金融IC卡知识交流PPT课件

IC卡与磁卡的区别
IC卡是继磁卡之后出现的又一种新型信息工具。一般用 的公交车卡就是IC卡的一种，一般常见的IC卡采用射频 技术与IC卡的读卡器进行通讯。
IC卡与磁卡是有区别的，IC卡是通过卡里的集成电路存 储信息，而磁卡是通过卡内的磁力记录信息。IC卡的成 本一般比磁卡高，但保密性更好。
IC卡和磁条卡比较
双界面IC卡： 双界面CPU卡是一种同时支持接触式与非接触式两种通讯方式的 CPU卡，接触接口和非接触接口共用一个CPU进行控制，接触模式 和非接触模式自动选择。
IC卡分类（2）
智能卡属于半导体卡。半导体卡片采用微电子技术进行信息的存储、 处理。按照其组成结构，智能卡可以分为一般存储卡、加密存储卡 、CPU卡。
按照数据读写方式，可分为接触式IC卡和非接触式IC卡,双界面IC卡三类：
接触式IC卡 接触式IC卡由读写设备的触点和卡片上的触点相接触进行数据读写 ，国际标准ISO7816系列对此类IC卡进行了规定。
非接触式IC卡 非接触式IC卡又称射频卡，成功地解决了无源（卡中无电源）和免 接触这一难题，是电子器件领域的一大突破。主要用于公交、轮 渡、地铁的自动收费系统，也应用在门禁管理、身份证明和电子 钱包。
解密。常见的有DES，DES3，RC4等。 非对称加密是指双方使用不同的密钥，分为公钥和私钥，公钥是发给别人
，用于加密的，私钥是留给自己用于把别人加密的东西解密的。公钥和私 钥是严格成对的。常见的算法有RSA，DSA，DH等。
数字证书的原理
利用一对互相匹配的密钥进行加密、解密。
用户自己设定一把特定的仅为本人所知的私有密钥（私钥），用它进行解密和签名；同时设定一 把公共密钥（公钥）并由本人公开，为一组用户共享，用于加密和验证签名。
（4）这样，在PBOC2.0标准卡支付系统中，IC卡存放IC卡证书（或静态数 据）、根CA公钥标识、和发卡行证书；受理终端存放根CA证书、RID、和 根CA公钥标识。在支付过程中，受理终端通过验证IC卡的应用数据或证书 进行身份认证。
金融IC卡
25
三、规范及应用分析
PBOC2.0规范，实现了中国银行卡的由磁条卡向IC卡的转换，确保了银行卡的安全。 IC卡的多应用的特点，使银行卡拓展到各个行业成为可能，打破了以往行业之间壁垒，银
一种为持卡人进行消费、取现等交易而设计的使用个人密码（PIN ）保护的金融IC卡应用。它支持圈存、圈提、消费、取现等交易。
什么叫电子钱包：（EP）
小额支付的智能储值卡，持卡人预先在卡中存入一定的金额，交易 时直接从储值账户中扣除交易金额。
名词解释
什么是CA
CA是Certification Authoritcation的缩写，即证书颂发机构，他是一个负 责发放和维护数字证书的实体，一般是第三方的。
CFCA
中国金融IC卡 根CA系统
加密机
➢ 根CA
CFCA负责维护和运营，为全国 PBOC2.0金融IC卡发卡机构提供 PBOC2.0标准的银行IC卡支付系统证书 服务，包括根CA公钥证书下发和发卡 机构证书签发服务
根CA 公钥
收单机构
根CA 公钥
1. 发卡行
发卡银行作为具体开展PBOC2.0标准IC 卡业务的机构，负责实现发卡银行证书 申请、管理及密钥管理等，同时实现IC 卡的证书签发、子密钥及发卡数据生成 ，并写入IC卡中。
什么是数字证书
数字证书就是数字化的文件，里面有一个实体(如网站，个人等)的公共密 钥（公钥）和其他的属性，如名称、CA信息、加密算法等。该公共密钥 只属于某一个特定的实体，它的作用是防止一个实体假装成另外一个实体 。
加密算法都有哪些： 加密算法主要分为对称加密和非对称加密。 对称加密是指双方拥有相同的密钥，用这个密钥加密的也可以用这个密钥
第二部分 PBOC2.0规范介绍
第一部分：IC卡介绍
一、IC卡的定义 二、IC卡分类 三、IC卡安全保证
一、IC卡的定义
IC卡 (Integrated Circuit Card，集成电路卡)， 有些国家和地区也称智能卡(smart card)、智慧卡
(intelligent card)、微电路卡(microcircuit card)或微芯 片卡等。 它是将一个微电子芯片嵌入符合ISO 7816标准的卡基中 ，做成卡片形式。
政策意见
金融IC卡
二、安全规定
PBOC2.0对安全的规定
密钥管理体系 PIN 脱机认证
说明：
要实现PBOC2.0中规定的脱机数据认证，需要建立起完善的非对称密 钥管理体系。 IC卡认证中心体系结构采用2级架构，即根CA和发卡行CA。
PBOC2.0规范安全体系
➢ 从PBOC2.0标准IC卡的发卡流程分析了整体 的结构。如图所示，整体分为两级体系结 构：
报文鉴别技术，数据加密通讯技术等保证IC卡的数据在存储和交易过 程中的完整性，有效性和真实性。
IC卡合法性确认能够对存储器分区保护（一般将IC卡中存储器的数据 分成3个基本区：公开区、工作区和保密区），从而有效地防止对IC卡 进行非法读写和修改。技术有身份鉴别：一般是验证PIN。
第二部分：PBOC2.0规范介绍
存储器卡
其内嵌芯片相当于普通串行E2PROM存储器，这类卡信息存储方便，使 用简单，价格便宜，很多场合可替代磁卡，但由于其本身不具备信息 保密功能，因此，只能用于保密性要求不高的应用场合。
逻辑加密卡
加密存储器卡内嵌芯片在存储区外增加了控制逻辑，在访问存储区之 前需要核对密码，只有密码正确，才能进行存取操作，这类信息保密 性较好，使用与普通存储器卡相类似。
IC卡读卡器
IC卡读卡器是IC卡与应用系统间的桥梁，在ISO国际标 准中称之为接口设备IFD(Interface Device)。IFD内CPU 通过一个接口电路与IC卡相连并进行通信。
IC卡接口电路是IC卡读写器中至关重要的部分，根据实 际应用系统的不同，可选择并行通信、半双工串行通信 和I2C通信等不同的IC卡读写芯片。
金融IC卡知识 交流
名词解释
PBOC是中国人民银行的英文名称的缩写，也就是我们平时所说的央 行。
PBOC2.0是中国人民银行颁布的第二代金融IC卡规范的简称，利用 金融IC卡，能够有效解决目前使用磁条卡时存在的假卡、脱机交易 安全等问题。
什么叫电子存折：电子存折 Electronic Deposit（ED）
（2）同时，发卡银行还必须建立发卡行CA。它是根CA的子CA，负责生成 发卡行CA的公私钥对，向根CA申请并管理自己的证书。此外，发卡行CA 与发卡系统交互，为持卡人签署静态应用数据以进行静态认证，或签发IC 卡证书以进行动态认证，同时将自己的公钥证书也写入IC卡。
（3）为了建立PBOC2.0标准卡受理环境，收单行要负责建立终端管理系 统，将IC卡根CA公钥分发到受理终端（POS/ATM），并对远程终端进行设 备管理、状态监控及信息管理（包括程序、参数下载）。
CPU卡介绍
CPU卡
CPU卡内嵌芯片相当于一个特殊类型的单片机，内部除了带有控制器、存储器 、时序控制逻辑等外，还带有算法单元和操作系统(COS)。由于CPU卡有存储容 量大、处理能力强、信息存储安全等特性。广泛用于信息安全性要求特别高的 场合。
COS的全称是Chip Operating System(片内操作系统)，它一般是紧紧围绕 着它所服务的智能卡的特点而开发的。由于不可避免地受到了智能卡内微 处理器芯片的性能及内存容量的影响，因此，COS在很大程度上不同于我 们通常所能见到的微机上的操作系统(例如DOS、UNIX等)。
对比项目
IC卡
磁卡
防伪性
很强，极难伪造
容易复制
抗破坏性
抗机械
化学破坏能力强
抗磁
抗磁电能力强
不能抗强磁和静电
信息保存期
10年以上
2年以下
信息存储量
大
小
保密性
高
低
耐用性
擦写次数10万次以上
数千次
灵活性
带有智能性
被动的存储介质
成本
目前较高
低
读写终端设备成本
低
高
系统网络环境要求
低
高
二、IC卡分类
IC分类（1）
单片机微处理器， 在COS控制下实 现通讯、加解密、 判别处理
加解密运算 的协处理器
存放COS （片内操 作系统）
存放中间结果 及卡与读写器 之间的信息交 换缓存
用户访问的存储
区，保存卡信息、
密码、密钥、应
用文件等
15
IC卡分类（3）
根据卡的应用领域不同可划分为：
金融卡：也称为银行卡， 又可以分为信用卡和现金卡两种。前者用于消费支付时，可按预 先设定额度透支资金；后者可作为电子钱包或者电子存折，但不 能透支。
POS机
发卡机构
发卡行 证书
密钥管 理中心
加密机
数据准 备系统
卡片个人 化系统
加密机
? ? 打卡机
发卡行证书 应用密钥 卡片证书
脱机证书认证
IC卡片
24
安全设计
（1）为了建立中国金融IC卡安全认证体系，必须首先建立根CA。根CA负 责生成和管理根CA证书、签发发卡行CA证书，是中国金融IC卡证书体系的 信任根，具有非常重要的地位。
一．规范简介 二．规范的安全规定 三．规范及应用分析
一、PBOC2.0规范简介
➢ PBOC规范2.0标准在原《中国金融集成电路（IC）卡规范v1.0》的基础上进行完善升级而成； ➢ PBOC规范2.0标准以EMV2000标准为基础，参照相关银行卡跨国公司的借记/贷记标准制定而成；
PBOC规范2.0标准与VIS、M/CHIP属于同一级别的规范体ห้องสมุดไป่ตู้。
20
PBOC2.0规范简介：
JR/T 0025《中国金融集成电路（IC）卡规范》由以下13部分组成： 第1部分：电子钱包/电子存折卡片规范； 第2部分：电子钱包/电子存折应用规范； 第3部分：与借记/贷记应用无关的IC卡与终端接口需求； 第4部分：借记/贷记应用规范； 第5部分：借记/贷记卡片规范； 第6部分：借记/贷记终端规范； 第7部分：借记/贷记安全规范； 第8部分：与应用无关的非接触式规范； 第9部分：电子钱包扩展应用指南； 第10部分：借记/贷记应用个人化指南； 第11部分：非接触式IC卡通讯协议执行规范； 第12部分：非接触式IC卡支付规范； 第13部分：基于借记/贷记应用的小额支付规范。 借贷记应用和原来相比,在业务上区别不大,主要是在安全认证上的规范!
IC卡安全保证
常用的安全技术有: 常用的物理安全措施有：
采用高技术和昂贵的制造工艺，使无法伪造； 在制造和发行过程中，一切参数严格保密； 制作时在存储器外面加若干保护层，防止分析其中内容，即很难破译
； 在卡内安装监控程序，以防止处理器或存储器数据总线和地址总线的
截听。
常用的逻辑安全措施有：
首先，COS是一个专用系统而不是通用系统。即：一种COS一般都只能应 用于特定的某种(或者是某些)智能卡，不同卡内的COS一般是不相同的。
其次，COS的主要功能是控制智能卡和外界的信息交换，管理智能卡内的 存储器并在卡内部完成各种命令的处理。其中，与外界进行信息交换是 COS最基本的要求。
CPU卡内部结构
非金融卡：也称为非银行卡，涉及范围十分广泛，实际包含金融 卡之外的所有领域，诸如电信、旅游、教育和公交等等。
政府应用卡：现在应用较广泛，比如最近大力推广的社保卡。
三、IC卡安全问题
作为电子货币的IC卡，其上记录有大量重要信息，安全性是很重要 的，作为IC卡应用系统开发者必须为IC卡系统提供合理有效的安全 措施，以保证IC卡及其应用系统的数据安全。 影响IC卡及应用系统安全的主要方式有： 使用用户丢失或被窃的IC卡，冒充合法用户进入应用系统，获得非 法利益； 用伪造的或空白卡非法复制数据，进入应用系统，获得非法利益； 使用系统外的IC卡读写设备，对合法卡上的数据进行修改，改变操 作级别等； 在IC卡交易过程中，用正常卡完成身份认证后，中途变换IC卡，从 而使卡上存储的数据与系统中不一致； 在IC卡读写操作中，对接口设备与IC卡通信时所作交换的信息流进 行截听，修改，甚至插入非法信息，以获取非法利益，或破坏系统 。
当该用户发送文件时，用私钥签名，别人用他给的公钥解密，可以保证该信息是由他发 送的。即数字签名。
当该用户接受文件时，别人用他的公钥加密，他用私钥解密，可以保证该信息只能由他 接收到。可以避免被其他人看到。
A的私钥 签名 B的公钥 加密
A的公钥 验证 B的私钥 解密
用户 A
用户 B
目录
第一部分 IC卡介绍