智能卡與公開密鑰基礎(chǔ)設(shè)施的結(jié)合及應(yīng)用
文章出處:http://www.sgrivertours.com 作者: 人氣: 發(fā)表時間:2012年03月15日
PKI是Public Key Infrastructure(公開密鑰基礎(chǔ)設(shè)施)的縮寫,是一種遵循標準的利用公鑰加密技術(shù)為電子商務(wù)的開展提供一套安全基礎(chǔ)平臺的技術(shù)和規(guī)范,也是目前比較成熟、完善的Internet網(wǎng)絡(luò)安全解決方案.
認證中心CA是PKI的核心環(huán)節(jié),是電子交易信賴的基礎(chǔ)。認證中心作為權(quán)威的、可信賴的、公正的第三方機構(gòu),專門負責(zé)發(fā)放并管理所有參與網(wǎng)上交易的實體所需的數(shù)字證書。其所頒發(fā)的數(shù)字證書在PKI應(yīng)用系統(tǒng)中有著舉足輕重的作用,它就象一張“身份證”——用戶在安全網(wǎng)絡(luò)中通行所需的”電子身份證”。那用戶如何存放自己重要的“身份證”呢?
以往人都把私鑰和數(shù)字證書存儲在傳統(tǒng)媒介中,如計算機的硬盤或軟盤中,但都存在著一定的安全隱患。用戶的數(shù)字證書在計算機硬盤中存放時,用戶可能被“綁”在固定的計算機上,而且存放證書的計算機必須受到安全保護,否則一旦被攻擊,證書就有可能被盜用。使用軟盤保存證書,被竊取的可能性有所降低,但軟盤容易損壞,一旦損壞,證書便無法使用。目前,黑客和病毒的入侵威脅著任何一臺連到互聯(lián)網(wǎng)上計算機,硬盤或軟盤無法為用戶的私鑰和數(shù)字證書提供安全保護,并且計算機、軟盤、鍵盤硬件本身也無任何安全可言,無法保證這些電子器件沒被心懷叵測的人作了手腳,竊取用戶的私人信息.
正是基于上述因素,人們才關(guān)注起高度安全的數(shù)據(jù)載體---智能卡和電子鑰匙,并使用他們存儲私鑰和數(shù)字證書.
使用智能卡、電子鑰匙則有以下優(yōu)點:
1. 私鑰不可讀: 智能卡和電子鑰匙的軟硬件設(shè)計嚴格控制用戶私鑰的使用權(quán)限,只能在滿足條件時方可使用,保護私鑰的安全性。
2. 卡內(nèi)簽名、驗證: 私鑰的簽名、驗證功能一律在卡內(nèi)實現(xiàn),不存在傳輸中私鑰泄露的可能性.
3. 卡內(nèi)生成RSA密鑰對: RSA密鑰對能直接在卡內(nèi)產(chǎn)生,從而從源頭上杜絕私鑰泄露的可能性.
4. 使用方便: 智能卡和電子鑰匙小巧易攜,使用上不受地域限制、不受辦公環(huán)境及安全因素限制。用戶只需在安裝有相應(yīng)驅(qū)動程序的計算機上執(zhí)行幾條簡單指令后,就能激活帶有一個私人安全數(shù)字證書的智能卡或電子鑰匙,方便、安全的在網(wǎng)絡(luò)上實現(xiàn)電子交易.
總之,將用戶私鑰、CA的公鑰、數(shù)字證書等存儲在智能卡或電子鑰匙上為用戶提供最高級別的安全保障。智能卡和電子鑰匙使用了公開密鑰和多種加密算法技術(shù),用更安全的方式把用戶私人信息存在智能卡或電子鑰匙上,而非易于受到黑客攻擊的計算機中,而且PIN口令可以確??ㄆ螂娮予€匙不被他人非法使用。具有非對稱密鑰算法的智能卡和電子鑰匙可以滿足人們對私鑰和數(shù)字證書的安全要求、移動式存貯要求和防偽要求等,成為目前最理想的存儲載體.
2、握奇數(shù)據(jù)PKI產(chǎn)品的發(fā)展
握奇數(shù)據(jù)成立之初便立志于以公開鑰密碼體系為基礎(chǔ),進行信息安全技術(shù)的開發(fā)工作。公司利用自身在智能卡上的先進技術(shù)和豐富經(jīng)驗結(jié)合PKI推出了多款產(chǎn)品.
1997年握奇數(shù)據(jù)推出了第一個PKI產(chǎn)品——支持FAC算法的智能卡。此產(chǎn)品一經(jīng)推出就成功的應(yīng)用于北京國稅的電子申報系統(tǒng)中,成為國內(nèi)最早實現(xiàn)電子簽名應(yīng)用的智能卡產(chǎn)品。該電子申報系統(tǒng)后又推廣至10個稅務(wù)局,使支持FAC算法的智能卡也得到了一定的發(fā)展,并且至今握奇數(shù)據(jù)部分智能卡產(chǎn)品還一直支持FAC算法.
1998年握奇數(shù)據(jù)推出了第二個PKI產(chǎn)品——支持RSA算法的智能卡TimeCOS/PK卡。此產(chǎn)品能夠在卡內(nèi)快速完成RSA算法的簽名,驗證,加密,解密運算,并在卡片內(nèi)生成密鑰對。TimeCOS/PK成為國內(nèi)最早在卡內(nèi)實現(xiàn)RSA算法的智能卡,并首家通過了國家商業(yè)密碼管理委員會的安全評審。在海關(guān)總署的“中國電子口岸卡”中大量應(yīng)用,也是電子口岸執(zhí)法系統(tǒng)唯一入選卡片.
2001年握奇數(shù)據(jù)推出了第三個PKI產(chǎn)品—— 2001年推出的WatchKEY系列產(chǎn)品。此系列產(chǎn)品是基于USB接口的讀卡器和智能卡的集成體,適應(yīng)小型化、便攜式的應(yīng)用需求,其中WatchKEY PRO產(chǎn)品具有TimeCOS/PK卡的全部功能,并已在電子口岸卡、上海CA等項目中大批量的使用.
隨后握奇數(shù)據(jù)在基于TimeCOS/PK卡和WatchKEY基礎(chǔ)上推出了第四個PKI產(chǎn)品——客戶端網(wǎng)絡(luò)安全套件 WatchSAFE。此產(chǎn)品采用模塊化設(shè)計,嵌入方式嚴格遵循瀏覽器的協(xié)議,實現(xiàn)了NETSCAPE的PKCS#11模塊、IE的CSP模塊接口,將智能卡TimeCOS/PK與計算機和讀寫器或電子鑰匙WatchKEY與計算機結(jié)合起來。并已在福建CA, 北京市國家稅務(wù)局涉外稅收管理分局的網(wǎng)上納稅申報系統(tǒng)中廣泛的應(yīng)用.
客戶端網(wǎng)絡(luò)安全套件 WatchSAFE適用于Internet/Intranet上瀏覽器/服務(wù)器(Browser/Server)結(jié)構(gòu)應(yīng)用,其嵌入瀏覽器方式就是重新編寫瀏覽器中相應(yīng)的功能操作模塊,加入可以操作TimeCOS/PK卡和電子鑰匙WatchKEY的函數(shù)接口,實現(xiàn)WatchSAFE產(chǎn)品與計算機的無縫連接。WatchSAFE的嵌入方式嚴格遵循瀏覽器的協(xié)議,能夠建立從瀏覽器開始的真正的SSL、S/MIME安全通信,從而支持多種應(yīng)用,實現(xiàn)Netscape或IE等瀏覽器對TimeCOS/PK卡、讀卡器和電子鑰匙WatchKEY的操作,完成與TimeCOS/PK卡和WatchKEY相關(guān)的簽名認證、建立安全通道、表單簽名,Outlook Express、Messenger下簽名郵件、加密郵件等功能.
3、結(jié)語
IC卡自本世紀70年代問世以來,發(fā)展十分迅速,其應(yīng)用領(lǐng)域日益廣泛,也日益成熟。而PKI技術(shù)也將逐步集成到更多的操作系統(tǒng)和應(yīng)用中去,并實現(xiàn)對用戶的透明。利用PKI作為安全基礎(chǔ)平臺,使用數(shù)字證書實現(xiàn)網(wǎng)上各項工作的認證加密功能,必將是實現(xiàn)安全電子商務(wù)、政務(wù)的主要發(fā)展方向。將PKI技術(shù)發(fā)布的數(shù)字證書與IC卡技術(shù)巧妙結(jié)合后,提出的應(yīng)用解決方案可以說是安全級別最高的網(wǎng)絡(luò)安全應(yīng)用解決方案.
握奇數(shù)據(jù)系統(tǒng)有限公司在中國智能卡領(lǐng)域內(nèi)占有絕對的優(yōu)勢,也是推動智能卡應(yīng)用于中國電子政務(wù)領(lǐng)域的進程中無可爭議的“領(lǐng)跑者”,握奇公司有著豐富的基于智能卡加PKI技術(shù)的成功應(yīng)用經(jīng)驗,無論在產(chǎn)品質(zhì)量上、供貨保障、售后服務(wù)、長久的產(chǎn)品供應(yīng)等各個方面,都可以為客戶提供充分的服務(wù)保障.
“把握奇跡,創(chuàng)造未來!”是握奇公司的口號,我們真誠的愿意與我公司的合作伙伴、國內(nèi)各大CA廠商和我們廣大客戶團體,建立良好的合作關(guān)系共同努力,為實現(xiàn)美好的中國電子政務(wù)、電子商務(wù)市場的未來作出我們的貢獻.