基于智能卡的嵌入式網絡加密安全系統設計

　　第4步：對每個數據塊用相應的密鑰進行加密；

　　第5步：計算結束后，所有加密后的數據塊依照原順序連接在一起(加密后的D ，加密后的D：等)，并將結果數據塊插入到命令數據域中。

　　(2)數據解密步驟

　　第1步：將命令數據域中的數據塊分解成8字節長的數據塊，標號為D ，D ，D ，D4等，用與加密相同的密鑰進行解密；

　　第2步：計算結束后，所有解密后的數據塊依照順序(解密后的D。，解密后的D 等)鏈接在一起。數據塊由LD，明文數據，填充字符組成；

　　第3步：因為LD表示明文數據的長度，因此，它被用來恢復明文數據。

　　4-3-3 安全報文傳送

　　數據完整性和對發送方的認證通過使用消息認證碼MAC(message authentication code)來實現。MAC是消息內容和密鑰的公開函數，其輸出是定長的短數據塊：MAC=C(M，K)。其中M 是消息內容，K是通信雙方共享的密鑰，C是MAC值的生成算法。算法C要求已知M1和C(M1．K)，無法構造出滿足C(M2，K)=C(Ml，K)的報文M2，所以MAC能惟一鑒別原報文。消息鑒別密鑰(MAK)利用3DES算法計算交易信息的MAC值進行消息鑒別，通過對報文進行消息鑒別運算，確保報文不被篡改。

　　(1)3DES算法：3DES算法是指使用16字節密鑰K=(KL，KR)將8字節明文數據塊加密成8字節密文數據塊，如下所示：Y=DES(KL)[DES．1(KR)[DES(KL[x])]]。解密的方式如下：x=DES．1(KL)[DES(KR)[DES．1(KL[Y])]]。

　　(2)消息鑒別算法：提取傳輸報文中的關鍵敏感字段，以8字節為單位劃分成若干個數據塊，當最后的數據塊長度不足8字節時后補OX00。劃分完畢后，將每一個數據塊作為一個參與運算的數據塊(D )，初值為8字節的十六進制0。最終得到MAC值是計算結果 。左側取得的4字節長度十六進制數。算法流程如圖5所示 。

　　5 結束語

　　本系統針對客戶端網絡接入開放性結構的安全保密需求，綜合采用多種安全措施，實現了對交易信息關鍵字段的傳輸加密保護與消息認證，確保交易信息安全及其加密設備的安全，具有較強的網絡適應性。由于系統采用了公開源代碼的操作系統，使得集成各種通信應用成為可能，能夠很好的適應未來金融通信的發展。

　　在以后的工作中，我們還需要從硬件、穩定性、使用環境各方面加強系統的抗攻擊能力。