IC及CPU.ppt

1、IC及CPU卡等知識(shí)介紹,關(guān)于IC卡的基本知識(shí)以及IC中的CPU卡的特點(diǎn)及應(yīng)用,什么是IC卡:,IC卡是集成電路卡 ( Integrated Circuit Card)的簡(jiǎn)稱，是鑲嵌集成電路芯片的塑料 卡片，其外形和尺寸都遵循國(guó)際標(biāo)準(zhǔn)(ISO)。芯片一般采用不易揮發(fā)性的存儲(chǔ)器(ROM、 EEPROM)、保護(hù)邏輯電路、甚至帶微處理器CPU。帶有CPU的IC卡才是真正的智能卡。,第一章 IC卡知識(shí),IC卡的分類:,根據(jù)集成電路類型分類： 存儲(chǔ)卡 邏輯加密卡 CPU卡 根據(jù)卡與外界數(shù)據(jù)交換的界面不同分類： 接觸式IC卡 非接觸式IC卡 雙界面卡 根據(jù)卡的應(yīng)用領(lǐng)域不同分類： 金融卡 又可以分為信用卡和

2、現(xiàn)金卡兩種 非金融卡 實(shí)際包含金融卡之外的所有領(lǐng)域，諸如電信、旅游、教育和公交等,非加密存儲(chǔ)器卡： 卡內(nèi)的集成電路芯片主要是EEPROM，具有數(shù)據(jù)存儲(chǔ)功能，不具有數(shù)據(jù)處理功能和硬件加密功能。 邏輯加密存儲(chǔ)器卡： 在非加密存儲(chǔ)器卡的基礎(chǔ)上增加了加密邏輯電路，加密邏輯電路通過(guò)校驗(yàn)密碼方式來(lái)保護(hù)卡內(nèi)的數(shù)據(jù)對(duì)于外部訪問(wèn)是否開放，但只是低層次的安全保護(hù)，無(wú)法防范惡意性的攻擊。 CPU卡： 也稱智能卡，卡內(nèi)的集成電路中帶有微處理器CPU、存儲(chǔ)單元（包括隨機(jī)存儲(chǔ)器RAM、程序存儲(chǔ)器ROM（FLASH）、用戶數(shù)據(jù)存儲(chǔ)器EEPROM）以及芯片操作系統(tǒng)COS。裝有COS的CPU卡相當(dāng)于一臺(tái)微型計(jì)算機(jī)，不僅具有數(shù)據(jù)

3、存儲(chǔ)功能，同時(shí)具有命令處理和數(shù)據(jù)安全保護(hù)等功能。,接觸式IC卡： 接觸式IC卡大小尺寸和我們通常見(jiàn)到的信用卡一致，但它的表面嵌入了一個(gè)帶有內(nèi)存存儲(chǔ)器或微處理器的集成電路芯片。常用卡型有SLE4442、SLE4428等。,非接觸式IC卡: 非接觸IC卡，又名感應(yīng)卡，誕生于90年代初，由于存在著 磁卡和接觸式IC卡不可比擬的優(yōu)點(diǎn)，使之一經(jīng)問(wèn)世，便立即引起廣泛的關(guān)注，并以驚人的速度得到推廣應(yīng)用。,現(xiàn)代社會(huì)生活中的人只需兩樣?xùn)|西即走邊天下，一是錢，二是身份證件，而 IC卡正好具有這兩樣?xùn)|西的特征，一是作為電子貨幣，二是作為持卡人身份證明?？梢?jiàn)卡的應(yīng)用將是無(wú)處不在的。 1IC卡在金融領(lǐng)域的應(yīng)用 IC卡用

4、作信用卡、現(xiàn)金卡、電子錢包、儲(chǔ)蓄卡、貸款證 2IC卡在非金融領(lǐng)域的應(yīng)用 （1）電表、水表、煤氣表卡 （2）門鎖卡、門禁卡 （3）食堂飯卡 （4）考勤卡、員工卡 （5）娛樂(lè)消費(fèi)卡 （6）商場(chǎng)購(gòu)物卡、優(yōu)惠卡 （7）電話卡 （8）公路交通收費(fèi)卡、停車收費(fèi)卡 （9）地鐵、公交車票卡 （10）加油卡 （11）身份證、暫住證 （12）其他用于身份證明卡,IC卡應(yīng)用:,IC卡結(jié)構(gòu): 非接觸式IC卡主要由IC芯片、感應(yīng)天線組成，并完全密封在一個(gè) 標(biāo)準(zhǔn)PVC卡片中，無(wú)外露部分。 非接觸式IC卡的讀寫過(guò)程，通常由非接觸型IC卡與讀寫器之間通過(guò) 無(wú)線電波來(lái)完成讀寫操作。,IC卡工作原理: 工作原理：非接觸型IC卡本

5、身是無(wú)源體，非接觸式IC卡的讀寫過(guò)程，是由IC芯片與讀寫器之間在一定的距離范圍內(nèi)(通常為515mm)，通過(guò)無(wú)線電波的傳遞來(lái)完成芯片數(shù)據(jù)的讀寫操作。 一部分是電源信號(hào)，讀寫器向卡發(fā)一組固定頻率的電磁波，由卡接 收后，與其本身的L/C產(chǎn)生諧振，產(chǎn)生一個(gè)瞬間能量來(lái)供給芯片工作;另一部分則是結(jié)合數(shù)據(jù)信號(hào)，指揮芯片完成數(shù)據(jù)、修改、存儲(chǔ)等，并返回給讀寫器。,8K位EEPROM，即1k=1024BYTE 空間分為16個(gè)扇區(qū)，支持多種應(yīng)用, 每個(gè)扇區(qū)包含4塊 , 塊是最小的讀寫單位，每塊包含16個(gè)字節(jié). 每個(gè)扇區(qū)有自己獨(dú)立的一組訪問(wèn)密碼,用戶可以根據(jù)扇區(qū)的不同應(yīng)用設(shè)定不同的密碼。 每個(gè)扇區(qū)的塊3（即第四塊）包

6、含了該扇區(qū)的密碼A、存取控制和密碼B，稱為密碼控制塊,其余3塊是一般的數(shù)據(jù)塊。但是，第0扇區(qū)的第0塊用于存放廠商代碼和卡序列號(hào)，不可更改。,IC卡(M1卡) 結(jié)構(gòu):,1、Philips Mifare 1 S50 存儲(chǔ)容量：8Kbit,16個(gè)扇區(qū)，有32位全球唯一序列號(hào) 工作頻率：13.56MHZ 讀寫距離：2.5-10CM 制作標(biāo)準(zhǔn)：ISO 14443 應(yīng)用范圍：企業(yè)/校園一卡通、公交一卡通、高速公路收費(fèi)、停車場(chǎng)、小區(qū)管理、 電子錢包 2、Philips Mifare S70 存儲(chǔ)容量：32Kbit,40個(gè)扇區(qū)，有32位全球唯一序列號(hào)碼 工作頻率：13.56MHZ 讀寫距離：2.5-10CM

7、制作標(biāo)準(zhǔn)：ISO 14443 應(yīng)用范圍：高容量要求的校園一卡通、城市一卡通、電子錢包 3、Mifare Ultra Light 存儲(chǔ)容量：512bit, 讀寫距離：在100MM以內(nèi)（與天線有關(guān)） 制作標(biāo)準(zhǔn)：ISO 14443 應(yīng)用范圍：一次性票卡，如地鐵、城際高鐵,IC卡常見(jiàn)型號(hào):,4、Ti 2048 存儲(chǔ)容量：2Kbit,分為6432個(gè)區(qū)段，唯一64位序列號(hào) 工作頻率：13.56MHZ 制作標(biāo)準(zhǔn)：ISO 15693 應(yīng)用范圍：公交，泊車，身份認(rèn)證，考勤管理，門票，一卡通付費(fèi)， 產(chǎn)品標(biāo)識(shí) 5、ATMEL T5567（原T5557升級(jí)版） 存儲(chǔ)容量：330bit, 10分區(qū),每個(gè)分區(qū)33bit,

8、8位密碼 工作頻率:125KHZ 讀寫距離:3-10CM 制作標(biāo)準(zhǔn)：ISO 7816 應(yīng)用范圍:感應(yīng)式智能門鎖、企業(yè)一卡通系統(tǒng)、門禁、通道系統(tǒng) 6、EM4001 ID卡 工作頻率：125KHZ 讀寫距離：215CM 應(yīng)用范圍：身份識(shí)別、考勤系統(tǒng)、門禁系統(tǒng)、財(cái)物標(biāo)識(shí) 7、SLE 4442 存儲(chǔ)容量：加密存儲(chǔ)卡，256bit, 特 點(diǎn)：卡始終可讀，寫卡必須通過(guò)密碼校驗(yàn)，3字節(jié)可編程密碼，密碼錯(cuò)誤計(jì)數(shù)值為3，可對(duì) 卡片前32字節(jié)寫保護(hù) 制作標(biāo)準(zhǔn)：ISO 7816 應(yīng)用范圍：醫(yī)療保險(xiǎn)、數(shù)據(jù)存儲(chǔ)、網(wǎng)吧收費(fèi)、高速公路收費(fèi)、電子錢包,8、CPU卡 存儲(chǔ)容量：8K、16K、32K等 特 點(diǎn)：自帶芯片操作系統(tǒng)（

9、COS），安全性能高，可自定義卡片文件結(jié)構(gòu)、容量大、速度快、支持一卡多用。 制作標(biāo)準(zhǔn)：ISO 7816 應(yīng)用范圍：金融、社會(huì)保障、政府、手機(jī)SIM卡、PSAM卡、身份認(rèn)證、電子錢包 9、EM4205 存儲(chǔ)容量：512bit,分為1632個(gè)區(qū)段，唯一32位序列號(hào),32密碼 工作頻率：125KHZ 制作標(biāo)準(zhǔn)：兼容標(biāo)準(zhǔn)ISO11784/11785 應(yīng)用范圍：感應(yīng)式智能門鎖、企業(yè)一卡通系統(tǒng)、門禁、通道系統(tǒng) 產(chǎn)品標(biāo)識(shí)：EM微電子 10、EM4133 存儲(chǔ)容量：448bit,分為1432個(gè)區(qū)段，唯一64位序列號(hào),32密碼 工作頻率：13.56MHZ 通訊速度：106Kbps 制作標(biāo)準(zhǔn)：兼容標(biāo)準(zhǔn)ISO156

10、93 應(yīng)用范圍：公交，泊車，身份認(rèn)證，考勤管理，門票，一卡通付費(fèi) 產(chǎn)品標(biāo)識(shí)：EM微電子,CPU卡概念： 在具體的應(yīng)用系統(tǒng)中，要求智能卡內(nèi)部不僅能存儲(chǔ)信息數(shù)據(jù)，還能對(duì)數(shù)據(jù)進(jìn)行復(fù)雜的運(yùn)算。例如，對(duì)數(shù)據(jù)進(jìn)行加密運(yùn)算，與智能卡讀卡器、智能卡使用者等多方進(jìn)行安全認(rèn)證等。 隨著微電子技術(shù)的發(fā)展，在IC卡中嵌入中央處理器(CPU)已成為可能，配合卡中的ROM(用于存儲(chǔ)指令代碼)、RAM(隨機(jī)存儲(chǔ)器)、EEPROM(作為用戶數(shù)據(jù)存儲(chǔ)器)，一張IC卡即構(gòu)成了一臺(tái)便攜、微型、抗損的計(jì)算機(jī)。這樣，整個(gè)卡系統(tǒng)的安全性有了質(zhì)的飛躍，可以有效地防止偽造，完全能滿足儲(chǔ)蓄/信用卡和其他對(duì)安全性要求較高的應(yīng)用場(chǎng)合的要求。由于卡

11、中嵌入了帶有CPU的微芯片，因此這種IC卡被稱為智能卡或微處理器卡(CPU卡)。,第二章 CPU卡知識(shí),COS的全稱是Chip Operating System(片內(nèi)操作系統(tǒng))，它一般是緊緊圍繞著它所服務(wù)的智能卡的特點(diǎn)而開發(fā)的。由于不可避免地受到了智能卡內(nèi)微處理器芯片的性能及內(nèi)存容量的影響，因此，COS在很大程度上不同于我們通常所能見(jiàn)到的微機(jī)上的操作系統(tǒng)(例如DOS、UNIX等)。首先，COS是一個(gè)專用系統(tǒng)而不是通用系統(tǒng)，一種COS一般都只能應(yīng)用于特定的某種(或者是某些)智能卡中，不同卡內(nèi)的COS一般是不相同的。這是因?yàn)镃OS一般都是根據(jù)某種智能卡的特點(diǎn)及其應(yīng)用范圍而特定設(shè)計(jì)開發(fā)的，盡管它們?cè)?/p>

12、所實(shí)際完成的功能上可能大部分都遵循著同一個(gè)國(guó)際標(biāo)準(zhǔn)。其次，與那些常見(jiàn)的微機(jī)上的操作系統(tǒng)相比較而言，COS在本質(zhì)上更加接近于監(jiān)控程序，而不是一個(gè)真正意義上的操作系統(tǒng)，這一點(diǎn)至少在目前看來(lái)仍是如此。這是因?yàn)樵诋?dāng)前階段，COS所需要解決的主要還是對(duì)外部的命令如何進(jìn)行處理、響應(yīng)的問(wèn)題，這其中一般并不涉及到共享、并發(fā)的管理及處理。 COS的主要功能是控制智能卡和外界的信息交換，管理智能卡內(nèi)的存儲(chǔ)器并在卡內(nèi)部完成各種命令的處理。其中，與外界進(jìn)行信息交換是COS最基本的要求。,CPU卡的操作系統(tǒng)(COS) ：,CPU卡的特點(diǎn)： 高安全性： 由于CPU卡中有微處理機(jī)和IC卡操作系統(tǒng)(COS),當(dāng)CPU卡進(jìn)行操

13、作時(shí),可進(jìn)行加密和解密算法(DES,3DES),用戶和IC卡系統(tǒng)之間需要進(jìn)行多次的相互密碼認(rèn)證(且速度極快)，提高了系統(tǒng)的安全性能，對(duì)于防止偽卡的產(chǎn)生有很好的效果。 高應(yīng)用擴(kuò)展性： CPU卡具有高儲(chǔ)存容量，支持一卡多用，且各應(yīng)用程序之間相互獨(dú)立。用戶后續(xù)應(yīng)用擴(kuò)展空間大，可以長(zhǎng)時(shí)間使用。 高標(biāo)準(zhǔn)化,具有規(guī)范性： 1、有關(guān)CPU卡本身的標(biāo)準(zhǔn)有：ISO10536、ISO7816等 2、有關(guān)金融領(lǐng)域CPU卡應(yīng)用的標(biāo)準(zhǔn)有：ISO9992、ISO14443、ISO10202、 EMV等,M1卡和CPU卡比較：,CPU卡結(jié)構(gòu)： 在CPU卡的文件結(jié)構(gòu)中，主文件只能有一個(gè)并且隨操作系統(tǒng)一起生成，用戶無(wú)法控制；在

14、文件存取過(guò)程中，不能越層存取，若想讀寫子專有文件下的元文件必須經(jīng)過(guò)其高層文件層次；某一專有文件的大小在申請(qǐng)生成時(shí)預(yù)定且不可修改，也有的操作系統(tǒng)可以在使用中動(dòng)態(tài)地修改該專有文件的大小，當(dāng)然其前提是有足夠的存儲(chǔ)空間。,CPU卡密鑰設(shè)計(jì)： 非接觸CPU卡的密鑰實(shí)現(xiàn)方式： 硬密鑰：在終端機(jī)具中安裝SAM卡座，所有的認(rèn)證數(shù)據(jù)都由安裝在終端機(jī)中的SAM卡進(jìn)行運(yùn)算的，這樣在終端機(jī)具維修時(shí)，只要取出SAM卡座中的SAM卡，這臺(tái)終端機(jī)具就是“空的”了。所以所有的銀行設(shè)備都采用SAM卡的認(rèn)證模式。 非接觸CPU卡認(rèn)證機(jī)制： 非接觸CPU卡通過(guò)內(nèi)外部認(rèn)證的機(jī)制，例如像建設(shè)部定義的電子錢包的交易流程，高可靠的滿足不同

15、的業(yè)務(wù)流程對(duì)安全和密鑰管理的需求。對(duì)電子錢包圈存可以使用圈存密鑰，消費(fèi)可以使用消費(fèi)密鑰，清算可以使用TAC密鑰，更新數(shù)據(jù)可以使用卡片應(yīng)用維護(hù)密鑰，卡片個(gè)人化過(guò)程中可以使用卡片傳輸密鑰、卡片主控密鑰、應(yīng)用主控密鑰等，真正做到一鑰一用。,CPU卡的應(yīng)用： 基于CPU卡的文件存儲(chǔ)方式,一張CPU卡可以集成多個(gè)應(yīng)用于一身。,對(duì)智能卡安全的威脅： 在眾多智能卡安全問(wèn)題中，有下列基本安全問(wèn)題需要解決： (1) 智能卡和接口設(shè)備之間的信息流安全，這些流通的信息可以被截取分析，從而可被復(fù)制或插入假信號(hào)。 (2) 模擬智能卡(或偽造智能卡)與接口設(shè)備之間的交換信息，使接口設(shè)備無(wú)法判斷出是合法的還是模擬的智能卡。

16、 (3) 在交易中更換智能卡，在授權(quán)過(guò)程中使用的是合法的智能卡，而在 交易數(shù)據(jù)寫入之前更換成另一張卡，因此將交易數(shù)據(jù)寫入替代卡中。 (4) 修改信用卡中控制余額更新的日期。信用卡使用時(shí)需要輸入當(dāng)天日期，以供卡判斷是否是當(dāng)天第一次使用，即是否應(yīng)將有效余額項(xiàng)更新為最高授權(quán)余額(也即是允許一天內(nèi)支取的最大金額)。如果修改控制余額更新的日期(上次使用的日期)，并將它提前，則輸入當(dāng)天日期后，接口設(shè)備會(huì)誤認(rèn)為是當(dāng)天第一次取款，于是將有效余額更新為最高授權(quán)余額，因此利用竊來(lái)的卡可取得最高授權(quán)的金額，其危害性還在于(在銀行提出新的黑名單之前)可重復(fù)多次作弊。 (5) 商店雇員的作弊行為。接口設(shè)備寫入卡中的數(shù)據(jù)

17、不正確，或雇員私下將一筆交易寫成兩筆交易，因此接口設(shè)備不允許被借用、私自拆卸或改裝。,第三章 IC卡安全知識(shí),針對(duì)上述對(duì)智能卡安全的威脅，從硬件、軟件兩個(gè)方面提出了多種安全措施，其中由軟件方式實(shí)現(xiàn)的安全措施主要有： (1) 加密技術(shù)：即重要數(shù)據(jù)加密后傳送。 (2) 認(rèn)證技術(shù)：即對(duì)持卡人、卡和接口設(shè) 備的合法性的相互認(rèn)證。,加密技術(shù)： 密碼學(xué)是一門歷史悠久、博大精深的學(xué)說(shuō)，含密碼編碼學(xué)、密碼分析學(xué)和密鑰管理學(xué)三個(gè)部分。 1) 對(duì)稱密鑰密碼算法或秘密密鑰密碼算法(DES) 2) 非對(duì)稱密鑰密碼算法或公共密鑰密碼算法(RSA),認(rèn)證技術(shù) 1信息驗(yàn)證碼(MAC，Message Authenticati

18、on Code) 信息驗(yàn)證碼MAC是利用密鑰對(duì)數(shù)據(jù)加密處理而形成的，篡改者由于不知道密鑰，也就不能針對(duì)性地偽造MAC，對(duì)數(shù)據(jù)的非法修改將很容易被發(fā)現(xiàn)，能保證信息的完整性。 2數(shù)字簽名(Digital Signiture) 數(shù)字簽名要求：收方能確認(rèn)發(fā)方的簽名；發(fā)方簽名后，不能否認(rèn)自己的簽名；發(fā)生矛盾時(shí)，公證人(第三方)能仲裁收發(fā)方的問(wèn)題。為實(shí)現(xiàn)數(shù)字簽名，一般要求用公共密鑰解決。 3數(shù)字證書(Digital Certificate),國(guó)密SM1算法的CPU卡 隨著CPU卡在信息化時(shí)代的廣泛應(yīng)用，CPU卡的加密及安全控制成為了CPU卡應(yīng)用的關(guān)鍵?，F(xiàn)有的CPU卡解決方案一般采用公開的CPU卡加密算法及相應(yīng)的安全控制技術(shù)，存在安全缺陷。本文提出了一種基于國(guó)密SM1算法的CPU卡多應(yīng)用解決方案，通過(guò)采用不公開的國(guó)密SM1算法，并設(shè)計(jì)相應(yīng)的數(shù)據(jù)加密傳輸、隨機(jī)數(shù)計(jì)算、密鑰分散更新以及系統(tǒng)操作員安全認(rèn)證等安全控制技術(shù)，保障CPU卡應(yīng)用的安全