1、目前不同廠家采用的 CPU 卡方案分為四類
1.1、ID 方案
使用 CPU 卡的序列号來識别卡,這種方案與 ID 卡方案沒有本質差別,在門禁、考勤、停車場系統中較多見,消費系統中采用這種方案需要采用實時通訊模式。
1.2、M1 卡相容方案
用 CPU 卡模拟 M1 卡的結構,即将 CPU 卡存儲區域模拟成 M1 卡的扇區結構,其技術本質還是 M1 卡的應用,自然與 M1 存在同樣的被複制的問題,這種方案被目前絕大多數公司所采用的。
1.3、CPU 卡軟加密方案
系統采用 CPU 卡的密鑰認證體系,但是将驗證密鑰存儲在讀寫機的底層軟體中,通過軟體調用密鑰來實作裝置和 CPU 卡之間進行驗證。
該方案相較前兩種有進步,但是存在密鑰容易洩露,不好控制的弱點。
1.4、标準 CPU 卡應用方案,即 CPU 卡硬加密方案
系統采用 PSAM 卡與 CPU 卡進行安全認證,建立起完整、可靠的密鑰管理系統,充分發揮了 CPU 卡系統的安全特性。
密鑰寫入 PSAM 卡後,将 PSAM 卡插入讀寫機内,通過 PSAM 卡和 CPU卡 進行動态雙向驗證。
該方案完全符合《中國金融內建電路(IC)卡規範》(JR/T 0025-2005)(業内簡稱PBOC2.0)。
建議使用者選擇時,首先選擇“标準CPU卡系統方案”,選配帶有 PSAM 插槽的讀卡裝置,建構金融級安全标準的一卡通系統;
其次選擇“CPU卡軟加密系統方案”,選用标準裝置即可實作。
在以上兩種方案中,除了系統的密鑰管理體系、讀卡裝置以外,在使用上和标準的一卡通系統沒有差別。
2、PSAM 卡簡介
PSAM 卡,終端安全控制子產品,符合《中國金融內建電路(IC卡)PSAM卡規範》,包括普通 PSAM 卡和高速 PSAM 卡。
PSAM 具有以下主要特征:
1)支援一卡多應用,各應用之間互相獨立(多應用、防火牆功能);
2)支援多種檔案類型,包括二進制檔案、定長記錄檔案、變長記錄檔案、循環檔案、錢封包件;
3)支援多種安全通路方式和權限(認證功能和密碼保護);
4)支援中國人民銀行認可的 Single DES、Triple DES 算法,以完成終端與卡片之間的合法性認證等功能。
5)支援多級密鑰分散機制,産生《中國金融內建電路(IC)卡規範》中定義的 MAC1 和校驗 MAC2;
6)支援多級密鑰分散機制,用分散後的密鑰作為臨時密鑰對資料進行加密、解密、MAC 等運算,以完成終端與卡片之間的合法性認證等功能;
7)支援多種通訊協定:接觸界面支援 T=0 (字元傳送)和 T=1 (塊傳送)通訊協定;
8)接觸界面符合PPS協定,支援多種速率選擇;
3、示例
3.1、PBOC 标準 CPU 卡充值流程
3.2、PBOC 标準 CPU 卡消費流程
