CPU卡与SAM卡原理
常见卡片与国密CPU卡应用于门禁系统比对
采用国密非接触IC卡门禁系统的技术方案门禁系统现状及存在问题非接触IC卡的种类及相关标准国密非接触IC卡密钥系统国密非接触IC卡发行机制国密非接触IC卡门禁系统方案门禁系统现状及存在问题门禁系统采用的门禁卡分为两类:125KHZ的低频只读卡、的高频读写卡。
125KHZ的低频只读卡,与普通磁卡类似,明码格式,无需要破解,用通用编程器可仿制卡号。
早期技术,安全性差。
属于淘汰技术,通常用于安全性要求不高的小区,不适用于涉密单位。
而部机关采用的门禁卡正是此卡。
的高频读写卡,属于卡,可以理解为带口令的U盘,由口令来保护卡类数据,安全级别中等,通常用来做为小额电子钱包、身份识别卡。
此次被破解的Mifare 1卡属于此类的一种,在也有采用。
因此门禁系统存在安全隐患!非接触IC卡的种类及相关标准在讨论如何消除目前的隐患前,我们先总结一下非接触IC卡的技术总体现状。
非接触IC 卡已彻底取代磁卡,成为自动识别卡片的主流。
非接触IC卡按照频率,可以划分为四类。
如表所示。
125KHZ的低频只读卡,出现在1979年,这些低频卡的ID号存储介质是EEPROM,具有电擦写功能,可反复多次写入,因此ID号极易伪造,且无相关的国际标准。
超高频、微波卡是近几年的新产品,读卡最大距离达10m。
相关ISO/IEC 18000国际标准没有最终完成。
高频读写卡,是应用最广泛的,诞生于1993年,此后不断发展,产品线不断丰富。
根据读卡距离不同,分为两个标准,ISO/IEC 14443标准、ISO/IEC 15693。
ISO/IEC 14443最大距离为10cm,ISO/IEC 15693标准非接触IC卡最大距离为100cm。
非接触IC卡工作频率为,比通常125KHZ的低频卡传输速率快100倍。
ISO/IEC 14443根据信号调制方式不同,分别有TYPE A、TYPE B两个分支,分为3DES卡、国密卡两大类。
Mifare卡是符合ISO/IEC 14443 TYPE A的卡,存储空间为1K字节。
IC卡、M1卡、CPU卡、SAM卡、PSAM卡的联系与区别
IC卡、M1卡、CPU卡、SAM卡、PSAM卡的联系与区别一、技术方面(非接触式IC卡)1、逻辑加密卡又叫存储卡,卡内的集成电路具有加密逻辑和EEPROM(电可擦除可编程只读存储器)。
2、CPU卡又叫智能卡,卡内的集成电路包括中央处理器(CPU)、EEPROM、随机存储器(ROM)、以及固化在只读存储器(ROM)中的片内操作系统(COS),有的卡内芯片还集成了加密运算协处理器以提高安全性和工作速度,使其技术指标远远高于逻辑加密卡。
3、CPU卡由于具有微处理功能,使得在交易速度以及数据干扰方面远远高于逻辑加密卡,且允许多张卡片同时操作,具有防冲突机制。
4、两者在技术方面的最大区别在于:CPU卡是一种具有微处理芯片的IC卡,可执行加密运算和其它操作,存储容量较大,能应用于不同的系统;逻辑加密卡是一种单一的存储卡,主要特点是内部有只读存储器,但存储容量较CPU卡小,使其在用途方面没有扩展性。
二、保密方面(非接触式IC卡)1、逻辑加密卡具有防止对卡中信息随意改写功能的存储IC 卡,当对加密卡进行操作时必须首先核对卡中密码,只有核对正确,卡中送出一串正确的应答信号时,才能对卡进行正确的操作,但由于只进行一次认证,且无其它的安全保护措施,容易导致密码的泄露和伪卡的产生,其安全性能很低。
2、由于CPU卡中有微处理机和IC卡操作系统(COS),当CPU卡进行操作时,可进行加密和解密算法(算法和密码都不易破解),用户和IC卡系统之间需要进行多次的相互密码认证(且速度极快),提高了系统的安全性能,对于防止伪卡的产生有很好的效果。
综上所述,对于逻辑加密卡和CPU卡来说,CPU卡不仅具有逻辑加密卡的所有功能,更具有逻辑加密卡所不具备的高安全性、灵活性以及支持与应用扩展等优良性能,也是今后IC 卡发展的主要趋势和方向。
三、CPU卡安全系统与逻辑加密系统的比较众所周知,密钥管理系统(Key Management System),也简称KMS,是IC项目安全的核心。
SAM卡概述
第一个问题:为什么要用SAM?究竟谁最开始使用SAM这个词,已经无从考证,能够确认的是:这个世界上先有了PSAM,然后才有了SAM。
由于网络状况的原因,或者是应用环境的要求,使用IC卡作为支付介质的系统里面,消费环境不能在每次交易的时候,都做到实时与后台相连接认证IC卡的合法性以及交易完全性。
因此,一种我们目前已经认可的交易模式——“电子钱包脱机消费”产生了。
即便目前通讯技术发展到已经不存在技术障碍,在权衡风险、代价、方便性等等,我们还是要继续使用并发扬光大脱机消费这样一个模式。
由此,就需要对发生交易的终端有所要求,一是能够鉴别IC卡的真伪,再者需要能够保证交易的合法性与安全性,本着不把终端制造商拉下水的目的,于是,坚持一个原则:终端设备与系统安全机制别离,即所有有关安全性的因素,都放置到一个叫PSAM卡里面,由系统发行方来发行管理。
没有PSAM卡的消费终端,相当于没有SIM卡的,安装PSAM 卡以后,该消费终端就获得了系统运营商的许可,有权鉴别卡片的真伪,有权从卡上的钱包扣款。
因此,PSAM的解释为:销售点终端安全存取模块〔Purchase Secure Access Module〕。
上述最初起源自金融领域IC卡电子钱包支付系统中的消费应用。
在迅猛发展,并极具想象力的IC卡行业,PSAM的应用模式很快得到了延伸,去掉了P 〔Purchase〕的限制之后的SAM〔Secure Access Module〕,被用于很多模式中,变成了“各种终端内嵌入的、认证及存储所有安全数据与敏感信息的设备”。
SAM 是一个统称,SAM可以是一张标准尺寸的IC卡大小,更多的时候还是符合ISO/IEC 7810里面ID-000标准的小卡形状,也可以是一个DIP8或者SOP8/16封装的IC集成电路形状。
如同印章一样,放一个SAM到一个通用的设备里面,说明运营商获得这个设备的控制权和所有权,才能完成该终端赋予的各种功能。
非接触式IC卡种类详解
非接触式IC卡详解一、非接触式IC卡种类IC卡(按接口方式:接触式,非接触式,双界面卡);(根据内嵌IC:存储器卡,逻辑加密卡,CPU卡)1、逻辑加密卡非加密存储器卡:卡内的集成电路芯片主要是EEPROM,具有数据存储功能,不具有数据处理功能和硬件加密功能。
逻辑加密存储卡:在非加密存储卡的基础上增加了加密逻辑电路,加密逻辑电路通过效验密码方式来保护卡内的数据对于外部访问是否开放,但是是低层次的安全保护,无法防范恶意性的攻击。
2、CPU卡也称智能卡,卡内的集成电路中带有微处理器CPU、存储单元(包括随机存储器RAM、程序存储器ROM(FLASH)、用户数据存储器EEPROM)以及芯片操作系统COS。
装有COS 的CPU卡相当于一台微型计算机,不仅具有数据存储功能,同时具有命令处理和数据安全保护等功能。
3、双界面卡◆双界面卡定义双界面CPU卡(TimeCOS/DI)是基于单芯片的、集接触式与非接触式接口为一体的智能卡,这两种接口共享同一个微处理器、操作系统和EEPROM。
卡片包括一个微处理器芯片和一个与微处理器相连的天线线圈,由读写器产生的电磁场提供能量,通过射频方式实现能量供应和数据传输。
◆产品型号目前,TimeCOS/DI卡有两种:一种是基于飞利浦公司的Mifare PRO—MF2ICD80双接口芯片开发的,其接触部分符合ISO7816和《中国金融集成电路IC卡规范》的要求,非接触部分符合ISO14443规范中的TYPE A类标准。
另一种是即将推出的基于西门子公司的SLE66CLXX系列双接口芯片开发的,接触部分符合ISO7816和《中国金融集成电路IC卡规范》,非接触部分支持ISO14443—TYPE A或TYPE B的双界面卡。
卡片容量有8K BYTE 、16K BYTE可选。
◆产品参数芯片技术性能参数双界面卡的优势i) 一卡多用、一卡通用:卡片支持多应用:一张卡片可以集成多个不同应用多行业、多应用同时发卡。
智能卡知识培训材料
3. CPU 卡: 卡中的集成电路包括中央处理器 CPU、EEPROM、随机存储器 RAM 以及固化在只读存储器
ROM 中的片内操作系统 COS(ChiPOperatingSystem)。应该说只有 CPU 卡才是真正意义上的智 能卡。通俗地讲就是指芯片内含有一个微处理器,它的功能相当于一台微型计算机。CPU 卡的使用相对简单点,因为都是按统一标准制作的,命令也都很相似。
卡中的集成电路芯片在 EEPROM 存储器外增加了安全及控制逻辑,一般在访问存储区 之前需要核对密码,只有密码正确,才能进行存取操作,为了防止卡片的非法使用,一般都 有错误计数器来限制核对密码的次数。这类卡的保密性较好,使用与普通存储器卡相类似, 现在的使用非常广泛。典型的比如:4442,4428,102,1604 等
顾名思义这种卡包括了接触式和非接触式两种使用方式。即可以使用接触的芯片触点和 读写设备进行通讯,也可以通过卡片上非接触的电路和非接触式读写设备进行通讯。例如大 连城市一卡通系统,发行大连“明珠卡“,使用的就是双界面卡,用户即可以使用在接触式 的充值机上充值,又可以在公共汽车上方便的刷卡。还可以用于以后的城市公共事业领域的 水电气表收费、金融支付、购物等等。
智能卡知识培训材料
一、智能卡的来源和发展 IC 卡的概念是 70 年代提出的,法国 BULL 公司首创 IC 卡产品, 使集成电路芯片嵌入一张 PVC
之类的材料制成的卡内变成了现实,这就是今天人们所说的 IC 卡。并将这项技术应用到金融,交通,医疗, 身份证明等多个方面.IC 卡的核心是集成电路芯片,一般为 3um 以下半导体技术制造.IC 卡具有写入数据 和存储数据的能力.IC 可存储其中的内容根据需要可以有条件的供外部读取,或供内部信息处理和校验 用.智能卡的名称来源于英文名词“Smart card”,又称集成电路卡,即 IC 卡(Integrated Circuitcard)。它将 一个集成电路芯片镶嵌于塑料基片中,封装成卡的形式
CPU卡密钥管理
CPU 卡密钥管理随着CPU 卡价格的下降、各方对加密性要求的不断提高以及智能燃气表用户的增多,部分IC 卡燃气表厂商在探讨将CPU 卡应用于燃气表。
通过选择带CPU 的智能型IC 卡,利用片内CPU 的运算能力和监控程序,将国际通行的各种加密算法(如DES 、RSA 等)应用于卡片的加密处理,使IC 卡的安全性能达到相当高的水平。
CPU 卡以其加密性能好、并且具有很好的兼容性、可扩充性、规范性、方便与金融系统接轨等优点,目前已有取代逻辑加密卡而广泛应用于市场的趋势。
CPU 卡采用密钥管理机制,认证过程通过加密算法动态运行,在实际应用中被破译或攻击的可能性很小。
现在越来越多的表中安装SAM 模块,安全性由CPU 卡与SAM 模块相互认证完成,与生产厂家无关。
安全存取模块(SAM )实际上也是CPU 卡,是将CPU 卡芯片封装成模块形状。
SAM 由管理部门进密钥初始化后提供给燃气表生产厂商安装,也可由燃气管理部门在智能表使用前对SAM 模块进行初始化。
同时,用户CPU 卡也装入相同的密钥,由用户卡与SAM 模块进行双向的密钥认证。
一、 IC 卡的密码学密码系统的基本工作方式:把一个原本的消息(原文)通过加密算法和加密密钥转换成编码的消息(密文)。
密文可由解密算法和解密密钥还原成原文。
根据现代密码学的观点,人们已习惯于把加密算法制订为标准并公开。
故系统的秘密通常保留在密钥上。
密码系统可分为不同的两类,即对称密钥系统(保密密钥系统)和非对称密钥系统(公开密钥系统)。
1、 对称密钥系统对称算法是用同一个密钥来加密和解密。
这一类中最广泛使用的是DES 分组加密算法以及3-DES 算法,它把传统的代替法和换位法进行多次组合,利用分散和错乱的相互作用得出了密码强度很高的密文。
DES 是目前最流行、最实用的加密算法,保持着最活跃的生命力。
但随着信息技术的突飞猛进,也逐渐暴露出它的一些不足:☐ 密钥的管理和分配问题:对于一个有n 个用户的网络,需实现两两加密互通,需n •(n-1)÷2个密钥。
CPU门禁系统讲解课件
国内外M1卡市场情况
全球销售约20亿张M1卡 全球M1机具超过7百万台 2008年中国M1市场销售总量约1.5亿张
何去何从?
ID技术
国外技术
国产技术
CPU卡安全性优势
CPU卡:真正意义上的智能化非接触式,CPU卡内具有中央处 理器(CPU)、随机存储器(RAM)、程序存储器(ROM)、数据存 储器(EEPROM)以及片内操作系统(COS),CPU卡不仅仅是单一的 非接触卡,而是一个带有卡片操作系统(COS)的应用平台,装有 COS的CPU卡相当于一台微型计算机,不仅具有数据存储功能,同时 具有命令处理、计算和数据加密等功能。
SAM卡是一种具有特殊性能的CPU卡,用于存放密钥和加密算法,可 完成交易中的相互认证、密码验证和加密、解密运算。
发卡时,将主密钥存入SAM卡中,由SAM卡中的主密钥,对用户卡的 特征字节加密生成子密钥,将子密钥注入用户卡中。使每张用户卡内 的子密钥都不同。
安全门禁读卡器
技术参数:
支持卡片:CPU卡(符合ISO14443标准) 应用环境:用于门框、竖框和其它狭窄空间上 读卡距离:40mm 安全芯片:PSAM卡/SAM模块 密 钥:自定义密钥,长度128位 安 全:卡和读卡器之间采用安全算法进行加密 输出格式:支持多种输出格式 防拆探测:支持
加密传输
M1卡
M1卡的三次认证及输入加密传输等安全特性指的是M1卡与 RC500等NXP基站芯片(或兼容芯片)之间的认证和加密.这个
算法和机制被破解.
常用的伪造方式
针对单一卡片的伪造/变造包括以下三种常用情况:
伪造的核心是利用算法弱点!
M1事件的影响
2008 年8月,荷兰内务部命令对M1系统的安全性进行重新评估。 欧洲部分重要工程受影响停工。
由M1卡破解带来的危险以及应对方法word文档
由M1卡破解带来的危险以及应对方法一、CPU卡有效防范M1卡算法破解的比较好的解决方案就是升级改造。
并逐步将M1逻辑加密卡替换为CPU卡。
CPU卡拥有独立的CPU处理器和芯片操作系统,可以更灵活的支持各种不同的应用需求,更安全的设计交易流程。
当CPU卡进行操作时,可进行加密和解密算法,算法和密码都不易破解。
用户卡和系统之间需要进行多次的相互密码认证(且速度极快),提高了系统的安全性能,对于防止伪卡的产生有很好的效果。
CPU卡和逻辑加密卡是完全不同的两种卡片,它们的认证机制完全不同。
CPU卡由于内部具有CPU处理器和操作系统COS,认证的过程完全是在用户卡与SAM卡之间进行的,认证过程中传送的是随机数和密文,读卡器基站芯片只是一个通讯通道;认证过程不能复制;使用的算法是公开算法,其安全性是基于CPU卡对密钥的保护而非对算法的保护。
密钥在用户卡和SAM卡内都不能读出,而且密钥的安装是通过密文进行,系统上线后即使是发卡人员和开发人员也无法得到密钥明文,从根本上保证了系统的安全性。
正是由于意识到了M1卡潜在的安全性问题,建设部才多次开会推广使用CPU卡。
双界面CPU 卡更是由于其应用的灵活性和对金融规范的支持得到了各方的赞赏。
当然,一个系统的安全性不仅仅取决于采用了哪种卡片和哪种安全机制,而且通过系统设计上的安全手段也能够弥补一些卡片安全上的不足。
一个产品的安全性不能依赖于某一个方面的单个安全,更多的应从一个系统的整体的逻辑上去完善安全、把可能出现的不安全特征通过整体的系统完善起来.针对原有不安全的系统进行改造。
例如在建设部的IC卡规范中对于M1卡的一卡一密就规定了在SAM中计算卡片密码前必须校验卡中的MAC认证码,这在很大程度上降低了盗用SAM卡的可能性。
然而遗憾的是大部分M1卡应用系统并没有采用类似的补救手段,而且这种手段也不能完全杜绝克隆卡、伪造卡的使用。
黑名单等防范手段虽然有效,但毕竟属于事后防范,难以从根本上解决问题。
CPU卡系统原理说明
CPU卡系统原理卡结构说明发卡器具有4个功能:发母卡,发PSAM卡,发用户卡,读用户卡。
一、发母卡:1、选择母卡根目录,用母卡出厂密钥进行外部认证,擦除卡片内容2、建立母卡根目录下的KEY文件,写入母卡主控密钥,此主控密钥和出厂密钥相同3、创建一个ADF目录,建立ADF目录下的KEY文件4、在ADF的KEY文件里写入4个密钥:导出密钥1:用来导出密钥到标准算法的PSAM卡和CPU卡导出密钥2:用来导出密钥到国密算法的PSAM卡和CPU卡导出保护密钥1:等于PSAM的根目录的主控密钥,用于把导出密钥加密写到PSAM卡导出保护密钥2:等于用户卡的根目录的主控密钥,用于把分散后的导出密钥加密写入用户卡。
根据用户输入的3个因子生成导出密钥1和导出密钥2.二、发PSAM卡:1、选择PSAM卡根目录,用PSAM卡出厂密钥进行外部认证,擦除卡片内容。
2、建立PSAM根目录下的KEY文件,写入PSAM卡主控密钥,此主控密钥和出厂密钥相同。
3、创建一个ADF目录,建立ADF目录下的KEY文件4、选择母卡的ADF目录,选择PSAM卡的ADF目录,对标准算法,用导出保护密钥1加密导出密钥1,不分散,把得到的密文写入到PSAM 卡的ADF目录下的KEY文件。
做为加密密钥。
对国密算法,用导出保护密钥1加密导出密钥2,不分散,把得到的密文写入到PSAM 卡的ADF目录下的KEY文件。
做为加密密钥。
三、发用户卡1、读用户CPU卡的4字节UID,组合成8字节分散因子。
2、选择CPU卡根目录,用CPU卡出厂密钥进行外部认证,擦除卡片内容。
3、建立根目录下KEY文件,写入CPU卡主控密钥,此主控密钥和出厂密钥相同4、创建一个ADF目录,建立ADF目录下的KEY文件。
5、选择母卡ADF目录,选择CPU卡ADF目录对标准算法,用导出保护密钥2加密导出密钥1,用CPU卡UID组合成的8字节做为分散因子,把得到的密文写入到CPU卡的ADF目录下的KEY文件。
cpu卡psam卡
cpu卡psam卡cpu卡,sam卡原理第一部分 CPU基础知识一、为什么用CPU卡IC卡从接口方式上分,可以分为接触式IC卡、非接触式IC卡及复合卡。
从器件技术上分,可分为非加密存储卡、加密存储卡及CPU卡。
非加密卡没有安全性,可以任意改写卡内的数据,加密存储卡在普通存储卡的基础上加了逻辑加密电路,成了加密存储卡。
逻辑加密存储卡由于采用密码控制逻辑来控制对EEPROM的访问和改写,在使用之前需要校验密码才可以进行写操作,所以对于芯片本身来说是安全的,但在应用上是不安全的。
它有如下不安全性因素:1、密码在线路上是明文传输的,易被截取;2、对于系统商来说,密码及加密算法都是透明的。
3、逻辑加密卡是无法认证应用是否合法的。
例如,假设有人伪造了ATM,你无法知道它的合法性,当您插入信用卡,输入PIN的时候,信用卡的密码就被截获了。
再如INTENET网上购物,如果用逻辑加密卡,购物者同样无法确定网上商店的合法性。
正是由于逻辑加密卡使用上的不安全因素,促进了CPU卡的发展。
CPU卡可以做到对人、对卡、对系统的三方的合法性认证。
二、 CPU卡的三种认证 CPU卡具有三种认证方法:持卡者合法性认证――PIN校验卡合法性认证――内部认证系统合法性认证――外部认证持卡者合法性认证:通过持卡人输入个人口令来进行验证的过程。
系统合法性认证(外部认证)过程:系统卡,送随机数X[用指定算法、密钥]对随机数加密[用指定算法、密钥]解密Y,得结果Z比较X,Z,如果相同则表示系统是合法的;卡的合法性认证(内部认证)过程:系统卡送随机数X用指定算法、密钥]对随机数加密 [用指定算法、密钥]解密Y,得结果Z 比较X,Z,如果相同则表示卡是合法的;在以上认证过程中,密钥是不在线路上以明文出现的,它每次的送出都是经过随机数加密的,而且因为有随机数的参加,确保每次传输的内容不同。
如果截获了没有任何意义。
这不单单是密码对密码的认证,是方法认证方法,就象早期在军队中使用的密码电报,发送方将报文按一定的方法加密成密文发送出去,然后接收方收到后又按一定的方法将密文解密。
智能卡介绍
智能卡属性介绍CPU卡一、CPU卡的概念CPU卡又叫智能卡,卡内具有中央处理器(CPU)、随机存储器(RAM)、程序存储器(ROM)、数据存储器(EEPROM)以及片内操作系统(COS)。
常分为接触式CPU卡与非接触式CPU卡两种。
二、CPU卡的应用领域CPU卡可适用于金融、保险、电信、政府行业等多个领域,具有用户空间大、读取速度快、支持一卡多用等特点,并已经通过中国人民银行和国家商秘委的认证。
金融智能卡:符合《中国金融集成电路(IC卡)规范》,通过了中国人民银行检测,支持一卡多用,支持多种文件类型,支持中国人民银行认可的Single DES、Triple DES算法,支持中国人民银行规定的电子钱包和电子存折功能。
社保卡:支持一卡多用,各应用之间相互独立。
符合《社会保障(个人)卡规范》和《中国金融集成电路(IC)卡规范》,并通过了劳动和社会保障部检测。
电子商务智能卡:能够快速完成RSA算法的签名、认证、加密、解密运算,可在卡片内生成1024位RSA密钥对,支持一卡多用,各应用之间相互独立。
符合《中国金融集成电路(IC)卡规范》,并已通过国家商业密码管理委员会的安全测试。
终端安全控制模块:符合《中国金融集成电路(IC卡)PSAM卡规范》,包括普通PSAM卡和高速PSAM卡。
SAM卡:安全存取模块SAM是智能卡应用系统中安全控管的核心。
SIM卡:移动通讯用户识别卡,符合GSM11.11,手机不但可以传输语音数据,还可以进行金融交易,电子商务等多种应用。
三、接触式CPU卡目前接触式CPU卡在社保、有线电视、金融、电信等领域使用广泛。
接触式CPU芯片一般配备相应COS系统。
比如:社保CPU芯片一般有华大公司的CIU92A08/CIU92L16、华虹公司的SHC1201/SHC1209/SHC1216等等,相应的COS厂家有华大公司(MCOS)/握奇公司(TimeCOS)、华虹公司(社会保障卡COS)等。
了解计算机硬件从CPU到显卡的工作原理
了解计算机硬件从CPU到显卡的工作原理计算机硬件从CPU到显卡的工作原理在如今信息科技高度发达的时代,计算机已经成为了人们生活中不可或缺的工具。
而计算机的硬件部分,包括中央处理器(CPU)和显卡(Graphics Processing Unit,GPU),是实现计算机功能的关键组成部分。
了解计算机硬件从CPU到显卡的工作原理,对于我们理解计算机的基本原理和优化计算机性能非常重要。
一、中央处理器(CPU)的工作原理中央处理器是计算机中的“大脑”,负责执行各种指令,控制计算机的操作。
CPU又可分为运算器、控制器和寄存器等部分。
1. 运算器:负责完成计算和逻辑操作。
它由算术逻辑单元(ALU)和累加寄存器等组成。
ALU是执行加、减、乘、除以及与、或、非等逻辑运算的核心。
累加寄存器用于存放计算结果。
2. 控制器:负责从计算机内存中读取指令,并根据指令控制计算机的操作。
控制器包括指令寄存器、程序计数器和指令译码器。
指令寄存器用于存放从内存中读取的指令,程序计数器则记录当前执行指令的地址。
指令译码器分析指令的内容并执行相应的操作。
3. 寄存器:用于暂时存放数据和指令。
寄存器速度非常快,其数据可以直接被CPU访问。
常见的寄存器有通用寄存器、程序计数器和标志寄存器等。
中央处理器的工作原理可以简单概括为:从内存中读取指令,控制器对指令进行译码,然后运算器根据指令进行相应的计算和逻辑操作。
二、显卡(GPU)的工作原理显卡是计算机中负责图像处理和显示的关键部件。
它通过将数字信号转换为模拟信号,输出给显示器,实现图像的显示。
显卡主要由显卡芯片、显存和图形输出接口等组成。
1. 显卡芯片:是显卡的核心部件,也被称为GPU(Graphics Processing Unit)。
GPU包含大量的处理单元和运算单元,用于处理图形数据。
GPU的核心是一个非常复杂的微处理器,具备强大的并行计算能力。
2. 显存:用于存储图像数据和图形运算所需的数据。
一种基于国密算法CPU卡的门禁系统方案的设计
一种基于国密算法CPU卡的门禁系统方案的设计文燕;齐蕾【摘要】为了提高门禁系统的安全便利性,提出了一种基于国密算法的CPU卡的门禁系统的解决方案。
首先对门禁系统的组成进行了介绍,接着论述了非接触CPU 卡的相对于非接触逻辑加密卡的特点及优势;基于国密算法SM1的特点以及配合落实住建部重要门禁系统密码应用安全管理工作要求,提出了一种基于国密SM1算法CPU卡的门禁系统解决方案。
基于国密算法CPU卡的门禁系统解决方案能够满足最新门禁系统市场需求,具有安全、灵活多样等多种的特点。
%In order to improve the safety and convenience of the access control system, an access control system solution based on the State Secret code algorithms SM1CPU card is proposed. Firstly, the composition of access control systems was introduced. Then, the characteristics and advantages of non-contact CPU card relative to the non-logic encryption card was discussed, Based on the characteristics of SM1 and requirements of Mimistry of Housing and Urba-Rural Development. An access control system solution based on the State Secret code algorithms SM1CPU card is proposed. The program can meet the market demand for the latest access control systems and has the features of safety and flexible.【期刊名称】《电子设计工程》【年(卷),期】2012(020)003【总页数】3页(P82-84)【关键词】门禁系统;CPU卡;国密SM1算法;解决方案【作者】文燕;齐蕾【作者单位】广东省信息中心,广东广州510031;广东工业大学网络信息与现代教育技术中心,广东广州510006【正文语种】中文【中图分类】TN919.72门禁系统,就是数字化的对人员出入进行管理的智能化系统,又称为出入管理控制系统[1],是公司、银行、工厂、军械库、生活小区等地方的出入口实现安全防范管理的有效保障。
cpu卡psam卡
cpu卡,sam卡原理第一部分CPU基础知识一、为什么用CPU卡IC卡从接口方式上分,可以分为接触式IC卡、非接触式IC卡及复合卡。
从器件技术上分,可分为非加密存储卡、加密存储卡及CPU卡。
非加密卡没有安全性,可以任意改写卡内的数据,加密存储卡在普通存储卡的基础上加了逻辑加密电路,成了加密存储卡。
逻辑加密存储卡由于采用密码控制逻辑来控制对EEPROM的访问和改写,在使用之前需要校验密码才可以进行写操作,所以对于芯片本身来说是安全的,但在应用上是不安全的。
它有如下不安全性因素:1、密码在线路上是明文传输的,易被截取;2、对于系统商来说,密码及加密算法都是透明的。
3、逻辑加密卡是无法认证应用是否合法的。
例如,假设有人伪造了ATM,你无法知道它的合法性,当您插入信用卡,输入PIN的时候,信用卡的密码就被截获了。
再如INTENET网上购物,如果用逻辑加密卡,购物者同样无法确定网上商店的合法性。
正是由于逻辑加密卡使用上的不安全因素,促进了CPU卡的发展。
CPU卡可以做到对人、对卡、对系统的三方的合法性认证。
二、CPU卡的三种认证CPU卡具有三种认证方法:持卡者合法性认证——PIN校验卡合法性认证——内部认证系统合法性认证——外部认证持卡者合法性认证:通过持卡人输入个人口令来进行验证的过程。
系统合法性认证(外部认证)过程:系统卡,送随机数X[用指定算法、密钥]对随机数加密[用指定算法、密钥]解密Y,得结果Z比较X,Z,如果相同则表示系统是合法的;卡的合法性认证(内部认证)过程:系统卡送随机数X用指定算法、密钥]对随机数加密[用指定算法、密钥]解密Y,得结果Z比较X,Z,如果相同则表示卡是合法的;在以上认证过程中,密钥是不在线路上以明文出现的,它每次的送出都是经过随机数加密的,而且因为有随机数的参加,确保每次传输的内容不同。
如果截获了没有任何意义。
这不单单是密码对密码的认证,是方法认证方法,就象早期在军队中使用的密码电报,发送方将报文按一定的方法加密成密文发送出去,然后接收方收到后又按一定的方法将密文解密。
什么是CPU卡
什么是CPU卡,什么是CPU读卡器众所周知,密钥管理系统(Key Management System),也简称KMS,是IC项目安全的核心。
如何进行密钥的安全管理,贯穿着IC卡应用的整个生命周期。
一、首先我们要了解什么是MF1卡:IC-integrate circuit,集成电路IC卡是指集成电路卡,我们一般用的公交车卡就是IC卡的一种,一般常见的IC卡采用射频技术与IC卡的读卡器进行通讯.IC卡与磁卡是有区别的,IC卡是通过卡里的集成电路存储信息,而磁卡是通过卡内的磁力记录信息.IC卡的成本一般比磁卡高,但保密性更好。
IC卡(Integrated Circuit Card,集成电路卡)是继磁卡之后出现的又一种新型信息工具。
IC卡在有些国家和地区也称智能卡(smart card)、智慧卡(intelligent card)、微电路卡(microcircuit card)或微芯片卡等。
它是将一个微电子芯片嵌入符合ISO 7816标准的卡基中,做成卡片形式;已经十分广泛地应用于包括金融、交通、社保等很多领域。
IC卡读写器是IC卡与应用系统间的桥梁,在ISO国际标准中称之为接口设备IFD(Interface Device)。
IFD 内的CPU通过一个接口电路与IC卡相连并进行通信。
IC卡接口电路是IC卡读写器中至关重要的部分,根据实际应用系统的不同,可选择并行通信、半双工串行通信和I2C通信等不同的IC卡读写芯片。
非接触式IC卡简介又称射频卡,成功地解决了无源(卡中无电源)和免接触这一难题,是电子器件领域的一大突破。
主要用于公交、轮渡、地铁的自动收费系统,也应用在门禁管理、身份证明和电子钱包。
……ic卡原理:ic卡工作的基本原理是:射频读写器向IC卡发一组固定频率的电磁波,卡片内有一个IC串联协振电路,其频率与读写器发射的频率相同,这样在电磁波激励下,LC协振电路产生共振,从而使电容内有了电荷;在这个电荷的另一端,接有一个单向导通的电子泵,将电容内的电荷送到另一个电容内存储,当所积累的电荷达到2V时,此电容可作为电源为其它电路提供工作电压,将卡内数据发射出去或接受读写器的数据。
CPU卡及认证方法
CPU卡及认证方法一、为什么用CPU卡IC卡从接口方式上分,可以分为接触式IC卡、非接触式IC卡及复合卡。
从器件技术上分,可分为非加密存储卡、加密存储卡及CPU卡。
非加密卡没有安全性,可以任意改写卡内的数据,加密存储卡在普通存储卡的基础上加了逻辑加密电路,成了加密存储卡。
逻辑加密存储卡由于采用密码控制逻辑来控制对EEPROM的访问和改写,在使用之前需要校验密码才可以进行写操作,所以对于芯片本身来说是安全的,但在应用上是不安全的。
它有如下不安全性因素:1、密码在线路上是明文传输的,易被截取;2、对于系统商来说,密码及加密算法都是透明的。
3、逻辑加密卡是无法认证应用是否合法的。
例如,假设有人伪造了ATM,你无法知道它的合法性,当您插入信用卡,输入PIN的时候,信用卡的密码就被截获了。
再如INTENET 网上购物,如果用逻辑加密卡,购物者同样无法确定网上商店的合法性。
正是由于逻辑加密卡使用上的不安全因素,促进了CPU卡的发展。
CPU卡可以做到对人、对卡、对系统的三方的合法性认证。
二、CPU卡的三种认证CPU卡具有三种认证方法:持卡者合法性认证——PIN校验卡合法性认证——内部认证系统合法性认证——外部认证持卡者合法性认证:通过持卡人输入个人口令来进行验证的过程。
系统合法性认证(外部认证)过程:系统卡,送随机数X用指定算法、密钥]对随机数加密用指定算法、密钥]解密Y,得结果Z比较X,Z,如果相同则表示系统是合法的;卡的合法性认证(内部认证)过程:系统卡送随机数X用指定算法、密钥]对随机数加密用指定算法、密钥]解密Y,得结果Z比较X,Z,如果相同则表示卡是合法的;在以上认证过程中,密钥是不在线路上以明文出现的,它每次的送出都是经过随机数加密的,而且因为有随机数的参加,确保每次传输的内容不同。
如果截获了没有任何意义。
这不单单是密码对密码的认证,是方法认证方法,就象早期在军队中使用的密码电报,发送方将报文按一定的方法加密成密文发送出去,然后接收方收到后又按一定的方法将密文解密。
PSAM卡
智能卡-PSAM,CPU卡, PBOC卡PSAM卡:什么是 SAM?SAM(Secure access module)是一种能够提供必要的安全机制以防止外界对终端所储存或处理的安全数据进行非法攻击的硬件加密模块。
SAM是一个统称,SAM可以是一张标准尺寸的IC卡大小,更多的时候还是符合ISO/IEC 7810里面ID-000标准的小卡形状,也可以是一个DIP8或者SOP8/16封装的这个设备的控制权和所有权,才能完成该终端赋予的各种功能。
ID-000标准封装:与手机SIM卡封装形式一致PSAM卡指终端安全控制模块PSAM卡内嵌于各类终端设备,为其提供IC卡级别的安全保护, PSAM除具备用户卡功能外,还具有计算功能。
PSAM中增加了计算型密钥。
应用范围 PSAM主要用于商用POS,网点终端,直连终端等设备上,具有安全控制管理功能,支持多级发卡机制,适用于多应用环境技术指标符合ISO/IEC 7816系列国际标准,《中国金融集成电路(IC)卡规范》,《社会保障(个人)卡规范》,《中国金融IC卡试点PSAM应用规范》产品特点支持一卡多应用,各应用之间相互独立(多应用、防火墙功能)。
支持多种文件类型包括二进制文件,定长记录文件,变长记录文件,循环文件,钱包文件。
在通讯过程中支持多种安全保护机制(信息的机密性和完整性保护)。
支持多种安全访问方式和权限(认证功能和口令保护)。
支持中国人民银行认可的DES、3DES算法。
支持多级密钥分散机制,产生《中国金融集成电路(IC)卡规范》中定义的MAC1和校验MAC2。
支持多级密钥分散机制,用分散后的密钥作为临时密钥对数据进行加密、解密、MAC等运算,以完成终端与卡片之间的合法性认证等功能。
支持多种通讯协议:接触界面支持T=0(字符传送)和T=1(块传送)通讯协议。
接触界面符合PPS协议,支持多种速率选择。
支持多种容量选择可选择8K、16K字节EEPROM空间--------CPU卡------------------CPU卡的接口特性、传输协议与读写程序设计摘要:介绍ISO7816-4及中国金融集成电路(IC)卡规范所规定的T=0协议的CPU卡与终端之间的接口特性和传输协议,及以C51语言设计的CPU卡复位、下电及读写程序。
新一代预付费电表-复费率射频CPU卡表
新一代预付费电表-复费率射频CPU卡表苏州银河龙芯科技有限公司王瑞毅任振东作为电力产品终端计量器具的电能表在电力设施中起着极为重要的作用。
据来自电力生产运营部门的相关分析报告表明:2005年虽然全国性大规摸电网改造工程基本结束,但民用表和工业表的市场仍达到了近8000万台的需求量。
从电表行业的产品结构上看,感应式电表还占有半壁多江山,但感应式电表与电子式电表的比例正发生着革命性的变化。
除单一计量的电子式电表获得高速发展外,由于国内大中型城市逐步推出分时优惠电价政策后,极大地改变单相电能表市场需求结构,全电子的复费率、预付费电表发展相当迅速,目前,电子式电能表、电卡式预付费电子式电能表、三相电子式多功能电能表及多费率电子式电能表已逐渐成为电表市场的主要产品。
随着远程抄表作为电能管理的新技术产品而引领着市场潮流,带各种远程抄表功能的智能电表市场的需求量也显著上升。
从国际市场来看,法国已于2001年起停止购置感应表,意大利已基本全部更新完2600万只带AMR(自动抄表)功能的电子式表,英国目前已更换其80%居民表为电子式表,且保有13%电子式预付费电表,其他欧洲各国也已开始考虑感应表的全部更新问题。
东南亚、印度、巴基斯坦、中东各国均开始大规模使用全电子的各种智能电表。
近几年来,随着IC智能卡中的接触式CPU 卡以及非接触式IC智能射频卡(内建MCU,ASIC等)的高度安全保密性以及国内相关行业服务意识的提高,在与居民用户日常生活相关的计量表计中使用IC卡技术已经得到了迅速的推广和广泛的应用。
目前在电表、电表、燃气表以及暖气热力表中都已经开始采用IC 卡作为抄表收费、控制以及数据管理的媒介,使得IC卡表已经成为当前国内应用技术发展的一个亮点。
我国IC卡行业的发展始于1993年左右,经过这十几年的发展,我国IC卡行业已取得了不小的成就。
除能低价格、高质量提供自主版权的大容量存储卡,逻辑加密卡外,CPU卡及非接触式IC智能射频卡(内建MCU,ASIC等)的制卡技术及其相应的读/写卡设备技术已能大批量、高质量的提供。
CPU卡操作流程说明文档
加气行业CPU卡操作流程说明文档一、卡片类型介绍1、加气卡(包括员工卡、司机卡等)卡片形式:非接触式CPU 卡、双界面CPU 卡(双界面是同时支持接触和非接触形式)。
卡片作用:最终用户或是加气站员工等用作加气使用。
2、PSAM卡片形式:SAM形式接触式CPU卡卡片作用:安装在加气机读头的读卡器上,用作加气卡做消费时的认证。
3、ISAM卡片形式:SAM形式接触式CPU卡卡片作用:安装在加气站管理系统的读卡器上,用作加气卡做充值时的认证。
4、母卡卡片形式:接触式CPU卡卡片作用:密管系统中用作密钥的存储和传输。
(无论是领导卡或是根密钥卡,应用在密管系统中的卡都被统一称作母卡,母卡的意思是能进行密钥导出)二、相关硬件设备介绍1、双界面读卡器双界面读卡器包含有接触式卡槽、非接触界面和SAM卡槽。
用来做卡片与上位机程序的通信,发卡时可插入母卡,非接界面放上用户卡,进行用户卡发行。
同时,在加气站营销管理系统端,要连接读卡器进行卡片充值等操作。
2、加密机用作密钥存储和加密的硬件机器,可用母卡来代替。
加密机和母卡相比优势在于,加密机更好的处理并发性,并且由于卡片内存大小的限制,加密机相较于母卡存储密钥存储条数更多。
不过,若是项目规模不大,一般用母卡代替没有问题。
3、发卡机用作卡片发行的硬件设备。
一般的发卡机入卡槽可放200~300张卡片,包括出卡槽及废卡槽,有效得节约人力。
不过,也可用读卡器配合发卡系统,通过人工操作来发行卡片。
发卡机是否使用根据用卡量来选择。
二、卡片制作流程介绍1、卡片从龙寰出厂时,成卡带有COS并装载有客户(以下客户由重庆巨创来代替)的初始密钥。
每家客户初始密钥唯一,初始密钥用于验证卡片出厂商,避免非正规出厂卡片介入,密钥值可由龙寰提供也可巨创自己指定,同时,卡片上面可印刷巨创指定的版面。
2、巨创收到龙寰提供的卡片后,首先,要有初始化工具(上位机小软件),初始化工具配合读卡器,进行卡片出厂初始密钥的验证和替换,替换成巨创自己的卡片主控。
圈存机里面安装isam卡.doc
PBOC/EMV在国内的推广带来的不仅仅是IC卡的变革,它势必引起整个行业的改变, 这其中包括金融终端产品. 这篇文章就说说PBOC/EMV的迁移给终端圈存模式带来的变化.目前很多圈存机所采用的圈存模式一般是脱机模式, 可以简单的用下图来表示SAM卡是做什么用的呢. 要回答这个问题,首先你要明白一点,这种模式的圈存是脱机的.既然是脱机,肯定要有安全认证措施, 否则了解了读卡模块相应的写卡指令, 任何人都可以写IC卡了. 一般采用SAM卡做这个安全认证, 这种SAM卡也叫ISAM,与读卡器模块构成一个整体. 这个SAM就可以起到读卡器与卡片相互认证的作用,认证双方都是合法的.认证的大致过程是这样的:首先SAM卡存放一个主密钥, 发卡时,卡中存放用这个主密钥对IC卡的一些信息(比如卡号)分散加密生成的子密钥, 所以每张卡的子密是不同的.当把IC卡插入读卡器时, SAM卡生成一个随机数,传给IC卡,IC卡用自己的子密钥加密该数据, 生成一个密文, 然后传给SAM卡,SAM卡读取卡号,用这个卡号分散一个子密钥,我把它叫密钥A,用A解密收到的密文, 与之前生成的随机数比较,如果相等, 则表示卡合法.验证设备是否合法的过程就是反过来.再看看PBOC/EMV模式下的圈存是什么样的呢.如下图所示:PBOC的IC卡是CPU卡, 里面完善的操作系统保证了它的灵活性和多功能性, 硬件特性决定了它里面的密钥有极高的安全性. PBOC/EMV规范要求圈存交易必须联机认证,每一笔交易都要有这样一个规范流程. 这样一来, 圈存时SAM卡就可以不要了, 取之而来的是更安全的操作. 你可能会说,这样圈存速度就慢了, 但是,这又有什么关系呢, 圈存又不是消费, 相比较它的安全性更重要.事实上, PBOC给圈存模式带来的变革不仅仅是安全方面的.我把SAM加读卡器一起叫做卡操作模块, 这种模式下, 一般卡操作模块和IC卡都是一家公司提供, 然后它有一套指令集, 所有的操作都是用这个指令集. 除了这家公司提供的卡操作模块, 市场上不可能有任何一个卡操作模块可以读写这张IC卡. 而因为PBOC/EMV的卡操作指令都是业界的一种标准了, 只要是符合这个标准的读卡设备都可以对卡进行读写操作. 这样一来, 读卡模块和卡片就可以由不同的公司来提供了, 原来的纵向产业模式就变成横向的了.记得以前看英特尔总载写的<<只有偏执狂才能生存>>这本书,他在里面提到PC机行业不可避免的要从纵向产业链向横向转变. 有公司没有看到这个趋势, 结果走下坡路, 比如IBM. 而dell意识到了这个问题, 才成就了今天的dell王国. 其实这种横向模式在很多行业里都是一种趋势.ATM机最初都是由一家公司做一个整机, 这种模式无论对客户(一般是银行)还是对行业的发展都是不利的. 对客户,这种模式下, ATM的价格贵的让人难以接受. 对行业来说,不利于竞争, 没有竞争就没有发展. 再看看现在的ATM行业,读卡器由A公司做,密码键盘由B公司做, 现金识别模块可能是由C公司做, 多家公司的产品最终拼成了一台ATM机, 这种横向的产业模式带来的是价格的自然降低, 整个行业因竞争而欣欣向荣.。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
CPU卡与SAM卡原理第一部分CPU基础知识一、为什么用CPU卡IC卡从接口方式上分,可以分为接触式IC卡、非接触式IC卡及复合卡。
从器件技术上分,可分为非加密存储卡、加密存储卡及CPU卡。
非加密卡没有安全性,可以任意改写卡内的数据,加密存储卡在普通存储卡的基础上加了逻辑加密电路,成了加密存储卡。
逻辑加密存储卡由于采用密码控制逻辑来控制对EEPROM的访问和改写,在使用之前需要校验密码才可以进行写操作,所以对于芯片本身来说是安全的,但在应用上是不安全的。
它有如下不安全性因素:1、密码在线路上是明文传输的,易被截取;2、对于系统商来说,密码及加密算法都是透明的。
3、逻辑加密卡是无法认证应用是否合法的。
例如,假设有人伪造了ATM,你无法知道它的合法性,当您插入信用卡,输入PIN的时候,信用卡的密码就被截获了。
再如INTENET网上购物,如果用逻辑加密卡,购物者同样无法确定网上商店的合法性。
正是由于逻辑加密卡使用上的不安全因素,促进了CPU卡的发展。
CPU卡可以做到对人、对卡、对系统的三方的合法性认证。
二、CPU卡的三种认证CPU卡具有三种认证方法:持卡者合法性认证——PIN校验卡合法性认证——内部认证系统合法性认证——外部认证持卡者合法性认证:通过持卡人输入个人口令来进行验证的过程。
系统合法性认证(外部认证)过程:系统卡,送随机数X[用指定算法、密钥]对随机数加密[用指定算法、密钥]解密Y,得结果Z比较X,Z,如果相同则表示系统是合法的;卡的合法性认证(内部认证)过程:系统卡送随机数X[用指定算法、密钥]对随机数加密[用指定算法、密钥]解密Y,得结果Z比较X,Z,如果相同则表示卡是合法的;在以上认证过程中,密钥是不在线路上以明文出现的,它每次的送出都是经过随机数加密的,而且因为有随机数的参加,确保每次传输的内容不同。
如果截获了没有任何意义。
这不单单是密码对密码的认证,是方法认证方法,就象早期在军队中使用的密码电报,发送方将报文按一定的方法加密成密文发送出去,然后接收方收到后又按一定的方法将密文解密。
通过这种认证方式,线路上就没有了攻击点,同时卡也可以验证应用的合法性;但是因为系统方用于认证的密钥及算法是在应用程序中,还是不能去除系统商的攻击性。
在此,我们引进了SAM卡的概念。
无插件,无病毒SAM卡是一种具有特殊性能的CPU卡,用于存放密钥和加密算法,可完成交易中的相互认证、密码验证和加密、解密运算,一般用作身份标志。
由于SAM卡的出现,我们有了一种更完整的系统解决方案。
在发卡时,我们将主密钥存入SAM卡中,然后由SAM卡中的主密钥,对用户卡的特征字节(如:应用序列号)加密生成子密钥,将子密钥注入用户卡中。
由于应用序列号的唯一性,使每张用户卡内的子密钥都不同。
密钥一旦注入卡中,则不会在卡外出现。
在使用时,由SAM卡的主密钥生成子密钥存放在RAM区中,用于加密、解密数据。
上述的认证过程就成为如下形式:系统合法性认证(外部认证)过程:SAM卡系统卡送随机数XSAM卡生成子密钥对随机数加密解密Y,得结果Z比较X,Z,如果相同则表示系统是合法的;卡的合法性认证(内部认证)过程:SAM卡系统卡送随机数X用指定算法、密钥]对随机数加密SAM卡解密Y,得结果Z比较X,Z,如果相同则表示卡是合法的;这样在应用程序中的密钥,就转移到了SAM卡中,认证成为卡——卡的认证,系统商不再存在责任。
三、线路保护卡与外界进行数据传输时,若以明文方式传输,数据易被载获和分析。
同时,也可以对传输的数据进行窜改,要解决这个问题,CPU卡提供了线路保护功能。
线路保护分为两种,一是将传输的数据进行DES加密,以密文形式传输,以防止截获分析。
二是对传输的数据附加MAC(安全报文鉴别码),接收方收到后首先进行校验,校验正确后才予以接收,以保证数据的真实性与完整性。
四、硬件结构图EEPROM用于存放用户数据;ROM中用于存放COS操作系统,而RAM区中用于存放COS运行时的中间变量。
COS(chip operationsystem),就是芯片操作系统,类似于DOS和WINDWOS,没有COS的CPU卡就象没有DOS和WINDOWS的PC机一样无法使用。
无需注册COS是在芯片出厂时由芯片供应商固化到ROM区的,这个过程就称之为掩膜。
COS是CPU卡的核心部分,它和硬件一起实现CPU卡的安全性。
、第二部分SmartCOS简介SmartCOS是由明华公司自主开发的芯片操作系统,于1999年6月通过了人行认证。
COS主要分为四部分:一、SMARTCOS的文件系统CPU卡是以文件方式来管理SmartCOS支持如下文件系统。
1、文件可分为MF文件、DF文件、EF文件MF:主控文件,是整个文件系统的根,是唯一的,相当于根目录;DF:专用文件,相当于子目录,可用于存储某个应用的所有文件,DF下不可再建立DF。
一个DF可以是一个应用,也可以多个DF用于同一个应用。
EF:基本文件,用于存储各种应用数据和管理信息。
2、EF从存储内容上分为两种:安全基本文件:用于存放密钥,每个目录下只能建立一个安全基本文件,密钥文件不能通过文件选择来选取,密钥内容不可以读出,但在满足条件时可使用和修改。
工作基本文件:用于存放应用的实际数据,个数及大小只受空间限制。
在满足条件时可读写。
3、基本文件结构基本文件的结构可分为以下四种:二进制文件:数据以字节为单位进行读写,每次读写的长度不能超过110字节;可用于存储无序的数据。
线性定长记录文件:每条记录为固定长度,可以通过记录号访问记录,记录范围不超过254;每条记录的长度不超过110字节,密钥文件就是线性定长记录文件,其每条记录长度固定为25外字节。
可用于存放有规律定长的数据。
无需注册线性变长记录文件:每条记录的长度可以各不相同,但最大长度不能超过110字节,可以通过记录号来访问。
循环定长记录文件结构:相当于一个环形记录队列,按照先进先出的原则存储,最新写入的记录号为1,上一次写入的记录号为2,以此类推,记录写满后自动覆盖最早的记录。
4、文件结构图在MF下可建立EF和DF;在DF下不可再建立DF,只能建立EF;KEY文件:用于控制MF下的文件的创建及读写数据文件密钥文件:用于控制DF下的文件的创建及访问数据文件(如钱包文件等)5、文件空间的计算MF的头文件长度为10个字节+文件名长度(5-16个字节)DF的头文件长度为10个字节+文件名长度EF文件所占空间:定义记录和循环记录文件的空间=文件头空间(10字节)+记录数*记录长度变长记录结构文件的空间=文件头空间(10个字节)+建立时申请的空间密钥文件所占空间=文件头空间(10个字节)+密钥个数*25个字节钱包文件的空间=文件头(10个字节)+文件体(17个字节)存折文件的空间=文件头(10个字节)+文件体(20个字节)建立了文件系统,那么怎样才能保证文件的安全,下面讲述安全系统。
二、SMARTCOS的安全系统1、状态机即安全状态:是指卡在当前所处的一种安全级别,具有(0---F)16种安全状态。
复位后自动设为0,当前应用的安全状态在被成功地选择或复位后自动清0。
安全状态的改变必须通过密钥的认证来实现。
**只有当前目录下的PIN核对和外部认证才能改变安全状态。
2、安全属性即访问权限访问权限是在建立文件的时候指定的。
它是一个区间的概念,例如,描述一个文件的读权限为XY,则表示当前应用的状态机(安全状态)M必须满足X=〈M=〈Y。
如读权限设为2F,就表示当前的状态机(安全状态)达到2及以上就可以读这个文件。
3、密钥与安全状态的关系每个密钥在建立的时候都定义了后续状态,即通过密钥认证后能达到的安全状态,在各种密钥中,只有PIN认证和外部认证才能改变当前目录的安全状态。
4、安全状态与访问权限的关系(安全状态)使用权限--------密钥的使用------------后续状态------------文件读写取限5、安全状态只在当前目录下有效,一旦选择别的应用,状态机自动跳到最低权限0。
各个目录之间的安全都是独立的。
四、复位应答符号字节内容内容解释TS 3B 正向约定T0 6C TB1和TC1存在,历史字符为12个TB1 00 无需额外的编程电压TC1 02 需2个额外的保护时间T1-TC XX 历史字符SMARTCOS 历史字符的特定意义:符号字节内容内容解释T1 XX SMARTCOS 的版本号T2 XX 卡状态字节T3 86 明华公司IC卡制造机构标识号T4 38T5-TC XX 卡唯一序号卡状态字节描述如下:B7 B6 B5 B4 B3 B2 B1 B0 状态011 XXX XXX 001 XXX XXX XXX XXX 该卡已初始化,并成功该卡未被初始化该卡初始化过程被锁0 0 0 0 0 0 X X 该卡未个人化PCB下载站0 0 1 0 X X X X 该卡个人化未结束0 1 1 0 X X X X 该卡个人化成功0 0 0 1 X X X X 该卡个人化没有成功,卡被锁0 1 1 1 X X X X 该卡个人化成功,卡被锁卡片状态字节中有关于初始化、个人化的概念,我们从卡片的生命周期来看这两个概念,卡片的生命周期一般包括如下几部分:芯片芯片生产商掩膜COS 芯片生产商封装成卡片卡片生产商卡片的初始化(COS启用)卡片生产商传输密码保护卡片的个人化卡片发行商卡片的使用卡片的使用者卡片的回收卡片发行商初始化过程就是激活COS,定义COS版本,经过这个过程COS才可以使用。
个人化过程是指建立文件,写入用户数据等操作。
卡片生产商在进行初始化后交付卡片发行商使用时,有传输密码保护。
IC卡必须支持T=0或T=1的协议,但不是同时支持这两种协议,而终端则必须同时支持T=0和T=1的协议。
T=0通讯协议是异步半双工字符传输协议;T=1通讯协议是异步半双工块传输协议;在ISO7816-3标准中,具体规定了这两种协议;IC卡所用的协议在TD1中指定,如果在复位应答信息中没有TD1,则表示用T=0的协议进行通讯。
在复位应答后,IC卡和终端之间即用IC卡指定的协议进行通讯。
五、指令解析在此,我们以一个电子钱包的应用为例,讲解SmartCOS的指令。
1、文件结构:在人行规范中定义了如下文件结构:1)电子存折ED/电子钱包EP应用的公共应用基本数据文件jixie163com文件结构:文件标识(SFI)‘21’(十进制)文件类型透明文件大小30文件存取控制读=自由改写=需要安全信息字节数据元长度1-8 发卡方标识89 应用类型标识110 应用版本111-20 应用序列号1021-24 应用启用日期425-28 应用有效日期429-30 发卡方自定义FCI数据22)电子存折ED/电子钱包EP应用的持卡者基本数据文件文件标识(SFI)‘22’(十进制)文件类型透明文件大小39文件存取控制读=自由改写=需要安全信息字节数据元长度1 卡类型标识12 本行职工标识13-22 持卡人姓名2023-38 持卡人证件号码1639 持卡人证件类型13)电子存折ED交易明细文件文件标识(SFI)‘24’(十进制)文件类型循环文件存取控制读=PIN保护改写=不允许记录大小23字节数据元长度1-2 ED或EP联机或脱机交易序号23-5 透支限额36-9 交易金额410 交易类型标识111-16 终端机编号6 专业软件下载17-20 交易日期(终端)421-23 交易时间(终端)32、安全设计如下:1)核对口令后可以进行外部认证;2)01号外部认证密钥用于控制电子钱包的圈存;3)02号外部认证密钥用于控制基本文件的修改、密钥的修改;4)核对口令后可以进行消费。