門禁載體卡片關(guān)系到系統(tǒng)的安全性
時(shí)間:2011-03-10 瀏覽數(shù):3414
門禁系統(tǒng)重要的載體就是卡片����,卡片的選用直接關(guān)系到系統(tǒng)的安全性�。
IC卡全稱集成電路卡(IntegratedCircuitCard)���,又稱智能卡(SmartCard)。該種卡頻率為13.56MHz����,可讀寫,容量大����,共分16個(gè)扇區(qū),有加密功能�����,數(shù)據(jù)記錄可靠�,使用方便�,如一卡通系統(tǒng)、消費(fèi)系統(tǒng)等����,目前主要有PHILIPS的Mifare1系列卡。ID卡全稱身份識(shí)別卡(IdentificationCard),是一種不可寫入的感應(yīng)卡��,含固定的編號(hào)����,頻率為125KHz,目前主要有EM��、HID���、TI�����、INDALA等種類�。
ID卡由于其安全性差����,容易復(fù)制,主要用于低端市場��,以及對安全性要求較低的場合�,因而IC卡成為門禁系統(tǒng)的首選。業(yè)界普遍認(rèn)同的IC卡首推NXP的Mifare1卡�����,開放性和通用性都比較好,像廣州的“羊城通”卡就是用的Mifare1卡�����。
一個(gè)消息的傳出震驚了整個(gè)IC卡行業(yè)�����。德國和美國的研究人員成功地破解了NXP的Mifare1芯片的安全算法�。Mifare1芯片主要用于門禁系統(tǒng)訪問控制卡,以及一些小額支付卡���,應(yīng)用范圍已覆蓋全球����。因此這項(xiàng)“成果”引起了不小的恐慌��,因?yàn)橐粋€(gè)掌握該破解技術(shù)的不法分子可以克隆任何一個(gè)門禁卡���,從而自由進(jìn)出政府機(jī)關(guān)大樓或公司辦公室;可以批量克隆或偽造各種儲(chǔ)值卡大肆購物而不被發(fā)現(xiàn)。國內(nèi)發(fā)行的這種卡���,估計(jì)有幾億張?jiān)谕度胧褂?���,它的安全性涉及到眾多的運(yùn)營單位和持卡人的利益。通過這種方法�����,破壞者可以使用非常廉價(jià)的設(shè)備在40ms內(nèi)就可以輕易獲得一張M1卡的密碼�。
在Mifare1卡片安全問題暴露后,一些公司公開宣稱已經(jīng)有了解決的辦法���,其中的法寶就是所謂“一卡一密”���,也就是每一張卡片的每一個(gè)扇區(qū)的密鑰都不相同,使用CPU卡裝載系統(tǒng)根密鑰����,根據(jù)Mifare1卡的唯一序列號(hào)計(jì)算子密鑰,防止一張卡片被破解而影響整個(gè)系統(tǒng)��。其實(shí)這種解決方案在Mifare1卡破解之前就已經(jīng)出現(xiàn)�����。那么,一卡一密真的能解決Mifare1的安全問題么�����,我們還是要從Mifare1卡的認(rèn)證機(jī)制著手進(jìn)行分析�����。
實(shí)際上�����,這種一卡一密的做法是借用了CPU卡認(rèn)證機(jī)制中的一卡一密概念�����,然而它在有意無意間忽略了一個(gè)非常重要的事實(shí)���,即CPU卡和邏輯加密卡是完全不同的兩種卡片��,它們的認(rèn)證機(jī)制完全不同�。CPU卡由于內(nèi)部具有CPU處理器和操作系統(tǒng)COS��,認(rèn)證的過程完全是在用戶卡與SAM卡之間進(jìn)行的�,認(rèn)證過程中傳送的是隨機(jī)數(shù)和密文,讀卡器基站芯片只是一個(gè)通訊通道�����,認(rèn)證過程不能復(fù)制��,使用的算法是公開算法�,其安全性是基于CPU卡對密鑰的保護(hù)而非對算法的保護(hù)。
密鑰在用戶卡和SAM卡內(nèi)都不能讀出���,而且密鑰的安裝是通過密文進(jìn)行�,系統(tǒng)上線后即使是發(fā)卡人員和開發(fā)人員也無法得到密鑰明文�,從根本上保證了系統(tǒng)的安全性。正是由于意識(shí)到了Mifare1卡潛在的安全性問題�,建設(shè)部才多次開會(huì)推廣使用CPU卡。雙界面CPU卡更是由于其應(yīng)用的靈活性和對金融規(guī)范的支持得到了各方的贊賞���。
國內(nèi)門禁市場正在將經(jīng)歷“洗牌”��,相當(dāng)多不具備研發(fā)實(shí)力或技術(shù)實(shí)力的小規(guī)模企業(yè)將因此生存更加艱難���,而具備強(qiáng)大研發(fā)實(shí)力、創(chuàng)新技術(shù)的廠家將越來越強(qiáng)大��,兩極分化進(jìn)一步加劇。
本篇文章來源于中國安防網(wǎng):http://news.c-ps.net/2011/3/57914.html