Global Platform Technology(以下簡稱為GP)的安全通道協(xié)議(Secure Channel protocol,以下簡稱為SCP)是可信服務(wù)管理（Trusted Service Manager,以下簡稱為TSM）的安全基礎(chǔ)。

安全通道協(xié)議通常分成兩大部分，第一部分是相互認(rèn)證和通道初始化流程，在此流程中生成過程密鑰；第二部分基于此過程密鑰進(jìn)行安全數(shù)據(jù)信息交換，保證數(shù)據(jù)信息交換的保密性和完整性。另外按GP標(biāo)準(zhǔn)協(xié)議，安全通訊雙方采用如下簡稱OCE（Off Card Entity), SD (Security Domain)。

本文根據(jù)以上兩大部分的劃分，對(duì)安全通道協(xié)議GP SCP02 SCP10 SCP03 SCP11進(jìn)行簡單分析和比較如下：

一、SCP02協(xié)議

協(xié)議可分成兩大部分：

第一部分基于3DES CBC算法進(jìn)行安全通道初始化，進(jìn)行雙向認(rèn)證，協(xié)議支持兩種形式的固定密鑰，一種形式僅有一個(gè)固定密鑰：安全通道基礎(chǔ)密鑰，或者采用另一種形式是有三個(gè)固定密鑰：安全通道加密密鑰，安全通道MAC密鑰和數(shù)據(jù)加密密鑰。由以上固定密鑰可以派生出三個(gè)過程密鑰：C-MAC過程密鑰，R-MAC過程密鑰和加密過程密鑰，密鑰派生通過固定密鑰加密規(guī)定密鑰分散因子的形式生成。

第二部分對(duì)基于C-MAC過程密鑰、R-MAC過程密鑰和加密過程密鑰如何進(jìn)行安全通道數(shù)據(jù)交換進(jìn)行詳細(xì)的規(guī)定，加密算法采用3DES CBC算法，生成MAC的算法是“Single DES Plus Final Triple DES MAC”的方式，具體引用標(biāo)準(zhǔn)協(xié)議是“ISO 9797-1”中的 “MAC Algorithm 3”。

二、SCP10協(xié)議

協(xié)議可分成兩大部分：

第一部分基于RSA算法進(jìn)行安全通道初始化，進(jìn)行雙向認(rèn)證，SCP10協(xié)議通過RSA公鑰加密傳輸OCE過程密鑰信息給SD，按照協(xié)議，雙方生成MAC過程密鑰和加密過程密鑰，按照協(xié)議交互雙方基于RSA進(jìn)行簽名和驗(yàn)簽完成雙向認(rèn)證。

第二部分則是對(duì)如何基于已經(jīng)生成的MAC過程密鑰和加密過程密鑰進(jìn)安全通信數(shù)據(jù)交換進(jìn)行了詳細(xì)的規(guī)定，加密算法采用3DES CBC算法，生成MAC的算法是“Single DES Plus Final Triple DES MAC”的方式，具體引用標(biāo)準(zhǔn)協(xié)議是“ISO 9797-1”中的 “MAC Algorithm 3”。

三、SCP03協(xié)議

協(xié)議可分成兩大部分：

第一部分基于AES算法進(jìn)行安全通道初始化，進(jìn)行雙向認(rèn)證，SCP03有三個(gè)固定密鑰K-ENC和K-MAC, K-DEK。由固定密鑰派生出三個(gè)過程密鑰S-ENC, S-MAC和S-RMAC三個(gè)過程密鑰，過程密鑰生成方式采用了“NIST SP 800-108”標(biāo)準(zhǔn)所述KDF算法中的計(jì)數(shù)模式。

第二部分對(duì)基于S-ENC, S-MAC和S-RMAC如何進(jìn)行安全通道數(shù)據(jù)交換規(guī)則進(jìn)行了詳細(xì)的規(guī)定，加密算法采用AES算法，生成MAC的算法為AES-CMAC，具體引用標(biāo)準(zhǔn)協(xié)議參考“NIST SP 800-38B”。

四、SCP11協(xié)議

相對(duì)之前所述安全通道所述內(nèi)容，SCP11比較特別的是只規(guī)定所述安全通道協(xié)議第一部分內(nèi)容，第二部分內(nèi)容則直接引用了SCP03協(xié)議第二部分的內(nèi)容。SCP11協(xié)議按照安全通道基于ECC(Elliptic Curve Cryptography)算法進(jìn)行完成認(rèn)證，生成共享秘密，進(jìn)行安全通道初始化，后續(xù)基于AES算法進(jìn)行安全通道數(shù)據(jù)傳輸。SCP11 生成共享秘密后，按“BSI TR-03111, Version 2.0”標(biāo)準(zhǔn)協(xié)議所述的X9.63 KDF方法進(jìn)行密鑰分散，最終生成S-ENC, S-MAC和S-RMAC三個(gè)過程密鑰用于SCP03安全通道的數(shù)據(jù)傳輸。

SCP11協(xié)議有三種形式，分別是SCP11a, SCP11b和SCP11c。它們之間的區(qū)別如下表所示：

五、小結(jié)

綜上所述，在安全通道協(xié)議的實(shí)際應(yīng)用方面，小結(jié)如下，如有錯(cuò)誤，請(qǐng)指正：文章來源地址http://www.zghlxwxcb.cn/news/detail-762842.html

1. 通過以上安全通道協(xié)議的簡單分析和比較，TSM采用SCP11生成過程密鑰，基于過程密鑰建立SCP03安全通道是當(dāng)前適合的選擇。
2. 基于業(yè)內(nèi)對(duì)DES算法安全性的考慮，新項(xiàng)目設(shè)計(jì)應(yīng)避免使用基于DES算法的安全通道協(xié)議，如SCP02和SCP10。
3. 上述SCP11和SCP03的組合應(yīng)用安全通道的形式與Car Connectivity Consortium數(shù)字車鑰匙標(biāo)準(zhǔn)中應(yīng)用安全通道的形式在原理上是相通的，比如在CCC數(shù)字車鑰匙標(biāo)準(zhǔn)中車主鑰匙配對(duì)流程中，車輛和車主設(shè)備通過SPAKE2+算法過程中形成共同秘密生成過程密鑰，再基于過程密鑰建立SCP03安全通道進(jìn)行數(shù)據(jù)交換；在CCC數(shù)字車鑰匙標(biāo)準(zhǔn)中車主鑰匙交易流程，則是交易雙方通過交易流程中形成的共同秘密生成過程密鑰，再基于過程密鑰建立SCP03安全通道進(jìn)行數(shù)據(jù)交換。

到了這里，關(guān)于Global Platform Technology安全通道協(xié)議SCP02 SCP10 SCP03 SCP11的簡單分析和比較的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！