AFC系統(tǒng)中非接觸式IC卡數(shù)據(jù)安全的研究與探討

摘 要： 針對(duì)AFC系統(tǒng)中非接觸式IC卡存儲(chǔ)數(shù)據(jù)和傳輸數(shù)據(jù)所受到的安全風(fēng)險(xiǎn)進(jìn)行詳細(xì)分析。從認(rèn)證、加密、完整性三個(gè)方面對(duì)非接觸式IC卡數(shù)據(jù)安全闡述了解決方案，并提出了部分實(shí)現(xiàn)。
關(guān)鍵詞： 非接觸式IC卡；安全風(fēng)險(xiǎn)

　隨著整個(gè)社會(huì)信息化進(jìn)程的不斷發(fā)展，尤其是國(guó)家“三金工程”的啟動(dòng)和發(fā)展，IC卡在我國(guó)的應(yīng)用范圍正不斷擴(kuò)大。與此同時(shí)，針對(duì)IC卡及其系統(tǒng)的各種攻擊性犯罪現(xiàn)象隨時(shí)可能出現(xiàn)，這就使得IC卡數(shù)據(jù)加密的研究和實(shí)現(xiàn)處于十分重要的地位[1]。
　IC卡的安全級(jí)別分為：非加密存儲(chǔ)卡、邏輯加密存儲(chǔ)卡、CPU卡。非加密存儲(chǔ)卡不需要對(duì)其進(jìn)行密碼核對(duì)就可以進(jìn)行讀寫操作，其安全性最差；邏輯加密存儲(chǔ)卡需要先通過(guò)裝置(一般為讀卡器)將密碼送入卡中，IC卡核對(duì)密碼正確后，輸出正確的應(yīng)答信號(hào)，才能進(jìn)行下一步的操作，這樣可以防止對(duì)卡中信息的隨意閱讀和改寫，其安全性遠(yuǎn)遠(yuǎn)高于非加密存儲(chǔ)卡；CPU卡因其具有微處理器，具有更高的計(jì)算能力和和編程能力，故其安全級(jí)別比邏輯加密存儲(chǔ)卡更高。
　在地鐵AFC系統(tǒng)中，國(guó)內(nèi)大部分都采用了邏輯加密存儲(chǔ)卡，如南京地鐵目前單程票都采用了MIFARE的Ultralight Token，而儲(chǔ)值票(方卡)則采用了Mifare Desfire和Mifare Standard，這幾種卡都是邏輯加密存儲(chǔ)卡。事實(shí)上，非加密存儲(chǔ)卡因其較差的安全性已經(jīng)在很大程度上退出了市場(chǎng)。
1 IC卡面臨的安全問(wèn)題
1.1 安全類型缺陷
　由于成本所限，IC卡本身很難保證足夠的安全，非法用戶可以使用合法的讀卡器或者自構(gòu)一個(gè)讀卡器，直接與IC卡進(jìn)行通信，從而很容易地獲取IC卡內(nèi)的所存數(shù)據(jù)，使IC卡面臨數(shù)據(jù)被改寫的風(fēng)險(xiǎn)。而IC卡的數(shù)據(jù)通信鏈路是無(wú)線通信連接，與有線連接不一樣，無(wú)線傳輸?shù)男盘?hào)本身是開放的，這就給非法用戶的偵聽?zhēng)?lái)了方便。
在讀卡器中，除了中間件被用來(lái)完成數(shù)據(jù)的遴選、時(shí)間過(guò)濾和管理之外，讀卡器只提供用戶業(yè)務(wù)接口，但不提供能夠讓用戶自行提升安全性能的接口。
1.2 AFC系統(tǒng)中IC卡的安全問(wèn)題
　(1)車票安全：防止偽造、克隆、篡改、泄密、偷盜；
　(2)設(shè)備安全：防止車票被偷盜后進(jìn)行加值或復(fù)制，防止業(yè)務(wù)程序被攻擊改變，防止重要參數(shù)及數(shù)據(jù)被改變；
　(3)數(shù)據(jù)安全：防止篡改、竊取、丟失、抵賴；
　(4)系統(tǒng)安全：防止攻擊、破壞，泄露重要信息。
　對(duì)于IC卡單程票，經(jīng)過(guò)半自動(dòng)售票機(jī)、自動(dòng)售票機(jī)等環(huán)節(jié)發(fā)售到乘客手中，到出站閘機(jī)再進(jìn)行回收。在整個(gè)使用過(guò)程中，IC卡處于兩種狀態(tài)：(1)在系統(tǒng)運(yùn)營(yíng)人員管理中，包括單程票的采購(gòu)、初始化、發(fā)售、回收、循環(huán)運(yùn)輸?shù)拳h(huán)節(jié)。(2)在乘客手中，從購(gòu)買單程票到出站之間，對(duì)于IC卡儲(chǔ)值票，經(jīng)過(guò)半自動(dòng)售票機(jī)、自動(dòng)售票機(jī)等設(shè)備發(fā)售到乘客手中后，將一直在乘客手中重復(fù)使用，直至被收回。兩種情況中，IC卡在乘客手中時(shí)有更大的不安全風(fēng)險(xiǎn)。但是整體而言，單程票處在安全范圍內(nèi)比例要比儲(chǔ)值票大，尤其是儲(chǔ)值票，由于其儲(chǔ)值金額可能較大，所以被攻擊的可能性更大。
2 密碼學(xué)概述
　密碼學(xué)通常被定義為在通信過(guò)程中進(jìn)行解密和加密的過(guò)程和技巧。
　密碼技術(shù)可用于解決以下三大領(lǐng)域內(nèi)的安全問(wèn)題[2]：
　(1)認(rèn)證。用于可靠的確定某人或某物的身份，防止有人冒充合法用戶或防止設(shè)備冒充合法資源。
　(2)加密。對(duì)數(shù)據(jù)進(jìn)行編碼以防搭線竊聽的過(guò)程。加密所提供的保護(hù)也稱為機(jī)密性業(yè)務(wù)，提供該業(yè)務(wù)用以保護(hù)數(shù)據(jù)安全，不被非法者偷聽。
　(3)完整性。保證數(shù)據(jù)沒(méi)有經(jīng)過(guò)篡改，需要確認(rèn)所收到的消息正是所發(fā)送的消息。
　本文中涉及到傳輸數(shù)據(jù)的安全和存儲(chǔ)數(shù)據(jù)的安全兩個(gè)方面。其中傳輸數(shù)據(jù)的安全主要包括數(shù)據(jù)的機(jī)密性、完整性、可獲取性和真實(shí)性。數(shù)據(jù)的機(jī)密性、完整性和可獲取性是通過(guò)對(duì)數(shù)據(jù)的加解密來(lái)實(shí)現(xiàn)的。數(shù)據(jù)的真實(shí)性是通過(guò)相互認(rèn)證技術(shù)實(shí)現(xiàn)的。存儲(chǔ)數(shù)據(jù)的安全是指數(shù)據(jù)的持久性，是通過(guò)存儲(chǔ)區(qū)域的訪問(wèn)條件控制和冗余存儲(chǔ)實(shí)現(xiàn)的。
3 地鐵非接觸式IC卡的加密措施
3.1 認(rèn)證
　在對(duì)IC卡進(jìn)行讀寫操作之前，必須對(duì)IC卡的密碼進(jìn)行認(rèn)證。如果認(rèn)證通過(guò)，才允許進(jìn)行下一步操作。
非接觸式IC卡的密碼認(rèn)證分為五個(gè)步驟，其過(guò)程如圖1所示。