PSAM卡與CPU(用戶卡)的操做過程

最近我一直在研究關於經過國密PSAM卡做爲安全模塊來讀寫cpu(用戶卡)的問題

 

其實，二者都是卡片，或者說都是從設備。它們之間是沒法相互訪問的。

實際上，PSAM 卡是做爲祕密密鑰的載體，專門執行加密和數字簽名等任務。

從應用的角度來看，終端設備好比說 ATM 機，咱們能夠把他看做包含 PSAM 才構成總體。而用戶卡，對 ATM 機來講，則是外部設備。

當須要對用戶卡片進行操做的時候，實際上終端設備是交替地訪問用戶卡和 PSAM，按協議流程來完成安全協議規定的操做。

好比說外部認證，是要讓卡片確認終端設備的合法性（實質上是檢驗它是否持有共享的密鑰）：
1 終端設備向用戶卡發送取隨機數命令，獲得一個卡片生成的隨機數。
2 終端設備向 PSAM 卡發送一個加密命令，使其對上述隨機數加密。
3 終端設備向用戶卡片發送帶有上述加密結果（密文）的外部認證命令。用戶卡片進行驗證後，肯定認證是否成功。若是成功，則能夠進行後續的安全操做。

固然，實際的過程還要複雜一些，由於要抗禦暴力攻擊每一次外部認證是要生成一個過程密鑰的。上述簡化過程是僅僅是爲了說明這種交替訪問的情景。

具體的應用規範，都具體規定了各類交易的具體實施步驟，以及卡片和 PSAM 所支持的命令（可能分佈在不一樣的文本中）。

轉自http://bbs.csdn.net/topics/390652402?page=1