關(guān)于采用CPU卡進入國家項目應(yīng)注意的幾個問題及建議 由于MAFARE的S50及S70可以很容易被攻擊的技術(shù)論文在國際上發(fā)表后，國內(nèi)企業(yè)及相關(guān)專家的竭力推動，引起我國政府的高度重視，并專門發(fā)文，特要求今后凡黨政機關(guān)、公安部隊系統(tǒng)任何智能卡項目都必須采用高加密的選擇。在此，將相關(guān)的基本知識及應(yīng)重視的問題介紹如下： 1. ? ? ? 真正CPU卡應(yīng)用系統(tǒng)的構(gòu)成：(華大的COS) 帶COS的CPU卡+帶PSAM卡的讀寫設(shè)備+帶母卡的可對CPU卡及PSAM卡進行發(fā)行及初始化的發(fā)卡器+相關(guān)的發(fā)卡軟件+用戶系統(tǒng)應(yīng)用平臺（軟件） 2. ? ? ? 真正CPU卡系統(tǒng)的作用 A．卡與讀卡器之間是隨機變化的密文傳輸，采用任何高技術(shù)手段都無法中間截取，所以是不可復(fù)制，不可被攻擊的； B．是由最終用戶保存母卡并在發(fā)卡設(shè)備上對卡及讀頭發(fā)行，任何原廠家、中間商、系統(tǒng)商都無法對系統(tǒng)進行攻擊成功； 3. 偽CPU卡系統(tǒng)的構(gòu)成 帶COS（如果只讀ID，可以不用COS）的CPU卡+無PSAM卡的讀頭設(shè)備+無母卡的發(fā)行+應(yīng)用系統(tǒng) 4. ? ? ? 偽CPU卡系統(tǒng)的作用 a) ? ? ? ? 卡與讀頭交換的數(shù)據(jù)是固定的，或是有規(guī)律的。很容易被截取及分析破解； b) ? ? ? ?如果僅讀取ID號碼，則可以被不良之徒用一般的MCU（單片機）或自編COS的CPU卡盜號復(fù)制； c) ? ? ? ? 卡商、中間商、系統(tǒng)商的技術(shù)人員都有可能具備攻擊及復(fù)制卡的能力； 5. ? ? ? 希望用戶明白的道理 現(xiàn)在真正的CPU卡讀頭對用戶都在千元上下，有的更高。如果他們?yōu)榱烁鞣N原因想壓低成本，千萬不要考慮往偽CPU的方向去走（一般的邏輯加密卡，COS不完善的卡，無PSAM卡的讀頭，不用母卡進行發(fā)行，等）。如果這樣做了： A．系統(tǒng)不安全，領(lǐng)導(dǎo)有責任，買了馬，不配鞍；或是花了全套的錢，確少關(guān)鍵； B． 競爭對手很容易揭你的短，沒面子； C． 如果中間環(huán)節(jié)有些利益考慮，容易在技術(shù)上先被揭穿，后面難交待； 6. ? ? ? PSAM卡為什么貴,安全。 A．主要是數(shù)量少， B． 還要寫如專門的COS； C． 對應(yīng)的母卡（一般一個用戶只用一個，但應(yīng)有備份）也要有專門的COS； D．還要配上對應(yīng)的發(fā)行初始化軟件。 E． PSAM是不可復(fù)制的、不可加密的。 PSAM卡 PSAM卡 終端安全控制模塊，符合《中國金融集成電路（IC卡）PSAM卡規(guī)范》， 包括普通PSAM卡和高速PSAM卡。 PSAM符合以下標準及規(guī)范： 識別卡，帶觸點的集成電路卡標準 《ISO/IEC 7816-1/2/3/4》 《中國人民銀行PSAM卡規(guī)范》 PSAM具有以下主要特征： 支持一卡多應(yīng)用，各應(yīng)用之間相互獨立（多應(yīng)用、防火墻功能）。 支持多種文件類型 包括二進制文件，定長記錄文件，變長記錄文件，循環(huán)文件，錢包文件 。 在通訊過程中支持多種安全保護機制（信息的機密性和完整性保護）。 支持多種安全訪問方式和權(quán)限（認證功能和口令保護）。 支持中國人民銀行認可的Single DES、Triple DES算法。 支持多級密鑰分散機制，產(chǎn)生《中國金融集成電路（IC）卡規(guī)范》中定義的MAC1和校驗MAC2。 支持多級密鑰分散機制，用分散后的密鑰作為臨時密鑰對數(shù)據(jù)進行加密、解密、MAC等運算， 以完成終端與卡片之間的合法性認證等功能。 支持多種通訊協(xié)議：接觸界面支持T=0（字符傳送）和T=1（塊傳送）通訊協(xié)議。 接觸界面符合PPS協(xié)議，支持多種速率選擇。 支持多種容量選擇 可選擇2K、8K字節(jié)EEPROM空間。 PSAM卡內(nèi)嵌于各類終端設(shè)備，為其提供IC卡級別的安全保護， PSAM除具備用戶卡功能外，還具有計算功能。PSAM中增加了計算型密鑰。 應(yīng)用范圍 PSAM主要用于商用POS，網(wǎng)點終端，直連終端等設(shè)備上，具有安全控制管理功能，支持多級發(fā)卡機制，適用于多應(yīng)用環(huán)境 技術(shù)指標 符合ISO/IEC 7816系列國際標準，《中國金融集成電路（IC）卡規(guī)范》，《社會保障（個人）卡規(guī)范》，《中國金融IC卡試點PSAM應(yīng)用規(guī)范》 產(chǎn)品特點 支持一卡多應(yīng)用，各應(yīng)用之間相互獨立（多應(yīng)用、防火墻功能）。 支持多種文件類型 包括二進制文件，定長記錄文件，變長記錄文件，循環(huán)文件，錢包文件。 在通訊過程中支持多種安全保護機制（信息的機密性和完整性保護）。 支持多種安全訪問方式和權(quán)限（認證功能和口令保護）。 支持中國人民銀行認可的DES、3DES算法。 支持多級密鑰分散機制，產(chǎn)生《中國金融集成電路（IC）卡規(guī)范》中定義的MAC1和校驗MAC2。 支持多級密鑰分散機制，用分散后的密鑰作為臨時密鑰對數(shù)據(jù)進行加密、解密、MAC等運算，以完成終端與卡片之間的合法性認證等功能。 支持多種通訊協(xié)議：接觸界面支持T=0（字符傳送）和T=1（塊傳送）通訊協(xié)議。 接觸界面符合PPS協(xié)議，支持多種速率選擇。 支持多種容量選擇 可選擇8K、16K字節(jié)EEPROM空間 安全模組(SAM卡）如同讀卡機之身分證，SAM卡與讀卡機可以視為一體，讀卡機上傳、更新、開機確認時都需要使用到SAM卡。 移動電話機與SIM卡共同構(gòu)成移動通信終端設(shè)備。無論是GSM系統(tǒng)還是CDMA系統(tǒng)，數(shù)字移動電話機用戶在“入網(wǎng)”時會得到一張SIM卡(SubscriberIdentityModule)或UIM卡(UserIdentity Module)。SIM卡是一張符合GSM規(guī)范的“智慧卡”，可以插入任何一部符合GSM規(guī)范的移動電話中，實現(xiàn)“電話號碼隨卡不隨機的功能”，而且通話費用自動計入持卡用戶的賬單上，與手機無關(guān)。 外部特征 在實際使用中有兩種功能相同而形式不同的SIM卡： 卡片式(俗稱大卡)SIM卡，這種形式的SIM卡符合有關(guān)IC卡的ISO7816標準，類似IC卡。 嵌入式(俗稱小卡)SIM卡，其大小只有25mm×15mm，是半永久性地裝入到移動臺設(shè)備中的卡。 “大卡”上真正起作用的是它上面的那張“小卡”，而“小卡”上起作用的部分則是卡面上的銅制接口及其內(nèi)部膠封的卡內(nèi)邏輯電路。目前國內(nèi)流行樣式是“小卡”，小卡也可以換成“大卡”(需加裝一卡托)?！按罂ā焙汀靶】ā狈謩e適用于不同類型的GSM移動電話，早期機型如摩托羅拉GC87C、308C等手機用的是“大卡”，而目前新出的機型基本上都使用“小卡”。