一種多應(yīng)用智能卡數(shù)據(jù)的保護(hù)方法

楊小寶，謝 璇，肖躍雷

（西安郵電大學(xué) 物聯(lián)網(wǎng)與兩化融合研究院，陜西 西安 710061）

隨著微型電子技術(shù)和軟件技術(shù)的發(fā)展，智能卡的發(fā)展和應(yīng)用在各個(gè)領(lǐng)域成倍增長(zhǎng)，如2004年，波蘭市民卡[1]被成功的應(yīng)用生活之中；2011年7月，中國(guó)國(guó)家原衛(wèi)生部發(fā)布了《居民健康卡技術(shù)規(guī)范》，推行多應(yīng)用智能卡片的應(yīng)用；2013年2月中國(guó)人民銀行正式頒發(fā)《中國(guó)金融集成電路（IC）卡規(guī)范》（JR/T 0025—2010）第三版行業(yè)標(biāo)準(zhǔn)，（業(yè)內(nèi)簡(jiǎn)稱PBOC3.0），推動(dòng)磁條卡向IC卡的應(yīng)用等。不論是行業(yè)市場(chǎng)的發(fā)展，還是政府的政策制定，智能卡開始從單應(yīng)用向一卡通或“一卡多用”方向發(fā)展。但是，在當(dāng)今木馬、病毒盛行和黑客的頻繁攻擊下，智能卡本身以及多應(yīng)用智能卡的數(shù)據(jù)訪問都存在一定的安全問題，如常見物理攻擊[2]、旁路攻擊[3]和邏輯攻擊等。本文只討論邏輯攻擊，它是指通過分析智能卡通信過程中潛在的邏輯缺陷，如分析密碼算法實(shí)現(xiàn)過程中存在的隱藏命令、壞的參數(shù)、緩沖區(qū)溢出，以及卡片明文數(shù)據(jù)交互等，實(shí)現(xiàn)對(duì)卡的非法訪問；多應(yīng)用智能卡本身亦存在偽讀卡終端和行業(yè)合法讀卡終端的共享模式下的非法訪問。面對(duì)這些攻擊和潛在的安全漏洞，如何實(shí)現(xiàn)卡內(nèi)數(shù)據(jù)的安全訪問成為問題的關(guān)鍵。針對(duì)這個(gè)問題，國(guó)內(nèi)外的安全專家給出了一些解決方案，如Sandeep K.Sood等提出的智能卡安全和密鑰管理方案[4]，基于PKI的RSA的密鑰管理改進(jìn)的認(rèn)證方法[5]，Global Platform規(guī)范提供的多應(yīng)用管理安全框架[6]等，但是這些方案要么是針對(duì)單一應(yīng)用智能卡，要么是算法效率低不能滿足當(dāng)前多應(yīng)用智能卡的特性。本文在分析多應(yīng)用智能卡文件系統(tǒng)的基礎(chǔ)上，基于橢圓曲線算法，提出了一種適合多應(yīng)用智能卡的數(shù)據(jù)訪問保護(hù)方法。

1 多用應(yīng)用智能卡數(shù)據(jù)存儲(chǔ)文件模塊

智能卡的操作系統(tǒng)（Card Operating System，COS）管理著卡上的信息資源，包括通信管理模塊、安全管理模塊、應(yīng)用處理模塊，文件管理模塊。要解決邏輯攻擊和非法讀卡端訪問模式下數(shù)據(jù)存儲(chǔ)存的安全問題，首先要了解多應(yīng)用智能卡的數(shù)據(jù)存儲(chǔ)文件系統(tǒng)。智能卡的COS文件系統(tǒng)結(jié)構(gòu)[7]包括主文件（Master File，MF）；專用文件（Dedicated File，DF）和基本文件（Elementary File，EF）。其中，MF對(duì)任何COS都是必需的，它包含文件控制信息及可分配存儲(chǔ)區(qū)，是COS文件的根目錄。EF也是COS必需的，它用來存儲(chǔ)的數(shù)據(jù)單元或記錄，在文件系統(tǒng)的最底層。DF是一種通用目錄，非必需，它主要存儲(chǔ)文件的控制信息、文件的位置、大小等，如私鑰、公鑰、透明文件、控制文件等。但是在多應(yīng)用智能卡的COS系統(tǒng)中，DF主要作為行業(yè)應(yīng)用的目錄，是必須的，文件系統(tǒng)結(jié)構(gòu)如圖1所示。

圖1 多應(yīng)用智能卡文件系統(tǒng)結(jié)構(gòu)

2 多應(yīng)用智能卡的安全系統(tǒng)及狀態(tài)

2.1 多應(yīng)用智能卡的安全系統(tǒng)

多應(yīng)用智能卡通過內(nèi)置的安全系統(tǒng)實(shí)現(xiàn)對(duì)上述內(nèi)部資源的安全保護(hù)，每個(gè)文件都有相互關(guān)聯(lián)的的安全條件，包括請(qǐng)求相互的身份驗(yàn)證、密碼驗(yàn)證等，總體包含3個(gè)部分：安全狀態(tài)，安全屬性和安全機(jī)制。

1）安全狀態(tài)

智能卡有全球、應(yīng)用特定、文件特有和命令特定4個(gè)安全狀態(tài)，具體定義請(qǐng)參考規(guī)范ISO/IEC 7816-4。

2）安全屬性

文件系統(tǒng)的安全屬性至關(guān)重要，安全屬性定義哪些行為在什么條件下是被允許的，除一些特殊文件，一般文件的安全屬性依賴于它的類別（DF或EF），被標(biāo)注在可選的文件控制信息（File Control Information，F(xiàn)CI）文件中或父文件中。

3）安全機(jī)制

多應(yīng)用智能卡中的安全機(jī)制包括：卡和應(yīng)用PIN碼驗(yàn)證、內(nèi)部認(rèn)證、外部認(rèn)證。當(dāng)訪問命令的安全條件得到滿足，COS提高到相應(yīng)的安全狀態(tài)，然后檢查安全狀態(tài)是否符合待訪問文件的安全屬性。例如，當(dāng)持卡人進(jìn)行某個(gè)應(yīng)用操作時(shí)，就必須進(jìn)行PIN碼驗(yàn)證及內(nèi)、外部認(rèn)證的組合使用。

2.2 多應(yīng)用智能卡的安全狀態(tài)

雖然目前智能卡的安全機(jī)制可以保障信息安全，但對(duì)于無密鑰證書保護(hù)的多應(yīng)用智能卡，終端的安全得不到有效的保護(hù)，攻擊者可能繞過多應(yīng)用智能卡的安全機(jī)制，直接訪問或者攻擊卡內(nèi)信息。例如，智能卡訪問是由讀卡終端管理，攻擊者可以利用合法終端在獨(dú)占模式下的邏輯缺陷，通過某種類型的變化進(jìn)行攻擊，如通過連續(xù)返回值變化測(cè)定訪問命令，隱藏命令進(jìn)程注入、內(nèi)核注入等方式的非法信息的讀寫；智能卡在共享模式打開時(shí)，合法的程序中完成安全檢查，同時(shí)，一個(gè)非法終端也對(duì)智能卡進(jìn)行訪問，就能繞過安全檢查，敏感的信息可能會(huì)被讀取、覆蓋、或更換；合法行業(yè)終端在共享模式下，沒有密鑰的許可和消息來源驗(yàn)證，對(duì)其他業(yè)的數(shù)據(jù)進(jìn)行跨界非法讀取、刪除或篡改等。為有效阻止上述安全隱患，本文基于橢圓曲線公私密鑰算法，提出適合多應(yīng)用智能卡的密鑰證書讀卡端認(rèn)證和數(shù)據(jù)安全會(huì)話的保護(hù)機(jī)制。

3 基于密鑰證書的保護(hù)機(jī)制

對(duì)于多行業(yè)終端設(shè)備訪問的多應(yīng)用智能卡數(shù)據(jù)保護(hù)，主要分為兩個(gè)部分，前期為卡片出廠后多行業(yè)的發(fā)卡，包括密鑰證書生成、DF目錄創(chuàng)建、數(shù)據(jù)的寫入加載等；后期是以密鑰證書為基礎(chǔ)，通過橢圓曲線算法實(shí)現(xiàn)行業(yè)訪問卡內(nèi)本行業(yè)目錄數(shù)據(jù)的安全會(huì)話機(jī)制部分，包括公私鑰加解密方式的行業(yè)特定標(biāo)識(shí)與卡內(nèi)對(duì)應(yīng)目錄DF的身份認(rèn)證、會(huì)話密鑰協(xié)商以及數(shù)字簽名，和基于3DES算法的密文會(huì)話等安全措施。本節(jié)針對(duì)卡和卡內(nèi)應(yīng)用，研究基于橢圓曲線算法的密鑰證書的算法原理、證書生成、初始安全加載等。

3.1 密鑰證書的分類概述

據(jù)前文分析和圖1所示文件系統(tǒng)結(jié)構(gòu)可知，在多應(yīng)用智能卡中至少需要設(shè)計(jì)兩級(jí)多個(gè)密鑰證書。一級(jí)可證書是MF下的密鑰證書，記作CertM，主要實(shí)現(xiàn)卡片發(fā)行機(jī)構(gòu)控制MF下的DF、EF創(chuàng)建刪除以及數(shù)據(jù)信息的訪問等卡管理級(jí)別的命令安全；二級(jí)證書是DF下的密鑰證書，記作CertD1，CertD2，…，CertDN，主要實(shí)現(xiàn)行業(yè)應(yīng)用DF下的DF、EF等文件的創(chuàng)建刪除、數(shù)據(jù)的訪問安全等。該密鑰證書至少包含兩類密鑰對(duì)，一類用于信息加解密，即通常所謂的加密/解密公/私密鑰對(duì)，稱為E_PK/E_SK，另一對(duì)用于信息的數(shù)字簽名，即數(shù)字簽名的公私密鑰對(duì)，稱為S_PK/S_SK。在多應(yīng)用智能卡中，卡管理和應(yīng)用級(jí)別的私鑰均直接以證書密文形式保存在MF和DF下EFCertM中。

3.2 證書的生成

多應(yīng)用智能卡中的密鑰證書，可由卡機(jī)構(gòu)、應(yīng)用機(jī)構(gòu)或者第三方證書授權(quán)中心（Certificate Authority，CA）生成。本文基于中國(guó)國(guó)家密碼管理局2010年12月17日發(fā)布的橢圓曲線算法SM2[8]，生成公私密鑰對(duì)，由CA把申請(qǐng)者的公鑰和用戶其他信息（如名稱、電子郵件、身份證號(hào)等）捆綁在一起，產(chǎn)生、管理、存儲(chǔ)、發(fā)布以及作廢證書等。下面以SM2橢圓算法生成CertM中的E_PKM/E_SKM，S_PKM/S_SKM密鑰為例，敘述算法原理和密鑰生成過程。

定義在素域Fp（p是大于3的素?cái)?shù)）的橢圓曲線方程E為

式中：（x，y）為曲線的點(diǎn)坐標(biāo)；a，b為Fp域上的元素；mod p表示做模p運(yùn)算。

則橢圓曲線E（Fp）定義為Fp上的所有有理點(diǎn)P（x，y）與O（無窮遠(yuǎn)點(diǎn)）組成的集合

根據(jù)上述定義以及SM2算法的安全規(guī)定，橢圓曲線E的參數(shù)為（p，a，b，P，n），其中p是一個(gè)大于2191奇素?cái)?shù)，a、b是有限域E（Fp）橢圓曲線上的元素，為小于p的非負(fù)整數(shù)，P（x，y）是曲線E上的一個(gè)基點(diǎn)，n為P點(diǎn)的階（橢圓上點(diǎn)的數(shù)目），是一個(gè)和p大小相當(dāng)?shù)拇笏財(cái)?shù)，則滿足式（2）的有理點(diǎn)P（x，y）和無窮點(diǎn)O就組成了橢圓曲線E。 因此，確定整數(shù)k∈[0，n-1]，使得Q=[k]*P成立的求解問題稱為橢圓曲線離散對(duì)數(shù)的問題（ECDLP），以此建立安全的橢圓密碼系統(tǒng)。

在橢圓曲線參數(shù)確定后，用隨機(jī)數(shù)發(fā)生器產(chǎn)生整數(shù)d∈[1，n-1]，通過基點(diǎn)P，計(jì)算點(diǎn)Q=（xP，yP）=[d]*P，使Q為橢圓曲線E上點(diǎn)，則E_SKM=d為私鑰，E_PKM=Q為公鑰.同理，可以生成簽名密鑰對(duì)S_PKM/S_SKM。卡發(fā)行機(jī)構(gòu)將公鑰及相關(guān)信息發(fā)送CA，由CA簽發(fā)CertM證書，簽發(fā)過程參看相關(guān)資料[9]。

同樣，行業(yè)應(yīng)用機(jī)構(gòu)通過CA或者自己按照上述原理可生成CertD1，CertD2，…，CertDN等卡片上的行業(yè)應(yīng)用證書，以供持卡人完成驗(yàn)證。

3.3 密鑰證書和數(shù)據(jù)的加載

按照多應(yīng)用智能卡證書分類和文件系統(tǒng)結(jié)構(gòu)，CA簽發(fā)的密鑰證書和卡與行業(yè)應(yīng)用數(shù)據(jù)的安全加載分為兩個(gè)階段：

1）CertM密鑰證書和卡發(fā)行機(jī)構(gòu)數(shù)據(jù)的初始加載：如圖2所示加載過程，卡發(fā)行機(jī)構(gòu)獲得出廠卡片和出廠授權(quán)卡后，通過卡片隨機(jī)數(shù)ECC加密后密文的Hash值對(duì)比驗(yàn)證，獲得卡片的讀寫權(quán)限，在MF下，創(chuàng)建卡發(fā)行機(jī)構(gòu)的EF（CertM）密鑰證書和其他DIR，F(xiàn)CI，EF等數(shù)據(jù)文件，使得卡片稱為發(fā)行機(jī)構(gòu)控制的白卡。

圖2 CertM密鑰證書初始加載認(rèn)證流程

初始加載后的多應(yīng)用智能卡文件系統(tǒng)結(jié)構(gòu)如圖3所示。

圖3 CertM加載后的文件結(jié)構(gòu)

2）CertD1，CertD2，…，CertDN等行業(yè)應(yīng)用密鑰證書和數(shù)據(jù)的初始加載：行業(yè)應(yīng)用發(fā)行機(jī)構(gòu)獲得卡發(fā)行機(jī)構(gòu)的授權(quán)密鑰和白卡，通過類似圖2所示的身份鑒別，獲得對(duì)卡MF的訪問權(quán)限，創(chuàng)建行業(yè)的DF目錄和文件，寫入行業(yè)的Cert密鑰證書和相關(guān)數(shù)據(jù)信息，驗(yàn)證過程中所使用加密密鑰為CertM證書中的公鑰。各行業(yè)應(yīng)用發(fā)行機(jī)構(gòu)加載多個(gè)行業(yè)應(yīng)用后的智能卡文件結(jié)構(gòu)如圖1所示。

3.4 密鑰證書的更新與撤銷

當(dāng)卡發(fā)行機(jī)構(gòu)和行業(yè)應(yīng)用機(jī)構(gòu)完成密鑰證書數(shù)據(jù)文件的安全初始加載后，持卡人就可以在行業(yè)柜臺(tái)完成個(gè)人數(shù)據(jù)的個(gè)人化，進(jìn)行使用。其后，多應(yīng)用智能卡各級(jí)目錄下密鑰證書的更新由相應(yīng)機(jī)構(gòu)來操作。如存在于MF下的CertM，是由卡片發(fā)行機(jī)構(gòu)通過來自身驗(yàn)證來完成證書的更新與撤銷，證書撤銷標(biāo)志卡片生命周期結(jié)束；DF下的密鑰證書，除初始加載必須通過MF下密鑰證書的密鑰鑒別驗(yàn)證外，以后的使用、更新、撤銷均由相對(duì)應(yīng)的行業(yè)機(jī)構(gòu)使用自身密鑰來簽名驗(yàn)證，DF下的該Cert被撤銷標(biāo)志該行業(yè)應(yīng)用生命周期結(jié)束，所有的更新與撤銷操作必須通過各自的密鑰的身份鑒別后完成。

4 終端設(shè)備對(duì)數(shù)據(jù)的安全訪問

持卡人在進(jìn)行行業(yè)業(yè)務(wù)應(yīng)用過程時(shí)，終端設(shè)備與多應(yīng)用智能卡進(jìn)行會(huì)話，經(jīng)過圖4所示流程，按照規(guī)范ISO/IEC 7816-4給卡片的加電、協(xié)商通信、選擇行業(yè)應(yīng)用標(biāo)識(shí)符（Application Identifier，AID），啟動(dòng)行業(yè)應(yīng)用程序，建立基行業(yè)會(huì)話通道。這時(shí)在前文密鑰證書的基礎(chǔ)上需要建立與對(duì)應(yīng)的安全會(huì)話通道，包括基于SM2密鑰證書的行業(yè)讀卡端與卡的認(rèn)證、密鑰協(xié)商、DES密文會(huì)話和數(shù)字簽名及驗(yàn)簽等。

圖4 行業(yè)讀卡端與多應(yīng)用卡的安全會(huì)話

4.1 行業(yè)讀卡端與卡的認(rèn)證

行業(yè)讀卡終端與卡的認(rèn)證是通過卡內(nèi)該行業(yè)應(yīng)用程序調(diào)用對(duì)應(yīng)證書中的固定內(nèi)容驗(yàn)證來完成的。IDA（行業(yè)特定標(biāo)識(shí)符）是CA在給行業(yè)簽發(fā)密鑰證書時(shí)寫入Cert中的內(nèi)容。行業(yè)讀卡端使用智能卡ECC公鑰對(duì)IDA加密后，傳送給智能卡，由于智能卡擁有針對(duì)該行業(yè)自己的私鑰，所以只有智能卡卡內(nèi)該行業(yè)應(yīng)用程序，才能夠解密出該標(biāo)識(shí)符，然后通過比較解密出的消息與該行業(yè)證書中的特定標(biāo)識(shí)符來完成驗(yàn)證。根據(jù)密鑰生成原理，假設(shè)行業(yè)讀卡端為A，使用智能卡內(nèi)對(duì)應(yīng)行業(yè)的公鑰E_PKB，對(duì)IDA進(jìn)行加密并傳送給智能卡內(nèi)應(yīng)用程序B，B利用自己的私鑰E_SKB解密出原始信息。其加密和解密過程如下：

1）ECC加密過程：A使用 B的E_PKB將IDA通過加密后發(fā)送給B。

（1）用隨機(jī)數(shù)發(fā)生器產(chǎn)生隨機(jī)數(shù)k∈[1，n-1]；

（2）計(jì)算：C1=k*P，其中*指k個(gè)P相加運(yùn)算；

（3）計(jì)算：C2=IDA+k*E_PKB；

（4）密文C是一個(gè)點(diǎn)對(duì){C1，C2}。

思想政治教育接受研究是思想政治教育研究的重要內(nèi)容之一，它改變了過去僅以“授”為考慮的研究思路，凸顯“受”的規(guī)律探討的重要性，具體探討思想政治教育接受中存在的問題、隱含的規(guī)律。它的理論前提是受教育者主體性的發(fā)現(xiàn)，它的理論背景是市場(chǎng)經(jīng)濟(jì)條件下人的生存方式的改變，它的研究目的是在新的時(shí)代背景下如何提升思想政治教育的實(shí)效性。

2）ECC解密過程：智能卡內(nèi)該行業(yè)應(yīng)用程序B使用自己的私鑰E_SKB，解密密文C。

（1）計(jì)算：C′=IDA+k*E_PKB–E_SKB*（C1）；

（2）根據(jù)ECC密鑰對(duì)產(chǎn)生的原理：E_PKB=E_SKB*P，代入步驟（1）；

（3）則解密明文：C′=IDA+k*E_PKB-E_SKB*C1=IDA+k*（E_SKB*P）-E_SKB*（k*P）=IDA。

（4）智能卡內(nèi)行業(yè)程序提取行業(yè)CertDN中的IDA，比較C′和IDA，如果匹配則是合法卡片，否則為偽造卡片。

使用相同方法，卡片可以逆向驗(yàn)證行業(yè)端卡是否合法。

4.2 會(huì)話密鑰協(xié)商

當(dāng)雙方身份鑒定合法，行業(yè)讀卡端A與卡內(nèi)行業(yè)應(yīng)用程序B通過4.1節(jié)的加密方式，用各自的私鑰和對(duì)方的公鑰商定一個(gè)只有他們知道的會(huì)話密鑰，用以業(yè)務(wù)密文會(huì)話使用。由前文確定的橢圓曲線參數(shù)可知，密鑰協(xié)商過程如下：

1）A執(zhí)行

（1）隨機(jī)生成kA∈{1，…，n-l}，計(jì)算SA=kA*P；

（3）隨機(jī)選取FP的曲線中的元素XA；

（4）計(jì)算：TA=RA⊕XA，其中⊕指等長(zhǎng)兩個(gè)比特串按位做異或運(yùn)算；

（5）將（TA，SA）發(fā)送給B，A自己保存kA，XA。

2）B執(zhí)行

（1）隨機(jī)生成kB∈{1，…，n-l}，計(jì)算.SB=kB*P；

（2）利用kB計(jì)算：RB=kB*E_PKA；

（3）隨機(jī)選取FP的曲線中的元素XB；

（4）計(jì)算：TB=RB⊕XB；

（5）發(fā)送（TB，SB）給A，B自己保存kB，XB。

3）A收到（TB，SB）后

（1）利用E_SKA和SB計(jì)算：RB=TB⊕（E_SKA*SB）；

（2）計(jì)算：S=RB⊕XA；

（3）取H（S，kA*SB）為會(huì)話密鑰，H為哈希函數(shù)。

4）B收到（TA，SA）后

（1）利用E_SKB和SA計(jì)算：RA=TA⊕（E_SKB*SA）；

（2）計(jì)算：S=RA⊕XB；

（3）取_K=H（S，kB*SA）為會(huì)話密鑰。

由 E_PKA=E_SKA*P 和 E_PKB=E_SKB*P，可知 RA=XA，RB=XB，即A與B最終獲得一個(gè)共同的會(huì)話密鑰_K，將其作為DES對(duì)稱密碼算法的密文會(huì)話密鑰。由于該密鑰的隨機(jī)信息被雙方的私鑰所保護(hù)，所以攻擊者進(jìn)行請(qǐng)求攻擊會(huì)話時(shí)，無法獲得所求會(huì)話密鑰的任何信息。

4.3 行業(yè)應(yīng)用的安全會(huì)話

為防止在共享模式下其他行業(yè)合法終端繞過身份驗(yàn)證的越界訪問和數(shù)據(jù)傳輸?shù)拿魑男孤?，?duì)行業(yè)讀卡端發(fā)送卡片的命令或數(shù)據(jù)做數(shù)字簽名[10]后，以DES密文形式發(fā)送，并由卡內(nèi)行業(yè)應(yīng)用程序解密，驗(yàn)證來源的合法性和可靠性后再進(jìn)行數(shù)據(jù)處理，密文會(huì)話密鑰采用3.2節(jié)生成的臨時(shí)會(huì)話密鑰_K，簽名密鑰對(duì)為行業(yè)Cert中保存的S_PK/S_SK，其中私鑰S_SK做簽名使用，公鑰S_PK做驗(yàn)簽使用，整個(gè)安全會(huì)話過程如圖5所示。

圖5 數(shù)字簽名與密文的安全會(huì)話

設(shè)行業(yè)讀卡端A待簽名的發(fā)送消息為M，行業(yè)特定標(biāo)識(shí)符為IDA，生成的數(shù)字簽名為（R，S），則：

1）行業(yè)讀卡端A產(chǎn)生簽名

（1）計(jì)算：_M=M||IDA，其中||指兩個(gè)字符串拼接；

（2）計(jì)算哈希值：E=H（_M）；

（3）用隨機(jī)發(fā)生器產(chǎn)生隨機(jī)數(shù)k∈[1，n-1]；

（4）計(jì)算橢圓曲線點(diǎn)：G（x1，y1）=[k]*P（xA，yA）；

（5）計(jì)算：R=（E+x1）mod n，若R=0或者R+k=n，則返回（3）；

（6）計(jì)算：S=（（1+S_SKA）-1*（k-R*S_SKA））mod n，S≠0發(fā)送消息M的簽名為（R，S），否則返回（3）。

2）讀卡端DES算法以密鑰_K產(chǎn)生的密文

C=EK（_M+（R，S），_K），其中EK（）為DES算法的加密函數(shù)，具體加密過程參考文獻(xiàn)[11]。

3）卡內(nèi)行業(yè)應(yīng)用B以_K解密的DES明文

C′=_M′+（R，S）=DK（C，_K），其中DK（）為DES算法的解密函數(shù)，具體解密過程參考文獻(xiàn)[11]。

4）卡內(nèi)行業(yè)應(yīng)用程序B接收的消息為M′，接收消息的簽名為（R′，S′），則接收消息的驗(yàn)簽過程為：

（1）檢驗(yàn) S′∈[1，n-1]與 S′∈[1，n-1]兩者是否成立，若有一個(gè)不成立則驗(yàn)簽失敗。

（2）計(jì)算：_M′=IDA||M′。

（3）計(jì)算哈希值：E′=H（_M′）。

（4）計(jì)算：T=（R′+S′）mod n，若T=0，則驗(yàn)證不通過。

（5）計(jì)算橢圓曲線點(diǎn)：G′（x′1，y′1）=[S′]*G+[T]*S_PKA。

（6）計(jì)算：_R=（E′+x′1）mod n，檢驗(yàn)_R=R′是否成立，若成立則驗(yàn)簽成功；否則失敗。

當(dāng)驗(yàn)簽成功，則可確定行業(yè)讀卡端A發(fā)送而來的命令或者數(shù)據(jù)來源合法有效，卡內(nèi)程序B進(jìn)行數(shù)據(jù)處理或者下一步操作；否則，反饋錯(cuò)誤應(yīng)答。

4.4 PIN碼認(rèn)證

多應(yīng)用智能卡中各行業(yè)應(yīng)用可以設(shè)置不同或者相同的PIN碼，通過PIN碼驗(yàn)證，能夠確認(rèn)持卡人與卡的合法關(guān)系，但對(duì)終端設(shè)備訪問卡內(nèi)數(shù)據(jù)的安全性無關(guān)，因此本文不在贅述，其驗(yàn)證過程請(qǐng)參考資料[12]。

5 結(jié)果分析

由前文章節(jié)可知，本文所設(shè)計(jì)的保護(hù)方法，前期階段處于MF下的CertM密鑰認(rèn)證，嚴(yán)格保護(hù)了各行業(yè)卡上應(yīng)用、密鑰證書、和數(shù)據(jù)的安全加載，使得各方數(shù)據(jù)處于不同DF的物理隔離狀態(tài)，加載后各行業(yè)的數(shù)據(jù)訪問、證書更新、作廢等，由各自的密鑰證書進(jìn)行密鑰認(rèn)證，主密鑰證書CertM不再起作用，保證了行業(yè)后臺(tái)系統(tǒng)與卡中行業(yè)應(yīng)用程序通信環(huán)境的獨(dú)立性和安全性。在后期持卡人應(yīng)用階段，即行業(yè)終端對(duì)卡內(nèi)應(yīng)用數(shù)據(jù)的安全會(huì)話階段，基于ECC密鑰證書提供了的各行業(yè)讀卡端設(shè)備與卡應(yīng)用的身份驗(yàn)證機(jī)制，防止非法的偽讀卡終端對(duì)卡中行業(yè)數(shù)據(jù)的非法讀??；基于臨時(shí)會(huì)話密鑰的DES算法密文會(huì)話，有效防止會(huì)話過程中數(shù)據(jù)信息的明文泄露和命令參數(shù)重放分析的風(fēng)險(xiǎn)；而在共享模式下，對(duì)合法終端的發(fā)送訪問命令和數(shù)據(jù)信息得簽名認(rèn)證，可以保證數(shù)據(jù)和命令的合法可靠性，防止非法終端的繞行攻擊和合法終端的越界訪問。這些保護(hù)措施可以使各行業(yè)的數(shù)據(jù)交互在安全的通道中進(jìn)行。

另外，本方案中采用的ECC算法密碼體制，與現(xiàn)有智能卡應(yīng)用的RSA＆DSA算法相比[13]，在同等安全級(jí)別下，ECC算法需要的密鑰很小。例如RSA＆DSA要求模長(zhǎng)為1 024 bit，而對(duì)于ECC模長(zhǎng)160 bit就已足夠，并且當(dāng)密鑰長(zhǎng)度增加時(shí)，ECC比RSA/DSA的安全性增加要快得多，240 bit密鑰長(zhǎng)的ECC比2 048 bit模長(zhǎng)的RSA/DSA安全。在與DES算法相結(jié)合做加解密運(yùn)算的時(shí)間效率上，密鑰長(zhǎng)160 bit的ECC比密鑰長(zhǎng)1 024 bit的RSA耗時(shí)更短。這提高現(xiàn)行行業(yè)終端設(shè)備對(duì)卡的訪問效率，并變相地提高對(duì)卡數(shù)據(jù)訪問的安全性。

6 結(jié)束語

本文基于ECC算法的密鑰證書對(duì)數(shù)據(jù)的保護(hù)方法，滿足當(dāng)前Java卡、類Java卡和Multos卡等多應(yīng)用智能卡片的安全要求，可以效地消除所存在的邏輯攻擊隱患。該方法主要保護(hù)卡發(fā)行機(jī)構(gòu)、行業(yè)應(yīng)用機(jī)構(gòu)、持卡人與卡之間的信息進(jìn)行安全交互，限制非法終端的攻擊和合法終端的跨界非法訪問。在軟硬件實(shí)現(xiàn)方面，該方法中使用的ECC算法密碼機(jī)制較其他算法機(jī)制具有運(yùn)算速度快、易實(shí)現(xiàn)和成本低的優(yōu)勢(shì)，更適合容量和運(yùn)算速度受限的多應(yīng)用智能卡。因此，該方法對(duì)多應(yīng)用智能卡的安全應(yīng)用和發(fā)展具有重要意義。

[1] BANASZAK B，RODZIEWICZ K.Trust and security，digital citizen cards in Poland[M].[S.l.]：Springer Berlin Heidelberg，2004.

[2]MARKANTONAKIS K，TUNSTALL M，HANCKE G，et al.Attacking smart card systems：theory and practice[J].Information Security Technical Report，2009，14（2）：46-56.

[3] STANDAERT F X.Introduction to side-channel attacks[M].[S.l.]：Springer Berlin Heidelberg，2010.

[4] SOOD S K.An Improved and secure smart card based dynamic identity authentication protocol[J].IJ Network Security，2012，14（1）：39-46.

[5]LU C，SANTOSA L M，PIMENTEL F R.Implementation of fast RSA key generation on smart cards[C]//Proc.2002 ACM symposium on Applied computing.[S.l.]：ACM Press，2002：214-220.

[6] PLATFORM G.Global platform card specifications，version 2.2[S].2006.

[7] ISO/IEC7816-4：2005（E），Identification cards--Integrated circuit cards--Part 4：Organization security and commands for interchange[S].2005.

[8] NIU Y C.Fast implementation of public key cryptographic algorithm sm2 based on elliptic curves[D].Jinan：Shandong University，2013.

[9]MALAN D J，WELSH M，SMITH M D.A public-key infrastructure for key distribution in TinyOS based on elliptic curve cryptography[C]//Proc.2004 First Annual IEEE Communications Society Conference on Sensor and Ad Hoc Communications and Networks.[S.l.]：IEEE Press，2004：71-80.

[10]JOHNSON D，MENEZES A，VANSTONE S.The elliptic curve digital signature algorithm（ECDSA）[J].International Journal of Information Security，2001，1（1）：36-63.

[11]AKKAR M L，GIRAUD C.An implementation of DES and AES，secure against some attacks[C]//Proc.Cryptographic Hardware and Embedded Systems—CHES 2001.[S.l.]：Springer Berlin Heidelberg，2001：309-318.

[12] TAKADA T，KOKUBUN Y.Extended PIN authentication scheme allowing multi-touch key input[C]//Proc.International Conference on Advances in Mobile Computing＆Multimedia.[S.l.]：ACM Press，2013：307.

[13]SAVARI M，MONTAZEROLZOHOUR M，THIAM Y E.Comparison of ECC and RSA algorithm in multipurpose smart card application[C]//Proc.2012 International Conference on Cyber Security，Cyber Warfare and Digital Forensic.Kuala Lumpur：IEEE Press，2012：49-53.