智能卡與公開密鑰基礎設施的結合及應用
文章出處:http://5052h112.com 作者: 人氣: 發表時間:2012年03月15日
PKI是Public Key Infrastructure(公開密鑰基礎設施)的縮寫,是一種遵循標準的利用公鑰加密技術為電子商務的開展提供一套安全基礎平臺的技術和規范,也是目前比較成熟、完善的Internet網絡安全解決方案.
認證中心CA是PKI的核心環節,是電子交易信賴的基礎。認證中心作為權威的、可信賴的、公正的第三方機構,專門負責發放并管理所有參與網上交易的實體所需的數字證書。其所頒發的數字證書在PKI應用系統中有著舉足輕重的作用,它就象一張“身份證”——用戶在安全網絡中通行所需的”電子身份證”。那用戶如何存放自己重要的“身份證”呢?
以往人都把私鑰和數字證書存儲在傳統媒介中,如計算機的硬盤或軟盤中,但都存在著一定的安全隱患。用戶的數字證書在計算機硬盤中存放時,用戶可能被“綁”在固定的計算機上,而且存放證書的計算機必須受到安全保護,否則一旦被攻擊,證書就有可能被盜用。使用軟盤保存證書,被竊取的可能性有所降低,但軟盤容易損壞,一旦損壞,證書便無法使用。目前,黑客和病毒的入侵威脅著任何一臺連到互聯網上計算機,硬盤或軟盤無法為用戶的私鑰和數字證書提供安全保護,并且計算機、軟盤、鍵盤硬件本身也無任何安全可言,無法保證這些電子器件沒被心懷叵測的人作了手腳,竊取用戶的私人信息.
正是基于上述因素,人們才關注起高度安全的數據載體---智能卡和電子鑰匙,并使用他們存儲私鑰和數字證書.
使用智能卡、電子鑰匙則有以下優點:
1. 私鑰不可讀: 智能卡和電子鑰匙的軟硬件設計嚴格控制用戶私鑰的使用權限,只能在滿足條件時方可使用,保護私鑰的安全性。
2. 卡內簽名、驗證: 私鑰的簽名、驗證功能一律在卡內實現,不存在傳輸中私鑰泄露的可能性.
3. 卡內生成RSA密鑰對: RSA密鑰對能直接在卡內產生,從而從源頭上杜絕私鑰泄露的可能性.
4. 使用方便: 智能卡和電子鑰匙小巧易攜,使用上不受地域限制、不受辦公環境及安全因素限制。用戶只需在安裝有相應驅動程序的計算機上執行幾條簡單指令后,就能激活帶有一個私人安全數字證書的智能卡或電子鑰匙,方便、安全的在網絡上實現電子交易.
總之,將用戶私鑰、CA的公鑰、數字證書等存儲在智能卡或電子鑰匙上為用戶提供最高級別的安全保障。智能卡和電子鑰匙使用了公開密鑰和多種加密算法技術,用更安全的方式把用戶私人信息存在智能卡或電子鑰匙上,而非易于受到黑客攻擊的計算機中,而且PIN口令可以確保卡片或電子鑰匙不被他人非法使用。具有非對稱密鑰算法的智能卡和電子鑰匙可以滿足人們對私鑰和數字證書的安全要求、移動式存貯要求和防偽要求等,成為目前最理想的存儲載體.
2、握奇數據PKI產品的發展
握奇數據成立之初便立志于以公開鑰密碼體系為基礎,進行信息安全技術的開發工作。公司利用自身在智能卡上的先進技術和豐富經驗結合PKI推出了多款產品.
1997年握奇數據推出了第一個PKI產品——支持FAC算法的智能卡。此產品一經推出就成功的應用于北京國稅的電子申報系統中,成為國內最早實現電子簽名應用的智能卡產品。該電子申報系統后又推廣至10個稅務局,使支持FAC算法的智能卡也得到了一定的發展,并且至今握奇數據部分智能卡產品還一直支持FAC算法.
1998年握奇數據推出了第二個PKI產品——支持RSA算法的智能卡TimeCOS/PK卡。此產品能夠在卡內快速完成RSA算法的簽名,驗證,加密,解密運算,并在卡片內生成密鑰對。TimeCOS/PK成為國內最早在卡內實現RSA算法的智能卡,并首家通過了國家商業密碼管理委員會的安全評審。在海關總署的“中國電子口岸卡”中大量應用,也是電子口岸執法系統唯一入選卡片.
2001年握奇數據推出了第三個PKI產品—— 2001年推出的WatchKEY系列產品。此系列產品是基于USB接口的讀卡器和智能卡的集成體,適應小型化、便攜式的應用需求,其中WatchKEY PRO產品具有TimeCOS/PK卡的全部功能,并已在電子口岸卡、上海CA等項目中大批量的使用.
隨后握奇數據在基于TimeCOS/PK卡和WatchKEY基礎上推出了第四個PKI產品——客戶端網絡安全套件 WatchSAFE。此產品采用模塊化設計,嵌入方式嚴格遵循瀏覽器的協議,實現了NETSCAPE的PKCS#11模塊、IE的CSP模塊接口,將智能卡TimeCOS/PK與計算機和讀寫器或電子鑰匙WatchKEY與計算機結合起來。并已在福建CA, 北京市國家稅務局涉外稅收管理分局的網上納稅申報系統中廣泛的應用.
客戶端網絡安全套件 WatchSAFE適用于Internet/Intranet上瀏覽器/服務器(Browser/Server)結構應用,其嵌入瀏覽器方式就是重新編寫瀏覽器中相應的功能操作模塊,加入可以操作TimeCOS/PK卡和電子鑰匙WatchKEY的函數接口,實現WatchSAFE產品與計算機的無縫連接。WatchSAFE的嵌入方式嚴格遵循瀏覽器的協議,能夠建立從瀏覽器開始的真正的SSL、S/MIME安全通信,從而支持多種應用,實現Netscape或IE等瀏覽器對TimeCOS/PK卡、讀卡器和電子鑰匙WatchKEY的操作,完成與TimeCOS/PK卡和WatchKEY相關的簽名認證、建立安全通道、表單簽名,Outlook Express、Messenger下簽名郵件、加密郵件等功能.
3、結語
IC卡自本世紀70年代問世以來,發展十分迅速,其應用領域日益廣泛,也日益成熟。而PKI技術也將逐步集成到更多的操作系統和應用中去,并實現對用戶的透明。利用PKI作為安全基礎平臺,使用數字證書實現網上各項工作的認證加密功能,必將是實現安全電子商務、政務的主要發展方向。將PKI技術發布的數字證書與IC卡技術巧妙結合后,提出的應用解決方案可以說是安全級別最高的網絡安全應用解決方案.
握奇數據系統有限公司在中國智能卡領域內占有絕對的優勢,也是推動智能卡應用于中國電子政務領域的進程中無可爭議的“領跑者”,握奇公司有著豐富的基于智能卡加PKI技術的成功應用經驗,無論在產品質量上、供貨保障、售后服務、長久的產品供應等各個方面,都可以為客戶提供充分的服務保障.
“把握奇跡,創造未來!”是握奇公司的口號,我們真誠的愿意與我公司的合作伙伴、國內各大CA廠商和我們廣大客戶團體,建立良好的合作關系共同努力,為實現美好的中國電子政務、電子商務市場的未來作出我們的貢獻.