目前一卡通市场正在大力推广的CPU卡,CPU卡也称智能卡,卡内的集成电路中带有微处理器(CPU)、存储单元(随机存储器RAM、程序存储器ROM和用户数据存储器EEPROM)以及芯片操作系统COS。装有COS的CPU卡相当于一台微型计算机,不仅具有数据存储功能,同时具有命令处理和数据安全保护等功能。
网上曝出一条消息,货车偷逃高速公路费的方式出现了修改收费信息卡的高科技手段。作案人员非法获取了高速公路收费站通行卡和收费系统软件,并通过计算机破译系统,修改了货车进站信息,并将修改信息的卡以低价卖给货车司机,让货车司机能够节省近万元。从这条信息中可以看出,高速公路收费卡在安全方面存在隐患,被不法分子利用,谋取利益。
安全重于泰山
其实,城市一卡通消费卡之前也是面临了安全隐患的挑战, 早期投入的非接触IC卡多为逻辑加密卡(简称M1卡),虽然这种卡有着低成本、简明的交易流程、简单的系统,得到了快速应用和发展,但这类卡存在一定的安全隐患。所以,现在市场上M1卡的使用变的越来越少。
目前一卡通市场正在大力推广的CPU卡,CPU卡也称智能卡,卡内的集成电路中带有微处理器(CPU)、存储单元(随机存储器RAM、程序存储器ROM和用户数据存储器EEPROM)以及芯片操作系统COS。装有COS的CPU卡相当于一台微型计算机,不仅具有数据存储功能,同时具有命令处理和数据安全保护等功能。
CPU卡成互联互通主力
2006年,按照国家关于加强安全管理的明确要求,住房和城乡建设部IC卡应用服务中心根据当时全国绝大多数城市采用的是逻辑加密卡现状,组织相关芯片厂商、COS厂商等成立“建设事业CPU卡产业与应用联盟”着手研发具有我国自主知识产权的CPU卡芯片,可操作系统,储备CPU卡的技术。旨在满足行业应用的基础上,探索一条发展国产芯片的道路,以此推动我国具有自主知识产权、安全可控的国产产品的应用。
同年住房和城乡建设部IC卡应用服务中心开始对《建设事业IC卡密钥管理系统》进行研发,使之在城市一卡通系统中应用时更具有安全性、拓展性和节能性,同时进行了升级和完善,为互联互通的实施提供了统一密钥体系的支持。2008年,启动与CPU卡为寄出的全国城市一卡通互联互通利国惠民项目;2010年10月,确认全国首批城市一卡通互联互通的9个试点城市。
截止到今年10月,全国城市一卡通互联互通利国惠民项目已经有35个城市加入,全国已发行具备互联互通功能的CPU卡超过1亿张。未来还会有更多的城市加入到互联互通当中,CPU卡的应用量也会更多,而且还会对CPU卡片安全加大投入力度,避免不法分子不谋而获。住房和城乡建设部IC卡应用服务中心将加大推动CPU卡的应用推广升级及系统改造工作,计划在2018年停止对M1卡的技术支持及维护工作。
1、 门禁卡是什么格式的?IC、射频、磁卡。感应卡是接触还是非接触。
2、如果是非接触卡,一般可以剪,但必须保证有信号部分不能被剪掉。
3、如果是接触式的,特别是有卡槽的那种感应卡,应该不要剪,避免无法操作。
4、总之,一般的卡片为了好带,都做成了标准大小,但其实核心起作用部位并不大,只要不破坏读取部位,剪小了应该没有关系。
对于那些没有发行过Mifare而准备直接发行非接触CPU公交卡的地方来说,也有一些前车之鉴可以参考。
首先,整体规划要完整,对于上面提到的应用范围、对于非交通领域的扩展,是否和银行合作等,都要首先靠考虑清楚,这样才能勾勒出一个比较清晰的系统轮廓;
其次,机具的标准要规范,因为公交领域对于机具的测试远没有银行系统严格,所以很多机具连基本的ISO14443规范都没有遵守,这样的系统往往不具备兼容性,和可扩展性。用户容易被某一家厂商捆住手脚。好的办法是请专业的检测机构进行兼容性测试,让标准公开透明,当然这样做的结果是一些暗箱操作就不可能存在了。
再次,对于非接触CPU卡的应用标准应尽量采用已有的通用规范,尽可能少地添加私有的改动。因为不同城市公交运营模式、计价方式都存在很多差异,在发行公交IC卡之前已经形成的模式都希望在发行公交IC卡之后还能保留。这样就造成了不同城市之间在制定具体应用需求的时候千差万别。但是如果从全省、跨省的互联互通的角度去看,那么应该借由发行公交IC卡的契机彻底改变原来复杂的运营计费模式(比如北京在发行公交IC卡之后取消了就月票),为将来的互联互通打好基础。
最后,打造坚实可靠的后台系统也是非常必要的。对于Mifare被破解而言,如果后台有一个很好的安全预警系统,那么一旦发现异常交易的卡片出现,马上列入黑名单。这样可以确保那些被破解的卡片所带来的损失被降到低。对于非接触CPU卡虽然目前还没有出现被破解的问题,但是谁也保证不了将来会如何。所以在后台系统中的异常交易预警处理和黑名单机制都不可忽视。
总之,切不可认为有了非接触CPU卡就可以高枕无忧了。任何系统都有自己的优缺点,世界上没有完全的安全。只有多方面采取必要的安全手段,尽可能减少隐患,才是正确的选择。