1、目前不同厂家采用的 CPU 卡方案分为四类
1.1、ID 方案
使用 CPU 卡的序列号来识别卡,这种方案与 ID 卡方案没有本质区别,在门禁、考勤、停车场系统中较多见,消费系统中采用这种方案需要采用实时通讯模式。
1.2、M1 卡兼容方案
用 CPU 卡模拟 M1 卡的结构,即将 CPU 卡存储区域模拟成 M1 卡的扇区结构,其技术本质还是 M1 卡的应用,自然与 M1 存在同样的被复制的问题,这种方案被目前绝大多数公司所采用的。
1.3、CPU 卡软加密方案
系统采用 CPU 卡的密钥认证体系,但是将验证密钥存储在读写机的底层软件中,通过软件调用密钥来实现设备和 CPU 卡之间进行验证。
该方案相较前两种有进步,但是存在密钥容易泄露,不好控制的弱点。
1.4、标准 CPU 卡应用方案,即 CPU 卡硬加密方案
系统采用 PSAM 卡与 CPU 卡进行安全认证,建立起完整、可靠的密钥管理系统,充分发挥了 CPU 卡系统的安全特性。
密钥写入 PSAM 卡后,将 PSAM 卡插入读写机内,通过 PSAM 卡和 CPU卡 进行动态双向验证。
该方案完全符合《中国金融集成电路(IC)卡规范》(JR/T 0025-2005)(业内简称PBOC2.0)。
建议用户选择时,首先选择“标准CPU卡系统方案”,选配带有 PSAM 插槽的读卡设备,构建金融级安全标准的一卡通系统;
其次选择“CPU卡软加密系统方案”,选用标准设备即可实现。
在以上两种方案中,除了系统的密钥管理体系、读卡设备以外,在使用上和标准的一卡通系统没有区别。
2、PSAM 卡简介
PSAM 卡,终端安全控制模块,符合《中国金融集成电路(IC卡)PSAM卡规范》,包括普通 PSAM 卡和高速 PSAM 卡。
PSAM 具有以下主要特征:
1)支持一卡多应用,各应用之间相互独立(多应用、防火墙功能);
2)支持多种文件类型,包括二进制文件、定长记录文件、变长记录文件、循环文件、钱包文件;
3)支持多种安全访问方式和权限(认证功能和口令保护);
4)支持中国人民银行认可的 Single DES、Triple DES 算法,以完成终端与卡片之间的合法性认证等功能。
5)支持多级密钥分散机制,产生《中国金融集成电路(IC)卡规范》中定义的 MAC1 和校验 MAC2;
6)支持多级密钥分散机制,用分散后的密钥作为临时密钥对数据进行加密、解密、MAC 等运算,以完成终端与卡片之间的合法性认证等功能;
7)支持多种通讯协议:接触界面支持 T=0 (字符传送)和 T=1 (块传送)通讯协议;
8)接触界面符合PPS协议,支持多种速率选择;
3、示例
3.1、PBOC 标准 CPU 卡充值流程
3.2、PBOC 标准 CPU 卡消费流程
