利用新型ＣＰＵ智能卡提高电子商务支付安全性论文.docVIP

　　利用新型ＣＰＵ智能卡提高电子商务支付安全性论文 摘要 本文针对目前国内电子商务的发展特点及安全性需求，从支付工具角度出发，阐述了如何利用新型的CPU智能卡自身的安全优势，在卡内建立合理有效的存储结构，设计合理的算法及规程，来提高电子商务的支付安全性。 关键词 电子商务智能卡安全RAS 一、 概述 Inter是电子商务的重要通信网络基础，其通信核心是基于TCP/IP协议簇等公开通信协议，具有充分开放、管理分散和不设防三大特点.freel)构成。在智能IC卡的内部结构初始化时，利用卡的安全特性，使得在卡内信息有条件地供外部读取，在片内的运算高效，内部信息处理、判定安全，有效地保障了信息传输的保密性、数据交换的完整性、发送信息的不可否认性，以及交易者身份的确定性，为实现安全交易打下良好的应用基础。 1.CPU的构成及功能设计 作为应用的硬件平台，目前推出的智能CPU卡均可符合中国金融集成电路规范（PBOC），针对非接触/接触等工作模式，及方便在带USB口的信息终端上进行使用，在CPU构成上，需要采用低功耗的处理器芯片，例如韩国三星的KS88C92008微处理器，其内部采用8位CMOS低功率8位CMOS低功率CUP（SAM87RC），并集成24K Bytes ROM，用于固化存放微型操作系统COS(Chip Operating System)，512 Bytes RAM作为内存，缓存计算过程数据，以及8K Bytes EEPROM用于存放用户数据，同样可参考的有ATMEL AT89SC系列、SLE66CX160S等。在硬件设计时，应兼顾电磁兼容设计，综合应用集成电路芯片的物理安全技术、卡片制造的安全技术，做好硬件线路加密，线路保密等功能。 2.片内微控操作系统（COS）的适应性应用裁剪设计 一般来说，片内操作系统（COS）按功能主要分为五个模块：输入/输出模块、内存管理模块、命令解释模块、安全管理模块、文件管理模块。操作系统根据电子商务活动中所涉及的各种证书文件、密钥文件、安全加密算法程序等需要，能够支持二进制文件、定/变长记录文件、循环文件、钱包文件，采用多级目录结构有序管理文件，在特定的目录结构下，建立电子钱包、电子存折应用，负责高效地调用数字签名算法，用户特有的安全加密算法。同时，该系统作为一个开发平台，为核心算法及规程等应用程序等开发提供二次开发接口。 3.卡内存储器的有效划分 根据电子商务应实际应用共性，我们可在智能CPU卡存储器内建立的如下的通用文件目录结构，如图1所表示。 卡片根目录下密钥文件中的卡片主控传输密钥控制整个卡片存储结构的建立。目录索引文件以变长记录方式存放各应用的标识信息，持卡人信息文件保存用户在申请证书时向网银中心提交的个人或单位信息。 金融机构/银行应用目录提供持卡人网上交易所需服务，其下密钥文件中包括三项，其功能分别是:(1)应用主控密钥用于管理该目录下持卡人帐户信息文件、私钥文件、证书文件的更改权限;(2)持卡人口令文件则保证持卡人对私钥的独占使用，及控制证书文件的读出权限;(3)口令解锁密钥由网银中心控制，负责对合法持卡者口令锁死的卡片进行口令解锁及更新口令。 私钥文件保存提供卡内签字、解密的持卡人私钥，其更改权受该目录下应用主控密钥限制，使用权受持卡人口令保护。 数字证书文件保存CA签发的持卡人证书，是一段包含用户身份信息、用户公钥信息以及身份验证机构数字签名的数据，必要时传交易对方验证，证书格式及内容遵循X.509标准，其格式如图2所示。其更改权受该目录下应用主控密钥限制，读出权限受持卡人口令保护；CA根证书文件保存CA根证书，必要时读出，用于验证商家、银行服务器的合法身份； 扩展应用目录，建议集成金融应用（包括PBOC电子钱包、电子存折），或联名卡应用，使达到一卡多用的目的。 图1智能CPU卡内部构成示意图图２X.509数字证件书内容示意图 4.软件算法安全性设计 除了在硬件上的安全性进行综合考虑外，在软件方面，应该从安全周密设计，严格规定内部软件数据流程，确保卡的安全得到全面的保护。 软件设计上需支持中国人民银行认可的Single DES、Triple DES算法，以及中国人民银行规定的电子钱包和电子存折功能。在多张卡片同时进入交易区时候，卡片内部设计防冲突机制。 能够在卡内不同应用之间的‘防火墙’隔离，设置卡内密钥的专用性，支持PIN检验、KEY认证、数据加密、MAC验证。支持RSA非对称密码算法,可在卡内生成RSA 算法模长为1024位的密钥对，并完成模长为1024位的RSA算法的签名、认证、加密、解密运算；完成对X509v3证书存储。 三、卡片应用生成流程 卡片供应