IC及CPU.ppt

1、IC及CPU卡等知識介紹,關于IC卡的基本知識以及IC中的CPU卡的特點及應用,什么是IC卡:,IC卡是集成電路卡 ( Integrated Circuit Card)的簡稱，是鑲嵌集成電路芯片的塑料 卡片，其外形和尺寸都遵循國際標準(ISO)。芯片一般采用不易揮發(fā)性的存儲器(ROM、 EEPROM)、保護邏輯電路、甚至帶微處理器CPU。帶有CPU的IC卡才是真正的智能卡。,第一章 IC卡知識,IC卡的分類:,根據(jù)集成電路類型分類： 存儲卡 邏輯加密卡 CPU卡 根據(jù)卡與外界數(shù)據(jù)交換的界面不同分類： 接觸式IC卡 非接觸式IC卡 雙界面卡 根據(jù)卡的應用領域不同分類： 金融卡 又可以分為信用卡和

2、現(xiàn)金卡兩種 非金融卡 實際包含金融卡之外的所有領域，諸如電信、旅游、教育和公交等,非加密存儲器卡： 卡內(nèi)的集成電路芯片主要是EEPROM，具有數(shù)據(jù)存儲功能，不具有數(shù)據(jù)處理功能和硬件加密功能。 邏輯加密存儲器卡： 在非加密存儲器卡的基礎上增加了加密邏輯電路，加密邏輯電路通過校驗密碼方式來保護卡內(nèi)的數(shù)據(jù)對于外部訪問是否開放，但只是低層次的安全保護，無法防范惡意性的攻擊。 CPU卡： 也稱智能卡，卡內(nèi)的集成電路中帶有微處理器CPU、存儲單元（包括隨機存儲器RAM、程序存儲器ROM（FLASH）、用戶數(shù)據(jù)存儲器EEPROM）以及芯片操作系統(tǒng)COS。裝有COS的CPU卡相當于一臺微型計算機，不僅具有數(shù)據(jù)

3、存儲功能，同時具有命令處理和數(shù)據(jù)安全保護等功能。,接觸式IC卡： 接觸式IC卡大小尺寸和我們通常見到的信用卡一致，但它的表面嵌入了一個帶有內(nèi)存存儲器或微處理器的集成電路芯片。常用卡型有SLE4442、SLE4428等。,非接觸式IC卡: 非接觸IC卡，又名感應卡，誕生于90年代初，由于存在著 磁卡和接觸式IC卡不可比擬的優(yōu)點，使之一經(jīng)問世，便立即引起廣泛的關注，并以驚人的速度得到推廣應用。,現(xiàn)代社會生活中的人只需兩樣東西即走邊天下，一是錢，二是身份證件，而 IC卡正好具有這兩樣東西的特征，一是作為電子貨幣，二是作為持卡人身份證明?？梢娍ǖ膽脤⑹菬o處不在的。 1IC卡在金融領域的應用 IC卡用

4、作信用卡、現(xiàn)金卡、電子錢包、儲蓄卡、貸款證 2IC卡在非金融領域的應用 （1）電表、水表、煤氣表卡 （2）門鎖卡、門禁卡 （3）食堂飯卡 （4）考勤卡、員工卡 （5）娛樂消費卡 （6）商場購物卡、優(yōu)惠卡 （7）電話卡 （8）公路交通收費卡、停車收費卡 （9）地鐵、公交車票卡 （10）加油卡 （11）身份證、暫住證 （12）其他用于身份證明卡,IC卡應用:,IC卡結(jié)構(gòu): 非接觸式IC卡主要由IC芯片、感應天線組成，并完全密封在一個 標準PVC卡片中，無外露部分。 非接觸式IC卡的讀寫過程，通常由非接觸型IC卡與讀寫器之間通過 無線電波來完成讀寫操作。,IC卡工作原理: 工作原理：非接觸型IC卡本

5、身是無源體，非接觸式IC卡的讀寫過程，是由IC芯片與讀寫器之間在一定的距離范圍內(nèi)(通常為515mm)，通過無線電波的傳遞來完成芯片數(shù)據(jù)的讀寫操作。 一部分是電源信號，讀寫器向卡發(fā)一組固定頻率的電磁波，由卡接 收后，與其本身的L/C產(chǎn)生諧振，產(chǎn)生一個瞬間能量來供給芯片工作;另一部分則是結(jié)合數(shù)據(jù)信號，指揮芯片完成數(shù)據(jù)、修改、存儲等，并返回給讀寫器。,8K位EEPROM，即1k=1024BYTE 空間分為16個扇區(qū)，支持多種應用, 每個扇區(qū)包含4塊 , 塊是最小的讀寫單位，每塊包含16個字節(jié). 每個扇區(qū)有自己獨立的一組訪問密碼,用戶可以根據(jù)扇區(qū)的不同應用設定不同的密碼。 每個扇區(qū)的塊3（即第四塊）包

6、含了該扇區(qū)的密碼A、存取控制和密碼B，稱為密碼控制塊,其余3塊是一般的數(shù)據(jù)塊。但是，第0扇區(qū)的第0塊用于存放廠商代碼和卡序列號，不可更改。,IC卡(M1卡) 結(jié)構(gòu):,1、Philips Mifare 1 S50 存儲容量：8Kbit,16個扇區(qū)，有32位全球唯一序列號 工作頻率：13.56MHZ 讀寫距離：2.5-10CM 制作標準：ISO 14443 應用范圍：企業(yè)/校園一卡通、公交一卡通、高速公路收費、停車場、小區(qū)管理、 電子錢包 2、Philips Mifare S70 存儲容量：32Kbit,40個扇區(qū)，有32位全球唯一序列號碼 工作頻率：13.56MHZ 讀寫距離：2.5-10CM

7、制作標準：ISO 14443 應用范圍：高容量要求的校園一卡通、城市一卡通、電子錢包 3、Mifare Ultra Light 存儲容量：512bit, 讀寫距離：在100MM以內(nèi)（與天線有關） 制作標準：ISO 14443 應用范圍：一次性票卡，如地鐵、城際高鐵,IC卡常見型號:,4、Ti 2048 存儲容量：2Kbit,分為6432個區(qū)段，唯一64位序列號 工作頻率：13.56MHZ 制作標準：ISO 15693 應用范圍：公交，泊車，身份認證，考勤管理，門票，一卡通付費， 產(chǎn)品標識 5、ATMEL T5567（原T5557升級版） 存儲容量：330bit, 10分區(qū),每個分區(qū)33bit,

8、8位密碼 工作頻率:125KHZ 讀寫距離:3-10CM 制作標準：ISO 7816 應用范圍:感應式智能門鎖、企業(yè)一卡通系統(tǒng)、門禁、通道系統(tǒng) 6、EM4001 ID卡 工作頻率：125KHZ 讀寫距離：215CM 應用范圍：身份識別、考勤系統(tǒng)、門禁系統(tǒng)、財物標識 7、SLE 4442 存儲容量：加密存儲卡，256bit, 特 點：卡始終可讀，寫卡必須通過密碼校驗，3字節(jié)可編程密碼，密碼錯誤計數(shù)值為3，可對 卡片前32字節(jié)寫保護 制作標準：ISO 7816 應用范圍：醫(yī)療保險、數(shù)據(jù)存儲、網(wǎng)吧收費、高速公路收費、電子錢包,8、CPU卡 存儲容量：8K、16K、32K等 特 點：自帶芯片操作系統(tǒng)（

9、COS），安全性能高，可自定義卡片文件結(jié)構(gòu)、容量大、速度快、支持一卡多用。 制作標準：ISO 7816 應用范圍：金融、社會保障、政府、手機SIM卡、PSAM卡、身份認證、電子錢包 9、EM4205 存儲容量：512bit,分為1632個區(qū)段，唯一32位序列號,32密碼 工作頻率：125KHZ 制作標準：兼容標準ISO11784/11785 應用范圍：感應式智能門鎖、企業(yè)一卡通系統(tǒng)、門禁、通道系統(tǒng) 產(chǎn)品標識：EM微電子 10、EM4133 存儲容量：448bit,分為1432個區(qū)段，唯一64位序列號,32密碼 工作頻率：13.56MHZ 通訊速度：106Kbps 制作標準：兼容標準ISO156

10、93 應用范圍：公交，泊車，身份認證，考勤管理，門票，一卡通付費 產(chǎn)品標識：EM微電子,CPU卡概念： 在具體的應用系統(tǒng)中，要求智能卡內(nèi)部不僅能存儲信息數(shù)據(jù)，還能對數(shù)據(jù)進行復雜的運算。例如，對數(shù)據(jù)進行加密運算，與智能卡讀卡器、智能卡使用者等多方進行安全認證等。 隨著微電子技術的發(fā)展，在IC卡中嵌入中央處理器(CPU)已成為可能，配合卡中的ROM(用于存儲指令代碼)、RAM(隨機存儲器)、EEPROM(作為用戶數(shù)據(jù)存儲器)，一張IC卡即構(gòu)成了一臺便攜、微型、抗損的計算機。這樣，整個卡系統(tǒng)的安全性有了質(zhì)的飛躍，可以有效地防止偽造，完全能滿足儲蓄/信用卡和其他對安全性要求較高的應用場合的要求。由于卡

11、中嵌入了帶有CPU的微芯片，因此這種IC卡被稱為智能卡或微處理器卡(CPU卡)。,第二章 CPU卡知識,COS的全稱是Chip Operating System(片內(nèi)操作系統(tǒng))，它一般是緊緊圍繞著它所服務的智能卡的特點而開發(fā)的。由于不可避免地受到了智能卡內(nèi)微處理器芯片的性能及內(nèi)存容量的影響，因此，COS在很大程度上不同于我們通常所能見到的微機上的操作系統(tǒng)(例如DOS、UNIX等)。首先，COS是一個專用系統(tǒng)而不是通用系統(tǒng)，一種COS一般都只能應用于特定的某種(或者是某些)智能卡中，不同卡內(nèi)的COS一般是不相同的。這是因為COS一般都是根據(jù)某種智能卡的特點及其應用范圍而特定設計開發(fā)的，盡管它們在

12、所實際完成的功能上可能大部分都遵循著同一個國際標準。其次，與那些常見的微機上的操作系統(tǒng)相比較而言，COS在本質(zhì)上更加接近于監(jiān)控程序，而不是一個真正意義上的操作系統(tǒng)，這一點至少在目前看來仍是如此。這是因為在當前階段，COS所需要解決的主要還是對外部的命令如何進行處理、響應的問題，這其中一般并不涉及到共享、并發(fā)的管理及處理。 COS的主要功能是控制智能卡和外界的信息交換，管理智能卡內(nèi)的存儲器并在卡內(nèi)部完成各種命令的處理。其中，與外界進行信息交換是COS最基本的要求。,CPU卡的操作系統(tǒng)(COS) ：,CPU卡的特點： 高安全性： 由于CPU卡中有微處理機和IC卡操作系統(tǒng)(COS),當CPU卡進行操

13、作時,可進行加密和解密算法(DES,3DES),用戶和IC卡系統(tǒng)之間需要進行多次的相互密碼認證(且速度極快)，提高了系統(tǒng)的安全性能，對于防止偽卡的產(chǎn)生有很好的效果。 高應用擴展性： CPU卡具有高儲存容量，支持一卡多用，且各應用程序之間相互獨立。用戶后續(xù)應用擴展空間大，可以長時間使用。 高標準化,具有規(guī)范性： 1、有關CPU卡本身的標準有：ISO10536、ISO7816等 2、有關金融領域CPU卡應用的標準有：ISO9992、ISO14443、ISO10202、 EMV等,M1卡和CPU卡比較：,CPU卡結(jié)構(gòu)： 在CPU卡的文件結(jié)構(gòu)中，主文件只能有一個并且隨操作系統(tǒng)一起生成，用戶無法控制；在

14、文件存取過程中，不能越層存取，若想讀寫子專有文件下的元文件必須經(jīng)過其高層文件層次；某一專有文件的大小在申請生成時預定且不可修改，也有的操作系統(tǒng)可以在使用中動態(tài)地修改該專有文件的大小，當然其前提是有足夠的存儲空間。,CPU卡密鑰設計： 非接觸CPU卡的密鑰實現(xiàn)方式： 硬密鑰：在終端機具中安裝SAM卡座，所有的認證數(shù)據(jù)都由安裝在終端機中的SAM卡進行運算的，這樣在終端機具維修時，只要取出SAM卡座中的SAM卡，這臺終端機具就是“空的”了。所以所有的銀行設備都采用SAM卡的認證模式。 非接觸CPU卡認證機制： 非接觸CPU卡通過內(nèi)外部認證的機制，例如像建設部定義的電子錢包的交易流程，高可靠的滿足不同

15、的業(yè)務流程對安全和密鑰管理的需求。對電子錢包圈存可以使用圈存密鑰，消費可以使用消費密鑰，清算可以使用TAC密鑰，更新數(shù)據(jù)可以使用卡片應用維護密鑰，卡片個人化過程中可以使用卡片傳輸密鑰、卡片主控密鑰、應用主控密鑰等，真正做到一鑰一用。,CPU卡的應用： 基于CPU卡的文件存儲方式,一張CPU卡可以集成多個應用于一身。,對智能卡安全的威脅： 在眾多智能卡安全問題中，有下列基本安全問題需要解決： (1) 智能卡和接口設備之間的信息流安全，這些流通的信息可以被截取分析，從而可被復制或插入假信號。 (2) 模擬智能卡(或偽造智能卡)與接口設備之間的交換信息，使接口設備無法判斷出是合法的還是模擬的智能卡。

16、 (3) 在交易中更換智能卡，在授權過程中使用的是合法的智能卡，而在 交易數(shù)據(jù)寫入之前更換成另一張卡，因此將交易數(shù)據(jù)寫入替代卡中。 (4) 修改信用卡中控制余額更新的日期。信用卡使用時需要輸入當天日期，以供卡判斷是否是當天第一次使用，即是否應將有效余額項更新為最高授權余額(也即是允許一天內(nèi)支取的最大金額)。如果修改控制余額更新的日期(上次使用的日期)，并將它提前，則輸入當天日期后，接口設備會誤認為是當天第一次取款，于是將有效余額更新為最高授權余額，因此利用竊來的卡可取得最高授權的金額，其危害性還在于(在銀行提出新的黑名單之前)可重復多次作弊。 (5) 商店雇員的作弊行為。接口設備寫入卡中的數(shù)據(jù)

17、不正確，或雇員私下將一筆交易寫成兩筆交易，因此接口設備不允許被借用、私自拆卸或改裝。,第三章 IC卡安全知識,針對上述對智能卡安全的威脅，從硬件、軟件兩個方面提出了多種安全措施，其中由軟件方式實現(xiàn)的安全措施主要有： (1) 加密技術：即重要數(shù)據(jù)加密后傳送。 (2) 認證技術：即對持卡人、卡和接口設 備的合法性的相互認證。,加密技術： 密碼學是一門歷史悠久、博大精深的學說，含密碼編碼學、密碼分析學和密鑰管理學三個部分。 1) 對稱密鑰密碼算法或秘密密鑰密碼算法(DES) 2) 非對稱密鑰密碼算法或公共密鑰密碼算法(RSA),認證技術 1信息驗證碼(MAC，Message Authenticati

18、on Code) 信息驗證碼MAC是利用密鑰對數(shù)據(jù)加密處理而形成的，篡改者由于不知道密鑰，也就不能針對性地偽造MAC，對數(shù)據(jù)的非法修改將很容易被發(fā)現(xiàn)，能保證信息的完整性。 2數(shù)字簽名(Digital Signiture) 數(shù)字簽名要求：收方能確認發(fā)方的簽名；發(fā)方簽名后，不能否認自己的簽名；發(fā)生矛盾時，公證人(第三方)能仲裁收發(fā)方的問題。為實現(xiàn)數(shù)字簽名，一般要求用公共密鑰解決。 3數(shù)字證書(Digital Certificate),國密SM1算法的CPU卡 隨著CPU卡在信息化時代的廣泛應用，CPU卡的加密及安全控制成為了CPU卡應用的關鍵?，F(xiàn)有的CPU卡解決方案一般采用公開的CPU卡加密算法及相應的安全控制技術，存在安全缺陷。本文提出了一種基于國密SM1算法的CPU卡多應用解決方案，通過采用不公開的國密SM1算法，并設計相應的數(shù)據(jù)加密傳輸、隨機數(shù)計算、密鑰分散更新以及系統(tǒng)操作員安全認證等安全控制技術，保障CPU卡應用的安全