初識CPU卡 SAM卡

ic卡按照介面方式可分為接觸式卡、非接觸式卡、復合卡；按器件技術可分為非加密儲存卡、加密儲存卡和cpu卡。

加密儲存卡是對持卡人的認證，只有輸入正確的密碼才能訪問或者修改卡中的資料，最典型的是手機sim卡的pin碼；當設定pin碼後，開機必須輸入pin碼，如果連續幾次輸入錯誤，就必須更高許可權的puk碼來修改pin碼，如果puk碼也連續輸錯，那就只有換卡了。

加密儲存卡保證了對持卡人的認證，但是，在保證系統安全性上還不夠。

1. 密碼輸入是採用透明傳輸，在偽造的atm機或者網路上，這個密碼很容易被擷取；

2. 邏輯加密卡無法認證應用是否合法；

3. 對於系統整合商來說，密碼和加密演算法是透明的；

由此，引入了cpu卡；

cpu卡在三個方面保證了安全：

1. 對人：持卡者合法性認證：持卡者需要輸入口令。

2. 對卡：卡的合法性認證；內部認證。

3. 對系統：系統的合法性認證；外部認證。

卡的合法性認證：

cpu卡傳送隨機數給卡（如地鐵卡），卡收到隨機數後用加密演算法加密，將加密後的值傳給cpu卡，cpu卡解密並與傳送的隨機數比較，如果相等，則認為卡合法。

系統的合法性認證（例如手持pos是否是合法的經過認證的廠商生產的）：

cpu卡傳送隨機數給pos自帶的卡或者模組，pos自帶的卡或者模組將隨機數加密後，傳回cpu卡，cpu卡解密並與傳送的隨機數比較，如果相等，則認為系統合法。這個過程在開機時做。

在加密和解密過程中，涉及到兩個因素，乙個是加解密演算法、乙個是金鑰。加解密演算法是公開的，在cpu卡中，有作業系統叫cos：chip os；由卡的生產商提供，並提供加解密演算法。卡的生產商必須經過專門的機構認證。金鑰則有發卡機構掌握，層層發卡，許可權不同。

sam卡：全稱是security access module；是一種特殊的cpu卡；儲存了金鑰和加解密演算法。

目前sam卡分了很多種：

psam卡：終端安全控制模組，一般用於小額支付扣款中；

esam：廠商（系統）的sam卡，用於裝置的認證；

isam：用於充值；

在具體的實現中，會比較多樣化。例如，有的裝置認證並不是用esam卡，而是採用專用的模組。這樣，就存在乙個問題，即金鑰用軟體實現，可能會存在金鑰洩露的問題；一種解決的方法是儲存多組金鑰，在隨機數中指定採用一組金鑰。

普通卡的發行一般採用金鑰對唯一的物理卡號加密的方式。