第7章 智能卡的安全与鉴别.ppt

《第7章 智能卡的安全与鉴别.ppt》由会员分享，可在线阅读，更多相关《第7章 智能卡的安全与鉴别.ppt（85页珍藏版）》请在麦多课文档分享上搜索。

1、第7章 智能卡的安全与鉴别,本章主要内容：,身份鉴别技术 报文鉴别技术 密码技术 数字签名,7.1 IC卡面临的安全问题 7.2 物理安全 7.3 逻辑安全 7.4 密码技术 7.5 IC卡的安全使用,第7章 智能卡的安全与鉴别,7.1 IC卡面临的安全问题,如何保证IC卡的内部信息在存储和交易工程中的完整性、有效性和真实性 使用伪造IC卡（在个人化过程进行伪造） 主动攻击（对交换过程的信息进行截听、修改） 盗/冒用IC卡,7.2 物理安全,增强机械强度 加强电气保护 增加伪造难度（制造设备的高精尖、IC卡技术难度和专有、参数保密性） 控制制造过程（技术、管理、授权）,7.3 逻辑安全,逻辑安

2、全,用户鉴别 存储区域安全 通信安全,7.3.1 用户鉴别,用户鉴别（个人身份鉴别）验证持卡人的身份。,方法：验证个人识别号PIN（personal identification number）；生物特征；下意识特征；,读卡器与卡间以明码传输，在IC卡内部完成PIN的鉴别；（图7.1）,1. PIN 密码运算鉴别方法,提交明码 指令,PIN,明码 PIN,卡片,是,否,用户,终端机,带密码运算的PIN鉴别（ CPU卡）,用户,PIN,产生随机 数指令,密码运算 Mf(N PIN,AK),提交结果 M,AK,产生随机 数N,解密运算 Nf(M,AK),M，AK参数,是,否,终端机,卡片,2. 生

3、物鉴别方法,拒绝失败率 接受失败率,访问条件 确认发行密码 确认PIN,7.3.2 存储区的保护,把智能卡的数据存储器划分为若干区，对每个区都设定各自的访问条件；只有符合设定的条件，才允许对数据存储区进行访问。,表 7.2,存储区划分后，普通数据和重要数据被有效分离，各自接受不同程度的保护，提高了逻辑安全的强度。,7.3.3 卡的通信安全与保密,通信方面对信息的修改有以下方式：,更改、删除、添加信息内容； 改变信息的源或目的； 改变信息分组帧的顺序； 重复利用曾发送或存储过的信息； 篡改回执,信息的完整性、真实性、有效性、合法性、保密性。,采取必要的技术防范措施：,保证信息交换过程,1. 完整

4、性采用报文鉴别,为保证所交换的信息内容未被非法修改，在信息报文中加入报头/尾（即鉴别码）。,鉴别码是通过对报文进行某种运算而得到的，它与报文的内容有关，报文的正确与否可以通过鉴别码来检验。,鉴别码1报文,相等，接受。 不相等，拒收并报警。,（接收方）对报文解密得到明文； （接收方）对明文用约定算法计算解密报文的鉴别码2； 将两个鉴别码比较。,接收方；,加 密,鉴别过程的安全性取决于鉴别算法的密钥管理的安全性。,DSA (decimal shift and add)算法是Sievi 在1980年提出的。,鉴别算法DSA算法,（1）DSA算法,在收发双方同时利用两个十位长的任选的十进制数b1和b2

5、，作为密钥。 将被鉴别的信息看成十进制数串，然后分组，十位一组。 每次运算（加法）取一组，两个运算流并行进行，直到所有信息组运算完毕，得到鉴别码。,（2）DSA算法举例,用R（X）D表示对D循环右移X位，如D1234567890，则R（3）D8901234567。 用S（3）D表示相加之和： S（3）D R（3）DD（mod1010）。,其中：R（3）D8901234567, D1234567890,S（3）D0135802457,假设信息M1583492637 52835869，鉴别码的计算如下：,先将信息分成十位一组，最后一组不足十位时补0； 即：m1= 1583492637， m2= 5

6、283586900； 任选密钥： b1= 5236179902， b2= 4893524771； 两个运算流同时运算。,运算流1,运算流2,m1 1583492637,m1 1583492637, b1 5236179902, b2 4893524771, R(4)p= 2539681967,p = 6819672539,q = 6477017408, R(5)q= 1740864770,S(4)p= 9359354506,S(5)q= 8217882178, m2 5283586900, m2 5283586900, R(8)u= 4294140646,u = 4642941406,v =

7、3501469078, R(2)v= 7835014690,S(8)u= 8937082052,S(2)v= 1336483768,至此，两组信息组运算完毕，得到两个十位长的十进制数，再组合一下，将它们按模1010相加。,S(8)u= 8937082052, S(2)v= 1336483768,0273565820,鉴别码,练习： 假设信息M2851392637 43715687，如何计算DSA算法的鉴别码？,2. 有效性保证对报文时间的鉴别,在传输中，防止对曾经发送过的或存储过的信息的再利用。,通过对报文时间性的鉴别，保证所传送的消息是唯一的。 随后重发的消息是非法的。,实现方法： 收发方预

8、先约定一个时间变量，然后用它作为初始化向量对所发送的报文加密； 收发方预先约定一个时间变量，然后在发送的每份报文中插入该时间变量，保证报文的唯一性。,3. 真实性保证双向鉴别,对报文发送方和接收方的鉴别。 智能卡和主机之间的相互鉴别是消息认证和电子签名的基础。,4. 安全性保证报文源鉴别,报文中加入发送者的标识号； 通过报文加密实现，而且卡和读卡器采用不同的密钥进行加密。,5. 保密性保证：加密/解密。,利用密码技术对信息进行加密处理，以掩盖真实信息，到达保密的目的。也是最安全、最有效的措施。,7.4 密码技术,密码技术 通过规则的变换（算法 algorithm）来伪装信息，其实现的方法称为密

9、码体制（cryptosystem）。,如最早的密码变换规则：, 3 mod 26,密文,明文,密钥,7.4.1 密码技术,被伪装的信息称为“明文”； 伪装后的信息称为“密文”； 加密时所采用的信息变换规则称为“密码算法”； 把密文转变为明文的过程称为“解密”。,加密,加密解密流程图,7.4.2 名词解释,明文 P：在IC卡中表现为二进制数据或比特流。 密文 C：也是二进制数据。,加密,E(P)CD(C)P 即：D(E(P)P,现代密码学总是假定密码算法是公开的，真正需要保密的是密钥。 算法是相对稳定的，变化的只是密钥。,密钥 k：密码算法中的可变参数，在现代加密算法中得到使用。,加密函数 Ek

10、（P） C 解密函数 Dk（C） PDK (Ek（P）) P,使用密钥K后，加密/解密表达式为：,与加密对应的是密码分析，也叫“破译”。是指非授权者通过各种方法窃取密文，并通过各种方法推导出密钥，从而读懂密文的操作过程。 衡量一个加密系统的不可破译性的尺度称为保密强度。,序列密码体制与分组密码体制（按照算法对明文信息的加密方式） 确定型密码体制与概率密码体制（按照加密过程中是否有随机因素） 单向函数密码体制与双向密码体制（按照是否能进行可逆的加密变换） 对称密码体制与非对称密码体制（按照能否由加密过程推导出解密过程）,7.4.3 密码体制分类,加密密钥与解密密钥相同或可互相导出。 密钥管理是系

11、统安全的关键。,1 . 对称密码体制,对称密码体制也称单钥密码体制、 对称密钥密码体制、秘密密钥密码体制。,在智能卡中应用较多的加密技术也是对称密码体制，其典型的加密算法是DES算法（Data Encryption Standard），即数据加密标准。,DES算法是一种分组密码算法； 是IBM公司于1975年公开发表的； 开创了公开全部算法的先河； 1977年美国国家标准所批准DES用于非国家保密机关，称为数据加密算法DEA； 之后，出现了专门的DES加密算法的硬件。,关于DES算法,分组密码算法的技巧：扩散（diffusion） 与混乱(confusion),扩散：将每位明文尽可能扩散到较多

12、的输出密文中，以隐蔽明文的统计性。,作用：密文中的每一位都尽可能和明文相联系，防止密钥被破译。,混乱：指密文和明文之间的统计性尽可能复杂化，避免出现很有规律的、线性的相关关系。,（1）DES 算法加密过程,64位明文输入块,64位密文输出块,64位密钥（ 其中8位为奇偶校验位）,初始置换IP,功能：输入的64位数据块按位（表7.3）重新组合后，输出分为L0 、R0 。,初始置换IP,L0 R0,L0b58b50b8 R0b57b49b7,48位初始密钥k经分解、移位后产生子密钥ki ； 将R0与子密钥k1经密码函数f运算得到f(R0,k1)； 与L0按位以模2加，得到R1； 将R0作为L1，完

13、成第一次迭代； 依次类推，得到第i次迭代：,16次迭代,密码函数f 的生成,利用放大换位表E，将32位的Ri-1扩展成48位；,放大换位表E,8个6位长,与子密钥ki按位以模2相加； 把结果分为8个6位长的数据块（48位）； 再分别经选择函数（把6位转化为4位输出）S1、S2、S8的变换，产生8个4位长的块，合为32位 ； 最后经单纯换位P得到输出。,例： （1）利用放大换位表E，将32位的Ri-1扩展成48位；,放大换位表E,8个6位长,（2）与子密钥ki按位以模2相加； （3）把结果分为8个6位长的数据块（48位）；设结果如下：,8个6位长,（4）再分别经选择函数（把6位转化为4位输出）S

14、1、S2、S8的变换，产生8个4位长的块，合为32位 ；,B1b1b2b3b4b5b6100101,hb2b3b4b500102 Rb1b6113,查表7.6得S181000,32位,48位,经放大换位并与子密钥模2运算的结果,经选择函数运算的结果,（5）最后经单纯换位P得到输出f。,8个4位长,单纯换位表P,16次迭代后的R16L16 ，经IP-1 得到密文。,逆置换IP-1,Ri，Li分别为32位的，故16次迭代后的LiRi为64位的； 这64位的数据经过IP-1 置换；,子密钥的生成,密钥本身是64位，但其中第8，16，24，64位是奇偶校验位，所以K实质只有56位； 这56位的数据经过

15、选择换位PC1；,C0D0,87,这56位的数据经过选择换位PC1后产生的结果分为两部分C0、D0，分别是上下各28位； 然后分别经过循环左移位，得到C1、D1；每次移位的次数有规定（表7.10）。,将C1、D1合并后再经过缩小换位PC2，即得到48位的子密钥K1。 依次类推，产生K2、K3 K16。,缩小选择换位PC2,（2）DES 算法解密过程,DES的解密算法与加密算法一样，只是第一次迭代的过程中使用密钥k16，第二次使用k15 ，最后一次使用k1。或者采用循环右移密钥的方法，每次移位的次数和加密是相同。,（3）DES算法的安全性,56位密钥的穷举空间256； 1秒钟攻击100万个密钥，

16、需2000年； 金融卡主要采用：双长度密钥3-DES算法。,（4）弱密钥,某些数据组合的密钥（全0、全1或一半全0和全1）可能形成相同的子密钥； 只产生2种不同的子密钥（半弱密钥）； 只产生4种不同的子密钥。,表7.11 DES 弱密钥（16进制）,对明文用不同的密钥进行多次加密。三重DES算法： CEK1(DK2(EK1(P) PDK1(EK2(DK1(C),（5）多重DES,对称密码体制的密钥使用了一段时间以后就需要更换，加密方需通过某种秘密渠道把新密钥传送给解密方。,（6）DES算法存在的问题,由于对称密码体制的加密密码和解密密码相同，因此： 当密钥使用一段时间后，需要修改，存在密钥传递

17、的过程，可能容易泄漏。 其次，发送方和接收方都可以利用密码修改信息，产生信息的不真实，而第三方也无从考证何方正确。,2. 非对称密码体制,加密密钥与解密密钥不同； 且不能用加密密钥推出解密密钥，从而使加密密钥可以公开传递。,（1）特点,（2）优点,密钥分发简单； 秘密保存的密钥量减少； 公钥的出现使得非对称密码体制可以适应开放性的使用环境； 可以实现数字签名安全。,（3）数字签名,利用加密技术实现的一种数据传送方式。,优点：,接收方能对公证的第三方证明其收到的报文的真实性； 发送源也能够说明其真实性。,（4） 非对称密码体制存在的问题,保密强度远远达不到对称密码体制； 保密强度建立在某一个特定

18、的数学问题的求解的困难上；,（5） 非对称密码体制的代表,RSA算法分组密码算法，其安全性是建立在大整数的素数因子分解的困难性上的。,（6） RSA算法简介,任选两个大素数p、q，计算乘积n；npq 相应的欧拉Euler函数；（n）（p1）（q1） 任选一个与（n）互素的整数e作为加密密钥，再根据e求出解密密钥d，d满足： de1 mod （n）,（6） RSA算法简介,加密过程：,先将明文（m）数字化：（用二进制数据表示明文）； 分割：把明文分成长度小于logn位的明文块，以确保每个明文块值不超过n。,注意：,在参数p、q、n、 （n）、e、d， p、q、 （n）、d是保密的， n、 e则是

19、公开的； 计算中P、q不再需要，可以舍去，但绝不能泄露。,明文和密文的对应关系：cE（m）me mod n； 解密过程：m D（c） cd mod n；,RSA算法举例：,（1）设计密钥,设素数p=5，q=17，公开密钥e19。,计算：npq51785（n） （p1）（q1）64 其中，p、q、 （n）是保密的，n和e是公开的：n85，e19。,（2）计算解密密钥d,采用转辗相除法：,首先令： G（0） （n）， G（1） e, V（0） 0， V（1）1， 然后计算：,G（i1） G（i1）G（i1）/ G（i） G（i）,V（i1） V（i1）G（i1）/ G（i） V（i）,商取整数,一

20、直进行到G（k）1为止，此时的V（k）即为解密密钥d。,G（0） （n）64，G（1） e19V（0） 0， V（1）1，,G（2） G（0）G（0）/ G（1） G（1）6464/19 197,商取整数,V（2） V（0）G（0）/ G（1） V（1）064/19 13,G（3） G（1）G（1）/ G（2） G（2）1919/7 75,V（3） V（1）G（1）/ G（2） V（2）119/7 37,G（4） G（2）G（2）/ G（3） G（3）77/5 52,V（4） V（2）G（2）/ G（3） V（3）37/5 710,G（5） G（3）G（3）/ G（4） G（4）55/2 21

21、,V（5） V（3）G（3）/ G（4） V（4）75/2 1027,即密码的解密密钥d V（5） 27。,c 219 （mod 85）（216 ） （mod 85） 23 （mod 85）（28 ）2 （mod 85） 23 （mod 85）1 8 （mod 85） 8 （mod 85）,（3）用密钥e将明文转换成密文c,设明文为数字“2”，则密文：,cE（m）me mod n 219 （mod 85）,取余数,m 827 （mod 85）（281 ） （mod 85）（28 ）10 （mod 85） 2 （mod 85）1 2（mod 85） 2 （mod 85）,（4）用密钥d将密文转换

22、成明文m,mD（c）cd mod n 827 （mod 85）,得到明文“2”。,（5）RSA算法的缺点,密钥的产生过于麻烦，受到素数生成技术的限制； 为保证安全性，密钥n要求在500位以上，从而降低运算速度。,（6）RSA算法的优点,发送方不知道接收方的解密密钥； 发送方不可能伪造或修改发方的报文，可解决数字签名的问题。,7.4.4 密钥管理,IC卡采用哪种密码体制，涉及到密钥的管理问题。由于密钥是可变的，密钥成了加密系统的关键。,Question：,IC卡中采用哪种密码体制，关键是什么？,Answer：,2. 有何标准？,国际标准化组织开展了密钥管理的标准化工作，制订了密钥管理标准DIS-

23、8732。,1. 何谓密钥管理？,密钥的产生、检验、分配、传递、保管、 使用、销毁的过程。,3. 密钥管理系统层次结构密钥管理系统,基本思想：,用密钥来保护密钥； 用第i层的密钥ki 来保护第（i+1）层的密钥 Ki+1； Ki 本身也受到 ki-1 层的保护； 下层的密钥可按某种协议不断变化； 密钥管理系统是动态变化的。,（1）三层密钥管理系统的结构,（1）,（2）,（3）,（2）三层密钥管理系统的举例,设采用对称密码体制（IC卡和读写器的加密过程）,对称密码体制，主密钥相同。 主密钥对某些指定的数据加密后生成子密钥，,用子密钥对另一些数据进行加密，加密的结果即为会晤密钥。一个会晤密钥仅使用

24、一次。,如何保证每次使用，会晤密钥是不同的呢？,Question：,参考方案：,每张卡的芯片制造商的标识码的序列号或应用序列号是不相同的，且都设置在IC卡内，因此可利用序列号进行加密生成子密钥； 用子密钥对交易时间或命令计数器进行加密生成会晤密钥，这样即使是同一张卡，每次使用时的会晤密钥就不同，或做不同的操作，会晤密钥也不同。,从会晤密钥的生成方式着手考虑。,4. 主密钥的生成和下载,（1）主密钥的生成,由几个可信任的人彼此独立提出数据； 组合成一个密钥； 然后对随机数进行加密运算而获得。,这样主密钥的生成和变化规律就很难估计。,（2）主密钥的下载（IC卡）,主密钥的下载是在卡个人化时进行。个

25、人化是在专门设备上进行，下载的环境应保证安全。,还要保证IC卡上的触点的信息不能被窃取，主密钥下载后，不能再读出，这由硬件（熔丝）和软件（COS卡内操作系统）来保证。,主密钥的下载,IC卡 读写器,（3）主密钥的下载（读写器）,读写器内部没有COS，不能保证主密钥不被读出，常采用安全存取模块SAM，密钥下载到SAM模块中，加密/解密算法也在SAM中进行。,7.5 IC卡的安全使用,IC卡使用时，要与读写器相互确认，以防止伪卡或插错卡。使用过程：,插卡：读写器向卡加电源，并发复位信号，令卡初始化，做好交易准备，卡发出应答信号ATR； 读写器要鉴别卡的真伪； 卡也要鉴别读写器的真伪； 检查卡是否列

26、入黑名单；,检查上次交易是否完成，未完成，卡应有自动恢复数据的功能； 鉴别持卡人的身份：通常采用密码比较的方法，即由持卡人输入密码，与卡内密码比较； 根据应用需求进行交易； 拔卡。,（1）鉴别读卡器的真伪（流程）,读写器向卡发命令，产生随机数； 由读写器对随机数加密成密文； 密钥已预存在卡或读写器中，层次按需定； 读写器发外部鉴别命令； 读写器将密文和外部鉴别命令送IC卡； 卡将密文解密成明文，并将明文和原随机数比较，相同：卡认为读写器是真的。,（2）鉴别IC卡的真伪（流程）,读写器向卡发命令，产生随机数； 由读写器对随机数加密成密文； 密钥已预存在卡或读写器中，层次按需定； 读写器发外部鉴别命令； 读写器将密文解密成明文，并将明文和原随机数比较，相同： 读写器认为卡是真的。,本 章 小 结,对智能卡的安全造成威胁的因素 密码体制的类别，典型的加密算法及其特点 密钥管理的作用,作业：P184 6，8，10，12，14，15,思考与复习,IC卡面临的安全问题有哪些，请查阅相关资料 密码体制的分类如何？ 3. DSA算法是如何计算鉴别码的？ 4. 简述DES算法的加密过程。 5. DES算法加密和解密过程的特点是什么？ 6. DES算法属于哪种密码体制？ RSA密码体制属于哪一类型，有何特点？ 三层密钥管理系统的结构是怎样的，其中如何保证会晤密钥的安全？,