大專院校校園e 化 PKI、智慧卡應用與整合.

Presentation on theme: "大專院校校園e 化 PKI、智慧卡應用與整合."— Presentation transcript:

1 大專院校校園e 化 PKI、智慧卡應用與整合

2 大專院校校園IC金融卡正面圖

3 各式卡片分析比較 項目 磁帶卡 IC晶片卡 EM感應卡 Mifare感應卡 成本 低 最高 中 壽命期 約2~3年 10年 刷卡 接觸式
感應型式 刷卡 接觸式 非接觸式 穩定性 差 接觸久後需清潔 佳 讀寫時間 慢 最慢 快 感應距離 － ＜10cm ＜5~8cm 優缺點 ＊卡片易磨損、括傷、消磁 ＊卡片需常清傑 ＊誤刷率高 ＊成本低 ＊讀寫時間長 ＊適合高安全加密應用, 資料長的應用 ＊接點磨擦，並需清潔保養 ＊64bits ID識別 ＊單一卡號 ＊系統及讀卡機使用者多，系統穩定， ＊無接點, 用於門禁考勤會議系統 ＊8K bits可重複讀寫 ＊可多功能應用 ＊如門禁考勤電子錢包 ＊感應距離較短 ＊與捷運卡規格同

4 大專院校校園IC卡應用範圍 金融 業務 電信 業務 電子公 文、表 單作業 校園IC金融卡 電子 商務 門禁考勤 會議出席 校園選舉
FISC IC晶片 ＋ Contactless Chip 磁條、條碼 電子 商務 門禁考勤 會議出席 校園選舉 電子簽章及 認證作業 校務 資料

5 大專院校校園IC卡功能應用 大專院校．合作銀行 雙晶片之 校園IC金融卡 身份識別 校務資訊站 圖書館 門禁管制 IC 電話卡 打電話
門禁考勤簽到記錄 會議簽到記錄 選課記錄 校務資訊站 學生個人資料查詢 學藉成績資料查詢 選課記錄資料查詢 上課考試資料查詢 校內公告事項查詢 文件申請 圖書館 借書證 門禁 圖書資料查詢預借 門禁管制 教學辦公大樓 宿舍 停車場 圖書館 大專院校．合作銀行 雙晶片之 校園IC金融卡 IC 電話卡 打電話 使用設備/儀器 視聽教室 實驗室 體育館 電腦教室 專案教室 TCP/IP遠端控制 網路認證應用 校務資訊站使用 身份認證 網路選課/註冊 遠距教學 繳交作業、論文 電子公文 虛擬電子商務 校園選舉活動 電子錢包消費 餐廳 便利商店 中油加油站 書局 借書逾期罰款 學校規費等

6 大專院校校園IC金融卡基本架構 校園網路安全控管系統 條碼 磁帶 IC晶片 圖書館 借書證 金融卡 金融業務 電信業務 校園業務 校園應用
接觸式晶片 金融卡 非接觸式晶片 金融業務 電信業務 校園業務 校園應用 校園認證 電子錢包 IC卡電話 學籍資料 選課資料 成績資料 PKI機制認證作業 非接觸式 電子錢包 門禁/考勤 會議簽到

7 碩良科技校園e 化系統所提供的服務項目： 接觸式 IC Card 製作 : 卡片版面美工設計及製作 卡片個人化作業處理
FISC Card 8KB, 16KB 非接觸IC卡    : EM(低頻) or Mifare(高頻) 卡片版面美工設計及製作 卡片個人化作業處理 學校門禁/出勤系統(軟/硬體) 電腦PC/SC 讀卡機供應 學校停車場系統 學校會議出席報到系統 學校IC 卡補發卡(含印卡機)系統 學校PKI 網路安控系統規劃與建置 學校電子公文系統整合 電子採購、電子假單、工作流程 校園e C電子交易平台系統規劃與建置 校園資訊查詢工作站系統 學校TCP/IP遠方控制應用系統 32KB RSA NexSmart Windows Smart Card / 32K Java Card 卡片 

8 非接觸式卡片校園應用

9 大專院校校園 Mifare 感應卡之應用 校區宿舍門禁&出缺勤及會議管理 車輛管制系統 校內儲值消費 電腦機房實習管制

10 大學院校校園卡門禁系統應用

11 校園網路安控應用 EzCertPKI AP DEMO ActiveX Multi sign

12 網路安全的四個基本要求 資料的隱密性 (Confidentiality) 資料的完整性 (Integrity)
身份辨識/可認證性 (Authentication) 交易不可否認性 (Non-repudiation)

13 SSL 安全機制的不足 一種錯誤的安全感 實體世界的信任關係，在虛擬世界就靠電子憑證(certificate)來建立
僅提供資料傳輸過程之隱密性及完整性 無法達到身份辨識及交易不可否認性 實體世界的信任關係，在虛擬世界就靠電子憑證(certificate)來建立

14 對稱式加密法(symmetric key)
Secret Key 原始訊息 加密後訊息 加密 在對稱加密法中，加密和解密都是用同一把Key 網際網路 Secret Key 加密後訊息 原始訊息 解密

15 非對稱式加密法 (asymmetric key)
收件者的 Public Key 原始訊息 加密後訊息 加密 在非對稱加密法中，加密和解密是用不同的key，且此二把key是以成對的型態出現的。 網際網路 收件者的 Private Key 加密後訊息 原始訊息 解密

16 數位簽章 驗章 簽章 數位簽章 寄給乙 CBBV2…… 甲的訊息 Hash Hash 比對 CBBV2…… 訊息和簽名 網際網路 訊息摘要
public key 解密 甲的 private key 加密 簽章 驗章 CBBV2…… 數位簽章 (加密的訊息摘要)

17 數位憑證X.509 數位憑證是用來證明身份的電子證照 一般而言，數位憑證上的資訊包括：
認證中心 CA 數位憑證是用來證明身份的電子證照 一般而言，數位憑證上的資訊包括： 持有者的認證資訊：姓名、所屬單位、地址、 電子郵件地址 持有者的公開金鑰 認證中心的數位簽章 認證中心的名稱 數位憑證的有效期限 數位憑證的序號

18 數位憑證 (cont.)

19 公開金鑰基礎架構 (PKI) 憑證中心 Certificate Authority 使用者
註冊資料庫Registration Database 註冊中心 Registration Authority Internet Intranet Extranet 網站伺服器Web Server 憑證查詢服務 Directory Services 金鑰與憑證資料庫 Key and Certificate Database 系統管理者 權限控管 Access Control 金鑰與憑證管理系統Key and Certificate Management System 金鑰備份還原資料庫 Key Backup/Recovery Database

20 安控認證中心服務項目 電子公文….. 電子公文 安全認證服務中心 (CA) (GCA) 學校糾紛處理單位 教育部 使用者
3.憑證保存 有效憑證 已中止憑證 過期憑證 ５.證據提供 1.用戶註冊、註銷 教育部 4.憑證查詢與分送 2.憑證簽發、展期 　與中止 電子公文….. 身份識別、電子簽章 防止資料篡改、擷取 防止事後否認交易 電子公文 使用者 (各系所/單位/學生） 使用者 （收發/校務系統）

21 PKI - 憑證控管中心 (CA) 憑證簽核, 註銷及 CRL 產生 提供企業組織內部 PKI solution
與 AP 整合, 強化安全性 身份認證系統 電子公文系統 電子交易系統 電子郵件系統 遵循 X.509 v3 標準憑證格式 金鑰長度支援 位元

22 PKI - 註冊管理中心 (RA) 憑證申請, 撤銷之管理窗口 可連結多憑證控管中心 系統稽核登錄 (audit logs) 支援作業平台
Win NT/2000, Unix 相容系統 支援載具 安全硬體裝置--IC 卡, HSM

23 PKI - 目錄伺服系統 (DS) 個人資料及憑證狀態查詢 遵循 LDAP 標準 可進一步整合系統登錄服務 支援作業平台
Single Sign-on 整合機制 支援作業平台 Win NT/2000, Unix 相容系統

24 憑證及金鑰儲存載具-智慧卡 智慧卡內藏小型的微處理器，可用來產生公鑰/私鑰序對。智慧卡可以把公鑰傳送給電腦主機，只要容量夠大，可以儲存數個金鑰及憑證。私鑰永遠不會離開智慧卡，如果使用者想進行數位簽名或對一段資料進行解密，相關資料會被傳到卡上，智慧卡處理完後再傳回結果。如此一來，除非有心人士拿到你的智慧卡，否則無法取得你的私鑰，況且在實務應用時，更對智慧卡進行程式規劃，處理密碼前要求使用者輸入PIN或密語，以防卡片被偷。

25 方式一、金融IC智慧卡規劃建議 結合校園CA認證中心,實現校務自動化應用 使用已經財金資訊公司認證之 16KBytes智慧卡
整合金融,電信,學生證及校務,數位簽章等功能 空間規劃構想 3K for 金融 + 電信 8K for 校務及學生證使用 5K for 數位憑證簽章+公私鑰儲存 結合校園CA認證中心,實現校務自動化應用 結合非接觸式感應卡在Access Control的應用

26 方式二、NWSC 2.0(NexSmart Windows Smart Card )for multi-purpose
產品簡介 NexSmart提供整套網路安全各項應用基礎平台，在PKI（Public Key Infrastructure）環境中，利用NWSC2.0多功能卡以ON-Card Key Generation的方式來全面提升應用安全性，改善過去外部Key Generation方式可能造成的安全漏洞問題，同時透過 applet loading的方式可以將各種不同的應用放入卡片中達到一卡多工的使用方式。

27 NWSC 2.0(NexSmart Windows Smart Card )Cont.
產品規格 OS:NexSmart Windows Smart Card 2.0 Memory:EEPROM/32K bytes RAM:4,352 bytes Communication:T=0 Standard:ISO Support Microsoft Windows Smart Card Tool Kit 1.1/ 2.0 Crypto: RSA/DES/3DES/SHA_1 (RSA Bit ON-Card Key Generation)

28 NWSC 2.0(NexSmart Windows Smart Card )Cont.
產品優勢 1.卡片為開放性平台，便於開發各項應用系統 2.簡易開發工具（Visual Basic），縮短開發時間與節省成本，利於產品之Time to Market 3.可存放各種應用軟體，達到多功能使用的目的，以利多卡合一的使用方式 4.與標準PC/SC IC晶片讀卡機相互搭配，支援Plug and Play，利於廣泛使用 5.卡片提供最新加解密機制，提高安全性，可應用在各種電子商務用途，使其更加蓬勃發展 6.具備ON-Card Key Generation的功能，為PKI應用環境最理想的憑證載具 7.與Windows 2000 / Windows XP完全整合(微軟作業平台為大部份個人電腦, 交易及檔案儲存管理伺服器所採用)

29 Authentication and authorization
Windows for Smart Cards 架構 UNVERIFIED commands and applications Authentication and authorization I/O Cryptography File system Virtual machine VERIFIED Internal API User Applications Runtime ISO 7816, … Supported Chips Infineon ISO T=0, T=1, PTS DES, 3DES RSA FAT 12 FAT 16

30 How Windows interacts with a Smart Card
PKCS PKI App 3rd party Value added Software PKI applications W2KLogon, Digital signatures etc Active Directory And Windows 2000 admin tools PKCS Interface CAPI (Cryptography API) MS CSP for a Windows For Smart Card NexSmart PKCS #11 API CSP CSP Media 3rd Party CSP CSP Proprietary Interface WSC interface Proprietary OS CSP Media

31 校務認證作業流程說明 CA的認證服務相關作業內容: 用戶註冊 憑證申請 憑證簽發 憑證展期 憑證中止 憑證索取與分送 CA更換金鑰

32 Development Toolkits / Middleware
PKI整合架構 電子 商務 網路 銀行 身份 認證 公文 費用 申請 投票 選課 遠距 教學 校務 查詢 表單 簽章 Development Toolkits / Middleware 憑證 管理系統 CA 安控系統軟體 CryptoBridge Key Management Certificate Management Crypto SDK 密碼模組 DES/Triple DES/IDEA/RC2~RC6 RSA/DH MD5/SHA/SHA-1 註冊 RA 目錄 伺服器 DS P K I 安控硬體設備 Secure Server CryptoCard Smart Card and Reader Cryptographic Chip CA: Certificate Authority RA: Registration Authority DS: Directory Server

33 EzCert PKI 架構示意圖

34 校園 EzCert PKI解決方案應用 Clint-Sever(AP Demo)：以CryptoBridge整合完成加解密及簽
章驗證，之Web環境作業。 ＊應用：虛擬網路商城、校務查詢、網路註冊、選課、電子選舉、 電子商務。  ActiveX：以CryptoBridge及ActiveX之應用完成公文收發 及附件公文以Base64處理之作業。 ＊應用：電子公文收發、網路繳交論文作業、寄發成績單。 Multi-Sign：以ActiveX完成多重簽章之簽章之簽核及驗章 作業，搭配憑證管理及信箱流程觀念之導入作業。 ＊應用：電子表單簽核、簽呈、申請文件與簽核、會議記錄閱簽。

35 網安產品簡介 K I P 12 註 冊 管理系統 RA 憑 證 管理系統 CA 目 錄 伺服器 DS 安控硬體設備 安控系統軟體 密碼模組
註 冊 管理系統 RA 憑 證 管理系統 CA 目 錄 伺服器 DS P 安控硬體設備 Secure Server Crypto Card Smart card Reader Chip 安控系統軟體 Crypto Bridge Key Management Crypto SDK K I DES / Triple-DES DES / IDEA / RC2~RC6 RSA / DH MD5 / SHA / SHA-1 密碼模組 12

36 PKI-政府應用實例

37 行政院海岸巡防署 PKI整合作業介紹 作業流程架構圖 PKI建置示意圖 憑證申請流程圖

38 海巡署 - PKI 建置示意圖 Internet C KES Router CA (Certificate Authority)
ZEROIZE NST TCP/IP0 RA Central Service Application Servers User Registration Client Users RAO CAO SS (Secure Server) ADS NS

39 海巡署 – 建置作業示意圖

40 海巡署 - 作業流程架構圖 印卡 開卡 人事資料彙整 人員/單位 憑證申請 伺服器 憑證申請 密碼函列印

41 海巡署-憑證申請作業 個人憑證申請 單位憑證申請 伺服憑證申請 1.憑證匯整 1.憑證匯整 1.憑證匯整 2.申請登入 2.申請登入
3.申請憑證 3.申請憑證 3.申請憑證 4.密碼列印 4.密碼列印 4.憑證轉換 5.憑證清單 5.憑證清單 5.密碼列印

42 CA RA 海巡署-管理者憑證流程相依性 CA Admin RA Admin 系統中心 CA Cert 系統主管 系統憑證
Super CAO Super CAO Cert 憑證匯入 Normal CAO Group RA Normal CAO RA Admin CAO CAO Cert CSR CAO Super RAO Cert Super RAO RA Cert & CA Cert Normal RAO Group RAO RAO Cert

43 開啟RAO申請網頁 匯整申請資料 輸入身分證字號 申請個人帳號 使用者取得:憑證智慧卡 申請個人憑證
海巡署-使用者憑證申請流程 PKI-APPLY RAO User 03 02 01 開啟RAO申請網頁 審核 申請表格 填寫 申請表格 04 匯整申請資料 09 06 05 1.Pkcs #11 存於IC卡. 2.Pkcs #12 存於disk. ADS 搜尋 輸入身分證字號 10 07 申請個人帳號 08 使用者取得:憑證智慧卡 申請個人憑證

44

45

46

47 台北市政府 PKI 建置架構 Internet PKI 伺服器系統 CA ( 憑證管理系統 ) RA ( 憑證註冊系統 )
ADS ( 目錄伺服器 ) C CAO C RAO Router C 憑證管理員 Internet Router C 憑證註冊員 TCP/IP Router C 檔案加解密系統 憑證表格申請 應用系統伺服器

48 台中縣府內公文交換 - 安控架構 發文端 收文端 Trigger1 (解密/驗章) 公 文 交 換 中 Plug-ins & ActiveX
心 發文端 Trigger1 (解密/驗章) Plug-ins & ActiveX (加密/簽章) G A T E W Y Plug-ins & ActiveX (解密/驗章) 收文端 Trigger2 (加密/簽章)

49 NST網安科技扮演之角色 1.提供 RSA-SmartCard 之安全機制. 2. 提供將中華電信之憑證存放於RSA卡機制.
3. 提供 Web 安控機制- CryptoBridge - 包括(CryptoPlug-ins & CryptoGateway). 4. 可達成 RSA(1024bits) 簽章及驗章機制. 5. 透過 Triple-DES(168bits) 作資料加解密機制. 6. 提供 ActiveX 之 OCX 加強機制.

50 問題 Q & A

51 (請參考)

52 概述 - 特色 整合數位憑證 高度客製化能力，可輕易融入使用場景 強大流程管理能力 快速流程定義 強大的流程控制功能 流程元件化
支援多樣化的應用程式型態 支援COM 、COM+ 、.NET等元件平台 100% pure Java語言實作

53 系統整合與擴充 PKI Enabled SecureOffice Workflow Server 其它Web-based AP
電子表單伺服器 工作流程服務 其它Web-based AP 工作流程檢視處理 其它Web-based AP功能使用 PKI Enabled

54 系統整合與擴充 SecureOffice Workflow Server Database 文件 (e-form) 電子表單伺服器
解析流程定義 代理程式執行 Database Workflow DB/其它系統DB 關聯式資料庫 暨有資源整合 文件 (e-form) 以Browser為標準介面 工作檢視處理清單 工作網站URL入口 Wed-based AP使用入口

55 應用效益 SecureOffice Workflow Server 建構自動化 工作流程作業環境 賦予電子表單 行動能力
開放式資料庫表格設計 與暨有系統資源整合 核准與申請 系統建置 整合數位憑證 建立線上簽核系統

56 系統環境需求架構 跨平台使用

57

58

59

60

61

62

63

64