智能卡安全攻略
文章出處:http://m.overnightmodel.com 作者:大明五洲 人氣: 發(fā)表時(shí)間:2011年09月09日
一、 威脅系統(tǒng)安全的人為因素
威脅到一卡通系統(tǒng)的安全有外部的客觀環(huán)境,更有人為的惡意破壞。
所謂客觀環(huán)境對(duì)公交一卡通收費(fèi)系統(tǒng)的影響,是指由于系統(tǒng)中使用到的各種IC卡、各類設(shè)備廣泛散布于市民的手中和公共交通車輛等環(huán)境中,它們面臨的客觀環(huán)境非常復(fù)雜和惡劣,對(duì)IC卡及設(shè)備的干擾、破壞如彎折、腐蝕、靜電、輻射、塵污、溫度、濕度、磁場(chǎng)等因素,可以對(duì)IC卡及設(shè)備產(chǎn)生重大影響,嚴(yán)重影響系統(tǒng)信息的持久性和準(zhǔn)確性。面對(duì)這些來源于外部客觀環(huán)境的破壞,我們可以在系統(tǒng)設(shè)計(jì)、IC卡制造、機(jī)具生產(chǎn)等方面有針對(duì)性采取某些特別的措施,通過采用專門的設(shè)計(jì)和優(yōu)良的產(chǎn)品,提高系統(tǒng)的抗干擾、抗腐蝕的能力,確保系統(tǒng)的運(yùn)轉(zhuǎn)不受影響。如何設(shè)計(jì)系統(tǒng)防止外部客觀環(huán)境對(duì)系統(tǒng)的損壞的問題不是本文討論的目標(biāo)。
本文要論述的是那些由于人為蓄意侵犯、攻擊而給系統(tǒng)信息的保密性、完整性、真實(shí)性、可獲取性和持久性進(jìn)行破壞的可能性,這些才是系統(tǒng)安全技術(shù)重點(diǎn)防范的主要威脅對(duì)象。
一個(gè)系統(tǒng)的安全性,我們應(yīng)該從以下幾個(gè)方面進(jìn)行考察:
(1) 保密性:防范對(duì)未經(jīng)授權(quán)的信息存取的能力;
(2) 完整性:防范對(duì)未經(jīng)授權(quán)的信息更改(增、刪、改)的能力;
(3) 真實(shí)性:在信息的發(fā)送和接收過程中,對(duì)信息真?zhèn)涡缘蔫b別能力;
(4) 可獲取性:防范對(duì)未經(jīng)授權(quán)的信息截取的能力;
(5) 持久性:對(duì)系統(tǒng)信息長久準(zhǔn)確、可靠地保存的能力。
我們應(yīng)該清楚:入侵者對(duì)系統(tǒng)進(jìn)行非法攻擊所采取的手段是多種多樣,針對(duì)不同的對(duì)象他們有不同的做法,各種手段層出不窮、無所不用!因此在公交一卡通系統(tǒng)的建設(shè)中,我們應(yīng)該全方位地考察系統(tǒng)的安全性,包括:
* 對(duì)IC卡的攻擊
* POS機(jī)安全技術(shù)
* 密碼管理體系
* 數(shù)據(jù)傳輸
* 網(wǎng)絡(luò)安全技術(shù)
* 中心數(shù)據(jù)庫安全技術(shù)
* 行政管理措施
二、 系統(tǒng)安全設(shè)計(jì)的原則
既然公交一卡通系統(tǒng)對(duì)安全性有很高的要求,在系統(tǒng)設(shè)計(jì)時(shí),我們就要把系統(tǒng)的安全性放在重要的位置進(jìn)行考慮。
對(duì)于公交企業(yè)的用戶們,由于專業(yè)著重點(diǎn)的不同,他們不可能對(duì)IC卡、對(duì)系統(tǒng)安全技術(shù)都能有透徹的認(rèn)識(shí),面對(duì)琳瑯滿目、鋪天蓋地的廣告,如何才能找到一套既適合自己又安全可靠的系統(tǒng),確實(shí)令人眼花繚亂,我們對(duì)公交用戶的這一心情深感理解。通過參與多個(gè)地方的公交系統(tǒng)的建設(shè),通過與眾多的公交企業(yè)和IC卡界的同行進(jìn)行交流后,我們總結(jié)了一些實(shí)際的經(jīng)驗(yàn)和體會(huì),也總結(jié)出一些簡(jiǎn)單可行的方法,在此愿意向公交用戶提出,希望能為他們?cè)O(shè)計(jì)和建設(shè)系統(tǒng)的安全性提供參考,也希望能幫助他們?nèi)ヨb別和甄選市場(chǎng)上各類的系統(tǒng)或產(chǎn)品。
怎樣的系統(tǒng)才有可信賴的安全性?
我們認(rèn)為一套安全的一卡通系統(tǒng)至少要符合如下的基本原則:
1、 一定要嚴(yán)格遵守國家關(guān)于安全產(chǎn)品的法規(guī)
早在1999年,國家總理朱镕基就簽發(fā)了《商用密碼管理?xiàng)l例》,以國家法律條文的形式規(guī)范了商業(yè)密碼及其產(chǎn)品的使用。
按照這個(gè)條例的規(guī)定,城市公交一卡通收費(fèi)系統(tǒng)所涉及的安全性能問題屬于商業(yè)密碼管理的范圍,適用于該條例的使用。條例的第三條和第四條明確規(guī)定:
第三條 商用密碼技術(shù)屬于國家秘密。國家對(duì)商用密碼產(chǎn)品的科研、生產(chǎn)、銷售和使用實(shí)行??毓芾怼?
第四條 國家密碼管理委員會(huì)及其辦公室(以下簡(jiǎn)稱國家密碼管理機(jī)構(gòu))主管全國的商用密碼管理工作。
由于商用密碼的特殊性,國家立例要對(duì)它實(shí)行??貙9?。由國家密碼管理委員會(huì)指定的安全產(chǎn)品和技術(shù),都是經(jīng)過有關(guān)的專家和權(quán)威人士對(duì)其進(jìn)行詳細(xì)、周密、細(xì)致的論證后,才能作出“指定專用”的結(jié)論,是具有十分權(quán)威與專業(yè)的認(rèn)證。這對(duì)于一個(gè)公交IC卡系統(tǒng)的應(yīng)用者,是具有很好的指導(dǎo)、指引的作用,不但可以從專業(yè)的角度、權(quán)威的角度為我們提供指導(dǎo)與幫助,也免除了用戶面對(duì)鋪天蓋地的廣告宣傳的無可適從、無從選擇的擔(dān)憂。
按照這個(gè)條例去行動(dòng),不但可以免除我們對(duì)產(chǎn)品選擇的憂慮,同時(shí)可大大減輕用戶對(duì)產(chǎn)品進(jìn)行考察與論證的工作量,反之,不執(zhí)行國家的這一法規(guī),不但可能給系統(tǒng)的生存帶來災(zāi)難性的影響,同時(shí)系統(tǒng)的使用者還有可能要面對(duì)嚴(yán)峻的法律。
2、 一定要符合建設(shè)部的頒發(fā)的行業(yè)標(biāo)準(zhǔn)
隨著IC卡技術(shù)及產(chǎn)品在城市建設(shè)事業(yè)中的應(yīng)用越來越廣泛,為了提高城市管理水平、促進(jìn)應(yīng)用行業(yè)社會(huì)效益、經(jīng)濟(jì)效益的增長,規(guī)范建設(shè)事業(yè)IC卡應(yīng)用市場(chǎng),建設(shè)部頒發(fā)了在有多個(gè)企業(yè)共同參與制訂的關(guān)于建設(shè)事業(yè)IC卡應(yīng)用的技術(shù)規(guī)范和應(yīng)用規(guī)范,這是建設(shè)部貫徹落實(shí)國家對(duì)金卡工程提出的統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一發(fā)卡、統(tǒng)一管理的原則,同時(shí)也是我國建設(shè)事業(yè)方面應(yīng)用IC卡技術(shù)的最權(quán)威的行業(yè)規(guī)范。
今年(2002年)6月,建設(shè)部正式頒發(fā)的《建設(shè)事業(yè)IC卡應(yīng)用》的規(guī)范,是建設(shè)部最新頒布的規(guī)范,她包括了對(duì)IC卡片的要求、對(duì)終端技術(shù)的要求、對(duì)應(yīng)用技術(shù)的要求、對(duì)密鑰系統(tǒng)和安全認(rèn)證技術(shù)的要求等,不但從一些物理特性、應(yīng)用特性上對(duì)應(yīng)用進(jìn)行了規(guī)范,而且從應(yīng)用的安全性上也提出了重要的論述和操作指導(dǎo),規(guī)定了各類安全的操作流程和安全算法,按照這個(gè)規(guī)范去建設(shè)系統(tǒng),無疑可以嚴(yán)格保證我們所建立的系統(tǒng)的安全性。應(yīng)該說這套規(guī)范是全面而實(shí)用的,確實(shí)對(duì)行業(yè)進(jìn)行IC卡應(yīng)用具有指導(dǎo)性、指示行、實(shí)用性,因此作為一卡通用戶的行業(yè)用戶完全可以用此規(guī)范對(duì)市場(chǎng)上各種系統(tǒng)和產(chǎn)品進(jìn)行甄選,也應(yīng)該是判斷各種產(chǎn)品的其中一個(gè)重要標(biāo)準(zhǔn)。
值得注意的是,在建設(shè)部頒發(fā)的規(guī)范中,關(guān)于應(yīng)用系統(tǒng)安全要求(7.3節(jié))中提出的“安全保密的基本原則”(7.3.1)中指出: 根據(jù)目前我國建設(shè)部所轄行業(yè)的實(shí)際情況,建設(shè)事業(yè)IC卡應(yīng)用安全保密的基本原則是:
a) 安全服從于國家利益:任何部門或機(jī)構(gòu)在實(shí)施安全管理時(shí)應(yīng)遵循國家有關(guān)法律、法規(guī),并接收國家相關(guān)部門的指導(dǎo)、監(jiān)督和檢查。
b) 獨(dú)立自主:在建設(shè)事業(yè)IC卡應(yīng)用中,凡涉及安全保密的重要環(huán)節(jié),所用技術(shù)與產(chǎn)品應(yīng)遵守國家有關(guān)管理部門的規(guī)定。
c) 選用成熟技術(shù):建設(shè)事業(yè)IC卡應(yīng)用系統(tǒng)應(yīng)盡量采用成熟的技術(shù)和產(chǎn)品。
在這里,建設(shè)部的規(guī)范以“基本原則”的方式強(qiáng)調(diào)了所建的系統(tǒng)必須符合國家的法律,必須接收國家相關(guān)部門的指導(dǎo)、監(jiān)督和檢查,這不僅體現(xiàn)了國家法律的嚴(yán)肅性,更主要的是能在根本上確保系統(tǒng)的安全性。
建設(shè)部的規(guī)范關(guān)于系統(tǒng)安全的規(guī)定是多方位的,我們?cè)谙旅娴恼撌鲋袝?huì)逐步提到。
3、 符合人民銀行關(guān)于金融方面的標(biāo)準(zhǔn)
一卡通系統(tǒng)與經(jīng)濟(jì)利益、金融結(jié)算密不可分,有些系統(tǒng)還需要把銀行引入到系統(tǒng)中來。所以這些系統(tǒng)的設(shè)計(jì)、卡片的規(guī)劃、機(jī)具的應(yīng)用等還必須符合人民銀行的有關(guān)規(guī)范。
人民銀行關(guān)于IC卡應(yīng)用的多項(xiàng)規(guī)范,除了是保證各銀行的IC卡系統(tǒng)有統(tǒng)一的操作方式、數(shù)據(jù)信息有統(tǒng)一的交換格式外,更重要的是保證對(duì)銀行系統(tǒng)的安全特性有統(tǒng)一的規(guī)定,以確保我國金融系統(tǒng)的運(yùn)轉(zhuǎn)有嚴(yán)格的、可控制、規(guī)范的安全特性。
人民銀行的規(guī)范對(duì)建設(shè)事業(yè)單位應(yīng)用IC卡系統(tǒng)有同樣重要的指導(dǎo)與參考作用,事實(shí)上,建設(shè)部的規(guī)范是在參考人民銀行的規(guī)范的基礎(chǔ)上,通過增加自己特色的規(guī)定而發(fā)展起來的,兩者沒有沖突。在可能的情況下,特別是在包含金融企業(yè)在內(nèi)的建設(shè)事業(yè)IC卡系統(tǒng)中,我們應(yīng)該共同遵守建設(shè)部、人民銀行制訂的各項(xiàng)標(biāo)準(zhǔn)。換句話說,在對(duì)市場(chǎng)上各種系統(tǒng)和產(chǎn)品進(jìn)行考察時(shí),應(yīng)重點(diǎn)考察它們能否很好遵守建設(shè)部、人民銀行制訂的各項(xiàng)標(biāo)準(zhǔn)。
4、 可供參考的其它權(quán)威部門所頒發(fā)的資質(zhì)認(rèn)證和檢驗(yàn)證書
由于一卡通系統(tǒng)是一個(gè)龐大的系統(tǒng),在有些方面,商密辦、建設(shè)部、人民銀行等方面沒有作出規(guī)范前,我們也可以參考有關(guān)部門、權(quán)威機(jī)構(gòu)等所頒發(fā)的資質(zhì)認(rèn)證和檢驗(yàn)證書作為補(bǔ)充,以便對(duì)市場(chǎng)上各類系統(tǒng)和產(chǎn)品進(jìn)行甄選,以防有些單位魚目混珠,趁機(jī)推銷不良產(chǎn)品。例如信息產(chǎn)業(yè)部、公安部等在系統(tǒng)集成資質(zhì)認(rèn)證、布線系統(tǒng)、防病毒等方面的認(rèn)證也是很好的參考,至少可以對(duì)某些單位或系統(tǒng)的能力有說明的作用。
三、 卡的安全性
在一卡通系統(tǒng)的各行業(yè)中,在用現(xiàn)金付費(fèi)的場(chǎng)合中,假幣的出現(xiàn)難以杜絕。同樣,在采用IC卡付費(fèi)時(shí),IC卡作為電子貨幣的載體,大量散發(fā)于廣大市民手中,是破壞者最易攻擊的對(duì)象之一,特別是在一個(gè)包含有大量應(yīng)用在內(nèi)的一卡通系統(tǒng)中,系統(tǒng)高度的復(fù)雜性會(huì)給入侵者提供更多的機(jī)會(huì),同樣會(huì)引發(fā)假卡的出現(xiàn)。
防范對(duì)IC卡的攻擊,我們通常要考慮如下幾個(gè)方面:
1、 芯片的安全技術(shù) 防范對(duì)IC卡芯片的攻擊,是IC卡芯片安全的基礎(chǔ),各芯片廠家在設(shè)計(jì)時(shí)就應(yīng)注意采取各類的安全保護(hù)措施,以防范敵手的惡意攻擊和探測(cè),一般較為常用的芯片安全技術(shù)有:
(1) 采用燒斷熔絲的技術(shù)是芯片制造商用于對(duì)芯片進(jìn)行檢測(cè)的功能無法再次使用;
(2) 加入特別的技術(shù),防止對(duì)芯片工作中高低電壓變化、頻率變化等多項(xiàng)探測(cè)的攻擊;
(3) 加入監(jiān)控技術(shù),防止對(duì)程序、數(shù)據(jù)總線、地址總線等信息的非法截?。?
(4) 加入對(duì)總線和存儲(chǔ)器的物理保護(hù)層;
(5) 隨機(jī)數(shù)產(chǎn)生的技術(shù);
(6) 實(shí)施對(duì)存儲(chǔ)器的邏輯加密保護(hù),并設(shè)置密碼輸入錯(cuò)誤計(jì)數(shù)器;
對(duì)于一卡通系統(tǒng)用戶來說,這些技術(shù)雖然是屬于芯片廠家的問題,但我們也應(yīng)該對(duì)它們有所了解,掌握芯片安全技術(shù)的發(fā)展動(dòng)態(tài),通過比較選擇出最適合自己系統(tǒng)的產(chǎn)品。
2、 卡片的軟件安全技術(shù)
上述提到的芯片安全技術(shù),是芯片的硬件安全技術(shù),如果我們采用CPU卡則還可借助卡內(nèi)的操作系統(tǒng)COS(Chip Operation System),獲取更為完善的安全保護(hù),這是卡片的軟件安全技術(shù)。 通過COS我們可以得到如下的安全保護(hù)功能:
(1) IC卡與外部讀寫器的相互驗(yàn)證;
(2) 硬件+軟件的測(cè)試功能;
(3) 隨機(jī)數(shù)的產(chǎn)生與應(yīng)用;
(4) 對(duì)信息的加密與解密;
(5) 對(duì)應(yīng)用程序流程的控制;
(6) 對(duì)安全應(yīng)用級(jí)別的控制;
(7) 多應(yīng)用的隔離或結(jié)合。
由于有了COS這一軟件的產(chǎn)品,使IC卡的安全控制方式可以是多種多樣、靈活多變,使我們的應(yīng)用更加多姿多彩。當(dāng)然為了保證應(yīng)用的一致性和安全性,各個(gè)行業(yè)的管理部門,會(huì)根據(jù)本行業(yè)的特點(diǎn)制定相應(yīng)的COS規(guī)范,如建設(shè)部、人民銀行都有對(duì)COS制定自己的規(guī)范,并建立相應(yīng)的檢測(cè)和認(rèn)證部門,對(duì)市場(chǎng)上的相關(guān)產(chǎn)品進(jìn)行檢測(cè)和頒證,為用戶的選擇提供權(quán)威的鑒證。
在當(dāng)今的一卡通市場(chǎng)上,由于產(chǎn)品價(jià)格、以及設(shè)備、技術(shù)等應(yīng)用的成熟性等原因,目前在公交一卡通系統(tǒng)中作為大量發(fā)到市民手中的用戶卡,還是采用非接觸式的邏輯加密卡,從理論上來說它們的安全保密性雖然不如CPU卡,但如果結(jié)合下面提到的卡片應(yīng)用的安全技術(shù),加上卡片本身已有的安全措施,同樣可以在一段時(shí)間內(nèi)達(dá)到安全應(yīng)用的要求。
3、 卡片的應(yīng)用安全技術(shù)
卡片的應(yīng)用安全技術(shù)也可分為兩種:一種是卡片表面的防偽技術(shù),另一種是應(yīng)用中的信息安全處理技術(shù)。
(1)卡片表面的防偽技術(shù):為了進(jìn)一步提高安全卡片的防偽性,可以在卡基的制造、印刷上采取各種保護(hù)措施:
A、熒光圖象:采用熒光圖象的印刷技術(shù),使得印刷的圖象可以在紫外光下顯現(xiàn)。 B、微縮曲線:普通看去是一段直線或曲線,但在高倍數(shù)的放大鏡下卻是一段很小的,有一定數(shù)學(xué)規(guī)律的,由字母、文字組成的序列曲線。
C、激光雕刻:利用激光將圖形、文字、簽名、甚至照片等“刻蝕”到卡基內(nèi),而不是普通的印刷。
D、偏振光圖象:利用偏振光及材料的印刷技術(shù),一般看去只是卡片的表面圖象,但在偏振鏡片下,看到的卻是“隱藏”的另一幅圖象。
隨著印刷技術(shù)的不斷提高,各種各樣的卡面防偽技術(shù)不斷涌現(xiàn)。在我國以上這些卡片表面印刷技術(shù)已經(jīng)可以在國內(nèi)實(shí)現(xiàn),為卡片的表面防偽也能提供多種選擇。
(2)卡片的信息安全處理技術(shù):正如前面提到的,由于CPU卡具有較高的智能判斷能力,可以采用完善的驗(yàn)證技術(shù)確保信息的發(fā)送和接收都可以進(jìn)行鑒別,防止對(duì)卡和POS機(jī)具的偽造,保證信息真實(shí)性的最佳方法,使系統(tǒng)有較高的安全性,因此CPU卡一定會(huì)使用在密鑰管理、發(fā)卡、充值等這些對(duì)安全性要求很高的地方。
對(duì)于邏輯加密卡除了卡本身具有密碼校驗(yàn)功能外,卡本身沒有智能的身份驗(yàn)證功能和技術(shù),因此在系統(tǒng)設(shè)計(jì)時(shí),就需要為它們?cè)O(shè)計(jì)出一套完善的密碼計(jì)算和驗(yàn)證功能,以保證系統(tǒng)的安全及系統(tǒng)密碼不能外露。正是根據(jù)這些需要,同時(shí)也是出于指導(dǎo)和保護(hù)行業(yè)所建設(shè)的IC卡應(yīng)用系統(tǒng),建設(shè)部在頒布的有關(guān)規(guī)范中,嚴(yán)格規(guī)定了采用安全存儲(chǔ)模塊進(jìn)行卡的密碼計(jì)算的方法,切實(shí)保證了“一卡一密”的實(shí)現(xiàn),為廣大用戶提供了經(jīng)嚴(yán)格證明是安全可靠的科學(xué)方法計(jì)算方法。
要執(zhí)行建設(shè)部這一規(guī)范,我們必須具有:
A、符合建設(shè)部規(guī)范的安全存儲(chǔ)模塊(或PSAM卡(COS));
B、系統(tǒng)設(shè)計(jì)符合建設(shè)部規(guī)范的密鑰管理體系;
C、讀寫機(jī)具對(duì)卡的操作流程符合建設(shè)部規(guī)范的有關(guān)要求。
值得注意的是:雖然建設(shè)部有嚴(yán)格的規(guī)范規(guī)定了卡片密碼的計(jì)算方法,但如果在設(shè)計(jì)中不能作出全面的考慮,也會(huì)給敵手留下可怕的漏洞。
四、 密鑰管理系統(tǒng)
我們已經(jīng)看到,在一卡通系統(tǒng)中,我們是依靠密鑰來對(duì)信息進(jìn)行加密保護(hù),因此系統(tǒng)的安全很大程度上是取決于密鑰的安全。密鑰是所有加密系統(tǒng)信息安全的關(guān)鍵,任何疏忽導(dǎo)致密鑰的泄露,都可能給系統(tǒng)帶來難以估量的巨大損失。
密鑰管理是一門綜合性的管理技術(shù),她涉及到密鑰的生成、分配、傳遞、保管、使用、備份、恢復(fù)、吊銷、銷毀、更換等內(nèi)容內(nèi)容。
1、一卡通系統(tǒng)對(duì)密鑰管理系統(tǒng)的要求
根據(jù)一卡通系統(tǒng)的特點(diǎn),我們可以提出在系統(tǒng)中建設(shè)密鑰管理子系統(tǒng)的原則:
(1) 密鑰與使用人隔離;
(2) 管理嚴(yán)密,使用方便;
(3) 出現(xiàn)問題可追溯;
(4) 主密鑰不能出現(xiàn)在傳輸路徑上或保留在未經(jīng)認(rèn)證的終端設(shè)備中;
(5) 存放的密鑰不能讀出;
(6) 符合建設(shè)部規(guī)范;
(7) 按照中國人民銀行金融規(guī)范進(jìn)行設(shè)計(jì);
(8) 密鑰的儲(chǔ)存、傳輸?shù)染捎脟苻k指定的商用產(chǎn)品;
(9) 密鑰系統(tǒng)的設(shè)計(jì)按照設(shè)計(jì)、生產(chǎn)、應(yīng)用互不關(guān)聯(lián)性的原則進(jìn)行,不但從技術(shù)上確切保證用戶的安全性,更保證了用戶的自主性,使用戶在今后的系統(tǒng)擴(kuò)展中不再受制于系統(tǒng)開發(fā)商;
(10) 使用已經(jīng)完善的算法體系;
2、一卡通系統(tǒng)中的密鑰管理子系統(tǒng)的基本功能
* 密碼生成和注入;
* 密碼分發(fā)和保管;
* 密碼的傳輸;
* 密碼的使用;
* 密碼的選用、控制及更新;
* 密碼的銷毀;
3、密鑰的生成
盡管密鑰生成已有成熟的理論與基礎(chǔ),但為了保證密鑰的安全和防止泄露,在密鑰生成時(shí),應(yīng)采取以下措施:
a)密鑰生成時(shí),應(yīng)采取多人輪換操作生成的方式,或采用硬件加密的方式;
b)要嚴(yán)格保證密鑰生成環(huán)境的絕對(duì)安全;
c)應(yīng)該對(duì)參加密鑰生成的人員有嚴(yán)格的審查,完全符合系統(tǒng)的安全管理規(guī)定;
d)密鑰生成過程必須按照嚴(yán)格的操作規(guī)程,逐步進(jìn)行,對(duì)一些需要封存的數(shù)據(jù),要現(xiàn)場(chǎng)封閉,做好安全移交;
e)對(duì)于無需重復(fù)生成的密鑰,要使用隨機(jī)過程,真正生成不可重復(fù)的密鑰;對(duì)于可重復(fù)生成的密鑰,要注意密鑰變換的可重復(fù)性,以便需要之時(shí),保證能重復(fù)生成與原密鑰絕對(duì)相同的密鑰。
f)對(duì)于已經(jīng)生成的密鑰要馬上存放到CPU母卡上,保證不會(huì)泄露;
g)盡可能是在一個(gè)封閉的、有限的環(huán)境中生成密鑰;
h)密鑰生成完后,要把所有的臨時(shí)結(jié)果全部清除干凈。
4、密鑰的傳遞、保管
密鑰的傳遞應(yīng)采用層次方式,由上往下,逐級(jí)傳遞,亦即由上一級(jí)按照特定的方式生成下一級(jí)所需的各種子密鑰,密鑰的傳遞和保管依靠CPU卡形式逐級(jí)進(jìn)行。
利用CPU卡進(jìn)行密鑰的傳遞和保管是一項(xiàng)十分成熟的技術(shù),CPU卡的COS操作系統(tǒng)有非常規(guī)范的對(duì)密鑰進(jìn)行操作的指令系列,使用者只要采用經(jīng)認(rèn)證的COS系統(tǒng),相信這一步是容易實(shí)現(xiàn)的,但必須注意在密鑰的導(dǎo)出時(shí),必須采用密文方式,以保證密鑰的安全。
5、密鑰的控制、選擇、應(yīng)用
密鑰的正常使用,就是使用者按照系統(tǒng)設(shè)計(jì)方案對(duì)密碼進(jìn)行操作,為使用者提供對(duì)敏感信息的加解密以及身份認(rèn)證等多項(xiàng)功能,這些都是通過CPU卡來進(jìn)行,因此CPU卡COS操作系統(tǒng)仍然是十分重要的安全工具。
由于系統(tǒng)的不斷發(fā)展,即便是同樣的操作,使用的密鑰(密種)是可以不同的,這就是密鑰的版本控制,在密鑰管理系統(tǒng)的設(shè)計(jì)以及今后的應(yīng)用中,必須考慮這種情況的發(fā)生,應(yīng)該有一套完善、清晰的關(guān)于密鑰版本選擇、應(yīng)用的解決方案。
6、密鑰的更新
當(dāng)密鑰的生命周期結(jié)束,或者是系統(tǒng)密鑰被泄露后,系統(tǒng)應(yīng)該有進(jìn)行密鑰更新的能力,以便保護(hù)系統(tǒng)的敏感信息不再被泄露。密鑰的更換必須以不損害持卡人的利益、不影響持卡人正常使用為前提,同樣密鑰的更新過程必須保證不會(huì)影響到這個(gè)系統(tǒng)的安全性能,這些要求對(duì)設(shè)計(jì)者來說確實(shí)是一個(gè)重大挑戰(zhàn)。
密鑰的更新可以視作為:一旦發(fā)生密碼泄露的災(zāi)難事件后的應(yīng)急恢復(fù)措施。密鑰的更新有兩種做法:替換和更換。
(1)替換——在考慮到密鑰有可能被破譯或者經(jīng)過一段使用時(shí)間以后需要更換等特點(diǎn),在系統(tǒng)密鑰生成之時(shí),我們就生成多組互不關(guān)聯(lián)的密鑰組,在卡片初始化時(shí)預(yù)先安裝于卡內(nèi),一旦其中一套由于各種原因被停用后,可以馬上啟用另外一套,保證系統(tǒng)能不間斷地運(yùn)轉(zhuǎn)。當(dāng)前那一套密鑰在有效使用,是通過卡內(nèi)、設(shè)備中的“密鑰版本標(biāo)識(shí)”來指示,以便它們相互間的認(rèn)證。替換的過程是簡(jiǎn)單的:一旦系統(tǒng)需要更換密碼組,我們需要對(duì)所有的POS機(jī)中的“密鑰版本標(biāo)識(shí)”進(jìn)行設(shè)置,經(jīng)過設(shè)置后的設(shè)備,在新舊密碼更替的周期內(nèi),對(duì)前來交易的卡片首先判斷該卡片使用的密碼版本,如果已經(jīng)是新的密碼版本,就繼續(xù)操作;如果卡片仍然使用的是舊的密碼版本,在確認(rèn)該卡片的合法性后,馬上對(duì)卡片的“密鑰版本標(biāo)識(shí)”進(jìn)行更新,然后再按新的密碼體系對(duì)卡片進(jìn)行操作,密碼的更換就是這樣在用戶的不知不覺中進(jìn)行了替換。
?。?)更換——停止現(xiàn)行的密碼的使用,重新生成新的密鑰組,再重新下載到各設(shè)備、卡片中。這一過程的最大難點(diǎn)是新密鑰是如何才能安全傳輸?shù)礁髟O(shè)備和卡片中,這里涉及的是密碼的安全傳輸,和密碼更改真實(shí)性的確認(rèn)。特別是對(duì)于那些大型的系統(tǒng),為了實(shí)現(xiàn)快速的密鑰更換,有可能需要采用網(wǎng)絡(luò)進(jìn)行新密鑰的傳輸方式,為保證密鑰傳遞的安全,就必須引入非對(duì)稱性密鑰的加密算法(如RSA、ECC等),使得操作者能對(duì)發(fā)送或接收者身份的進(jìn)行確認(rèn),同時(shí)又能確保信息自身的保密性,實(shí)現(xiàn)真實(shí)性、完整性的控制。
更換密鑰對(duì)于CPU卡作為票卡的情況來說是容易的,但對(duì)于邏輯加密卡作為票卡的情況來說,把密鑰的更換工作放于普通的車載收費(fèi)機(jī)中去實(shí)現(xiàn)是不安全的(理由與上述的分段收費(fèi)的情況類似),它只能在充值點(diǎn)這種安全的環(huán)境中才能實(shí)現(xiàn),這與上面所說的不影響持卡人的使用的前提是矛盾的。因此采用更換的方法影響面很廣,應(yīng)慎重考慮。
五、 設(shè)備安全性
在公交一卡通系統(tǒng)中,各類IC卡設(shè)備,特別是車載類POS機(jī)設(shè)備,分散于各輛汽車上,流動(dòng)性大,是破壞者最易于攻擊的另一個(gè)目標(biāo),為了保證其安全為了保證其安全,系統(tǒng)在設(shè)計(jì)時(shí)除了對(duì)信息處理有嚴(yán)格安全規(guī)范外,在設(shè)備的結(jié)構(gòu)上,電路控制板上也應(yīng)采取相應(yīng)的措施:
?。?) 按照建設(shè)部的規(guī)范,我們必須采用安全性能極高的安全存儲(chǔ)模塊(SAM卡或模塊),它必須是符合建設(shè)部、中國人民銀行的規(guī)范,同時(shí)應(yīng)該是得到這些部門認(rèn)證的。
(2) 機(jī)器內(nèi)數(shù)據(jù)的存放是一式兩份,最大限度地保證機(jī)器的數(shù)據(jù)的完整性。
?。?) 存放于機(jī)器內(nèi)的數(shù)據(jù)最好是被加密的,以防被盜;
?。?) 存放于機(jī)器內(nèi)的數(shù)據(jù)一定是有校驗(yàn)碼,以確保數(shù)據(jù)的不可更改性;
(5) 機(jī)器在執(zhí)行完任一操作后,都應(yīng)忠實(shí)地把情況記錄下來,以便必要時(shí)能對(duì)機(jī)器的使用情況進(jìn)行追蹤;
?。?) 對(duì)于初始化機(jī)、售卡充值機(jī):它們除了有上述的性能外,在對(duì)使用人員的控制上,還應(yīng)加入“操作員身份證卡”的方法,即每個(gè)合法的操作員均有一張CPU卡作身份驗(yàn)證,里面放置該人員的信息、密碼,操作時(shí)只有經(jīng)過驗(yàn)證是合法的CPU卡才能從中獲得進(jìn)門的密鑰;該CPU卡同時(shí)還存有對(duì)售卡充值金額等方面進(jìn)行適當(dāng)限制的信息,防止身份證的惡性“丟失”,每張CPU身份證卡,要定期到控制中心進(jìn)行“更新”確認(rèn)。
(7) 所有設(shè)備的工作流程要按建設(shè)部的規(guī)范實(shí)施。
?。?) 設(shè)備應(yīng)有較大的黑名單數(shù)據(jù)容量。
六、 系統(tǒng)的其它安全性
1、網(wǎng)絡(luò)安全
?。?) 任何在網(wǎng)上傳輸?shù)男畔⒍际且鸭用艿?,系統(tǒng)實(shí)現(xiàn)了應(yīng)用層的保護(hù)。
(2) PC機(jī)與IC卡讀寫器間的通訊有嚴(yán)格的接口規(guī)范,它們之間具有動(dòng)態(tài)的識(shí)別、加密傳輸功能,實(shí)現(xiàn)了包傳輸?shù)募用?,任何偵聽、加插、偽造的操作都是無效的。這些措施也是金融IC卡進(jìn)行身份驗(yàn)證和數(shù)據(jù)保密傳遞的技術(shù)。
(3) 傳輸信息與校驗(yàn)信息一起傳送,可防止信息的非授權(quán)更改。
?。?) 管理中心在收到信息后,要在數(shù)據(jù)庫中檢查正確后才能入庫,防止信息的重復(fù)投遞。 ?。?) 身份權(quán)限的控制:實(shí)行嚴(yán)格的密碼管理制度,每個(gè)在系統(tǒng)上工作的人員都有自己的編號(hào)和密碼,該密碼對(duì)任何人(包括上級(jí)人員)均保密。本系統(tǒng)密碼對(duì)系統(tǒng)開發(fā)者(供貨商)也是保密的
?。?) 訪問權(quán)限的控制:通過嚴(yán)格的安全體系保證系統(tǒng)上的開發(fā)者、使用者、發(fā)行者之間互相絕緣,各有獨(dú)立密碼系統(tǒng)不被別人竊取。
(7) 路由控制:網(wǎng)絡(luò)管理中應(yīng)配備防火墻,路由控制等多重控制,因而任何想通過這些關(guān)卡進(jìn)入網(wǎng)絡(luò)中心是極其不易的。
?。?) 網(wǎng)絡(luò)數(shù)據(jù)的傳輸采用“下取”的方式:即從各數(shù)據(jù)匯集點(diǎn)收集到的數(shù)據(jù)量放在站點(diǎn)機(jī)器上,由管理中心(或營運(yùn)公司計(jì)算機(jī)室)按照時(shí)間分配,自動(dòng)撥號(hào)到這些站點(diǎn)機(jī)上進(jìn)行存取,從而使中心通訊機(jī)的使用得到控制。
(9) 為了防止病毒的攻擊,系統(tǒng)設(shè)計(jì)在網(wǎng)絡(luò)上只進(jìn)行數(shù)據(jù)的交換,而不進(jìn)行程序的交換,任何程序的交換都是非法的,這不但是技術(shù)的控制,更重要的是行政的管理。
2、主機(jī)及中心數(shù)據(jù)庫的安全技術(shù)
中心數(shù)據(jù)庫是信息匯集的地方,更是攻擊的最終目標(biāo),系統(tǒng)采用目前流行的C/S或B/S模式,操作終端和數(shù)據(jù)中心嚴(yán)格分離,只有中心管理員才有權(quán)進(jìn)行數(shù)據(jù)庫級(jí)的操作,客戶端的操作都是通過系統(tǒng)內(nèi)部指令而進(jìn)行。
系統(tǒng)通過采用先進(jìn)、可靠、安全、成熟的核心平臺(tái)和技術(shù),這些都是可以令人信服地增強(qiáng)系統(tǒng)安全、可靠性的有力措施。
按照系統(tǒng)的規(guī)定及時(shí)進(jìn)行數(shù)據(jù)備份,及時(shí)互換密碼,在行政的規(guī)范管理上保證系統(tǒng)的安全。 系統(tǒng)應(yīng)建立完善的日志功能,對(duì)進(jìn)入系統(tǒng)的各項(xiàng)操作都進(jìn)行真實(shí)完備的記錄,以便系統(tǒng)今后的追蹤回索。
系統(tǒng)中心在處理各類營運(yùn)信息時(shí),都要對(duì)其真實(shí)性進(jìn)行判別(包括解密、校驗(yàn)碼認(rèn)證、身份認(rèn)證等)后才能加入到主數(shù)據(jù)庫中,其運(yùn)算量是很大的。因此在中心機(jī)房一定要采用一卡通專用的加密機(jī),一方面可以為系統(tǒng)的運(yùn)轉(zhuǎn)提供較大的數(shù)據(jù)處理吞吐能力,另一方面可保證不會(huì)泄露有關(guān)的密鑰信息,絕對(duì)不能把密碼直接存放于計(jì)算機(jī)中。
3、管理制度的完善
大家都知道,堡壘是最易從內(nèi)部攻破的。雖然在一卡通的設(shè)計(jì)與建設(shè)中,我們可以加入很多安全技術(shù),確保敵手不易攻破我們的防線。但如果自己內(nèi)部出現(xiàn)問題,或者破壞者就是操作員,或者是內(nèi)部人員沒有按規(guī)范操作,把敏感的東西向外界泄露等,都會(huì)給系統(tǒng)帶來不可估量的損失。因此建立、健全完善的管理體系,加強(qiáng)系統(tǒng)內(nèi)部人員的管理,也是保證系統(tǒng)安全性的一個(gè)重要方面,這方面的例子已經(jīng)存在很多,是十分值得系統(tǒng)管理者去認(rèn)真對(duì)待的。
一卡通系統(tǒng)是一個(gè)龐大的系統(tǒng),系統(tǒng)的安全性還涉及多個(gè)方面,仔細(xì)分析和總結(jié)各方面的情況,將會(huì)是一項(xiàng)艱巨而又十分有意義的工作。鑒于本文的篇幅,我們不能一一細(xì)談,有興趣的讀者,請(qǐng)與我們公司或與作者聯(lián)系,我們?cè)敢獍盐覀兊慕逃?xùn)和經(jīng)驗(yàn)與大家共享,共同促進(jìn)我國公交一卡通事業(yè)的向前發(fā)展。