终端可能含有各式大量的安全机构，其覆盖范围从机械保护外壳到安全模块和用于不同特｀跬的卡的传感器。在联机终端中，其惟一功能是转换后台计算机系统和智能卡之间传送的电信号，通常不需要另外内置的安全特性。在这种情况下，安全完全由控制终端的计算机掌握。

　　然而，随着数据必需输入到终端或终端必需独立于更高级的系统而工作，就必需引入适当的机制以提高系统安全性。可能出现的情况是多样的，但都依赖于智能卡及其安全特性。

　　对于典型的智能卡，其卡体是基本的而且仅仅是作为微控制器的载体，通常在卡体上没有安全特性，因而也无需终端去检查这些特性。相反，金融交易的智能卡通常是混合卡，这就是说除了芯片之外还有磁条，以便和老系统保持相兼容。可是，混合卡毕竟还具有独立于芯片之外的普通安全特性，使得终端能检验它们的真实性。于是，相应的传感器就必需出现在终端之中。

　　完全或偶而脱机工作的终端，必需含有所用加密算法的主密钥，因为不用这些密钥就无法导出卡专用密钥。对安全而言主密钥是非常敏感的，因为整个系统的安全性立足于它们之上。为了在所有的时间保证它们的安全性和机密性，它们不是存储在终端的电子线路之中，而是在终端中的一个有着特别的机械和电气保护的安全模块之中，参见图1。

　　图1 两个插人格式的安全模块的接触部件之例

　　例如，安全模块可以是块用环氧树脂封装的单板机，它只能通过接口和真正的终端计算机交换数据。秘密的主密钥永远不许可离开安全模块，仅能在内部执行运算。在一个典型的应用例子中，安全模块经终端计算机从智能卡接收单独的卡号或芯片编号，并用这些数字导出卡专用密钥。而后，此密钥在安全模块内部用于计算数字签名或执行鉴别。

　　这种模块的现代版本其大小有如一个火柴盒，装各有多种检测攻击的系统传感器。它们在很大程度上也是电气上独立的自主设施，即使当它们的电源被断掉仍能积极防范攻击。如果检测到一个攻击，通常的防御是擦掉所有的密钥，给攻击者留下的仅是一个金属壳内用环氧树脂密封的印制板电路，没有任何值得分析的数据。

　　由于良好安全模块的成本高，近年来的倾向是用智能卡来替代。虽然，这带来了在存储器容量的大小，传感器和自给自足方面的某些限制，但就安全性水平而言，一般来说即使是电子支付应用也都是合适的（可采用ic-000格式的卡）。

　　由于智能卡格式的安全模块不是永久设置在终端中，而是可以更换的，它们就适合于扩充终端的硬件，下面的例子说明了这一点：在最近的几年中，静态的单边rsa鉴别将变得日益重要，部分原因是因为它被国际上的emv规范提倡用于带有芯片的信用卡。由于rsa鉴别所需的计算量很大，使之不能为普通的终端处理器在可以接受的时间内执行，这样永久性的内置安全模块就成了问题。如果终端采用插人格式的的智能卡作为安全模块，那么就能很方便地更换安全模块，含有算术协处理器的智能卡可用作安全模块，只要适当修改终端软件，它就能高速执行rsa计算。

　　在未来，大量的卡发行者将把带有芯片的借记卡和信用卡推向市场。这些卡都采用不同的密钥和密钥导出以及鉴别处理。而且，的确不是所有的卡发行商都愿意泄露秘密数据和方法给安全模块制造商。卡发行商或卡发行集团将会采取的方法是发行一个通用的“终端卡”，t以完成他们共同的系统的所有有关安全性的处理并可在终端内执行这些处理。这种卡可用两种标准传输协议（t=0或t=1）之一来访问。惟一的区别是终端卡包含着有关秘密主密钥，密钥导出方法和有关秘密数据的汇总（诸如销售结算）等功能。终端将仅仅专注于用户接口以及和后台系统间的数据的加载与卸载之间的往来，所有的技术安全方面将由此卡处理。这就意味着终端要能和几张终端卡一起工作，而不是一张卡。在最新的终端中已经把适用于几张独立的终端卡的要求考虑在内：，一张专用卡将按照卡发行商和功能自动地被选择。其中最多可有四张插入卡的接触部件，它们可以为来自数个不同发卡商的终端卡同时服务而不会相互干涉。

　　除了采取用专门工具才能打开的坚固机箱对终端进行机械保护外，还要把安全模块包括在终端内。另一个常用的安全方法是用机械保护来防范对智能卡的数据传输的未授权的窃听，它有一种切断装置可以切断在卡插入读卡器后连结在卡和读卡器之间的外引线，这种设备被称为“闸门”，其目的在于阻止窃听或对传送在卡和终端之间的报文的操纵，它可由电气的或是直接由卡的插入来开动。如果由于导线的粗细或质地而未能完全把它切断，闸门就不能完全闭合，这种情况由终端电路检出，没有电源供应给卡，也就不能进行通信。

　　终端和智能卡之间的通信系统的安全性必需设计成不会受窃听或篡改等损害，实际上闸门并非必需的。另一方面，闸门使终端变大变贵，