PKI体系下密码设备用智能卡的COS软件设计研究.pdfVIP

信息系统协会中国分会第一届学术年会 PKI体系下密码设备用智能卡的COS软件设计球 刘培德，张新 (山东经济学院信息管理学院，山东济南250014) 文摘tPKI是实现网络安全的关键技术体系。本文详细介绍了应用于PKI体系下的密码设备用智能卡COS软件的 设计与实现，特别对COS软件的传输管理、文件管理、安全管理以及应用系统等进行了详细描述，并介绍了实现方 ， 法，最后给出的试验数据表明此COS软件完全满足PKI体系的安全要求和用户身份认证的使用要求。 关键词；Pl(I：COS；智能卡；私钥；密码设备 1 概述 2 PKI体系对智能卡COS的基本要求’ Infrastructure，即公钥基础设 PKItl]fPubUc 为了保证密码设备的安全性，智能卡COS必须 Key 施)被誉为现代信息社会安全的基石，也是电子商务 具有以下基本要求： 与电子政务的关键技术。它能够为所有网络应用透 (1)公私密钥对必须在智能卡内，由COS软件 明地提供加密和数字签名等密码服务所必需的密 产生，私钥不出卡，直接保存在智能卡内，公钥传 钥和证书管理功能，能够提供认证、访问控制、数 出至读卡器，然后从读卡器读入相应证书，并存储 据完整性、机密性和不可否认性等核心安全服务。 证书。 PKI的基础是基于非对称加密算法，私钥 (2)使用私钥签名时，必须输入正确的PIN码 (Private 才能进行。另外对错误PIN码的输入，限制输入次 Key)是用户个人最重要的数据信息，是个 人身份的标志。因为用户可以通过自己的私钥进行 数，达到规定的输入次数后，必须通过PKI的管理 签名以表明自己的身份，私钥一旦泄漏，将会给用 体系进行解码后才能使用。 户造成不可预料的损失。因此，需要有一个能够确 (3)任何情况下，都不可能把私钥读出到智能 保其安全的场所来保存这些个人的私钥及个人其 卡外。 CA)名 他的重要数据如被其直接信任的CA(root (4)签名、验证签名都在智能卡内完成。由于 字和证书等。 私钥在卡内，所以签名也必须在智能卡内完成，首 智能卡(SmartCard)具有安全性高、保密性先从读卡器读入数据，通过私钥签名运算后，再传 好，为密钥的存储管理提供了良好的介质。智能卡 到读卡器。另外，为了保证验证签名的安全性，验 具有嵌入卡片内部的CPU和存储器，同时还有一系 证签名也在智能卡内完成，以防止恶意代码的攻 列的安全机制来保证内部数据的安全。利用智能卡 击，保证验证结果的真实性，验证签名需要多次与 卡上CPU的计算能力，可以在卡上进行密钥对的生 读卡器进行通信才能完成。 成和进行卡上的签名和验证运算：同时，利用智能 (5)必须符合PⅪ体系对加密算法的要求，必 卡出色的安全机制，能够对存储在其中的数据提供 须实现下列基本的加密算法：非对称加密算法 强有力的安全保证，这样在用户私钥的整个生命周 必须具有产生真正随机数的能力。 期内，都处在智能卡的保护之下。COS(Chip吣 (6)在智能卡里，具有存储数字证书的能力。 eration System)为芯片操作系统，它是芯片资源的管 用户证书存储在