1 問題的提出
日前,工信部發(fā)布了《關(guān)于做好應(yīng)對部分IC卡出現(xiàn)嚴重安全漏洞工作的通知》���,要求各地各機關(guān)和部門開展對IC卡使用情況的調(diào)查及安全應(yīng)對工作����。工信部的這則通知的背景是什么呢?據(jù)了解:主要應(yīng)用于IC卡系統(tǒng)的Mifare芯片的安全算法已遭到破解����!目前應(yīng)用此技術(shù)的IC卡也都將面臨巨大的安全隱患���。
與此同時�����,教育部也通知各級教育管理機構(gòu)���,要求各部門對IC卡的使用情況進行清查,并及時做好安全應(yīng)對工作��。
事實上����,早在幾個月之前,國家密碼管理局就已經(jīng)發(fā)出通知��,要求各級密碼管理部門對轄區(qū)IC卡的使用情況進行摸底��,并責(zé)成使用單位提供安全保障體系說明�����,必要時還需要對安全保障體系進行升級。
1.1 什么是IC卡
IC卡即集成電路卡��,是一種內(nèi)藏大規(guī)模集成電路的塑料卡片�����。IC卡通?��?煞譃榇鎯?���、邏輯加密卡和智能卡三類����。存儲卡是可以直接對其進行讀、寫操作的存儲器�����;邏輯加密卡是在存儲卡的基礎(chǔ)上增加了讀�、寫加密功能,對邏輯加密卡進行操作時,必須首先核對卡中的密碼�����,密碼正確才能進行正常操作����;智能卡則帶有微處理器(CPU),同時也稱作CPU卡��。
盡管存儲卡����、邏輯加密卡和智能卡三類IC卡的安全性依次提高��,但成本也依次提高�,所以綜合考慮安全性和成本等因素,目前市面上用得最廣泛的是邏輯加密卡�。目前各類學(xué)校使用最普遍的校園卡也是邏輯加密卡,其中既保存有不頻繁修改的管理信息���,如學(xué)籍登記信息等����,也保存有頻繁改動的電子錢包信息。
1.2 邏輯加密卡的存儲結(jié)構(gòu)
Mifare 技術(shù)是一種 13.56 MHz 非接觸式IC卡技術(shù)����,目前市面上的邏輯加密卡基本上都采用了Mifare 技術(shù)。
采用了Mifare 技術(shù)的IC卡��,通常分成若干個扇區(qū)��,每個扇區(qū)包含若干塊����,塊是IC卡的最小操作單位,塊包括數(shù)據(jù)塊和控制塊����。
其中數(shù)據(jù)塊可作兩種應(yīng)用:
1. 用作一般的數(shù)據(jù)保存,可以進行讀寫操作��;
2. 用作數(shù)據(jù)值����,可以進行初始化、加值���、減值��、讀值操作���;這種應(yīng)用模式通常稱之為“值塊”�。
控制塊包括了密碼A�����、密碼B和存取控制位����。通過存取控制位的組合,可以確定訪問某個數(shù)據(jù)塊是否需要驗證密碼��,以及需要驗證密碼A還是驗證密碼B�����,或者兩個密碼都需要驗證�。
1.3 卡信息不再安全
IC卡卡信息的加密與解密永遠都是一枚硬幣的兩面��,每天在世界的各個地方����,都有無數(shù)的科學(xué)家、學(xué)者和黑客們不停地在研究著各種加密和解密的技術(shù)與技巧,成功與失敗也在不斷地上演著�。2008年,德國研究員亨里克 普洛茨和美國弗吉尼亞大學(xué)在讀博士卡爾斯滕 諾爾就享受到了成功的喜悅:他們最先利用電腦成功破解了Mifare芯片的安全算法��。而他們所破解的Mifare芯片的安全算法����,正是目前全世界應(yīng)用最廣泛的非接觸IC卡的安全算法!
對于使用Mifare技術(shù)的IC卡來說�����,卡信息是明文存放的����,但只有通過卡片與讀卡器的相互認證才有權(quán)對卡信息進行讀寫。換言之����,卡信息的安全完全是依靠存取控制來保障的。這就好像我們家里沒有保險柜�,沒有上鎖的抽屜,甚至銀行帳戶也沒有密碼�,家庭財產(chǎn)的安全完全依賴于大門的安全。而Mifare芯片安全算法破解技術(shù)��,就類似于開鎖技術(shù)。一旦小偷掌握了任意打開我們門鎖的技術(shù)����,我們家庭財產(chǎn)的安全性也就可想而知了。
可以想象�����,如果不法分子也掌握了這一Mifare芯片安全算法的破解技術(shù)�����,那么使用Mifare芯片的IC卡����,如在校學(xué)生普遍使用的校園卡,將面臨巨大的安全威脅����。不法分子可以隨意修改卡內(nèi)的信息���,比如原來電子錢包中剩余10元��,不法分子就可以隨意改成1000元或者10000元��,甚至更多����。這對持卡人、學(xué)校和整個消費系統(tǒng)來說����,無疑是一個極大的安全隱患。
2 問題應(yīng)對措施
2.1 校園卡現(xiàn)狀
目前�,我國各級各類學(xué)校普遍使用的校園卡,主要包括電子支付和身份識別兩大功能����。教師、學(xué)生手持校園卡在校園內(nèi)可以方便快捷地完成就餐����、超市購物等各種校內(nèi)消費,還可以實現(xiàn)圖書借閱�、上機、醫(yī)療���、出入門禁����、用水用電管理、自助洗衣��、自助復(fù)印���、考試管理����、學(xué)籍注冊��、學(xué)費繳納等��,大大提高了學(xué)校教學(xué)��、管理��、服務(wù)和生活的整體水平�。此外,校園卡系統(tǒng)還可以通過圈存機與銀行后臺對接�,使持卡人可以直接將銀行卡中的錢圈存到校園卡,從而使學(xué)校的信息管理更加人性化�����。
通常的校園卡都包含以下幾類信息:
1. 卡片基本信息:卡芯片制造商在芯片出廠時寫入的芯片相關(guān)信息����。此信息不可修改,同時也不會對系統(tǒng)安全造成影響����。
2. 卡應(yīng)用基本信息:校園卡持有者在校園卡應(yīng)用系統(tǒng)中的基本信息,由應(yīng)用系統(tǒng)寫入����。這部分信息可能包含有效證件類型、證件號碼���、姓名�、籍貫等�,在應(yīng)用有效期間很少修改。
3. 卡應(yīng)用擴展信息:校園卡持有者在校園卡應(yīng)用系統(tǒng)中的擴展信息���,由應(yīng)用系統(tǒng)寫入�,可能包括學(xué)籍登記信息�����、借書證���、學(xué)習(xí)成績等信息�。這類信息在不同的應(yīng)用系統(tǒng)中會有不同具體內(nèi)容,可以被學(xué)校管理部門進行修改��,但修改的頻率很低��。
4. 電子錢包:校園卡在校內(nèi)消費交易系統(tǒng)中主要被訪問的區(qū)域����。校內(nèi)消費應(yīng)用的場合很多,包括每天的餐飲��、開水�、洗浴、上機��、雜物購買等�����,所有消費行為都需要使用到電子錢包���。
為了便于管理���,各學(xué)校一般都采用了“預(yù)付費”方式進行卡內(nèi)電子錢包的充值。由于技術(shù)和經(jīng)費的原因��,消費點的終端設(shè)備并不實時與學(xué)校的后臺數(shù)據(jù)庫連接�,因此不能實時核對卡內(nèi)金額是否被異常修改,也無法校驗所用卡片的合法性����。非實時聯(lián)網(wǎng)帶來的另外一個問題就是黑名單和白名單更新的滯后,這也使得某些不法行為有了操作的時間�。
2.2 校園卡安全隱患
目前校園卡最主要的安全問題就在于對電子錢包的有效保護,因為這個問題直接威脅到了整個校內(nèi)交易系統(tǒng)的安全性和學(xué)校的合法權(quán)益�����。
常見的針對校園卡的卡信息惡意修改主要包括以下兩種方式:
1. 根據(jù)破解的信息格式����,重新改寫IC卡內(nèi)電子錢包的金額,甚至直接產(chǎn)生一張新的IC卡�����。這種數(shù)據(jù)修改方式�����,可以稱之為“異卡復(fù)制”。
2. 未能準確獲取���、破解卡內(nèi)信息����,而是通過獲得本卡的電子錢包的信息拷貝��,在消費后重置卡內(nèi)的電子錢包��。這種數(shù)據(jù)修改方式���,可以稱之為“本卡復(fù)制”�����。
異卡復(fù)制是非常嚴重的情況�����,它意味著不法分子可以無限制的大量制造無法識別的假校園卡�,偽造卡雖然不能在學(xué)籍等管理系統(tǒng)中使用���,但可以在校園卡的消費系統(tǒng)中使用����,從而實現(xiàn)非法牟利并導(dǎo)致消費系統(tǒng)紊亂。 本卡復(fù)制由于只能復(fù)制到本卡��,使用的可能性比較小�。即使少數(shù)不法分子做了本卡復(fù)制����,學(xué)校也可以通過技術(shù)手段很快定位嫌疑人。本卡復(fù)制問題目前還沒有很好的技術(shù)解決方案����,只能通過管理手段盡量避免這種情況的發(fā)生。
2.3 校園卡安全升級
為了有效防范Mifare算法破解所帶來的安全隱患�,我們認為最根本解決方案是徹底改造現(xiàn)有校園卡系統(tǒng),將邏輯加密卡替換為CPU卡�。相比邏輯加密卡,雖然CPU卡出現(xiàn)的時間較晚��,成本較高�,但因為CPU卡擁有獨立的CPU處理器和芯片操作系統(tǒng),可以更靈活的支持各種不同的應(yīng)用需求�,交易也更安全。CPU卡的優(yōu)勢主要體現(xiàn)在數(shù)據(jù)安全性更高、應(yīng)用更加靈活�。目前,歐洲各國的銀行卡普遍是采用CPU卡���,至今未出現(xiàn)被破解和攻擊等惡性事件�����,充分說明了CPU卡的安全性優(yōu)勢����。
但現(xiàn)有校園卡系統(tǒng)的改造并非一朝一夕之功���,在徹底的替換方案實施以前�,我們不能消極等待����,而是必須尋找合理的過渡方案。
我們注意到����,安全算法可以被攻破,但只要從系統(tǒng)層面周密考慮�,合理布局���,那么卡片算法破解后出現(xiàn)的一系列安全隱患都將得到有效遏制。我們在這里介紹的“基于商用密碼技術(shù)的校園卡安全保障系統(tǒng)”�����,是一個采用國產(chǎn)密碼算法����,使用經(jīng)過國家密碼主管部門批準的密碼產(chǎn)品���,對校園卡卡信息進行有效加密處理的校園卡安全升級過渡方案�����。
2.4 校園卡安全升級過渡方案
如前分析����,本過渡方案著重處理異卡復(fù)制的問題��。
本方案要求在終端機上增加終端安全升級模塊��,終端機在對卡片進行讀寫時�����,通過調(diào)用終端安全升級模塊來實現(xiàn)數(shù)據(jù)的加解密操作。數(shù)據(jù)經(jīng)過終端安全升級模塊加密后以密文形式存入卡片��,需要使用該數(shù)據(jù)時����,終端機讀取卡片密文數(shù)據(jù),終端安全升級模塊將密文還原成明文���。這樣一來����,盡管IC卡的存取控制機制已經(jīng)失效�,但由于卡內(nèi)信息經(jīng)過加密處理,從而保證了即使數(shù)據(jù)被非法獲取�����,非法分子也無法解析數(shù)據(jù)�����,更不能改變數(shù)據(jù)���。我們將終端設(shè)備分為聯(lián)機終端和脫機終端兩大類�����,不同類型的終端設(shè)備使用不同的終端安全升級模塊�。卡數(shù)據(jù)加密密鑰由專門的管理系統(tǒng)進行管理����,并通過安全途徑分發(fā)到終端安全升級模塊。教育電子身份認證系統(tǒng)為本系統(tǒng)提供電子認證服務(wù)�。
3 系統(tǒng)配置
本系統(tǒng)由以下幾部分組成:
1. 卡數(shù)據(jù)加密密鑰管理系統(tǒng)軟件:一套。
2. 教育電子證書:所需數(shù)量根據(jù)學(xué)校的規(guī)模而定����,最少需要六份電子證書�。
3. 終端升級安全模塊:所需數(shù)量和類型根據(jù)終端設(shè)備的數(shù)量和類型而定。
4. 終端安全升級SDK:一套�。
4 系統(tǒng)特點
本系統(tǒng)具有以下顯著特點:
1. 符合國家有關(guān)產(chǎn)業(yè)政策,能保證現(xiàn)有校園卡應(yīng)用系統(tǒng)平穩(wěn)過渡���。
2. 符合國家密碼管理政策�����,全部采用經(jīng)過國家密碼主管部門批準的密碼設(shè)備�����。
3. 采用卡片關(guān)聯(lián)的信息加密技術(shù)����,卡片信息讀出后無法解析,卡片信息復(fù)制會直接導(dǎo)致卡片信息失效�,能有效防止對卡片信息結(jié)構(gòu)、信息內(nèi)容的破解����。
4. 采用“一卡一密”進行系統(tǒng)設(shè)計,確保每張卡片使用不同的加密密鑰���,提高系統(tǒng)的抗風(fēng)險能力����。
5. 采用教育電子身份認證系統(tǒng)簽發(fā)的教育電子證書���,確保系統(tǒng)設(shè)備��、操作人員以及系統(tǒng)自身的安全����。
6. 采用了不同類型的安全模塊,充分考慮了各種不同類型終端設(shè)備對密碼運算處理能力的要求���。
7. 具有良好的兼容性��,系統(tǒng)在部署時不需要改變現(xiàn)有校園卡應(yīng)用系統(tǒng)的結(jié)構(gòu)�。
8. 具有良好的可擴展性����,能滿足不同規(guī)模的校園卡應(yīng)用系統(tǒng)的安全升級的需要。
9. 具有良好的可操作性���,對現(xiàn)有校園卡應(yīng)用系統(tǒng)只做了最小的改動�,系統(tǒng)的實施不會對校園卡應(yīng)用系統(tǒng)的正常運行造成太大影響���。
0551- 62818875 64280445
行業(yè)動態(tài)