基于智能卡的网络用户端解决方案

（一）、TimeCOS/PK的作用
　　智能卡内部有微处理器(CPU)和可重写存储单元（EEPROM），并且有操作系统和文件管理系统。握奇公司多年从事智能卡的研究开发工作，拥有世界先进、国内一流的智能卡技术和产品，已推出有自主产权的卡内硬件实现的RSA加密算法，可以高速完成签名、认证、加密、解密等操作。使用智能卡具有其他方法所部具备的独特优点：
　　1.把用户的重要信息，包括证书、密钥、口令、个人信息等，存放于智能卡中；
　　2.加密处理可以在卡内完成，用于加密的个人密钥等信息是不允许从卡中读出的，从而最大限度地保障通讯的安全；
　　3.每张智能卡存放的内容都是独特的，不可替代的，具有代表使用者身份的意义。提供对操作安全的可管理性；
　　4.智能卡的拥有者可以方便的携带它，可以到任何地点的连接有读写器的计算机上去完成电子商务操作，不仅安全而且比其他方法更方便；
　　5.此外，它还有计算速度快、有利于对算法也进行保密、同一智能卡可以与多种通信软件和应用软件配合使用等显著优点。

（二）、智能卡安全通讯套件
　　1、构成　
　　网络用户端安全通信套件是一套能与Netscape或IE浏览器配合使用的，强化用户端安全性的支持系统，协助完成以SSL、S/MIME等国际标准协议为基础的网络安全通信。由以下几部分构成：
1).读卡器，通过9针串行接口或键盘插口于计算机连接；
2).智能卡，握奇公司TimeCOS/PK卡，带RSA协处理器；
3).连接软件，完成于智能卡的接口和与浏览器的接口，完成安全通信的计算、处理和操作任务；
4).用户工具，完成校验、修改用户PIN，检查智能卡内存放的信息，自动检测或手工设置读卡器的连接端口（COM口）等功能；
5).说明文件和用户手册。

　 2、系统主要特点如下：
　　高度安全，支持使用1024/2048位RSA公共密钥算法；
　　全面实现SSL和S/MIME协议所支持的安全通信功能，包括接收和存放证书，进行数字签字/认证和数据加/解密处理；
　　采用标准接口于浏览器实现无缝连接，在通信过程中完全遵循浏览器 原有的安全通信操作过程；
　　采用加密读卡器完成支付密码（MAC）的安全存放和用户签字；
　　此系统采用高度模块化设计。保证支持智能卡的产品升级，支持根据用户需求完成系统专用化定制。
3、工作原理：
　　套件的软件是系统的核心部分。它完成对读写器的操作、对卡片的操作、与浏览器接口和辅助浏览器完成各项安全通信的任务。该软件模块完成的主要任务有：
　　生成用户密钥对或控制卡片在其内部生成密钥，并将1024/2048位
用户密钥安全的存放再卡片内；
　　在安全通信中完成对用户证书的下载、存放、管理和使用；
　　使用用户私钥在卡内完成RSA算法的签字和加密计算；
　　使用用户密钥完成RSA认证和解密计算；
　　完成对用户PIN口令的检查；
　　在安全通信的进程中配合浏览器完成其他功能，如内部自检过程、检测卡片的状态、适时给出信息提示等。

　（三）安全的卡操作系统TimeCOS/PK
　　综上所述，由于智能卡的介入，网络用户端的安全保障已全部转移到智能卡上，除了PIN口令的管理之外，就是卡操作系统的安全强度问题。
　　TimeCOS/PK是在TimeCOS V2.X版本的基础上，结合电子商务的要求，强化了公开钥密码体制的应用，充分利用芯片上的协处理器，能够快速完成RSA算法的签名、认证、加密、解密运算，具有密钥在卡内生成功能，并同时保留了中国金融IC卡技术规范的功能。特性如下：
·完全符合中国金融集成电路规范；
·支持非对称密码算法,可在卡内完成RSA、FAC算法的签名、认证、加密、解密运算；
·支持RSA 和FAC算法所需的成对密钥在卡内生成；
·支持线路加密，线路保护功能,防止通信数据被非法窃取或篡改；
·满足个别需求,该版本的TimeCOS具有根据用户的特定要求删除、修改、增加某些功能；
·支持一张卡上实现多个不同应用，可建立最多达三级目录；
·支持Single DES、Triple DES算法，可根据密钥的长度自动选择Single DES、Triple DES算法；
·具有防插拔功能，在交易处理过程中卡片非正常拔出时，卡片内容可自动恢复；
·支持电子钱包功能，钱包大小可由用户自行设定；
·支持多种文件类型，包括二进制文件，定长记录文件，变长记录文件，循环文件，钱包文件；
·支持ISO7816-3 T=0（字符传送）和T=1（块传送）通讯协议；
·支持多种速率选择，可支持9600bps，19200bps，38400bps，76800bps等不同的通讯速率；
·支持多种容量选择，可选择8K、16K字节EEPROM空间；
·工作效率高，TRIPLE DES计算时间16ms、RSA算法签名时间268ms、RSA算法，认证时间18ms 电子钱包圈存交易时间80ms，消费交易时间103ms。

四、应用方式及前景
　　一般讲，基于智能卡的网络用户端套件的应用可分为两类：用户自主使用和有组织使用。用户自主的使用指用户个体购买套件后，自主的选择证书发放机构（CA-Certificate Authorities）和选择安全通信的对象。
　　有组织的使用指一个电子商务中心、银行服务网络或安全通信网络的中心向自己用户提供TimeCOS/PK卡及套件。使用的证书可以是由该中心根据自己的政策建立的证书系统来发放，也可以使用第三方CA签发的证书。需要时用户密钥可以预先写入卡片。用户证书也可以预先写入卡片后再发送给用户。
　　智能卡和安全通信套件的应用，必将以其独有的安全性、方便性进一步推动电子商务的发展，有助于真正的、完全意义上的电子商务的运用和实现。