M1卡与CPU卡系统区别(推广稿)

• PSAM具有以下主要特征： 支持一卡多应用，各应用 之间相互独立（多应用、防火墙功能） • 支持多级密钥分散机制，用分散后的密钥作为临时密钥 对数据进行加密、解密、MAC等运算，以完成终端与 卡片之间的合法性认证等功能。
CPU卡系统终端
系统类型
不同点
1、采用51单片机处理器 2、TCP/IP通讯是模拟485在用 3、脱机记录是1万条左右 4、设备和卡片之间为明文认证
PSAM卡密钥终端卡
卡片
CPU卡系统终端
CPU卡系统终端
PSAM介绍
• 终端安全控制模块，符合《中国金融集成电路（IC卡） PSAM卡规范》， 包括普通PSAM卡和高速PSAM卡。
• PSAM符合以下标准及规范： 识别卡，带触点的集成 电路卡标准 《ISO/IEC 7816-1/2/3/4》 《中国人民银 行PSAM卡规范》
5
CPU卡和M1卡数据存储格式对别
数据存储格式对比
0块数据 1 2 3 密码控制块 4 5 6 7 密码控制块
Mifare One卡 平面存储结构
CPU卡 文件存储结构
CPU卡基本介绍
CPU卡片上操作系统COS
• 正是由于CPU的存在，使得智能卡完全不同于存储卡和 逻辑加密卡（仅作为一种可移动的存储介质），卡中带 有的具备文件系统、通信、授权、加密及访问控制命令 的片内操作系统(COS)，使智能卡成为一个特别的计算 机系统。
钱包不可被非法访问；与PSAM之间严 口令保护钱包，不校验口令错误次数； 格双向认证流程；交易自动形成不可抵 口令更换是明文可被截获，卡片不能 赖的TAC码 验证设备合法性 采用动态密钥，密钥存储、交易验证与 采用固定密钥，不支持SAM卡双向认 加密计算都由PSAM卡独立完成，安全 证 有保障 支持多应用，应用之间独立；每个应用 简单支持多应用，应用数量与每个应 的COS、容量、功能可自行定义，可完 用容量有限 全不同，支持多种认证方式 4Kbytes～80Kbytes 8Kbytes
4
CPU卡与M1卡的区别
二、安全方面 1.逻辑加密卡具有防止对卡中信息随意改写功能的存储IC卡 ，当对加密卡进行操作时必须首先核对卡中密码，只有核对正 确，卡中送出一串正确的应答信号时，才能对卡进行正确的操 作，但由于只进行一次认证，且无其它的安全保护措施，容易 导致密码的泄露和伪卡的产生，其安全性能很低。 2.由于CPU卡中有微处理机和IC卡操作系统（COS），当 CPU卡进行操作时，可进行加密和解密算法（算法和密码都不 易破解），用户系统（密钥系统和硬件加密设备）和IC卡系统 之间需要进行多次的相互密码认证（且速度极快），提高了系 统的安全性能，对于防止伪卡的产生有很好的效果。 综上所述，对于逻辑加密卡和CPU卡来说，CPU卡不仅具有 逻辑加密卡的所有功能，更具有逻辑加密卡所不具备的高安全 性、灵活性以及支持与应用扩展等优良性能，也是今后IC卡发 展的主要趋势和方向。
11
系统业务——卡片结构
CPU卡应用基本结构
用户卡
命令
PSAM卡 响应
读写设备 控制软件
命令
响应
COS (卡操作系统)
卡 硬件
CPU卡 POS机
CPU卡
12
系统业务——卡片交易流程
系统业务——卡片规划
PBOC文件结构
系统业务——卡片规划
CPU密钥分类
卡片主控密钥 卡片维护密钥
应用主控密钥
应用维护密钥 应用主工作密钥 应用工作子密钥
CPU卡系统 对比M1卡系统优势
汇报人：新开普
目录
一、CPU卡和M1卡的区别
二、CPU卡系统业务 三、CPU卡系统终端机具
四、总结
IC卡分类
按所嵌的芯片类型的不同，IC卡可分为三类 ：
1、存储器卡
卡内的集成电路是可用电擦除的可编程只读存储器EEPROM，它仅具有数 据存储功能，没有数据处理能力。
文件方式，任意大小自由分配，并可灵 扇区方式，每区域64bytes，会造成空 活设置访问条件 间浪费 支持断电保护和防插拔处理，由COS保 不支持断电保护，需要人为备份和恢 证数据完整性 复机制 106Kbps 106Kbps，最高可达847Kbps
M1卡和CPU卡应用区别
CPU卡
M1 不支持卡锁死功能 有时候发生
• 片内操作系统(Chip-Operating-System)——智能卡 内嵌的操作系统，在智能卡自身上运行的软件，集中处 理特定卡的内容，为访问这些内容的应用提供计算性服 务，并保护这些内容，防止错误的访问。
CPU卡参数
• • • • • • • • • • • • • • • • • • 1. 符合《中国金融集成电路（IC）卡规范》、《中国金融集成电路（IC）卡 应用规范》。 2. 数据文件支持二进制文件、定长记录文件、变长记录文件、循环定长记 录文件。 3. 支持符合银行规范的电子钱包、电子存折功能。 4. 支持 DES、Triple DES 等加密算法，并支持用户特有的安全加密算法的 下载。 5. 支持线路加密、线路保密功能，防止通信数据被非法窃取或篡改。 6. 可用作安全保密模块，使用过程密钥实现加密、解密。 7. 支持符合 ISO-7816-3 标准的 T=0 通讯协议。 8. 卡片支持多种容量选择，可选择2K、4K、8K、16K、32K 和64K 字节 的EEPROM 空间。 9. 安全机制使用状态机，并支持PIN 检验、KEY 认证、数据加密、解密、 MAC 验证。 10. 满足个别需求，SMARTCOS 可根据特殊行业的特殊用户的需求定制。 11. 支持防插拔功能。 12. 支持命令下载及用户自定义算法的下载。 13. 卡片支持休眠模式，降低功耗。
应用 区别
多次输入密码，卡会被锁死 卡金额不会突变
读卡速率小于300ms（建设部 读卡速率小于100ms（建设部 交易规范） 交易规范） 以文件形式存储 以数据形式存储
汇报完毕，谢谢！
其他行业卡
校园卡
将eCard应用 接入
需要行业卡发卡方开放指定应用的 应用主控密钥
系统业务——卡片规划
其他行业接入CPU卡系统
校园卡
其他行业卡
并入系统应用卡
需要向行业卡发卡方开放指定应用 的应用主控密钥
CPU卡系统兼容性
COU卡系统支持M1和CPU卡两种卡，两种卡的密钥验证描述如下： 1、M1卡密钥验证 （1）密钥算法是由一卡通厂家开发； （2）种子密钥由一卡通厂家生成并通过UK存储，使用参数卡或采集程序下发系统 种子密钥； （3）卡片密钥在终端与卡片之间传递； 2、CPU卡密钥验证 （1）密钥算法采用的是公开算法； （2）种子密钥和子系统密钥由公司密钥系统生成、下发、维护和管理； （3）系统密钥非可视性存储，存放在加密机、加密卡、PSAM卡中； （4）在进行卡密钥验证时，密钥不在任何线路上直接传递，而是由交易数据、随机 数、密钥索引等关键值计算出的过程密钥值进行验证，过程密钥在卡断电以后自动消 亡，每次交易的过程密钥完全不同； （5）PSAM卡、用户卡二者通过二次验证，完成双向验证；
3
CPU卡与M1卡的区别
CPU卡与M1卡的区别
一、技术方面 1.逻辑加密卡（M1卡）又叫存储卡，卡内的集成电路具有加密逻 辑和EEPROM（电可擦除可编程只读存储器）。 2.CPU卡又叫智能卡，卡内的集成电路包括中央处理器（CPU） 、EEPROM、随机存储器(ROM)、以及固化在只读存储器（ROM ）中的片内操作系统(COS)，有的卡内芯片还集成了加密运算协处 理器以提高安全性和工作速度,使其技术指标远远高于逻辑加密卡。 3.两者在技术方面的最大区别在于：CPU卡是一种具有微处理芯 片的IC卡，可执行加密运算和其它操作，存储容量较大，能应用于 不同的系统；逻辑加密卡是一种单一的存储卡，主要特点是内部有 只读存储器，但存储容量较CPU卡小，使其在用途方面没有扩展性 。
• CPU卡可以实现真正意义上的“互联互通”和“一卡多 用”，每个应用相互独立并受控于各自密钥管理系统。 不同应用可以共享一个“钱包”，也可以分别拥有各自 的“钱包”。
目录
一、CPU卡和M1卡的区别
二、CPU卡系统业务 三、CPU卡系统终端机具
四、CPU总结
系统业务——CPU卡系统所需资质
CPU卡系统承建商需要有国家密码 管理局颁发的： ①商用密码产品生产定点单位证书 ②商用密码产品销售许可证 ③商用密码产品型号证书
二、CPU卡系统业务 三、CPU卡系统终端机具
四、总结
M1卡和CPU卡区别
CPU卡 带有COS系统 硬件DES运算模块 标准DES算法 M1 无COS系统 无实现算法的硬件加密模块 厂家专用不公开算法
操作系统 硬件加密模块 算法支持 交易安全性
终端安全性
多应用 容量 空间分配 数据完整性 通信速率
CPU卡优势
CPU卡优势
• CPU卡具有运算功能，决定了其在交易结束时产生个交 易验证码TAC，用来防止伪造交易，保障交易系统安全性 。 • CPU卡可以由内部COS来实现断电保护功能，可以将扣 款、交易信息、交易明细作为一个原子事件来操作，从 而保证交易的完整性。
• CPU卡中有微处理机和IC卡操作系统（COS），当CPU 卡进行操作时，可进行加密和解密算法（算法和密码都 不易破解），用户卡和系统之间需要进行多次的相互密 码认证（且速度极快），提高了系统的安全性能，对于 防止伪卡的产生有很好的效果。
目录
一、CPU卡和M1卡的区别
二、CPU卡系统业务 三、CPU卡系统终端机具
四、总结
CPU卡系统终端
产品名称 密钥认证管理平台
技术参数 数据加解密，交易数据入库认证
密钥服务器
金融数据加密机
存储一卡通系统整套密钥数据库
提供数据加/解密、数据完整性、数 字签名、访问控制等功能 安装在消费机上，存储系统交易密钥 算法，用户刷卡认证和交易时 CPU卡
• 消费子密钥 • 充值子密钥 • TAC子密钥 • PIN维护子密钥
系统业务——卡片规划
CPU卡系统的应用的模式
独占模式
与其他应用集成 模式
并入其他应用中
其他应用并入
扩展其他城市类应用所需“全国城市一 卡通系统集成企业互通互联资质证书”
系统业务——卡片规划
独占模式
Biblioteka Baidu校园卡
系统业务——卡片规划
接入其他行业卡
2、逻辑加密卡（M1卡）
卡内的集成电路包括加密逻辑电路和可编程只读存储器EEPROM，加密逻 辑电路在一定程度上保护着卡和卡中数据的安全。
3、CPU卡
卡内的集成电路包括中央处理器CPU、可编程只读存储器EEPROM、随机 存储器RAM以及固化在只读存储器ROM中的卡内操作系统COS(Chip Operating System)。 CPU卡相当于一台微型计算机，只是没有 显示器和键盘，因此CPU卡一般称为智能卡(Smart Card)。CPU卡中数据 可分为外部读取和内部处理 (不许外部读取) 部分，以确保卡中数据的安全 可靠。有的卡中还固化有 DES和 RSA等密码算法，甚至密码协处理器， 在卡中就可以对数据作加密/解密和数字签名/验证运算。
支持的卡类型
M1的S50、S70卡
Mifare 卡机具
CPU卡机具
1、采用32位ARM处理器，主板 有2个PSAM卡座 2、TCP/IP为真正的10M通讯 3、脱机记录可达5万条 4、设备和卡片之间为密文认证
CPU卡、金融IC卡、NFC手 机壳；M1的S50、S70卡
目录
一、CPU卡和M1卡的区别