关于采用CPU卡进入国家项目应注意的几个问题及建议

由于MAFARE的S50及S70可以很容易被攻击的技术论文在国际上发表后，国内企业及相关专家的竭力推动，引起我国政府的高度重视，并专门发文，特要求今后凡党政机关、公安部队系统任何智能卡项目都必须采用高加密的选择。在此，将相关的基本知识及应重视的问题介绍如下：

1.       真正CPU卡应用系统的构成：(华大的COS)
带COS的CPU卡+带PSAM卡的读写设备+带母卡的可对CPU卡及PSAM卡进行发行及初始化的发卡器+相关的发卡软件+用户系统应用平台（软件）
2.       真正CPU卡系统的作用
A．卡与读卡器之间是随机变化的密文传输，采用任何高技术手段都无法中间截取，所以是不可复制，不可被攻击的；
B．是由最终用户保存母卡并在发卡设备上对卡及读头发行，任何原厂家、中间商、系统商都无法对系统进行攻击成功；
3. 伪CPU卡系统的构成
带COS（如果只读ID，可以不用COS）的CPU卡+无PSAM卡的读头设备+无母卡的发行+应用系统
4.       伪CPU卡系统的作用
a)         卡与读头交换的数据是固定的，或是有规律的。很容易被截取及分析破解；
b)        如果仅读取ID号码，则可以被不良之徒用一般的MCU（单片机）或自编COS的CPU卡盗号复制；
c)         卡商、中间商、系统商的技术人员都有可能具备攻击及复制卡的能力；
5.       希望用户明白的道理
现在真正的CPU卡读头对用户都在千元上下，有的更高。如果他们为了各种原因想压低成本，千万不要考虑往伪CPU的方向去走（一般的逻辑加密卡，COS不完善的卡，无PSAM卡的读头，不用母卡进行发行，等）。如果这样做了：
A．系统不安全，领导有责任，买了马，不配鞍；或是花了全套的钱，确少关键；
B． 竞争对手很容易揭你的短，没面子；
C． 如果中间环节有些利益考虑，容易在技术上先被揭穿，后面难交待；
6.       PSAM卡为什么贵,安全。
A．主要是数量少，
B． 还要写如专门的COS；
C． 对应的母卡（一般一个用户只用一个，但应有备份）也要有专门的COS；
D．还要配上对应的发行初始化软件。
E． PSAM是不可复制的、不可加密的。

PSAM卡
PSAM卡
终端安全控制模块，符合《中国金融集成电路（IC卡）PSAM卡规范》，
包括普通PSAM卡和高速PSAM卡。
PSAM符合以下标准及规范：
识别卡，带触点的集成电路卡标准
《ISO/IEC 7816-1/2/3/4》
《中国人民银行PSAM卡规范》
PSAM具有以下主要特征：
支持一卡多应用，各应用之间相互独立（多应用、防火墙功能）。
支持多种文件类型 包括二进制文件，定长记录文件，变长记录文件，循环文件，钱包文件 。
在通讯过程中支持多种安全保护机制（信息的机密性和完整性保护）。
支持多种安全访问方式和权限（认证功能和口令保护）。
支持中国人民银行认可的Single DES、Triple DES算法。
支持多级密钥分散机制，产生《中国金融集成电路（IC）卡规范》中定义的MAC1和校验MAC2。
支持多级密钥分散机制，用分散后的密钥作为临时密钥对数据进行加密、解密、MAC等运算，
以完成终端与卡片之间的合法性认证等功能。
支持多种通讯协议：接触界面支持T=0（字符传送）和T=1（块传送）通讯协议。
接触界面符合PPS协议，支持多种速率选择。
支持多种容量选择 可选择2K、8K字节EEPROM空间。
PSAM卡内嵌于各类终端设备，为其提供IC卡级别的安全保护，
PSAM除具备用户卡功能外，还具有计算功能。PSAM中增加了计算型密钥。
应用范围 PSAM主要用于商用POS，网点终端，直连终端等设备上，具有安全控制管理功能，支持多级发卡机制，适用于多应用环境
技术指标 符合ISO/IEC 7816系列国际标准，《中国金融集成电路（IC）卡规范》，《社会保障（个人）卡规范》，《中国金融IC卡试点PSAM应用规范》
产品特点
支持一卡多应用，各应用之间相互独立（多应用、防火墙功能）。
支持多种文件类型 包括二进制文件，定长记录文件，变长记录文件，循环文件，钱包文件。
在通讯过程中支持多种安全保护机制（信息的机密性和完整性保护）。
支持多种安全访问方式和权限（认证功能和口令保护）。
支持中国人民银行认可的DES、3DES算法。
支持多级密钥分散机制，产生《中国金融集成电路（IC）卡规范》中定义的MAC1和校验MAC2。
支持多级密钥分散机制，用分散后的密钥作为临时密钥对数据进行加密、解密、MAC等运算，以完成终端与卡片之间的合法性认证等功能。
支持多种通讯协议：接触界面支持T=0（字符传送）和T=1（块传送）通讯协议。
接触界面符合PPS协议，支持多种速率选择。
支持多种容量选择 可选择8K、16K字节EEPROM空间
安全模组(SAM卡）如同读卡机之身分证，SAM卡与读卡机可以视为一体，读卡机上传、更新、开机确认时都需要使用到SAM卡。
移动电话机与SIM卡共同构成移动通信终端设备。无论是GSM系统还是CDMA系统，数字移动电话机用户在“入网”时会得到一张SIM卡(SubscriberIdentityModule)或UIM卡(UserIdentity Module)。SIM卡是一张符合GSM规范的“智慧卡”，可以插入任何一部符合GSM规范的移动电话中，实现“电话号码随卡不随机的功能”，而且通话费用自动计入持卡用户的账单上，与手机无关。
外部特征
在实际使用中有两种功能相同而形式不同的SIM卡：
卡片式(俗称大卡)SIM卡，这种形式的SIM卡符合有关IC卡的ISO7816标准，类似IC卡。
嵌入式(俗称小卡)SIM卡，其大小只有25mm×15mm，是半永久性地装入到移动台设备中的卡。
“大卡”上真正起作用的是它上面的那张“小卡”，而“小卡”上起作用的部分则是卡面上的铜制接口及其内部胶封的卡内逻辑电路。目前国内流行样式是“小卡”，小卡也可以换成“大卡”(需加装一卡托)。“大卡”和“小卡”分别适用于不同类型的GSM移动电话，早期机型如摩托罗拉GC87C、308C等手机用的是“大卡”，而目前新出的机型基本上都使用“小卡”。