1、第九章 RFID系統的安全 RFID RFID系統是一個開放的無線系統，其安全問題日系統是一個開放的無線系統，其安全問題日漸顯著。讀寫器、電子標簽和網絡等各個環節數據都漸顯著。讀寫器、電子標簽和網絡等各個環節數據都存在安全隱患，安全與隱私問題已經成為制約存在安全隱患，安全與隱私問題已經成為制約RFIDRFID技技術的主要因素之一。為了防止某些試圖侵入術的主要因素之一。為了防止某些試圖侵入RFIDRFID系統系統而進行的非授權訪問，或者防止跟蹤、竊取甚至惡意而進行的非授權訪問，或者防止跟蹤、竊取甚至惡意篡改電子標簽信息，必須采取措施來保證數據的有效篡改電子標簽信息，必須采取措施來保證數據的有效性

2、和隱私性，確保數據安全性。性和隱私性，確保數據安全性。9.1 RFID系統面臨的安全攻擊 RFID RFID系統中的安全問題在很多方面與計算機系統和網絡中的安系統中的安全問題在很多方面與計算機系統和網絡中的安全問題類似。從根本上說，這兩類系統的目的都是為了保護存儲的全問題類似。從根本上說，這兩類系統的目的都是為了保護存儲的數據和在系統的不同組件之間互相傳輸的數據。數據和在系統的不同組件之間互相傳輸的數據。 然而，由于以下兩點原因，處理然而，由于以下兩點原因，處理RFIDRFID系統中的安全問題更具有系統中的安全問題更具有挑戰性：挑戰性： 首先，首先，RFIDRFID系統中的傳輸是基于無線通信方

3、式的，使得傳輸的系統中的傳輸是基于無線通信方式的，使得傳輸的數據容易被數據容易被“偷聽偷聽”；其次，在；其次，在RFIDRFID系統中，特別是對于電子標簽，系統中，特別是對于電子標簽，計算能力和可編程能力都被標簽本身的成本所約束，在一個特定的計算能力和可編程能力都被標簽本身的成本所約束，在一個特定的應用中，標簽的成本越低，其計算能力也就越弱，在安全方面可防應用中，標簽的成本越低，其計算能力也就越弱，在安全方面可防止被威脅的能力也就越弱。止被威脅的能力也就越弱。9.1 RFID系統面臨的安全攻擊n常見安全攻擊類型1電子標簽數據的獲取攻擊 由于標簽本身的成本所限制，標簽本身很難具備保證安全的能力，

4、因此會面臨著許多問題。 電子標簽通常包含一個帶內存的微芯片，電子標簽上數據的安全和計算機中數據的安全都同樣會受到威脅。非法用戶可以利用合法的讀寫器或者自構一個讀寫器與電子標簽進行通信，可以很容易地獲取標簽所存儲的數據。 這種情況下，未經授權使用者可以像一個合法的讀寫器一樣去讀取電子標簽上的數據。在可寫標簽上，數據甚至可能被非法使用者修改甚至刪除。9.1 RFID系統面臨的安全攻擊2電子標簽和讀寫器之間的通信侵入 當電子標簽向讀寫器傳輸數據，或者讀寫器從電子標簽上查詢數據時，數據是通過無線電波在空中傳播的。在這個通信過程中，數據容易受到攻擊。 這類無線通信易受攻擊的特性包括以下幾個方面： （1）

5、非法讀寫器截獲數據：非法讀寫器截取標簽傳輸的數據。 （2）第三方堵塞數據傳輸：非法用戶可以利用某種方式去阻塞數據在電子標簽和讀寫器之間的正常傳輸。最常用的方法是欺騙，通過很多假的標簽響應讓讀寫器不能分辨正確的標簽響應，使得讀寫器過載，無法接收正常標簽數據，這種方法也叫做拒絕服務攻擊。 （3）偽造標簽發送數據：偽造的標簽向讀寫器提供虛假數據，欺騙RFID系統接收、處理以及執行錯誤的電子標簽數據。9.1 RFID系統面臨的安全攻擊3侵犯讀寫器內部的數據 在讀寫器發送數據、清空數據或是將數據發送給主機系統之前，都會先將信息存儲在內存中，并用它來執行某些功能。在這些處理過程中，讀寫器就像其他計算機系統

6、一樣存在安全侵入問題。4主機系統侵入 電子標簽傳出的數據，經過讀寫器到達主機系統后，將面臨現存主機系統的RFID數據的安全侵入問題。可參考計算機或網絡安全方面相關的文獻資料。 由于目前RFID的主要應用領域對隱私性的要求不高，因此對于安全、隱私問題的注意力還比較少。然而，RFID這種應用面很廣的技術，具有巨大的潛在破壞能力，如果不能很好地解決RFID系統的安全問題，隨著物聯網應用的擴展，未來遍布全球各地的RFID系統安全可能會像現在的網絡安全難題一樣考驗人們的智慧。9.2 RFID系統安全解決方案 RFID RFID的安全和隱私保護與成本之間是相互制約的。例如，根據的安全和隱私保護與成本之間是

7、相互制約的。例如，根據自動識別（自動識別（Auto-IDAuto-ID）中心的試驗數據，在設計）中心的試驗數據，在設計5 5美分標簽時，集成美分標簽時，集成電路芯片的成本不應該超過電路芯片的成本不應該超過2 2美分，這使集成電路門電路數量只能限美分，這使集成電路門電路數量只能限制在制在7.5k7.5k15k15k范圍內。一個范圍內。一個9696bitsbits的的EPCEPC芯片需要芯片需要5k5k10k10k的門電的門電路，因此用于安全和隱私保護的門電路數量不能超過路，因此用于安全和隱私保護的門電路數量不能超過2.52.5k k5 5k k，這樣的限制使得現有密碼技術難以應用。這樣的限制使得

8、現有密碼技術難以應用。 優秀的優秀的RFIDRFID安全技術解決方案應該是平衡安全、隱私保護與成本安全技術解決方案應該是平衡安全、隱私保護與成本的最佳方案。的最佳方案。 現有的現有的RFIDRFID系統安全技術可以分為兩大類：系統安全技術可以分為兩大類： （1 1）一類是通過物理方法阻止標簽與讀寫器之間通信；）一類是通過物理方法阻止標簽與讀寫器之間通信； （2 2）一類是通過邏輯方法增加標簽安全機制。）一類是通過邏輯方法增加標簽安全機制。9.2 RFID系統安全解決方案n物理方法 RFIDRFID安全的物理方法有殺死（安全的物理方法有殺死（KillKill）標簽、法拉第網罩、）標簽、法拉第網罩

9、、主動干擾、阻止標簽等。主動干擾、阻止標簽等。 殺死（殺死（KillKill）標簽）標簽的原理是使標簽喪失功能，從而阻止對標簽的原理是使標簽喪失功能，從而阻止對標簽及其攜帶物的跟蹤。但是，及其攜帶物的跟蹤。但是，KillKill命令使標簽失去了本身應有的優命令使標簽失去了本身應有的優點，如商品在賣出后，標簽上的信息將不再可用，但這樣不便于之點，如商品在賣出后，標簽上的信息將不再可用，但這樣不便于之后用戶對產品信息的進一步了解以及相應的售后服務。另外，若后用戶對產品信息的進一步了解以及相應的售后服務。另外，若KillKill識別序列號（識別序列號（PINPIN）一旦泄漏，可能導致惡意者對商品的偷

10、盜。）一旦泄漏，可能導致惡意者對商品的偷盜。 法拉第網罩（法拉第網罩（Faraday CageFaraday Cage）的原理是根據電磁場理論，由傳的原理是根據電磁場理論，由傳導材料構成的容器如法拉第網罩可以屏蔽無線電波，使得外部的無導材料構成的容器如法拉第網罩可以屏蔽無線電波，使得外部的無線電信號不能進入法拉第網罩，反之亦然。把標簽放進由傳導材料線電信號不能進入法拉第網罩，反之亦然。把標簽放進由傳導材料構成的容器可以阻止標簽被掃描，即被動標簽接收不到信號。構成的容器可以阻止標簽被掃描，即被動標簽接收不到信號。9.2 RFID系統安全解決方案n物理方法 主動干擾主動干擾無線電信號是另一種屏蔽標

11、簽的方法。標簽用戶可以通無線電信號是另一種屏蔽標簽的方法。標簽用戶可以通過一個設備主動廣播無線電信號用于阻止或破壞附近的讀寫器的操過一個設備主動廣播無線電信號用于阻止或破壞附近的讀寫器的操作。但這種方法可能導致非法干擾，使附近其他合法的作。但這種方法可能導致非法干擾，使附近其他合法的RFIDRFID系統受系統受到干擾，嚴重時可能阻斷附近其他無線系統。到干擾，嚴重時可能阻斷附近其他無線系統。 阻止標簽阻止標簽的原理是通過采用一個特殊的阻止標簽干擾的防碰撞算的原理是通過采用一個特殊的阻止標簽干擾的防碰撞算法來實現的，讀寫器讀取命令每次總獲得相同的應答數據，從而保法來實現的，讀寫器讀取命令每次總獲得

12、相同的應答數據，從而保護標簽。護標簽。9.2 RFID系統安全解決方案n邏輯方法 在在RFIDRFID安全技術中，常用邏輯方法有哈希（安全技術中，常用邏輯方法有哈希（HashHash）鎖方案、隨）鎖方案、隨機機HashHash鎖方案、鎖方案、HashHash鏈方案、匿名鏈方案、匿名IDID方案以及重加密方案等。方案以及重加密方案等。1Hash鎖 HashHash鎖是一種完善的抵制標簽未授權訪問的安全與隱私技術。鎖是一種完善的抵制標簽未授權訪問的安全與隱私技術。整個方案只需要采用整個方案只需要采用HashHash散列函數給散列函數給RFIDRFID標簽加鎖，成本很低。采標簽加鎖，成本很低。采用用

13、HashHash鎖方法控制標簽（如圖所示）讀取訪問。鎖方法控制標簽（如圖所示）讀取訪問。9.2 RFID系統安全解決方案nHash鎖工作機制1）鎖定標簽 如上圖所示，對于唯一標識號為ID的標簽，首先讀寫器隨機產生該標簽的K，計算metaID=Hash(K)，將metaID發送給標簽；由標簽將metaID存儲下來，進入鎖定狀態；最后讀寫器將（metaID，K，ID）存儲到后臺數據庫中，并以metaID為索引。2）解鎖標簽 讀寫器詢問標簽時，標簽回答metaID；然后讀寫器查詢后臺數據庫，找到對應的（metaID，K，ID）記錄，再將K值發送給標簽；標簽收到K值后，計算Hash(K)值，并與自身存

14、儲的metaID值比較，若Hash(K)=metaID，則標簽解鎖并將其ID發送給閱讀器。 HashHash鎖鎖缺點缺點：由于每次詢問時標簽回答的數據時特定的，所以：由于每次詢問時標簽回答的數據時特定的，所以它不能防止位置跟蹤攻擊；讀寫器和標簽間傳輸的數據未經加密，它不能防止位置跟蹤攻擊；讀寫器和標簽間傳輸的數據未經加密，竊聽者可以輕易地獲取標簽竊聽者可以輕易地獲取標簽K K和和IDID的值。的值。9.2 RFID系統安全解決方案2隨機Hash鎖 作為作為HashHash鎖的擴展，隨機鎖的擴展，隨機HashHash鎖解決了標簽位置隱私問題。采鎖解決了標簽位置隱私問題。采用隨機用隨機HashHa

15、sh鎖方案，讀寫器每次訪問標簽的輸出信息不同。鎖方案，讀寫器每次訪問標簽的輸出信息不同。 隨機隨機HashHash鎖原理鎖原理是標簽包含是標簽包含HashHash函數和隨機數發生器，后臺服函數和隨機數發生器，后臺服務器數據庫存儲所有標簽務器數據庫存儲所有標簽IDID。讀寫器請求訪問標簽，標簽接收到。讀寫器請求訪問標簽，標簽接收到訪問請求后，由訪問請求后，由HashHash函數計算標簽函數計算標簽IDID與隨機數與隨機數r r的的HashHash值。標簽值。標簽再發送數據給請求的閱讀器，同時讀寫器發送給后臺服務器數據再發送數據給請求的閱讀器，同時讀寫器發送給后臺服務器數據庫，后臺服務器數據庫窮舉

16、搜索所有標簽庫，后臺服務器數據庫窮舉搜索所有標簽IDID和和r r的的HashHash值，判斷值，判斷是否為對應標簽是否為對應標簽IDID，標簽接收到讀寫器發送的，標簽接收到讀寫器發送的IDID后解鎖。后解鎖。 9.2 RFID系統安全解決方案2隨機Hash鎖 假設標簽假設標簽IDID和隨機數和隨機數R R的連接即可表示為的連接即可表示為“ID|ID|R R”，然后將數，然后將數據據庫中存儲的各個標簽的庫中存儲的各個標簽的IDID值設為值設為ID1ID1，ID2ID2，IDIDk k，IDIDn n。 鎖定標簽鎖定標簽：向未鎖定標簽發送鎖定指令，即可鎖定該標簽。：向未鎖定標簽發送鎖定指令，即可

17、鎖定該標簽。 解鎖標簽解鎖標簽：讀寫器向標簽：讀寫器向標簽IDID發出詢問，標簽產生一個隨機數發出詢問，標簽產生一個隨機數R R，計算計算HashHash（ID|ID|R R），并將（），并將（R R，Hash(ID|Hash(ID|R R) )）數據傳輸給讀寫器；）數據傳輸給讀寫器；讀寫器收到數據后，從后臺數據庫取得所有的標簽讀寫器收到數據后，從后臺數據庫取得所有的標簽IDID值，分別計算值，分別計算各個各個HashHash（ID|ID|R R）值，并與收到的）值，并與收到的HashHash（ID|ID|R R）比較，若）比較，若HashHash（IDIDk k|R R）= Hash= Ha

18、sh（ID|ID|R R），則向標簽發送），則向標簽發送IDIDk k；若標簽收到；若標簽收到IDIDk k=ID=ID，此時標簽解鎖，如下圖所示。，此時標簽解鎖，如下圖所示。9.2 RFID系統安全解決方案隨機隨機Hash鎖方案的缺點：鎖方案的缺點： 盡管盡管Hash函數可以在低成本情況下完成，但要集成隨機數發生函數可以在低成本情況下完成，但要集成隨機數發生器到計算能力有限的低成本被動標簽上卻很困難。其次，隨機器到計算能力有限的低成本被動標簽上卻很困難。其次，隨機Hash鎖僅解決了標簽位置隱私問題，一旦標簽的秘密信息被截獲，隱私鎖僅解決了標簽位置隱私問題，一旦標簽的秘密信息被截獲，隱私侵犯者

19、可以獲得訪問控制權，通過信息回溯得到標簽歷史記錄，推侵犯者可以獲得訪問控制權，通過信息回溯得到標簽歷史記錄，推斷標簽持有者隱私。而且后臺服務器數據庫的解碼操作通過窮舉搜斷標簽持有者隱私。而且后臺服務器數據庫的解碼操作通過窮舉搜索，標簽數目很多時，系統延時會很長，效率并不高。索，標簽數目很多時，系統延時會很長，效率并不高。9.2 RFID系統安全解決方案3Hash鏈 為了解決可跟蹤性，標簽使用了為了解決可跟蹤性，標簽使用了HashHash函數在每次讀寫器訪問后函數在每次讀寫器訪問后自動更新標識符的方案，實現前向安全性。自動更新標識符的方案，實現前向安全性。 HashHash鏈原理鏈原理是標簽在存

20、儲器中設置一個隨機的初始化標識符是標簽在存儲器中設置一個隨機的初始化標識符S S1 1，這個標識符也存儲到后臺數據庫。標簽包含兩個，這個標識符也存儲到后臺數據庫。標簽包含兩個HashHash函數函數G G和和H H。當讀寫器請求訪問標簽時，標簽返回當前標簽標識符。當讀寫器請求訪問標簽時，標簽返回當前標簽標識符akak= =G G( (SkSk) )給讀寫器，標簽從電磁場獲得能量時自動更新標識符給讀寫器，標簽從電磁場獲得能量時自動更新標識符SkSk+1=+1=H H( (SkSk) )。HashHash鏈工作機制如圖所示。鏈工作機制如圖所示。9.2 RFID系統安全解決方案3Hash鏈 鎖定標簽

21、鎖定標簽：對于標簽：對于標簽IDID，讀寫器隨機選取一個數，讀寫器隨機選取一個數S S1 1發送給標發送給標簽，并將（簽，并將（IDID，S S1 1）存儲到后臺數據庫中，標簽存儲接收到）存儲到后臺數據庫中，標簽存儲接收到S S1 1后便后便進入鎖定狀態。進入鎖定狀態。 解鎖標簽解鎖標簽：在第：在第i i次事務交換中，讀寫器向標簽發出詢問消息，次事務交換中，讀寫器向標簽發出詢問消息，標簽輸出標簽輸出aiai= =GiGi，并更新，并更新SiSi+1=+1=H H( (SiSi) )，其中，其中G G和和H H為單向為單向HashHash函數。讀函數。讀寫器收到寫器收到aiai后，搜索數據庫中所

22、有的（后，搜索數據庫中所有的（IDID，S S1 1）數據對，并為每個）數據對，并為每個標簽遞歸計算標簽遞歸計算aiai= =G G( (H H( (SiSi1)1)，比較是否等于，比較是否等于aiai，若相等，則返回相，若相等，則返回相應的應的IDID。該方法使得隱私侵犯者無法獲得標簽活動的歷史信息，但。該方法使得隱私侵犯者無法獲得標簽活動的歷史信息，但不適合標簽數目較多的情況。不適合標簽數目較多的情況。9.2 RFID系統安全解決方案3Hash鏈 與之前的與之前的Hash方案相比，方案相比，Hash鏈的主要優點是提供了前向安鏈的主要優點是提供了前向安全性。然而，該方案每次識別時都需要進行窮

23、舉搜索，比較后臺數全性。然而，該方案每次識別時都需要進行窮舉搜索，比較后臺數據庫中的每個標簽，隨著標簽規模擴大，后端服務器的計算負擔將據庫中的每個標簽，隨著標簽規模擴大，后端服務器的計算負擔將急劇增大。因此急劇增大。因此Hash鏈方案存在著所有標簽自動更新標識符方案的鏈方案存在著所有標簽自動更新標識符方案的通用缺點，即難以大規模擴展。同時，因為需要窮舉搜索，所以存通用缺點，即難以大規模擴展。同時，因為需要窮舉搜索，所以存在拒絕服務攻擊的風險。在拒絕服務攻擊的風險。9.2 RFID系統安全解決方案4匿名ID方案 匿名匿名IDID方案方案采用匿名采用匿名IDID，在消息傳輸過程中，隱私侵犯者即使，

24、在消息傳輸過程中，隱私侵犯者即使截獲標簽信息也不能獲得標簽的真實截獲標簽信息也不能獲得標簽的真實IDID。該方案采用公鑰加密、私。該方案采用公鑰加密、私鑰加密或者添加隨機數生成匿名標簽鑰加密或者添加隨機數生成匿名標簽IDID。雖然標簽信息只需要采用隨機讀取存儲器（雖然標簽信息只需要采用隨機讀取存儲器（RAMRAM）存儲，成本較低，）存儲，成本較低，但數據加密裝置與高級加密算法都將導致系統的成本增加。但數據加密裝置與高級加密算法都將導致系統的成本增加。 因為標簽因為標簽IDID加密以后仍具有固定輸出，因此，使得標簽的跟蹤加密以后仍具有固定輸出，因此，使得標簽的跟蹤成為可能，存在標簽位置隱私問題。

25、并且，該方案的實施前提是讀成為可能，存在標簽位置隱私問題。并且，該方案的實施前提是讀寫器與后臺服務器的通信建立在可信任的通道上。寫器與后臺服務器的通信建立在可信任的通道上。9.2 RFID系統安全解決方案5.重加密方案 重加密方案重加密方案采用公鑰加密。標簽可以在用戶請求下通過第三方采用公鑰加密。標簽可以在用戶請求下通過第三方數據加密裝置定期對標簽數據進行重寫。因為采用公鑰加密，大量數據加密裝置定期對標簽數據進行重寫。因為采用公鑰加密，大量的計算負載將超出標簽的能力，因此這個過程通常由讀寫器處理。的計算負載將超出標簽的能力，因此這個過程通常由讀寫器處理。該方案存在的最大缺陷是標簽的數據必須經常

26、重寫，否則，即使加該方案存在的最大缺陷是標簽的數據必須經常重寫，否則，即使加密標簽密標簽IDID固定的輸出也將導致標簽定位隱私泄漏。固定的輸出也將導致標簽定位隱私泄漏。 與匿名與匿名IDID方案相似，標簽數據加密裝置與公鑰加密將導致系統成方案相似，標簽數據加密裝置與公鑰加密將導致系統成本的增加，使得大規模的應用受到限制，且經常重復加密操作也給本的增加，使得大規模的應用受到限制，且經常重復加密操作也給實際操作帶來困難。實際操作帶來困難。 9.3 智能卡的安全問題n影響智能卡安全的基本問題 根據各種對智能卡攻擊所采用的手段和攻擊對象的不同，一般根據各種對智能卡攻擊所采用的手段和攻擊對象的不同，一般

27、可以歸納為以下三種方式可以歸納為以下三種方式: : （1 1）使用偽造的智能卡，以期進入某一系統使用偽造的智能卡，以期進入某一系統。模擬智能卡與接口。模擬智能卡與接口設備之間的信息，使接口設備無法判斷出是合法的還是偽造的智能設備之間的信息，使接口設備無法判斷出是合法的還是偽造的智能卡。例如，像制造偽鈔那樣直接制造偽卡；對智能卡的個人化過程卡。例如，像制造偽鈔那樣直接制造偽卡；對智能卡的個人化過程進行攻擊；在交易過程中替換智能卡等。進行攻擊；在交易過程中替換智能卡等。 （2 2）冒用他人遺失的，或是使用盜竊所得的智能卡冒用他人遺失的，或是使用盜竊所得的智能卡。試圖冒充別。試圖冒充別的合法用戶進入

28、系統，對系統進行實質上未經授權的訪問。的合法用戶進入系統，對系統進行實質上未經授權的訪問。 （3 3）主動攻擊方式。主動攻擊方式。直接對智能卡與外部通信時所交換的信息流直接對智能卡與外部通信時所交換的信息流（包括數據和控制信息）進行截聽、修改等非法攻擊，以謀取非法（包括數據和控制信息）進行截聽、修改等非法攻擊，以謀取非法利益或破壞系統。利益或破壞系統。 9.3 智能卡的安全問題n物理安全用于實施物理攻擊的主要方法包括以下三種用于實施物理攻擊的主要方法包括以下三種: : （1 1）微探針技術微探針技術：攻擊者通常使用專業手段去除芯片的各層金：攻擊者通常使用專業手段去除芯片的各層金屬，在去除芯片封

29、裝后，通過使用亞微米級微探針獲取感興趣的信屬，在去除芯片封裝后，通過使用亞微米級微探針獲取感興趣的信號，從而分析出智能卡的有關設計信息和存儲結構，甚至直接讀取號，從而分析出智能卡的有關設計信息和存儲結構，甚至直接讀取出存儲器的信息進行分析。出存儲器的信息進行分析。 （2 2）版圖重構版圖重構：利用特制顯微鏡研究電路的連接模式，跟蹤金屬：利用特制顯微鏡研究電路的連接模式，跟蹤金屬連線穿越可見模塊（如連線穿越可見模塊（如ROMROM、RAMRAM等）的邊界，可以迅速識別芯片上等）的邊界，可以迅速識別芯片上的一些基本結構，如數據線和地址線。的一些基本結構，如數據線和地址線。 （3 3）聚離子束（聚離

30、子束（FIBFIB）技術）技術：采用鎵粒子束攻擊芯片表面，在不：采用鎵粒子束攻擊芯片表面，在不破壞芯片表面電路結構的情況下，用含有不同氣體的粒子束，可在破壞芯片表面電路結構的情況下，用含有不同氣體的粒子束，可在芯片上沉積出導線、絕緣體甚至半導體。這種方法可重新連接測試芯片上沉積出導線、絕緣體甚至半導體。這種方法可重新連接測試電路的熔斷絲，或將多層芯片中深藏內部的信號連到芯片的表面，電路的熔斷絲，或將多層芯片中深藏內部的信號連到芯片的表面，或加粗加強無法置放探針的導線，從而形成一個或加粗加強無法置放探針的導線，從而形成一個“探針臺探針臺”。 9.3 智能卡的安全問題 物理攻擊是實現成功探測的強有

31、力手段，但其缺點在于入侵式物理攻擊是實現成功探測的強有力手段，但其缺點在于入侵式的攻擊模式，智能卡在物理安全方面一些措施如下：的攻擊模式，智能卡在物理安全方面一些措施如下： （1 1）在制造過程中使用特定的復雜昂貴的生產設備，同時制造人）在制造過程中使用特定的復雜昂貴的生產設備，同時制造人員需具備專業知識技能，以增加偽造的難度，甚至使之不能實現。員需具備專業知識技能，以增加偽造的難度，甚至使之不能實現。 （2 2）對智能卡在制造和發行過程中所使用的一切參數嚴格保密。）對智能卡在制造和發行過程中所使用的一切參數嚴格保密。 （3 3）增強智能卡在包裝上的完整性。給存儲器加上若干保護層，）增強智能卡

32、在包裝上的完整性。給存儲器加上若干保護層，把處理器和存儲器做在智能卡內部的芯片上。選用一定的特殊材料把處理器和存儲器做在智能卡內部的芯片上。選用一定的特殊材料防止非法對存儲器內容進行直接分析。防止非法對存儲器內容進行直接分析。 （4 4）在智能卡的內部安裝監控程序，以防止外界對處理器）在智能卡的內部安裝監控程序，以防止外界對處理器/ /存儲器存儲器數據總線及地址總線的截聽。數據總線及地址總線的截聽。 （5 5）對智能卡的制造和發行的整個工序加以分析。確保沒人能完）對智能卡的制造和發行的整個工序加以分析。確保沒人能完整地掌握智能卡的制造和發行過程，在一定程度上防止內部職員的整地掌握智能卡的制造和

33、發行過程，在一定程度上防止內部職員的非法行為。非法行為。 9.3 智能卡的安全問題n邏輯安全 邏輯攻擊者在軟件的執行過程中插入竊聽程邏輯攻擊者在軟件的執行過程中插入竊聽程序，利用這些缺陷誘騙智能卡泄漏機密數據或序，利用這些缺陷誘騙智能卡泄漏機密數據或允許非期望的數據修改。攻擊者只需具備智能允許非期望的數據修改。攻擊者只需具備智能卡、讀寫器和卡、讀寫器和PCPC即可；其另一優點在于非入侵即可；其另一優點在于非入侵式的攻擊模式以及可輕松地復制。式的攻擊模式以及可輕松地復制。 智能卡的邏輯安全主要由下列的途徑實現。智能卡的邏輯安全主要由下列的途徑實現。 9.3 智能卡的安全問題1鑒別與核實 鑒別與核

34、實：鑒別與核實其實是兩個不同的概念，但是它們二者鑒別與核實：鑒別與核實其實是兩個不同的概念，但是它們二者在所實現的功能十分相似在所實現的功能十分相似. . 鑒別鑒別（AuthenticationAuthentication）是對智能卡（或者是讀寫設備）是對智能卡（或者是讀寫設備）的合法性的驗證，的合法性的驗證，即如何判定一張智能卡（或讀寫設備）不是偽造即如何判定一張智能卡（或讀寫設備）不是偽造的卡（或讀寫設備）的問題的卡（或讀寫設備）的問題； 核實核實（VerifyVerify）是指對智能卡的持有者的合法性進行驗證，）是指對智能卡的持有者的合法性進行驗證，也也就是如何判定一個持卡人是否經過了合

35、法的授權的問題。就是如何判定一個持卡人是否經過了合法的授權的問題。 由此可見，二者實質都是對合法性的一種驗證，但是，在具體的由此可見，二者實質都是對合法性的一種驗證，但是，在具體的實現方式上，由于二者所要驗證的對象的不同，所采用的手段也就實現方式上，由于二者所要驗證的對象的不同，所采用的手段也就不盡相同。不盡相同。 9.3 智能卡的安全問題 鑒別鑒別是通過智能卡和讀寫設備雙方同時對任意一個相同的隨機數進是通過智能卡和讀寫設備雙方同時對任意一個相同的隨機數進行某種相同的加密運算（目前常用行某種相同的加密運算（目前常用DESDES算法），然后判斷雙方運算結果算法），然后判斷雙方運算結果的一致性來達

36、到驗證的目的。的一致性來達到驗證的目的。 以智能卡作為參照點，分為外部鑒別和內部鑒別。以智能卡作為參照點，分為外部鑒別和內部鑒別。 外部鑒別外部鑒別就是智能卡對讀寫設備的合法性進行的驗證。先由讀寫器就是智能卡對讀寫設備的合法性進行的驗證。先由讀寫器向智能卡發一串口令（產生隨機數）命令，智能卡產生一個隨機數，然向智能卡發一串口令（產生隨機數）命令，智能卡產生一個隨機數，然后由讀寫器對隨機數加密成密文，密鑰預先存放在讀寫器和后由讀寫器對隨機數加密成密文，密鑰預先存放在讀寫器和ICIC卡中，密卡中，密鑰的層次則要按需要設定。讀寫器將密文與外部鑒別命令發送給鑰的層次則要按需要設定。讀寫器將密文與外部鑒

37、別命令發送給ICIC卡，卡，卡執行命令時將密文解密成明文，并將明文和原隨機數相比較，若相同卡執行命令時將密文解密成明文，并將明文和原隨機數相比較，若相同則卡承認讀寫器是真的，否則卡認為讀寫器是偽造的。則卡承認讀寫器是真的，否則卡認為讀寫器是偽造的。 內部鑒別內部鑒別就是讀寫設備對智能卡的合法性進行的驗證，原理與就是讀寫設備對智能卡的合法性進行的驗證，原理與ICIC卡卡鑒別讀寫器的真偽相似，但使用內部鑒別命令，解密后的結果與隨機數鑒別讀寫器的真偽相似，但使用內部鑒別命令，解密后的結果與隨機數進行比較的操作應在讀寫器中進行，而不是由進行比較的操作應在讀寫器中進行，而不是由ICIC卡來鑒別真偽。卡來

38、鑒別真偽。 9.3 智能卡的安全問題 核實核實是通過用戶向智能卡出示僅有他本人知道的通行字，并由是通過用戶向智能卡出示僅有他本人知道的通行字，并由智能卡對該通行字的正確性進行判斷來達到驗證的目的。在通行字智能卡對該通行字的正確性進行判斷來達到驗證的目的。在通行字的傳輸過程中，有時還可對要傳輸的信息進行加的傳輸過程中，有時還可對要傳輸的信息進行加/ /解密運算，這一過解密運算，這一過程通常也稱為通行字鑒別。用得最多的是通過驗證用戶個人識別號程通常也稱為通行字鑒別。用得最多的是通過驗證用戶個人識別號（PINPIN）來確認使用卡的用戶是不是合法持卡人。驗證過程如圖所）來確認使用卡的用戶是不是合法持卡

39、人。驗證過程如圖所示，持卡人利用讀寫設備向智能卡提供示，持卡人利用讀寫設備向智能卡提供PINPIN，智能卡把它和事先存儲，智能卡把它和事先存儲在卡內的在卡內的PINPIN相比較，比較結果在以后訪問存儲器和執行指令時可相比較，比較結果在以后訪問存儲器和執行指令時可作為參考，用來判斷是否可以訪問或者執行。作為參考，用來判斷是否可以訪問或者執行。 9.3 智能卡的安全問題2.智能卡的通信安全與保密 智能卡通過鑒別與核實可防止偽卡的使用，防止非法用戶的入智能卡通過鑒別與核實可防止偽卡的使用，防止非法用戶的入侵，但無法防止在信息交換過程中發生的竊聽。侵，但無法防止在信息交換過程中發生的竊聽。 在通信方面

40、對信息的修改主要包括：對信息內容進行更改、刪在通信方面對信息的修改主要包括：對信息內容進行更改、刪除及添加、改變信息的源點或目的點、改變信息組除及添加、改變信息的源點或目的點、改變信息組/ /項的順序等。項的順序等。 保密性保密性主要是利用密碼技術對信息進行加密處理，以掩蓋真實主要是利用密碼技術對信息進行加密處理，以掩蓋真實信息，使之變得不可理解，達到保密的目的。信息，使之變得不可理解，達到保密的目的。 智能卡系統中常用的兩種密碼算法：對稱密鑰密碼算法或數據智能卡系統中常用的兩種密碼算法：對稱密鑰密碼算法或數據加密算法（加密算法（DESDES）和非對稱密鑰密碼算法或公共密鑰密碼算（）和非對稱密

41、鑰密碼算法或公共密鑰密碼算（RSARSA）。）。智能卡經常采用智能卡經常采用DESDES算法算法, ,因為該算法已被證明十分成功，且運算復因為該算法已被證明十分成功，且運算復雜度相對也較小雜度相對也較小. . 9.3 智能卡的安全問題 例例: :在對數據內容在對數據內容a a加密時，采用的辦法就是對從密碼文件中選加密時，采用的辦法就是對從密碼文件中選出的密碼首先進行一次出的密碼首先進行一次DESDES加密運算，然后將運算結果作為數據加密加密運算，然后將運算結果作為數據加密的密碼使用。其計算公式為的密碼使用。其計算公式為Key=DES(CTCKey=DES(CTC，K K( (a a),),式中式中K K是從密碼文是從密碼文件中隨機選取的一個密鑰；件中隨機選取的一個密鑰；CTCCTC是記錄智能卡操作次數的計數器，該是記錄智能卡操作次數的計數器，該計數器每完成一次操作就增計數器每完成一次操作就增1 1；KeyKey就是最后要提供給數據加密運算就是最后要提供給數據加密運算使用的密碼。使用的密碼。 保證數據完整性的一般方法是在所交換的信息報文內加入報頭保證數據完整性的一般方法是在所交換的信息報文內加入報頭或或報尾，稱其為鑒別碼。鑒別碼是通過對報文進行的某種運算得到，報尾，稱其為鑒別碼。鑒別碼是通過對報文進行的某種運算得到，報文的正確與否可以