基于智能卡的嵌入式网络加密安全系统设计

　　第4步：对每个数据块用相应的密钥进行加密；

　　第5步：计算结束后，所有加密后的数据块依照原顺序连接在一起(加密后的D ，加密后的D：等)，并将结果数据块插入到命令数据域中。

　　(2)数据解密步骤

　　第1步：将命令数据域中的数据块分解成8字节长的数据块，标号为D ，D ，D ，D4等，用与加密相同的密钥进行解密；

　　第2步：计算结束后，所有解密后的数据块依照顺序(解密后的D。，解密后的D 等)链接在一起。数据块由LD，明文数据，填充字符组成；

　　第3步：因为LD表示明文数据的长度，因此，它被用来恢复明文数据。

　　4-3-3 安全报文传送

　　数据完整性和对发送方的认证通过使用消息认证码MAC(message authentication code)来实现。MAC是消息内容和密钥的公开函数，其输出是定长的短数据块：MAC=C(M，K)。其中M 是消息内容，K是通信双方共享的密钥，C是MAC值的生成算法。算法C要求已知M1和C(M1．K)，无法构造出满足C(M2，K)=C(Ml，K)的报文M2，所以MAC能惟一鉴别原报文。消息鉴别密钥(MAK)利用3DES算法计算交易信息的MAC值进行消息鉴别，通过对报文进行消息鉴别运算，确保报文不被篡改。

　　(1)3DES算法：3DES算法是指使用16字节密钥K=(KL，KR)将8字节明文数据块加密成8字节密文数据块，如下所示：Y=DES(KL)[DES．1(KR)[DES(KL[x])]]。解密的方式如下：x=DES．1(KL)[DES(KR)[DES．1(KL[Y])]]。

　　(2)消息鉴别算法：提取传输报文中的关键敏感字段，以8字节为单位划分成若干个数据块，当最后的数据块长度不足8字节时后补OX00。划分完毕后，将每一个数据块作为一个参与运算的数据块(D )，初值为8字节的十六进制0。最终得到MAC值是计算结果 。左侧取得的4字节长度十六进制数。算法流程如图5所示 。

　　5 结束语

　　本系统针对客户端网络接入开放性结构的安全保密需求，综合采用多种安全措施，实现了对交易信息关键字段的传输加密保护与消息认证，确保交易信息安全及其加密设备的安全，具有较强的网络适应性。由于系统采用了公开源代码的操作系统，使得集成各种通信应用成为可能，能够很好的适应未来金融通信的发展。

　　在以后的工作中，我们还需要从硬件、稳定性、使用环境各方面加强系统的抗攻击能力。