智能IC卡表是以IC卡为媒介完成后台管理系统与表具内数据的信息传递,运行参数和后台管理系统的数据信息是否一致,很大程度上取决于IC卡内的数据信息,为解决IC卡的数据安全性,首先要对相应的数据信息进行全面、可靠、安全和多层次的备份,然后再对数据进行一定的加密处理。数据加密技术可以细分为数据加密、安全传输和身份认证三部分。

数据加密

通过变换和置换等各种方法将明文数据信息转换成密文,然后再进行信息的存储或传输,在存储或者传输过程中即使加密信息为非授权人员获得,也可以保证这些信息不为其认知,从而达到保护数据信息的目的。该方法的保密性直接取决于所采用的算法和密钥长度。数据加密技术被公认为是保护数据安全传输的唯一实用方法和保护数据安全存储的有效方法。

智能IC卡分存储器卡、逻辑加密卡和CPU卡,不同的智能IC卡选用不同的数据加密算法

存储器卡它的集成电路内部只含有EEPROM存储器,像磁卡一样存储信息,以明文的方式传输数据,安全性比较差,可以通过对卡片内的数据信息进行一定的处理来提高卡内数据的安全性。例如,首先利用软件产生一系列的伪随机数,在卡片内写满该随机数,并在指定的位置写入卡表数据,将这些数据经过不定期的处理得到一有效数据,如另一随机码的异或运算或取反运算等,然后将此有效数据进行校验产生一校验码,最后表具在读取信息时进行校验运算,校验成功后才能读取卡片内的有效数据。如果微控制器内存容量较大,可以通过更复杂的运算来提高卡上数据的安全性。

逻辑加密卡它的集成电路含有逻辑电路和EEPR0M 存储器两部分,在电路中具有逻辑加密功能,安全性能上比存储器卡更进一步,数据传输方式上也是以明文的方式传输,对卡上数据的安全处理和存储器卡的处理方法一样,进行类似的加密,只有密码认证成功后才能对卡片进行写和密码等操作。

CPU卡它的集成电路带有中央处理器CPU、EEPR0M 存储器、RAM 存储器、R0M存储器以及片内操作系统COS, 装有COS的CPU卡相当于一台微型计算机,不仅能对数据进行复杂的运算,同时在安全性能有了显著提高。

智能CPU卡采用应用较早、技术成熟的DES对称加密算法,数据加密和解密采用同一个密钥,其安全性主要依赖于所持有密钥的安全性。在对称加密算法中,发信方将明文和密钥经过特殊加密算法处理后,使其变成复杂的密文发送;收信方收到密文后,只能使用相同的密钥和相同加密算法的逆算法对密文进行解密,恢复成明文。对称加密算法的特点是算法公开、计算量小、加密速度快、加密效率高,不足之处是交易双方需要使用惟一的密钥,发、收信双方所拥有的密钥数量成几何级数增长,使密钥的统一管理成本加大。

安全传输

数据的安全传输是指数据在传输过程中确保数据的安全性、完整性和不可篡改性,传输过程中的安全性通过对数据流进行加密实现,数据的完整性通过数字签名的方式实现。数据发送方在发送数据时,利用一定的加密算法或其它信息文摘算法,计算出所传输数据的消息文摘,同时将该消息文摘作为数字签名与数据一起发送:接收方在收到数据时也收到相应的数字签名,只有使用相同的算法恢复出数据的数字签名,若前后两者签名相同,则说明数据在传输过程中未被修改,保证了数据的完整性。

存储器卡和逻辑加密卡是以明文方式传输数据,传输过程中不进行加密处理,只能通过软件校验码MAC确保数据的完整性和准确性,相对来说安全性比较低:CPU卡是以安全报文方式传输数据,保证了数据的机密性、完整性和对发送方的认证。数据的机密性通过数据域的加密实现,数据的完整性和对发送方的认证通过报文鉴别代码MAC实现。

身份认证管理

身份认证管理是确定对lC卡卡片操作的访问者是否为合法用户,采用登录密码、代表用户身份的物品(如智能lC卡)或反映用户生理特征的标识进行身份认证。参与安全通信的双方在进行数据通信前,必须互相鉴别对方的身份,保证系统中的数据只能被有权限的人访问,未经授权的人无法访问数据。

根据智能lC卡的种类不同,采用的认证方式也不同,逻辑加密卡采用口令认证方式,CUP卡除采用口令认证外,还采用DES对称加密算法认证,即内部认证和外部认证相结合。

口令认证方式请求认证时必须具备一个lD,该lD在认证者的用户数据库(该数据库包括lD和口令)中是唯一的,为保证认证的有效性,在传输过程中, 口令不能被窃看、替换。