数据加密
通过变换和置换等各种方法将明文数据信息转换成密文,然后再进行信息的存储或传输,在存储或者传输过程中即使加密信息为非授权人员获得,也可以保证这些信息不为其认知,从而达到保护数据信息的目的。该方法的保密性直接取决于所采用的算法和密钥长度。数据加密技术被公认为是保护数据安全传输的唯一实用方法和保护数据安全存储的有效方法。
智能IC卡分存储器卡、逻辑加密卡和CPU卡,不同的智能IC卡选用不同的数据加密算法。
存储器卡它的集成电路内部只含有EEPROM存储器,像磁卡一样存储信息,以明文的方式传输数据,安全性比较差,可以通过对卡片内的数据信息进行一定的处理来提高卡内数据的安全性。例如,首先利用软件产生一系列的伪随机数,在卡片内写满该随机数,并在指定的位置写入卡表数据,将这些数据经过不定期的处理得到一有效数据,如另一随机码的异或运算或取反运算等,然后将此有效数据进行校验产生一校验码,最后表具在读取信息时进行校验运算,校验成功后才能读取卡片内的有效数据。如果微控制器内存容量较大,可以通过更复杂的运算来提高卡上数据的安全性。
逻辑加密卡它的集成电路含有逻辑电路和EEPR0M 存储器两部分,在电路中具有逻辑加密功能,安全性能上比存储器卡更进一步,数据传输方式上也是以明文的方式传输,对卡上数据的安全处理和存储器卡的处理方法一样,进行类似的加密,只有密码认证成功后才能对卡片进行写和密码等操作。
CPU卡它的集成电路带有中央处理器CPU、EEPR0M 存储器、RAM 存储器、R0M存储器以及片内操作系统COS, 装有COS的CPU卡相当于一台微型计算机,不仅能对数据进行复杂的运算,同时在安全性能有了显著提高。
智能CPU卡采用应用较早、技术成熟的DES对称加密算法,数据加密和解密采用同一个密钥,其安全性主要依赖于所持有密钥的安全性。在对称加密算法中,发信方将明文和密钥经过特殊加密算法处理后,使其变成复杂的密文发送;收信方收到密文后,只能使用相同的密钥和相同加密算法的逆算法对密文进行解密,恢复成明文。对称加密算法的特点是算法公开、计算量小、加密速度快、加密效率高,不足之处是交易双方需要使用惟一的密钥,发、收信双方所拥有的密钥数量成几何级数增长,使密钥的统一管理成本加大。
安全传输
数据的安全传输是指数据在传输过程中确保数据的安全性、完整性和不可篡改性,传输过程中的安全性通过对数据流进行加密实现,数据的完整性通过数字签名的方式实现。数据发送方在发送数据时,利用一定的加密算法或其它信息文摘算法,计算出所传输数据的消息文摘,同时将该消息文摘作为数字签名与数据一起发送:接收方在收到数据时也收到相应的数字签名,只有使用相同的算法恢复出数据的数字签名,若前后两者签名相同,则说明数据在传输过程中未被修改,保证了数据的完整性。
存储器卡和逻辑加密卡是以明文方式传输数据,传输过程中不进行加密处理,只能通过软件校验码MAC确保数据的完整性和准确性,相对来说安全性比较低:CPU卡是以安全报文方式传输数据,保证了数据的机密性、完整性和对发送方的认证。数据的机密性通过数据域的加密实现,数据的完整性和对发送方的认证通过报文鉴别代码MAC实现。
身份认证管理
身份认证管理是确定对lC卡卡片操作的访问者是否为合法用户,采用登录密码、代表用户身份的物品(如智能lC卡)或反映用户生理特征的标识进行身份认证。参与安全通信的双方在进行数据通信前,必须互相鉴别对方的身份,保证系统中的数据只能被有权限的人访问,未经授权的人无法访问数据。
根据智能lC卡的种类不同,采用的认证方式也不同,逻辑加密卡采用口令认证方式,CUP卡除采用口令认证外,还采用DES对称加密算法认证,即内部认证和外部认证相结合。
口令认证方式请求认证时必须具备一个lD,该lD在认证者的用户数据库(该数据库包括lD和口令)中是唯一的,为保证认证的有效性,在传输过程中, 口令不能被窃看、替换。
逻辑加密卡的口令认证是对卡进行操作,只有口令认证成功后,才能对卡进行数据写和修改等操作,如果连续输入口令认证都不成功并超过认证有效次数后此卡片将永久性锁死:CPU卡的口令认证是校验密钥的正确性,同样是在有限次数内口令验证成功才能进行相应的操作。
DES对称加密算法认证方式在使用DES对称加密算法认证时,认证双方的个人信息(如口令)不用进行传送,通过认证双方之间的一个随机数字签名和验证该数字签名来实现,减少了认证风险。它包括内部认证和外部认证,认证通过后,双方建立安全通道进行请求和响应,接受信息方先从接收到的信息中验证发信方的身份信息,验证通过后根据发送的信息进行相应的处理。
总之,在智能IC卡表应用中,实现数据加密技术的方法很多,用户根据实际情况决定具体采用哪种数据加密方法。