關(guān)于采用CPU卡進(jìn)入國(guó)家項(xiàng)目應(yīng)注意的幾個(gè)問(wèn)題及建議 由于MAFARE的S50及S70可以很容易被攻擊的技術(shù)論文在國(guó)際上發(fā)表后，國(guó)內(nèi)企業(yè)及相關(guān)專(zhuān)家的竭力推動(dòng)，引起我國(guó)政府的高度重視，并專(zhuān)門(mén)發(fā)文，特要求今后凡黨政機(jī)關(guān)、公安部隊(duì)系統(tǒng)任何智能卡項(xiàng)目都必須采用高加密的選擇。在此，將相關(guān)的基本知識(shí)及應(yīng)重視的問(wèn)題介紹如下： 1. ? ? ? 真正CPU卡應(yīng)用系統(tǒng)的構(gòu)成：(華大的COS) 帶COS的CPU卡+帶PSAM卡的讀寫(xiě)設(shè)備+帶母卡的可對(duì)CPU卡及PSAM卡進(jìn)行發(fā)行及初始化的發(fā)卡器+相關(guān)的發(fā)卡軟件+用戶(hù)系統(tǒng)應(yīng)用平臺(tái)（軟件） 2. ? ? ? 真正CPU卡系統(tǒng)的作用 A．卡與讀卡器之間是隨機(jī)變化的密文傳輸，采用任何高技術(shù)手段都無(wú)法中間截取，所以是不可復(fù)制，不可被攻擊的； B．是由最終用戶(hù)保存母卡并在發(fā)卡設(shè)備上對(duì)卡及讀頭發(fā)行，任何原廠家、中間商、系統(tǒng)商都無(wú)法對(duì)系統(tǒng)進(jìn)行攻擊成功； 3. 偽CPU卡系統(tǒng)的構(gòu)成 帶COS（如果只讀ID，可以不用COS）的CPU卡+無(wú)PSAM卡的讀頭設(shè)備+無(wú)母卡的發(fā)行+應(yīng)用系統(tǒng) 4. ? ? ? 偽CPU卡系統(tǒng)的作用 a) ? ? ? ? 卡與讀頭交換的數(shù)據(jù)是固定的，或是有規(guī)律的。很容易被截取及分析破解； b) ? ? ? ?如果僅讀取ID號(hào)碼，則可以被不良之徒用一般的MCU（單片機(jī)）或自編COS的CPU卡盜號(hào)復(fù)制； c) ? ? ? ? 卡商、中間商、系統(tǒng)商的技術(shù)人員都有可能具備攻擊及復(fù)制卡的能力； 5. ? ? ? 希望用戶(hù)明白的道理 現(xiàn)在真正的CPU卡讀頭對(duì)用戶(hù)都在千元上下，有的更高。如果他們?yōu)榱烁鞣N原因想壓低成本，千萬(wàn)不要考慮往偽CPU的方向去走（一般的邏輯加密卡，COS不完善的卡，無(wú)PSAM卡的讀頭，不用母卡進(jìn)行發(fā)行，等）。如果這樣做了： A．系統(tǒng)不安全，領(lǐng)導(dǎo)有責(zé)任，買(mǎi)了馬，不配鞍；或是花了全套的錢(qián)，確少關(guān)鍵； B． 競(jìng)爭(zhēng)對(duì)手很容易揭你的短，沒(méi)面子； C． 如果中間環(huán)節(jié)有些利益考慮，容易在技術(shù)上先被揭穿，后面難交待； 6. ? ? ? PSAM卡為什么貴,安全。 A．主要是數(shù)量少， B． 還要寫(xiě)如專(zhuān)門(mén)的COS； C． 對(duì)應(yīng)的母卡（一般一個(gè)用戶(hù)只用一個(gè)，但應(yīng)有備份）也要有專(zhuān)門(mén)的COS； D．還要配上對(duì)應(yīng)的發(fā)行初始化軟件。 E． PSAM是不可復(fù)制的、不可加密的。 PSAM卡 PSAM卡 終端安全控制模塊，符合《中國(guó)金融集成電路（IC卡）PSAM卡規(guī)范》， 包括普通PSAM卡和高速PSAM卡。 PSAM符合以下標(biāo)準(zhǔn)及規(guī)范： 識(shí)別卡，帶觸點(diǎn)的集成電路卡標(biāo)準(zhǔn) 《ISO/IEC 7816-1/2/3/4》 《中國(guó)人民銀行PSAM卡規(guī)范》 PSAM具有以下主要特征： 支持一卡多應(yīng)用，各應(yīng)用之間相互獨(dú)立（多應(yīng)用、防火墻功能）。 支持多種文件類(lèi)型 包括二進(jìn)制文件，定長(zhǎng)記錄文件，變長(zhǎng)記錄文件，循環(huán)文件，錢(qián)包文件 。 在通訊過(guò)程中支持多種安全保護(hù)機(jī)制（信息的機(jī)密性和完整性保護(hù)）。 支持多種安全訪問(wèn)方式和權(quán)限（認(rèn)證功能和口令保護(hù)）。 支持中國(guó)人民銀行認(rèn)可的Single DES、Triple DES算法。 支持多級(jí)密鑰分散機(jī)制，產(chǎn)生《中國(guó)金融集成電路（IC）卡規(guī)范》中定義的MAC1和校驗(yàn)MAC2。 支持多級(jí)密鑰分散機(jī)制，用分散后的密鑰作為臨時(shí)密鑰對(duì)數(shù)據(jù)進(jìn)行加密、解密、MAC等運(yùn)算， 以完成終端與卡片之間的合法性認(rèn)證等功能。 支持多種通訊協(xié)議：接觸界面支持T=0（字符傳送）和T=1（塊傳送）通訊協(xié)議。 接觸界面符合PPS協(xié)議，支持多種速率選擇。 支持多種容量選擇 可選擇2K、8K字節(jié)EEPROM空間。 PSAM卡內(nèi)嵌于各類(lèi)終端設(shè)備，為其提供IC卡級(jí)別的安全保護(hù)， PSAM除具備用戶(hù)卡功能外，還具有計(jì)算功能。PSAM中增加了計(jì)算型密鑰。 應(yīng)用范圍 PSAM主要用于商用POS，網(wǎng)點(diǎn)終端，直連終端等設(shè)備上，具有安全控制管理功能，支持多級(jí)發(fā)卡機(jī)制，適用于多應(yīng)用環(huán)境 技術(shù)指標(biāo) 符合ISO/IEC 7816系列國(guó)際標(biāo)準(zhǔn)，《中國(guó)金融集成電路（IC）卡規(guī)范》，《社會(huì)保障（個(gè)人）卡規(guī)范》，《中國(guó)金融IC卡試點(diǎn)PSAM應(yīng)用規(guī)范》 產(chǎn)品特點(diǎn) 支持一卡多應(yīng)用，各應(yīng)用之間相互獨(dú)立（多應(yīng)用、防火墻功能）。 支持多種文件類(lèi)型 包括二進(jìn)制文件，定長(zhǎng)記錄文件，變長(zhǎng)記錄文件，循環(huán)文件，錢(qián)包文件。 在通訊過(guò)程中支持多種安全保護(hù)機(jī)制（信息的機(jī)密性和完整性保護(hù)）。 支持多種安全訪問(wèn)方式和權(quán)限（認(rèn)證功能和口令保護(hù)）。 支持中國(guó)人民銀行認(rèn)可的DES、3DES算法。 支持多級(jí)密鑰分散機(jī)制，產(chǎn)生《中國(guó)金融集成電路（IC）卡規(guī)范》中定義的MAC1和校驗(yàn)MAC2。 支持多級(jí)密鑰分散機(jī)制，用分散后的密鑰作為臨時(shí)密鑰對(duì)數(shù)據(jù)進(jìn)行加密、解密、MAC等運(yùn)算，以完成終端與卡片之間的合法性認(rèn)證等功能。 支持多種通訊協(xié)議：接觸界面支持T=0（字符傳送）和T=1（塊傳送）通訊協(xié)議。 接觸界面符合PPS協(xié)議，支持多種速率選擇。 支持多種容量選擇 可選擇8K、16K字節(jié)EEPROM空間 安全模組(SAM卡）如同讀卡機(jī)之身分證，SAM卡與讀卡機(jī)可以視為一體，讀卡機(jī)上傳、更新、開(kāi)機(jī)確認(rèn)時(shí)都需要使用到SAM卡。 移動(dòng)電話(huà)機(jī)與SIM卡共同構(gòu)成移動(dòng)通信終端設(shè)備。無(wú)論是GSM系統(tǒng)還是CDMA系統(tǒng)，數(shù)字移動(dòng)電話(huà)機(jī)用戶(hù)在“入網(wǎng)”時(shí)會(huì)得到一張SIM卡(SubscriberIdentityModule)或UIM卡(UserIdentity Module)。SIM卡是一張符合GSM規(guī)范的“智慧卡”，可以插入任何一部符合GSM規(guī)范的移動(dòng)電話(huà)中，實(shí)現(xiàn)“電話(huà)號(hào)碼隨卡不隨機(jī)的功能”，而且通話(huà)費(fèi)用自動(dòng)計(jì)入持卡用戶(hù)的賬單上，與手機(jī)無(wú)關(guān)。 外部特征 在實(shí)際使用中有兩種功能相同而形式不同的SIM卡： 卡片式(俗稱(chēng)大卡)SIM卡，這種形式的SIM卡符合有關(guān)IC卡的ISO7816標(biāo)準(zhǔn)，類(lèi)似IC卡。 嵌入式(俗稱(chēng)小卡)SIM卡，其大小只有25mm×15mm，是半永久性地裝入到移動(dòng)臺(tái)設(shè)備中的卡。 “大卡”上真正起作用的是它上面的那張“小卡”，而“小卡”上起作用的部分則是卡面上的銅制接口及其內(nèi)部膠封的卡內(nèi)邏輯電路。目前國(guó)內(nèi)流行樣式是“小卡”，小卡也可以換成“大卡”(需加裝一卡托)。“大卡”和“小卡”分別適用于不同類(lèi)型的GSM移動(dòng)電話(huà)，早期機(jī)型如摩托羅拉GC87C、308C等手機(jī)用的是“大卡”，而目前新出的機(jī)型基本上都使用“小卡”。