從一卡通的泄露出行信息看它當前的安全性問(wèn)題

今日視點(diǎn) 前段時(shí)間，一卡通泄露出行信息被媒體爆出，用戶(hù)只需輸入一卡通上面的卡號便可在市政一卡通官方網(wǎng)站上查出出行記錄，此新聞一出立刻引起了人們的爭論，不少網(wǎng)友稱(chēng)，一卡通泄露出行信息讓人感覺(jué)隱私被侵犯了；也有網(wǎng)友稱(chēng)，一卡通不記名，根本不用擔心。那么泄露用戶(hù)出行信息，一卡通涉嫌侵犯他人隱私嗎？由此事件引出深思，我們又該如何看待一卡通的安全性問(wèn)題呢。

    據筆者了解，目前市面上的公交一卡通幾乎全部為MIFARE卡。MIFARE卡是非接觸式IC卡，是1994年由荷蘭NXP半導體公司發(fā)明的。它成功的將射頻識別技術(shù)和IC卡技術(shù)相結合。MIFARE卡是目前市場(chǎng)上使用量最大、技術(shù)最成熟、性能穩定、內存容量大的一種感應式智能IC卡。這種卡的操作簡(jiǎn)單，由于采用射頻無(wú)線(xiàn)通訊，使用時(shí)無(wú)須插拔卡及不受方向和正反面的限制，所以非常方便用戶(hù)使用，完成一次讀寫(xiě)操作僅需0.1秒，大大提高了每次使用的速度，既適用于一般場(chǎng)合，又適用于快速、高流量的場(chǎng)所。安全性，可靠性也比較高，每張MIFARE卡的序列號是全球唯一的，不可以更改；讀寫(xiě)時(shí)卡與讀寫(xiě)器之間采用三次雙向認證機制，互相驗證使用的合法性，而且在通訊過(guò)程中所有的數據都加密傳輸；此外，卡片各個(gè)分區都有自己的讀寫(xiě)密碼和訪(fǎng)問(wèn)機制，卡內數據的安全得到了有效的保證。MIFARE卡與讀寫(xiě)器之間沒(méi)有機械接觸，避免了由于接觸讀寫(xiě)而產(chǎn)生的各種故障；而且卡中的芯片和感應天線(xiàn)完全密封在標準的PVC中，進(jìn)一步提高了應用的可靠性和卡的使用壽命。

    由于MIFARE卡的存貯結構及大容量特點(diǎn)（16分區、1024字節），能應用于不同的場(chǎng)合或系統，尤其適用于學(xué)校、企事業(yè)單位、智能小區的停車(chē)場(chǎng)管理、身份識別、門(mén)禁控制、考勤簽到、食堂就餐、娛樂(lè )消費、圖書(shū)管理等多方面的綜合應用，有很強的系統應用擴展性，可以真正做到“一卡多用”。使用的廣泛也就注定了安全性問(wèn)題也將成為討論的話(huà)題，不僅業(yè)界人士給予了很大的關(guān)注，同時(shí)在政府的推動(dòng)下，使用部門(mén)對IC卡也有了更多的了解。

    前幾年發(fā)現了MIFARE卡有安全漏洞，可以破解或復制后，引起社會(huì )一片嘩然，特別是政府機關(guān)、城市公交一卡通等部門(mén)給予了高度重視，各個(gè)部門(mén)都重新整改漏洞，升級系統方案。其實(shí)MIFARE卡首先是非接觸式的邏輯加密IC卡,IC卡從安全性角度可分為存儲卡、邏輯加密卡和CPU加密卡，而從讀寫(xiě)接口方式可分為接觸式IC卡和非接觸式IC卡。CPU加密卡內涵CPU芯片，它不僅處理卡片內的文件管理，而且也提供加密算法處理，大大提供了卡片的安全性。其次如果從用戶(hù)角度來(lái)說(shuō)，系統的安全性不僅僅取決于卡片的安全性。IC卡應用系統是由卡片及卡片數據結構、讀寫(xiě)機具及控制軟件、網(wǎng)絡(luò )和服務(wù)器及管理軟件一起組成的，系統的安全性是各個(gè)環(huán)節的集成。MIFARE卡的安全性不如CPU加密卡，但是用于一般場(chǎng)合是沒(méi)有多大問(wèn)題的，破解MIFARE卡獲得利益的風(fēng)險遠遠大于能夠得到的好處。2011年9月24日，奇虎公司的兩名網(wǎng)絡(luò )工程師利用專(zhuān)業(yè)知識破解了4張市政一卡通內芯片的系統密碼，之后惡意充值2600余元，并多次刷卡消費被抓獲就說(shuō)明了這個(gè)問(wèn)題。由于一卡通目前是不記名，其暴露個(gè)人隱私的可能性很小，而且可以采用相應的措施進(jìn)一步減小風(fēng)險。

    總之，隨著(zhù)社會(huì )的不斷發(fā)展，技術(shù)會(huì )日新月異，所以我們要正確地看待一卡通的安全性問(wèn)題，處理好由此而帶來(lái)的安全隱患，避免給社會(huì )帶來(lái)大的損失。

從一卡通的泄露出行信息看它當前的安全性問(wèn)題