IC 卡、M1 卡、CPU 卡、SAM 卡、PSAM 卡的聯系與差別

一、 技術方面（非接觸式 IC 卡）

1、 邏輯加密卡又叫存儲卡，卡内的內建電路具有加密邏輯和 EEPROM （電可 擦除可程式設計隻讀存儲器）。

2、 CPU 卡又叫智能卡， 卡内的內建電路包括中央處理器 （CPU ）、EEPROM 、 随機存儲器 (ROM) 、以及固化在隻讀存儲器（ ROM ）中的片内作業系統 (COS) ， 有的卡内晶片還內建了加密運算協處理器以提高安全性和工作速度 ,使其技術指 标遠遠高于邏輯加密卡。

3、 CPU 卡由于具有微處理功能，使得在交易速度以及資料幹擾方面遠遠高于 邏輯加密卡，且允許多張卡片同時操作，具有防沖突機制。

4、 兩者在技術方面的最大差別在于： CPU 卡是一種具有微處理晶片的 IC 卡， 可執行加密運算和其它操作， 存儲容量較大， 能應用于不同的系統； 邏輯加密卡 是一種單一的存儲卡， 主要特點是内部有隻讀存儲器， 但存儲容量較 CPU 卡小， 使其在用途方面沒有擴充性。

二、 保密方面（非接觸式 IC 卡）

1、 邏輯加密卡具有防止對卡中資訊随意改寫功能的存儲 IC 卡，當對加密卡進 行操作時必須首先核對卡中密碼， 隻有核對正确， 卡中送出一串正确的應答信号 時，才能對卡進行正确的操作， 但由于隻進行一次認證， 且無其它的安全保護措 施，容易導緻密碼的洩露和僞卡的産生，其安全性能很低。

2、 由于 CPU 卡中有微處理機和 IC 卡作業系統（ COS），當 CPU 卡進行操作 時，可進行加密和解密算法（算法和密碼都不易破解），使用者和 IC 卡系統之間 需要進行多次的互相密碼認證（且速度極快），提高了系統的安全性能，對于防 止僞卡的産生有很好的效果。 綜上所述，對于邏輯加密卡和 CPU 卡來說，CPU 卡不僅具有邏輯加密卡的所有 功能，更具有邏輯加密卡所不具備的高安全性、 靈活性以及支援與應用擴充等優 良性能，也是今後 IC 卡發展的主要趨勢和方向。

三、 CPU 卡安全系統與邏輯加密系統的比較 衆所周知，密鑰管理系統（ Key Management System ），也簡稱 KMS，是 IC 項目安全的核心。 如何進行密鑰的安全管理， 貫穿着 IC 卡應用的整個生命周期。 1、 非接觸邏輯加密卡的安全認證依賴于每個扇區獨立的 KEYA 和 KEYB 的校 驗，可以通過扇區控制字對 KEYA 和 KEYB 的不同安全組合，實作扇區資料的 讀寫安全控制。 非接觸邏輯加密卡的個人化也比較簡單， 主要包括資料和各扇區 KEYA 、KEYB 的更新，在期間所有敏感資料包括 KEYA 和 KEYB 都是直接以明 文的形式更新。由于 KEYA 和 KEYB 的校驗機制，隻能解決卡片對終端的認證， 而無法解決終端對卡片的認證，即我們俗稱的 “僞卡”的風險。接觸邏輯加密卡， 即密鑰就是一個預先設定的确定數， 無論用什麼方法計算密鑰， 最後就一定要和 原先寫入的數一緻， 就可以對被保護的資料進行讀寫操作。 是以無論是一卡一密 的系統還是統一密碼的系統，經過破解就可以實作對非接觸邏輯加密卡的解密。 很多人認為隻要是采用了一卡一密、實時線上系統或非接觸邏輯加密卡的 ID 号 就能避免密鑰被解密， 其實，非接觸邏輯加密卡被解密就意味着 M1 卡可以被複 制，使用線上系統盡可以避免被非法充值， 但是不能保證非法消費， 即複制一張 一樣 ID 号的 M1 卡，就可以進行非法消費。現在的技術使用 FPGA 就可以完全複制。基于這個原理， M1 的門禁卡也是不安全的 。目前國内 80%的門 禁産品均是采用原始 IC 卡的 ID 号或 ID 卡的 ID 号去做門禁卡，根本沒有去進行 加密認證或開發專用的密鑰，其安全隐患遠遠比 Mifare 卡的破解更危險，非法 破解的人士隻需采用的是專業的技術手段就可以完成破解過程， 導緻目前國内大 多數門禁産品都不具備安全性原因之一， 是因為早期門禁産品的設計理論是從國 外引進過來的， 國内大部分廠家長期以來延用國外做法， 采用 ID 和 IC 卡的隻讀 特性進行身份識别使用， 很少關注卡與機具間的加密認證， 缺少鑰匙體系的設計； 而 ID 卡是很容易可複制的載體，導緻所有的門禁很容易幾乎可以在瞬間被破解 複制；這才是我們國内安防市場最大的災難。

2、 非接觸 CPU 卡智能卡與非接觸邏輯加密卡相比，擁有獨立的 CPU 處理器 和晶片作業系統， 是以可以更靈活的支援各種不同的應用需求， 更安全的設計交 易流程。但同時，與非接觸邏輯加密卡系統相比，非接觸 CPU 卡智能卡的系統 顯得更為複雜， 需要進行更多的系統改造，比如密鑰管理、交易流程、 PSAM 卡 以及卡片個人化等。 密鑰通常分為充值密鑰 （ISAM 卡），減值密鑰（PSAM 卡）， 外部認證密鑰（ SAM 卡）和全能密鑰（ ASAM 卡）。非接觸 CPU 卡智能卡可 以通過内外部認證的機制， 例如像建設部定義的電子錢包的交易流程， 高可靠的 滿足不同的業務流程對安全和密鑰管理的需求。 對電子錢包圈存可以使用圈存密 鑰，消費可以使用消費密鑰，清算可以使用 TAC 密鑰，更新資料可以使用卡片 應用維護密鑰， 卡片個人化過程中可以使用卡片傳輸密鑰、 卡片主要密鑰、 應用 主要密鑰等，真正做到一鑰一用。 CPU 卡加密算法和随機數發生器與安裝在讀寫裝置中的密鑰認證卡 (SAM 卡)相 互發送認證的随機數，可以實作以下功能： 1） 通過終端裝置上 SAM 卡實作對卡的認證 2） CPU 卡與終端裝置上的 SAM 卡的互相認證，實作對卡終端的認證 3） 通過 ISAM 卡對 CPU 卡進行充值操作，實作安全的儲值 4） 通過 PSAM 卡對 CPU 卡進行減值操作，實作安全的扣款 5） 在終端裝置與 CPU 卡中傳輸的資料是加密傳輸 6） 通過對 CPU 卡發送給 SAM 卡的 MAC1 ，SAM 卡發送給 CPU 的 MAC2 和 由 CPU 卡傳回的 TAC，可以實作資料傳輸驗證的計算。而 MAC1、MAC2 和 TAC 就是同一張 CPU 卡每次傳輸的過程中都是不同的， 是以無法使用空中接收 的辦法來破解 CPU 卡的密鑰。