CPU卡加密系統與M1加密系統的比較

非接觸CPU卡與邏輯加密卡

　　1、 邏輯加密存儲卡：在非加密存儲卡的基礎上增加了加密邏輯電路，加密邏輯電路通過(guò)校驗密碼方式來(lái)保護卡內的數據對于外部訪(fǎng)問(wèn)是否開(kāi)放，但只是低層次的安全保護，無(wú)法防范惡意性的攻擊。

　　早期投入應用的非接觸IC卡技術(shù)多為邏輯加密卡，比如最為著(zhù)名的Philips公司(現NXP)的Mifare 1卡片。非接觸邏輯加密卡技術(shù)以其低廉的成本，簡(jiǎn)明的交易流程，較簡(jiǎn)單的系統架構，迅速得到了用戶(hù)的青睞，并得到了快速的應用和發(fā)展。據不完全統計，截至去年年底，國內各領(lǐng)域非接觸邏輯加密卡的發(fā)卡量已經(jīng)達到數億張。

　　隨著(zhù)非接觸邏輯加密卡不斷應用的過(guò)程，非接觸邏輯加密卡技術(shù)的不足之處也日益暴露，難以滿(mǎn)足更高的安全性和更復雜的多應用的需求。特別是2008年10月，互聯(lián)網(wǎng)上公布了破解MIFARE CLASSIC IC芯片(以下簡(jiǎn)稱(chēng)M1芯片)密碼的方法，不法分子利用這種方法可以很低的經(jīng)濟成本對采用該芯片的各類(lèi)“一卡通”、門(mén)禁卡進(jìn)行非法充值或復制，帶來(lái)很大的社會(huì )安全隱患。因此，非接觸CPU卡智能卡技術(shù)正成為一種技術(shù)上更新?lián)Q代的選擇。

　　2、非接觸CPU卡：也稱(chēng)智能卡，卡內的集成電路中帶有微處理器CPU、存儲單元(包括隨機存儲器RAM、程序存儲器ROM(FLASH)、用戶(hù)數據存儲器EEPROM)以及芯片操作系統COS。裝有COS的CPU卡相當于一臺微型計算機，不僅具有數據存儲功能，同時(shí)具有命令處理和數據安全保護等功能。

　　(1)、非接觸CPU卡的特點(diǎn)(與存儲器卡相比較) 芯片和COS的安全技術(shù)為CPU卡提供了雙重的安全保證自帶操作系統的CPU卡對計算機網(wǎng)絡(luò )系統要求較低，可實(shí)現脫機操作;可實(shí)現真正意義上的一卡多應用，每個(gè)應用之間相互獨立，并受控于各自的密鑰管理系統。存儲容量大，可提供1K-64K字節的數據存儲。

　　(2)、獨立的保密模塊 -- 使用相應的實(shí)體SAM卡密鑰實(shí)現加密、解密以及交易處理，從而完成與用戶(hù)卡之間的安全認證。

非接觸CPU卡安全系統與邏輯加密系統的比較

　　密鑰管理系統(Key Management System)，也簡(jiǎn)稱(chēng)KMS，是IC項目安全的核心。如何進(jìn)行密鑰的安全管理，貫穿著(zhù)IC卡應用的整個(gè)生命周期。

　　1、非接觸邏輯加密卡的安全認證依賴(lài)于每個(gè)扇區獨立的KEYA和KEYB的校驗，可以通過(guò)扇區控制字對KEYA和KEYB的不同安全組合，實(shí)現扇區數據的讀寫(xiě)安全控制。非接觸邏輯加密卡的個(gè)人化也比較簡(jiǎn)單，主要包括數據和各扇區KEYA、KEYB的更新，在期間所有敏感數據包括KEYA和KEYB都是直接以明文的形式更新。

　　由于KEYA和KEYB的校驗機制，只能解決卡片對終端的認證，而無(wú)法解決終端對卡片的認證，即我們俗稱(chēng)的“偽卡”的風(fēng)險。

　　非接觸邏輯加密卡，即密鑰就是一個(gè)預先設定的固定密碼，無(wú)論用什么方法計算密鑰，最后就一定要和原先寫(xiě)入的固定密碼一致，就可以對被保護的數據進(jìn)行讀寫(xiě)操作。因此無(wú)論是一卡一密的系統還是統一密碼的系統，經(jīng)過(guò)破解就可以實(shí)現對非接觸邏輯加密卡的解密。很多人認為只要是采用了一卡一密、實(shí)時(shí)在線(xiàn)系統或非接觸邏輯加密卡的ID號就能避免密鑰被解密，其實(shí)，非接觸邏輯加密卡被解密就意味著(zhù)M1卡可以被復制，使用在線(xiàn)系統盡可以避免被非法充值，但是不能保證非法消費，即復制一張一樣ID號的M1卡，就可以進(jìn)行非法消費?，F在的技術(shù)使用FPGA就可以完全復制?；谶@個(gè)原理，M1的門(mén)禁卡也是不安全的。目前國內80%的門(mén)禁產(chǎn)品均是采用原始IC卡的UID號或ID卡的ID號去做門(mén)禁卡，根本沒(méi)有去進(jìn)行加密認證或開(kāi)發(fā)專(zhuān)用的密鑰，其安全隱患遠遠比Mifare卡的破解更危險，非法破解的人士只需采用的是專(zhuān)業(yè)的技術(shù)手段就可以完成破解過(guò)程，導致目前國內大多數門(mén)禁產(chǎn)品都不具備安全性原因之一，是因為早期門(mén)禁產(chǎn)品的設計理論是從國外引進(jìn)過(guò)來(lái)的，國內大部分廠(chǎng)家長(cháng)期以來(lái)延用國外做法，采用ID和IC卡的只讀特性進(jìn)行身份識別使用，很少關(guān)注卡與機具間的加密認證，缺少鑰匙體系的設計;而ID卡是很容易可復制的載體，導致所有的門(mén)禁很容易幾乎可以在瞬間被破解復制;這才是我們國內安防市場(chǎng)最大的災難。

　　2、非接觸CPU卡智能卡與非接觸邏輯加密卡相比，擁有獨立的CPU處理器和芯片操作系統，所以可以更靈活的支持各種不同的應用需求，更安全的設計交易流程。但同時(shí)，與非接觸邏輯加密卡系統相比，非接觸CPU卡智能卡的系統顯得更為復雜，需要進(jìn)行更多的系統改造，比如密鑰管理、交易流程、PSAM卡以及卡片個(gè)人化等。密鑰通常分為充值密鑰(ISAM卡)，減值密鑰(PSAM卡)，身份認證密鑰(SAM卡)。