当前位置:文档之家 › cpu卡基本知识

cpu卡基本知识

  • 格式:doc
  • 大小:64.50 KB
  • 文档页数:13

下载文档原格式

  / 31
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

第一部分CPU基础知识

一、为什么用CPU卡

IC卡从接口方式上分,可以分为接触式IC卡、非接触式IC卡及复合卡。从器件技术上分,可分为非加密存储卡、加密存储卡及CPU卡。非加密卡没有安全性,可以任意改写卡内的数据,加密存储卡在普通存储卡的基础上加了逻辑加密电路,成了加密存储卡。逻辑加密存储卡由于采用密码控制逻辑来控制对EEPROM 的访问和改写,在使用之前需要校验密码才可以进行写操作,所以对于芯片本身来说是安全的,但在应用上是不安全的。它有如下不安全性因素:

1、密码在线路上是明文传输的,易被截取;

2、对于系统商来说,密码及加密算法都是透明的。

3、逻辑加密卡是无法认证应用是否合法的。例如,假设有人伪造了ATM,你无法知道它的合法性,当您插入信用卡,输入PIN的时候,信用卡的密码就被截获了。再如INTENET网上购物,如果用逻辑加密卡,购物者同样无法确定网上商店的合法性。

正是由于逻辑加密卡使用上的不安全因素,促进了CPU卡的发展。CPU卡可以做到对人、对卡、对系统的三方的合法性认证。

二、CPU卡的三种认证

CPU卡具有三种认证方法:

持卡者合法性认证——PIN校验

卡合法性认证——内部认证

系统合法性认证——外部认证

持卡者合法性认证:

通过持卡人输入个人口令来进行验证的过程。

系统合法性认证(外部认证)过程:

系统卡,

送随机数X

[用指定算法、密钥]对随机数加密

[用指定算法、密钥]解密Y,得结果Z

比较X,Z,如果相同则表示系统是合法的;

卡的合法性认证(内部认证)过程:

系统卡

送随机数X

用指定算法、密钥]对随机数加密

[用指定算法、密钥]解密Y,得结果Z

比较X,Z,如果相同则表示卡是合法的;

在以上认证过程中,密钥是不在线路上以明文出现的,它每次的送出都是经过随机数加密的,而且因为有随机数的参加,确保每次传输的内容不同。如果截获了没有任何意义。这不单单是密码对密码的认证,是方法认证方法,就象早期在军队中使用的密码电报,发送方将报文按一定的方法加密成密文发送出去,然后接收方收到后又按一定的方法将密文解密。

通过这种认证方式,线路上就没有了攻击点,同时卡也可以验证应用的合法性;

但是因为系统方用于认证的密钥及算法是在应用程序中,还是不能去除系统商的攻击性。

在此,我们引进了SAM卡的概念。

SAM卡是一种具有特殊性能的CPU卡,用于存放密钥和加密算法,可完成交易中的相互认证、密码验证和加密、解密运算,一般用作身份标志。

由于SAM卡的出现,我们有了一种更完整的系统解决方案。

在发卡时,我们将主密钥存入SAM卡中,然后由SAM卡中的主密钥,对用户卡的特征字节(如:应用序列号)加密生成子密钥,将子密钥注入用户卡中。由于应用序列号的唯一性,使每张用户卡内的子密钥都不同。

密钥一旦注入卡中,则不会在卡外出现。在使用时,由SAM卡的主密钥生成子密钥存放在RAM区中,用于加密、解密数据。

上述的认证过程就成为如下形式:

系统合法性认证(外部认证)过程:

SAM卡系统卡

送随机数X

SAM卡生成子密钥对随机数加密

解密Y,得结果Z

比较X,Z,如果相同则表示系统是合法的;

卡的合法性认证(内部认证)过程:

SAM卡系统卡

送随机数X

用指定算法、密钥]对随机数加密

SAM卡解密Y,得结果Z

比较X,Z,如果相同则表示卡是合法的;

这样在应用程序中的密钥,就转移到了SAM卡中,认证成为卡——卡的认证,系统商不再存在责任。

三、线路保护

卡与外界进行数据传输时,若以明文方式传输,数据易被载获和分析。同时,也可以对传输的数据进行窜改,要解决这个问题,CPU卡提供了线路保护功能。

线路保护分为两种,一是将传输的数据进行DES加密,以密文形式传输,以防止截获分析。二是对传输的数据附加MAC(安全报文鉴别码),接收方收到后首先进行校验,校验正确后才予以接收,以保证数据的真实性与完整性。

四、硬件结构图

EEPROM用于存放用户数据;ROM中用于存放COS操作系统,而RAM区中用于存放COS运行时的中间变

量。

COS(chip operation system),就是芯片操作系统,类似于DOS和WINDWOS,没有COS的CPU卡就象没有DOS和WINDOWS的PC机一样无法使用。

COS是在芯片出厂时由芯片供应商固化到ROM区的,这个过程就称之为掩膜。

COS是CPU卡的核心部分,它和硬件一起实现CPU卡的安全性。

第二部分SmartCOS简介

SmartCOS是由明华公司自主开发的芯片操作系统,于1999年6月通过了人行认证。

COS主要分为四部分:

一、SMARTCOS的文件系统

CPU卡是以文件方式来管理SmartCOS支持如下文件系统。

1、文件可分为MF文件、DF文件、EF文件

MF:主控文件,是整个文件系统的根,是唯一的,相当于根目录;

DF:专用文件,相当于子目录,可用于存储某个应用的所有文件,DF下不可再建立DF。一个DF可以是一个应用,也可以多个DF用于同一个应用。

EF:基本文件,用于存储各种应用数据和管理信息。

2、EF从存储内容上分为两种:

安全基本文件:用于存放密钥,每个目录下只能建立一个安全基本文件,密钥文件不能通过文件选择来选取,密钥内容不可以读出,但在满足条件时可使用和修改。

工作基本文件:用于存放应用的实际数据,个数及大小只受空间限制。在满足条件时可读写。

3、基本文件结构

基本文件的结构可分为以下四种:

二进制文件:

数据以字节为单位进行读写,每次读写的长度不能超过110字节;可用于存储无序的数据。

线性定长记录文件:

每条记录为固定长度,可以通过记录号访问记录,记录范围不超过254;

每条记录的长度不超过110字节,密钥文件就是线性定长记录文件,其每条记录长度固定为25外字节。可用于存放有规律定长的数据。

线性变长记录文件:

每条记录的长度可以各不相同,但最大长度不能超过110

字节,可以通过记录号来访问。

循环定长记录文件结构:

相当于一个环形记录队列,按照先进先出的原则存储,最新写入的记录号为1,上一次写入的记录号为2,以此类推,记录写满后自动覆盖最早的记录。

4、文件结构图

在MF下可建立EF和DF;

在DF下不可再建立DF,只能建立EF;

相关主题