智能卡知识入门

智能卡基础知识入门什么是智能卡•将一个专用的集成电路镶嵌在塑料片基中，封装成卡片形式，称为IC卡(IntegratedCircuitCard)，即集成电路卡、智能卡触点的分配触点号分配触点号分配C1电源电压(VCC)C5地(GND)C2复位信号(RST)C6单线协议接口（SWP）C3时钟(CLK)C7数据输入/输出(I/O)C4保留（USBD+）C8保留（USBD-）智能卡分类接触型存储卡EEPROM逻辑加密卡加密逻辑和EEPROMCPU卡CPU、ROM、RAM、EEPROM及固化在ROM中的卡操作系统非接触型同上接触式CPU卡硬件结构•智能IC卡的硬件主要由微处理器（CPU）、程序存储器(ROM)、临时工作寄存器（RAM）、用户存储器（EEPROM）、输入输出接口、安全逻辑及加密解密运算协处理器等组成，智能IC卡的硬件就是一个小型的微处理器系统，只是在安全方面有更多的设计而已；而软件系统监控程序或操作系统则是智能IC卡实现其安全性的关键。I/OCPUCAUEEPROMROMRAMSL用户存储器程序存储器临时工作存储器微处理器输入输出接口加解密协处理器安全逻辑外部触点接触CPU卡内部构成接触式卡片接触式卡片VccIccTypeA5V±10%≤50mATypeB3V±10%≤50mATypeC1.8V±10%≤30mA非接触式CPU卡硬件结构•双界面CPU卡由一个芯片和天线构成，共用微处理器(CPU)控制接触与非接触系统、共用EEPROM存储器作为用户数据区。卡中不带电池，其接触卡部分由读写器提供电源。非接触卡需要由读写设备通过无线方式供电。卡内具有“防冲突”电路，自动解决多张卡片互相干扰问题。非接触式CPU卡硬件结构图微处理器CPURAMROMEEPROM安全逻辑射频接口串行接口AC1AC2I/O非接触式卡片非接触式卡片常用的名词和术语•COS（ChipOperatingSystem）：用户的应用程序与卡的交互界面•预个人化(PrePersonalization)：创建文件结构特点：–对卡片的操作一致，改变一致–时间比较长–除脚本外无需数据–无需打印（可能事先印刷好）常用的名词和术语•个人化(Personalization)：写入基本信息及密钥等个性化信息特点：–对每张卡片写入信息不同，因此除脚本外有数据信息–密钥可能来自控制卡，明文，或者来自加密机。–对卡片操作的流程是一致的，但是对卡片的改变结果每张都不一样–不能重复。–时间根据个人化内容不定，但是相对预个人化比较快。常用的名词和术语•初始化：出现在金融卡的生产过程，下载补丁，下载APPLET，替换卡片密钥•跑检：在发卡设备上执行，用于对生产之后的卡片进行检测，以验证卡片是否已经完成生产•ATR：复位信息，AnswerToReset卡片发出的一串字符通讯协议、速率•SIM-STK：SIMcardToolKit，一组开发增值业务的命令，一种小型编程语言，它允许基于智能卡的用户身份识别模块SIM运行自己的应用软件•UIM-UTK：UIMcardToolKit，是指支持UIMToolKit的UIM卡,它包含一组指令用于手机与UIM卡的交互，这样可以使UIM卡运行卡内的小应用程序，实现增值服务的目的。常用名词和术语•IMSI（InternationalMobileSubscriberIdentity）：GSM系统分配给移动用户（MS）的唯一的识别号，此码在所有位置，包括在漫游区都是有效的•ICCID（Integratecircuitcardidentity）：集成电路卡识别码，ICCID为IC卡的唯一识别号码，共有20位数字组成，由运营商提供•SMS：一种存储和转发服务，短消息并不是直接从发送人发送到接收人，而始终通过SMS中心进行转发。如果接收人处于未连接状态，则消息将在接收人再次连接时发送。•UID：所属CTA的芯片唯一码（8位）•UIMID：用于CDMA领域的移动通信设备识别码，为了使UIM卡真正做到可以不依赖于一部特定的手机，可随意插入任何手机上使用，给每个UIM卡定义了一个ID号，即UIMID。UIMID由UIM卡的制造商申请。常用名词和术语•SCP02：ISD的安全通道协议，InitialUpdateAPDU响应报文（如果ISD的安全通道协议配置为SCP02）密钥信息数据（10字节）-ISD中KEYDATA数据元的值密钥信息（2字节）-密钥版本号和安全通道协议ID（02）序列计数器（2字节）卡随机数（6字节）卡片密文（8字节）•SCP01：ISD的安全通道协议，InitialUpdateAPDU响应报文（如果ISD的安全通道协议配置为SCP01）密钥信息数据（10字节）-ISD中KEYDATA数据元的值密钥信息（2字节）-密钥版本号和安全通道协议ID（01）卡随机数（8字节）卡片密文（8字节）常用名词和术语•Keydata：密钥信息数据，InitialUpdateAPDU响应报文的前10个字节，命令APDU:8050密钥版本号0008终端随机数，密钥版本号缺省为00•GP：基于一个卡只有一个卡发行方的前提，为卡发行方提供了灵活的方法来管理卡上多变的应用。卡发行方拥有卡片管理的最高权限。其他商业伙伴被允许适当的管理他们自己的应用。•DES（DataEncryptionStandard）：数据加密算法入口参数有三个：Key、Data、ModeKey为8个字节，是DES算法的工作密钥；Data也为8个字节,是要被加密或被解密的数据；Mode为DES的工作方式：加密或解密•RSA：公钥加密算法智能卡生产流程掩膜（硬软方式）模块封装卡片初始化卡片个人化COS开发制卡智能卡生产工艺流程•芯片制造：半导体厂家在集成电路生产线上通过特定的制造工艺进行大批量生产。（半导体厂家完成）􀂄•掩膜：在芯片制造过程中将COS掩膜固化到芯片的ROM中，通常称硬掩膜。（半导体厂家完成）􀂄•模块封装：将芯片安装在有8个触点的智能卡专用载带上，制成模块。（模块封装厂完成）􀂄•制卡：按客户要求印制塑料基片，即卡基，将模块镶嵌到卡基上，制成智能卡。（卡厂完成）􀂄•卡片初始化：设置卡片的基本参数及安装卡片传输密钥。（卡厂完成）􀂄•卡片个人化：建立应用文件并写入持卡人基本资料。（发卡单位完成）􀂄•使用3/21/202121CustomerSpecsCardSpecsISOSpecsOrderPlanningCardDesignPre-pressSecurityPrinting证券印刷(防伪)CodePrinting条码印刷SheetCollation层对准？Lamination层压Materials(film/ink)PreparationScreenPrint丝网印刷TapeLaying覆膜MagneticStripe磁条OffsetPrinting胶印卡制造过程ISecurityBuildingSecurityAccessControlPersonnelRegulationsProductRequirementsQualityChecksInventoryControlCustomerRequirementsMasterCardRegulationsPrintingplatescontrol?Rawmaterialscontrol?Setupsheets?3/21/202122LaminationHolograms全息标Punching冲压Hot-stamping烫印SignaturePanels签名条QC/CardCountingPackagingShipping/NextProcessOthersMagneticStripe磁条卡制造过程IIDualcontrolcounts?Isthisenough?Whatismore?PhysicalRequirementsSection5.4.1CardBody卡基ChipReadyMilling铣槽ChipImplantation封芯ChipInitialization芯片初始化InkjetNumbering喷数字Counting/StickSecurity/SealsPackagingToVaultShipping/ToPersonalizationLaminationTapeApplication迭胶芯片卡生产过程3/21/202123Dualcontrolcounts?Isthisenough?Whatismore?Securitysealscontrol?PhysicalRequirementsSection5.4.13/21/202124MaterialPreparationRe-personalizePersonalizationPreparationPersonalizationQuantityCheckToVaultReplacementRejectFunctionCheckVisualCheckVisualCheckYesNoNoYesNoYes个人化过程Whattools?Datacontrol?Cardcontrol?EmployeesinvolvedinPIN?PhysicalRequirementsSection3.4.3.33/21/202125LetterShopPaperPreparationandSortingCard/CarrierMatchingandInsertingCarrierFoldingAssemblingofAdditionalPapersandBookletsEnvelopingStampingCountingDirectMailingPaperCarrierText/Logo-printAddressPrintingEnvelopePreparation邮封Itemsinside?SeparatefromPINroom?Employeesinvolvedinpersonalization?PhysicalRequirementsSection3.4.3.3卡片文件结构智能卡中的数据在用户存储器中以树型文件结构的形式组织存放。文件分成三种层次级别：一是主文件(MasterFile)，形成文件系统的根，类似于DOS中的根目录；二是专用文件(DedicatedFile)，在主文件下，类似于DOS中的目录；三是子专有文件(Child-DF)，在DF之下的专有文件，类似于DOS中的子目录。当然，DF之下还可以有DF，这主要依赖于用户存储器的大小。此外，还有元文件(ElementaryFile)，主要存储实际应用数据和相应的系统管理信息，元文件可以存在于任何一个文件层次上。智能卡树形文件结构MFDFEFEFDFEFEFCDFEFEF…命令应用数据单元的格式•命令应用数据单元（APDU）包含两部分：固定的4个字节命令头和长度可变的命令体，其内容如下图所示。•CLA字节指出命令的类型。•INS字节表示命令编码，P1和P2为具体命令参数。•LC字节表示数据的长度，只用一个字节表示，取值范围为1～110。如果LC为0，则表示没有数据域。•LE表示期望卡返回的数据长度，由单字节表示，取值范围为1～110。命令头命令体CLAINSP1P2LC数据域LE响应RPDU的格式•响应应用数据单元（RPDU）也包括两部分：可能存在的响应数据体(应答体)和两个状态字节(应答尾部)，如下图所示。应答体应答尾部响应数据体SW1SW2卡片安全机制•卡片文件安全及访问机制是通过认证实现的•卡片文件安全的安全认证设计，涉及三个方面的状态卡片当前的安全状态对文件操作必须满足的状态密钥状态智能卡应用领域社会保险通信系统信息安全-访问控制-电子识别休闲类-付费电视-娱乐银行业-电子钱包-信用卡-电子商务交通运输-买票-公路收费-加油T