CSP在基于智能卡的移动终端中的开发与应用.docxVIP

CSP在基于智能卡的移动终端中的开发与应用来源：中国一卡通网??作者：聂曼，谭成翔，汪海航??发布时间：2010-02-09 16:32:20??字体:[大?中?小]关键字：智能卡??加解密服务提供者??加解密接口??移动安全????????摘???要：IPSec VPN技术因其方便、安全性高等特点，成为现在普遍采用的一种增加网络安全性的方法。智能卡是一张内含嵌入式集成电路芯片的信用卡般大小的电子卡，它将密钥对与证书封在卡内，能够使加密操作在卡内进行，从而保证私钥不需出卡，大大提高了安全性。IPSec VPN和智能卡的结合在网络中应用已经越来越广泛。智能卡软硬件相结合的CSP能够通过微软的Crypto API向应用程序提供各种网络安全应用。该文在移动安全终端系统的背景下，详细介绍了基于智能卡的CSP的设计与开发过程。??? 1 引言???? 由于移动公网的广泛发展和手机PDA 的大力普及，移动终端作为固网上业务服务器的访问接入终端也变得越来越常见。然而，移动终端通过基于GPRS／CDMA的移动公网接入业务服务器的过程存在着较大的安全风险。在没有执行任何安全保护措施的情况下，移动终端就与业务服务器进行数据传输，很容易导致双方传输的数据被别有用心的人截取或者篡改，如果这些数据涉及到商业敏感信息，这将对双方的利益带来巨大的损失。并且，移动终端虽然体积小巧，方便携带，也容易丢失和被盗，再加上设备的非授权使用，授权用户的不合理或者恶意的行为，这些全都会带来安全威胁。因而，寻找给移动终端和业务服务器的访问过程增加安全性的解决方案是人们追求的目标。IPSec VPN技术是目前普遍使用的方法，先在公共网络上建立一个私有隧道，然后才在这个隧道上进行双方的数据传输。这样，安全性确实会得到一定的提高，但是如果没有智能卡的帮助，安全性还是会大打折扣。因此，针对这种情况，设计了一个基于智能卡的移动IPSec VPN安全接入终端系统，本文重点介绍该系统中CSP的开发。???? 2 相关背景???? 2.1智能卡与PC／SC规范???? 智能卡是一张内含嵌入式集成电路芯片的信用卡般大小的塑料卡，具有储存信息量大，数据保密性好，抗干扰能力强，储存可靠，读写设备简单，使用灵活，操作速度快，脱机工作能力强，易于携带等特点。本系统所使用的智能卡是一张特制的内含有交换密钥对，签名密钥对和证书用以提供加解密、认证等服务的电子卡。???? PC／SC规范是一套为集成电路卡(ICC)与个人计算机系统设计进行交互的规范，能够让智能卡方便地访问WindoW平台。其主要优点就是让应用程序不必为了与智能卡通信而去了解智能卡读卡器的细节，应用程序通过PC／SC规范和智能卡读卡器通信，后者再通过ISO7816与智能卡进行通信来获取智能卡提供的服务，其传输的包结构是TPDU。???? 1．2 Crypto API体系结构与CSP???? Crypto API是微软提供的一套公共接口，包含了一系列的函数，为应用程序提供加解密、数字签名、哈希等安全服务，而应用程序不必关心其具体实现。不同的供应商可以开发独立的加密模块，这些模块成为加密服务提供者(Cryptographic Service Provider CSP)，完成密钥生成／交换、加解密、数字签名、认证等服务的真正模块。微软默认的CSP是RSA Based Provider，使用RSA公司的加密算法。一个系统中可以加载多个CSP模块，它们相互独立。应用程序可以使用任意一个CSP模块，而不必关心它的具体实现，每个CSP都对Crypto API进行不同的实现。???? Crypto API的体系结构如图1所示。??? 从图1可以看出，它分为应用层：系统层和加密服务提供层。处于应用层的应用程序通过Crypto API来调用CSP模块提供的各种服务。???? 3 软硬件结合的CSP开发???? 本文介绍的移动安全接入终端系统在WINCE下开发，使用WIND0w MOBILE 5．0 SDK。系统分两层，彼此间相互独立，上层进行拨号，下层给上层提供CSP支撑，上下两层通过系统来整合。CSP可以基于软件实现，也可以基于硬件实现，还可以基于软硬件结合实现。基于软件实现的C SP，其使用的密钥对及算法与操作系统有关，安全性不高；而基于硬件实现的CSP虽然安全性较高，但是费用昂贵；而基于软硬件实现的CSP，由于将密钥技术对生成和加解密操作与操作系统分离，所以其密钥的管理和加解密比基于软件的CSP安全提高了很多，而与安全性方面没有多少关系的部分使用软件实现，费用比基于硬件实现的CSP降低了许多，可以说是一种比较折中的选择。本系统使用的CSP采用软硬件结合的方案，目标是提供一个基于SDIO智能卡的CSP。哈希、解密等功能是不需要硬件实现的，因此这些部分可以