esam安全模块的应用.pdfVIP

摘要：本文论述了 ESAM 安全模块的功能和特点及其在智能卡表等方 面的技术优势和应用模式，分析了产品开发和系统应用在安全性和可 操作性方面需要考虑的因素，给出了相关应用设计举例和说明，同时 给出了有关产品的技术参数和指标。 　　1、 什么是 ESAM 安全模块？ 　　ESAM （Embedded Secure Access Module）嵌入式安全控制模 块系列产品，是握奇公司经过多年技术开发和应用实践研制出的具有 普遍应用价值的嵌入式数据安全产品。 　　ESAM 硬件平台采用亿恒科技 （原西门子半导体）和飞利浦等半 导体公司智能卡专用保密微控制器，具有安全的 ROM 和 EEPROM 安全控制、真随机数发生器 RNG （可选）、DES/3DES 加速器和高级 加密协处理器 ACE （可选）等安全结构，硬件安全性能达到 ITSEC E4 级标准，具有防检测、抗攻击、自毁等硬件安全特性。 　　ESAM 芯片操作系统采用握奇公司自主开发的 TimeCOS/ESAM 嵌入式安全操作系统，具有安全的文件密钥存储、完善的安全机制、 标准的加密算法等特点。ESAM 系列产品完全符合 ISO7816 标准和中 国人民银行金融IC 卡规范，通过中国人民银行金融卡认证和北京市 科委软件产品认证，并获得了国家密码管理委员会的安全认证和生产 销售许可， 目前在国内发行使用的数量超过300 万片。 　　ESAM 特殊的安全属性使它可以嵌入到其他任何具有安全要求的 智能设备中，完成文件和密钥的安全存储、数字签名、数据加密解密、 双向身份认证、内部分散密钥、电子钱包、通讯线路保护等多种功能。 　　2、 ESAM 安全模块功能概述 　　ESAM 安全模块的应用是和各种专用或通用智能设备相关的，对 于所有需要身份认证、数据加/解密、安全存储、通讯保密等较高数 据安全要求的产品和应用系统，ESAM 嵌入式安全控制模块都可以发 挥其独到的安全控制作用。 　　1）身份双向认证；2）数据加密解密；3）数字签名；4 ）分散 密钥导出；5）内部分散密钥；6）传输线路保护；7）电子钱包；8 ） 安全数据存储 　　3、 ESAM 安全模块的应用领域 　　握奇智能公司现已成功地将 ESAM 模块应用如下产品中。 　　智能卡表：智能卡电表、水表、燃气表、热力表等 　　通信设备：加密 Modem、加密传真机、加密多路复用器 　　金融设备：加密密码键盘、金融 POS 机、支付密码器、银行密 码箱 　　税控设备：税控出租车计价器、税控加油机、税控收款机 　　交通收费：停车咪表、公共汽车收费终端、车载路桥收费终端设 备 　　条件接收：电视机顶盒（STB ）、PC 接收卡、加解扰前端/终端 设备 　　网络安全：局域网管理、登录、文件夹加密、软件保护 　　其他设备：智能卡饮水机、智能卡收费空调、网络电视等其他设 备 　　4、 智能卡表应用为什么要使用 ESAM 安全模块 　　对于象智能卡表一样规模较大的系统工程项目，系统运行的安全 性和稳定性是至关重要的。采用 CPU 卡作为数据信息的传输介质后， 密钥的安全使用是关键。以往的管理系统存在的弊端是由于卡表是由 生产厂家提供，不论是密码认证还是密钥认证都是由用户卡和卡表中 的微控制器之间完成的，而微控制器程序的设计不是由运行单位控制 而是由表厂技术人员或委托的第三方设计人员完成的，在编程过程中， 设计人员显然要知道运行系统的密码或密钥以及安全认证算法才能 编制正确的程序。这样当系统投入运行后，由于除管理方之外还有其 他渠道掌握系统安全的核心内容，一旦泄露，后果是严重的。即使管 理得当，由于生产方知道密钥内容，就可以不经运行管理方的授权在 现场对运行表计的数据进行修改，或者未经许可更换现场故障表。这 种操作对小区物业系统影响不大，但对于针对城市的管理系统就很容 易造成现场表计与后台管理系统数据库数据不同而产生混乱，从而造 成系统运行故障和不稳定。 　　解决如上问题有两种方法，一是运行管理方统一卡表内微控制器 的程序，将编程好的微控制器芯片提供给表厂生产。这样就能够保证 系统的安全性全部掌握在运行管理方。但这种方法操作较难，因为微 控制器程序除了安全认证部分外，更多的程序是关于表计计量、控制、 显示以及功能操作的内容，表厂设计人员很容易处理好这些内容，并 且会随着技术的发展不断创新和完善，而运行管理方却很难作好这部 分程序，这样提供的芯片功能不一定领先，并且阻碍了卡表技术的发 展和创新。 　　另外一种解决办法就是采用 ESAM 安全模块 （即嵌入式安全控制 模块），这种模块只负责完成安全认证和数据的存储