門禁載體卡片關(guān)系到系統(tǒng)的安全性
時間:2011-03-10 瀏覽數(shù):3398
門禁系統(tǒng)重要的載體就是卡片��,卡片的選用直接關(guān)系到系統(tǒng)的安全性。
IC卡全稱集成電路卡(IntegratedCircuitCard)����,又稱智能卡(SmartCard)�����。該種卡頻率為13.56MHz�����,可讀寫����,容量大,共分16個扇區(qū)�����,有加密功能��,數(shù)據(jù)記錄可靠�����,使用方便��,如一卡通系統(tǒng)�����、消費系統(tǒng)等����,目前主要有PHILIPS的Mifare1系列卡。ID卡全稱身份識別卡(IdentificationCard)�����,是一種不可寫入的感應(yīng)卡�����,含固定的編號����,頻率為125KHz,目前主要有EM��、HID�����、TI、INDALA等種類����。
ID卡由于其安全性差,容易復(fù)制����,主要用于低端市場,以及對安全性要求較低的場合�����,因而IC卡成為門禁系統(tǒng)的首選����。業(yè)界普遍認同的IC卡首推NXP的Mifare1卡,開放性和通用性都比較好��,像廣州的“羊城通”卡就是用的Mifare1卡�����。
一個消息的傳出震驚了整個IC卡行業(yè)����。德國和美國的研究人員成功地破解了NXP的Mifare1芯片的安全算法。Mifare1芯片主要用于門禁系統(tǒng)訪問控制卡����,以及一些小額支付卡,應(yīng)用范圍已覆蓋全球��。因此這項“成果”引起了不小的恐慌����,因為一個掌握該破解技術(shù)的不法分子可以克隆任何一個門禁卡,從而自由進出政府機關(guān)大樓或公司辦公室;可以批量克隆或偽造各種儲值卡大肆購物而不被發(fā)現(xiàn)��。國內(nèi)發(fā)行的這種卡����,估計有幾億張在投入使用,它的安全性涉及到眾多的運營單位和持卡人的利益�����。通過這種方法��,破壞者可以使用非常廉價的設(shè)備在40ms內(nèi)就可以輕易獲得一張M1卡的密碼。
在Mifare1卡片安全問題暴露后,一些公司公開宣稱已經(jīng)有了解決的辦法����,其中的法寶就是所謂“一卡一密”����,也就是每一張卡片的每一個扇區(qū)的密鑰都不相同�,使用CPU卡裝載系統(tǒng)根密鑰�,根據(jù)Mifare1卡的唯一序列號計算子密鑰,防止一張卡片被破解而影響整個系統(tǒng)����。其實這種解決方案在Mifare1卡破解之前就已經(jīng)出現(xiàn)。那么�,一卡一密真的能解決Mifare1的安全問題么,我們還是要從Mifare1卡的認證機制著手進行分析����。
實際上,這種一卡一密的做法是借用了CPU卡認證機制中的一卡一密概念�,然而它在有意無意間忽略了一個非常重要的事實,即CPU卡和邏輯加密卡是完全不同的兩種卡片�,它們的認證機制完全不同。CPU卡由于內(nèi)部具有CPU處理器和操作系統(tǒng)COS����,認證的過程完全是在用戶卡與SAM卡之間進行的��,認證過程中傳送的是隨機數(shù)和密文,讀卡器基站芯片只是一個通訊通道�,認證過程不能復(fù)制,使用的算法是公開算法�,其安全性是基于CPU卡對密鑰的保護而非對算法的保護。
密鑰在用戶卡和SAM卡內(nèi)都不能讀出����,而且密鑰的安裝是通過密文進行,系統(tǒng)上線后即使是發(fā)卡人員和開發(fā)人員也無法得到密鑰明文����,從根本上保證了系統(tǒng)的安全性。正是由于意識到了Mifare1卡潛在的安全性問題����,建設(shè)部才多次開會推廣使用CPU卡。雙界面CPU卡更是由于其應(yīng)用的靈活性和對金融規(guī)范的支持得到了各方的贊賞��。
國內(nèi)門禁市場正在將經(jīng)歷“洗牌”�,相當(dāng)多不具備研發(fā)實力或技術(shù)實力的小規(guī)模企業(yè)將因此生存更加艱難,而具備強大研發(fā)實力�、創(chuàng)新技術(shù)的廠家將越來越強大,兩極分化進一步加劇����。
本篇文章來源于中國安防網(wǎng):http://news.c-ps.net/2011/3/57914.html