解讀非接觸式智能卡安全與對(duì)策

文章出處：http://xianjuhong.com 作者：李娟   人氣： 發(fā)表時(shí)間：2011年10月10日

    技術(shù)本身是中立的，但是使用技術(shù)的人卻是需要質(zhì)疑的。我們必須意識(shí)到非接觸式智能卡種技術(shù)不會(huì)消失，而會(huì)變得比傳統(tǒng)的信用卡技術(shù)更安全，因?yàn)闀?huì)有越來越多越好的技術(shù)來保證你的個(gè)人信息與隱私安全。

    現(xiàn)在越來越多的非接觸式智能卡開始走入人們的日常生活中，如公交卡、銀行信用卡等。一些卡中的IC芯片是可見的，但大多數(shù)的非接觸式卡并不被人們所認(rèn)識(shí)，以致于人們可能意識(shí)不到非接觸式卡所帶來的安全隱患。

    這也難怪，因?yàn)榉墙佑|式卡與普通卡片的不同之處僅在于其在交易時(shí)信息傳遞的方式。傳統(tǒng)的磁卡主要由磁條起作用，而非接觸式卡的“大腦”是一個(gè)標(biāo)簽。標(biāo)簽由一個(gè)或一組半導(dǎo)體芯片和天線組成，通過天線對(duì)進(jìn)出芯片的射頻信號(hào)進(jìn)行中繼和傳送。這種無源RFID技術(shù)的工作原理并不為大眾所知，因此對(duì)于非接觸式卡的擔(dān)憂也就在情理之中了。

    對(duì)于非接觸式信用卡來說，能讓大眾理解這三方面的問題，就能緩解其擔(dān)憂了。

    1.非接觸式卡芯片中存儲(chǔ)的信息

    2.芯片是否安全

    3.芯片的工作頻率和數(shù)據(jù)傳送標(biāo)準(zhǔn)

    非接觸式卡中所存儲(chǔ)的信息與傳統(tǒng)的磁卡中所存儲(chǔ)的信息相同，一般包括持卡人姓名、地址、卡號(hào)和密碼。還可能包括一些其他的信息，如持卡人生日，還有一些高度敏感的個(gè)人信息。非接觸式卡的體積很小，但其存儲(chǔ)容量一般有幾兆字節(jié)。

    非接觸式卡所用的芯片通常是安全的。一個(gè)芯片的存儲(chǔ)可通過讀寫指令加以改變，并支持加密。這意味著芯片內(nèi)不僅包含著只可一次寫入的固定的信息如個(gè)人信息，還包含有可以保護(hù)靜態(tài)數(shù)據(jù)的加密信息。

    芯片天線允許芯片與讀寫器之間利用射頻信號(hào)進(jìn)行通信。RFID信用卡所需能量由讀寫器射頻場(chǎng)來提供，之后接受指令和數(shù)據(jù)，進(jìn)行相應(yīng)的操作。這種通信方式可防止遠(yuǎn)距離的識(shí)讀。用于RFID信用卡和讀寫器的頻率較高，該頻率也用于標(biāo)識(shí)動(dòng)物或用于供應(yīng)鏈管理系統(tǒng)。大多數(shù)用于信用卡的工作頻率為13.56MHz，符合ISO14443標(biāo)準(zhǔn)。

    非接觸式智能卡應(yīng)用日漸廣泛

    讀寫器工作的13.56MHz頻率相比于手機(jī)工作的超高頻(800MHz—1800MHz)較低。但實(shí)際上，13.56MHz的讀寫距離依賴于標(biāo)簽尺寸和讀寫器類型，一般可達(dá)1米(3.28英尺)。

    ISO14443標(biāo)準(zhǔn)主要包括四部分的標(biāo)準(zhǔn)，用于近距離非接觸式智能卡。一般讀寫范圍可達(dá)10厘米(4英寸)。ISO14443標(biāo)準(zhǔn)支持認(rèn)證機(jī)制，如加密。

    數(shù)據(jù)傳輸速率受讀寫器與芯片間所放置物質(zhì)的影響，如金屬對(duì)射頻信號(hào)的反射作用?；诖嗽?，在電子護(hù)照的側(cè)邊上有一個(gè)細(xì)金屬條，在護(hù)照未打開時(shí)可以防止護(hù)照的讀取。但金屬也可能在讀寫器與智能卡之間產(chǎn)生噪聲或打破讀寫器與標(biāo)簽的調(diào)諧，因而很可能對(duì)該頻率與數(shù)據(jù)傳送標(biāo)準(zhǔn)造成影響。

    因此有必要注意以保護(hù)非接觸式智能卡及存儲(chǔ)的信息的安全。如RFID技術(shù)業(yè)界領(lǐng)袖、世界最大的RFID標(biāo)簽芯片制造商德州儀器公司所說，RFID的應(yīng)用規(guī)模會(huì)越來越大，但是最終的決定權(quán)在用戶手中。

    以下是五條提示，有助于更加安全的使用非接觸式信用卡。

    1.與信用卡所使用的無源技術(shù)不同的是，你必須采取積極主動(dòng)的姿態(tài)，以保護(hù)你的資料。給你的信用卡公司打電話詢問你的卡是"非接觸"卡還是傳統(tǒng)卡。如果是非接觸式卡，你有要求更換一個(gè)傳統(tǒng)卡，因?yàn)槟憔芙^使用RFID技術(shù)。

    2.詢問信用卡公司關(guān)一頻率與ISO的有關(guān)情況。如果這兩項(xiàng)與上述所說的一致(13.56MHz，ISO14443標(biāo)準(zhǔn))，那很好。如果不一致，就得問個(gè)為什么并要求得到更加詳細(xì)的信息。

    3.詢問信用卡的加密方法。非接觸式卡上的密碼可為32位至128位。

    4.詢問信用卡公司的欺詐檢測(cè)和其他預(yù)防措施。

    5.購物時(shí)小心。技術(shù)在發(fā)展，但總是晚黑客一步。所以在進(jìn)行電子網(wǎng)上交易或在實(shí)際購物的過程中，你得加倍小心。

    技術(shù)本身是中立的，但是使用技術(shù)的人卻是需要質(zhì)疑的。另一方面，你必須意識(shí)到這種技術(shù)不會(huì)消失，而會(huì)變得比傳統(tǒng)的信用卡技術(shù)更安全，因?yàn)闀?huì)有越來越多越好的技術(shù)來保證你的個(gè)人信息與隱私安全。