門禁系統重要的載體就是卡片,卡片的選用直接關系到系統的安全性。
IC卡全稱集成電路卡(IntegratedCircuitCard),又稱智能卡(SmartCard)。該種卡頻率為13.56MHz,可讀寫,容量大,共分16個扇區,有加密功能,數據記錄可靠,使用方便,如一卡通系統、消費系統等,目前主要有PHILIPS的Mifare1系列卡。ID卡全稱身份識別卡(IdentificationCard),是一種不可寫入的感應卡,含固定的編號,頻率為125KHz,目前主要有EM、HID、TI、INDALA等種類。
ID卡由于其安全性差,容易復制,主要用于低端市場,以及對安全性要求較低的場合,因而IC卡成為門禁系統的首選。業界普遍認同的IC卡首推NXP的Mifare1卡,開放性和通用性都比較好,像廣州的“羊城通”卡就是用的Mifare1卡。
一個消息的傳出震驚了整個IC卡行業。德國和美國的研究人員成功地破解了NXP的Mifare1芯片的安全算法。Mifare1芯片主要用于門禁系統訪問控制卡,以及一些小額支付卡,應用范圍已覆蓋全球。因此這項“成果”引起了不小的恐慌,因為一個掌握該破解技術的不法分子可以克隆任何一個門禁卡,從而自由進出政府機關大樓或公司辦公室;可以批量克隆或偽造各種儲值卡大肆購物而不被發現。國內發行的這種卡,估計有幾億張在投入使用,它的安全性涉及到眾多的運營單位和持卡人的利益。通過這種方法,破壞者可以使用非常廉價的設備在40ms內就可以輕易獲得一張M1卡的密碼。
在Mifare1卡片安全問題暴露后,一些公司公開宣稱已經有了解決的辦法,其中的法寶就是所謂“一卡一密”,也就是每一張卡片的每一個扇區的密鑰都不相同,使用CPU卡裝載系統根密鑰,根據Mifare1卡的唯一序列號計算子密鑰,防止一張卡片被破解而影響整個系統。其實這種解決方案在Mifare1卡破解之前就已經出現。那么,一卡一密真的能解決Mifare1的安全問題么,我們還是要從Mifare1卡的認證機制著手進行分析。
實際上,這種一卡一密的做法是借用了CPU卡認證機制中的一卡一密概念,然而它在有意無意間忽略了一個非常重要的事實,即CPU卡和邏輯加密卡是完全不同的兩種卡片,它們的認證機制完全不同。CPU卡由于內部具有CPU處理器和操作系統COS,認證的過程完全是在用戶卡與SAM卡之間進行的,認證過程中傳送的是隨機數和密文,讀卡器基站芯片只是一個通訊通道,認證過程不能復制,使用的算法是公開算法,其安全性是基于CPU卡對密鑰的保護而非對算法的保護。
密鑰在用戶卡和SAM卡內都不能讀出,而且密鑰的安裝是通過密文進行,系統上線后即使是發卡人員和開發人員也無法得到密鑰明文,從根本上保證了系統的安全性。正是由于意識到了Mifare1卡潛在的安全性問題,建設部才多次開會推廣使用CPU卡。雙界面CPU卡更是由于其應用的靈活性和對金融規范的支持得到了各方的贊賞。
國內門禁市場正在將經歷“洗牌”,相當多不具備研發實力或技術實力的小規模企業將因此生存更加艱難,而具備強大研發實力、創新技術的廠家將越來越強大,兩極分化進一步加劇。
本篇文章來源于中國安防網:http://news.c-ps.net/2011/3/57914.html