[发明专利]智能IC卡及嵌入式SAM安全模块接口功能的改进结构

说明书

本发明涉及一种IC卡接口功能改进的结构，尤其是一种智能IC卡及嵌入式SAM安全模块接口功能的改进结构。

所谓IC卡，即将集成电路(IC)芯片嵌装在符合ISO标准尺寸的塑料基片表面而成的卡片。智能IC卡是指IC芯片具有CPU微处理器功能的IC，也称智能卡或CPU卡。IC卡应用产品，不管是通用读写设备，例如IC卡读写器，还是IC卡专用设备，例如各种IC卡收费终端、预付费IC卡水、电、气表等应用产品，从产品和应用安全的角度来讲，需要在设备中嵌入SAM(Secure Access Module)安全模块，实现数据的加、解密以及与用户IC卡之间的双向安全认证等功能。SAM安全模块可以是ISO7816标准的IC卡封装形式，也可以是嵌入式的小卡的形式(例如在GSM移动电话中常见的SIM卡)或塑封集成电路芯片的形式。根据封装形式和具体功能的不同有时也称之为SAM卡，PSAM卡等。为方便起见，这里统称为SAM安全模块。一般来说，SAM安全模块的硬件和带微处理器的CPU卡一样，其中的软件操作系统可能相同，也可能不同。例如针对CPU卡在银行中的应用，中国人民银行制订了中国金融IC卡规范，同时针对POS终端中嵌入的SAM安全模块，制订了相应的PSAM卡应用规范。目前，不论是用户CPU卡还是SAM安全模块，都采用符合ISO7816-3标准的半双工的T＝0(字符传输)或T＝1(块传输)的通讯协议。这种接口形式只需要一个双向I/O口及相应的时钟信号输入和复位控制信号输入(针对卡或SAM安全模块)。单从I/O口来看，在IC卡设备中，设备单片机(MCU)和IC卡及SAM安全模块的连接方式如图1所示。从图1中可以看出，MCU是用户IC卡和SAM安全模块之间的信息传输通道，MCU作为主机(地址定义为0)通过应用程序控制完成SAM安全模块(地址定义为1)和用户IC卡(地址定义为2)之间的加密或明文数据传输和安全认证。

下面举例说明SAM安全模块对用户IC的外部认证流程，该认证分三个步骤(六个过程)完成。其中数据传输方向用地址表示，20表示数据是由地址0发向地址2；02表示数据是由地址2发向地址0；其他类推。

步骤一、20 MCU向用户IC卡发送取随机数命令；

        02 用户卡响应MCU发出的命令，回送随机数RND；

步骤二、10 MCU向SAM安全模块发送内部认证命令(包含

        RND)；

        01 SAM安全模块响应MCU发出的命令，回送时RND

        的加密结果。

步骤三、20 MCU向用户IC卡发送外部认证命令包含对RND

        的加密结果；

        02 用户IC卡响应外部认证命令，回送认证通过或错

        误信息。

通过以上过程，可台看到在MCU参与全部认证过程的命令和响应数据的传输的情况下，由用户IC卡和SAM安全模块中相应的算法和密钥完成了对用户IC卡的外部认识过程。根据文件结构、密钥和访问权限的设计要求，通过了SAM安全模块用用户IC卡的外部认证，才有可能允许MCU完成对用户IC卡的特定的访问操作。