2008年11月16日 星期日

I C 卡 之 I I I

安全架構
因為IC卡具備多層的安全寶路措施,所以安全性高是其重要的特點,這些安全措施包含:持卡人的身分辨識,卡片真偽辨別,資料存取安全控制,資料加密處理等。

敘述如下:
一、持卡人身份識別
可以採用密碼的輸入,例如使用個人通行碼(PIN, Personal IdentifICation Number),來識別持卡人的身分。
因為IC卡本身就具有運算能力,這些密碼認證的機制,並不需要傳回到網路上的主電腦去執行,可以在末端設備便可完成,如此不但使密碼認證工作的速度加快,也可使安全性大福提昇。這個機制常見到用於行動電話的開機密碼,ATM提款機,或應用在一些需要基本認證的設備…等。

二、卡片真偽鑑別
在IC卡的內部,儲存如DES、RSA等演算法的加密軟體,或是在卡片內含加密功能之硬體電路。這些加密軟硬體可以透過提供讀卡機與IC卡之間互相認證的功能,因而可以做到鑑別卡片真偽的目的。

DES 加解密演算法
DES 加密法於 1977 年被聯邦政府列為數據加密標準
其加解密速度非常快速,但因為 56 位元金鑰過短,很有可能於24小時內被破解 (但因通常使用至安全機制僅短短的幾秒鐘且不會持續性的做使用所以還是有在使用中,也因為這特性的關係,在一些透過網路運用晶片金融卡,信用卡,或是自然人憑證卡時,各單位都會建議請勿持續性的與讀卡機做連接,或是使用完畢後立即拔除晶片卡的警告)在程式JAVA程式應用方面:如果需要安全一點的加密方式,可以考慮改用 AES 機制
AES 語法與 DES 大致相同,只在加解密的金鑰 KEY 及 IV 長度不同
加密及解碼需使用相同的金鑰

RSA 加解密演算法
RSA 是一種非對稱性加密演算法,其原理是以公鑰及私鑰來處理加解密
簡單來說,公鑰可以提供給任何需要加密的人,但是私鑰必須妥善保存
加密時以公鑰處理即可,但解密必須有私鑰
這些加密軟硬體機制可以提供讀卡機與IC卡之間相互認證的功能。

三、資料存取控制
為防止未經授權(Unauthorized Access)的存取,以保護資料的隱密性,在實體或邏輯上均可以強化保護機制,以確保IC卡資料安全。
在邏輯的保護機制上,IC卡可以具有分區控管的能力,以便限制能夠讀取某一區塊的資料,而不能讀取其它區塊的資料。以現今流行的校園IC卡為例,其內部可包含學生相關資訊與金融資訊,這兩個部分可獨立運作,當使用學校鄉彎資訊時,可限制存取到金融資訊。而在實體的保護機制上,IC卡可以具有破壞偵測電路,當IC卡受到破壞時,能在極短的時間內消除晶片中所有的機密資料,使得重要資料不致外洩。

四、資料加密
在IC卡內也可以包含DES、RSA、Hash等加密或簽章演算法之軟體或硬體。
將重要資料以加密後的密文型式儲存在IC卡內,因此即便資料被竊取也不會有損失

HASH 加解密演算法
我們應當用雜湊(Hash)函數的輸出值來儲存密碼。雜湊是不可逆(單向)運算,即使攻擊者能夠讀取密碼的雜湊表,他也不可能僅僅透過那個雜湊表來重建密碼。

沒有留言:

張貼留言