CPU卡定义

CPU卡芯片一般是指内含微处理器的芯片，其功能相当于微型计算机。人们经常使用的集成电路上卡(IC卡)上的金属片就是CPU卡芯片。CPU卡可应用于金融、保险、交警、政府行业等领域，具有用户空间大、读取速度快、支持一卡通多用等特点，并已通过中国人民银行和商务保密委认证。CPU卡从外观上与普通IC卡、射频卡并无区别，但性能上却有了很大的提高，安全性与普通IC卡相比，提高了很多，通常CPU卡包含随机数生成器、硬件DES、3DES加密算法等，配合CPU芯片上的操作系统(OS)，也称为COS，它可以达到金融级别的安全。

CPU卡简介

CPU卡：又称智能卡，在卡内的集成电路中装有微处理器CPU、存储单元(包括随机存取存储器RAM、程序存储器ROM (FLASH)、用户数据存储器EEPROM)和芯片操作系统COS。安装COS的CPU卡相当于一台微型计算机，不仅具有数据存储功能，还具有命令处理和数据安全保护功能。由于没有掌握关键的生产技术，我国设计的原始CPU卡芯片一直是国外生产的。目前自主设计制造的CPU卡容量为128K。CPU卡可应用于金融、保险、交警、政府行业等领域，具有用户空间大、读取速度快、支持一卡通多用等特点，并已通过中国人民银行和商务保密委认证。

1. 逻辑加密卡又称存储卡。卡中的集成电路具有加密逻辑和EEPROM(电可擦可编程只读存储器)。2、CPU卡又称智能卡，卡中的集成电路包括中央处理器(CPU)、EEPROM、随机存取存储器(ROM)，并固化在片上操作系统(COS)中的只读存储器(ROM)中，在某些卡中，芯片还集成了密码协处理器，以提高安全性和速度，使其技术指标远高于逻辑密码卡。3.由于其微处理功能，CPU卡在交易速度和数据干扰方面都远远高于逻辑加密卡，并允许多卡同时操作，具有冲突预防机制。4. 两者在技术上的最大区别在于，CPU卡是带有微处理芯片的IC卡，可以执行加密操作等操作。存储容量大，适用于不同的系统。逻辑加密卡是一种单存储卡，主要特点是内部是只读存储器，但是存储容量比CPU卡小，使得它在使用方面不能扩展。

1、逻辑加密卡，防止卡中的信息改写存储IC卡的功能，当加密卡的操作必须首先检查卡的密码，只有检查正确，卡发出一连串的正确响应信号，正确的操作卡，但是因为只有一个认证，和其他任何安全保护措施，很容易导致密码泄露的一代假卡，而且它的安全性能很低。

2、由于微处理器和IC卡操作系统(COS)在CPU卡内，当CPU卡操作时，加解密算法(算法和密码都不易破解)，用户和IC卡系统需要进行多次互密码认证(且速度非常快)，提高了系统的安全性能，对防止假卡的产生有很好的效果。综上所述，对于逻辑加密卡和CPU卡来说，CPU卡不仅具有逻辑加密卡的所有功能，而且具有高安全性、灵活性以及支持和应用逻辑加密卡所不具备的良好性能，也是未来IC卡发展的趋势和方向。

众所周知，密钥管理系统(KMS)是集成电路项目安全的核心。如何管理密钥安全贯穿于IC卡应用的整个生命周期。1. 非接触式逻辑加密卡的安全认证依赖于每个扇区KEYA和KEYB的独立验证。通过扇区控制字可以使用KEYA和KEYB的不同安全组合，实现对扇区数据读写的安全控制。非接触式逻辑加密卡的个性化也比较简单，主要包括各扇区的数据和KEYA、KEYB的更新。在此期间，包括KEYA和KEYB在内的所有敏感数据都以明文形式直接更新。由于KEYA和KEYB的验证机制，只能解决卡到终端的认证，而不能解决终端到卡的认证，也就是我们俗称的“假卡”风险。接触逻辑加密卡，即密钥是预先设定的真数，无论用什么方法计算密钥，最后都必须与原来写入的数字一致，才能对受保护的数据进行读写操作。因此，无论是一卡一密系统还是统一密码系统，破解后都可以实现非接触式逻辑加密卡的解密。很多人认为只要采用一卡一密实时在线系统或非接触式逻辑加密卡的ID号就可以避免密钥解密。实际上，非接触式逻辑加密卡的解密意味着可以复制M1卡。使用在线系统可以避免非法充值，但不能保证非法消费，即复制一张ID号相同的M1卡。它们可以被非法消费。今天的技术可以完全复制使用fpga。基于这个原理，M1的门禁卡也是不安全的。目前，国内80%的门禁产品都是使用原IC卡或ID卡的ID号来做门禁卡，没有进行加密认证或开发专用密钥，其安全风险远比Mifare卡破解危险，非法破解者只需要使用专业的技术手段就可以完成破解过程。目前大多数门禁产品不具备安全性的原因之一是，早期的门禁产品设计理论是从国外引进的，国内厂家大多长期沿用国外的做法，采用ID和IC卡的只读特性进行身份识别，很少重视卡与机之间的加密认证，缺乏密钥系统的设计；并且ID卡是易于复制的载体，导致所有的门禁都很容易被破解和复制，几乎是瞬间的；这是我们国内安全市场最大的灾难。

2. 非接触式CPU卡与非接触式逻辑加密卡相比，智能卡具有独立的CPU处理器和芯片操作系统，因此可以更灵活地支持各种不同的应用需求，设计更安全的交易流程。但同时，与非接触式逻辑加密卡系统相比，非接触式CPU卡系统更为复杂，需要进行更多的系统改造，如密钥管理、交易流程、PSAM卡和卡片个性化等。密钥通常分为充值密钥(ISAM卡)、贬值密钥(PSAM卡)、外部认证密钥(SAM卡)和通用密钥(ASAM卡)。非接触式CPU卡智能卡可以通过内部和外部认证机制，如建设部定义的电子钱包交易流程，可靠性高，满足不同业务流程的安全性和密钥管理要求。对于电子钱包来说，可使用循环钥匙进行存储，可使用消费钥匙进行消费，可使用TAC钥匙进行清算，可使用卡应用维护钥匙进行数据更新，可在卡个性化过程中使用卡传输钥匙、卡万能钥匙和应用万能钥匙，真正做到一键一用。

读写设备上安装的CPU卡加密算法、随机数生成器和密钥认证卡(SAM卡)相互发送随机数，实现以下功能：1)通过终端设备上的SAM卡对卡进行认证。2)实现终端设备上CPU卡与SAM卡之间的相互认证，实现对卡终端的认证。3) CPU卡通过ISAM卡充值，实现值的安全存储。5)终端设备与CPU卡之间传输的数据是加密的。6)数据传输验证的计算可以通过CPU卡发送给SAM卡的MAC1、SAM卡发送给CPU的MAC2和CPU卡返回的TAC来实现。MAC1、MAC2和TAC都是同一个CPU卡，在每个传输过程中都是不同的，所以不可能使用空中接收的方法来破解CPU卡的密钥。