PSAM卡与CPU(用户卡)的操做过程

最近我一直在研究关于经过国密PSAM卡做为安全模块来读写cpu(用户卡)的问题

 

其实，二者都是卡片，或者说都是从设备。它们之间是没法相互访问的。

实际上，PSAM 卡是做为秘密密钥的载体，专门执行加密和数字签名等任务。

从应用的角度来看，终端设备好比说 ATM 机，咱们能够把他看做包含 PSAM 才构成总体。而用户卡，对 ATM 机来讲，则是外部设备。

当须要对用户卡片进行操做的时候，实际上终端设备是交替地访问用户卡和 PSAM，按协议流程来完成安全协议规定的操做。

好比说外部认证，是要让卡片确认终端设备的合法性（实质上是检验它是否持有共享的密钥）：
1 终端设备向用户卡发送取随机数命令，获得一个卡片生成的随机数。
2 终端设备向 PSAM 卡发送一个加密命令，使其对上述随机数加密。
3 终端设备向用户卡片发送带有上述加密结果（密文）的外部认证命令。用户卡片进行验证后，肯定认证是否成功。若是成功，则能够进行后续的安全操做。

固然，实际的过程还要复杂一些，由于要抗御暴力攻击每一次外部认证是要生成一个过程密钥的。上述简化过程是仅仅是为了说明这种交替访问的情景。

具体的应用规范，都具体规定了各类交易的具体实施步骤，以及卡片和 PSAM 所支持的命令（可能分布在不一样的文本中）。

转自http://bbs.csdn.net/topics/390652402?page=1