智能IC卡基础知识培训.ppt

智能卡基础知识培训,概 述,目前，应用于信息处理的卡片主要分为非半导体卡和半导体卡两大类。非半导体卡主要有磁条卡、条码卡、凸字卡半导体卡主要是IC卡，分为有触点卡和无触点卡。有触点卡分为存储IC（Intergrated Circuit）卡、逻辑加密卡和带CPU的存储卡（智能卡、CPU卡）；无触点卡主要是射频卡,磁 条 卡,磁条卡的结构主要由塑料卡片和贴在其上的磁条组成，磁条上有三条存储信息的磁道，ISO对此有明确的规范，从卡的尺寸，物理特性，凸印字符等到磁条的尺寸，位置，读写性能以及各磁道的数据格式等。目前使用在金融等多种领域。优点：成本低缺点：存储容量低 安全性低,凸 字 卡,优点：制作简单、成本低缺点：易仿造、安全性差应用领域：银行、商场、酒店等，用做标识身份、有效期。,条 码 卡,优点：成本低缺点：易仿造、安全性差应用领域：商场、书店等。,接触式IC卡,通过和读卡器触点直接接触获取电压并进行通讯。优点：存储容量大、安全性高、读写终端设备造价便宜缺点：刷卡速度慢,非接触式IC卡,非接触式IC卡又称射频卡优点：1.可靠性高，无机械接触；2.操作方便，快捷，使用时没有方 向性；3.安全和保密性能好；4.可多卡操作，具有快速防冲突机制；5.适合多种应用。缺点：抗干扰能力差,双界面IC卡,双界面CPU卡是基于单芯片的、集接触式与非接触式接口为一体的智能卡。这两种接口共享同一个微处理器、操作系统和EEPROM。卡片包括一个微处理器芯片和一个与微处理器相连的天线线圈，由读写器产生的电磁场提供能量，通过射频方式实现能量供应和数据传输。,混 合 卡,由两种以上不同类型的卡混合使用，支持多种读写终端，适合有多种要求的场合；这种类型的卡多为过渡型卡。,超级智能卡,在卡上具有MPU和存储器并装有键盘、液晶显示器和电源，有的卡上还具有指纹识别装置等。特点：核心和CPU卡类似，主要增加的是外围的辅助单元，主要用于高端应用。,智能卡起源,1970年，法国人罗兰德莫瑞诺（Roland Moreno）第一次将可进行编程设置的IC（Integrated Circuit）芯片放于卡片中，使卡片具有更多的功能。当时他在专利申请书中，对这项发明作了如下阐述：卡片上具有可进行自我保护的存储器。这样就诞生了世界上第一张IC卡。1976年，法国BULL公司研制了世界第一张由双晶片组成的智能卡。,智能卡名称,自IC卡出现以后，国际上对它有多种叫法。英文名称有“Smart Card”、“IC Card”等；在亚洲特别是港、台地区，则多称为“聪明卡”、“智慧卡”及“智能卡”等；而在国内，人们一般称之为“IC卡”或“智能卡”智能卡将具有存储、加密及数据处理能力的集成电路芯片镶嵌于塑料基片中，涉及到微电子技术、计算机技术和信息安全技术等，作为一种成熟的高技术产品，智能卡提高了人们生活和工作的现代化程度，已成为一个国家科技发展水平的标志之一。,智能卡定义,什么是智能卡？目前业界人士尚无统一、全面的定义，以下内容综述了常见于各种资料上的智能卡定义。1）外形和信用卡一样，但卡上含有一个符合国际标准化组织（ISO）有关标准的集成电路芯片（IC）。2）由一个或多个集成电路芯片组成，并封装成便于人们携带的卡片；具有暂时或永久性的数据存储能力，其内容可供外部读取或供内部处理、判断；具有逻辑和数学运算处理能力，用于识别和响应外部提供的信息和芯片本身的处理需求。3）IC卡就是集成电路卡。它是一种随着半导体技术的发展和社会对信息安全性等要求的日益提高而应运而生的，具有微处理器及大容量存储器等的集成电路芯片且嵌装于塑料等基片上制成的卡片。它的外形与普通磁卡做成的信用卡十分相似，只是略厚一些。,智能卡规范,国际标准组织（ISO）对IC卡的简单定义如下：一张镶嵌集成电路芯片的信用卡大小的塑胶卡片，并对于IC卡的物理和电器指标以及应用标准做出较详尽的规定（见ISO7816）。,集成电路芯片,智能卡芯片主要生产厂商,国际智能卡芯片主要生产厂商 欧洲：Philips、Siemens、SGS等；美国：TI、Catalyst、MOTOROLA、ATMEL等；日本：NEC、OKI、Toshiba、Hitachi等；韩国：SAMSUNG等；国内智能卡芯片主要生产厂商 上海：华虹、华源、贝岭、复旦微电子等；北京：华大、大唐电信、清华微电子等。,智能卡分类（一）,根据卡中所镶嵌的集成电路不同分类：存储器卡存储器卡在技术上可以分成两类，分别是普通存储器卡和逻辑加密存储器卡。普通存储器 作为普通存储器卡的卡芯芯片只含有数据存储器，通常简称为“存储卡”；适用于对安全性要求不高的系统。逻辑加密卡逻辑加密存储器卡采用带有安全逻辑的芯片作为卡芯，可对数据存取用密码保护，通常简称为“加密卡”。适用于对安全性有一定要求、单一应用的系统。CPU卡CPU卡的集成电路芯片是一个MCU（微控制单元）。在单元里有ROM（用于存储指令代码）、RAM（随机存储器）、EEPROM（作为用户数据存储）和CPU（中央处理器）。对CPU卡内的信息流进行控制和处理则由CPU卡的操作系统COS来完成。,智能卡分类（二）,根据卡上数据的读写方法不同分类接触型IC卡：通过和读卡器触点直接接触获取电压进行通讯优点：可靠性高缺点：刷卡速度慢、与机械接触，有磨损、适合读写操作复杂的场合非接触型IC卡：通过RF收发电路进行通讯优点：可靠性高、加密性能好、应用范围广、操作方便、无磨损、寿 命长 缺点：抗干扰能力差、适合刷卡速度快的场合双界面IC卡优点：拥有接触型IC卡和非接触型IC卡的优点、适合各种场合混合卡优点：支持多种读写终端、适合有多种要求的场合,智能卡优缺点（一）,IC卡和其它卡的比较（1）存储容量大：其内部有RAM、ROM、EEPROM等存储器，容量可以达到几兆位，可存储文字、声音、图形、图象等信息。（2）抗干扰能力强，数据保存时间长。（3）安全性高：IC卡从硬件和软件等几个方面实施其安全策略，可以控制卡内不同区域的存取特性。加密IC卡本身具有安全密码，如果试图非法对之进行数据存取则卡片自毁，不可再进行读写。（4）对网络要求不高：IC卡的安全可靠性使其在应用环境中对计算机网络的实时性、敏感性要求降低，十分符合当前国情，有利于在网络质量不高的环境中应用。,智能卡优缺点（二）,IC卡和磁卡比较（1）安全性高；（2）IC卡的存储容量大，便于应用，方便保管。（3）IC卡的防磁、防一定强度的静电，抗干扰能力强，可靠性比磁卡 高，一般可重复读写10万次以上，使用寿命长。（4）IC卡的读写设备比磁卡的读写设备简单可靠、造价便宜、容易推 广、维护方便。,IC卡应用领域,金融：借记卡、信用卡、贷记卡、银 行IC卡、证券交易卡、联名卡电信：SIM卡、UIM卡、电话IC卡政府：工商卡、税务卡、政府雇员卡、组织机构代码卡等交通：公交IC卡、旅游IC卡、旅客卡等加油卡：中石化加油卡、中石油加油卡医疗及其他：城市一卡、校园卡一卡通、身份识别卡等,智能卡结构,CPU卡的集成电路芯片是一个MCU（微控制单元）ROM（用于存储指令代码）RAM（随机存储器）EEPROM（作为用户数据存储）CPU（中央处理器）COS：芯片操作系统COS-Chip Operating System,智能卡芯片的逻辑结构,I/O：输入输出接口MPU：微控制器CAU：加密运算协处理器EEPROM：电擦除储存器ROM：只读储存器RAM：随机储存器SL：安全逻辑（8位微处理器，16位的地址总线）,智能卡芯片触点的分配,C1：智能卡工作电源VCCC2：复位信号RSTC3：时钟信号CLKC4：保留C5：地GNDC6：编程电压VPPC7：数据I/O接口C8：保留,智能卡操作系统,COS（Chip Operation System）功能：1、IC卡的上电复位2、芯片底层硬件的驱动3、卡片对外接口交互4、卡内内存空间的维护5、卡内文件系统的维护6、系统运行安全的控制（COS的核心）(1)对卡内数据的安全保障能力(2)对外提供的安全定义7、命令的处理8、应用代码的执行,智能卡操作系统层次结构,典型的COS层次结构原则：将应用代码从COS主体中独立出来，提供统一的接口进行管理；将和COS底层硬件相关的操作独立出来，便于上层的复用和移植；整个系统通过监控的主流程进行统一的调度管理。层次与层次之间通过服务的方式进行调度，内部实现透明化。,高低,基本系统服务,基本系统服务和芯片紧密结合，在功能上相当于芯片的使用封装。1、IO模块：参照ISO7816-3、ISO14443的定义，实现卡片 对外的物理层连接。2、硬件控制模块：提供了芯片资源的硬件控制服务，例如 时钟控制、硬件安全访问、中断控制等3、存储器访问控制模块：提供统一的内存访问接口，包括 对系统RAM区、EEPROM区的访问。4、数据安全存储模块：提供了对EEPROM的安全存取控 制，主要是数据安全写操作。5、随机数发生器：提供硬件随机数的获取6、加密算法服务模块：实现各种内置的加密算法及服务,高级系统服务,数据传输控制模块：提供传输层控制1、虚拟通道子层：提供输入输出的虚拟通道服务，包括动态 维护输入输出缓冲区、接收拼装命令报文，发送结构报文 等。2、应用协议：实现对应用层协议的控制安全服务1、安全策略2、安全机制文件系统：负责文件系统的存储，包括文件类型和格式的解释、文件的基本读写等,系统调度,系统调度是整个系统的主框架，COS本质上是一个监控程序，该模块便是这一监控程序的主流程，它负责调度系统中的各种硬件和软件资源来完成特定的功能和任务。实际上，整个系统就是通过这一模块有机地结合在一起形成一个完整体系的。,应用服务接口,应用服务接口是应用在卡内的代码实现1、卡片基本命令模块：实现命令处理2、应用处理模块：包含与某一特定应用相关的所有命令实 现。3、其他应用控制：为便于系统的扩充，提高系统的灵活性 和适应性，COS根据情况还可以提供诸如应用代码动态 下载的功能等。,智能卡操作系统发展和现状,现状：汇编语言、C语言发展：1、JavaCard：将Java虚拟机移植到IC卡芯片中。2、微软智能卡视窗Windows For Smart Card,智能卡操作系统应用分类,电信COS金融COS社保COS税控COS,COS装载方式,COS的装载方式有两种：用掩膜(Mask)方式将COS装入CPU卡内的只读存储器(ROM),通常成为硬掩模；由于COS在芯片生产后不能再进行修改，安全性比较有保障。用COS开发工具将COS下载至CPU卡内的Flash或EEPROM存储器，通常成为软掩模。可以在芯片生产之后进行修改，所以称为“软掩膜”，其在安全性上存在在被非法篡改的安全隐患，一般在调试或测试时使用。,智能卡文件系统,文件类型(Type of File)MFMF是根目录，是整个文件系统的根，同属应用环境类。MF下可以有EF（基本文件）、SF（安全文件）、DDF(目录文件)、ADF（应用文件）；可从任何应用内进入根目录MF。DDF基本目录文件，用于定义一个应用环境，它是应用的集合。DDF下可以有ADF、子DDF、EF等结构。ADF应用目录文件，用于定义具体应用。ADF下只能有EF。,智能卡基本文件类型,文件结构(Structure of file)透明（transparent）文件（二进制文件）文件数据是通过连续空间中的字节地址进行存取。记录（record）文件线性定长记录文件：同一文件内的所有记录都是等长度的。线性变长记录文件：同一文件内的每个记录的长度可以不相等。支持TLV和V两种记录格式。循环定长记录文件：同一文件内的所有记录都是等长度的。支持对文件中的记录循环存取。,智能卡文件系统常用架构（1）,多应用平衡架构,智能卡文件系统常用架构（2）,多应用主次架构,智能卡文件系统常用架构（3）,单应用架构,智能卡的生产工艺流程,1.芯片制造：半导体厂家在集成电路生产线上通过特定的制造工艺进行大批量生产。（半导体厂家完成）2.掩膜：在芯片制造过程中将COS掩膜固化到芯片的ROM中，通常称硬掩膜。（半导体厂家完成）3.模块封装：将芯片安装在有8个触点的智能卡专用载带上，制成模块。（模块封装厂完成）4.制卡：按客户要求印制塑料基片，即卡基，将模块镶嵌到卡基上，制成智能卡。（卡厂完成）5.卡片初始化：设置卡片的基本参数及安装卡片传输密钥。（卡厂完成）6.卡片个人化：建立应用文件并写入持卡人基本资料。（发卡单位完成）,智能卡指令操作,命令头标由5个连续的字节组成：CLA：命令类别；INS：指令代码；P1，P2：指令附加参数；P3：由INS的编码而定，或是表示命令中送给IC卡的数据 长度（LC）或是等待卡响应的最大数据长度（LE）,智能卡操作,智能卡相关规范（1）,ISO7816(接触式智能卡的国际规范)ISO7816-1：接触式智能卡的塑料基片的物理和尺寸特性ISO7816-2：接触式智能卡触点的尺寸和位置ISO7816-3：接触式智能卡的电信号和传输协议ISO7816-4：接触式智能卡与外界交互的接口ISO7816-5：接触式智能卡应用的命名方式与注册系统ISO7816-6：接触式智能卡与外界交互的数据对象ISO7816-7：接触式智能卡的结构化查询与功能ISO7816-8：接触式智能卡与安全有关的指令ISO7816-9：接触式智能卡附加指令与安全参数,智能卡相关规范（2）,ISO1443(非接触卡通讯协议规范)1、TYPE A：将数据传输和卡片微处理工作分开进行，采用硬件解码，必须采用硬件实现。2、TYPE B：将数据传输和卡片微处理工作同时进行，易于软件编码，可以直接软件控制。,智能卡相关规范（3）,SET(Secure Electronic Transaction)用于电子商务的标准，是“安全电子交易”的缩写，此标准由Visa 和 Mastercard共同制定。目前在Internet上使用极为广泛，也是IC卡应用和网络支付的重要基础。系统将向用户要求卡号和失效日期，然后信息被加密和核实。值得注意的是，系统只检查卡的有效性，而不判断使用者的合法性。,智能卡相关规范（4）,C-SET和SET类似的标准，由法国人制定。C-SET是“芯片安全交易”的缩写，面向法国银行的CPU智能卡。该标准使用与计算机连接的小型读写器识别用户身份，用户需另输入密码来签署交易。C-SET和SET具备可互操作性。,智能卡相关规范（5）,EMV世界主要信用卡联合体Visa，Mastercard和Europay创立于1993年，于1996年修订完毕。定义了银行用CPU卡的协议、数据和指令。提供了除卡内部保护机制之外的附加安全措施。,智能卡加密算法（1）,对称加密算法（DES、3DES、RC2/4）特点：加解密双方在加解密过程中要使用完全相同的一个密钥，示意图如下：,智能卡加密算法（2）,非对称加密算法（公开密钥加密算法）特点：加密密钥和解密密钥组成一个密钥对。加密密钥为公开密钥（Public Key）解密密钥为秘密密钥（Cecret Key）RSA是教完善的公钥密码体制，可应用于加密，也可以用于数字签名。RSA算法的安全性基于一个简单的数论事实，将两个大素数相乘很容易，但反过来将他们的乘机再因式分解则非常困难。,名词解释,ISO：International Standardization Organization 国际标准化组织IEC：International Electrotechnical Commission 国际电工委员会IC：INTEGRATED CIRCUIT 集成电路COS：Chip Operating System 片内操作系统EEPROM：电可擦除可编程只读存储器SIM：Subscriber Identity Module 用户识别终端PK：Public Key 公钥APDU：Application Protocol Data Unit 应用协议数据单元ATR：Answer To Reset 复位响应,解读你的手机SIM卡（1),SIM是Subscriber Identity Module的缩写。在SIM卡中，包含有用户识别信息、辅助业务信息、短信息、移动性信息和无线电资源信息等。SIM卡是一种带微处理器的IC卡，它由CPU、工作存储器（RAM）、程序存储器（ROM）、数据存储器（EEROM）和串行通信单元五部分组成，这五个模块必须集成在一块集成电路中，否则其安全性会受到威胁，因为芯片间的连线可能成为非法存取和盗用SIM卡的重要线索。,解读你的手机SIM卡(2),SIM卡的功能之一：存储用户相关数据SIM卡存储的数据可分为四类：第一类是固定存放的数据。这类数据在ME（Mobile Equipment）被出售之前由SIM卡中心写入，包括国际移动用户识别号（IMSI）、鉴权密钥（KI）等；第二类是暂时存放的有关网络的数据。如位置区域识别码（LAI）、移动用户暂时识别码（TMSI）、禁止接入的公共电话网代码等；第三类是相关的业务代码，如个人识别码（PIN）、解锁码（PUK）、计费费率等；第四类是电话号码簿，是手机用户随时输入的电话号码。,解读你的手机SIM卡(3),SIM卡的功能之二：用户PIN的操作和管理 SIM卡本身是通过PIN码来保护的，PIN是一个四位到八位的个人密码，只有当用户输入正确的PIN码时，SIM卡才能被启用，移动终端才能对SIM卡进行存取，也只有PIN认证通过后，用户才能上网通话。,解读你的手机SIM卡(4),SIM卡的功能之三：用户身份鉴权 确认用户身份是否合法，鉴权过程是在是在网络和SIM卡之间进行的，而鉴权时间一般是在移动终端登记入网和呼叫时。鉴权开始时，网络产生一个128比特的随机数RAND，经无线电控制信道传送到移动台，SIM卡依据卡中的密钥Ki和算法A3,对接收到的RAND计算出应答信号SRES，并将结果发回网络端。而网络端在鉴权中心查明该用户的密钥Ki，用同样的RAND和算法A3算出SRES,并与收到的SRES进行比较，如一致，鉴权通过。,解读你的手机SIM卡(5),SIM卡的功能之四：SIM卡中的保密算法及密钥 SIM卡中最敏感的数据是保密算法A3、A8、密钥Ki、PIN、PUK和Kc。A3、A8算法是在生产SIM卡时写入的，无法读出。PIN码可由用户在手机上自己设定，PUK码由运营者持有，Kc是在加密过程中由Ki导出的。,Thanks.,