数字逻辑SAM工具应用程序是一个全面的SAM开发工具,具有用户友好的图形界面,适合终端用户和系统集成商。
安全接入模块(Secure Access Module)是一种基于智能卡集成电路的安全接入模块(Secure Application Module),用于提高设备的安全性和加密性能。它的用途在于安全交易的解决方案,如ATM、POS终端和其他支付系统。SAM模块经常出现在票务设备(个性化、销售、验证、控制等)和其他建议使用密匙作为安全措施的系统中。
SAM卡是一种防篡改卡,物理上类似于SIM卡。因此,它可以插入到阅读器SAM插槽中,或插入到硬件外壳内的SAM插槽中。
用于SAM(安全访问模块)联系卡初始化和个性化的可执行软件工具。
SAM工具软件是一个可执行的Windows应用程序。
它用于AV1模式下的SAM(安全应用程序模块)个性化和AV2模式下的密钥管理。
软件根文件夹包含一个执行sam_tools.gui.exe文件和一个相关库(ibwinpthread-1.dll)。如果FR系列驱动程序已经安装在您的机器上,您可以运行SAM工具软件,无需额外的设置。
对于应用程序的完整功能,您需要连接FR系列设备与SAM卡支持的PC首先。SAM卡支持由产品µFR系列固件5.100.xxx.请检查您的设备固件版本,并在必要时进行更新。
注意:固件版本为5.0。这些设备的xxx不支持SAM,而是依靠在设备MCU内部存储安全密钥。
启动应用程序将打开具有可用函数的用户界面。
SAM卡作为一套与我们的阅读器预设为AV2模式。
它们的主键结构是:
Key Ver CEK = Ver A = 0
如果您使用的是AV1模式的SAM卡,您可以使用SAM工具功能切换到AV2模式。
这个函数显示SAM类型(版本)及其7字节UID(唯一标识符)。
SAM工具支持:
SAM卡默认模式为AV1。它的默认主键值是DES 00 00 00 00 00 00 00 00 00 00 00 00(8个零)。
要使用SAM卡在AV1模式下的SAMTool应用程序,与默认的主密钥不同,您需要重置卡的主密钥。
对于将SAM卡个性化到AV1模式,第一步是定义主密钥KST(密钥存储表)。
在这个面板上,定义3个AES128 key(16字节长),以及key版本(0 - 255)。Key版本是存储Key的索引号。最后,单击STORE MASTER KEY按钮保存设置。
状态栏显示当前操作状态。
注意:一旦定义了主键版本A(索引号0),就不应该被修改。否则,它的修改可能会损坏SAM卡。因此,软件禁止主Key版本的后续更改。此警告只适用于密钥版本,AES密钥可以修改。
注意:切换模式进程是不可逆的!一旦你将SAM卡模式从AV1切换到AV2模式,反向过程是不可能的。
开关模式功能需要AES Master Key认证。通过将SAM卡模式切换到AV2,您将重置其所有的KST密钥,除了主密钥(密钥版本在1 - 127的范围内)。要更改KST密钥,您必须通过提供主密钥A和主密钥A版本来验证此操作。
现在检查SAM卡当前模式:
本节介绍在AV2模式下使用SAM卡密钥的操作。
主机密钥是AES密钥。它用于认证主机和/或认证SAM卡锁定/解锁功能。
修改SAM卡密钥需要主机身份验证。
一旦密钥模式设置为AV2模式,主机使用主密钥A进行身份验证(密钥no = 0,密钥版本=主密钥A版本)。
主机密钥是AES密钥。它在主机身份验证过程和/或SAM卡锁定/解锁功能中找到自己的位置。
修改SAM卡密钥需要主机身份验证。
一旦密钥模式设置为AV2模式,主机使用主密钥A进行身份验证(密钥编号= 0,密钥版本=主密钥A版本)。
修改KST需要进行身份验证。要做到这一点,进入AES密钥面板并输入与当前密钥编号CEK(更改输入密钥的密钥参考编号)(0 - 127)相等的密钥编号。
在主密钥的情况下,密钥编号为0。密钥版本必须等于当前的密钥版本CEK(变更输入密钥的密钥版本)。
在面板Key number和选项上,输入要修改的KST Key number (Key Reference number)、Key No CEK和Key version CEK新值、主机身份验证能力选项和SAM锁定/解锁能力选项。
如果启用了主密钥主机认证(密钥索引号= 0),则每次复位或上电后都需要解锁SAM卡。要验证解锁操作,请提供相关的主机密钥或主密钥。
如果启用了主密钥SAM锁定/解锁选项,SAM将在上电或重置后被锁定,只有最小的命令集将被激活。
SAM解锁需要通过提供SAM锁定/解锁能力密钥或主机身份验证密钥进行身份验证。更多关于SAM卡的详细信息,请参见NXP的文档。
在SAM卡激活后,µFR阅读器检查主钥匙SAM锁/解锁选项状态。如果启用此状态,则读取器尝试使用存储在读取器中的AES密钥解锁SAM卡。这个功能可以防止SAM卡被误用,并确保它的功能只包含正确的解锁钥匙的读卡器。
对于其他主机密钥(密钥索引号1 - 127),主机身份验证选项可用于分配所选主机密钥的主机身份验证能力,而锁定/解锁选项可用于分配所选主机密钥的锁定/解锁能力。
SAM工具软件不支持参考编号KUC(参考编号的密钥使用计数器)选项。验证尝试的次数没有限制(Ref no KUC = 255)。
在“主机密钥KST”面板中,输入所有的AES密钥(HEX 16字节密钥)和密钥版本(取值范围为0 - 255),并单击“存储主机密钥”按钮,将此密钥存储到SAM卡中。
这个Host Key参数是:
KST值为:
例如,将主机密钥105修改为只有锁定/解锁能力的密钥。保持其他参数和值不变。
为主机认证分配主机密钥106。
PICC (Card) Key是在PICC上进行身份验证的密钥。
这个键可以是:
与前面解释的主机密钥身份验证一样,填写“AES密钥”面板的“主机身份验证密钥”参数和值字段。
在“Key Number And Option”面板下,填写“Key Number”、“Key No CEK”和“Key Ver CEK”值。忽略所有其他参数字段。
在Card Key面板下,选择Key类型,并输入Key值。对于Crypto1 Key type,在一行中输入两个Key (KeyA和KeyB)(6字节Key a和6字节Key b6,共12字节)。
单击STORE CARD KEY按钮将密钥存储到SAM卡中。
一个KST只能容纳一个卡钥匙。这个限制确保了具有Reader内部密钥身份验证的系统上的Card功能。
对于Crypto1密钥,Reader内部密钥索引的取值范围为0 ~ 31,而AES、DES、2K3DES和3K3DES密钥索引的取值范围为0 ~ 15。
SAM卡键索引允许1-127范围内的任何值,主机键索引除外。
Card关键参数及值:
此操作将密钥No 107的值更改为01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24。
其他参数保持不变。
介绍SAM解锁密钥的功能。
如果启用了主密钥锁定/解锁参数,要解锁SAM卡,您需要一个具有锁定/解锁功能的密钥。
µFR读取器试图通过存储在读取器中的密钥解锁SAM卡。
在SAM解锁密钥面板上,填写参数和存储在SAM卡中的具有锁定/解锁能力的密钥的值,单击STORE Unlock Key按钮确认条目并将密钥存储到阅读器中。
如果读取器内部密钥被锁定,则此操作将被拒绝。在这种情况下,需要内部密钥解锁。
例子:
将编号为105的密钥A存储到阅读器中。105密钥具有锁定/解锁功能,没有主机身份验证功能。
锁定/解锁读取器密钥是一种安全选项,提供保护,防止未经授权更改存储在读取器中的密钥。要解锁Reader Keys,您需要提供一个有效的8字节密码,并按下锁定或解锁Reader Keys面板的按钮unlock Reader Keys。
要锁定Reader key,您需要输入任意8字节的密码。Reader Keys的出厂默认状态为解锁。
要创建密码,可以在ASCII和十六进制数字系统之间进行选择(如下面的截图所示)。
