智能卡技术及其在数字电视中的应用
逻辑保密实际上是从卡上信息的读取方面,来限制读取智能卡信息的方式。"当处于一种敏感状态时,不允许有两个以上的委托方的参与;口令的输入必须以保护其他敏感数据的相同方式得到保护。"
存储在智能卡上的信息一般被划分为若干个部分。如:只读信息;只可添加的信息;只可更新的信息;无法读取的信息。这样有些密码信息可以存储在无法读取的存储区域中。
如果,只有知道密码的人才能有权使用智能卡,但如果需要通过无线电或电话线将卡上的信息向异地传送,就还必须要有额外的防护手段。
(3)密钥管理
密钥管理实际上是从卡的结构和所支持的加密算法,来控制读取智能卡信息的方式。"对于非对称密钥管理,必须支持ISO 11568第四、第五部分的规范;对称密钥的管理必须符合ISO 11568第二、第三部分的规范。密钥算法必须采用规范已经批准的算法,并且严格保管密钥。"
2. 智能卡的密钥算法
通过加密,智能卡可以把信息翻译成各类符号等,并且在须要通信时,可以随机地选择其一。这种防范机制可以确保所用的卡和计算机都真实有效,使得几乎没有可能半路窃取传送的信息。微处理器智能卡有加/解密(把看不懂的东西再翻译回来)的功能,使得在传送存储在卡上的信息的同时,也不用担心会发生泄密。
智能卡的加密技术是按照密钥算法的公开与否来分的,目前可分为SKE(Secret Key Encryption:即秘密密钥加密系统,又称为对称密钥算法)和PKE(Public Key Encryption:公开密钥加密系统,又称为不对称加密算法)两种。SKE算法和PKE算法的区别主要是:加/减密密钥的一致与否。
(1)SKE算法
所谓SKE算法,是指加密密钥和解密密钥是相同的。为了安全性,密钥要定期的改变。对称算法速度快,所以在处理大量数据的时候被广泛使用,其关键是保证密钥的安全。
(2)PKE算法
所谓PKE算法,是指分别存在一个公钥和一个私钥,公钥公开,私钥保密。公钥和私钥具有一一对应的关系,用公钥加密的数据只有用私钥才能解开,其效率低于对称密钥算法。
3. 数字电视接收智能卡的安全
数字电视接收智能卡的安全,不但要具备以上智能卡的基本要求,而且还应具备其它所特有的安全要求,这就是数字电视智能卡和数字电视机顶盒之间的认证。
四 数字电视智能卡与机顶盒的认证/协议
由于微处理智能卡带有微处理器,支持着SKE算法和PKE算法,同时微处理智能卡的尺寸大小极方便于携带,所以它必然成为CADTV(Cable Digital Tele Vision:有线数字电视)网络数据传递和身份认证极佳的安全模块。
1. 数字电视智能卡与机顶盒的认证
数字电视接收智能卡和机顶盒之间的认证,主要是防止在机顶盒中使用未经授权的智能卡,认证方法主要有基于共享密钥的身份鉴别和基于证书的身份鉴别。
目前,数字电视智能卡与机顶盒之间的认证关系,基本上是由CADTV广播系统的CAS(Conditional Access System:条件接收系统)供应商所指定的算法来完成的,一般的认证关系有两个层次:其一是对数字电视智能卡和机顶盒建立简单的链接关系,如同夫妻搭配一样验证其合法有效性;其二是在整个数字电视CAS密钥体系下对智能卡与机顶盒间的通讯实施加密,非常严格地验证卡与机顶盒严密的数学算法关系,以达到强化商业安全的目的。
这种验证的严密数学算法关系,源自国际标准ISO 7816提供的无差错连结的链路级通信协议,其主要是T=0协议和T=1协议,一旦建立了链路协议,就能定义一种应用协议,利用链路实现卡上应用程序与机顶盒上的其他应用程序之间进行通信。ISO和IEC(International Electrotechnical Commission:国际电工委员会)共同规范了这类的应用协议,其目的有两个:一是提供一致的、存储与检索卡上信息的文件系统;二是以API(Application Program Interface:应用程序接口)形式访问智能卡上安全服务的协议。
2. 链路级通信
T=0协议试图把应用协议的元素与链路协议的元素混合起来,而T=1协议相当于数据链路协议。
链路级通信的T=0协议是一个面向字节的协议,以命令响应的方式动作,在该方式中,连接的读卡机端向卡发送一条命令,卡执行读卡机所命令的操作,再送回一个响应。在T=0协议中,错误检测是通过奇偶校验位进行的。T=0协议的TPDU(Transport Protocols Data Units:传输协议数据单元)具有两种不同的数据结构:一个是从读卡机发到卡的命令;另一个是卡送到读卡机的响应。
T=1协议是面向块的协议。T=1协议中的差错检测是通过LRC(纵向冗余效验)完成,所使用的算