IC卡作為全球IT產(chǎn)業(yè)中的分支�,其產(chǎn)業(yè)規(guī)模與整個IT產(chǎn)業(yè)的大環(huán)境相比�����,占據(jù)著微不足道的地位����,整個中國IC卡產(chǎn)業(yè)(包括所有芯片、加工��、制造���、開發(fā)等)年產(chǎn)值在百億元左右���。然而最近,這個情況發(fā)生了巨大的變化——Mifare Classic非接觸芯片的算法與密鑰被破解����,引發(fā)了業(yè)內(nèi)、媒體���、社會���,以至于政府的極大關(guān)注和反應(yīng)����。
何為IC卡��?
Mifare Classic���,簡稱“M1卡”��,屬IC卡的一種�����,廣泛應(yīng)用于城市公交地鐵�、門禁校園的非接觸卡�����。其在十幾年前就已問世��,目前還在大規(guī)模使用�����,本身已是一個奇跡����。
那么,何為IC卡�����?我們可以理解為其是將一個集成電路芯片鑲嵌在一個塑料基片上��。該集成電路芯片可分為三種:一種是僅僅具備存儲功能的��,叫存儲卡����,類似U盤,這種產(chǎn)品形態(tài)基本上已經(jīng)退出市場�����;其二為具有簡單的邏輯加密設(shè)計�,被稱為邏輯加密卡,M1就屬于這一種���,其具備較低的安全性�����;第三種則內(nèi)置CPU和處理軟件(也被稱為芯片操作系統(tǒng)��,COS)�����,也叫做智能卡���、SmartCard����、CPU卡���、智慧卡����。
IC卡的主要用途為兩類:安全支付和身份識別����。以M1的設(shè)計與應(yīng)用為例��,在作為城市一卡通的電子錢包時,錢包的金額以計數(shù)器(一種具備加與減功能的存儲格式)形式存在���,對計數(shù)器數(shù)值進行加與減的操作前���,都需要驗證相應(yīng)的類似口令的訪問控制機制,該口令在讀寫設(shè)備上�����、設(shè)備與卡之間傳輸�,以及在卡的驗證中,都以被保護的形式存在���。
IC卡安全性釋疑
籠統(tǒng)地懷疑“IC卡的安全性”是不準確的����,確切地說��,應(yīng)該是以M1為代表的邏輯加密卡��,用于高安全領(lǐng)域的安全支付與身份識別應(yīng)用領(lǐng)域中��,存在一定的安全隱患����,有可能導(dǎo)致安全性問題出現(xiàn)��。如何理解這種說法�����?
首先�,M1卡是IC卡中安全性較低的一種����,帶有CPU的IC卡的安全性在目前尚未被證明有被破解,因此�,存在安全性隱患的是邏輯加密卡,而不是所有類型的IC卡����。
其二,類似M1的IC卡產(chǎn)品�����,從犯罪成本��、犯罪動機來看,用于考勤�����、公交車等低安全性的應(yīng)用領(lǐng)域���,具有一定的市場價值。理性的做法應(yīng)該是選擇合適的產(chǎn)品���,而不是總是選擇安全性最高�、最好的產(chǎn)品���。
其三����,M1卡的安全性隱患也沒有那么簡單直白���。首先���,非專業(yè)人士很難對自己手中的卡片實施破解操作;其次��,安全性并非僅與卡片相關(guān),城市通卡片中的很多交易場合是做聯(lián)機交易�����、黑名單控制的�����,一旦識別卡片的余額與后臺記錄中的嚴重不符����,或者卡片的交易情況異常,都可以很快將卡片鎖定�����。
其實��,在一個設(shè)計合理���、考慮完善的IC卡應(yīng)用系統(tǒng)中���,IC卡的安全性僅僅是安全機制中的一環(huán),還有諸如卡片結(jié)構(gòu)設(shè)計�����、有效性與合法性標志位設(shè)置、累計消費次數(shù)與金額比對校驗����、錢包備份、密鑰分散管理���,PSAM卡認證、黑名單等多種機制保護發(fā)卡方與持卡人的利益不受侵犯����。
升級為CPU卡成必然趨勢
對于IC卡的應(yīng)用,當前可限制M1卡的應(yīng)用領(lǐng)域擴展及交易限額�,同時逐步將系統(tǒng)改造升級到CPU卡,這并不需要太長的時間和巨大投資���。
首先���,非接觸CPU卡的價格并不如想象的那么不可接受,一張非接觸卡片的價格由芯片��、封裝��、卡基、其它制造與運輸成本����、發(fā)行成本等組成,其中的芯片成本只占不足50%��,而邏輯加密卡和CPU卡在芯片上的價格差異已經(jīng)非常小了����,重要的是規(guī)模效應(yīng);其次����,盡管一個基于CPU卡的應(yīng)用系統(tǒng)從設(shè)計、選型��、發(fā)行��、管理上的確需要比邏輯加密卡的系統(tǒng)考慮更多��,更加復(fù)雜��,但是國際標準化組織����、各金融支付組織和行業(yè)�����,大多都制定了基于CPU卡的技術(shù)標準與應(yīng)用規(guī)范�����;而且��,這些標準規(guī)范都是來自于實際應(yīng)用系統(tǒng)的設(shè)計與經(jīng)驗��,極具參考價值;最后���,在小額脫機支付系統(tǒng)中的電子錢包����,使用CPU芯片+COS�����,是目前最安全����、最經(jīng)濟的選擇�����。
免責聲明:本站所使用的字體和圖片文字等素材部分來源于互聯(lián)網(wǎng)共享平臺�。如使用任何字體和圖片文字有冒犯其版權(quán)所有方的��,皆為無意����。如您是字體廠商、圖片文字廠商等版權(quán)方����,且不允許本站使用您的字體和圖片文字等素材,請聯(lián)系我們����,本站核實后將立即刪除!任何版權(quán)方從未通知聯(lián)系本站管理者停止使用�����,并索要賠償或上訴法院的����,均視為新型網(wǎng)絡(luò)碰瓷及敲詐勒索���,將不予任何的法律和經(jīng)濟賠償!敬請諒解�����!
粵公網(wǎng)安備 44030402000264號