IC及CPU.ppt

1、IC及CPU卡等知识介绍,关于IC卡的基本知识以及IC中的CPU卡的特点及应用,什么是IC卡:,IC卡是集成电路卡 ( Integrated Circuit Card)的简称，是镶嵌集成电路芯片的塑料 卡片，其外形和尺寸都遵循国际标准(ISO)。芯片一般采用不易挥发性的存储器(ROM、 EEPROM)、保护逻辑电路、甚至带微处理器CPU。带有CPU的IC卡才是真正的智能卡。,第一章 IC卡知识,IC卡的分类:,根据集成电路类型分类： 存储卡 逻辑加密卡 CPU卡 根据卡与外界数据交换的界面不同分类： 接触式IC卡 非接触式IC卡 双界面卡 根据卡的应用领域不同分类： 金融卡 又可以分为信用卡和

2、现金卡两种 非金融卡 实际包含金融卡之外的所有领域，诸如电信、旅游、教育和公交等,非加密存储器卡： 卡内的集成电路芯片主要是EEPROM，具有数据存储功能，不具有数据处理功能和硬件加密功能。 逻辑加密存储器卡： 在非加密存储器卡的基础上增加了加密逻辑电路，加密逻辑电路通过校验密码方式来保护卡内的数据对于外部访问是否开放，但只是低层次的安全保护，无法防范恶意性的攻击。 CPU卡： 也称智能卡，卡内的集成电路中带有微处理器CPU、存储单元（包括随机存储器RAM、程序存储器ROM（FLASH）、用户数据存储器EEPROM）以及芯片操作系统COS。装有COS的CPU卡相当于一台微型计算机，不仅具有数据

3、存储功能，同时具有命令处理和数据安全保护等功能。,接触式IC卡： 接触式IC卡大小尺寸和我们通常见到的信用卡一致，但它的表面嵌入了一个带有内存存储器或微处理器的集成电路芯片。常用卡型有SLE4442、SLE4428等。,非接触式IC卡: 非接触IC卡，又名感应卡，诞生于90年代初，由于存在着 磁卡和接触式IC卡不可比拟的优点，使之一经问世，便立即引起广泛的关注，并以惊人的速度得到推广应用。,现代社会生活中的人只需两样东西即走边天下，一是钱，二是身份证件，而 IC卡正好具有这两样东西的特征，一是作为电子货币，二是作为持卡人身份证明。可见卡的应用将是无处不在的。 1IC卡在金融领域的应用 IC卡用

4、作信用卡、现金卡、电子钱包、储蓄卡、贷款证 2IC卡在非金融领域的应用 （1）电表、水表、煤气表卡 （2）门锁卡、门禁卡 （3）食堂饭卡 （4）考勤卡、员工卡 （5）娱乐消费卡 （6）商场购物卡、优惠卡 （7）电话卡 （8）公路交通收费卡、停车收费卡 （9）地铁、公交车票卡 （10）加油卡 （11）身份证、暂住证 （12）其他用于身份证明卡,IC卡应用:,IC卡结构: 非接触式IC卡主要由IC芯片、感应天线组成，并完全密封在一个 标准PVC卡片中，无外露部分。 非接触式IC卡的读写过程，通常由非接触型IC卡与读写器之间通过 无线电波来完成读写操作。,IC卡工作原理: 工作原理：非接触型IC卡本

5、身是无源体，非接触式IC卡的读写过程，是由IC芯片与读写器之间在一定的距离范围内(通常为515mm)，通过无线电波的传递来完成芯片数据的读写操作。 一部分是电源信号，读写器向卡发一组固定频率的电磁波，由卡接 收后，与其本身的L/C产生谐振，产生一个瞬间能量来供给芯片工作;另一部分则是结合数据信号，指挥芯片完成数据、修改、存储等，并返回给读写器。,8K位EEPROM，即1k=1024BYTE 空间分为16个扇区，支持多种应用, 每个扇区包含4块 , 块是最小的读写单位，每块包含16个字节. 每个扇区有自己独立的一组访问密码,用户可以根据扇区的不同应用设定不同的密码。 每个扇区的块3（即第四块）包

6、含了该扇区的密码A、存取控制和密码B，称为密码控制块,其余3块是一般的数据块。但是，第0扇区的第0块用于存放厂商代码和卡序列号，不可更改。,IC卡(M1卡) 结构:,1、Philips Mifare 1 S50 存储容量：8Kbit,16个扇区，有32位全球唯一序列号 工作频率：13.56MHZ 读写距离：2.5-10CM 制作标准：ISO 14443 应用范围：企业/校园一卡通、公交一卡通、高速公路收费、停车场、小区管理、 电子钱包 2、Philips Mifare S70 存储容量：32Kbit,40个扇区，有32位全球唯一序列号码 工作频率：13.56MHZ 读写距离：2.5-10CM

7、制作标准：ISO 14443 应用范围：高容量要求的校园一卡通、城市一卡通、电子钱包 3、Mifare Ultra Light 存储容量：512bit, 读写距离：在100MM以内（与天线有关） 制作标准：ISO 14443 应用范围：一次性票卡，如地铁、城际高铁,IC卡常见型号:,4、Ti 2048 存储容量：2Kbit,分为6432个区段，唯一64位序列号 工作频率：13.56MHZ 制作标准：ISO 15693 应用范围：公交，泊车，身份认证，考勤管理，门票，一卡通付费， 产品标识 5、ATMEL T5567（原T5557升级版） 存储容量：330bit, 10分区,每个分区33bit,

8、8位密码 工作频率:125KHZ 读写距离:3-10CM 制作标准：ISO 7816 应用范围:感应式智能门锁、企业一卡通系统、门禁、通道系统 6、EM4001 ID卡 工作频率：125KHZ 读写距离：215CM 应用范围：身份识别、考勤系统、门禁系统、财物标识 7、SLE 4442 存储容量：加密存储卡，256bit, 特 点：卡始终可读，写卡必须通过密码校验，3字节可编程密码，密码错误计数值为3，可对 卡片前32字节写保护 制作标准：ISO 7816 应用范围：医疗保险、数据存储、网吧收费、高速公路收费、电子钱包,8、CPU卡 存储容量：8K、16K、32K等 特 点：自带芯片操作系统（

9、COS），安全性能高，可自定义卡片文件结构、容量大、速度快、支持一卡多用。 制作标准：ISO 7816 应用范围：金融、社会保障、政府、手机SIM卡、PSAM卡、身份认证、电子钱包 9、EM4205 存储容量：512bit,分为1632个区段，唯一32位序列号,32密码 工作频率：125KHZ 制作标准：兼容标准ISO11784/11785 应用范围：感应式智能门锁、企业一卡通系统、门禁、通道系统 产品标识：EM微电子 10、EM4133 存储容量：448bit,分为1432个区段，唯一64位序列号,32密码 工作频率：13.56MHZ 通讯速度：106Kbps 制作标准：兼容标准ISO156

10、93 应用范围：公交，泊车，身份认证，考勤管理，门票，一卡通付费 产品标识：EM微电子,CPU卡概念： 在具体的应用系统中，要求智能卡内部不仅能存储信息数据，还能对数据进行复杂的运算。例如，对数据进行加密运算，与智能卡读卡器、智能卡使用者等多方进行安全认证等。 随着微电子技术的发展，在IC卡中嵌入中央处理器(CPU)已成为可能，配合卡中的ROM(用于存储指令代码)、RAM(随机存储器)、EEPROM(作为用户数据存储器)，一张IC卡即构成了一台便携、微型、抗损的计算机。这样，整个卡系统的安全性有了质的飞跃，可以有效地防止伪造，完全能满足储蓄/信用卡和其他对安全性要求较高的应用场合的要求。由于卡

11、中嵌入了带有CPU的微芯片，因此这种IC卡被称为智能卡或微处理器卡(CPU卡)。,第二章 CPU卡知识,COS的全称是Chip Operating System(片内操作系统)，它一般是紧紧围绕着它所服务的智能卡的特点而开发的。由于不可避免地受到了智能卡内微处理器芯片的性能及内存容量的影响，因此，COS在很大程度上不同于我们通常所能见到的微机上的操作系统(例如DOS、UNIX等)。首先，COS是一个专用系统而不是通用系统，一种COS一般都只能应用于特定的某种(或者是某些)智能卡中，不同卡内的COS一般是不相同的。这是因为COS一般都是根据某种智能卡的特点及其应用范围而特定设计开发的，尽管它们在

12、所实际完成的功能上可能大部分都遵循着同一个国际标准。其次，与那些常见的微机上的操作系统相比较而言，COS在本质上更加接近于监控程序，而不是一个真正意义上的操作系统，这一点至少在目前看来仍是如此。这是因为在当前阶段，COS所需要解决的主要还是对外部的命令如何进行处理、响应的问题，这其中一般并不涉及到共享、并发的管理及处理。 COS的主要功能是控制智能卡和外界的信息交换，管理智能卡内的存储器并在卡内部完成各种命令的处理。其中，与外界进行信息交换是COS最基本的要求。,CPU卡的操作系统(COS) ：,CPU卡的特点： 高安全性： 由于CPU卡中有微处理机和IC卡操作系统(COS),当CPU卡进行操

13、作时,可进行加密和解密算法(DES,3DES),用户和IC卡系统之间需要进行多次的相互密码认证(且速度极快)，提高了系统的安全性能，对于防止伪卡的产生有很好的效果。 高应用扩展性： CPU卡具有高储存容量，支持一卡多用，且各应用程序之间相互独立。用户后续应用扩展空间大，可以长时间使用。 高标准化,具有规范性： 1、有关CPU卡本身的标准有：ISO10536、ISO7816等 2、有关金融领域CPU卡应用的标准有：ISO9992、ISO14443、ISO10202、 EMV等,M1卡和CPU卡比较：,CPU卡结构： 在CPU卡的文件结构中，主文件只能有一个并且随操作系统一起生成，用户无法控制；在

14、文件存取过程中，不能越层存取，若想读写子专有文件下的元文件必须经过其高层文件层次；某一专有文件的大小在申请生成时预定且不可修改，也有的操作系统可以在使用中动态地修改该专有文件的大小，当然其前提是有足够的存储空间。,CPU卡密钥设计： 非接触CPU卡的密钥实现方式： 硬密钥：在终端机具中安装SAM卡座，所有的认证数据都由安装在终端机中的SAM卡进行运算的，这样在终端机具维修时，只要取出SAM卡座中的SAM卡，这台终端机具就是“空的”了。所以所有的银行设备都采用SAM卡的认证模式。 非接触CPU卡认证机制： 非接触CPU卡通过内外部认证的机制，例如像建设部定义的电子钱包的交易流程，高可靠的满足不同

15、的业务流程对安全和密钥管理的需求。对电子钱包圈存可以使用圈存密钥，消费可以使用消费密钥，清算可以使用TAC密钥，更新数据可以使用卡片应用维护密钥，卡片个人化过程中可以使用卡片传输密钥、卡片主控密钥、应用主控密钥等，真正做到一钥一用。,CPU卡的应用： 基于CPU卡的文件存储方式,一张CPU卡可以集成多个应用于一身。,对智能卡安全的威胁： 在众多智能卡安全问题中，有下列基本安全问题需要解决： (1) 智能卡和接口设备之间的信息流安全，这些流通的信息可以被截取分析，从而可被复制或插入假信号。 (2) 模拟智能卡(或伪造智能卡)与接口设备之间的交换信息，使接口设备无法判断出是合法的还是模拟的智能卡。

16、 (3) 在交易中更换智能卡，在授权过程中使用的是合法的智能卡，而在 交易数据写入之前更换成另一张卡，因此将交易数据写入替代卡中。 (4) 修改信用卡中控制余额更新的日期。信用卡使用时需要输入当天日期，以供卡判断是否是当天第一次使用，即是否应将有效余额项更新为最高授权余额(也即是允许一天内支取的最大金额)。如果修改控制余额更新的日期(上次使用的日期)，并将它提前，则输入当天日期后，接口设备会误认为是当天第一次取款，于是将有效余额更新为最高授权余额，因此利用窃来的卡可取得最高授权的金额，其危害性还在于(在银行提出新的黑名单之前)可重复多次作弊。 (5) 商店雇员的作弊行为。接口设备写入卡中的数据

17、不正确，或雇员私下将一笔交易写成两笔交易，因此接口设备不允许被借用、私自拆卸或改装。,第三章 IC卡安全知识,针对上述对智能卡安全的威胁，从硬件、软件两个方面提出了多种安全措施，其中由软件方式实现的安全措施主要有： (1) 加密技术：即重要数据加密后传送。 (2) 认证技术：即对持卡人、卡和接口设 备的合法性的相互认证。,加密技术： 密码学是一门历史悠久、博大精深的学说，含密码编码学、密码分析学和密钥管理学三个部分。 1) 对称密钥密码算法或秘密密钥密码算法(DES) 2) 非对称密钥密码算法或公共密钥密码算法(RSA),认证技术 1信息验证码(MAC，Message Authenticati

18、on Code) 信息验证码MAC是利用密钥对数据加密处理而形成的，篡改者由于不知道密钥，也就不能针对性地伪造MAC，对数据的非法修改将很容易被发现，能保证信息的完整性。 2数字签名(Digital Signiture) 数字签名要求：收方能确认发方的签名；发方签名后，不能否认自己的签名；发生矛盾时，公证人(第三方)能仲裁收发方的问题。为实现数字签名，一般要求用公共密钥解决。 3数字证书(Digital Certificate),国密SM1算法的CPU卡 随着CPU卡在信息化时代的广泛应用，CPU卡的加密及安全控制成为了CPU卡应用的关键。现有的CPU卡解决方案一般采用公开的CPU卡加密算法及相应的安全控制技术，存在安全缺陷。本文提出了一种基于国密SM1算法的CPU卡多应用解决方案，通过采用不公开的国密SM1算法，并设计相应的数据加密传输、随机数计算、密钥分散更新以及系统操作员安全认证等安全控制技术，保障CPU卡应用的安全