可認證性是說，用戶接收的信息后，能夠確認信息來源。

不可否認性的意義在于，當發送者用某種密碼發送出一份信息后，就已經無法否認他曾經發出該信息。

密碼算法是多種多樣的，主要有兩大類密碼算法，一類是對稱密鑰密碼算法，如DES，IDEA，AES等，另一類是非對稱密碼算法，如RSA，DSA等。

智能卡的安全性，在于COS中對密碼算法的使用，比如持卡人在卡終端上使用卡片，為了保護業主和持卡人雙方的利益，應用系統中可設置雙向認證過程，終端方面要檢查卡片是否合法，卡片方面也要檢查終端是否合法，這種檢查過程叫做認證，在認證過程中就可以使用密碼算法。智能卡對終端的認證步驟可以是這樣的，智能卡把一組隨機數傳送給終端，同時保存這組隨機數，終端對隨機數進行加密，把密文傳送給智能卡，智能卡對密文進行解密，把得到的結果和保存的隨機數進行比較，若一致，就可認定終端是合法的，若不一致，就可認定終端是非法的。這里面的道理是，合法的終端是知道認證所用的密鑰的，這是應用系統約定好的，于是才可驗證一致，而非法的終端沒有得到授權，不知道認證密鑰，認證不會通過。

這里有一個原理，即密碼算法的單向性，已知算法、密鑰、明文，計算密文很容易。但是反過來計算就很難了，已知算法、明文、密文，是計算不出密鑰的。

智能卡的資源很有限，遠比不上PC機的處理能力，要在智能卡內部實現各種密碼算法和相關協議，需要細致的優化，否則運算效率太低或根本沒有可用性。

智能卡是如何生產的，由誰生產的？這可以從智能卡的生產過程中知道。

智能卡生產中的過程之一就是芯片制造，芯片制造是半導體廠家在集成電路生產線上通過特定的制造工藝進行大批量的芯片生產，生產出的是未定型的芯片。芯片的制造，意味著巨額資金的投入、尖端技術的應用、風險的承擔。

COS開發商從半導體廠家訂制智能卡芯片的過程，是把半導體廠商生產的芯片和COS開發商生產的COS結合起來的過程，這個過程叫做掩膜，是在半導體廠家完成的，就是把COS代碼批量燒進芯片中集成的ROM中。生產出來的是定型了的產品。所以在智能卡領域，半導體廠商是芯片的供應商，半導體廠商的直接用戶是COS開發商。半導體廠商提供的芯片是智能卡的硬件部分。而COS開發商是智能卡產品的供應商，提供給用戶的是智能卡產品。

智能卡供應商還要把定型了的芯片封裝成模塊，這個過程叫做模塊封裝，是在模塊封裝廠完成的。有的COS開發商有自己的模塊封裝廠，有的COS開發商要委托選定的模塊封裝廠進行模塊封裝。根據ISO7816標準，用于卡片產品的模塊有8個觸點。制卡是智能卡生產的又一個步驟，是按客戶的要求印制塑料基片，即卡基，然后把模塊鑲嵌到卡基上，制成智能卡，制卡是在卡廠完成的。之后還要進行卡片初始化，卡片初始化是設置卡片的基本參數及安裝卡片傳輸密鑰，這是根據客戶的需要進行的。

智能卡供應商的直接客戶是發卡機構、運營商或業主、系統集成商，他們集成自己的應用系統，形成一定規模的智能卡應用環境，向智能卡供應商定購智能卡，把智能卡做個人化處理，然后發放到持卡人手里，投入使用，智能卡的最終用戶是持卡人。

那么，誰來開發COS呢？

COS的研發是復雜的工程，非專業廠家無需自行開發COS，即使是大的智能卡用戶、系統集成商、芯片供應商，也是一樣。

原因在于：

COS屬于系統軟件，從開發到投放市場，需要長期的測試、修改完善過程，還得通過權威機構的認證；在我國，推出智能卡產品首先需要應用行業的測試認可，比如中石化的加油卡、銀行的金融卡等都有專門的行業標準，而且還需要國家密碼管理委員會辦公室的安全認證，被認可為定點生產或定點銷售的單位，才可進行智能卡的生產或銷售。

COS的體系結構和智能卡的安全性直接相關，在具有穩定的開發團隊和多年的經驗積累條件下，才能夠開發出合格的COS，其中包括各種攻擊和反攻擊的經驗積累以及抵抗攻擊的措施。

正式的智能卡產品必須是硬掩膜的，每種容量、每個版本都需要做掩膜，費用不菲。智能卡芯片技術的不斷發展要求COS也要不斷升級，不是專業開發商則難以跟蹤潮流。

智能卡行業是典型的規模型高科技產業，每年沒有數千萬張以上的銷量，開發COS得不償失。世界著名的半導體廠商一般都不推廣自己的COS，而是依靠COS開發商將其智能卡芯片推向市場。

因此目前，國內只有介入智能卡行業較早的專業開發商因為經驗積累豐富，產品成熟穩定，市場份額較大，才能在技術上達到國際先進水平，與國外的COS相抗衡。