升級(jí)一卡通安全策略

文章出處：http://www.xianjuhong.com 作者：中國(guó)教育網(wǎng)絡(luò) 人氣： 發(fā)表時(shí)間：2009年09月02日

M1卡破譯后的安全性

　　M1卡破譯后，校園一卡通系統(tǒng)的安全性是否真的不堪一擊？校園卡還安全嗎？校園卡中的錢還安全嗎？校園卡用戶顧慮重重。

　　先讓我們來(lái)做一個(gè)假設(shè)，校園卡被破解之后到底能干什么？當(dāng)校園卡密碼破解后，如果沒有加密，校園卡相應(yīng)區(qū)域的數(shù)據(jù)就可以讀取。這樣，破解人員可以輕松地了解卡片的相關(guān)信息。但是，一般的應(yīng)用系統(tǒng)都應(yīng)該或者說(shuō)肯定對(duì)這些信息，至少是敏感信息(比如錢包區(qū))進(jìn)行了加密處理。也就是說(shuō)，如果信息加密，或者即使是部分加密，破解者也無(wú)法獲取真實(shí)的卡片信息。

　　1.復(fù)制校園卡
　　如果信息被加密，校園卡的信息就無(wú)法識(shí)別，破解校園卡密碼后，只有一件事情可以做，那就是復(fù)制大量的校園卡。如果復(fù)制的校園卡僅僅是消費(fèi)卡或者說(shuō)錢包卡，黑客能做的事情還是相當(dāng)有限。校園一卡通系統(tǒng)對(duì)每次、每日的消費(fèi)金額都有限制，這種交易金額的限制使復(fù)制的校園卡變成現(xiàn)存的利益很是有限。

　　2.修改校園卡
　　如果信息沒被加密，校園卡的信息就可以識(shí)別，當(dāng)然也就可以進(jìn)行修改。比如，本來(lái)余額是100元錢的校園卡，可以將余額修改成1000元，10000元甚至更多。實(shí)際上，將被破譯校園卡的余額修改成大金額，其意義不大，因?yàn)榇嬖谌缦聝蓚€(gè)問(wèn)題：
　　如前面所述，無(wú)法快速獲利。
　　這種復(fù)制或修改的校園卡不可能長(zhǎng)期使用。
　　一般的校園一卡通應(yīng)用系統(tǒng)，都集成了數(shù)據(jù)自動(dòng)清算功能，一旦消費(fèi)數(shù)據(jù)上傳到中心數(shù)據(jù)庫(kù)，系統(tǒng)將自動(dòng)進(jìn)行清算。根據(jù)清算結(jié)果，發(fā)現(xiàn)異?？?，并將異常校園卡打入黑名單，發(fā)送到消費(fèi)終端，限制其再次消費(fèi)。
　　另外一點(diǎn)，如果要實(shí)施對(duì)校園卡的破譯，并達(dá)到可操作的程度，需具備如下條件：
　　相當(dāng)高的技術(shù)水平，不是一般的黑客和技術(shù)人員能做到的。
　　相當(dāng)?shù)脑O(shè)備成本，并非目前一般讀寫設(shè)備所能完成的。
　　相當(dāng)?shù)臅r(shí)間成本。

　　同時(shí)要達(dá)到對(duì)具體的系統(tǒng)完全有效，還需要對(duì)校園一卡通系統(tǒng)有關(guān)的技術(shù)細(xì)節(jié)做比較深入的分析和了解。

　　我們說(shuō)，一個(gè)完善和完備的校園一卡通系統(tǒng)的安全性并不完全依賴于卡片，卡片只是整個(gè)系統(tǒng)中的一個(gè)環(huán)節(jié)。校園一卡通系統(tǒng)內(nèi)部有一些特別的監(jiān)控和防范措施，能有效監(jiān)控和捕獲系統(tǒng)外卡及卡金額異常等情況，有效提高整個(gè)系統(tǒng)的安全性。

我們認(rèn)為最不安全的因素是忽視了M1卡的缺陷，有的甚至延用了原始密鑰方法，沒有去研發(fā)自己的安全密鑰體系。

所以說(shuō)，M1卡破譯后，通過(guò)提高安全意識(shí)并進(jìn)行技術(shù)改造，這樣校園一卡通系統(tǒng)的安全就不如我們想象的那么可怕了。校園一卡通系統(tǒng)中的安全防范措施、技術(shù)和管理手段能提高系統(tǒng)的安全性，保證校園一卡通系統(tǒng)安全穩(wěn)定地運(yùn)行。

破譯后的應(yīng)對(duì)策略

在介紹應(yīng)對(duì)策略之前，先介紹一下M1卡破譯后業(yè)界的響應(yīng)方案。RFID讀取器廠商費(fèi)格電子聲稱他們有辦法提高M(jìn)ifare系統(tǒng)安全性。他們通過(guò)將卡的序列號(hào)和其儲(chǔ)存的數(shù)據(jù)進(jìn)行連接，并用主程序加密數(shù)據(jù)，來(lái)提高克隆卡片的困難程度。這樣一來(lái)，即使Mifare經(jīng)典芯片的安全密鑰被人知道了，數(shù)據(jù)也不是直接可讀的。另一種方案來(lái)自NXP，即使用一個(gè)定制的密匙來(lái)給卡上儲(chǔ)存的信息進(jìn)行加密。每張卡將被加上惟一的密碼。這種方法可以杜絕小偷破解一張卡后可以得到所有卡的密碼，也就是我們常說(shuō)的一卡一密。

為了確保校園一卡通系統(tǒng)安全穩(wěn)定地運(yùn)行，M1卡破譯后，應(yīng)采取積極的應(yīng)對(duì)策略，主要從以下兩個(gè)方面來(lái)考慮：技術(shù)手段和管理手段。

技術(shù)手段

1.門禁系統(tǒng)中采用指紋技術(shù)
M1卡被破譯后，大多數(shù)門禁系統(tǒng)都將失去存在的意義。平時(shí)我們電影中看到不法分子復(fù)制一張卡，然后通過(guò)門禁，進(jìn)入密室，只是覺得這是電影中的情景?，F(xiàn)在看來(lái)，如果沒有相應(yīng)的防范措施，M1卡被破譯后，很容易就能變成現(xiàn)實(shí)。在校園一卡通系統(tǒng)中，對(duì)于門禁，以前的做法是僅僅使用門禁卡，授權(quán)的校園卡可以打開門禁。M1卡被破譯后，這樣一種方式就存在很大的風(fēng)險(xiǎn)。萬(wàn)一授權(quán)的校園卡被非法復(fù)制，門禁系統(tǒng)就將失去意義。所以，對(duì)現(xiàn)有的門禁系統(tǒng)要進(jìn)行改造，可使用門禁卡加指紋的方式，還可考慮與監(jiān)控系統(tǒng)的聯(lián)動(dòng)。通過(guò)這些輔助的措施，可大大提高門禁系統(tǒng)的安全性。

2.消費(fèi)金額控制
在校園一卡通系統(tǒng)中，系統(tǒng)通過(guò)對(duì)每張卡每次和每日交易金額的限制，來(lái)達(dá)到控制異常卡的消費(fèi)。消費(fèi)限額控制有兩級(jí)：次消費(fèi)限額和日消費(fèi)限額。通過(guò)兩次消費(fèi)限額控制，可以控制用戶每次和每日的交易額。對(duì)于復(fù)制卡/修改卡，每次和每日的消費(fèi)額也同樣受到消費(fèi)限額的限制。

3.關(guān)鍵數(shù)據(jù)加校驗(yàn)碼
在校園一卡通系統(tǒng)中，卡內(nèi)的關(guān)鍵數(shù)據(jù)，比如說(shuō)錢包區(qū)，可采用加校驗(yàn)碼的方式提高其安全性。如果關(guān)鍵數(shù)據(jù)被非法修改，將不能通過(guò)讀卡設(shè)備校驗(yàn)，卡將被拒絕使用。

4.通過(guò)消費(fèi)明細(xì)發(fā)現(xiàn)異?？?

在校園一卡通系統(tǒng)中，每個(gè)用戶的每筆消費(fèi)和充值記錄都有惟一的流水號(hào)和相應(yīng)的邏輯關(guān)系，系統(tǒng)通過(guò)比較這些邏輯關(guān)系是否相符，可以發(fā)現(xiàn)每一張?jiān)谟玫男@卡是否異常。如果不法分子復(fù)制了一張校園卡，并進(jìn)行消費(fèi)，勢(shì)必將與正常校園卡的流水號(hào)發(fā)生沖突，從而比較容易發(fā)現(xiàn)異常卡。

另外，在校園一卡通系統(tǒng)中，中心數(shù)據(jù)庫(kù)中都記錄著每個(gè)用戶的消費(fèi)明細(xì)、消費(fèi)總額，充值明細(xì)、充值總額和余額，通過(guò)自動(dòng)分析賬目平衡情況，可以及時(shí)發(fā)現(xiàn)異?？ㄆ?。如果不法分子復(fù)制并修改了一張校園卡，一來(lái)我們有校驗(yàn)碼，非法修改不能通過(guò)讀卡設(shè)備的校驗(yàn)；二來(lái)我們的系統(tǒng)賬目就會(huì)失去平衡，從而就很容易發(fā)現(xiàn)異常卡。

一旦發(fā)現(xiàn)異常卡，有兩種處理辦法，一是在校園卡管理平臺(tái)滾動(dòng)顯示，以便校園卡管理人員及時(shí)發(fā)現(xiàn)問(wèn)題；另外，自動(dòng)掛失該卡，并產(chǎn)生黑名單發(fā)放到各終端，從而捕獲異常卡，有效防止非法卡在系統(tǒng)中使用。

5.采用“一卡一密”
在校園一卡通系統(tǒng)中，校園卡采用一卡一密，并且是一區(qū)一密，卡密鑰與卡片惟一序列號(hào)有關(guān)，將會(huì)給非法復(fù)制或修改者帶來(lái)很大的時(shí)間成本。

通常的加密算法是：由出廠密鑰(12個(gè)“f”)產(chǎn)生用戶單位不同的發(fā)行密鑰，然后由發(fā)行密鑰產(chǎn)生各單位用戶密鑰，單位內(nèi)部各用戶密鑰一致。這種加密算法會(huì)造成如下情況的發(fā)生：破譯了校園內(nèi)的一張校園卡，就知道了所有的校園卡的密鑰。

M1卡破譯后，可采取如下做法：由出廠密鑰(12個(gè)“f”)產(chǎn)生用戶單位不同的發(fā)行密鑰，然后由發(fā)行密鑰產(chǎn)生各單位用戶密鑰，各單位用戶密鑰與每張校園卡的全球惟一的序列號(hào)、消費(fèi)應(yīng)用子密鑰以及扇區(qū)標(biāo)識(shí)有關(guān)，這樣單位內(nèi)各用戶的校園卡密鑰各不相同，如圖1所示。

在加密過(guò)程中，校園卡的每個(gè)扇區(qū)有兩個(gè)訪問(wèn)密鑰：KEYA和KEYB。當(dāng)使用一卡一密的算法時(shí)，計(jì)算KEYA或者KEYB時(shí)，DES算法要使用當(dāng)前校園卡系統(tǒng)主密鑰作為DES算法的KEY使用，DES的輸入加密數(shù)據(jù)因子分別包括：消費(fèi)應(yīng)用子密鑰、當(dāng)前用戶卡的惟一序列號(hào)、訪問(wèn)扇區(qū)的扇區(qū)標(biāo)識(shí)(扇區(qū)編號(hào))。

由上述算法可以看出，實(shí)現(xiàn)一卡一密的關(guān)鍵因素是對(duì)每張不同的卡進(jìn)行卡訪問(wèn)密鑰計(jì)算時(shí)，使用了一個(gè)與每張卡惟一對(duì)應(yīng)的卡序列號(hào)；而實(shí)現(xiàn)每個(gè)扇區(qū)的密鑰都不同的關(guān)鍵因素是把每張卡的惟一序列號(hào)和要訪問(wèn)的扇區(qū)號(hào)一起進(jìn)行密鑰分散，所以每張卡的扇區(qū)訪問(wèn)密鑰都不一樣，從而提高了校園卡的訪問(wèn)安全性，使校園卡破解的可能性大大減低。

正是由于在校園一卡通系統(tǒng)中，可采取上述一些技術(shù)上的安全措施，一旦發(fā)現(xiàn)非法復(fù)制校園卡或?qū)π@卡進(jìn)行修改，一方面系統(tǒng)可以主動(dòng)發(fā)現(xiàn)非法卡而拒絕使用，另一方面也可以通過(guò)數(shù)據(jù)跟蹤找到相應(yīng)的非法卡，并查找相應(yīng)的責(zé)任人，從而保證校園一卡通系統(tǒng)的整體安全。

管理手段

俗話說(shuō)“三分技術(shù)，七分管理”。管理手段到位，更能有效地防范?？刹扇×巳缦乱恍┯行У墓芾磙k法：

1.加強(qiáng)用戶對(duì)校園卡中心的管理，特別是安全保密工作，對(duì)校園一卡通系統(tǒng)內(nèi)各服務(wù)器、工作站的登錄及數(shù)據(jù)庫(kù)密碼的保密管理。有些管理人員習(xí)慣性地將密碼寫成一個(gè)文本文件，然后保存在電腦中，這種方法非常不可取。
2.加強(qiáng)有關(guān)產(chǎn)品技術(shù)資料的管理，防止技術(shù)資料的泄密。
3.保證校園一卡通系統(tǒng)網(wǎng)絡(luò)的暢通，使系統(tǒng)數(shù)據(jù)能及時(shí)上傳，從而保證系統(tǒng)及時(shí)地處理數(shù)據(jù)，一旦出現(xiàn)問(wèn)題，能夠得以及時(shí)發(fā)現(xiàn)。
前面介紹的通過(guò)流水號(hào)和賬目平衡的方法發(fā)現(xiàn)異?？ǎ绻欠◤?fù)制或修改的校園卡是在脫機(jī)情況下使用的，系統(tǒng)就無(wú)法發(fā)現(xiàn)這些異常卡。所以，一定要保證校園一卡通系統(tǒng)網(wǎng)絡(luò)的暢通，盡量不要脫機(jī)使用。
4.注意用卡環(huán)境，有效避免卡信息被人看到，防止卡的信息被復(fù)制。
5.不要一次充太多的錢，這樣即使丟失校園卡也不會(huì)造成太大損失。
6.規(guī)定單筆消費(fèi)額度和一個(gè)工作日的消費(fèi)額，有效規(guī)避風(fēng)險(xiǎn)。

世界上沒有任何一種技術(shù)是不能被破解的，正如世界上沒有一個(gè)保險(xiǎn)柜或金庫(kù)的門是打不開的一樣。M1卡破譯后，雖然給我們帶來(lái)了問(wèn)題，但也警醒了我們。

M1卡破譯后，采用安全系數(shù)更高和應(yīng)用更多特性的CPU卡是最好的選擇。但是，大批量升級(jí)應(yīng)用系統(tǒng)和更換卡片既需要很大的成本，也需要比較高的技術(shù)，是一個(gè)浩大的工程。

現(xiàn)階段來(lái)說(shuō)，在應(yīng)用系統(tǒng)上下功夫是比較切實(shí)的做法。我們認(rèn)為M1卡被破譯并不意味著其將退出歷史舞臺(tái)，而是給這個(gè)市場(chǎng)提出一個(gè)新的安全課題。對(duì)校園一卡通系統(tǒng)來(lái)說(shuō)，M1卡的破譯，讓我們更專注內(nèi)部的監(jiān)控和防范措施，更專注于其二次開發(fā)所采用的應(yīng)用系統(tǒng)技術(shù)是否安全，以提高校園一卡通系統(tǒng)的整體安全性。