一级a性色生活片久久毛片_国产一级a毛一级a看免费视频_特级丰满少妇一级AAAA爱毛片_国产精品高潮呻吟久久av无码午夜鲁丝片_国产suv精品一区二区6_少妇一级婬片免费放真人一级毛片_久久久久国产一区二区三区_寡妇高潮一级毛片91免费看`日韩一区二区

歡迎您訪問鄭州興邦電子股份有限公司官方網(wǎng)站!
阿里巴巴誠信通企業(yè)
全國咨詢熱線:40000-63966
興邦電子,中國水控機第一品牌

聯(lián)系興邦電子

全國咨詢熱線:40000-63966

售后:0371-55132951/55132952

工廠:河南省 鄭州市 高新區(qū)蓮花街電子電器產(chǎn)業(yè)園

如何成功實施非接觸CPU卡項目

文章出處:http://www.hungpor.com 作者:中國一卡通網(wǎng) 收編   人氣: 發(fā)表時間:2011年09月27日

[文章內(nèi)容簡介]:隨著非接觸IC卡技術(shù)在國內(nèi)的逐步推廣,非接觸應(yīng)用以其快捷方便的操作方式,日益深入人心,并逐漸成為公共交通、城市通卡建設(shè)的首選技術(shù)。隨著非接觸邏輯加密卡不斷應(yīng)用的過程,非接觸邏輯加密卡技術(shù)的不足之處也日益暴露,難以滿足更高的安全性和更復(fù)雜的多應(yīng)用的需求。因此,非接觸CPU卡技術(shù)正成為一種技術(shù)上更新?lián)Q代的選擇。

    引言 

    隨著非接觸IC卡技術(shù)在國內(nèi)的逐步推廣,非接觸應(yīng)用以其快捷方便的操作方式,日益深入人心,并逐漸成為公共交通、城市通卡建設(shè)的首選技術(shù)。 

    早期投入應(yīng)用的非接觸IC卡技術(shù)多為邏輯加密卡,比如最為著名的Philips公司(現(xiàn)NXP)的Mifare 1卡片。非接觸邏輯加密卡技術(shù)以其低廉的成本,簡明的交易流程,較簡單的系統(tǒng)架構(gòu),迅速得到了用戶的青睞,并得到了快速的應(yīng)用和發(fā)展。據(jù)不完全統(tǒng)計,截至去年年底,國內(nèi)各領(lǐng)域非接觸邏輯加密卡的發(fā)卡量已經(jīng)達(dá)到數(shù)億張。

    隨著非接觸邏輯加密卡不斷應(yīng)用的過程,非接觸邏輯加密卡技術(shù)的不足之處也日益暴露,難以滿足更高的安全性和更復(fù)雜的多應(yīng)用的需求。因此,非接觸CPU卡技術(shù)正成為一種技術(shù)上更新?lián)Q代的選擇。 

    一、 系統(tǒng)架構(gòu)的變化改造

    非接觸CPU卡與非接觸邏輯加密卡相比,擁有獨立的CPU處理器和芯片操作系統(tǒng),所以可以更靈活的支持各種不同的應(yīng)用需求,更安全的設(shè)計交易流程。但同時,與非接觸邏輯加密卡系統(tǒng)相比,非接觸CPU卡的系統(tǒng)顯得更為復(fù)雜,需要進(jìn)行更多的系統(tǒng)改造,比如密鑰管理、交易流程、PSAM卡以及卡片個人化等。

    1.1 密鑰管理和認(rèn)證機制

    眾所周知,密鑰管理系統(tǒng)(Key Management System),也簡稱KMS,是IC項目安全的核心。如何進(jìn)行密鑰的安全管理,貫穿著IC卡應(yīng)用的整個生命周期。非接觸邏輯加密卡的安全認(rèn)證依賴于每個扇區(qū)獨立的KEYA和KEYB的校驗,可以通過扇區(qū)控制字對KEYA和KEYB的不同安全組合,實現(xiàn)扇區(qū)數(shù)據(jù)的讀寫安全控制。 



圖1-1 MIFARE I卡片扇區(qū)訪問控制

    由于KEYA和KEYB的校驗機制,只能解決卡片對終端的認(rèn)證,而無法解決終端對卡片的認(rèn)證,即我們俗稱的“偽卡”的風(fēng)險,所以通常在采用非接觸邏輯加密卡的時候,還會使用卡片認(rèn)證碼的機制。

    而非接觸CPU卡可以通過內(nèi)外部認(rèn)證的機制,以及像建設(shè)部定義的電子錢包的交易流程,高可靠的滿足不同的業(yè)務(wù)流程對安全和密鑰管理的需求。對電子錢包圈存可以使用圈存密鑰,消費可以使用消費密鑰,清算可以使用TAC密鑰,更新數(shù)據(jù)可以使用卡片應(yīng)用維護密鑰,卡片個人化過程中可以使用卡片傳輸密鑰、卡片主控密鑰、應(yīng)用主控密鑰等,真正做到一鑰一用。

    實施非接觸CPU卡項目,可以使用密鑰版本的機制,即對于不同批次的用戶卡,使用不同版本的密鑰在系統(tǒng)中并存使用,達(dá)到密鑰到期自然淘汰過渡的目的,逐步更替系統(tǒng)中所使用的密鑰,防止系統(tǒng)長期使用帶來的安全風(fēng)險。

    實施非接觸CPU卡項目,還可以使用密鑰索引的機制,即對于發(fā)行的用戶卡,同時支持多組索引的密鑰,假如當(dāng)前使用的密鑰被泄漏或存在安全隱患的時候,系統(tǒng)可以緊急激活另一組索引的密鑰,而不用回收和更換用戶手上的卡片。

    因此,要成功實施非接觸CPU卡項目,需要一個完善的密鑰管理系統(tǒng),能支持多種不同用途的密鑰,并支持密鑰版本和密鑰索引的機制。

    1.2 交易流程

    非接觸邏輯加密卡的交易流程比較簡單,通過認(rèn)證KEYA或者KEYB,達(dá)到操作的安全權(quán)限,然后就直接進(jìn)行交易操作,增加或者減少錢包金額。
    非接觸CPU卡的交易分為圈存交易和消費交易等,不同的交易類型,擁有不同的交易流程和安全機制。在非接觸CPU卡的交易中,交易數(shù)據(jù)與交易過程中的相互認(rèn)證緊緊結(jié)合在了一起,使得交易更加安全和嚴(yán)謹(jǐn)。同時,非接觸CPU卡也通過卡內(nèi)自增的交易流水號以及卡片計算的交易TAC碼保證了交易的唯一性和可追蹤性。 

非接觸CPU卡消費交易流程示例

圖1-2 非接觸CPU卡消費交易流程示例

    1.3 PSAM卡

    在非接觸邏輯加密卡的系統(tǒng)中,PSAM卡主要使用卡片認(rèn)證密鑰和各扇區(qū)的KEYA、KEYB密鑰來產(chǎn)生非接觸邏輯加密卡操作所需要的各扇區(qū)的KEYA和KEYB認(rèn)證碼,交易信息不直接參與運算。

    而在非接觸CPU卡系統(tǒng)中,PSAM卡通常用來計算和校驗消費交易過程中出現(xiàn)的MAC碼,同時在計算的過程中,交易時間、交易金額、交易類型等交易信息也都參與運算,使得交易更安全更可靠。某些情況下,非接觸CPU卡系統(tǒng)中的PSAM卡還可以用來支持安全報文更新數(shù)據(jù)時MAC的計算,以及交易TAC的驗證。因此,與非接觸邏輯加密卡系統(tǒng)相比,非接觸CPU卡系統(tǒng)中的PSAM卡支持更廣泛的功能,也更為靈活、安全和復(fù)雜。通常非接觸CPU卡系統(tǒng)的PSAM卡還支持不同的密鑰版本。 

建設(shè)部PSAM卡MAC1計算初始化指令

圖1-3 建設(shè)部PSAM卡MAC1計算初始化指令

    1.4 卡片個人化 

    非接觸邏輯加密卡的個人化比較簡單,主要包括數(shù)據(jù)和各扇區(qū)KEYA、KEYB的更新,在期間所有敏感數(shù)據(jù)包括KEYA和KEYB都是直接以明文的形式更新。

    而非接觸CPU卡的個人化通??梢苑譃榭ㄆ纯ê涂ㄆ瑐€人化兩個獨立的流程,前者創(chuàng)建卡片文件結(jié)構(gòu),后者更新個人化數(shù)據(jù),并注入相應(yīng)的密鑰。在信息更新和密鑰注入的過程中,通常都采用安全報文的方式,保證數(shù)據(jù)和密鑰更新的正確性和安全性。而且密鑰注入的次序和相互保護的依存關(guān)系,也充分體現(xiàn)了密鑰的安全設(shè)計,比如卡片主控密鑰通常被用來保護導(dǎo)入應(yīng)用主控密鑰,應(yīng)用主控密鑰通常被用來保護導(dǎo)入其他應(yīng)用密鑰,比如消費密鑰等。

    因此,要成功實施非接觸CPU卡項目,必須和密鑰管理系統(tǒng)配合,建立一套安全和完善的卡片個人化系統(tǒng),并配備相應(yīng)的HSM硬件加密機或者密鑰母卡,來實現(xiàn)個人化流程中密鑰的安全存儲和運算。

    二、 項目實施中注意事項

    在非接觸CPU卡的推廣過程中,也發(fā)現(xiàn)了一些需要特別注意和著重解決的問題。

    2.1 卡片與機具的兼容性測試

    首當(dāng)其沖的是卡片與機具的兼容性問題。雖然ISO和眾多規(guī)范已經(jīng)定義了非接觸CPU卡和機具終端之間的電氣特性和數(shù)據(jù)協(xié)議,但是到目前為止國內(nèi)眾多的非接觸CPU卡項目的實施經(jīng)驗,無不顯示出卡片與機具的兼容性是一個不容忽視的問題。同一種機具,可能會無法支持不同的卡商的卡片;同一個卡商的卡片,可能在這個機具上能正常交易,在另一個機具上就無法使用。甚至,同一張卡片,和同一個機具,做某一種交易能成功,做另一種交易就失敗。究其原因,這里面有不同的卡片和機具提供商對規(guī)范的不同理解,也有一些是屬于項目實施過程中的歷史技術(shù)原因。

    因此,要成功實施非接觸CPU卡項目,大量的深入的全面的現(xiàn)場測試,是克服卡片和機具兼容性問題的不二法門。

    2.2 多應(yīng)用擴展和開放平臺

    采用非接觸CPU卡的一個很重要的原因就是非接觸CPU卡可以很好的支持多應(yīng)用擴展,自定義不同的應(yīng)用交易流程。在多應(yīng)用擴展的設(shè)計階段,如何盡量符合已有的規(guī)范,更開放的適應(yīng)不同供應(yīng)商,是非接觸CPU卡項目能否長期順利的推廣的重要保障。封閉式的系統(tǒng),歷史已經(jīng)證明,都往往是短命的,不成功的,無法大范圍推廣的失敗者,這里面即涉及未來供應(yīng)商的非充分競爭,也影響了供應(yīng)商對相應(yīng)產(chǎn)品開發(fā)和投入的長期信心。

    2.3 安全性與交易速度的權(quán)衡

    安全性和交易速度,是非接觸CPU卡項目中老生常談的兩個問題,也幾乎是每個非接觸CPU卡項目不得不面對的問題??旖莸慕灰姿俣龋遣捎梅墙佑|IC卡技術(shù)的一個重要原因。但是,片面追求交易速度,甚至以犧牲安全性為代價,又是一個得不償失的做法。因為,沒有可靠的安全性,也就失去了采用IC卡技術(shù)尤其是非接觸CPU卡技術(shù)的意義。而同時,安全性往往又必然要消耗一定的交易時間,降低了交易的速度。因此,對于安全性和交易速度這一對矛盾體,需要系統(tǒng)的設(shè)計者,根據(jù)實際的業(yè)務(wù)需要,好好的權(quán)衡和把握,找到兩者的平衡點。

    在考慮安全性和交易速度的同時,尤其在進(jìn)行交易速度優(yōu)化之后,特別需要進(jìn)行全面的流程測試和異常交易測試,確保交易速度優(yōu)化不會造成不同交易各個階段的影響,甚至產(chǎn)生安全漏洞。這方面的教訓(xùn),是有很多的。

    結(jié)論

    因此,要實施非接觸CPU卡項目,多方面的考慮系統(tǒng)的實際需求和各種因素,充分做好系統(tǒng)改造的技術(shù)認(rèn)證和規(guī)劃設(shè)計,切實研究實施過程中的諸多技術(shù)問題,是項目成功的重要前提和保障。

本文關(guān)鍵詞:非接觸cpu卡,cpu卡,psam卡,密,接觸cpu卡,cpu卡,psam卡,密鑰,觸cpu卡,cpu卡,psam卡,密鑰管,cpu卡,cpu卡,psam卡,密鑰管理,pu卡,cpu卡,psam卡,密鑰管理,,u卡,cpu卡,psam卡,密鑰管理,p,卡,cpu卡,psam卡,密鑰管理,ps,,cpu卡,psam卡,密鑰管理,psa,cpu卡,psam卡,密鑰管理,psam,pu卡,psam卡,密鑰管理,psam卡
回到頂部
犍为县| 温州市| 天镇县| 望奎县| 关岭| 瑞安市| 汪清县| 桑植县| 历史| 嫩江县| 无极县| 香港| 龙山县| 前郭尔| 稷山县| 静安区| 阿城市| 津市市| 双城市| 两当县| 遂溪县| 贵港市| 瑞金市| 灵武市| 迁西县| 灵宝市| 大名县| 乌鲁木齐县| 海晏县| 桓台县| 湟中县| 枝江市| 祁阳县| 塔城市| 高雄县| 宽甸| 临泽县| 阿拉善左旗| 富平县| 清徐县| 浮山县|