智能卡的系统考虑

　　1.安全性

　　许多应用采用DES作为加密算法。这样做有很多理由，但在大多数情况下的主要理由大概是DES是非常著名的，使得应用的开发者不必冒险进入一个未知领域。然而，除了DES之外，还有许多其他很好的数据加密和解密算法。DES非常著名的事实同时也意味着它是受到最多攻击的，有可能某时会攻击成功。因此，在大量的智能卡项目的情况下，有必要考虑使用某些别的加密算法来取代DES，这将减小系统在一次对DES的成功攻击时的后果。现代GSM加密算法提供了杰出的范例，它们是为此应用而特别开发的并完全独立于DES。

　　2.用户接口

　　对智能卡项目的成功而言，用户的接受是决定性的。虽然这主要关系到终端的人机接口，但是终端和卡之间的接口也有其影响。经验表明用户的接受程度，当传输占用时间超过Is时受到影响。如果发生了这种情况，用户经常想到的是出现了技术故障并试图从终端中取走卡，结果使会话受到不可控制的失败。为了避免这点，所有在终端和卡之间的处理应当优化得使它们占用短于Is的执行时间。

　　尤为重要的是，在这方面不应当忽视的事实是如果用户的可接受程度是不适当的，系统将要处理显然要高得多的由于不可预见的干涉而引起的技术问题（诸如过早地从终端中取走卡）。

　　3.设计

　　当用智能卡设计一个数据处理和管理系统时，应当应用Kerckhoff定律。该定律表明一个系统的安全性将惟一地依赖于它的秘密密钥。要测试一个把安全性构筑在数据的机密性之上的系统是非常困难的，因为这种测试只能由数量极其有限的人员来进行。由于这群人通常包括在系统的设计者之中，在这种基础上的测试很难奏效。另外的选择是使所有的内部数据对测试者都可使用，这样将存在着固有的缺陷，使潜在的攻击者可自由访问数据。在实践中通常采取折中，即系统的基本设计是开放的，但某些特殊事物则保持秘密。

　　如果完全和Kesckhoff定律相反，在一个智能卡项目中的某些信息必须保持秘密。这个信息对于剩下的一个人而言就合乎逻辑地没有秘密了。最好是把秘密知识分开给数个人，使他们之中的每个人都熟悉系统的一部分，然而没有一个人了解整个系统。

　　关于基于智能卡的系统设计，没计者应当始终在脑海中保持系统的全貌，而不是仅仅集中在卡和它紧邻的周围事物上。这是在智能卡项目的过程中经常可以看到的错误，因为智能卡是一个活跃的设备，设计者｀总是要面对一个分布系统，它的各个部件必须自主地行动而其间纯主－从关系并不占优势。在整个系统集成后，它的所有部件必须相互协调的工作，而不止是卡和终端之间。于是，必须从项目的一开始就要有总体观点。