǒng)芯片操作系統(tǒng)(Chip Operating System, COS)一般根據(jù)所服務(wù)的CPU卡的特點(diǎn)開發(fā)受CPU卡內(nèi)微處理器芯片的性能及內(nèi)存容量影響不同于常見的操作系統(tǒng)COS是專用系統(tǒng)而不是通用系統(tǒng)，一種COS一般只能應(yīng)用于特定的某種CPU卡中，不同卡內(nèi)的COS一般不相同COS本質(zhì)上更加接近于監(jiān)控程序，而不是一個(gè)真正意義上的操作系統(tǒng)30CPU卡芯片操作系統(tǒng)COS的主要功能:控制CPU卡和外界的信息交換管理CPU卡內(nèi)的存儲(chǔ)器并在卡內(nèi)部完成各種命令的處理COS所遵循的信息交換協(xié)議:基于異步字符傳輸?shù)腡=0協(xié)議基于異步分組傳輸?shù)腡=1協(xié)議31COS的命令處理過程32(1) 傳送管理

14、器(Transmission Manager)傳送管理：根據(jù)CPU卡所用的信息傳輸協(xié)議，對(duì)由讀寫設(shè)備發(fā)出的命令進(jìn)行接收，在判斷是否正確接收命令后，按照信息傳輸協(xié)議中規(guī)定的格式向讀寫設(shè)備進(jìn)行應(yīng)答通常采用奇偶校驗(yàn)位或校驗(yàn)和的方法判斷命令是否正確接收由于CPU卡只有一個(gè)I/O口可以使用，所以卡和讀寫設(shè)備間采用半雙工的方式交換信息絕大多數(shù)CPU卡的微處理器都在8個(gè)觸點(diǎn)區(qū)中保留了兩個(gè)I/O端口，全雙工的數(shù)據(jù)交換技術(shù)也可能實(shí)現(xiàn)33(2) 安全管理器(Security Manager)安全管理器：對(duì)所傳送的信息進(jìn)行安全性檢查或處理，防止非法的竊聽或侵入涉及的安全機(jī)制主要有卡的認(rèn)證與驗(yàn)證，數(shù)據(jù)的加/解密和文件

15、訪問的權(quán)限控制該部分為用戶提供了一個(gè)安全性的保證，是CPU卡的重要組成部分34(3) 應(yīng)用管理器(Application Manager)對(duì)CPU卡接收的命令的可執(zhí)行性進(jìn)行判斷卡的各個(gè)應(yīng)用都以文件的形式存在實(shí)質(zhì)是文件訪問的安全控制問題可把應(yīng)用管理器看成文件管理器的一部分35(4)文件管理器(File Manager)COS通過給每種應(yīng)用建立一個(gè)對(duì)應(yīng)文件的方法實(shí)現(xiàn)對(duì)各個(gè)應(yīng)用的存儲(chǔ)及管理，所有文件都有唯一對(duì)應(yīng)的文件標(biāo)識(shí)符(File Identifier),以便直接查找所需要的文件文件管理器通過驗(yàn)證命令的操作權(quán)限，最終完成對(duì)命令的處理364.3.3 COS的命令和響應(yīng)CPU卡和讀寫設(shè)備(IFD)間的

16、全部數(shù)據(jù)交換是用應(yīng)用協(xié)議數(shù)據(jù)單元(APDU)來進(jìn)行的APDU含有命令信息(Command),將IFD的命令傳輸給CPU卡APDU含有響應(yīng)信息(Response),將卡對(duì)這些命令的應(yīng)答傳給IFDAPDU可理解為IFD和CPU卡之間一次通信傳輸?shù)淖钚⌒畔挝?，如某一命?7命令A(yù)PDUCOS的命令（從IFDCPU卡）APDU由一個(gè)4字節(jié)的命令頭和一個(gè)變長的命令體組成:38命令A(yù)PDU代碼名稱長度(Byte)描述CLA命令類別1命令的類別INS命令碼1命令代碼P1參數(shù)11命令參數(shù)1P2參數(shù)21命令參數(shù)2Lc命令數(shù)據(jù)長度可變，0或1在命令的數(shù)據(jù)字段中呈現(xiàn)的字節(jié)數(shù)DATA數(shù)據(jù)可變， =Lc在命令的數(shù)據(jù)字

17、段中發(fā)送的字節(jié)串Le 響應(yīng)數(shù)據(jù)長度可變，0或1期望在命令響應(yīng)的數(shù)據(jù)字段中返回的字節(jié)最大數(shù)39命令A(yù)PDU的參數(shù)說明CLA：識(shí)別應(yīng)用和專有的命令組，如GSM移動(dòng)電話的命令使用A0，基于ISO/IEC7816-4標(biāo)準(zhǔn)的命令都用0X編碼識(shí)別保護(hù)出入卡的部分信息的安全信息SM（Secure Messaging）和邏輯通道INS只使用偶數(shù)編碼命令體在相關(guān)數(shù)據(jù)字段為空時(shí)可不存在40響應(yīng)APDUCOS的響應(yīng)（從CPU卡IFD）APDU由一個(gè)可選的變長返回?cái)?shù)據(jù)體和一個(gè)必備的2 字節(jié)的狀態(tài)字組成:字段名稱長度(字節(jié))含義DATA數(shù)據(jù)字段可變，=Lr實(shí)際響應(yīng)數(shù)據(jù)SW1狀態(tài)字節(jié)11命令處理狀態(tài)SW2狀態(tài)字節(jié)2141

18、響應(yīng)APDU狀態(tài)字段的含義狀態(tài)碼(16進(jìn)制)含義備注9000正常結(jié)束正常返回61XX正常結(jié)束，有XX個(gè)數(shù)據(jù)可讀取63CXX為剩余嘗試次數(shù)錯(cuò)誤或警告6581寫EEPROM失敗6700數(shù)據(jù)長度錯(cuò)誤6901無效的狀態(tài)6981命令和文件類型不匹配6982不滿足安全狀態(tài)6983密鑰已經(jīng)被鎖住42響應(yīng)APDU狀態(tài)字段的含義狀態(tài)碼(16進(jìn)制)含義備注6985使用條件不滿足6988安全報(bào)文數(shù)據(jù)項(xiàng)不正確6A80數(shù)據(jù)域參數(shù)不正確6A81功能不支持6A82沒有找到文件6A83沒有找到記錄6A84沒有足夠空間6A86P1、P2參數(shù)不正確6B00參數(shù)錯(cuò)誤(偏移地址超出了EF文件長度)6D00不正確的INS43響應(yīng)APD

19、U狀態(tài)字段的含義狀態(tài)碼(16進(jìn)制)含義備注6E00不正確的CLA6F00未定義的錯(cuò)誤9302MAC不正確9303應(yīng)用永久鎖定9401金額不足錯(cuò)誤或警告9403密鑰索引不支持9406所需MAC不可用44COS常用命令的指令碼指令指令碼(INS)說明Select FileA4H文件選擇命令Read BinaryB0H讀二進(jìn)制數(shù)據(jù)命令Read RecordB2H讀記錄命令Upate BinaryD6H修改二進(jìn)制數(shù)據(jù)命令Upate RecordDCH修改記錄命令Write BinaryD0H寫二進(jìn)制數(shù)據(jù)命令Write RecordD2H寫記錄命令45COS常用命令的指令碼Erase Binary0EH

20、刪除二進(jìn)制數(shù)據(jù)命令A(yù)ppend RecordE2H追加記錄命令Verify20HPIN驗(yàn)證命令External Authenticate82H外部認(rèn)證命令I(lǐng)nternal Authenticate88H內(nèi)部認(rèn)證命令Get Challenge84H獲取隨機(jī)數(shù)命令Get ResponseC0H獲取響應(yīng)命令EnvelopeC2H包裝命令464.4 COS的安全 使用偽造的智能卡進(jìn)入系統(tǒng)冒用他人遺失的或盜用的智能卡，冒充合法用戶進(jìn)入系統(tǒng)主動(dòng)攻擊47安全報(bào)文傳送機(jī)密性保護(hù)完整性保護(hù)機(jī)密性加完整性保護(hù)484.5 智能卡技術(shù)規(guī)范1）ISO 7816智能卡底層接口標(biāo)準(zhǔn)讀卡器和智能卡之間如何傳遞字節(jié)流塑料基片的

21、物理和尺寸特性(7816/1)觸點(diǎn)的尺寸和位置(7816/2)信息交換的底層協(xié)議描述(7816/3)49智能卡技術(shù)規(guī)范2）PC/SC (Personal Computer/Smart Card )用于Win32平臺(tái)個(gè)人計(jì)算機(jī)與智能卡之間實(shí)現(xiàn)互通信目的在于規(guī)范一個(gè)開放的Windows接口PC/SC 工作組于1996年5月成立50智能卡技術(shù)規(guī)范3）OpenCard 框架由IBM, Netscape, NCI, Sun在1997年3月27日提出用于網(wǎng)絡(luò)環(huán)境的智能應(yīng)用框架目的: 支持智能卡應(yīng)用程序在網(wǎng)絡(luò)計(jì)算機(jī)、PC機(jī)、ATM和GSM平臺(tái)上實(shí)現(xiàn)應(yīng)用互操作提供到PC/SC的接口51智能卡技術(shù)規(guī)范4）Jav

22、a Card 論壇1996年10月推出Java Card API規(guī)范1997年4月27日，Java Card論壇宣布成立成立目的: 完善Java Card API規(guī)范，使之最終成為多應(yīng)用智能卡的首選編程語言52智能卡技術(shù)規(guī)范Java Card:能夠運(yùn)行Java程序的智能卡加入操作系統(tǒng), Java Card虛擬機(jī), API類庫,可選的applets定義了Java作為一種獨(dú)立于平臺(tái)的編程技術(shù)在智能卡上的應(yīng)用Java Card API與正式的國際標(biāo)準(zhǔn)(如ISO7816)和工業(yè)規(guī)范標(biāo)準(zhǔn)(如Europay/Master Card/Visa)兼容534.6 智能卡的應(yīng)用USB KeyUSB接口+智能卡技術(shù)

23、內(nèi)置密碼芯片可存儲(chǔ)用戶的私鑰、數(shù)字證書、公鑰算法廣泛應(yīng)用于國內(nèi)網(wǎng)上銀行是公認(rèn)的較為安全的身份認(rèn)證技術(shù)無需單獨(dú)的讀寫設(shè)備，讀寫設(shè)備和CPU卡合一，使用方便由通過國家公安部審核并發(fā)放生產(chǎn)許可證的專用商用密碼產(chǎn)品制造商生產(chǎn)54USB Key特點(diǎn)（1）基于硬件PIN碼保護(hù)的雙因素認(rèn)證（2）安全的存儲(chǔ)介質(zhì)用戶私鑰等敏感信息存儲(chǔ)在USB Key的安全介質(zhì)之中，外部用戶無法直接讀取對(duì)密鑰文件的讀寫和修改都必須由USB Key內(nèi)的程序進(jìn)行調(diào)用（3）硬件實(shí)現(xiàn)加密算法常規(guī)加密算法、簽名算法、散列函數(shù)、各種密碼協(xié)議的客戶端部分算法僅在USB Key內(nèi)部進(jìn)行（4）加密數(shù)據(jù)傳輸和主機(jī)之間通過USB接口進(jìn)行的數(shù)據(jù)傳輸可被

24、加密（5）與PKI體系結(jié)合保存用戶的數(shù)字證書和私鑰55USB Key使用實(shí)例安徽省工商網(wǎng)上年檢系統(tǒng)：安徽CA數(shù)字證書驅(qū)動(dòng)包網(wǎng)上年檢系統(tǒng)數(shù)字證書應(yīng)用電子印章56CA認(rèn)證在年檢系統(tǒng)中的網(wǎng)絡(luò)結(jié)構(gòu)57安徽CA數(shù)字證書驅(qū)動(dòng)包安裝企業(yè)電子證書由安徽省電子認(rèn)證管理中心有限責(zé)任公司簽發(fā)，安徽省工商行政管理部門在其內(nèi)嵌入企業(yè)基本注冊(cè)信息，用于網(wǎng)上證明企業(yè)合法身份的電子證書2. 企業(yè)領(lǐng)取的企業(yè)電子證書介質(zhì)中包含企業(yè)的電子證書、電子執(zhí)照、電子印章3. 企業(yè)電子證書具備身份認(rèn)證、數(shù)字簽名及加密傳輸?shù)裙δ?，以其保密性、完整性、真?shí)性和不可否認(rèn)性，為企業(yè)提供基本的安全與信用保證58安徽CA數(shù)字證書驅(qū)動(dòng)包安裝1. 首先將安

25、裝光盤放入光驅(qū)，等待幾秒鐘，系統(tǒng)會(huì)自動(dòng)彈出主安裝界面59安徽CA數(shù)字證書驅(qū)動(dòng)包安裝打開“我的電腦”，鼠標(biāo)右擊光驅(qū)圖標(biāo)。60安徽CA數(shù)字證書驅(qū)動(dòng)包安裝雙擊運(yùn)行“autorun.exe”進(jìn)入主安裝界面61安徽CA數(shù)字證書驅(qū)動(dòng)包安裝62USB Key使用實(shí)例安徽省工商網(wǎng)上年檢系統(tǒng)：安徽CA數(shù)字證書驅(qū)動(dòng)包網(wǎng)上年檢系統(tǒng)數(shù)字證書應(yīng)用電子印章63網(wǎng)上年檢系統(tǒng)數(shù)字證書應(yīng)用流程填寫和修改報(bào)告書查看審核狀態(tài)否是否是InternetInternet提示：一次填不完，可以下次重新登錄后繼續(xù)填。64網(wǎng)上年檢系統(tǒng)數(shù)字證書應(yīng)用流程1. 插入U(xiǎn)SBkey，打開IE，進(jìn)入各市工商網(wǎng)上年檢首頁，點(diǎn)擊“安徽CA用戶登錄”65網(wǎng)上年檢系統(tǒng)數(shù)字證書應(yīng)用