智能卡与公开密钥基础设施的结合及应用

文章出处：http://www.singbon.com 作者： 人气： 发表时间：2012年03月15日

　PKI是Public Key Infrastructure(公开密钥基础设施)的缩写，是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范，也是目前比较成熟、完善的Internet网络安全解决方案.

　认证中心CA是PKI的核心环节，是电子交易信赖的基础。认证中心作为权威的、可信赖的、公正的第三方机构，专门负责发放并管理所有参与网上交易的实体所需的数字证书。其所颁发的数字证书在PKI应用系统中有着举足轻重的作用，它就象一张“身份证”——用户在安全网络中通行所需的”电子身份证”。那用户如何存放自己重要的“身份证”呢？

　以往人都把私钥和数字证书存储在传统媒介中，如计算机的硬盘或软盘中，但都存在着一定的安全隐患。用户的数字证书在计算机硬盘中存放时，用户可能被“绑”在固定的计算机上，而且存放证书的计算机必须受到安全保护，否则一旦被攻击，证书就有可能被盗用。使用软盘保存证书，被窃取的可能性有所降低，但软盘容易损坏，一旦损坏，证书便无法使用。目前，黑客和病毒的入侵威胁着任何一台连到互联网上计算机，硬盘或软盘无法为用户的私钥和数字证书提供安全保护，并且计算机、软盘、键盘硬件本身也无任何安全可言，无法保证这些电子器件没被心怀叵测的人作了手脚，窃取用户的私人信息.

　正是基于上述因素，人们才关注起高度安全的数据载体---智能卡和电子钥匙，并使用他们存储私钥和数字证书.

　使用智能卡、电子钥匙则有以下优点:

　1. 私钥不可读: 智能卡和电子钥匙的软硬件设计严格控制用户私钥的使用权限，只能在满足条件时方可使用，保护私钥的安全性。

　2. 卡内签名、验证: 私钥的签名、验证功能一律在卡内实现，不存在传输中私钥泄露的可能性.

　3. 卡内生成RSA密钥对: RSA密钥对能直接在卡内产生，从而从源头上杜绝私钥泄露的可能性.

　4. 使用方便: 智能卡和电子钥匙小巧易携，使用上不受地域限制、不受办公环境及安全因素限制。用户只需在安装有相应驱动程序的计算机上执行几条简单指令后，就能激活带有一个私人安全数字证书的智能卡或电子钥匙，方便、安全的在网络上实现电子交易.

　总之，将用户私钥、CA的公钥、数字证书等存储在智能卡或电子钥匙上为用户提供最高级别的安全保障。智能卡和电子钥匙使用了公开密钥和多种加密算法技术，用更安全的方式把用户私人信息存在智能卡或电子钥匙上，而非易于受到黑客攻击的计算机中，而且PIN口令可以确保卡片或电子钥匙不被他人非法使用。具有非对称密钥算法的智能卡和电子钥匙可以满足人们对私钥和数字证书的安全要求、移动式存贮要求和防伪要求等，成为目前最理想的存储载体.

　2、握奇数据PKI产品的发展

　握奇数据成立之初便立志于以公开钥密码体系为基础，进行信息安全技术的开发工作。公司利用自身在智能卡上的先进技术和丰富经验结合PKI推出了多款产品.

　1997年握奇数据推出了第一个PKI产品——支持FAC算法的智能卡。此产品一经推出就成功的应用于北京国税的电子申报系统中，成为国内最早实现电子签名应用的智能卡产品。该电子申报系统后又推广至10个税务局，使支持FAC算法的智能卡也得到了一定的发展，并且至今握奇数据部分智能卡产品还一直支持FAC算法.

　1998年握奇数据推出了第二个PKI产品——支持RSA算法的智能卡TimeCOS/PK卡。此产品能够在卡内快速完成RSA算法的签名，验证，加密，解密运算，并在卡片内生成密钥对。TimeCOS/PK成为国内最早在卡内实现RSA算法的智能卡，并首家通过了国家商业密码管理委员会的安全评审。在海关总署的“中国电子口岸卡”中大量应用，也是电子口岸执法系统唯一入选卡片.

　2001年握奇数据推出了第三个PKI产品—— 2001年推出的WatchKEY系列产品。此系列产品是基于USB接口的读卡器和智能卡的集成体，适应小型化、便携式的应用需求，其中WatchKEY PRO产品具有TimeCOS/PK卡的全部功能，并已在电子口岸卡、上海CA等项目中大批量的使用.

　随后握奇数据在基于TimeCOS/PK卡和WatchKEY基础上推出了第四个PKI产品——客户端网络安全套件 WatchSAFE。此产品采用模块化设计，嵌入方式严格遵循浏览器的协议，实现了NETSCAPE的PKCS#11模块、IE的CSP模块接口，将智能卡TimeCOS/PK与计算机和读写器或电子钥匙WatchKEY与计算机结合起来。并已在福建CA, 北京市国家税务局涉外税收管理分局的网上纳税申报系统中广泛的应用.

　客户端网络安全套件 WatchSAFE适用于Internet/Intranet上浏览器/服务器(Browser/Server)结构应用，其嵌入浏览器方式就是重新编写浏览器中相应的功能操作模块，加入可以操作TimeCOS/PK卡和电子钥匙WatchKEY的函数接口，实现WatchSAFE产品与计算机的无缝连接。WatchSAFE的嵌入方式严格遵循浏览器的协议，能够建立从浏览器开始的真正的SSL、S/MIME安全通信，从而支持多种应用，实现Netscape或IE等浏览器对TimeCOS/PK卡、读卡器和电子钥匙WatchKEY的操作，完成与TimeCOS/PK卡和WatchKEY相关的签名认证、建立安全通道、表单签名，Outlook Express、Messenger下签名邮件、加密邮件等功能.

　3、结语

　IC卡自本世纪70年代问世以来，发展十分迅速，其应用领域日益广泛，也日益成熟。而PKI技术也将逐步集成到更多的操作系统和应用中去，并实现对用户的透明。利用PKI作为安全基础平台，使用数字证书实现网上各项工作的认证加密功能，必将是实现安全电子商务、政务的主要发展方向。将PKI技术发布的数字证书与IC卡技术巧妙结合后，提出的应用解决方案可以说是安全级别最高的网络安全应用解决方案.

　握奇数据系统有限公司在中国智能卡领域内占有绝对的优势，也是推动智能卡应用于中国电子政务领域的进程中无可争议的“领跑者”，握奇公司有着丰富的基于智能卡加PKI技术的成功应用经验，无论在产品质量上、供货保障、售后服务、长久的产品供应等各个方面，都可以为客户提供充分的服务保障.

　“把握奇迹，创造未来！”是握奇公司的口号，我们真诚的愿意与我公司的合作伙伴、国内各大CA厂商和我们广大客户团体，建立良好的合作关系共同努力，为实现美好的中国电子政务、电子商务市场的未来作出我们的贡献.