IC卡

Report
第九章 公開金鑰基礎建設
課前指引
公開金鑰基礎建設(Public Key Infrastructure,PKI)是由
管理電子憑證的機構所組成,其中最重要的組成元素即為憑證
中心。本章針對PKI需求、IC卡應用方式及與政府部門在公開金
鑰基礎建設上的運作加以介紹,藉以引發PKI注入新科技時代的
必然需要。
章節大綱
9-1 網路安全機制需求
9-4 PKI現況與IC卡實用
9-2 導入PKI之規劃
9-5 自然人憑證
9-3 PKI之運作
9-6 結語
備註:可依進度點選小節
9-1 網路安全機制需求
由於網際網路的盛行與普及,網路人口迅速
的增加。電子商務的興起也使得許多的傳統
產業都已經將其產品及服務逐漸地轉為電子
化的形式以尋求更大的商機和利潤。
憑證中心(Certificate Authority,以下簡
稱CA)的機制在開放的網路環境中進行安全
交易更為重要,並扮演重要角色。所謂的憑
證機制就是運用公開金鑰密碼系統(或非對稱
式密碼系統),如RSA等技術,使得網路上的
兩端或使用者,能鑑定彼此的真實身份,達
到安全存取、交易的目的。
3
9-1 網路安全機制需求
公開金鑰基礎建設
PKI
運用公開金鑰及公開金鑰憑證以確保網路交易的安全性
及確認交易對方身分之機制。
機密性(Confidentiality)
鑑別性(Authentication)
完整性(Integrity)
不可否認性(Non-repudiation)
4
9-1 網路安全機制需求
CA架構的標準--X.509
簡單憑證(Simple Certificate)
一般性的「帳號/密碼」(Account/Password)的方式
強憑證(Strong Certificate)
公開金鑰密碼系統的方式
5
9-1 網路安全機制需求
樹狀認證架構
RCA
CA1
CA2
6
9-1 網路安全機制需求
水平認證架構
David
Mary
Alice
Tom
Bob
7
9-1 網路安全機制需求
結合樹狀與水平架構的認證機制
8
9-1 網路安全機制需求
CA
公開金鑰憑證(Public Key Certificate,PKC)
公開金鑰密碼系統
內存基本資料及公開金鑰
數位簽章保護、防止偽造及竄改
9
9-1 網路安全機制需求
PKI的運作
1.任取質數p與q,求N=p*q。
2.求公開金鑰e,其中e滿足
gcd(e,(p-1)(q-1))=1
3. 求秘密金鑰d,其中的d滿足
e*d=1 mod (p-1)(q-1)
4. 公開e與N,並將d秘密保留。
10
9-2 導入PKI之規劃
預測PKI於市場之趨勢
評估企業是否導入PKI
導入PKI系統的障礙
11
9-3 PKI之運作
CA的運作流程
目
錄
伺
服
器
5
下載憑證或CRL
發佈憑證
PKC
CRL
憑證註冊中心
交易端
申
請
1 憑
證
及
回
應
3
2
6
憑證審核及回應
4
註銷憑證發佈
其他憑證
管理中心
交互認證
憑證管理中心
12
9-3 PKI之運作
公開金鑰憑證內容
版本(Version)
序號(Serial Number)
簽章演算法(Signature)
發行者(Issuer)
有效日期(Validity)
主旨(Subject)
公開金鑰資訊(Subject’s Public Key
Information)
發行者唯一識別碼(Issuer Unique ID)
金鑰持有人唯一識別碼(Subject Unique ID)
自行擴充欄位(Extension)
憑證簽章演算法(Signature Algorithm)
簽章值(Signature Value)
13
9-3 PKI之運作
憑證廢止清冊(CRL)
(1)
(2)
(3)
(4)
(5)
(6)
(7)
(8)
(9)
版本序號。
簽章演算法。
憑證管理中心名稱。
本次發佈時間。
下次發佈時間。
廢止憑證串列。
廢止憑證清冊擴充資料。
簽章方法。
數位簽章 。
14
9-3 PKI之運作
SSL(瀏覽器)安全電子通訊的運作
( a 1) 將主機憑證送至瀏覽器端
( a 2) 客戶端瀏覽器會對
伺服器做身份鑑別的動作
(b) 產生對稱式金鑰
( c ) 傳送已加密過的對稱式金鑰給主機
( e ) 利用該金鑰傳送訊息
客戶端
( d) 解開已加密過
的對稱式金鑰
商家
15
9-4 PKI現況與IC卡實用
IC卡特性:
安全性
方便性
應用多元化
離線(Off-Line)作業
個人資訊管理
16
9-4 PKI現況與IC卡實用
IC晶片卡的外觀
VCC
RST
GND
CLK
I/O
RFU
RFU
54mm
VPP
厚度:0.76mm
86mm
17
9-4 PKI現況與IC卡實用
IC卡之構成要素
Reader
I/0 Interface
CPU
Security Logical
EEPROM
(Application Data)
ROM
(Permanent Data)
RAM
(Temporary Data)
18
9-4 PKI現況與IC卡實用
IC卡接觸點的功能
接觸點
標記接觸點名稱
接觸點功能
C1
VCC(Supply Voltage)
提供IC卡運作所需的電源
C2
RST(Reset Signal)
提供IC卡所需的重設信號
C3
CLK(Clock Signal)
提供IC卡所需的脈衝信號
C4
RFU(Reserved for Future Use)
保留使用
C5
GND(Ground)0
電壓
C6
VPP(Programming Voltage)
提供IC卡寫入或刪除資料至非
揮發性記憶體時所需的電
壓
C7
I/O(Data Input/Output)
提供IC卡資料輸出及輸人
C8
RFU(Reserved for Future Use)
保留使用
19
9-4 PKI現況與IC卡實用
IC卡的內部架構
主要包含微處理器(MCU)及記憶體兩個部分,
由微處理器或記憶體與控制邏輯所組合而成的晶
片。
微處理單元主要含有一個可對資料進行運算處理
的中央處理器(CPU)、作業系統(Card OS,簡
稱COS)、以及臨時存放資料的隨機存取記憶體
(RAM).
而記憶體主要是含有可重寫資料的功能如EEPROM,
且能夠提供使用者存放資料的地方
20
9-4 PKI現況與IC卡實用
IC卡內部構造功能說明
類
別
控制處理單元(CPU)
微處理機
記憶體
功
能
運算、邏輯處理
Mask ROM (Read Only Memory) 控制、安全程式
RAM(Random Access Memory)
運算、邏輯處理區
I/O介面裝置(Input/Output)
讀寫介面處理
ROM (Read Only Memory)
唯讀記憶無法變更或消除
PROM (Programable ROM)
可程式化唯讀記憶體
EPROM(Erasable Programa ble
無法利用電流重寫資料記錄區
Rom)
EEPROM(Electronic EPROM)
可利用電流重寫資料紀錄區
21
9-4 PKI現況與IC卡實用
IC卡的檔案階層架構
主檔案
(MF)
基本檔案
(EF)
基本檔案
(EF)
目錄檔案
(DF)
…
基本檔案
(EF)
…
目錄檔案
(DF)
目錄檔案
(DF)
…
目錄檔案
(DF)
…
基本檔案
(EF)
22
9-4 PKI現況與IC卡實用
IC卡的種類
依其運算及處理資料的能力區分:可分為「記憶
卡」及「晶片卡」
依讀卡界面區分:根據IC卡的使用方式,可分為
接觸式(contact)、感應式(contactless)、接觸
/感應合一式(Hybrid/Combi Card)三種
依使用系統區分:IC卡的作業系統有Java Card、
Multos Card及Global Platform等三種
23
9-4 PKI現況與IC卡實用
IC卡的分類
Smart Card
Compinents
Memory Card
Contact Card
Chip Card
Interface
OS Used
Java Card Multos Card Global paltforms
(GP)
Contactless Card Hybrid/Combi Card Optical Card
24
9-4 PKI現況與IC卡實用
卡片種類
說
明
磁卡
經由刷卡動作,讀卡機之磁頭閱讀卡片上磁軌上的密碼,經解碼後釋出信號
產生反應,磁卡不易防偽,且易消磁、磨損,儲存容量小。
條碼卡
將條碼印刷或貼在卡片上面,利用刷卡動作,由讀卡機讀條碼所代表的數據
或符號,但條碼卡容易被複製且易髒損。
感應卡
採用電子迴路與感應線圈,利用讀卡機產生的振盪頻率,使卡片產生共振產
生感應電流發射訊號到讀卡機。讀卡機之接收訊號後解碼,較為方便迅速,
感應距離可由4吋至3呎不等,卡片不易被仿製,具防水功能,雖然造價較高 ,
但其方便性與安全性較高。
IC卡
將晶片嵌入卡片中,經由插卡動作,讀卡機讀取晶片上之腳位,解碼並可將
所需之資料重新寫入晶片中,目前無法被複製,安全性極高。
記憶卡
僅含較高的記憶體容量(約16K Byte)儲存資料,無含軟體與韌體功能,不具
備控管作用,只能讀取,無驗證能力,安全性較低,用以取代小尺寸硬碟。
非接觸式
IC卡
擁有晶片及感應線圈,讀卡方式與感應卡相同,並可將新的資料重新寫入晶
片中,安全性與IC卡相同,但便利性則提高許多。
光卡
Optical
Card
由半導體鐳射材料組成的,能夠儲存記錄並再生大量訊息,讀卡方式是由鐳
射照射下能讀取或寫入訊息,光卡具有體積小,便於隨身攜帶,訊息紀錄高
可靠性,容量大,抗電磁干擾性強,不易更改,守密性好等優點。
25
9-4 PKI現況與IC卡實用
比較項目
磁卡
條碼卡
感應卡
IC卡
非接觸式
IC卡
光卡
讀取方式 需接觸
不需接觸 不需接觸 需接觸
不需接觸 不需接觸
讀卡時間 約1秒
約1秒
約0.5秒
約1秒
約0.5秒
約0.5秒
卡片保存 壽命較短 易消磁
壽命較短 永久使用
永久使用 永久使用
卡片安全 可複製
可複製
不易偽造 無法偽造
無法偽造 無法偽造
卡片價格 低
低
高
高
維護費用 需更換
需常保養 毋需保養 需常保養
毋需保養 毋需保養
卡片讀/
寫
讀
讀 /寫
讀
卡片容量 76 Bytes
讀
高
讀 /寫
1100
8~64K
76 Bytes
Bytes
Bytes
8~64K
Bytes
最高
讀 /寫
4-6M
bytes
26
9-4 PKI現況與IC卡實用
IC卡導入PKI之應用與績效實例
政府機構
ATM
金融機構
發卡單位
代理機構
KIOSK
圈存機
醫療機構
電子商務
公用電話
ETC
電子收費 行動電話 PDA
27
9-4 PKI現況與IC卡實用
金融交易系統
PKI之智慧IC卡安全防護功能優於磁卡保全系統
破解難度超越磁卡系統
可取代磁條所能執行的功能
電子錢包(Electronic Purse)
轉帳消費功能
28
9-4 PKI現況與IC卡實用
大眾運輸工具進行票證整合
1.
2.
3.
4.
可攜性
方便性
加速服務
安全性
29
9-4 PKI現況與IC卡實用
健診醫療系統
1.
2.
3.
4.
5.
建立稽核機制
保障病診醫療資訊的權益
提高醫療院/所醫療品質
落實健保轉診制度
建立個人醫療資訊安全與隱私的政策
30
9-4 PKI現況與IC卡實用
電子商務
企業競爭優勢的加強
大幅改變銷售通路
影響網路B2B的交易支付系統
提升國家整體競爭優勢
加速交易認證制度成熟
組織的改變轉型
組織學習
組織性質變革,提升競爭力
資訊安全的原理與觀念
31
9-4 PKI現況與IC卡實用
電子商務
消費者的效益
交易普及
獲得客戶相關知識
建立安全化電子商務機制
32
9-5 自然人憑證
工商機構
憑證中心
SCA-2
內政部
憑證中心
SCA-1
自然人憑證
代管憑證
相關法人
機構
SCA-3
政府憑證
總中心
GRCA
子機關單位憑
證伺服器軟體
憑證
公司行號憑證
各子機
關憑證
中心
SCA-4
33
9-5 自然人憑證
GRCA
負責SCA之憑證簽發及管理
訂定不同架構間的交互認證程序
公佈簽發憑證及CRL
自然人憑證
(1)以建置憑證中心的建置
(2)可帶動電子化政府的科技發展
34
9-6 結語
PKI的建置:大量的電子訊息/資金要在
網路上流通,其交易過程就必須要有一
個安全的交易環境 。
CA:
信賴且穩定的認證機制來確認交易雙方身份真實
性 。
問題:成本考量/技術能力/組織調整。
自然人憑證:隱私與安全問題。
35
本章結束
Q&A討論時間
36

similar documents