華東師范大學(xué):升級一卡通安全策略
文章出處:http://botanicstilllife.com 作者:華東師范大學(xué)信息化辦公室 人氣: 發(fā)表時間:2011年11月14日
M1卡破譯后的安全性
M1卡破譯后,校園一卡通系統(tǒng)的安全性是否真的不堪一擊?校園卡還安全嗎?校園卡中的錢還安全嗎?校園卡用戶顧慮重重。
先讓我們來做一個假設(shè),校園卡被破解之后到底能干什么?當(dāng)校園卡密碼破解后,如果沒有加密,校園卡相應(yīng)區(qū)域的數(shù)據(jù)就可以讀取。這樣,破解人員可以輕松地了解卡片的相關(guān)信息。但是,一般的應(yīng)用系統(tǒng)都應(yīng)該或者說肯定對這些信息,至少是敏感信息(比如錢包區(qū))進(jìn)行了加密處理。也就是說,如果信息加密,或者即使是部分加密,破解者也無法獲取真實(shí)的卡片信息。
1.復(fù)制校園卡
如果信息被加密,校園卡的信息就無法識別,破解校園卡密碼后,只有一件事情可以做,那就是復(fù)制大量的校園卡。如果復(fù)制的校園卡僅僅是消費(fèi)卡或者說錢包卡,黑客能做的事情還是相當(dāng)有限。校園一卡通系統(tǒng)對每次、每日的消費(fèi)金額都有限制,這種交易金額的限制使復(fù)制的校園卡變成現(xiàn)存的利益很是有限。
2.修改校園卡
如果信息沒被加密,校園卡的信息就可以識別,當(dāng)然也就可以進(jìn)行修改。比如,本來余額是100元錢的校園卡,可以將余額修改成1000元,10000元甚至更多。實(shí)際上,將被破譯校園卡的余額修改成大金額,其意義不大,因?yàn)榇嬖谌缦聝蓚€問題:
如前面所述,無法快速獲利。
這種復(fù)制或修改的校園卡不可能長期使用。
一般的校園一卡通應(yīng)用系統(tǒng),都集成了數(shù)據(jù)自動清算功能,一旦消費(fèi)數(shù)據(jù)上傳到中心數(shù)據(jù)庫,系統(tǒng)將自動進(jìn)行清算。根據(jù)清算結(jié)果,發(fā)現(xiàn)異常卡,并將異常校園卡打入黑名單,發(fā)送到消費(fèi)終端,限制其再次消費(fèi)。
另外一點(diǎn),如果要實(shí)施對校園卡的破譯,并達(dá)到可操作的程度,需具備如下條件:
相當(dāng)高的技術(shù)水平,不是一般的黑客和技術(shù)人員能做到的。
相當(dāng)?shù)脑O(shè)備成本,并非目前一般讀寫設(shè)備所能完成的。
相當(dāng)?shù)臅r間成本。
同時要達(dá)到對具體的系統(tǒng)完全有效,還需要對校園一卡通系統(tǒng)有關(guān)的技術(shù)細(xì)節(jié)做比較深入的分析和了解。
我們說,一個完善和完備的校園一卡通系統(tǒng)的安全性并不完全依賴于卡片,卡片只是整個系統(tǒng)中的一個環(huán)節(jié)。校園一卡通系統(tǒng)內(nèi)部有一些特別的監(jiān)控和防范措施,能有效監(jiān)控和捕獲系統(tǒng)外卡及卡金額異常等情況,有效提高整個系統(tǒng)的安全性。
我們認(rèn)為最不安全的因素是忽視了M1卡的缺陷,有的甚至延用了原始密鑰方法,沒有去研發(fā)自己的安全密鑰體系。
所以說,M1卡破譯后,通過提高安全意識并進(jìn)行技術(shù)改造,這樣校園一卡通系統(tǒng)的安全就不如我們想象的那么可怕了。校園一卡通系統(tǒng)中的安全防范措施、技術(shù)和管理手段能提高系統(tǒng)的安全性,保證校園一卡通系統(tǒng)安全穩(wěn)定地運(yùn)行。
破譯后的應(yīng)對策略
在介紹應(yīng)對策略之前,先介紹一下M1卡破譯后業(yè)界的響應(yīng)方案。RFID讀取器廠商費(fèi)格電子聲稱他們有辦法提高M(jìn)ifare系統(tǒng)安全性。他們通過將卡的序列號和其儲存的數(shù)據(jù)進(jìn)行連接,并用主程序加密數(shù)據(jù),來提高克隆卡片的困難程度。這樣一來,即使Mifare經(jīng)典芯片的安全密鑰被人知道了,數(shù)據(jù)也不是直接可讀的。另一種方案來自NXP,即使用一個定制的密匙來給卡上儲存的信息進(jìn)行加密。每張卡將被加上惟一的密碼。這種方法可以杜絕小偷破解一張卡后可以得到所有卡的密碼,也就是我們常說的一卡一密。
為了確保校園一卡通系統(tǒng)安全穩(wěn)定地運(yùn)行,M1卡破譯后,應(yīng)采取積極的應(yīng)對策略,主要從以下兩個方面來考慮:技術(shù)手段和管理手段。
技術(shù)手段
1.門禁系統(tǒng)中采用指紋技術(shù)
M1卡被破譯后,大多數(shù)門禁系統(tǒng)都將失去存在的意義。平時我們電影中看到不法分子復(fù)制一張卡,然后通過門禁,進(jìn)入密室,只是覺得這是電影中的情景?,F(xiàn)在看來,如果沒有相應(yīng)的防范措施,M1卡被破譯后,很容易就能變成現(xiàn)實(shí)。在校園一卡通系統(tǒng)中,對于門禁,以前的做法是僅僅使用門禁卡,授權(quán)的校園卡可以打開門禁。M1卡被破譯后,這樣一種方式就存在很大的風(fēng)險。萬一授權(quán)的校園卡被非法復(fù)制,門禁系統(tǒng)就將失去意義。所以,對現(xiàn)有的門禁系統(tǒng)要進(jìn)行改造,可使用門禁卡加指紋的方式,還可考慮與監(jiān)控系統(tǒng)的聯(lián)動。通過這些輔助的措施,可大大提高門禁系統(tǒng)的安全性。
2.消費(fèi)金額控制
在校園一卡通系統(tǒng)中,系統(tǒng)通過對每張卡每次和每日交易金額的限制,來達(dá)到控制異??ǖ南M(fèi)。消費(fèi)限額控制有兩級:次消費(fèi)限額和日消費(fèi)限額。通過兩次消費(fèi)限額控制,可以控制用戶每次和每日的交易額。對于復(fù)制卡/修改卡,每次和每日的消費(fèi)額也同樣受到消費(fèi)限額的限制。
3.關(guān)鍵數(shù)據(jù)加校驗(yàn)碼
在校園一卡通系統(tǒng)中,卡內(nèi)的關(guān)鍵數(shù)據(jù),比如說錢包區(qū),可采用加校驗(yàn)碼的方式提高其安全性。如果關(guān)鍵數(shù)據(jù)被非法修改,將不能通過讀卡設(shè)備校驗(yàn),卡將被拒絕使用。
4.通過消費(fèi)明細(xì)發(fā)現(xiàn)異常卡
在校園一卡通系統(tǒng)中,每個用戶的每筆消費(fèi)和充值記錄都有惟一的流水號和相應(yīng)的邏輯關(guān)系,系統(tǒng)通過比較這些邏輯關(guān)系是否相符,可以發(fā)現(xiàn)每一張在用的校園卡是否異常。如果不法分子復(fù)制了一張校園卡,并進(jìn)行消費(fèi),勢必將與正常校園卡的流水號發(fā)生沖突,從而比較容易發(fā)現(xiàn)異??ā?br />
另外,在校園一卡通系統(tǒng)中,中心數(shù)據(jù)庫中都記錄著每個用戶的消費(fèi)明細(xì)、消費(fèi)總額,充值明細(xì)、充值總額和余額,通過自動分析賬目平衡情況,可以及時發(fā)現(xiàn)異??ㄆ?。如果不法分子復(fù)制并修改了一張校園卡,一來我們有校驗(yàn)碼,非法修改不能通過讀卡設(shè)備的校驗(yàn);二來我們的系統(tǒng)賬目就會失去平衡,從而就很容易發(fā)現(xiàn)異???。
一旦發(fā)現(xiàn)異??ǎ袃煞N處理辦法,一是在校園卡管理平臺滾動顯示,以便校園卡管理人員及時發(fā)現(xiàn)問題;另外,自動掛失該卡,并產(chǎn)生黑名單發(fā)放到各終端,從而捕獲異常卡,有效防止非法卡在系統(tǒng)中使用。
5.采用“一卡一密”
在校園一卡通系統(tǒng)中,校園卡采用一卡一密,并且是一區(qū)一密,卡密鑰與卡片惟一序列號有關(guān),將會給非法復(fù)制或修改者帶來很大的時間成本。
通常的加密算法是:由出廠密鑰(12個“f”)產(chǎn)生用戶單位不同的發(fā)行密鑰,然后由發(fā)行密鑰產(chǎn)生各單位用戶密鑰,單位內(nèi)部各用戶密鑰一致。這種加密算法會造成如下情況的發(fā)生:破譯了校園內(nèi)的一張校園卡,就知道了所有的校園卡的密鑰。
M1卡破譯后,可采取如下做法:由出廠密鑰(12個“f”)產(chǎn)生用戶單位不同的發(fā)行密鑰,然后由發(fā)行密鑰產(chǎn)生各單位用戶密鑰,各單位用戶密鑰與每張校園卡的全球惟一的序列號、消費(fèi)應(yīng)用子密鑰以及扇區(qū)標(biāo)識有關(guān),這樣單位內(nèi)各用戶的校園卡密鑰各不相同,如圖1所示。
在加密過程中,校園卡的每個扇區(qū)有兩個訪問密鑰:KEYA和KEYB。當(dāng)使用一卡一密的算法時,計算KEYA或者KEYB時,DES算法要使用當(dāng)前校園卡系統(tǒng)主密鑰作為DES算法的KEY使用,DES的輸入加密數(shù)據(jù)因子分別包括:消費(fèi)應(yīng)用子密鑰、當(dāng)前用戶卡的惟一序列號、訪問扇區(qū)的扇區(qū)標(biāo)識(扇區(qū)編號)。
由上述算法可以看出,實(shí)現(xiàn)一卡一密的關(guān)鍵因素是對每張不同的卡進(jìn)行卡訪問密鑰計算時,使用了一個與每張卡惟一對應(yīng)的卡序列號;而實(shí)現(xiàn)每個扇區(qū)的密鑰都不同的關(guān)鍵因素是把每張卡的惟一序列號和要訪問的扇區(qū)號一起進(jìn)行密鑰分散,所以每張卡的扇區(qū)訪問密鑰都不一樣,從而提高了校園卡的訪問安全性,使校園卡破解的可能性大大減低。
正是由于在校園一卡通系統(tǒng)中,可采取上述一些技術(shù)上的安全措施,一旦發(fā)現(xiàn)非法復(fù)制校園卡或?qū)π@卡進(jìn)行修改,一方面系統(tǒng)可以主動發(fā)現(xiàn)非法卡而拒絕使用,另一方面也可以通過數(shù)據(jù)跟蹤找到相應(yīng)的非法卡,并查找相應(yīng)的責(zé)任人,從而保證校園一卡通系統(tǒng)的整體安全。
管理手段
俗話說“三分技術(shù),七分管理”。管理手段到位,更能有效地防范??刹扇×巳缦乱恍┯行У墓芾磙k法:
1.加強(qiáng)用戶對校園卡中心的管理,特別是安全保密工作,對校園一卡通系統(tǒng)內(nèi)各服務(wù)器、工作站的登錄及數(shù)據(jù)庫密碼的保密管理。有些管理人員習(xí)慣性地將密碼寫成一個文本文件,然后保存在電腦中,這種方法非常不可取。
2.加強(qiáng)有關(guān)產(chǎn)品技術(shù)資料的管理,防止技術(shù)資料的泄密。
3.保證校園一卡通系統(tǒng)網(wǎng)絡(luò)的暢通,使系統(tǒng)數(shù)據(jù)能及時上傳,從而保證系統(tǒng)及時地處理數(shù)據(jù),一旦出現(xiàn)問題,能夠得以及時發(fā)現(xiàn)。
前面介紹的通過流水號和賬目平衡的方法發(fā)現(xiàn)異???,如果非法復(fù)制或修改的校園卡是在脫機(jī)情況下使用的,系統(tǒng)就無法發(fā)現(xiàn)這些異???。所以,一定要保證校園一卡通系統(tǒng)網(wǎng)絡(luò)的暢通,盡量不要脫機(jī)使用。
4.注意用卡環(huán)境,有效避免卡信息被人看到,防止卡的信息被復(fù)制。
5.不要一次充太多的錢,這樣即使丟失校園卡也不會造成太大損失。
6.規(guī)定單筆消費(fèi)額度和一個工作日的消費(fèi)額,有效規(guī)避風(fēng)險。
世界上沒有任何一種技術(shù)是不能被破解的,正如世界上沒有一個保險柜或金庫的門是打不開的一樣。M1卡破譯后,雖然給我們帶來了問題,但也警醒了我們。
M1卡破譯后,采用安全系數(shù)更高和應(yīng)用更多特性的CPU卡是最好的選擇。但是,大批量升級應(yīng)用系統(tǒng)和更換卡片既需要很大的成本,也需要比較高的技術(shù),是一個浩大的工程。
現(xiàn)階段來說,在應(yīng)用系統(tǒng)上下功夫是比較切實(shí)的做法。我們認(rèn)為M1卡被破譯并不意味著其將退出歷史舞臺,而是給這個市場提出一個新的安全課題。對校園一卡通系統(tǒng)來說,M1卡的破譯,讓我們更專注內(nèi)部的監(jiān)控和防范措施,更專注于其二次開發(fā)所采用的應(yīng)用系統(tǒng)技術(shù)是否安全,以提高校園一卡通系統(tǒng)的整體安全性。