日韩精品无码免费一区二区三区|青青久久久国产线免观|亚洲精品久久久久久久|国精品无码一区二区三区免费视频|亚洲熟妇无码中文高清免费|99久久久国产精品免费不卡|精品贵妇一区二区三区

歡迎您訪問(wèn)鄭州興邦電子股份有限公司官方網(wǎng)站!
阿里巴巴誠(chéng)信通企業(yè)
全國(guó)咨詢熱線:40000-63966
興邦電子,中國(guó)水控機(jī)第一品牌

聯(lián)系興邦電子

全國(guó)咨詢熱線:40000-63966

售后:0371-55132951/55132952

工廠:河南省 鄭州市 高新區(qū)蓮花街電子電器產(chǎn)業(yè)園

升級(jí)一卡通安全策略

文章出處:http://www.fang1.net 作者:中國(guó)教育網(wǎng)絡(luò) 人氣: 發(fā)表時(shí)間:2009年09月02日

[文章內(nèi)容簡(jiǎn)介]:在應(yīng)用系統(tǒng)上下功夫是比較切實(shí)的做法。我們認(rèn)為M1卡被破譯并不意味著其將退出歷史舞臺(tái),而是給這個(gè)市場(chǎng)提出一個(gè)新的安全課題。對(duì)校園一卡通系統(tǒng)來(lái)說(shuō),M1卡的破譯,讓我們更專注內(nèi)部的監(jiān)控和防范措施,更專注于其二次開(kāi)發(fā)所采用的應(yīng)用系統(tǒng)技術(shù)是否安全,以提高校園一卡通系統(tǒng)的整體安全性。

M1卡破譯后的安全性

  M1卡破譯后,校園一卡通系統(tǒng)的安全性是否真的不堪一擊?校園卡還安全嗎?校園卡中的錢還安全嗎?校園卡用戶顧慮重重。

  先讓我們來(lái)做一個(gè)假設(shè),校園卡被破解之后到底能干什么?當(dāng)校園卡密碼破解后,如果沒(méi)有加密,校園卡相應(yīng)區(qū)域的數(shù)據(jù)就可以讀取。這樣,破解人員可以輕松地了解卡片的相關(guān)信息。但是,一般的應(yīng)用系統(tǒng)都應(yīng)該或者說(shuō)肯定對(duì)這些信息,至少是敏感信息(比如錢包區(qū))進(jìn)行了加密處理。也就是說(shuō),如果信息加密,或者即使是部分加密,破解者也無(wú)法獲取真實(shí)的卡片信息。

  1.復(fù)制校園卡
  如果信息被加密,校園卡的信息就無(wú)法識(shí)別,破解校園卡密碼后,只有一件事情可以做,那就是復(fù)制大量的校園卡。如果復(fù)制的校園卡僅僅是消費(fèi)卡或者說(shuō)錢包卡,黑客能做的事情還是相當(dāng)有限。校園一卡通系統(tǒng)對(duì)每次、每日的消費(fèi)金額都有限制,這種交易金額的限制使復(fù)制的校園卡變成現(xiàn)存的利益很是有限。

  2.修改校園卡
  如果信息沒(méi)被加密,校園卡的信息就可以識(shí)別,當(dāng)然也就可以進(jìn)行修改。比如,本來(lái)余額是100元錢的校園卡,可以將余額修改成1000元,10000元甚至更多。實(shí)際上,將被破譯校園卡的余額修改成大金額,其意義不大,因?yàn)榇嬖谌缦聝蓚€(gè)問(wèn)題:
  如前面所述,無(wú)法快速獲利。
  這種復(fù)制或修改的校園卡不可能長(zhǎng)期使用。
  一般的校園一卡通應(yīng)用系統(tǒng),都集成了數(shù)據(jù)自動(dòng)清算功能,一旦消費(fèi)數(shù)據(jù)上傳到中心數(shù)據(jù)庫(kù),系統(tǒng)將自動(dòng)進(jìn)行清算。根據(jù)清算結(jié)果,發(fā)現(xiàn)異???,并將異常校園卡打入黑名單,發(fā)送到消費(fèi)終端,限制其再次消費(fèi)。
  另外一點(diǎn),如果要實(shí)施對(duì)校園卡的破譯,并達(dá)到可操作的程度,需具備如下條件:
  相當(dāng)高的技術(shù)水平,不是一般的黑客和技術(shù)人員能做到的。
  相當(dāng)?shù)脑O(shè)備成本,并非目前一般讀寫設(shè)備所能完成的。
  相當(dāng)?shù)臅r(shí)間成本。

  同時(shí)要達(dá)到對(duì)具體的系統(tǒng)完全有效,還需要對(duì)校園一卡通系統(tǒng)有關(guān)的技術(shù)細(xì)節(jié)做比較深入的分析和了解。

  我們說(shuō),一個(gè)完善和完備的校園一卡通系統(tǒng)的安全性并不完全依賴于卡片,卡片只是整個(gè)系統(tǒng)中的一個(gè)環(huán)節(jié)。校園一卡通系統(tǒng)內(nèi)部有一些特別的監(jiān)控和防范措施,能有效監(jiān)控和捕獲系統(tǒng)外卡及卡金額異常等情況,有效提高整個(gè)系統(tǒng)的安全性。

我們認(rèn)為最不安全的因素是忽視了M1卡的缺陷,有的甚至延用了原始密鑰方法,沒(méi)有去研發(fā)自己的安全密鑰體系。

所以說(shuō),M1卡破譯后,通過(guò)提高安全意識(shí)并進(jìn)行技術(shù)改造,這樣校園一卡通系統(tǒng)的安全就不如我們想象的那么可怕了。校園一卡通系統(tǒng)中的安全防范措施、技術(shù)和管理手段能提高系統(tǒng)的安全性,保證校園一卡通系統(tǒng)安全穩(wěn)定地運(yùn)行。

破譯后的應(yīng)對(duì)策略

在介紹應(yīng)對(duì)策略之前,先介紹一下M1卡破譯后業(yè)界的響應(yīng)方案。RFID讀取器廠商費(fèi)格電子聲稱他們有辦法提高M(jìn)ifare系統(tǒng)安全性。他們通過(guò)將卡的序列號(hào)和其儲(chǔ)存的數(shù)據(jù)進(jìn)行連接,并用主程序加密數(shù)據(jù),來(lái)提高克隆卡片的困難程度。這樣一來(lái),即使Mifare經(jīng)典芯片的安全密鑰被人知道了,數(shù)據(jù)也不是直接可讀的。另一種方案來(lái)自NXP,即使用一個(gè)定制的密匙來(lái)給卡上儲(chǔ)存的信息進(jìn)行加密。每張卡將被加上惟一的密碼。這種方法可以杜絕小偷破解一張卡后可以得到所有卡的密碼,也就是我們常說(shuō)的一卡一密。

為了確保校園一卡通系統(tǒng)安全穩(wěn)定地運(yùn)行,M1卡破譯后,應(yīng)采取積極的應(yīng)對(duì)策略,主要從以下兩個(gè)方面來(lái)考慮:技術(shù)手段和管理手段。

技術(shù)手段

1.門禁系統(tǒng)中采用指紋技術(shù)
M1卡被破譯后,大多數(shù)門禁系統(tǒng)都將失去存在的意義。平時(shí)我們電影中看到不法分子復(fù)制一張卡,然后通過(guò)門禁,進(jìn)入密室,只是覺(jué)得這是電影中的情景。現(xiàn)在看來(lái),如果沒(méi)有相應(yīng)的防范措施,M1卡被破譯后,很容易就能變成現(xiàn)實(shí)。在校園一卡通系統(tǒng)中,對(duì)于門禁,以前的做法是僅僅使用門禁卡,授權(quán)的校園卡可以打開(kāi)門禁。M1卡被破譯后,這樣一種方式就存在很大的風(fēng)險(xiǎn)。萬(wàn)一授權(quán)的校園卡被非法復(fù)制,門禁系統(tǒng)就將失去意義。所以,對(duì)現(xiàn)有的門禁系統(tǒng)要進(jìn)行改造,可使用門禁卡加指紋的方式,還可考慮與監(jiān)控系統(tǒng)的聯(lián)動(dòng)。通過(guò)這些輔助的措施,可大大提高門禁系統(tǒng)的安全性。

2.消費(fèi)金額控制
在校園一卡通系統(tǒng)中,系統(tǒng)通過(guò)對(duì)每張卡每次和每日交易金額的限制,來(lái)達(dá)到控制異??ǖ南M(fèi)。消費(fèi)限額控制有兩級(jí):次消費(fèi)限額和日消費(fèi)限額。通過(guò)兩次消費(fèi)限額控制,可以控制用戶每次和每日的交易額。對(duì)于復(fù)制卡/修改卡,每次和每日的消費(fèi)額也同樣受到消費(fèi)限額的限制。

3.關(guān)鍵數(shù)據(jù)加校驗(yàn)碼
在校園一卡通系統(tǒng)中,卡內(nèi)的關(guān)鍵數(shù)據(jù),比如說(shuō)錢包區(qū),可采用加校驗(yàn)碼的方式提高其安全性。如果關(guān)鍵數(shù)據(jù)被非法修改,將不能通過(guò)讀卡設(shè)備校驗(yàn),卡將被拒絕使用。

4.通過(guò)消費(fèi)明細(xì)發(fā)現(xiàn)異???

在校園一卡通系統(tǒng)中,每個(gè)用戶的每筆消費(fèi)和充值記錄都有惟一的流水號(hào)和相應(yīng)的邏輯關(guān)系,系統(tǒng)通過(guò)比較這些邏輯關(guān)系是否相符,可以發(fā)現(xiàn)每一張?jiān)谟玫男@卡是否異常。如果不法分子復(fù)制了一張校園卡,并進(jìn)行消費(fèi),勢(shì)必將與正常校園卡的流水號(hào)發(fā)生沖突,從而比較容易發(fā)現(xiàn)異常卡。

另外,在校園一卡通系統(tǒng)中,中心數(shù)據(jù)庫(kù)中都記錄著每個(gè)用戶的消費(fèi)明細(xì)、消費(fèi)總額,充值明細(xì)、充值總額和余額,通過(guò)自動(dòng)分析賬目平衡情況,可以及時(shí)發(fā)現(xiàn)異??ㄆH绻环ǚ肿訌?fù)制并修改了一張校園卡,一來(lái)我們有校驗(yàn)碼,非法修改不能通過(guò)讀卡設(shè)備的校驗(yàn);二來(lái)我們的系統(tǒng)賬目就會(huì)失去平衡,從而就很容易發(fā)現(xiàn)異??ā?

一旦發(fā)現(xiàn)異???,有兩種處理辦法,一是在校園卡管理平臺(tái)滾動(dòng)顯示,以便校園卡管理人員及時(shí)發(fā)現(xiàn)問(wèn)題;另外,自動(dòng)掛失該卡,并產(chǎn)生黑名單發(fā)放到各終端,從而捕獲異???,有效防止非法卡在系統(tǒng)中使用。

5.采用“一卡一密”
在校園一卡通系統(tǒng)中,校園卡采用一卡一密,并且是一區(qū)一密,卡密鑰與卡片惟一序列號(hào)有關(guān),將會(huì)給非法復(fù)制或修改者帶來(lái)很大的時(shí)間成本。

通常的加密算法是:由出廠密鑰(12個(gè)“f”)產(chǎn)生用戶單位不同的發(fā)行密鑰,然后由發(fā)行密鑰產(chǎn)生各單位用戶密鑰,單位內(nèi)部各用戶密鑰一致。這種加密算法會(huì)造成如下情況的發(fā)生:破譯了校園內(nèi)的一張校園卡,就知道了所有的校園卡的密鑰。

M1卡破譯后,可采取如下做法:由出廠密鑰(12個(gè)“f”)產(chǎn)生用戶單位不同的發(fā)行密鑰,然后由發(fā)行密鑰產(chǎn)生各單位用戶密鑰,各單位用戶密鑰與每張校園卡的全球惟一的序列號(hào)、消費(fèi)應(yīng)用子密鑰以及扇區(qū)標(biāo)識(shí)有關(guān),這樣單位內(nèi)各用戶的校園卡密鑰各不相同,如圖1所示。

在加密過(guò)程中,校園卡的每個(gè)扇區(qū)有兩個(gè)訪問(wèn)密鑰:KEYA和KEYB。當(dāng)使用一卡一密的算法時(shí),計(jì)算KEYA或者KEYB時(shí),DES算法要使用當(dāng)前校園卡系統(tǒng)主密鑰作為DES算法的KEY使用,DES的輸入加密數(shù)據(jù)因子分別包括:消費(fèi)應(yīng)用子密鑰、當(dāng)前用戶卡的惟一序列號(hào)、訪問(wèn)扇區(qū)的扇區(qū)標(biāo)識(shí)(扇區(qū)編號(hào))。

由上述算法可以看出,實(shí)現(xiàn)一卡一密的關(guān)鍵因素是對(duì)每張不同的卡進(jìn)行卡訪問(wèn)密鑰計(jì)算時(shí),使用了一個(gè)與每張卡惟一對(duì)應(yīng)的卡序列號(hào);而實(shí)現(xiàn)每個(gè)扇區(qū)的密鑰都不同的關(guān)鍵因素是把每張卡的惟一序列號(hào)和要訪問(wèn)的扇區(qū)號(hào)一起進(jìn)行密鑰分散,所以每張卡的扇區(qū)訪問(wèn)密鑰都不一樣,從而提高了校園卡的訪問(wèn)安全性,使校園卡破解的可能性大大減低。

正是由于在校園一卡通系統(tǒng)中,可采取上述一些技術(shù)上的安全措施,一旦發(fā)現(xiàn)非法復(fù)制校園卡或?qū)π@卡進(jìn)行修改,一方面系統(tǒng)可以主動(dòng)發(fā)現(xiàn)非法卡而拒絕使用,另一方面也可以通過(guò)數(shù)據(jù)跟蹤找到相應(yīng)的非法卡,并查找相應(yīng)的責(zé)任人,從而保證校園一卡通系統(tǒng)的整體安全。

管理手段

俗話說(shuō)“三分技術(shù),七分管理”。管理手段到位,更能有效地防范??刹扇×巳缦乱恍┯行У墓芾磙k法:

1.加強(qiáng)用戶對(duì)校園卡中心的管理,特別是安全保密工作,對(duì)校園一卡通系統(tǒng)內(nèi)各服務(wù)器、工作站的登錄及數(shù)據(jù)庫(kù)密碼的保密管理。有些管理人員習(xí)慣性地將密碼寫成一個(gè)文本文件,然后保存在電腦中,這種方法非常不可取。
2.加強(qiáng)有關(guān)產(chǎn)品技術(shù)資料的管理,防止技術(shù)資料的泄密。
3.保證校園一卡通系統(tǒng)網(wǎng)絡(luò)的暢通,使系統(tǒng)數(shù)據(jù)能及時(shí)上傳,從而保證系統(tǒng)及時(shí)地處理數(shù)據(jù),一旦出現(xiàn)問(wèn)題,能夠得以及時(shí)發(fā)現(xiàn)。
前面介紹的通過(guò)流水號(hào)和賬目平衡的方法發(fā)現(xiàn)異??ǎ绻欠◤?fù)制或修改的校園卡是在脫機(jī)情況下使用的,系統(tǒng)就無(wú)法發(fā)現(xiàn)這些異常卡。所以,一定要保證校園一卡通系統(tǒng)網(wǎng)絡(luò)的暢通,盡量不要脫機(jī)使用。
4.注意用卡環(huán)境,有效避免卡信息被人看到,防止卡的信息被復(fù)制。
5.不要一次充太多的錢,這樣即使丟失校園卡也不會(huì)造成太大損失。
6.規(guī)定單筆消費(fèi)額度和一個(gè)工作日的消費(fèi)額,有效規(guī)避風(fēng)險(xiǎn)。

世界上沒(méi)有任何一種技術(shù)是不能被破解的,正如世界上沒(méi)有一個(gè)保險(xiǎn)柜或金庫(kù)的門是打不開(kāi)的一樣。M1卡破譯后,雖然給我們帶來(lái)了問(wèn)題,但也警醒了我們。

M1卡破譯后,采用安全系數(shù)更高和應(yīng)用更多特性的CPU卡是最好的選擇。但是,大批量升級(jí)應(yīng)用系統(tǒng)和更換卡片既需要很大的成本,也需要比較高的技術(shù),是一個(gè)浩大的工程。

現(xiàn)階段來(lái)說(shuō),在應(yīng)用系統(tǒng)上下功夫是比較切實(shí)的做法。我們認(rèn)為M1卡被破譯并不意味著其將退出歷史舞臺(tái),而是給這個(gè)市場(chǎng)提出一個(gè)新的安全課題。對(duì)校園一卡通系統(tǒng)來(lái)說(shuō),M1卡的破譯,讓我們更專注內(nèi)部的監(jiān)控和防范措施,更專注于其二次開(kāi)發(fā)所采用的應(yīng)用系統(tǒng)技術(shù)是否安全,以提高校園一卡通系統(tǒng)的整體安全性。

本文關(guān)鍵詞:校園卡
回到頂部
二连浩特市| 阳原县| 吉安市| 邵阳县| 若羌县| 肥西县| 三台县| 茶陵县| 道真| 平谷区| 南岸区| 沿河| 曲阜市| 昌吉市| 木里| 南安市| 英德市| 古蔺县| 托克逊县| 东莞市| 南京市| 云龙县| 卢湾区| 蓬安县| 承德市| 揭东县| 鹤山市| 平潭县| 汽车| 安康市| 济源市| 阿拉善盟| 贵溪市| 金沙县| 清苑县| 石渠县| 南澳县| 宜兰市| 郓城县| 固阳县| 万山特区|