摘 要:數據加密技術是最基本的安全技術,被譽為信息安全的核心,主要用于保證數據在存儲和傳輸過程中的安全性。它是將明文的文件或數據按某種算法轉換成一段不可讀的代碼,通常稱之為“密文”,然后只能輸入相應的密鑰后才顯示原明文的內容,反之,將編碼信息轉化為原來數據信息的過程稱之為解密,通過這種加密方法達到保護數據。本文以智能IC卡表為例,講述數據加密技術在智能IC卡表中的應用。
數據加密技術是最基本的安全技術,被譽為信息安全的核心,主要用于保證數據在存儲和傳輸過程中的安全性。它是將明文的文件或數據按某種算法轉換成一段不可讀的代碼,通常稱之為“密文”,然后只能輸入相應的密鑰后才顯示原明文的內容,反之,將編碼信息轉化為原來數據信息的過程稱之為解密,通過這種加密方法達到保護數據。本文以智能IC卡表為例,講述數據加密技術在智能IC卡表中的應用。
智能IC卡表以IC卡為媒介完成后臺管理系統與表具內數據的信息傳遞,表具內的運行參數和后臺管理系統的數據信息是否一致,很大程度上取決于IC卡內的數據信息,為解決IC卡的數據安全性,首先要對相應的數據信息進行全面、可靠、安全和多層次的備份,然后再對數據進行一定的加密處理。數據加密技術可以細分為數據加密、安全傳輸和身份認證三部分。
數據加密
通過變換和置換等各種方法將明文數據信息轉換成密文,然后再進行信息的存儲或傳輸,在存儲或者傳輸過程中即使加密信息為非授權人員獲得,也可以保證這些信息不為其認知,從而達到保護數據信息的目的。該方法的保密性直接取決于所采用的算法和密鑰長度。數據加密技術被公認為是保護數據安全傳輸的唯一實用方法和保護數據安全存儲的有效方法。
智能IC卡分存儲器卡、邏輯加密卡和CPU卡,不同的智能IC卡選用不同的數據加密算法。
存儲器卡它的集成電路內部只含有EEPROM存儲器,像磁卡一樣存儲信息,以明文的方式傳輸數據,安全性比較差,可以通過對卡片內的數據信息進行一定的處理來提高卡內數據的安全性。例如,首先利用軟件產生一系列的偽隨機數,在卡片內寫滿該隨機數,并在指定的位置寫入卡表數據,將這些數據經過不定期的處理得到一有效數據,如另一隨機碼的異或運算或取反運算等,然后將此有效數據進行校驗產生一校驗碼,最后表具在讀取信息時進行校驗運算,校驗成功后才能讀取卡片內的有效數據。如果微控制器內存容量較大,可以通過更復雜的運算來提高卡上數據的安全性。
邏輯加密卡它的集成電路含有邏輯電路和EEPR0M 存儲器兩部分,在電路中具有邏輯加密功能,安全性能上比存儲器卡更進一步,數據傳輸方式上也是以明文的方式傳輸,對卡上數據的安全處理和存儲器卡的處理方法一樣,進行類似的加密,只有密碼認證成功后才能對卡片進行寫和密碼等操作。
CPU卡它的集成電路帶有中央處理器CPU、EEPR0M 存儲器、RAM 存儲器、R0M存儲器以及片內操作系統COS, 裝有COS的CPU卡相當于一臺微型計算機,不僅能對數據進行復雜的運算,同時在安全性能有了顯著提高。
智能CPU卡采用應用較早、技術成熟的DES對稱加密算法,數據加密和解密采用同一個密鑰,其安全性主要依賴于所持有密鑰的安全性。在對稱加密算法中,發信方將明文和密鑰經過特殊加密算法處理后,使其變成復雜的密文發送;收信方收到密文后,只能使用相同的密鑰和相同加密算法的逆算法對密文進行解密,恢復成明文。對稱加密算法的特點是算法公開、計算量小、加密速度快、加密效率高,不足之處是交易雙方需要使用惟一的密鑰,發、收信雙方所擁有的密鑰數量成幾何級數增長,使密鑰的統一管理成本加大。
安全傳輸
數據的安全傳輸是指數據在傳輸過程中確保數據的安全性、完整性和不可篡改性,傳輸過程中的安全性通過對數據流進行加密實現,數據的完整性通過數字簽名的方式實現。數據發送方在發送數據時,利用一定的加密算法或其它信息文摘算法,計算出所傳輸數據的消息文摘,同時將該消息文摘作為數字簽名與數據一起發送:接收方在收到數據時也收到相應的數字簽名,只有使用相同的算法恢復出數據的數字簽名,若前后兩者簽名相同,則說明數據在傳輸過程中未被修改,保證了數據的完整性。
存儲器卡和邏輯加密卡是以明文方式傳輸數據,傳輸過程中不進行加密處理,只能通過軟件校驗碼MAC確保數據的完整性和準確性,相對來說安全性比較低:CPU卡是以安全報文方式傳輸數據,保證了數據的機密性、完整性和對發送方的認證。數據的機密性通過數據域的加密實現,數據的完整性和對發送方的認證通過報文鑒別代碼MAC實現。
身份認證管理
身份認證管理是確定對lC卡卡片操作的訪問者是否為合法用戶,采用登錄密碼、代表用戶身份的物品(如智能lC卡)或反映用戶生理特征的標識進行身份認證。參與安全通信的雙方在進行數據通信前,必須互相鑒別對方的身份,保證系統中的數據只能被有權限的人訪問,未經授權的人無法訪問數據。
根據智能lC卡的種類不同,采用的認證方式也不同,邏輯加密卡采用口令認證方式,CUP卡除采用口令認證外,還采用DES對稱加密算法認證,即內部認證和外部認證相結合。
口令認證方式請求認證時必須具備一個lD,該lD在認證者的用戶數據庫(該數據庫包括lD和口令)中是唯一的,為保證認證的有效性,在傳輸過程中, 口令不能被竊看、替換。
邏輯加密卡的口令認證是對卡進行操作,只有口令認證成功后,才能對卡進行數據寫和修改等操作,如果連續輸入口令認證都不成功并超過認證有效次數后此卡片將永久性鎖死:CPU卡的口令認證是校驗密鑰的正確性,同樣是在有限次數內口令驗證成功才能進行相應的操作。
DES對稱加密算法認證方式在使用DES對稱加密算法認證時,認證雙方的個人信息(如口令)不用進行傳送,通過認證雙方之間的一個隨機數字簽名和驗證該數字簽名來實現,減少了認證風險。它包括內部認證和外部認證,認證通過后,雙方建立安全通道進行請求和響應,接受信息方先從接收到的信息中驗證發信方的身份信息,驗證通過后根據發送的信息進行相應的處理。
總之,在智能IC卡表應用中,實現數據加密技術的方法很多,用戶根據實際情況決定具體采用哪種數據加密方法。