（計算機軟件與理論專業(yè)論文）金融智能卡系統(tǒng)安全機制的研究.pdf

中文摘要 銀行卡從出現(xiàn)至今不過幾十年的歷史 但是發(fā)展十分迅猛 1 9 5 2 年 美國加利福 尼亞洲的富蘭克林國民銀行首先發(fā)行了銀行信用卡 之后各家銀行紛紛效仿 進入到發(fā) 卡銀行的行列之中 1 9 8 5 年中國銀行正式推出長城卡之后 工行的牡丹卡 農(nóng)行的金 穗卡 建行的龍卡等等陸續(xù)推出 銀行卡的品種也逐漸豐富 有準(zhǔn)貸記卡 借記卡和貸 記卡等多個卡種 銀行卡基本上以磁條卡為主 由于近年來針對銀行卡的犯罪愈演愈烈 涉及金額逐 年成倍增加 各家銀行意識到磁條卡存在的技術(shù)缺陷 開始推出具有芯片的智能卡 而 隨著e m v 遷移戰(zhàn)略規(guī)劃的實施 智能卡將逐步取代磁條卡成為銀行卡的主要載體 本論文結(jié)合中國農(nóng)業(yè)銀行天津市分行金穗智能卡系統(tǒng)建設(shè)項目 對其所涉及的安全 機制展開深入研究 金融智能卡系統(tǒng)安全機制涉及的范圍十分廣泛 除了銀行傳統(tǒng)的帳 務(wù)安全體系如總分核算 帳務(wù)平衡 必要的管理機制如機具管理 黑名單管理之外 在 密鑰管理 卡片管理以及交易過程中處處體現(xiàn)出安全機制的重要性 在密鑰管理方面 通過對人行三級密鑰體系的研究 結(jié)合天津農(nóng)行智能卡系統(tǒng)發(fā)展 的要求 設(shè)計出靈活的密鑰系統(tǒng) 來應(yīng)對人行二級密鑰中心建成之后對系統(tǒng)的影響 在 卡片結(jié)構(gòu)設(shè)計上 根據(jù)行業(yè)應(yīng)用的需要 合理設(shè)計文件結(jié)構(gòu) 充分利用卡片空間 針對 不同的需求使用不同容量的卡片 在卡片管理方面 除了完成常規(guī)的管理之外 提出在 線追加應(yīng)用以及卡片的回收再利用等卡片生命周期管理的關(guān)鍵環(huán)節(jié) 充分保護已有投 資 最大限度地節(jié)省成本 在重要交易方面 嚴格按照p b o c 的標(biāo)準(zhǔn)設(shè)計交易處理流 程 保障交易的完整性和安全性 總之 本文對金融智能卡系統(tǒng)安全方面的問題進行了深入研究 取得了一些成果 為金融智能卡系統(tǒng)安全機制的建立和實施提供了可行方案 關(guān)鍵詞金融智能卡安全機制密鑰卡片管理交易安全 a b s t r a c t b a n kc a r di sg r o w i n gq u i c k l yt h o u g hi tj u s te m e r g e df r o ms e v e r a ld e c a d e so fh i s t o r y s i n c e f r a n k l i nn a t i o n a lb a n ki nu n i t e ds t a t e sc a l i f o r n i ai s s u e dt h ef h s tb a n kc r e d i tc a r di n19 5 2 t h eb a n k sh a v ef o l l o w e ds u i ta n de n t e r e dt h er a n k so fi s s u e r s t h eg r e a tw a l lc a r dw a s o f f i c i a l l yl a u n c h e db yb a n ko fc h i n a i n19 8 6 s u b s e q u e n t l y t h ei n d u s t r i a la n dc o m m e r c i a l b a n ko fp e o n yc a r d t h ea g r i c u l t u r a lb a n ko fj i n s u ic a r d t h ec o n s t r u c tb a n ko fd r a g o n c a r d e t e h a v ee m e r g e do n ea f t e ra n o t h e r b a n kc a r d sa r eb e g i n n i n gt oh a v et h ev a r i e t yo f c r e d i tc a r d d e b i tc a r da n do t h e rv a r i e t i e so fc r e d i tc a r d b a s i c a l l y b a n kc a r d sa r ew i t hm a g n e t i cc a r d sm a i n l y b e c a u s et h eo f f e n s e sh a v eg r o w ni n r e c e n ty e a r sa g a i n s tb a n kc a r d sa n dt h ea m o u n th a sg r e a t l yi n c r e a s e d t h eb a n k sr e a l i z e d m a g n e t i cc a r di t s e l ft e c h n i c a ld e f e c t s t h el a u n c hh a sb e g u nt om a k es o m ec h i pb a n kc a r d s w i n lt h ei m p l e m e n t a t i o no f 洲m i g r a t i o ns t r a t e g i cp l a n n i n g t h es m a r tc a r dw i l lg r a d u a l l y r e p l a c em a g n e t i cc a r d sa n db e c o m et h em a i nc a r r i e ro fb a n kc a r d s i nt h i sp a p e r w ew i l li n v o l v ei nt h ec o n d u c ti n d e p t hs t u d i e sf o rt h es e c u r i t ym e c h a n i s m s w h i c ha r et h ea g r i c u l t u r a lb a n ko fc h i n a st i a n j i nb r a n c ho fj i n s u is m a r tc a r ds y s t e m s p r o j e c t s f i n a n c i a ls m a r t c a r ds y s t e m si n v o l v e di na v e r yb r o a dr a n g eo fs e c u r i t ym e c h a n i s m s i na d d i t i o nt ot r a d i t i o n a lb a n k i n ga c c o u n t ss u c ha sas e c u r i t ys y s t e ms c o r e sa c c o u n t i n g a c c o u n t sb a l a n c e a n dt h en e c e s s a r ym a n a g e m e n tt o o l ss u c ha s f a c i l i t ym a n a g e m e n t m a n a g e m e n to ft h eb l a c k l i s t i nt h ep a s s w o r dm a n a g e m e n t c a r d h o l d e rm a n a g e m e n ta n d p r o c e s sc a r dt r a n s a c t i o n sr e f l e c t e dt h ei m p o r t a n c eo ft h es a f e t ym e c h a n i s m i nt h ek e ym a n a g e m e n t a c c o r d i n gt ot h ea g r i c u l t u r a lb a n ko fs m a r tc a r ds y s t e m sf o rt h e d e v e l o p m e n to ft i a n j i n k e yd e s i g naf l e x i b l es y s t e mt od e a lw i t ht h ep e o p l e sb a n ko ft h e s y s t e mt h a ti st h r e e t i e rs y s t e ma f t e rt h es e c o n dk e yc e n t e r f o rt h es t r u c t u r a ld e s i g no ft h e c a r d s a c c o r d i n gt oi n d u s t r ya p p l i c a t i o nn e e d s d e s i g nt h es t r u c t u r eo ft h ed o c u m e n t a n d m a k ef u l lu s eo fac a r dr o o m n l ec a p a c i t yo ft h ed i f f e r e n tn e e d so fd i f f e r e n tc a r d s i nt h e c a r d h o l d e rm a n a g e m e n t b e s i d ec o m p l e t i n gt h ec o n v e n t i o n a lm a n a g e m e n t w et a l k e da b o u t t h eo n l i n ec a r d sp u ta d d i t i o n a la p p l i c a t i o n sa n dt h eu s eo fr e c y c l i n gc a r d sa n dt h ek e yt o l i f e c y c l em a n a g e m e n tf o rt h ef u l lp r o t e c t i o no fi n v e s t m e n t t h em a x i m u mc o s ts a v i n g s f o r t h e i m p o r t a n tt r a n s a c t i o n s i nt h es e c u r i t ym e c h a n i s m t h i sp a p e rf o c u s e so nh o wt o i m p l e m e n tt h er e l e v a n tr e q u i r e m e n t so fp b o cs t a n d a r d sa n dt h ec o r r e c tu s et h ek e yi nt h e t r a n s a c t i o n p r o c e s s i ns h o r t t h i sa r t i c l eo nt h ef i n a n c i a la s p e c t so ft h es m a r tc a r ds y s t e ms e c u r i t yc o n d u c t e da n i n d e p t hs t u d yh a sy i e l d e ds o m er e s u l t s i tp r o v i d e st h ei m p l e m e n t a t i o no f t h eo p t i o n sf o rt h e e s t a b l i s h m e n to f t h ef i n a n c i a ls m a r tc a r ds e c u r i t ym e c h a n i s m s k e y w o r d s f m a n c i a ls m a r t c a r d s e c u r i t ym e c h a n i s mk e y c a r dm a n a g e m e n t t r a n s a c t i o ns e c u r i t y 3 獨創(chuàng)性聲明 本人聲明所呈交的學(xué)位論文是本人在導(dǎo)師指導(dǎo)下進行的研究工作和取得的研究成 果 除了文中特別加以標(biāo)注和致謝之處外 論文中不包含其他人已經(jīng)發(fā)表或撰寫過的研 究成果 也不包含為獲得苤疊盤莖或其他教育機構(gòu)的學(xué)位或證書而使用過的材料 與我一同工作的同志對本研究所做的任何貢獻均已在論文中作了明確的說明并表示了 謝意 學(xué)位論文作者簽名 巷衙簽字日期 畛 年 月3 1 日 學(xué)位論文版權(quán)使用授權(quán)書 本學(xué)位論文作者完全了解墨空盤堂有關(guān)保留 使用學(xué)位論文的規(guī)定 特授權(quán) 苤童盤堂可以將學(xué)位論文的全部或部分內(nèi)容編入有關(guān)數(shù)據(jù)庫進行檢索 并采用影印 縮印或掃描等復(fù)制手段保存 匯編以供查閱和借閱 同意學(xué)校向國家有關(guān)部門或機構(gòu)送 交論文的復(fù)印件和磁盤 保密的學(xué)位論文在解密后適用本授權(quán)說明 學(xué)位論文作者魏巷壓 簽字日期 勺年 月弓1 日 導(dǎo)師簽名 簽字目期 乒 7 年7 月孑7 日 第一章緒論 1 1 弓i 言 第一章緒論 1 9 8 5 年中國銀行正式推出長城卡后 從磁條卡到智能卡的發(fā)展給銀行卡注 入了新的活力1 1 1 隨著人們對智能卡認識的提高 金融業(yè)務(wù)服務(wù)領(lǐng)域的不斷拓寬 金融與社會其他領(lǐng)域合作的日益密切 金融智能卡逐漸被人們所接受 卡片可以 實現(xiàn)的功能也不斷增強 同一張卡上可以實現(xiàn)多種行業(yè)應(yīng)用功能 使得金融智能 卡可以全方位為社會服務(wù) 日益成為人們生活中不可或缺的支付手段和電子服務(wù) 工具1 2 1 據(jù) 金融時報 報道 以銀行卡 i c 卡為代表的 電子貨幣 正在我國得到 廣泛應(yīng)用 過去1 0 年 全國累計發(fā)行這種 電子貨幣 1 8 6 9 億張 包括5 6 9 億張銀行卡和1 3 億張各類i c 卡 到2 0 0 3 年6 月底 全國累計發(fā)行使用各類i c 卡1 3 億張 包括電信行業(yè)發(fā)行的公用電話i c 卡約7 億張 移動電話s i m 卡3 億 張和社會保障卡 組織機構(gòu)代碼卡 交通卡 加油卡等其它各類i c 卡約3 億張 近年來隨著電子銀行業(yè)務(wù)的發(fā)展 使智能卡在網(wǎng)上銀行安全認證中也得到了較為 廣泛的應(yīng)用p l 1 4 1 1 5 1 7 由國家建設(shè)部主導(dǎo)的數(shù)字化城市正在積極推行之中 各種非金融智能卡應(yīng)用 不斷出現(xiàn) 一些尚未發(fā)展自己系統(tǒng)的應(yīng)用單位也迫切需要與銀行聯(lián)合 以保證其 在 城市一卡通 的快速發(fā)展之中不致落伍 因此 是否具備自己的金融智能卡 系統(tǒng) 支持非金融應(yīng)用 就成為商業(yè)銀行占領(lǐng)市場 發(fā)展業(yè)務(wù)的關(guān)鍵 金融智能卡在天津的金融市場上并不多見 主要原因是人民銀行的二級密鑰 中心尚未完全建成 各家大型商業(yè)銀行雖然可以從各自的總行得n 級密鑰 但 是目前在天津暫時還沒有支持全國統(tǒng)一消費密鑰的機具一一特別是銀聯(lián)的機具 如何加快發(fā)展符合人民銀行標(biāo)準(zhǔn)的智能卡系統(tǒng) 并且能夠靈活定制非金融的行業(yè) 應(yīng)用 并隨著行業(yè)應(yīng)用的發(fā)展而不斷發(fā)展 是擺在各家商業(yè)銀行面前的課題 1 2 選題意義 銀行業(yè)為了應(yīng)對越來越激烈的同業(yè)競爭 特別是外資銀行進入中國經(jīng)營人民 幣業(yè)務(wù)以后的競爭 投入更多的資源進行產(chǎn)品創(chuàng)新 渠道整合和數(shù)據(jù)集中等提升 競爭力的工作 對于信息技術(shù)的運用也達到了前所未有的程度1 6 l 銀行卡產(chǎn)品在 國外已經(jīng)十分成熟 而且產(chǎn)品和服務(wù)的創(chuàng)新層出不窮 已經(jīng)將我國的大型商業(yè)銀 第一章緒論 行落在了后面 面臨這種形勢 必須加快銀行卡產(chǎn)品的發(fā)展 跟上國外銀行的腳 步 才具備競爭者的資格 銀行卡的競爭從產(chǎn)品本身的金融功能競爭擴展到跨行 業(yè)服務(wù)功能的競爭 而除了享受其他行業(yè)的打折優(yōu)惠等 增值服務(wù) 功能之外 銀行卡需要和行業(yè)應(yīng)用更緊密的結(jié)合起來 智能卡對這種 結(jié)合 可以提供最好 的支持r 7 l 隨著銀行卡數(shù)量增多 用卡環(huán)境的發(fā)展 銀行卡的安全問題日益突出 由于 目前的銀行卡基本上都使用磁條卡 而磁條卡上記錄的磁信息易于破解和復(fù)制 雖然在磁道加密方面上有一些防范措施 可是這些技術(shù)不足以抵擋越來越高明的 犯罪分子和越來越先進的犯罪手段 智能卡的特性決定了其具有較高的安全性 作為新一代的銀行卡是非常合適的 各家商業(yè)銀行都開始研究 實踐金融智能卡系統(tǒng) 金融智能卡系統(tǒng)涵蓋多方 面的技術(shù) 實施起來較為復(fù)雜 包括發(fā)卡 密鑰 帳務(wù) 交易 接口等多個子系 統(tǒng) 除了要熟悉卡片特性之外 還要掌握發(fā)卡機 加密機 讀寫器 圈存機 a t m p o s 等相關(guān)硬件設(shè)備的接口 對于金融應(yīng)用 有人民銀行規(guī)定的標(biāo)準(zhǔn) 對于非金 融應(yīng)用 有行業(yè)自己的標(biāo)準(zhǔn) 在設(shè)計時要統(tǒng)籌兼顧網(wǎng) 智能卡是以安全性著稱的 金融卡對安全的要求使得智能卡成為其最好的載 體 而安全機制始終貫穿智能卡系統(tǒng)的設(shè)計和實現(xiàn)之中 1 3 智能卡簡介 i 智能卡的名稱來源于英文名詞 s m a r tc a r d 又稱i c 卡 i n t e g r a t e dc i r c u i t c a r d 即集成電路卡唧 它將一個集成電路芯片鑲嵌于塑料基片中 封裝成卡 片的形式 其外形與覆蓋磁條的磁卡相似 i c 卡的概念是7 0 年代初提出來的 法國布爾 b u l l 公司于1 9 7 6 年首先創(chuàng) 造出i c 卡產(chǎn)品 并將這項技術(shù)應(yīng)用到身份證明 通訊 金融 交通等多個領(lǐng)域 它將微電子技術(shù)和計算機技術(shù)結(jié)合在一起 提高了人們生活和工作的現(xiàn)代化程 度 i c 卡芯片具有寫入數(shù)據(jù)和存儲數(shù)據(jù)的能力 其存儲器中的內(nèi)容根據(jù)需要可以 有條件地提供外部讀取和內(nèi)部信息處理 帶有c p u 芯片的i c 卡 具有獨立運算 加解密和存儲能力 所以安全性高 由于芯片卡的復(fù)制難度要比磁條卡大得多 所以能有效防范偽造1 1 們 第一章緒論 1 3 1 智能卡分類 一 按芯片類型劃分 1 存儲器卡 m e m o r yc a r d 卡內(nèi)芯片為電可擦除可編程只讀存儲器 e e p r o m e l e c l r i c a l l ye r a s a b l ep r o g r a m m a b l er e a do n l ym e m o r y 以及地址譯碼 電路和指令譯碼電路 為了能把它封裝在0 7 6 m m 的塑料卡基中 特制成0 3 m m 的薄型結(jié)構(gòu) 存儲卡屬于被動型卡 通常采用同步通信方式 這種卡片存儲方便 使用簡單 價格便宜 在很多場合可以替代磁卡 但該類i c 卡不具備保密功能 因而一般用于存放不需要保密的信息 2 邏輯加密卡 l o g i ce n c r y p tc a r d s e c u r i t yc a r d 該類卡片除了具有存儲 卡的e e p r o m 外 還帶有加密邏輯 每次讀 寫卡之前要先進行密碼驗證 如果 連續(xù)幾次密碼驗證錯誤 卡片將會自鎖 從數(shù)據(jù)管理 密碼校驗和識別方面來說 邏輯加密卡也是一種被動型卡 采用同步方式進行通信 該類卡片存儲量相對較 小 價格相對便宜 適用于有一定保密要求的場合 3 c p u 卡 s m a r tc a r d 卡中的集成電路包括m p u c a l l e e p r o m r a m 以及r o m 等 其中在r o m 中固化了片內(nèi)操作系統(tǒng)c o s c h i po p e r a t i n gs y s t e m 這種卡片具有存儲容量大 處理能力強 信息存儲安全等特性 因此 廣泛用于 信息安全性要求特別高的場合 從嚴格意義上說 具有c p u 和c o s 的芯片卡才 是真正的智能卡 c p u 卡硬件結(jié)構(gòu)如圖1 1 具體說明見表1 1 s l 圖1 1c p u 卡硬件結(jié)構(gòu) 表卜1c p u 卡有關(guān)硬件瓷源說明 馓址a 系統(tǒng)的中央運算赴4 f 4 加目 算協(xié)赴 執(zhí)行i 關(guān) 密 解密 算 存儲 作系統(tǒng)程序 機 臨時i 作數(shù)據(jù) 電可椽障存 月程序 的 女壘邏輯 自部蟹潭 硬件傈f 4 超級智能卡 在c p u 卡的基礎(chǔ)上增加鍵盤 液晶顯示器 電源 即成為 超級智能卡 有的卡上還具有指紋識別裝置 v i s a 國際信用卡組織試驗的一種 超級卡即帶有2 0 個健 可顯示1 6 個字符 除有計時 計算機匯率換算功能外 還存儲有個人信息 醫(yī)療 旅行用數(shù)據(jù)和電話號碼等 二 按讀寫形式劃分 l 接觸式i c 卡 該類卡是通過i c 卡讀寫設(shè)備的觸點與i c 卡的觸點接觸后 進行數(shù)據(jù)的讀寫 國際標(biāo)準(zhǔn)i s 0 7 9 1 6 對此類卡的機械特性 電器特性等進行了嚴 格的規(guī)定 2 非接觸式i c 卡 該類卡與1 c 卡設(shè)備無電路接觸 而是通過非接觸式的讀 寫技術(shù)進行讀寫 如光或無線技術(shù) 其內(nèi)嵌芯片除了c p u 邏輯單元 存儲單 元外 增加了射頻收發(fā)電路 又可稱為感應(yīng)式l c 卡 r f 射頻卡 國際標(biāo)準(zhǔn) i s 0 1 0 5 3 6 系列闡述了對非接觸式i c 卡的規(guī)定 該類卡一般用在使用頻繁 信息 量相對較少 可靠性要求較高的場合 3 雙界面卡 近年 國外知名的大廠商推出了一種將射頻卡和接觸卡臺而 為一的復(fù)合卡 三 增強智能卡的兼容性能和增加智能卡的應(yīng)用靈活性 主要是對 接觸型的c p u 卡增加非接觸模塊 使其具備非接觸訪問能力 如圖l 一2 圖卜2 雙界面卡示意圖 智能卡表面可印刷各種圖案 甚至人像 卡的尺寸 觸點的位置 用途及數(shù) 據(jù)格式等均有相應(yīng)的國際標(biāo)準(zhǔn)予以明確規(guī)定 在l c 卡推出之前 磁卡己得 4 廣 第一章緒論 泛應(yīng)用 為了從磁卡平穩(wěn)過渡到i c 卡 在i c 卡上仍保留磁卡原有的功能 也就 是說在i c 卡上仍貼有磁條 因此i c 卡也可同時作為磁卡使用 一般稱其為磁條 芯片復(fù)合卡 如圖1 3 所示 黑色的長方框代表磁條 虛線框代表芯片 圖1 3 復(fù)合卡 背面 示意圖 三 按數(shù)據(jù)交換方式劃分 1 串行i c 卡 當(dāng)卡片與外界進行數(shù)據(jù)交換時 數(shù)據(jù)流按照串行方式輸入輸 出 電極觸點較少 一般為6 個或者8 個 由于串行i c 卡接口簡單 使用方便 目前使發(fā)卡量最大 2 并行i c 卡 卡片與外界進行數(shù)據(jù)交換時以并行方式進行 有較多的電極 觸點 一般在2 8 個到6 8 個之間 并行卡主要具有兩方面的好處 一是數(shù)據(jù)交換 速度提高 二是現(xiàn)有條件下存儲容量可以顯著增加 四 按應(yīng)用領(lǐng)域劃分 1 金融卡 又可分為貸記卡 準(zhǔn)貸記卡 以前稱為信用卡 和借記卡三種 貸 記卡和準(zhǔn)貸記卡的持卡人用它作為消費時的支付工具 可以使用預(yù)先設(shè)定的透支 限額資金 借記卡可用作電子存折和電子錢包 不允許透支 2 非金融卡 又稱行業(yè)卡 分布在電信 社保 公交 石化 商業(yè)等領(lǐng)域 外 還延伸到身份識別 校園 煙草 三表 停車 交管等多個領(lǐng)域 如二代身 份證 駕駛員管理卡和水電表卡等等i l z l 1 3 2 智能卡的特點 由于智能卡采用了半導(dǎo)體制造技術(shù)和信息安全技術(shù) 相對于其它種類的卡具 有以下四大特點 1 存儲容量大 其內(nèi)部有r a m r o m e e p r o m 等存儲器 存儲容量可 以從幾個字節(jié)到幾兆字節(jié) 卡上可以存儲文字 聲音 圖像等各種信息 2 安全性高 從硬件和軟件等幾個方面實施其安全策略 可以控制卡內(nèi)不 同區(qū)域的存取特性 如遇外部非法攻擊 卡片還具備自毀能力 3 性能可靠 i c 卡防磁 防靜電 抗干擾能力強 可靠性高 4 使用壽命長 一般至少可重復(fù)讀寫十萬次以上 第一章緒論 1 ac o s 簡介 1 4 1c o s 基本介紹 c o s 的全稱是c h i po p e r a t i n gs y s t e m 片內(nèi)操作系統(tǒng) 它一般是緊緊圍繞著智 能卡的特點而開發(fā)的i l 馴 由于受智能卡內(nèi)微處理器芯片的性能及內(nèi)存容量的影 響 因此c o s 在很大程度上不同于微機上的操作系統(tǒng) c o s 一般都是根據(jù)某種智能卡的特點及其應(yīng)用范圍而特定設(shè)計開發(fā)的 盡 管它們在所實際完成的功能上可能大部分都遵循著同一個國際標(biāo)準(zhǔn) c o s 在本 質(zhì)上更加接近于監(jiān)控程序 而不是一個真正意義上的操作系統(tǒng) c o s 所需要解 決的主要還是對外部的命令如何進行處理 響應(yīng)的問題 這其中一般并不涉及到 共享 并發(fā)的管理及處理 c o s 的主要功能是控制智能卡和外界的信息交換 管理智能卡內(nèi)的存儲器 并在卡內(nèi)部完成各種命令的處理 其中 與外界進行信息交換是c o s 最基本的 要求 在交換過程中 c o s 所遵循的信息交換協(xié)議目前包括兩類 異步字符傳 輸?shù)膖 0 協(xié)議以及異步分組傳輸?shù)膖 i 協(xié)議 智能卡的c o s 中最重要的兩方面就是文件與安全 1 4 2c o s 的文件系統(tǒng) 智能卡中的 文件 概念與我們通常所說的文件是有區(qū)別的 盡管智能卡中 的文件內(nèi)存儲的也是數(shù)據(jù)單元或記錄 但它們都是與智能卡的具體應(yīng)用直接相關(guān) 的 一般而言 一個具體的應(yīng)用必然要對應(yīng)于智能卡中的一個文件 因此 智能 卡中的文件不存在一般的文件共享的情況 而且 這種文件不僅在邏輯上必須是 完整的 在物理組織上也都是連續(xù)的 此外 智能卡中的文件盡管也可以擁有文 件名 f i l en a m e 但對文件的標(biāo)識依靠的是與卡中文件一一對應(yīng)的文件標(biāo)識符 f i l ei d e n t i f i e r 而不是文件名 因為智能卡中的文件名是允許重復(fù)的 它在本 質(zhì)上只是文件的一種助記符 并不能完全代表整個文件 c o s 的文件按照其所處的邏輯層次可以分為三類 主文件 m a s t e rf i l e 專 用文件 d e d i c a t e df i l e 以及基本文件 e l e m e n t a r yf i l e 其中 主文件對任何c o s 都是必不可少的 它是包含有文件控制信息及可分配存儲區(qū)的唯一文件 其作用 相當(dāng)于是c o s 文件系統(tǒng)的根文件 處于c o s 文件系統(tǒng)的最高層 基本文件也是 必不可少的一個部分 它是實際用來存儲備應(yīng)用的數(shù)據(jù)單元或記錄的文件 處于 文件系統(tǒng)的最底層 而專用文件類似于目錄 它存儲的主要是文件的控制信息 第一章緒論 文件的位置 大小等數(shù)據(jù)信息 我們可以用圖1 4 的樹狀結(jié)構(gòu)來形象地描述一個 c o s 的文件系統(tǒng)的基本結(jié)構(gòu) 1 4 3c o s 的安全體系 圖1 4c o s 文件結(jié)構(gòu)示意圖 智能卡的安全體系是智能卡的c o s 中一個極為重要的部分 它涉及到卡的 鑒別與核實方式的選擇 包括c o s 在對卡中文件進行訪問時的權(quán)限控制機制 還關(guān)系到卡中信息的保密機制 可以認為 智能卡之所以能夠迅速地發(fā)展并且流 行起來 其中的一個重要的原因就在于它能夠通過c o s 的安全體系給用戶提供 較高的安全性保證 安全體系在概念上包括三大部分 安全狀態(tài) s e c u r i t ys t a t u s 安全屬性 s e c u r i t ya t t r i b u t e s 以及安全機制 s e c u r i t ym e c h a n i s m s 安全狀態(tài)是指智能卡在當(dāng)前所處的一種狀態(tài) 這種狀態(tài)是在智能卡進行完復(fù) 位應(yīng)答或者是在它處理完某命令之后得到的 事實上 我們完全可以認為智能卡 在整個的工作過程中始終都是處在這樣的或是那樣的一種狀態(tài)之中 安全狀態(tài)通 ?？梢岳弥悄芸ㄔ诋?dāng)前已經(jīng)滿足的條件的集合來表示 安全屬性實際上是定義了執(zhí)行某個命令所需要的一些條件 只有智能卡滿足 了這些條件 該命令才是可以執(zhí)行的 因此 如果將智能卡當(dāng)前所處的安全狀態(tài) 與某個操作的安全屬性相比較 那么根據(jù)比較的結(jié)果就可以很容易地判斷出一個 命令在當(dāng)前狀態(tài)下是否是允許執(zhí)行的 從而達到了安全控制的目的 和安全狀態(tài)與安全屬性相聯(lián)系的是安全機制 安全機制可以認為是安全狀態(tài) 實現(xiàn)轉(zhuǎn)移所采用的轉(zhuǎn)移方法和手段 通常包括 通行字鑒別 密碼鑒別 數(shù)據(jù)鑒 第一章緒論 別及數(shù)據(jù)加密 一種安全狀態(tài)經(jīng)過上述的這些手段就可以轉(zhuǎn)移到另一種狀態(tài) 把 這種狀態(tài)與某個安全屬性相比較 如果一致的話 就表明能夠執(zhí)行該屬性對應(yīng)的 命令 這就是c o s 安全體系的基本工作原理 1 4 1 1 4 4 典型的c o s 系統(tǒng) 一般的芯片廠商都有自己開發(fā)的c o s 比較知名的卡片廠商捷德 g d 握奇 w a t c h d a t a 由于卡片應(yīng)用較為廣泛 所以他們各自的c o s 也為人熟知 s n 眥o s 智能卡芯片操作系統(tǒng)s t a r c o s s m a r tc a r kc h i po p e r a t i o ns y s t e m 是由德 國g d 公司和g m d 公司合作開發(fā)的智能卡卡片級的一個完整的操作系統(tǒng) 它 提供適合具體應(yīng)用的操作和管理的2 0 余條指令 而且其透明的結(jié)構(gòu)使得用戶可 以集成自定義的指令 t m e c o s t i m e c o s t m l ec a r do p e r a t i n gs y s t e m 是握奇數(shù)據(jù) w a t c d 御隊 系統(tǒng) 有限公司自行開發(fā)的智能卡操作系統(tǒng) 符合相關(guān)標(biāo)準(zhǔn) 支持一卡多應(yīng)用 各應(yīng)用 之間相互獨立 支持多種安全訪問方式和權(quán)限 1 5 金融智能卡的安全 智能卡本身具有較高的安全性 卡片在出廠時由廠家將測試電路熔斷 并且 對不同批次的卡片都給以不同的初始保護密鑰 卡片在運輸過程中也受到了嚴格 的保護 卡片在交付發(fā)卡行之前由廠商負責(zé)其安全 而交付之后 發(fā)卡行必須用 廠商提供的密鑰卡 稱之為洗卡母卡 和控制卡來洗卡 即將廠商的出廠密鑰替 換成用戶自己的密鑰 從而保障了卡片本身的安全i l 訓(xùn) 卡片的操作系統(tǒng)c o s 在設(shè)計時也充分考慮了安全控制機制 對卡片的初始 化 讀出 寫入等等做了非常嚴密的安全控制 c o s 可以做到對卡片本身的各個 文件分區(qū)加以不同的密鑰保護 不同分區(qū)之間是不可訪問的i 圳 做為銀行這樣的金融機構(gòu) 對客戶資金安全 系統(tǒng)安全等等有著更高的要求 從人民銀行對智能卡的有關(guān)標(biāo)準(zhǔn)來看 有專門的部分來規(guī)范卡片的物理安全和應(yīng) 用安全 商業(yè)銀行在智能卡系統(tǒng)設(shè)計實現(xiàn)時除利用卡片 操作系統(tǒng)提供的安全特 性之外 又增加了多個安全控制環(huán)節(jié) 密鑰子系統(tǒng)是智能卡系統(tǒng)的安全核心 作為省市級的商業(yè)銀行 是人行設(shè)計 的密鑰體系中的三級中心 從二級中心 即商業(yè)銀行總行 獲得密鑰母卡 經(jīng)過 第一章緒論 密鑰分散之后發(fā)行自己的用戶卡 銀行機具中使用的s a m 安全存取模塊s e c u r e a c c e s sm o d u l e 卡可以直接由上級中心領(lǐng)用 也可以根據(jù)需要 按照密鑰體系 統(tǒng)一規(guī)范自己制作 沒有總行的城市商業(yè)銀行 則可以在當(dāng)?shù)厝诵械亩壝荑€中 心獲得二級密鑰 由于銀行卡必須支持聯(lián)網(wǎng)通用 所以消費密鑰必須是在全國的 密鑰體系中統(tǒng)一管理的 1 6 本文研究的主要內(nèi)容 本文主要對智能卡系統(tǒng)的密鑰子系統(tǒng) 卡片結(jié)構(gòu)設(shè)計 卡片管理子系統(tǒng)和部 分重要的交易涉及到的安全機制進行研究 并給出實現(xiàn)過程 由于多年來的銀行卡的超常規(guī)發(fā)展造成磁條卡的發(fā)卡量巨大 而換用智能卡 的成本非常高 使得人民銀行全國統(tǒng)一的密鑰系統(tǒng)建設(shè)速度比較緩慢 在實現(xiàn)密 鑰子系統(tǒng)時 我們充分考慮了面臨的這種情況 力爭在設(shè)計上注重靈活性 把密 鑰子系統(tǒng)設(shè)計成一級和三級密鑰中心的混合體 以滿足未來平滑切換以及業(yè)務(wù)發(fā) 展的需要 卡片作為銀行的 重要憑證 從入庫 出庫 領(lǐng)用 到個人化 掛失 作 廢和銷毀 都有一系列嚴格的規(guī)定 在設(shè)計實現(xiàn)發(fā)卡管理子系統(tǒng)時 對卡片的各 項操作都做了嚴格管理 重要操作必須要求雙人操作 互相監(jiān)督 卡片發(fā)到用戶 手中之后 如果用戶增加新的行業(yè)應(yīng)用 也必須由銀行柜員在嚴格的權(quán)限控制之 下完成 而對于一些專門用于消費的聯(lián)名卡 客戶常常使用完卡內(nèi)的金額之后就 會丟棄 為了節(jié)省成本 系統(tǒng)還專門實現(xiàn)了卡片回收循環(huán)使用的方案 在交易子系統(tǒng)的設(shè)計實現(xiàn)中 完全按照行業(yè)標(biāo)準(zhǔn)對重要金融交易進行了研 究 保證其安全性 在交易過程中具有三種驗證模式 系統(tǒng)都完全實現(xiàn) 包括卡 片和機具之間互相驗證 卡片加密機之間聯(lián)機驗證以及脫機交易批量入帳時和加 密機之間的驗證 電子存折交易由于金額比較大 必須后臺進行聯(lián)機驗證的 而 金額較小的電子錢包交易 則可以不用聯(lián)機 只要和機具之間m a c 報文認證 碼m e s s a g ea u t h e n t i c a t i o nc o d e 驗證通過就可以消費 消費時由機具記載交易 明細并計算出t a c 交易驗證碼t r a n s a c t i o na u t h o r i z a t i o nc r y p o g r a m 送到主 機通過驗證并記帳之后 銀行就可以給商戶劃撥資金來完成清算 第二章智能卡系統(tǒng)綜述 2 1 設(shè)計思想 第二章智能卡系統(tǒng)綜述 金融智能卡系統(tǒng)首先必須滿足金融交易的所有應(yīng)用 具備一卡多帳戶 多幣 種和理財功能 在網(wǎng)點 a t m c d m 進行存取款 卡內(nèi)轉(zhuǎn)帳 卡卡轉(zhuǎn)帳 商戶 p o s 消費 系統(tǒng)卡支持智能卡主帳戶 電子存折帳戶和電子錢包帳戶 電子存折 應(yīng)支持圈存 圈提 存現(xiàn) 取現(xiàn) 消費 查詢余額 查詢交易明細等 電子錢包 應(yīng)支持圈存 消費 查詢余額等功能 支持磁條和芯片的復(fù)合卡 支持各種中間 業(yè)務(wù)和理財功能 確保銀行卡業(yè)務(wù)的連續(xù)性和可持續(xù)發(fā)展 智能卡在使用過程中 銀行應(yīng)該提供各種交易設(shè)備和方式 方便客戶完成各 種交易 所以智能卡系統(tǒng)需要支持柜臺 p o s a t m 圈存機 自助服務(wù)終端等 各個渠道 i c 卡有很多的應(yīng)用領(lǐng)域 銀行的金融卡必須做到與這些應(yīng)用相結(jié)合才能取 得發(fā)展空間 如果每一種應(yīng)用都要用不同的卡 那么會給客戶帶來極大的不便 因此 智能卡應(yīng)支持多種應(yīng)用 真正做到 一卡多用 1 6 目前已有的i c 卡 應(yīng)用領(lǐng)域包括以下內(nèi)容 交通 石化 社保 醫(yī)療 校園 配送行業(yè) 智能小區(qū) 行政事業(yè)收費 公共事業(yè)收費等等 由于卡片存儲空間的限制 而且持卡人身份的不同 消費環(huán)境的不同 所以 一張金融i c 卡不可能包含所有的應(yīng)用 我們可以根據(jù)持卡人的特點 將不同的 應(yīng)用有機的結(jié)合起來 客戶在使用過程中可以根據(jù)自己的實際需要隨時開通非金 融應(yīng)用 此外 系統(tǒng)應(yīng)該具有良好適應(yīng)性 拓展靈活 支持定制功能 可以根據(jù)于不 同的業(yè)務(wù)應(yīng)用完成有關(guān)設(shè)置 第二章智能卡系統(tǒng)綜述 2 2 系統(tǒng)架構(gòu) 衛(wèi) 罄瀚鞴愿麓燃瓣黼 i 粼纛勰瑚糕辮麓黼懣麓j 崤籜翌瀚 鬟黼蠹 lj 釉引l 生產(chǎn)機 備份機 i 鬻攀麟纛蘸寨瑟黎鬻 4 mm i r a u 路灞 二 墨蘭塑苧竺j 蓮豢鋈l i i 瓣黼 圖2 1 系統(tǒng)架構(gòu) 畫 e h 通訊前置 麗 i j l 一 主機 畫d p c 打印機 行業(yè)應(yīng)用方 如圖2 1 目前大型商業(yè)銀行都實現(xiàn)了數(shù)據(jù)集中 帳務(wù)系統(tǒng)上收到了總行數(shù) 據(jù)中心 分行端配置了業(yè)務(wù)處理的前置機 作為交易匯總轉(zhuǎn)發(fā)的中間層 智能卡 系統(tǒng)的主機可以認為是中間層的前置或者擴展 放置在分行數(shù)據(jù)中心 另外配置 加密機 作為交易驗證使用 密鑰子系統(tǒng)可以部署在分行數(shù)據(jù)中心也可以部署在 第二章智能卡系統(tǒng)綜述 銀行卡管理中心 發(fā)卡子系統(tǒng)直接部署在銀行卡管理中心 銀行網(wǎng)點要配置i c 卡讀寫設(shè)備 自助機具要做相應(yīng)的改造 支持磁條和芯片的雙重讀寫 2 3 環(huán)境要求 以中國農(nóng)業(yè)如銀行天津市分行的智能卡系統(tǒng)為例 對軟硬件環(huán)境和網(wǎng)絡(luò)環(huán)境 的要求說明如下 2 3 1 硬件環(huán)境 主機采用m mr s 6 0 0 0 4 c p u8 g 內(nèi)存3 6 g x l 2 磁盤陣列 前端設(shè)備采用基 于i n t e r 的微機 服務(wù)器 硬加密機使用五十六所的s j t 0 6 專用打卡機使用 d a t a c a r d 的d c 7 0 0 0 i c 卡讀寫器一般要配備2 個讀寫槽和4 個p s a m 卡槽 并且具有在w i n d o w s 和u n i x 下的驅(qū)動 在a t m 等自助設(shè)備上要配備吸入式i c 卡讀寫設(shè)備 2 3 2 軟件環(huán)境 主機操作系統(tǒng)a i xv 4 3 3 數(shù)據(jù)庫使用s y b a s cv 1 2 o 微機 服務(wù)器操作系 統(tǒng)一般為w i n d o w s2 0 0 0 網(wǎng)點前置機操作系統(tǒng)s c ou n i x5 0 5 開發(fā)語言使用 p o w e rb u i l d e r 以及a n s ic 2 3 3 網(wǎng)絡(luò)環(huán)境 商業(yè)銀行的網(wǎng)絡(luò)系統(tǒng)都比較成熟 天津地區(qū)網(wǎng)絡(luò)服務(wù)提供商 網(wǎng)通 聯(lián)通 鐵通 廣電 電信 移動 都有自己的網(wǎng)絡(luò)體系 支持銅線或光纖 協(xié)議支持 d d n f r 到a t m 等等 本文中涉及的金融智能卡系統(tǒng)運行在商業(yè)銀行的現(xiàn)有 網(wǎng)絡(luò)架構(gòu)之上 對網(wǎng)絡(luò)帶寬 協(xié)議等無特殊要求 2 4 系統(tǒng)功能邏輯結(jié)構(gòu) 如圖2 2 所示 系統(tǒng)共分為八個子系統(tǒng) 發(fā)卡管理子系統(tǒng) 密鑰管理子系統(tǒng) 監(jiān)控統(tǒng)計子系統(tǒng) 帳務(wù)處理子系統(tǒng) 交易處理子系統(tǒng) 業(yè)務(wù)管理子系統(tǒng) 對外接 第二章智能卡系統(tǒng)綜述 i 3 子系統(tǒng)和功能定制子系統(tǒng) 其中密鑰管理子系統(tǒng) 發(fā)卡管理子系統(tǒng)和交易處理 子系統(tǒng)是本文研究的主要部分 l發(fā)卡管理子系統(tǒng) 智 l 密鑰管理子系統(tǒng) i 交易監(jiān)控 i 一 l 交易統(tǒng)計能 監(jiān)控統(tǒng)計子系統(tǒng) 一 l 6 卡 l 1 一 l 柜臺交易前 l 賬務(wù)處埋于系統(tǒng) i 置 i 系 l交易處理子系統(tǒng)i自助機具交易 l 一 一 1 fl 一 統(tǒng) l 主賬戶接口 業(yè)務(wù)管理子系統(tǒng) 7 m i i 巷口 t 系締商用蓋付棒口 l對賬接口 l 功能定制子系統(tǒng) 2 5 系統(tǒng)有關(guān)安全機制 圖2 2 系統(tǒng)功能邏輯結(jié)構(gòu)圖 從圖2 3 中我們可以看出 密鑰子系統(tǒng) 發(fā)卡子系統(tǒng)和交易子系統(tǒng)的關(guān)系十 分密切 密鑰子系統(tǒng)從上級中心收到密鑰后 可以為發(fā)卡系統(tǒng)制作發(fā)卡母卡 向交易 系統(tǒng)中的加密機下裝驗證密鑰 發(fā)卡子系統(tǒng)利用發(fā)卡母卡制作用戶卡和p s a m 卡 用戶卡經(jīng)過個人化之后發(fā)到用戶手中 p s a m 卡則安裝在機具之中 在交易 時 用戶卡和p s a m 卡之間做脫機認證 在聯(lián)機交易中 用戶卡和帳務(wù)中心的 加密機之間做聯(lián)機認證 商戶在營業(yè)結(jié)束之后銀行日終處理之前 機具將脫機交 易流水批量發(fā)送到帳務(wù)主機 由主機調(diào)用加密機的有關(guān)功能來校驗t a c 即校 驗流水的合法性 在用戶卡中 可以根據(jù)操作的不同規(guī)定不同的應(yīng)用密鑰 在不同的應(yīng)用分區(qū) 中 可以根據(jù)合作方的要求靈活設(shè)置發(fā)卡模式 即銀行自主模式 雙方合作模式 和銀行代管模式 這些發(fā)卡模式同樣需要密鑰系統(tǒng)具備相應(yīng)的支持 有時候甚至 第二章智能卡系統(tǒng)綜述 可以根據(jù)合作方的需要為其單獨設(shè)置密鑰系統(tǒng) 并完全由銀行來代管 合作方只 需派人來輸入密鑰的種子 由密鑰系統(tǒng)完成計算處理 在脫機交易中 早期的p b o c 標(biāo)準(zhǔn)規(guī)定了電子錢包可以不記載交易明細 在 新的標(biāo)準(zhǔn)中 電子錢包也可以記載交易明細 同時增加了狀態(tài)控制和灰鎖等更加 安全的控制機制 使得交易安全得到了更充分的保證 圖2 3 發(fā)卡 密鑰和交易子系統(tǒng)的關(guān)系 第三章密鑰子系統(tǒng)設(shè)計 3 1 密鑰體系 第三章密鑰子系統(tǒng)設(shè)計 根據(jù)人民銀行 全國銀行i c 卡密鑰管理規(guī)則 規(guī)定 銀行i c 卡密鑰采用三 級管理體制 即人民銀行全國密鑰管理中心 一級中心 城市人民銀行或商業(yè) 銀行密鑰管理中心 二級中心 及發(fā)卡銀行密鑰管理中心 三級中心 整個安 全體系結(jié)構(gòu)主要包括三類密鑰 全國通用的消費 取現(xiàn)主密鑰g m p k 發(fā)卡銀行 的消費 取現(xiàn)主密鑰m p k 和發(fā)卡銀行的其他主密鑰 g m p k 是整個系統(tǒng)的根密鑰 全國密鑰管理總中心用g m p k 對各二級機構(gòu) 標(biāo)識進行分散 產(chǎn)生二級機構(gòu)消費 取現(xiàn)主密鑰b m p k 生成二級機構(gòu)發(fā)卡母卡 并且將它與二級機構(gòu)外部認證密鑰卡一起傳輸給二級機構(gòu) 同時 全國密鑰管理 總中心還需對要下發(fā)的所有p s a m 卡進行統(tǒng)一洗卡 裝入g m p k 和p s a m 外 部認證卡一起傳遞給二級機構(gòu) m p k 由二級密鑰管理中心 如商業(yè)銀行總行和人民銀行區(qū)域分行 利用全 國密鑰管理總中心下發(fā)的二級機構(gòu)發(fā)卡母卡產(chǎn)生 在接收到全國密鑰管理總中心 傳來的二級機構(gòu)發(fā)卡母卡和外部認證卡后 用b m p k 對各成員行標(biāo)識進行分散 生成成員行消費 取現(xiàn)主密鑰m p k 產(chǎn)生成員行發(fā)卡母卡和成員行外部認證卡一 起傳送給各成員行 同時 二級機構(gòu)還要向成員行轉(zhuǎn)交p s a m 外部認證卡和 p s a m 卡 成員行可直接向成員行發(fā)卡母卡中注入銀行專用密鑰 利用成員行發(fā)卡母卡 來提供密鑰服務(wù) 如發(fā)放客戶卡 p s a m 二次發(fā)卡 清算等 成員行也可自己 產(chǎn)生專用密鑰 將成員行發(fā)卡母卡中的消費 取現(xiàn)主密鑰m p k 注入到硬件加密機 或母卡 利用硬件加密機或母卡來提供密鑰服務(wù) 如圖3 1 所示 以人民銀行總行為一級中心 密鑰通過銀行和地區(qū)代碼不同 分散n 級中心 即商業(yè)銀行總行和人民銀行的地區(qū)分行 再通過一次分散到三 級中心 即各商業(yè)銀行的分行和無全國總行的地區(qū)商業(yè)銀行 在密鑰子系統(tǒng)的設(shè)計中 我們結(jié)合了人民銀行全國密鑰系統(tǒng)的發(fā)展要求以及 天津市的的實際情況 設(shè)計實現(xiàn)了模擬一級中心產(chǎn)生根密鑰 實現(xiàn)三級中心的所 有功能 先發(fā)展本行自己的業(yè)務(wù) 待全國密鑰系統(tǒng)成熟之后可以實現(xiàn)平滑切換 第三章密鑰子系統(tǒng)設(shè)計 d p k 圖3 1 三級密鑰體系示意圖 第三章密鑰子系統(tǒng)設(shè)計 3 2 版本和索引的應(yīng)用 為了降低密鑰泄漏導(dǎo)致的風(fēng)險 i c 卡密鑰管理系統(tǒng)使用了密鑰的多版本和多 索引技術(shù) 如圖3 2 所示 下面以消費主密鑰為例說明密鑰的多版本和多索引 技術(shù)是如何降低系統(tǒng)風(fēng)險的 消費主密鑰總共有5 x 5 2 5 個不同密鑰 在用戶卡 中存放的是其中的同一版本的5 個密鑰 在p s a m 卡中存放的是其中的同一索引 的5 個密鑰 在交易時 使用的用戶卡和p s a m 卡所共同擁有的密鑰 當(dāng)其中的 一個密鑰泄漏時 可以將所有包含該密鑰p s a m 卡銷毀 替換成其他索引的p s a m 卡 這樣使泄漏的密鑰不會在消費中再次使用 保證了交易的安全 由于只更換 少量的p s a m 卡 大量的用戶卡不用作任何變動 從而降低了密鑰泄漏所導(dǎo)致的 風(fēng)險 消費密鑰的多版本和多索引如圖3 2 所示 在設(shè)計中 我們考慮到系統(tǒng)面臨全國數(shù)據(jù)集中而有上收的可能性 并且由于 金融智能卡在我國使用范圍不算廣泛 面臨的風(fēng)險不大 同時為了節(jié)省管理成本 和卡片存儲資源 決定采用三組密鑰 每組三個索引 即9 個不同的密鑰來作為 本系統(tǒng)的消費密鑰 圖3 2 消費密鑰的多版本和多索引技術(shù)示意圖 3 3 應(yīng)用密鑰分隔原則 根據(jù)p b o c 標(biāo)準(zhǔn) 為了解決獨立地管理一張卡上的不同應(yīng)用的安全問題 每 一個應(yīng)用應(yīng)該放在一個單獨的文件中l(wèi) 塒 亦即在應(yīng)用之間應(yīng)該設(shè)計一道 防火 耔 5 4 3 2 第三章密鑰子系統(tǒng)設(shè)計 墻 以防止跨過應(yīng)用進行非法訪問 另外 每一個應(yīng)用也不應(yīng)該與卡中共存的個 人化要求和應(yīng)用規(guī)則發(fā)生沖突 密鑰可以保存在文件內(nèi) 也可以是一個獨立數(shù)據(jù)元 密鑰不能從外部被引用 對保存在文件內(nèi)的密鑰 應(yīng)用管理數(shù)據(jù)維護了在執(zhí)行應(yīng)用管理數(shù)據(jù)定義的命令和 加密算法時定位密鑰所必須的文件標(biāo)識和指向密鑰的引用 p i n 或者口令可以保 存在文件內(nèi) 也可以是一個獨立數(shù)據(jù)元 p i n 和口令只能從外部通過應(yīng)用管理數(shù) 據(jù)和安全通信共同定義的命令被引用 根據(jù)這個原則 我們?yōu)椴煌膽?yīng)用定義了不同的密鑰 嚴格實現(xiàn)應(yīng)用分隔 表3 1 中列出用戶卡