IC卡应用安全的成本与风险探讨
文章出处:http://www.singbon.com 作者:罗洪元 人气: 发表时间:2011年09月27日
对m1问题的认识
m1问题出来后,政府和业界很重视。现有系统是否安全?新系统如何做?我曾参加过几个IC卡应用系统的安全评估,m1对IC卡推广应用做出了很大贡献,估计全球全球有20亿、国内有几亿张正在使用,因此今天想与大家探讨一下IC卡应用安全的成本与风险。
我认为安全等级定义对老系统升级、新系统建设非常重要。IC卡应用安全是信息安全的具体实现,对IC卡应用安全要有一个正确的认识:
(1) 安全是一个系统的概念
(2) 安全技术是相对的
(3) 安全是要花成本和代价的
(4) 安全技术是发展的、动态的
(5) 不同的应用,安全要求是不一样的
因此,我们只有对IC卡应用安全问题有了正确认识,才会对IC卡应用系统的安全采取哪些措施做出正确的判断和决策。
IC卡应用分类
(1)身份识别(约占45%)
门禁
证件(身份证、电子护照等)
停车场
(2)支付(约占35%)
公交一卡通
校园一卡通
ETC收费
(3)其它(约占20%)
防伪(对象是物品)
IC卡应用安全分类
目前,IC卡应用安全没有统一的分类,不同的应用应该有不同的安全级别。另外是不是所有的都需要用CPU卡?这里应该考虑的因素很多:
(1)身份识别(人、证一致性,验证时限)
门禁(不同的区域安全级别不一样)
证件(持证人身份不同安全级别不一样)
停车场(车辆重要性、区域重要性决定安全级别不一样)
(2)支付(单一功能或一卡多用,大额或小额支付,区域或全国使用等应该安全级别不一样)
公交一卡通
校园一卡通
ETC收费
(3)其它
防伪(防伪对象的价值高低、区域或全国流通,联机或脱机查询)
安全成本与风险
2008年底,国务院联合发文要求各行业对IC卡应用安全进行排查,及时发现并解决问题。工信部、公安部、安全部、国密局、建设部、交通部对IC卡应用进行全面、系统的安全检查。其中国内使用m1技术的门禁、一卡通是安全检查的重点。其实这不仅仅是花多少钱的问题,还有很多问题需要考虑到,比如成本与风险的平衡、木头屋与碉堡的关系、政治成本与风险、经济成本与风险、复制、篡改成本的可能性以及安全如何控制?做到什么程度?谁说了算?
现有系统的安全
对于我国的城市一卡通、ETC、地铁储值卡等重大IC卡应用系统,特别是采用了m1逻辑加密卡的系统,有专家建议采取以下措施,以防备这种不安全因素所带来的影响:
(1)进行实时交易数据上传,实时分析处理非正常充值数据,立即采用黑名单实时下达到终端设备;
(2)将读写终端的黑名单容量扩大到20万以上,可以实时进行增量更新;
(3)建立以GPRS为主的无线通信方式,保证数据的实时性;
(4)加强芯片厂家对UID的管理,确保芯片出厂后UID不可更改;
(5)对充值机严格管理和控制,严禁任何可能的非法数据采集;增加交易数据签名验证;
(6)优化交易流程,禁止回写功能。
对于已运行的IC卡系统,可以逐步吸收CPU卡,逐步取代m1的逻辑加密卡,从非记名向记名过渡,固定密钥系统向动态密钥系统发展,做到完全不受逻辑加密卡密码风险的影响。
新建系统的安全
这里有三条建议:
(1)建议慎重采用m1的逻辑加密卡,综合卡片成本、系统性能统一的原则,鼓励采用智能CPU卡作为支付媒介
(2)最彻底的方法是建立完全自主系统(自主标准、自主算法、自主开发)
(3)应参照《信息安全等级保护管理办法》的模式,综合各种影响安全的因素,对IC卡应的安全性进行评估,不同的安全级别采用不同的技术,真正做到成本与风险的平衡
期盼政府出台规范
本人认为,对于IC卡应用安全问题,通过前一阶段的排查、分析,国家主管部门应该总结经验,出台一套类似《信息安全等级保护管理办法》的指导性文件,这些文件应包括:管理规范、技术标准等。这些文件对指导IC卡应用安全是非常必要的。这里的《信息安全等级保护管理办法》的五个等级可以作为参考:
《信息安全等级保护管理办法》
第七条 信息系统的安全保护等级分为以下五级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。