Transcript IC卡
第九章 公開金鑰基礎建設 課前指引 公開金鑰基礎建設(Public Key Infrastructure,PKI)是由 管理電子憑證的機構所組成,其中最重要的組成元素即為憑證 中心。本章針對PKI需求、IC卡應用方式及與政府部門在公開金 鑰基礎建設上的運作加以介紹,藉以引發PKI注入新科技時代的 必然需要。 章節大綱 9-1 網路安全機制需求 9-4 PKI現況與IC卡實用 9-2 導入PKI之規劃 9-5 自然人憑證 9-3 PKI之運作 9-6 結語 備註:可依進度點選小節 9-1 網路安全機制需求 由於網際網路的盛行與普及,網路人口迅速 的增加。電子商務的興起也使得許多的傳統 產業都已經將其產品及服務逐漸地轉為電子 化的形式以尋求更大的商機和利潤。 憑證中心(Certificate Authority,以下簡 稱CA)的機制在開放的網路環境中進行安全 交易更為重要,並扮演重要角色。所謂的憑 證機制就是運用公開金鑰密碼系統(或非對稱 式密碼系統),如RSA等技術,使得網路上的 兩端或使用者,能鑑定彼此的真實身份,達 到安全存取、交易的目的。 3 9-1 網路安全機制需求 公開金鑰基礎建設 PKI 運用公開金鑰及公開金鑰憑證以確保網路交易的安全性 及確認交易對方身分之機制。 機密性(Confidentiality) 鑑別性(Authentication) 完整性(Integrity) 不可否認性(Non-repudiation) 4 9-1 網路安全機制需求 CA架構的標準--X.509 簡單憑證(Simple Certificate) 一般性的「帳號/密碼」(Account/Password)的方式 強憑證(Strong Certificate) 公開金鑰密碼系統的方式 5 9-1 網路安全機制需求 樹狀認證架構 RCA CA1 CA2 6 9-1 網路安全機制需求 水平認證架構 David Mary Alice Tom Bob 7 9-1 網路安全機制需求 結合樹狀與水平架構的認證機制 8 9-1 網路安全機制需求 CA 公開金鑰憑證(Public Key Certificate,PKC) 公開金鑰密碼系統 內存基本資料及公開金鑰 數位簽章保護、防止偽造及竄改 9 9-1 網路安全機制需求 PKI的運作 1.任取質數p與q,求N=p*q。 2.求公開金鑰e,其中e滿足 gcd(e,(p-1)(q-1))=1 3. 求秘密金鑰d,其中的d滿足 e*d=1 mod (p-1)(q-1) 4. 公開e與N,並將d秘密保留。 10 9-2 導入PKI之規劃 預測PKI於市場之趨勢 評估企業是否導入PKI 導入PKI系統的障礙 11 9-3 PKI之運作 CA的運作流程 目 錄 伺 服 器 5 下載憑證或CRL 發佈憑證 PKC CRL 憑證註冊中心 交易端 申 請 1 憑 證 及 回 應 3 2 6 憑證審核及回應 4 註銷憑證發佈 其他憑證 管理中心 交互認證 憑證管理中心 12 9-3 PKI之運作 公開金鑰憑證內容 版本(Version) 序號(Serial Number) 簽章演算法(Signature) 發行者(Issuer) 有效日期(Validity) 主旨(Subject) 公開金鑰資訊(Subject’s Public Key Information) 發行者唯一識別碼(Issuer Unique ID) 金鑰持有人唯一識別碼(Subject Unique ID) 自行擴充欄位(Extension) 憑證簽章演算法(Signature Algorithm) 簽章值(Signature Value) 13 9-3 PKI之運作 憑證廢止清冊(CRL) (1) (2) (3) (4) (5) (6) (7) (8) (9) 版本序號。 簽章演算法。 憑證管理中心名稱。 本次發佈時間。 下次發佈時間。 廢止憑證串列。 廢止憑證清冊擴充資料。 簽章方法。 數位簽章 。 14 9-3 PKI之運作 SSL(瀏覽器)安全電子通訊的運作 ( a 1) 將主機憑證送至瀏覽器端 ( a 2) 客戶端瀏覽器會對 伺服器做身份鑑別的動作 (b) 產生對稱式金鑰 ( c ) 傳送已加密過的對稱式金鑰給主機 ( e ) 利用該金鑰傳送訊息 客戶端 ( d) 解開已加密過 的對稱式金鑰 商家 15 9-4 PKI現況與IC卡實用 IC卡特性: 安全性 方便性 應用多元化 離線(Off-Line)作業 個人資訊管理 16 9-4 PKI現況與IC卡實用 IC晶片卡的外觀 VCC RST GND CLK I/O RFU RFU 54mm VPP 厚度:0.76mm 86mm 17 9-4 PKI現況與IC卡實用 IC卡之構成要素 Reader I/0 Interface CPU Security Logical EEPROM (Application Data) ROM (Permanent Data) RAM (Temporary Data) 18 9-4 PKI現況與IC卡實用 IC卡接觸點的功能 接觸點 標記接觸點名稱 接觸點功能 C1 VCC(Supply Voltage) 提供IC卡運作所需的電源 C2 RST(Reset Signal) 提供IC卡所需的重設信號 C3 CLK(Clock Signal) 提供IC卡所需的脈衝信號 C4 RFU(Reserved for Future Use) 保留使用 C5 GND(Ground)0 電壓 C6 VPP(Programming Voltage) 提供IC卡寫入或刪除資料至非 揮發性記憶體時所需的電 壓 C7 I/O(Data Input/Output) 提供IC卡資料輸出及輸人 C8 RFU(Reserved for Future Use) 保留使用 19 9-4 PKI現況與IC卡實用 IC卡的內部架構 主要包含微處理器(MCU)及記憶體兩個部分, 由微處理器或記憶體與控制邏輯所組合而成的晶 片。 微處理單元主要含有一個可對資料進行運算處理 的中央處理器(CPU)、作業系統(Card OS,簡 稱COS)、以及臨時存放資料的隨機存取記憶體 (RAM). 而記憶體主要是含有可重寫資料的功能如EEPROM, 且能夠提供使用者存放資料的地方 20 9-4 PKI現況與IC卡實用 IC卡內部構造功能說明 類 別 控制處理單元(CPU) 微處理機 記憶體 功 能 運算、邏輯處理 Mask ROM (Read Only Memory) 控制、安全程式 RAM(Random Access Memory) 運算、邏輯處理區 I/O介面裝置(Input/Output) 讀寫介面處理 ROM (Read Only Memory) 唯讀記憶無法變更或消除 PROM (Programable ROM) 可程式化唯讀記憶體 EPROM(Erasable Programa ble 無法利用電流重寫資料記錄區 Rom) EEPROM(Electronic EPROM) 可利用電流重寫資料紀錄區 21 9-4 PKI現況與IC卡實用 IC卡的檔案階層架構 主檔案 (MF) 基本檔案 (EF) 基本檔案 (EF) 目錄檔案 (DF) … 基本檔案 (EF) … 目錄檔案 (DF) 目錄檔案 (DF) … 目錄檔案 (DF) … 基本檔案 (EF) 22 9-4 PKI現況與IC卡實用 IC卡的種類 依其運算及處理資料的能力區分:可分為「記憶 卡」及「晶片卡」 依讀卡界面區分:根據IC卡的使用方式,可分為 接觸式(contact)、感應式(contactless)、接觸 /感應合一式(Hybrid/Combi Card)三種 依使用系統區分:IC卡的作業系統有Java Card、 Multos Card及Global Platform等三種 23 9-4 PKI現況與IC卡實用 IC卡的分類 Smart Card Compinents Memory Card Contact Card Chip Card Interface OS Used Java Card Multos Card Global paltforms (GP) Contactless Card Hybrid/Combi Card Optical Card 24 9-4 PKI現況與IC卡實用 卡片種類 說 明 磁卡 經由刷卡動作,讀卡機之磁頭閱讀卡片上磁軌上的密碼,經解碼後釋出信號 產生反應,磁卡不易防偽,且易消磁、磨損,儲存容量小。 條碼卡 將條碼印刷或貼在卡片上面,利用刷卡動作,由讀卡機讀條碼所代表的數據 或符號,但條碼卡容易被複製且易髒損。 感應卡 採用電子迴路與感應線圈,利用讀卡機產生的振盪頻率,使卡片產生共振產 生感應電流發射訊號到讀卡機。讀卡機之接收訊號後解碼,較為方便迅速, 感應距離可由4吋至3呎不等,卡片不易被仿製,具防水功能,雖然造價較高 , 但其方便性與安全性較高。 IC卡 將晶片嵌入卡片中,經由插卡動作,讀卡機讀取晶片上之腳位,解碼並可將 所需之資料重新寫入晶片中,目前無法被複製,安全性極高。 記憶卡 僅含較高的記憶體容量(約16K Byte)儲存資料,無含軟體與韌體功能,不具 備控管作用,只能讀取,無驗證能力,安全性較低,用以取代小尺寸硬碟。 非接觸式 IC卡 擁有晶片及感應線圈,讀卡方式與感應卡相同,並可將新的資料重新寫入晶 片中,安全性與IC卡相同,但便利性則提高許多。 光卡 Optical Card 由半導體鐳射材料組成的,能夠儲存記錄並再生大量訊息,讀卡方式是由鐳 射照射下能讀取或寫入訊息,光卡具有體積小,便於隨身攜帶,訊息紀錄高 可靠性,容量大,抗電磁干擾性強,不易更改,守密性好等優點。 25 9-4 PKI現況與IC卡實用 比較項目 磁卡 條碼卡 感應卡 IC卡 非接觸式 IC卡 光卡 讀取方式 需接觸 不需接觸 不需接觸 需接觸 不需接觸 不需接觸 讀卡時間 約1秒 約1秒 約0.5秒 約1秒 約0.5秒 約0.5秒 卡片保存 壽命較短 易消磁 壽命較短 永久使用 永久使用 永久使用 卡片安全 可複製 可複製 不易偽造 無法偽造 無法偽造 無法偽造 卡片價格 低 低 高 高 維護費用 需更換 需常保養 毋需保養 需常保養 毋需保養 毋需保養 卡片讀/ 寫 讀 讀 /寫 讀 卡片容量 76 Bytes 讀 高 讀 /寫 1100 8~64K 76 Bytes Bytes Bytes 8~64K Bytes 最高 讀 /寫 4-6M bytes 26 9-4 PKI現況與IC卡實用 IC卡導入PKI之應用與績效實例 政府機構 ATM 金融機構 發卡單位 代理機構 KIOSK 圈存機 醫療機構 電子商務 公用電話 ETC 電子收費 行動電話 PDA 27 9-4 PKI現況與IC卡實用 金融交易系統 PKI之智慧IC卡安全防護功能優於磁卡保全系統 破解難度超越磁卡系統 可取代磁條所能執行的功能 電子錢包(Electronic Purse) 轉帳消費功能 28 9-4 PKI現況與IC卡實用 大眾運輸工具進行票證整合 1. 2. 3. 4. 可攜性 方便性 加速服務 安全性 29 9-4 PKI現況與IC卡實用 健診醫療系統 1. 2. 3. 4. 5. 建立稽核機制 保障病診醫療資訊的權益 提高醫療院/所醫療品質 落實健保轉診制度 建立個人醫療資訊安全與隱私的政策 30 9-4 PKI現況與IC卡實用 電子商務 企業競爭優勢的加強 大幅改變銷售通路 影響網路B2B的交易支付系統 提升國家整體競爭優勢 加速交易認證制度成熟 組織的改變轉型 組織學習 組織性質變革,提升競爭力 資訊安全的原理與觀念 31 9-4 PKI現況與IC卡實用 電子商務 消費者的效益 交易普及 獲得客戶相關知識 建立安全化電子商務機制 32 9-5 自然人憑證 工商機構 憑證中心 SCA-2 內政部 憑證中心 SCA-1 自然人憑證 代管憑證 相關法人 機構 SCA-3 政府憑證 總中心 GRCA 子機關單位憑 證伺服器軟體 憑證 公司行號憑證 各子機 關憑證 中心 SCA-4 33 9-5 自然人憑證 GRCA 負責SCA之憑證簽發及管理 訂定不同架構間的交互認證程序 公佈簽發憑證及CRL 自然人憑證 (1)以建置憑證中心的建置 (2)可帶動電子化政府的科技發展 34 9-6 結語 PKI的建置:大量的電子訊息/資金要在 網路上流通,其交易過程就必須要有一 個安全的交易環境 。 CA: 信賴且穩定的認證機制來確認交易雙方身份真實 性 。 問題:成本考量/技術能力/組織調整。 自然人憑證:隱私與安全問題。 35 本章結束 Q&A討論時間 36