第06章智能卡安全技术.ppt
合集下载
智能卡识别技术及应用课件2-26306482020402338
编码的字符中两个是宽空,三个是窄空。 (5)交叉25码符号的编码字符个数为偶数,所有奇数位
置的数据按条编码,偶数位置的数据按空编码;如 果为奇数的数据编码,则在数据前补一个0。
交叉25码的校验方法:
(1)从数据字符的第一位开始,从左到右赋予权系 数系列3,1,3,1,……。
(2)将数据字符值与权系列相乘,并将它们的结果 相加。
宽度,所以称为(11,3)码。 (4)每个条形码字符可以有三种不同的含义,依
赖于所使用的字符集(分别为A,B,C字符 集),使用这3个交替的字符集可以将128个 ASCII码编码。
(5)字符集中的Code A,Code B,Code C字符,在 符号中使用时可以改变当前符号所使用的字符 集,这个改变可以一直保持到符号的结束或遇 到另一个变换字符时为止。
库德巴码的特点: (1)长度可变的离散型自校验数字式码制,字符集
为0-9,特殊字符-,$,:,/,.和+,共16个 字符; (2)采用两种元素宽度; (3)有4个不同的起始、终止字符a,b,c,d; (4)每个字符由4个条和3个空。其字符编码有以下 三种不同的规则:
(a)数字0-9,特殊字符-,$具有1个宽条和1个宽 空,字符中其余5个元素为窄元素。
(3)使第(2)步所得的数据成为10的倍数的最小差 值便是校验字符的值。
例1:数据字符“47365”
数据字符 4 7 3 6 5
数据字符值 4 7 3 6 5
权系数
31313
和数 = 4*3+7*1+3*3+6*1+5*3 = 49 是49成为10的倍数50的最小差值是1,故校验字
符是1。 整个符号的编码是“473651”。 如果不使用校验字符,整个符号的编码是
置的数据按条编码,偶数位置的数据按空编码;如 果为奇数的数据编码,则在数据前补一个0。
交叉25码的校验方法:
(1)从数据字符的第一位开始,从左到右赋予权系 数系列3,1,3,1,……。
(2)将数据字符值与权系列相乘,并将它们的结果 相加。
宽度,所以称为(11,3)码。 (4)每个条形码字符可以有三种不同的含义,依
赖于所使用的字符集(分别为A,B,C字符 集),使用这3个交替的字符集可以将128个 ASCII码编码。
(5)字符集中的Code A,Code B,Code C字符,在 符号中使用时可以改变当前符号所使用的字符 集,这个改变可以一直保持到符号的结束或遇 到另一个变换字符时为止。
库德巴码的特点: (1)长度可变的离散型自校验数字式码制,字符集
为0-9,特殊字符-,$,:,/,.和+,共16个 字符; (2)采用两种元素宽度; (3)有4个不同的起始、终止字符a,b,c,d; (4)每个字符由4个条和3个空。其字符编码有以下 三种不同的规则:
(a)数字0-9,特殊字符-,$具有1个宽条和1个宽 空,字符中其余5个元素为窄元素。
(3)使第(2)步所得的数据成为10的倍数的最小差 值便是校验字符的值。
例1:数据字符“47365”
数据字符 4 7 3 6 5
数据字符值 4 7 3 6 5
权系数
31313
和数 = 4*3+7*1+3*3+6*1+5*3 = 49 是49成为10的倍数50的最小差值是1,故校验字
符是1。 整个符号的编码是“473651”。 如果不使用校验字符,整个符号的编码是
智能卡安全技术.ppt
在软件中;程序员不能单独承担一个项目; 独立测试机构检测 分散知识
生产阶段的攻防机制
本阶段的主要攻击类型是混入哑芯片或 者哑智能卡
采取行政手段防止从完工岗位上拿进拿 出芯片或智能卡
完工后进行强制安全鉴别
使用中的卡的攻防机制
使用中的卡受攻击的概率最高 微控制器的自毁灭功能也存在不足 确认智能卡十分受到攻击十分困难
主要的安全隐私威胁
非法读取 位置跟踪 窃听 拒绝服务 伪装哄骗 重放
前提与要求
假定RFID系统中,阅读器与后台数据库的通讯 是在一条安全可靠的有连接信道上进行的,且 数据库采用安全访问控制保证了数据安全,但 阅读器与标签之间的无线通信信息易被窃听
要普及RFID技术,必须保证RFID标签的低成 本实现
逻辑水平上的攻击
一般逻辑方面的攻击 智能卡操作系统的防护 智能卡应用系统的保护
一般逻辑方面的攻击
哑智能卡 确定智能卡命令组 窃听数据传输 切断电源供应 PIN比较时电流分析 对PIN的比较时间进行分析
智能卡操作系统的防护
复位后对软件和硬件进行测试 在操作系统内分层次 控制数据传送过程,防止非授权访问 重要存储内容应用校验和保护 应用密钥 面向对象的访问条件
账号 [12 34 56 78 90]
把输入值链接截尾 [23344 1234567890 1]
表示为8位BCD数 [23 34 41 23 45 67 89 01]
密钥 [AA BB CC DD AA BB CC DD]
加密结果 [33 1C DF D5 D7 8A 1C E5]
选择4个符号 [1C E5]
面也同时代表了用户的某种意图的声明 三次猜中四位PIN密码的概率是0.03%
生产阶段的攻防机制
本阶段的主要攻击类型是混入哑芯片或 者哑智能卡
采取行政手段防止从完工岗位上拿进拿 出芯片或智能卡
完工后进行强制安全鉴别
使用中的卡的攻防机制
使用中的卡受攻击的概率最高 微控制器的自毁灭功能也存在不足 确认智能卡十分受到攻击十分困难
主要的安全隐私威胁
非法读取 位置跟踪 窃听 拒绝服务 伪装哄骗 重放
前提与要求
假定RFID系统中,阅读器与后台数据库的通讯 是在一条安全可靠的有连接信道上进行的,且 数据库采用安全访问控制保证了数据安全,但 阅读器与标签之间的无线通信信息易被窃听
要普及RFID技术,必须保证RFID标签的低成 本实现
逻辑水平上的攻击
一般逻辑方面的攻击 智能卡操作系统的防护 智能卡应用系统的保护
一般逻辑方面的攻击
哑智能卡 确定智能卡命令组 窃听数据传输 切断电源供应 PIN比较时电流分析 对PIN的比较时间进行分析
智能卡操作系统的防护
复位后对软件和硬件进行测试 在操作系统内分层次 控制数据传送过程,防止非授权访问 重要存储内容应用校验和保护 应用密钥 面向对象的访问条件
账号 [12 34 56 78 90]
把输入值链接截尾 [23344 1234567890 1]
表示为8位BCD数 [23 34 41 23 45 67 89 01]
密钥 [AA BB CC DD AA BB CC DD]
加密结果 [33 1C DF D5 D7 8A 1C E5]
选择4个符号 [1C E5]
面也同时代表了用户的某种意图的声明 三次猜中四位PIN密码的概率是0.03%
智能卡识别技术及应用幻灯片PPT
数,只是前者比后者多了一个第13位。
EAN-13码的第13位数值确实定方法:
相应第13位数的值
0 1 2 3 4 5 6 7 8 9
12 11 10 9 8 7奇奇奇奇奇奇奇奇
偶奇
偶偶
奇
奇
偶偶
奇偶
奇
奇
偶偶
偶奇
奇
偶
奇奇
偶偶
奇
偶
偶奇
奇偶
奇
偶
偶偶
奇奇
奇
偶
奇偶
奇偶
奇
偶
奇偶
偶奇
奇
偶
偶奇
偶奇
EAN-13码的校验方法:
(1)将13位字符从右到左顺序编号, 校验字符
为第一号; (2)从第2号位置开场,将所有偶数 号位置上
的字符值相加,然后将其结果乘 以3; (3)从第3号位置开场,将所有奇数
例如:数据字符“541234567890 〞
国别号
数据字符位置编号 13 12
数据字符值
54
偶数号位置字符值
4
奇数号位置字符值 5
库德巴码符号由两侧静区,起始字符,终止 字符和数据字符组成,没有校验字符。
128码的编码 128码的特点: (1)长度可变的连续型字母数字式
码制。 (2)采用四种元素宽度。 (3)每个字符有3个条和3个空,共
11个单位元素 宽度,所以称为〔11,3〕码。 (4)每个条形码字符可以有三种不
(5)字符集中的Code A,Code B,Code C字符,在 符号中使用时可以改变当前符号所使用的字符 集,这个改变可以一直保持到符号的完毕或遇 到另一个变换字符时为止。
验字符。
例如:数据字符“TEST〞
EAN-13码的第13位数值确实定方法:
相应第13位数的值
0 1 2 3 4 5 6 7 8 9
12 11 10 9 8 7奇奇奇奇奇奇奇奇
偶奇
偶偶
奇
奇
偶偶
奇偶
奇
奇
偶偶
偶奇
奇
偶
奇奇
偶偶
奇
偶
偶奇
奇偶
奇
偶
偶偶
奇奇
奇
偶
奇偶
奇偶
奇
偶
奇偶
偶奇
奇
偶
偶奇
偶奇
EAN-13码的校验方法:
(1)将13位字符从右到左顺序编号, 校验字符
为第一号; (2)从第2号位置开场,将所有偶数 号位置上
的字符值相加,然后将其结果乘 以3; (3)从第3号位置开场,将所有奇数
例如:数据字符“541234567890 〞
国别号
数据字符位置编号 13 12
数据字符值
54
偶数号位置字符值
4
奇数号位置字符值 5
库德巴码符号由两侧静区,起始字符,终止 字符和数据字符组成,没有校验字符。
128码的编码 128码的特点: (1)长度可变的连续型字母数字式
码制。 (2)采用四种元素宽度。 (3)每个字符有3个条和3个空,共
11个单位元素 宽度,所以称为〔11,3〕码。 (4)每个条形码字符可以有三种不
(5)字符集中的Code A,Code B,Code C字符,在 符号中使用时可以改变当前符号所使用的字符 集,这个改变可以一直保持到符号的完毕或遇 到另一个变换字符时为止。
验字符。
例如:数据字符“TEST〞
智能卡介绍PPT课件
IFD可以是一个由微处理器、键盘、显示 器与I/O接口组成的独立设备,该设备通 过IC卡上的8个触点向IC卡提供电源并与 IC卡相互交换信息。
retu3r0n
1. 4 智能卡的国际标准
标准是IC卡设计制造与应用的支撑点,符合 标准是IC卡生存的条件。
按IC卡数据传送方式分接触式IC卡和非接触 式IC卡,故标准不同。
retu2r2n
1.3.2 IC卡存储区的分配和功能简介
一般分四个存储区
1、公开的(不保密的存储区) -内含公用信息,如发行标识符、持卡人帐号等。
2、外部不可读的存储区 -仅供内部使用,如PIN值、密钥。不允许将PIN值向外界传 送。
3、保密存储区 -含帐面余额、卡使用的服务类型及限额。 允许读取数据进行交易,并修改(如余额等)
应用领域:银行、交通、通信、卫生、社保、 公用事业……
retur5n
1. 2 卡的分类 按介质分
纸卡 磁卡 IC卡 光卡
retur6n
按芯片功能
存储器卡:无加密、逻辑加密 CPU卡:普通型、超级智能卡
1.存储器卡-卡中的集成电路为EEPROM 2. 逻辑加密卡-卡中的集成电路为加密逻辑
+EEPROM 3. CPU卡-实质为单片机的嵌入式应用
4、记录区 内含交易细节,称为日志,可供查询。 23
1.3.3 IC卡应用系统的基本构成
24
1.3.4 应用系统结构
Interface device 读写设备/读写器
25
26
27
28
29
1.3.5 IC卡的接口设备
配合IC卡工作的接口设备IFD(Interface device),或称为读写设备/读写器。
▪ 较好符合ISO7816标准。 ▪ 专用芯片设计卡(电话卡、小额电子钱包)。
retu3r0n
1. 4 智能卡的国际标准
标准是IC卡设计制造与应用的支撑点,符合 标准是IC卡生存的条件。
按IC卡数据传送方式分接触式IC卡和非接触 式IC卡,故标准不同。
retu2r2n
1.3.2 IC卡存储区的分配和功能简介
一般分四个存储区
1、公开的(不保密的存储区) -内含公用信息,如发行标识符、持卡人帐号等。
2、外部不可读的存储区 -仅供内部使用,如PIN值、密钥。不允许将PIN值向外界传 送。
3、保密存储区 -含帐面余额、卡使用的服务类型及限额。 允许读取数据进行交易,并修改(如余额等)
应用领域:银行、交通、通信、卫生、社保、 公用事业……
retur5n
1. 2 卡的分类 按介质分
纸卡 磁卡 IC卡 光卡
retur6n
按芯片功能
存储器卡:无加密、逻辑加密 CPU卡:普通型、超级智能卡
1.存储器卡-卡中的集成电路为EEPROM 2. 逻辑加密卡-卡中的集成电路为加密逻辑
+EEPROM 3. CPU卡-实质为单片机的嵌入式应用
4、记录区 内含交易细节,称为日志,可供查询。 23
1.3.3 IC卡应用系统的基本构成
24
1.3.4 应用系统结构
Interface device 读写设备/读写器
25
26
27
28
29
1.3.5 IC卡的接口设备
配合IC卡工作的接口设备IFD(Interface device),或称为读写设备/读写器。
▪ 较好符合ISO7816标准。 ▪ 专用芯片设计卡(电话卡、小额电子钱包)。
智能卡概述
CPU卡具有很高的数据处理和计算能力以及较大存储容 量,因此应用的灵活性、适应性较强。 CPU卡在硬件结构、操作系统、制作工艺上采取多层次 安全措施,保证了其极强的安全防伪能力。它不仅可 验证卡和持卡人的合性法,而且可鉴别读写终端, CPU卡是一卡多用及对数据安全保密性特别敏感场合的 最佳选择,如金融信用卡、手机SIM卡等。
SmartCard
SmartCard
存储器卡
SmartCard
存储卡Memory Card
卡内嵌入的芯片多为通用EEPROM(或Flash Memory) , 无安全逻辑,可对片内信息不受限制地任意存取;卡片制造 中也很少采取安全保护措施;不完全符合或支持ISO7816国 际协议,而多采用2线串行通信协议(I2C总线协议)或3线 串行通信协议(SPI总线协议)。 价格低廉、开发使用简便、存储容量增长迅猛1KB~4MB,品 种丰富。 多用于某些简单的、内部信息无须保密或不允许加密(如急 救卡)的场合。
SmartCard
1.3 智能卡的优势
相对于磁卡,智能IC卡具有以下优点: 存储容量大:可存储文字、图象、声音等 各种信息 便于携带:与普通磁卡相同 安全性高:物理层、硬件、软件三方面的 安全策略 对网络要求不高:其安全性决定了可以脱 机/不实时联机使用
SmartCard
性能 抗机械损伤 抗电磁干扰 抗静电 抗辐射 防潮防污 存储容量 数据保存期限 使用寿命 卡的价格 作业模式 网络要求 对主机的要求 系统投资 卡的复制与伪造 读写安全措施 使用保护
IC 卡 好 是磁卡的 10 倍 好 好 好 已达 4M 100 年 10 万次 较高 脱机/非实时联机 较低 较低 中等 很难 读写保护、数据加密保护 个人密码、卡与读写器双向认证
SmartCard
SmartCard
存储器卡
SmartCard
存储卡Memory Card
卡内嵌入的芯片多为通用EEPROM(或Flash Memory) , 无安全逻辑,可对片内信息不受限制地任意存取;卡片制造 中也很少采取安全保护措施;不完全符合或支持ISO7816国 际协议,而多采用2线串行通信协议(I2C总线协议)或3线 串行通信协议(SPI总线协议)。 价格低廉、开发使用简便、存储容量增长迅猛1KB~4MB,品 种丰富。 多用于某些简单的、内部信息无须保密或不允许加密(如急 救卡)的场合。
SmartCard
1.3 智能卡的优势
相对于磁卡,智能IC卡具有以下优点: 存储容量大:可存储文字、图象、声音等 各种信息 便于携带:与普通磁卡相同 安全性高:物理层、硬件、软件三方面的 安全策略 对网络要求不高:其安全性决定了可以脱 机/不实时联机使用
SmartCard
性能 抗机械损伤 抗电磁干扰 抗静电 抗辐射 防潮防污 存储容量 数据保存期限 使用寿命 卡的价格 作业模式 网络要求 对主机的要求 系统投资 卡的复制与伪造 读写安全措施 使用保护
IC 卡 好 是磁卡的 10 倍 好 好 好 已达 4M 100 年 10 万次 较高 脱机/非实时联机 较低 较低 中等 很难 读写保护、数据加密保护 个人密码、卡与读写器双向认证
【课件】IC卡技术及应用
3. CPU卡-实质为单片机的嵌入式应用
ppt课件
6
按用途分
金融卡 非金融卡
信用卡 储蓄卡 身份证 社保卡 交通卡等
1.信用卡-由银行发行和管理,作为支付工 具,可透支。
2. 储蓄卡-又称现金卡,作为电子钱包,不 能透支。
3. 非金融卡-用于各种事物管理等。
ppt课件
7
按读写方式
接触式IC卡:串行通讯和并行通讯 非接触式IC卡
(1) 安全数据存储、传输和处理:面向字节操作的逻辑加密 卡,如Atmel的AT88SC200、Philips的PC2032/2042、Siemens 的SLE4418/4428/4432/4442等,应用于保险卡、加油卡、驾驶 卡、借书卡等。
ppt课件
17
(2) 相关数据记录、存储、处理,包括:
① 一次性使用的不可重置式,如Siemens的SLE4406/4436、 Atmel的AT88SC06、Gemplus的GPM276/103。
② 可重置式,如Siemens的SLE4404(64次)、Atmel的 AT88SC101/102(128次),应用于IC卡电话、小额电子钱包。
ppt课件
18
IC卡 Integrated Circuit Card
Smart Card
Intelligent Card
Microcircuit Card
Microchip Card
将集成电路芯片嵌入塑料基片,封装成卡。
ppt课件
retur3n
1.1.2 IC卡发展史
1972年 Roland Mereno(法)提出IC卡设想。
应用领域:银行、交通、通信、卫生、社保、
公用事业…… ppt课件
ppt课件
6
按用途分
金融卡 非金融卡
信用卡 储蓄卡 身份证 社保卡 交通卡等
1.信用卡-由银行发行和管理,作为支付工 具,可透支。
2. 储蓄卡-又称现金卡,作为电子钱包,不 能透支。
3. 非金融卡-用于各种事物管理等。
ppt课件
7
按读写方式
接触式IC卡:串行通讯和并行通讯 非接触式IC卡
(1) 安全数据存储、传输和处理:面向字节操作的逻辑加密 卡,如Atmel的AT88SC200、Philips的PC2032/2042、Siemens 的SLE4418/4428/4432/4442等,应用于保险卡、加油卡、驾驶 卡、借书卡等。
ppt课件
17
(2) 相关数据记录、存储、处理,包括:
① 一次性使用的不可重置式,如Siemens的SLE4406/4436、 Atmel的AT88SC06、Gemplus的GPM276/103。
② 可重置式,如Siemens的SLE4404(64次)、Atmel的 AT88SC101/102(128次),应用于IC卡电话、小额电子钱包。
ppt课件
18
IC卡 Integrated Circuit Card
Smart Card
Intelligent Card
Microcircuit Card
Microchip Card
将集成电路芯片嵌入塑料基片,封装成卡。
ppt课件
retur3n
1.1.2 IC卡发展史
1972年 Roland Mereno(法)提出IC卡设想。
应用领域:银行、交通、通信、卫生、社保、
公用事业…… ppt课件
Mifare卡的安全操作与安全特性优品ppt资料
电子信息工程技术专业资源库
智能卡与RFID技术
深圳职业技术学院
Mifare卡的安全操作 与安全特性
深圳职业技术学院 柴继红
Mifare 1非接触式IC卡
基本性能指标: • 卡内器件:
无线智能卡芯片Mifare MF1 IC S50 +天线线圈 • 标准:
遵从ISO/IEC 14443 Type A 标准 • 工作频率:
EF 07 81 69H
存取控制位的结构
只读块存取条件设置
扇区14存取控制字节:
–EF 07 81 69H
扇区14块3 :
– FFFFFFFFFFFFEF078169FFFFFFFFFFFF
MIFARE 1卡的安全特性
• 密码认证
–所有扇区需通过密码认证才能进行读/修改操作。各扇 区有独立的三套(keyset0/1/2),每套两个密钥 (KEYA/KEYB),从而可实现一应用一密钥。
注意:切记将卡密码恢复为全F(步骤5),否则 将导致该扇区锁死
Mifare 1卡片的安全控制块
扇
区
0
• 存储容量:1024×8位字
长(即1KB)
扇
• 分为16个扇区(扇区0
区
~15)
1
• 每个扇区有独立的安全
. .
控制块——块3
.
.
.
.
. .
扇 区 15
块0(厂商标志) 块1 块2 块3 块0 块1 块2 块3(密码A+存取控制+密码B)
做一做1:MIFARE 1卡的密码操作
• 修改卡密码操作
–修改MIFARE 1卡的扇区1块3的前6个字节数 据为666666666666H,其余数据不变,点击写 卡
智能卡与RFID技术
深圳职业技术学院
Mifare卡的安全操作 与安全特性
深圳职业技术学院 柴继红
Mifare 1非接触式IC卡
基本性能指标: • 卡内器件:
无线智能卡芯片Mifare MF1 IC S50 +天线线圈 • 标准:
遵从ISO/IEC 14443 Type A 标准 • 工作频率:
EF 07 81 69H
存取控制位的结构
只读块存取条件设置
扇区14存取控制字节:
–EF 07 81 69H
扇区14块3 :
– FFFFFFFFFFFFEF078169FFFFFFFFFFFF
MIFARE 1卡的安全特性
• 密码认证
–所有扇区需通过密码认证才能进行读/修改操作。各扇 区有独立的三套(keyset0/1/2),每套两个密钥 (KEYA/KEYB),从而可实现一应用一密钥。
注意:切记将卡密码恢复为全F(步骤5),否则 将导致该扇区锁死
Mifare 1卡片的安全控制块
扇
区
0
• 存储容量:1024×8位字
长(即1KB)
扇
• 分为16个扇区(扇区0
区
~15)
1
• 每个扇区有独立的安全
. .
控制块——块3
.
.
.
.
. .
扇 区 15
块0(厂商标志) 块1 块2 块3 块0 块1 块2 块3(密码A+存取控制+密码B)
做一做1:MIFARE 1卡的密码操作
• 修改卡密码操作
–修改MIFARE 1卡的扇区1块3的前6个字节数 据为666666666666H,其余数据不变,点击写 卡
通普智能卡PPT课件
概述
• 非接触IC卡,又叫 射频卡,感应卡,感应式IC卡。 • 其中,我们把只读卡(只能通过读卡器读出卡号(ID号),而且卡号是固化的(不能
修改),不能往卡的分区再写数据,这种非接触卡,我们简称ID卡。EM(芯片厂家) 的ID卡拥有ID卡绝对的占有率,性价比最好,所以又叫EM卡,或者EM ID卡。 • 可读写的非接触IC卡,市面上绝大部分产品选用的是 Philips 的 Mifare One 芯片(有 人简称M1),所以,我们叫他 Mifare one卡,或者 Mifare 卡,或者叫 M1卡。还有些 卡 例如 Ti Logic等卡片,市场占有率很低,这里就不介绍了。 • Mifare One 卡,其中ISO1443 TYPE A 格式应用最为普及,广泛用于 门禁 考勤 消费 等一卡通场合。TYPE B格式用于身份证 地铁公交卡等一些场合。 • ID卡和Mifare卡已经占据了非接触IC卡90%以上的份额。 • Mifare 卡的容量 最常见的是 1K 字节(S50)的,(也有 4K字节(S70)的,在中国用得 还不多这里就不介绍了)
行业
• 银行业:磁条卡、PBOC标准卡 • 住建部:一卡通、市民卡、公共交通卡 • 医保 • 加油 • 高速
智能卡的种类
• 接触 • 非接触 • 逻辑卡 • cpu卡 • 频率 • 厚卡 薄卡 异形卡
按外形分类
• 感应卡根据外形分为 厚卡 薄卡 异形卡
厚卡:价格比较便宜,耐 用,厚度较厚放在钱包里 不如薄卡方便,适合放在 可佩戴的工作证里。
非接触IC卡主要特性
• 非接触IC卡主要特性: • 1) 卡与读写器之间非机械接触。 • 2) 卡本身是无源件,体积小,耐用可靠。 • 3) 读写器不需要卡座,可以完全密封盒子内。 • 4) 使用时无方向性,卡可以以任意方向通过读写器读写,即可完成读写工作。 • 5) 卡不带电源,自带天线,内含加密控制电路,支持DES、RSA等加密算法,
• 非接触IC卡,又叫 射频卡,感应卡,感应式IC卡。 • 其中,我们把只读卡(只能通过读卡器读出卡号(ID号),而且卡号是固化的(不能
修改),不能往卡的分区再写数据,这种非接触卡,我们简称ID卡。EM(芯片厂家) 的ID卡拥有ID卡绝对的占有率,性价比最好,所以又叫EM卡,或者EM ID卡。 • 可读写的非接触IC卡,市面上绝大部分产品选用的是 Philips 的 Mifare One 芯片(有 人简称M1),所以,我们叫他 Mifare one卡,或者 Mifare 卡,或者叫 M1卡。还有些 卡 例如 Ti Logic等卡片,市场占有率很低,这里就不介绍了。 • Mifare One 卡,其中ISO1443 TYPE A 格式应用最为普及,广泛用于 门禁 考勤 消费 等一卡通场合。TYPE B格式用于身份证 地铁公交卡等一些场合。 • ID卡和Mifare卡已经占据了非接触IC卡90%以上的份额。 • Mifare 卡的容量 最常见的是 1K 字节(S50)的,(也有 4K字节(S70)的,在中国用得 还不多这里就不介绍了)
行业
• 银行业:磁条卡、PBOC标准卡 • 住建部:一卡通、市民卡、公共交通卡 • 医保 • 加油 • 高速
智能卡的种类
• 接触 • 非接触 • 逻辑卡 • cpu卡 • 频率 • 厚卡 薄卡 异形卡
按外形分类
• 感应卡根据外形分为 厚卡 薄卡 异形卡
厚卡:价格比较便宜,耐 用,厚度较厚放在钱包里 不如薄卡方便,适合放在 可佩戴的工作证里。
非接触IC卡主要特性
• 非接触IC卡主要特性: • 1) 卡与读写器之间非机械接触。 • 2) 卡本身是无源件,体积小,耐用可靠。 • 3) 读写器不需要卡座,可以完全密封盒子内。 • 4) 使用时无方向性,卡可以以任意方向通过读写器读写,即可完成读写工作。 • 5) 卡不带电源,自带天线,内含加密控制电路,支持DES、RSA等加密算法,
智能卡识别技术及应用优秀课件
条形码逻辑值:对于两种元素宽条形码,宽元素 的逻辑值为1,窄元素的逻辑值为0;对于 多种元素宽条形码,若单位元素宽度是条, 则逻辑值为1;若单位元素宽度是空,则 逻辑值为0。
智能卡识别技术及应用优秀课件
连续型,离散型条形码: 取决于字符间是否有空位。
智能卡识别技术及应用优秀课件
长度固定,长度可变条形码:在条形码符号中,如 果符号所包含的条形码字符的个数是固定的, 则称此种码制是长度固定条形码,否则称为长 度可变条形码。
条形码元素:用以表示条形码的条和空,简称 为元素。
条形码字符:用以表示一个数字,字母及特殊 符号的一组条形码元素。
条:在条形码符号中,反射率较低的元素。
智能卡识别技术及应用优秀课件
空:在条形码符号中,反射率较高的元素。 位空:在条形码符号中,位于两个相邻的条
形码符号之间且不代表任何信息的空。 条高:在条的二维尺寸中较长的那个尺寸。 条宽:在条的二维尺寸中较短的那个尺寸。 条形码符号长度:在条形码符号中,排除两侧静
自校验条形码:如果一个印刷错误不引起一个字符 被译成此码制中的另一个字符,则称此种码制 为自校验条形码。
(n,k)码:具有多种元素宽度的连续性条形码,又 叫做(n,k)码。 n指一个条形码字符中所含 单位元素宽度的个数, k指一个字符中条或空 的个数。
智能卡识别技术及应用优秀课件
条形码符号的结构:
智能卡识别技术及应用优秀课件
Байду номын сангаас 智能卡识别技术及应用优秀课件
UPC码的编码 UPC码的特点: (1)长度固定的连续型数字式码制,字符集为0-9 (2)采用四种元素宽度,每个条或空是1,2,3或4
倍单位元素宽度。 (3)它包括 UPC-A 码和 UPC-E 码 UPC-A 码: (1)前6个字符为左手字符,后6个字符为右手字符 (2)起始字符和终止字符是两个警戒条 (3)每个字符有两个条和两个空,共7个单位元素宽
智能卡识别技术及应用优秀课件
连续型,离散型条形码: 取决于字符间是否有空位。
智能卡识别技术及应用优秀课件
长度固定,长度可变条形码:在条形码符号中,如 果符号所包含的条形码字符的个数是固定的, 则称此种码制是长度固定条形码,否则称为长 度可变条形码。
条形码元素:用以表示条形码的条和空,简称 为元素。
条形码字符:用以表示一个数字,字母及特殊 符号的一组条形码元素。
条:在条形码符号中,反射率较低的元素。
智能卡识别技术及应用优秀课件
空:在条形码符号中,反射率较高的元素。 位空:在条形码符号中,位于两个相邻的条
形码符号之间且不代表任何信息的空。 条高:在条的二维尺寸中较长的那个尺寸。 条宽:在条的二维尺寸中较短的那个尺寸。 条形码符号长度:在条形码符号中,排除两侧静
自校验条形码:如果一个印刷错误不引起一个字符 被译成此码制中的另一个字符,则称此种码制 为自校验条形码。
(n,k)码:具有多种元素宽度的连续性条形码,又 叫做(n,k)码。 n指一个条形码字符中所含 单位元素宽度的个数, k指一个字符中条或空 的个数。
智能卡识别技术及应用优秀课件
条形码符号的结构:
智能卡识别技术及应用优秀课件
Байду номын сангаас 智能卡识别技术及应用优秀课件
UPC码的编码 UPC码的特点: (1)长度固定的连续型数字式码制,字符集为0-9 (2)采用四种元素宽度,每个条或空是1,2,3或4
倍单位元素宽度。 (3)它包括 UPC-A 码和 UPC-E 码 UPC-A 码: (1)前6个字符为左手字符,后6个字符为右手字符 (2)起始字符和终止字符是两个警戒条 (3)每个字符有两个条和两个空,共7个单位元素宽
最新整理智能卡系统介绍.ppt
•週一至週五下午7時後增值,第三天上午9時 過數
•若遇假期,則順延一個工作天過數 •週六及週日增值,下星期二過數
透過網上銀行系統利用信用咭轉賬
(輸入學生編號)
檢視繳費紀錄
•於智能咭系統檢視結存及紀錄 •登入帳號及密碼貼於學生手冊封面內頁
手冊內的內聯網密碼貼紙
學生: 1A(1)區xx 內聯網及自評系統
7.輸入自訂的8位PPS 網上密碼
8.重按8位PPS網上密碼
9.取回印有PPS 戶口號碼收據
登記賬單
透過電話
致電
18013
請選擇 ‘1’
按入家長8位數字
繳費靈戶口號碼
輸入商戶編號 9 6 1 3 (聖嘉祿學校)
輸入學生編號(200?????)
使用繳費靈增值智能卡
透過電話
致電 18033
輸入 5 位數字繳費靈電話密碼
•手續費會由家長承擔。
•每次轉賬額設定為最低為$200
注意事項
•如家長現已使用「繳費靈」交費服務,則無需 再申請「繳費靈」戶口。
•家長開啟戶口後必須登記賬單(賬單編號為八 位數字的學生編號) 200XXXXX
•如果有兩個子女在本校就讀,應登記兩張賬單
轉賬金額過數時間
•週一至週五下午7時前增值,第二天上午9時 過數
智能咭系統繳費流程
使用繳費靈的步驟
1 開立繳費靈戶口 2 登記賬單 3 繳付賬單(戶口增值)
開立PPS戶口
1. 按 ‘1’
開立戶口
2.將提款卡掃過讀卡槽
3.選擇銀行戶口 (如需要)
4.輸入提款卡密碼
5.輸入自訂的 5 位數字 PPS 電話密碼
6.重按5 位數字 PPS 電話密碼
(如不需使用網上繳費服務,則可直接進入步驟9)
•若遇假期,則順延一個工作天過數 •週六及週日增值,下星期二過數
透過網上銀行系統利用信用咭轉賬
(輸入學生編號)
檢視繳費紀錄
•於智能咭系統檢視結存及紀錄 •登入帳號及密碼貼於學生手冊封面內頁
手冊內的內聯網密碼貼紙
學生: 1A(1)區xx 內聯網及自評系統
7.輸入自訂的8位PPS 網上密碼
8.重按8位PPS網上密碼
9.取回印有PPS 戶口號碼收據
登記賬單
透過電話
致電
18013
請選擇 ‘1’
按入家長8位數字
繳費靈戶口號碼
輸入商戶編號 9 6 1 3 (聖嘉祿學校)
輸入學生編號(200?????)
使用繳費靈增值智能卡
透過電話
致電 18033
輸入 5 位數字繳費靈電話密碼
•手續費會由家長承擔。
•每次轉賬額設定為最低為$200
注意事項
•如家長現已使用「繳費靈」交費服務,則無需 再申請「繳費靈」戶口。
•家長開啟戶口後必須登記賬單(賬單編號為八 位數字的學生編號) 200XXXXX
•如果有兩個子女在本校就讀,應登記兩張賬單
轉賬金額過數時間
•週一至週五下午7時前增值,第二天上午9時 過數
智能咭系統繳費流程
使用繳費靈的步驟
1 開立繳費靈戶口 2 登記賬單 3 繳付賬單(戶口增值)
開立PPS戶口
1. 按 ‘1’
開立戶口
2.將提款卡掃過讀卡槽
3.選擇銀行戶口 (如需要)
4.輸入提款卡密碼
5.輸入自訂的 5 位數字 PPS 電話密碼
6.重按5 位數字 PPS 電話密碼
(如不需使用網上繳費服務,則可直接進入步驟9)
《智能卡安全技术》PPT课件
– 如:用子密钥对交易时间或命令计数器进行加密生成会话密钥,这样即使是 同一张卡,每次使用时的会话密钥就不同,或做不同的操作,会话密钥也不 同。
3. 主密钥的生成
• 主密钥可由几个可信任的人彼此独立提出的数据组合成一个密钥,然后 对随机数进行加密运算而获得,这样主密钥的生成和变化规律就很难估 计。
该PIN=卡内
令,并提交PIN码 PIN 所存密码?
否
返回错误 代码
是
继续其他操作
PIN密码识别
终终终
生 生 PIN
‘ 生生生生生’ 生生
⊕ PIN
M'=N⊕PIN
K终 终 终 f 终 f - 1终 终 / 终 终 终 终 ⊕终 终 终 终 终 终 终
生 生 生 生 M=f(M',K) 生生生生M
旦因错误计数溢出等原因自锁,也同时锁住使 用该PIN的其他应用层次。 • 局部PIN(Local PIN)
处于某一具体应用层次中,一旦因错误 计数溢出等原因自锁,则仅锁住该应用层次。
PIN功能简单汇总表
功能
简单IC卡 复杂IC卡 (如CPU卡)
PIN
无或有
有
PIN数量
一个
若干个
PIN位数
较短
较长/可自定义(如1~ 8位十进制数)
4. 主密钥的下载 • IC卡中主密钥的下载
– 主密钥下载是在专门设备上进行的,下载的环境是安全的; – 但要保证IC卡上的触点的信息不能被窃取,主密钥下载后,不能再读
出,这由硬件(熔丝)和软件(COS卡内操作系统)来保证
• 读写器中主密钥的下载 – 读写器内部没有COS,不能保证主密钥不被读出,常采用安全存取模 块SAM,密钥下载到SAM模块中,加密/解密算法也在SAM中进行。
3. 主密钥的生成
• 主密钥可由几个可信任的人彼此独立提出的数据组合成一个密钥,然后 对随机数进行加密运算而获得,这样主密钥的生成和变化规律就很难估 计。
该PIN=卡内
令,并提交PIN码 PIN 所存密码?
否
返回错误 代码
是
继续其他操作
PIN密码识别
终终终
生 生 PIN
‘ 生生生生生’ 生生
⊕ PIN
M'=N⊕PIN
K终 终 终 f 终 f - 1终 终 / 终 终 终 终 ⊕终 终 终 终 终 终 终
生 生 生 生 M=f(M',K) 生生生生M
旦因错误计数溢出等原因自锁,也同时锁住使 用该PIN的其他应用层次。 • 局部PIN(Local PIN)
处于某一具体应用层次中,一旦因错误 计数溢出等原因自锁,则仅锁住该应用层次。
PIN功能简单汇总表
功能
简单IC卡 复杂IC卡 (如CPU卡)
PIN
无或有
有
PIN数量
一个
若干个
PIN位数
较短
较长/可自定义(如1~ 8位十进制数)
4. 主密钥的下载 • IC卡中主密钥的下载
– 主密钥下载是在专门设备上进行的,下载的环境是安全的; – 但要保证IC卡上的触点的信息不能被窃取,主密钥下载后,不能再读
出,这由硬件(熔丝)和软件(COS卡内操作系统)来保证
• 读写器中主密钥的下载 – 读写器内部没有COS,不能保证主密钥不被读出,常采用安全存取模 块SAM,密钥下载到SAM模块中,加密/解密算法也在SAM中进行。
智能卡识别技术及应用课件2-26306482020402338
应的权系数相乘,并将所得结果相加。 (3)将(2)所得结果除以103,余数即为校验字符
的值。
例:数据字符“1234 abcd”
字符 START C
相应值 105
权系数
1
12 34 Code B Space a b c d 12 34 100 0 65 66 67 68
23 4 5 6789
和数 = 105*1+12*2+34*3+100*4+0*5+65*6 +66*7+67*8+68*9 = 2631
39码的编码
39码的特点: (1)长度可变的离散型自校验字母数字式码制,字符
为0-9,26个大写字母A-Z及7个特殊字符-,., Space,$,/,+和%,共43个字符; (2)采用两种元素宽度,每个条或空是宽元素和窄元 素; (3)每个字符由9个元素组成,其中: 5个条:2个宽条,3个窄条。 4个空:1个宽空,3个窄空。
2 4680
1 3579
第二步的结果 =(0+8+6+4+2+4)* 3 = 72 第三步的结果 =(9+7+5+3+1+5) = 30 第四步的结果 = 72+30 = 102,使之成为10的倍数
110的最小差值是8,即校验字符为8
例如:数据字符“489166832668 ”
国别号
数据字符位置编号 13 12
(3)使第(2)步所得的数据成为10的倍数的最小差 值便是校验字符的值。
例1:数据字符“47365”
数据字符 4 7 3 6 5
数据字符值 4 7 3 6 5
权系数
的值。
例:数据字符“1234 abcd”
字符 START C
相应值 105
权系数
1
12 34 Code B Space a b c d 12 34 100 0 65 66 67 68
23 4 5 6789
和数 = 105*1+12*2+34*3+100*4+0*5+65*6 +66*7+67*8+68*9 = 2631
39码的编码
39码的特点: (1)长度可变的离散型自校验字母数字式码制,字符
为0-9,26个大写字母A-Z及7个特殊字符-,., Space,$,/,+和%,共43个字符; (2)采用两种元素宽度,每个条或空是宽元素和窄元 素; (3)每个字符由9个元素组成,其中: 5个条:2个宽条,3个窄条。 4个空:1个宽空,3个窄空。
2 4680
1 3579
第二步的结果 =(0+8+6+4+2+4)* 3 = 72 第三步的结果 =(9+7+5+3+1+5) = 30 第四步的结果 = 72+30 = 102,使之成为10的倍数
110的最小差值是8,即校验字符为8
例如:数据字符“489166832668 ”
国别号
数据字符位置编号 13 12
(3)使第(2)步所得的数据成为10的倍数的最小差 值便是校验字符的值。
例1:数据字符“47365”
数据字符 4 7 3 6 5
数据字符值 4 7 3 6 5
权系数
智能卡密钥系统
数据加密使用 DES 或 3-DES 加密算法。该算法对 8 的整倍数长个字节进行 运算。当所需加密的信息的总长度不满足此要求时,则由保密通信功能模块对信 息进行“添补”。为使这种“添补”信息对接收端来说是可见的,所添补的信息放在 要加密的信息后,添补信息的首字节值为"80",其余字节的值均为"00"。
D3,D4 等等。每个数据块使用如下过程进行解密。 8 字节的数据块
过程密钥
DES
8 字节解密后的
使用单长度数据加密算法密钥的数据解密 第二步:计算结束后,所有解密后的数据块依照顺序(解密后的D1,解密后 的D2,等等)链接在一起。数据块由LD,明文数据,填充字符组成。 第三步:因为LD表示明文数据的长度,因此,它被用来恢复明文数据。
母钥 KEY(8 字节)
DATA=DATA 的 T8~TD DATA=DATA+“0000” 分散因子=DATA
SINGLE-DES
子钥 SKEY 图 单 DES 分散算法
DATA=ATR 的 T8~TD DATA=DATA+“0000”
分散因子=DATA
分 散 因 子 =NOT
母钥 KEY(16 字节)
分散因子(8 bytes)
KEY_L KEY_R KEY_L
DEA(e) DEA(d) DEA(e)
DKL
分散因子(8 bytes)
KEY_L KEY_R KEY_L
DEA(e) DEA(d) DEA(e)
DKR
子密钥 DK=DKL||DKR(16 bytes) 图二-2 双倍长密钥分散出双倍长子密钥
DATA
Le
命令可分为四种情况:
格式 CASE 1 CASE 2 CASE 3 CASE 4
D3,D4 等等。每个数据块使用如下过程进行解密。 8 字节的数据块
过程密钥
DES
8 字节解密后的
使用单长度数据加密算法密钥的数据解密 第二步:计算结束后,所有解密后的数据块依照顺序(解密后的D1,解密后 的D2,等等)链接在一起。数据块由LD,明文数据,填充字符组成。 第三步:因为LD表示明文数据的长度,因此,它被用来恢复明文数据。
母钥 KEY(8 字节)
DATA=DATA 的 T8~TD DATA=DATA+“0000” 分散因子=DATA
SINGLE-DES
子钥 SKEY 图 单 DES 分散算法
DATA=ATR 的 T8~TD DATA=DATA+“0000”
分散因子=DATA
分 散 因 子 =NOT
母钥 KEY(16 字节)
分散因子(8 bytes)
KEY_L KEY_R KEY_L
DEA(e) DEA(d) DEA(e)
DKL
分散因子(8 bytes)
KEY_L KEY_R KEY_L
DEA(e) DEA(d) DEA(e)
DKR
子密钥 DK=DKL||DKR(16 bytes) 图二-2 双倍长密钥分散出双倍长子密钥
DATA
Le
命令可分为四种情况:
格式 CASE 1 CASE 2 CASE 3 CASE 4
出借智能卡(分析“智能卡”文档)共5张PPT
安全提醒: 所以,一定要认真保护身份令牌,像密码一样不同他人分享。
基在础出安 现全安防全范事故、错误和意外尽的时管候,智滥用能智能卡卡会只造成是错误用的来身份区识别别,给访智能问卡用信户造息成不系良信统誉影的响,人也会员耽的误时身间响份应速,度。但是即使短时的 借用,比如收取一下邮件等等,可能会带来病毒或木马等恶意程序。 尽管智能卡只是用来区别访问信息系统的人员的身份,但是即使短时的借用,比如收取一下邮件等等,可能会带来病毒或木马等恶意程序。
小黑过来想借一下智能卡联网看自己的邮件,这样安全吗?
基础安全防范
出借智能卡
尽管智能卡只是用来区别访问信息系统的人员的身份,但是即使短时的借用,比如收取一下邮件等等,可能会带来病毒或木马等恶意程序。 在出现安全事故、错误和意外的时候,滥用智能卡会造成错误的身份识别,给智能卡用户造成不良信誉影响,也会耽误时间响应速度。
小黑过来想借一下智能卡联网看自己的邮件,这样安全吗?
小几黑个过 同来事想打借算一下起智讨能论卡最联新网的看产在自品己演出的示邮稿现件。安,这全样安事全吗故? 、错误和意外的时候,滥用智能卡会造成错误的身份识别, 给智能卡用户造成不良信誉影响,也会耽误时间响应速度。 所以,一定要认真保护身份令牌,像密码一样不同他人分享。
在出现安全事故、错误和意外的时候,滥用智能卡会造成错误的身份识别,给智能卡用户造成不良信誉影响,也会耽误时间响应速度。
所以,一定要认真保护身份令牌,像密码一样不同他人分享。
如果您将自己的智能卡借给他人使用,您需要为他人的错误行为所造成不良 后果负责。
谢谢
知识点:社交安全
基础安全防范
出借智能卡
几个同事打算一起讨论最新的产品演示稿。
基础安全防范
出借智能卡 所尽所 小小在几基基基小 所小在小尽所小基在基基小基基尽基基在基基以管以黑黑出个础础础黑以黑出黑管以黑础出础础黑础础管础础出础础, 智 ,过 过 现 同 安 安 安 过, 过 现 过 智 , 过 安 现 安 安 过 安 安 智 安 安 现 安 安一能一 来来安事全全全来 一来安来能一来全安全全来全全能全全安全全定卡定 想想全打防防防想 定想全想卡定想防全防防想防防卡防防全防防要只要 借借事算范范范借 要借事借只要借范事范范借范范只范范事范范认是认 一一故一一 认一故一是认一故一是故真用真 下下、起下 真下、下用真下、下用、保来保 智智错讨智 保智错智来保智错智来错护区护 能能误论能 护能误能区护能误能区误身别身卡卡和最卡身卡和卡别身卡和卡别和份访份 联联意新联 份联意联访份联意联访意令问令 网网外的网 令网外网问令网外网问外牌信牌 看看的产看 牌看的看信牌看的看信的,息, 自自时品自 ,自时自息,自时自息时像系像 己己候演己 像己候己系像己候己系候密统密 的的,示的 密的,的统密的,的统,码的码 邮邮滥稿邮 码邮滥邮的码邮滥邮的滥一人一 件件用。件 一件用件人一件用件人用样员样 ,,智, 样,智,员样,智,员智不的不 这这能这 不这能这的不这能这的能同身同 样样卡样 同样卡样身同样卡样身卡他份他 安安会安 他安会安份他安会安份会人,人 全全造全 人全造全,人全造全,造分但分 吗吗成吗 分吗成吗但分吗成吗但成享是享 ??错? 享?错?是享?错?是错。即。 误。误即。误即误使的的使的使的短身身短身短身时份份时份时份的识识的识的识借别别借别借别用,,用,用,,给给,给,给比智智比智比智如能能如能如能收卡卡收卡收卡取用用取用取用一户户一户一户下造造下造下造邮成成邮成邮成件不不件不件不等 良 良 等 良 等 良等信信等信等信,誉誉,誉,誉可影影可影可影能响响能响能响会,,会,会,带也也带也带也来会会来会来会病耽耽病耽病耽毒误误毒误毒误或时时或时或时木间间木间木间马响响马响马响等应应等应等应恶速速恶速恶速意度度意度意度程。。程。程。序序序。。。
基在础出安 现全安防全范事故、错误和意外尽的时管候,智滥用能智能卡卡会只造成是错误用的来身份区识别别,给访智能问卡用信户造息成不系良信统誉影的响,人也会员耽的误时身间响份应速,度。但是即使短时的 借用,比如收取一下邮件等等,可能会带来病毒或木马等恶意程序。 尽管智能卡只是用来区别访问信息系统的人员的身份,但是即使短时的借用,比如收取一下邮件等等,可能会带来病毒或木马等恶意程序。
小黑过来想借一下智能卡联网看自己的邮件,这样安全吗?
基础安全防范
出借智能卡
尽管智能卡只是用来区别访问信息系统的人员的身份,但是即使短时的借用,比如收取一下邮件等等,可能会带来病毒或木马等恶意程序。 在出现安全事故、错误和意外的时候,滥用智能卡会造成错误的身份识别,给智能卡用户造成不良信誉影响,也会耽误时间响应速度。
小黑过来想借一下智能卡联网看自己的邮件,这样安全吗?
小几黑个过 同来事想打借算一下起智讨能论卡最联新网的看产在自品己演出的示邮稿现件。安,这全样安事全吗故? 、错误和意外的时候,滥用智能卡会造成错误的身份识别, 给智能卡用户造成不良信誉影响,也会耽误时间响应速度。 所以,一定要认真保护身份令牌,像密码一样不同他人分享。
在出现安全事故、错误和意外的时候,滥用智能卡会造成错误的身份识别,给智能卡用户造成不良信誉影响,也会耽误时间响应速度。
所以,一定要认真保护身份令牌,像密码一样不同他人分享。
如果您将自己的智能卡借给他人使用,您需要为他人的错误行为所造成不良 后果负责。
谢谢
知识点:社交安全
基础安全防范
出借智能卡
几个同事打算一起讨论最新的产品演示稿。
基础安全防范
出借智能卡 所尽所 小小在几基基基小 所小在小尽所小基在基基小基基尽基基在基基以管以黑黑出个础础础黑以黑出黑管以黑础出础础黑础础管础础出础础, 智 ,过 过 现 同 安 安 安 过, 过 现 过 智 , 过 安 现 安 安 过 安 安 智 安 安 现 安 安一能一 来来安事全全全来 一来安来能一来全安全全来全全能全全安全全定卡定 想想全打防防防想 定想全想卡定想防全防防想防防卡防防全防防要只要 借借事算范范范借 要借事借只要借范事范范借范范只范范事范范认是认 一一故一一 认一故一是认一故一是故真用真 下下、起下 真下、下用真下、下用、保来保 智智错讨智 保智错智来保智错智来错护区护 能能误论能 护能误能区护能误能区误身别身卡卡和最卡身卡和卡别身卡和卡别和份访份 联联意新联 份联意联访份联意联访意令问令 网网外的网 令网外网问令网外网问外牌信牌 看看的产看 牌看的看信牌看的看信的,息, 自自时品自 ,自时自息,自时自息时像系像 己己候演己 像己候己系像己候己系候密统密 的的,示的 密的,的统密的,的统,码的码 邮邮滥稿邮 码邮滥邮的码邮滥邮的滥一人一 件件用。件 一件用件人一件用件人用样员样 ,,智, 样,智,员样,智,员智不的不 这这能这 不这能这的不这能这的能同身同 样样卡样 同样卡样身同样卡样身卡他份他 安安会安 他安会安份他安会安份会人,人 全全造全 人全造全,人全造全,造分但分 吗吗成吗 分吗成吗但分吗成吗但成享是享 ??错? 享?错?是享?错?是错。即。 误。误即。误即误使的的使的使的短身身短身短身时份份时份时份的识识的识的识借别别借别借别用,,用,用,,给给,给,给比智智比智比智如能能如能如能收卡卡收卡收卡取用用取用取用一户户一户一户下造造下造下造邮成成邮成邮成件不不件不件不等 良 良 等 良 等 良等信信等信等信,誉誉,誉,誉可影影可影可影能响响能响能响会,,会,会,带也也带也带也来会会来会来会病耽耽病耽病耽毒误误毒误毒误或时时或时或时木间间木间木间马响响马响马响等应应等应等应恶速速恶速恶速意度度意度意度程。。程。程。序序序。。。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
读写器将M解密成明文N1;
读写器将明文N1和原随机数N 比较,相同则读写器认为卡是 真的。
IC卡鉴别读写器的真伪(外部认证)
生生生 生“ 生生生生
生” 生生
M=EK(N) 生生
生“ 生生生 1=DK(M) 生生
生 N=N1生
生
生生生生生
生生生生生
读写器向卡发生成随机数命令
6.2 智能卡的安全访问机制
6.2.1 鉴别与核实 6.2.2 安全报文传送 6.2.3 文件访问的安全控制 6.2.4 数字签名/认证
6.2.1 鉴别与核实
鉴别(Authentication)指的是对智能卡 (或者是读写设备)的合法性的验证,即 是如何判定一张智能卡(或读写设备)不 是伪造的卡(或读写设备)的问题; 核实(verify)是指对智能卡的持有者的合 法性的验证,也就是如何判定一个持卡人 是否经过了合法的授权的问题。
4. 主密钥的下载
IC卡中主密钥的下载
– 主密钥下载是在专门设备上进行的,下 载的环境是安全的;
– 但要保证IC卡上的触点的信息不能被窃 取,主密钥下载后,不能再读出,这由 硬件(熔丝)和软件(COS卡内操作系 统)来保证
读写器中主密钥的下载
– 读写器内部没有COS,不能保证主密 钥不被读出,常采用安全存取模块 SAM,密钥下载到SAM模块中,加密/ 解密算法也在SAM中进行。
M=EK(N) 生生
生 I C生 生 生
N1=DK(M) 生生
N=N1生 生
I C生 生 生
生 生 生 生 生 I C生 生 生 生 生 生 生 生 生 生
生生生
生“ 生生生生 生” 生生
I C生 生生生生生N
M=EK(N) 生生
生“ 生生生 生” 生生
N1=DK(M) 生生
生 N=N1生
生
生生生生生
第六章 智能卡安全技术
1
关键技术
身份鉴别 报文鉴别 数据加密 数字签名
主要内容
6.1 密钥管理系统 6.2 智能卡的安全访问机制 6.3 智能卡防拔插处理 6.4 智能卡的安全使用 6.5 安全操作相关的基本命令
6.1 密钥管理系统
1. 何为密钥管理? 密钥管理是一门综合性的技术,它涉
及密钥的产生、检验、分配、传递、保 管和使用。
2.密钥管理系统——层次结构
基本思想:用密钥保护密钥 – 用第i层的密钥Ki来保护第i+1层密钥Ki+1 – Ki本身也受到第i-1层密钥Ki-1的保护 – 下层的密钥可按某种协议不断变化; – 密钥管理系统是动态变化的
(1)三层密钥管理系统的结构
主密钥
子密钥
会话密钥
①
②
③
(2)三层密钥管理系统的举例
读写器鉴别IC卡的真伪(内部认证)
生生生
I C生
生生生生生N
生“ 生生生 生” 生生
M=EK(N) 生生
生 I C生 生 生
N1=DK(M) 生生
N=N1生 生
I C生 生 生
读写器生成随机数N,并向卡发 内部认证指令(Internal Authentication), 将随机数送 卡;
卡对随机数N加密成密文M(密 钥已存在卡和读写器中),并 将M送读写器;
用户
终端机
智能卡
键入PIN
发“持卡人认证”指
该PIN=卡内
令,并提交PIN码 PIN 所存密码?
否
返回错误 代码
是
继续其他操作
PIN密码识别
终终终
生 生 PIN
‘ 生生生生生’ 生生
⊕ PIN
M'=N⊕PIN
K终 终 终 f 终 f - 1终 终 / 终 终 终 终 ⊕终 终 终 终 终 终 终
生 生 生 生 M=f(M',K) 生生生生M
生生M
I C终 生生生生生N
生 生 生 生 N'=f-1(M,K)
生 生 N'=N⊕PIN生 生 生
– 如:用子密钥对交易时间或命令计数器进行加密 生成会话密钥,这样即使是同一张卡,每次使用 时的会话密钥就不同,或做不同的操作,会话密 钥也不同。
3. 主密钥的生成
主密钥可由几个可信任的人彼此独立提 出的数据组合成一个密钥,然后对随机 数进行加密运算而获得,这样主密钥的 生成和变化规律就很难估计。
PIN
无或有
有
PIN数量
一个
若干个
PIN位数
较短
较长/可自定义(如1~ 8位十进制数)
PIN输入错误限制次数 较少(如3次) 较长/可自定义(如1~ 15次)
全局/局部PIN
否
是
可修改性等其他属性
否
是
个人解锁码(PUC)
否
是
PUC: Personal Unblocking Code
PIN明码识别
读卡器与卡间以明码传输,在IC卡内部 完成PIN的鉴别
生生生生生
I C生 生 生 生 生 生 生 生 生 生 生 生 生 生 生
核实
方法 – 验证个人识别号PIN(personal
identification number); – 生物特征; – 下意识特征;
PIN
PIN(Personal Identification Number)个 人识别号是IC卡中的保密数据。 功能:保证只有合法持卡人才能使用该 卡或卡中的某一项或几项功能,以防止 拾到该卡的人恶意使用或非法伪造。 错误计数器:用以记录、限制PIN输入错 误的次数
设采用对称密码体制
主密钥
– 在智能卡和读写器中存放相同的主密钥
子密钥
– 主密钥对某些指定的数据加密后生成子密钥
– 如:每张卡的芯片制造商的标识码的序列号或应 用序列号是不相同的,且都设置在IC卡内,因此 可利用序列号进行加密生成子密钥;
会话密钥
– 用子密钥对可变数据进行加密,加密的结果即为 会话密钥(或过程密钥)。一个会话密钥仅使用 一次。
卡产生随机数N,并送读写器;
读写器对随机数加密成密文 M(密钥已存在卡和读写器中);
读写器向卡发外部认证命令 (External Authentication),并 将密文M送卡;
卡将密文M解密成明文N1,并 将明文N1和原随机数N比较, 相同则卡认为读写器是真的。
鉴别
生生生
I C生
生生生生生N
生“ 生生生 生” 生生
PIN的类型
全局PIN(Global PIN) 处于系统的较高层次(如主文件)中,一旦因错
误计数溢出等原因自锁,也同时锁住使用该PIN 的其他应用层次。 局部PIN(Local PIN)
处于某一具体应用层次中,一旦因错误计数 溢出等原因自锁,则仅锁住该应用层次。
PIN功能简单汇总表
功能
简单IC卡 复杂IC卡 (如CPU卡)
读写器将明文N1和原随机数N 比较,相同则读写器认为卡是 真的。
IC卡鉴别读写器的真伪(外部认证)
生生生 生“ 生生生生
生” 生生
M=EK(N) 生生
生“ 生生生 1=DK(M) 生生
生 N=N1生
生
生生生生生
生生生生生
读写器向卡发生成随机数命令
6.2 智能卡的安全访问机制
6.2.1 鉴别与核实 6.2.2 安全报文传送 6.2.3 文件访问的安全控制 6.2.4 数字签名/认证
6.2.1 鉴别与核实
鉴别(Authentication)指的是对智能卡 (或者是读写设备)的合法性的验证,即 是如何判定一张智能卡(或读写设备)不 是伪造的卡(或读写设备)的问题; 核实(verify)是指对智能卡的持有者的合 法性的验证,也就是如何判定一个持卡人 是否经过了合法的授权的问题。
4. 主密钥的下载
IC卡中主密钥的下载
– 主密钥下载是在专门设备上进行的,下 载的环境是安全的;
– 但要保证IC卡上的触点的信息不能被窃 取,主密钥下载后,不能再读出,这由 硬件(熔丝)和软件(COS卡内操作系 统)来保证
读写器中主密钥的下载
– 读写器内部没有COS,不能保证主密 钥不被读出,常采用安全存取模块 SAM,密钥下载到SAM模块中,加密/ 解密算法也在SAM中进行。
M=EK(N) 生生
生 I C生 生 生
N1=DK(M) 生生
N=N1生 生
I C生 生 生
生 生 生 生 生 I C生 生 生 生 生 生 生 生 生 生
生生生
生“ 生生生生 生” 生生
I C生 生生生生生N
M=EK(N) 生生
生“ 生生生 生” 生生
N1=DK(M) 生生
生 N=N1生
生
生生生生生
第六章 智能卡安全技术
1
关键技术
身份鉴别 报文鉴别 数据加密 数字签名
主要内容
6.1 密钥管理系统 6.2 智能卡的安全访问机制 6.3 智能卡防拔插处理 6.4 智能卡的安全使用 6.5 安全操作相关的基本命令
6.1 密钥管理系统
1. 何为密钥管理? 密钥管理是一门综合性的技术,它涉
及密钥的产生、检验、分配、传递、保 管和使用。
2.密钥管理系统——层次结构
基本思想:用密钥保护密钥 – 用第i层的密钥Ki来保护第i+1层密钥Ki+1 – Ki本身也受到第i-1层密钥Ki-1的保护 – 下层的密钥可按某种协议不断变化; – 密钥管理系统是动态变化的
(1)三层密钥管理系统的结构
主密钥
子密钥
会话密钥
①
②
③
(2)三层密钥管理系统的举例
读写器鉴别IC卡的真伪(内部认证)
生生生
I C生
生生生生生N
生“ 生生生 生” 生生
M=EK(N) 生生
生 I C生 生 生
N1=DK(M) 生生
N=N1生 生
I C生 生 生
读写器生成随机数N,并向卡发 内部认证指令(Internal Authentication), 将随机数送 卡;
卡对随机数N加密成密文M(密 钥已存在卡和读写器中),并 将M送读写器;
用户
终端机
智能卡
键入PIN
发“持卡人认证”指
该PIN=卡内
令,并提交PIN码 PIN 所存密码?
否
返回错误 代码
是
继续其他操作
PIN密码识别
终终终
生 生 PIN
‘ 生生生生生’ 生生
⊕ PIN
M'=N⊕PIN
K终 终 终 f 终 f - 1终 终 / 终 终 终 终 ⊕终 终 终 终 终 终 终
生 生 生 生 M=f(M',K) 生生生生M
生生M
I C终 生生生生生N
生 生 生 生 N'=f-1(M,K)
生 生 N'=N⊕PIN生 生 生
– 如:用子密钥对交易时间或命令计数器进行加密 生成会话密钥,这样即使是同一张卡,每次使用 时的会话密钥就不同,或做不同的操作,会话密 钥也不同。
3. 主密钥的生成
主密钥可由几个可信任的人彼此独立提 出的数据组合成一个密钥,然后对随机 数进行加密运算而获得,这样主密钥的 生成和变化规律就很难估计。
PIN
无或有
有
PIN数量
一个
若干个
PIN位数
较短
较长/可自定义(如1~ 8位十进制数)
PIN输入错误限制次数 较少(如3次) 较长/可自定义(如1~ 15次)
全局/局部PIN
否
是
可修改性等其他属性
否
是
个人解锁码(PUC)
否
是
PUC: Personal Unblocking Code
PIN明码识别
读卡器与卡间以明码传输,在IC卡内部 完成PIN的鉴别
生生生生生
I C生 生 生 生 生 生 生 生 生 生 生 生 生 生 生
核实
方法 – 验证个人识别号PIN(personal
identification number); – 生物特征; – 下意识特征;
PIN
PIN(Personal Identification Number)个 人识别号是IC卡中的保密数据。 功能:保证只有合法持卡人才能使用该 卡或卡中的某一项或几项功能,以防止 拾到该卡的人恶意使用或非法伪造。 错误计数器:用以记录、限制PIN输入错 误的次数
设采用对称密码体制
主密钥
– 在智能卡和读写器中存放相同的主密钥
子密钥
– 主密钥对某些指定的数据加密后生成子密钥
– 如:每张卡的芯片制造商的标识码的序列号或应 用序列号是不相同的,且都设置在IC卡内,因此 可利用序列号进行加密生成子密钥;
会话密钥
– 用子密钥对可变数据进行加密,加密的结果即为 会话密钥(或过程密钥)。一个会话密钥仅使用 一次。
卡产生随机数N,并送读写器;
读写器对随机数加密成密文 M(密钥已存在卡和读写器中);
读写器向卡发外部认证命令 (External Authentication),并 将密文M送卡;
卡将密文M解密成明文N1,并 将明文N1和原随机数N比较, 相同则卡认为读写器是真的。
鉴别
生生生
I C生
生生生生生N
生“ 生生生 生” 生生
PIN的类型
全局PIN(Global PIN) 处于系统的较高层次(如主文件)中,一旦因错
误计数溢出等原因自锁,也同时锁住使用该PIN 的其他应用层次。 局部PIN(Local PIN)
处于某一具体应用层次中,一旦因错误计数 溢出等原因自锁,则仅锁住该应用层次。
PIN功能简单汇总表
功能
简单IC卡 复杂IC卡 (如CPU卡)