M1卡与CPU卡系统区别(推广稿)

M1卡与CPU卡系统区别(推广稿)第一页，共29页。三、CPU卡系统终端机具二、CPU卡系统业务一、CPU卡和M1卡的区别四、总结目录第二页，共29页。按所嵌的芯片类型的不同，IC卡可分为三类：

1、存储器卡

卡内的集成电路是可用电擦除的可编程只读存储器EEPROM，它仅具有数据存储功能，没有数据处理能力。

2、逻辑加密卡（M1卡）

卡内的集成电路包括加密逻辑电路和可编程只读存储器EEPROM，加密逻辑电路在一定程度上保护着卡和卡中数据的安全。

3、CPU卡

卡内的集成电路包括中央处理器CPU、可编程只读存储器EEPROM、随机存储器RAM以及固化在只读存储器ROM中的卡内操作系统COS(ChipOperatingSystem)。CPU卡相当于一台微型计算机，只是没有显示器和键盘，因此CPU卡一般称为智能卡(SmartCard)。CPU卡中数据可分为外部读取和内部处理(不许外部读取)部分，以确保卡中数据的安全可靠。有的卡中还固化有DES和RSA等密码算法，甚至密码协处理器，在卡中就可以对数据作加密/解密和数字签名/验证运算。

IC卡分类3第三页，共29页。CPU卡与M1卡的区别一、技术方面

1.逻辑加密卡（M1卡）又叫存储卡，卡内的集成电路具有加密逻辑和EEPROM（电可擦除可编程只读存储器）。

2.CPU卡又叫智能卡，卡内的集成电路包括中央处理器（CPU）、EEPROM、随机存储器(ROM)、以及固化在只读存储器（ROM）中的片内操作系统(COS)，有的卡内芯片还集成了加密运算协处理器以提高安全性和工作速度,使其技术指标远远高于逻辑加密卡。

3.两者在技术方面的最大区别在于：CPU卡是一种具有微处理芯片的IC卡，可执行加密运算和其它操作，存储容量较大，能应用于不同的系统；逻辑加密卡是一种单一的存储卡，主要特点是内部有只读存储器，但存储容量较CPU卡小，使其在用途方面没有扩展性。CPU卡与M1卡的区别4第四页，共29页。二、安全方面

1.逻辑加密卡具有防止对卡中信息随意改写功能的存储IC卡，当对加密卡进行操作时必须首先核对卡中密码，只有核对正确，卡中送出一串正确的应答信号时，才能对卡进行正确的操作，但由于只进行一次认证，且无其它的安全保护措施，容易导致密码的泄露和伪卡的产生，其安全性能很低。

2.由于CPU卡中有微处理机和IC卡操作系统（COS），当CPU卡进行操作时，可进行加密和解密算法（算法和密码都不易破解），用户系统（密钥系统和硬件加密设备）和IC卡系统之间需要进行多次的相互密码认证（且速度极快），提高了系统的安全性能，对于防止伪卡的产生有很好的效果。

综上所述，对于逻辑加密卡和CPU卡来说，CPU卡不仅具有逻辑加密卡的所有功能，更具有逻辑加密卡所不具备的高安全性、灵活性以及支持与应用扩展等优良性能，也是今后IC卡发展的主要趋势和方向。CPU卡与M1卡的区别5第五页，共29页。CPU卡文件存储结构MifareOne卡平面存储结构数据存储格式对比0块数据123密码控制块4

567密码控制块CPU卡和M1卡数据存储格式对别第六页，共29页。CPU卡片上操作系统COS正是由于CPU的存在，使得智能卡完全不同于存储卡和逻辑加密卡（仅作为一种可移动的存储介质），卡中带有的具备文件系统、通信、授权、加密及访问控制命令的片内操作系统(COS)，使智能卡成为一个特别的计算机系统。片内操作系统(Chip-Operating-System)——智能卡内嵌的操作系统，在智能卡自身上运行的软件，集中处理特定卡的内容，为访问这些内容的应用提供计算性服务，并保护这些内容，防止错误的访问。CPU卡基本介绍第七页，共29页。1.符合《中国金融集成电路（IC）卡规范》、《中国金融集成电路（IC）卡应用规范》。2.数据文件支持二进制文件、定长记录文件、变长记录文件、循环定长记录文件。3.支持符合银行规范的电子钱包、电子存折功能。4.支持DES、TripleDES等加密算法，并支持用户特有的安全加密算法的下载。5.支持线路加密、线路保密功能，防止通信数据被非法窃取或篡改。6.可用作安全保密模块，使用过程密钥实现加密、解密。7.支持符合ISO-7816-3标准的T=0通讯协议。8.卡片支持多种容量选择，可选择2K、4K、8K、16K、32K和64K字节的EEPROM空间。9.安全机制使用状态机，并支持PIN检验、KEY认证、数据加密、解密、MAC验证。10.满足个别需求，SMARTCOS可根据特殊行业的特殊用户的需求定制。11.支持防插拔功能。12.支持命令下载及用户自定义算法的下载。13.卡片支持休眠模式，降低功耗。CPU卡参数第八页，共29页。CPU卡优势CPU卡具有运算功能，决定了其在交易结束时产生个交易验证码TAC，用来防止伪造交易，保障交易系统安全性。CPU卡可以由内部COS来实现断电保护功能，可以将扣款、交易信息、交易明细作为一个原子事件来操作，从而保证交易的完整性。CPU卡中有微处理机和IC卡操作系统（COS），当CPU卡进行操作时，可进行加密和解密算法（算法和密码都不易破解），用户卡和系统之间需要进行多次的相互密码认证（且速度极快），提高了系统的安全性能，对于防止伪卡的产生有很好的效果。CPU卡可以实现真正意义上的“互联互通”和“一卡多用”，每个应用相互独立并受控于各自密钥管理系统。不同应用可以共享一个“钱包”，也可以分别拥有各自的“钱包”。CPU卡优势第九页，共29页。三、CPU卡系统终端机具二、CPU卡系统业务一、CPU卡和M1卡的区别四、CPU总结目录第十页，共29页。系统业务——CPU卡系统所需资质CPU卡系统承建商需要有国家密码管理局颁发的：①商用密码产品生产定点单位证书②商用密码产品销售许可证③商用密码产品型号证书11第十一页，共29页。用户卡CPU卡应用基本结构读写设备控制软件COS(卡操作系统)卡硬件命令响应CPU卡CPU卡POS机PSAM卡命令响应系统业务——卡片结构12第十二页，共29页。系统业务——卡片交易流程第十三页，共29页。PBOC文件结构系统业务——卡片规划第十四页，共29页。CPU密钥分类系统业务——卡片规划第十五页，共29页。CPU卡系统的应用的模式系统业务——卡片规划扩展其他城市类应用所需“全国城市一卡通系统集成企业互通互联资质证书”第十六页，共29页。独占模式校园卡系统业务——卡片规划第十七页，共29页。接入其他行业卡校园卡其他行业卡需要行业卡发卡方开放指定应用的应用主控密钥将eCard应用接入系统业务——卡片规划第十八页，共29页。其他行业接入CPU卡系统其他行业卡校园卡并入系统应用卡需要向行业卡发卡方开放指定应用的应用主控密钥系统业务——卡片规划第十九页，共29页。COU卡系统支持M1和CPU卡两种卡，两种卡的密钥验证描述如下：1、M1卡密钥验证

（1）密钥算法是由一卡通厂家开发；

（2）种子密钥由一卡通厂家生成并通过UK存储，使用参数卡或采集程序下发系统种子密钥；

（3）卡片密钥在终端与卡片之间传递；2、CPU卡密钥验证

（1）密钥算法采用的是公开算法；（2）种子密钥和子系统密钥由公司密钥系统生成、下发、维护和管理；

（3）系统密钥非可视性存储，存放在加密机、加密卡、PSAM卡中；（4）在进行卡密钥验证时，密钥不在任何线路上直接传递，而是由交易数据、随机数、密钥索引等关键值计算出的过程密钥值进行验证，过程密钥在卡断电以后自动消亡，每次交易的过程密钥完全不同；（5）PSAM卡、用户卡二者通过二次验证，完成双向验证；

CPU卡系统兼容性第二十页，共29页。三、CPU卡系统终端机具二、CPU卡系统业务一、CPU卡和M1卡的区别四、总结目录第二十一页，共29页。CPU卡系统比M1卡系统增加设备：产品名称技术参数密钥认证管理平台数据加解密，交易数据入库认证密钥服务器存储一卡通系统整套密钥数据库金融数据加密机提供数据加/解密、数据完整性、数字签名、访问控制等功能PSAM卡密钥终端卡安装在消费机上，存储系统交易密钥算法，用户刷卡认证和交易时卡片CPU卡CPU卡系统终端第二十二页，共29页。PSAM卡PSAM卡终端安全控制模块，安装在硬件设备终端之内，存储系统交易密钥算法；CPU卡一卡通系统设备终端密钥卡，每台设备1个，保证加解密操作在终端与卡片之间完成，不通过网络传输密钥。CPU卡系统终端第二十三页，共29页。PSAM介绍终端安全控制模块，符合《中国金融集成电路（IC卡）PSAM卡规范》，包括普通PSAM卡和高速PSAM卡。

PSAM符合以下标准及规范：识别卡，带触点的集成电路卡标准《ISO/IEC7816-1/2/3/4》《中国人民银行PSAM卡规范》PSAM具有以下主要特征：支持一卡多应用，各应用之间相互独立（多应用、防火墙功能）支持多级密钥分散机制，用分散后的密钥作为临时密钥对数据进行加密、解密、MAC等运算，以完成终端与卡片之间的合法性认证等功能。

CPU卡系统终端第二十四页，共29页。CPU卡系统与M1卡系统终端区别：系统类型不同点支持的卡类型Mifare卡机具1、采用51单片机处理器2、TCP/IP通讯是模拟485在用3、脱机记录是1万条左右4、设备和卡片之间为明文认证M1的S50、S70卡1、采用32位ARM处理器，主板有2个PSAM卡座2、TCP/IP为真正的10M通讯3、脱机记录可达5万条4、设备和卡片之间为密文认证CPU卡、金融IC卡、NFC手机壳；M1的S50、S70卡CPU卡机具CPU卡系统终端第二十五页，共29页。三、CPU卡系统终端机具二、CPU卡系统业务一、CPU卡和M1卡的区别目录四、总结第二十六页，共29页。CPU卡M1操作系统带有COS系统无COS系统硬件加密模块硬件DES运算模块无实现算法的硬件加密模块算法支持标准DES算法厂家专用不公开算法交易安全性钱包不可被非法访问；与PSAM之间严格双向认证流程；交易自动形成不可抵赖的TAC码口令保护钱包，不校验口令错误次数；口令更换是明文可被截获，卡片不能验证设备合法性终端安全性采用动态密钥，密钥存储、交易验证与加密计算都由PSAM卡独立完成，安全有保障采用固定密钥，不支持SAM卡双向认证多应用支持多应用，应用之间独立；每个应用的COS、容量、功能可自行定义，可完全不同，支持多种认证方式简单支持多应用，应用数量与每个应用容量有限容量4Kbytes～80Kbytes8Kbytes空间分配文件方式，任意大小自由分配，并可灵活设置访问条件扇区方式，每区域64bytes，会造成空间浪费数