1、c o m p u t e rs e c u r i t y行業應用IC卡應用中密鑰管理機制的設計與實現王正陽(湖南柘溪水力發電廠 湖南 益陽 413508摘 要: 智能IC卡由于其安全方便被廣泛作為消費的電子錢包載體,但其IC卡的安全性是其應用的保障基礎。針對IC卡中多種業務集成應用的需求,提出了多級密鑰管理系統的解決方案,以根密鑰、母密鑰和用戶密鑰三層密碼機制來充分保障密碼生成、保存以及IC卡使用的安全。關鍵詞: 密鑰;智能卡;數據加密;3DESDesign and Implementation of Key Management Mechanismof IC Card Applicati

2、onsWANG Zheng-yang(Hunan Zhexi hydro-electric power plant Yiyang,Hunan 413508,ChinaAbstract:IC Card because of its widespread as consumer safety and convenience of electronic purse carrier, but the IC card security is the protection of the basis of their application. IC card for business integration

3、 applications in a variety of needs, proposed a multi-level key management system solutions to the root key, parent key, and user password three key mechanisms to adequately protect the password generation, preservation, and IC card use of safety.Key words: Key;Smart Card;Data Encryption;3DES0 引言智能I

4、 C卡是利用目前廣泛作為消費的電子錢包載體,能夠在食堂,商店,超市等進行刷卡消費。利用智能I C卡進行消費不但便于管理,實現快速安全1。其中I C卡消費過程中,I C卡內部數據的安全性至關重要,一般I C卡采用讀寫密鑰來控制I C卡內部數據的讀寫權限,要保證I C卡密碼的應用安全,就必須有一個安全可靠的密鑰管理來進行I C卡的安全初始化2。本文探討構建一種多層的密鑰安全管理機制來滿足IC卡的安全應用需要。1 IC卡密鑰管理機制的設計與實現1.1 IC卡應用安全機制I C卡的應用安全由密鑰管理機制來保障。密鑰管理包括密鑰的生成、裝入、傳遞、存儲、恢復、銷毀等內容3。I C卡應用的主密鑰稱為根密鑰

5、,由輸入三個8字節種子碼經3D E S數據加密算法按照一定規則多次加密并截取得到,存儲在系統惟一的根卡上。I C卡上的每個應用對應一個母密鑰,母密鑰由根密鑰加密8位隨機整數得到,隨機數加密存儲在根卡上,母密鑰加密持卡人密碼可以制作母卡,一個母密鑰可以發放多張母卡,母卡與根卡都通過持卡人的輸入的P i n碼進行驗證訪問,這樣保證密碼存儲的安全性。例如消費系統的發卡子系統則是利用相應業務的母卡來初始化用戶消費卡。I C 卡密鑰管理機制如圖1所示。圖1 IC卡密鑰管理機制1.2 根密鑰的生成用到的加密算法是DES算法。先是輸入三個種 c o m p u t e rs e c u r i t y行業應

6、用子碼,分別對它們進行如圖3-3的輸入判斷;然后是用第一個種子碼加密第二個種子碼,得到一級根密鑰;取一級根密鑰的前8個字節加密第三個種子碼,得到二級根密鑰。最終根密鑰就是取二級根密鑰的前8個字節。流程如圖2 所示。圖2 根密鑰的生成1.3 根卡的生成根卡的寫卡主要是寫序列號、序列號加密根密鑰得到的一級密文、根卡持有人輸入的密碼加密一級密文前8個字節得到的二級密文、用D表示的DES算法、分散因子索引號及分散因子、卡的可用狀態、密碼計數和密碼。流程如圖3所示。圖3 根卡的制作1.4 母密鑰的生成母密鑰的生成:生成一個8字節的隨機數,用根密鑰加密這個隨機數, 母密鑰是這個密文的8個字節。母卡的寫卡主

7、要是寫序列號、母密鑰加密母卡保存人輸入的密碼得到的一級密文、母卡保存人輸入的密碼加密一級密文前8個字節得到的二級密文、用D表示的D E S算法、卡的可用狀態、密碼計數和密碼。流程如圖4所示。圖4 母密鑰的生成1.5 消費卡的初始化消費應用密鑰的分散。用戶卡的讀寫應用維護密鑰是根據母密鑰對用戶卡上的序列號進行分散生成,因為每張卡的序列號惟一,因此能夠做到一卡 一密。圖5 消費卡的初始化1.6 密鑰管理實現1.6.1 根密鑰的生成為輸入的三個種子相互加密得到根密鑰。代碼byte dKey = mid.DesEncrypt(aKey8, b K e y8,是用第一編輯框中輸入的8字節字符串轉化成的8

8、字節字節數組a K e y8,利用D E S算法加密第二編輯框中輸入的8字節字符串轉化成的8字 c o m p u t e rs e c u r i t y行業應用節字節數組b K e y8,得到一級密文并存放在此16維字節數組dKey 中。代碼byte r = mid.DesEncrypt(temp, c K e y8,把一級密文的前8個字節存放在8維字節數組temp 中,用temp 加密第三編輯框中輸入的8字節字符串轉化成的8字節數組cKey8,得到二級密文并存放在此16維字節數組r 中。根密鑰就是r 的前8個字節。實現界面如圖6所示。 圖6 根密鑰生成界面1.6.2 母密鑰的生成根密鑰加

9、密分散因子b y t e m k = m i d.DesEncrypt(CRoot.rKey8, ran8,得到的密文存放在此16維字節數組m k 中。母密鑰就是m k 的前8個字節。實現界面如圖7所示。 圖7 母密鑰生成界面1.6.3 消費應用密鑰的生成用母卡驗證后得到的母密鑰加密消費卡的序列號密文c o d e,b y t e c o d e = m i d.DesEncrypt(CMCVerification.MKey,buffer,從而生成消費卡的密碼。圖8 消費卡密碼初始化界面2 結束語本文智能IC 卡應用的安全需要,并以IC 卡技術和密碼算法技術為基礎,提出一套多級密鑰生成和管理機

10、制。該安全機制能夠同時支持一張卡上開展多種應用的安全需求,具有較好的實用性和安全性。該方案相對于PKI 卡具有較低成本和開發難度4。參考文獻1 黃淼云,李也白,王福成等編著.智能卡應用系統M .北京:清華大學出版社,2000.2 劉金偉,馬雅莉,侯義斌. 校園一卡通系統中密鑰管理系統的設計與實現J . 電腦開發與應用,2006,19(4:30-33.3 彭旭榮,陽王東.一卡通密鑰管理系統的設計與實現J.計算機安全,2010,(07:69-70,82.4 謝高生,易靈芝,王根平.動態密鑰在M i f a r e 射頻I C 卡識別系統中的應用J .計算機測量與控制. 2009,17 ( 4 :7

11、25-726,735.作者簡介: 王正陽(1971-,男,工程師,主要研究方向:網絡與信息安全。收稿日期:2011-11-08蛻變:從菜鳥到Linux 安全專家作者:李洋 出 版 社:電子工業出版社出版時間:2011-09I S B N :9787121144349內容簡介:本書通過實際故事場景對Linux 安全技術和應用方法進行了全面、深入和系統的分析。分別從黑客攻擊的基本技術、Linux 面臨的安全威脅、Linux 系統安全管理、Linux 網絡服務安全管理、Linux 核心安全技術等多個層面,向讀者系統、全面、科學地講述了與Linux 相關的原理、技術和機制等安全方法。本書覆蓋的知識面廣,基本覆蓋了Linux 安全的方方面面。本書適用于廣大讀者群,包括眾多Linux