Media News@Watchdata    媒体报道

CPU卡VS MIFARE卡,谁将成为C卡应用主流?——林立峰专访

更新时间:2010-05-26 18:30:00点击次数:3451次字号:T|T

时至今日, Mifare one被破解的事情已经过去了两年,在这期间,我们担心的最坏的事情并没有发生,一方面,社会上并没有出现已经发行的Mifare one卡被破解,出现大量非法使用或者牟利行为。


另一个方面,基于Mifare one的系统,大部分还在继续发行Mifare one,从表面上看并没有受到太多的影响。市场没有立即发生翻天覆地的变化,Mifare one也没有像过街老鼠一样人人喊打,被无情的抛弃。


传闻在电子市场或者网上就能买到对Mifare 进行破解的软件以及硬件程序,如果再有一定的技术基础和对Mifare one的了解,修改以及复制卡片不是一件很困难的事情。但是为什么没有出现大量的类似行为呢?究其原因,一方面Mifare one所用的领域大部分都是封闭的领域,比如校园卡,欺诈行为很快就能定位到具体人员。有的是城市通卡系统,修改以后做不了几回车就会被黑名单锁定。大部分系统都设置了卡片内钱包最高金额限制和每次交易最高金额的限制。总之,就算能够修改,其获利空间有限,而违法成本太高。在民法中,明确规定不正当得利行为的定义与惩罚。


对于系统运营商,大部分在规划考虑系统升级到CPU卡的同时,还再继续发行Mifare,这也是不得不为之的行为。国家多个部委及管理机构介入并对Mifare one的问题出具了意见,意图借此机会将这部分纳入国家安全标准与国内产业中,并且组织标准化工作,组织相关的厂家提出完善的解决方案、技术手段以及产品规划。但主要的问题是标准滞后、技术滞后,产品就更是滞后了。从而,在既对Mifare的升级提出了要求,又在短期内无力推动市场的改变的情况下。少数具备技术能力、选型能力的系统,在做好充分准备的情况下,独自进行了CPU卡的升级,大多数的系统还在等待和观望中,等着恰当的产品的推出与完善。


 所以,两年的时间,对于一个被广泛应用了超过10年的事实标准的产品而言,退出市场被取而代之,还是太短了。而且,在某些领域,还具有一定顽强的生命力。


如果不用Mifare又能用什么呢?这是一个比较大的话题,有很多种技术、产品以及标准可以被选择。很多领域与区域,尤其在国际市场内,借助其深厚的用户关系与市场基础,加上成功的危机处理。,NXP成功的将用户的需求导向到Mifare DESFire,DESFire可以被看作一个智能卡,只不过和我们传统意义上理解的智能卡还有一定的区别。系统如果是从Mifare one升级到Mifare DESFire,其设备的软硬件、发行与后台处理系统都要随之改变。


在中国国内,从Mifare one向CPU卡升级的趋势已经成为定局,使用射频卡片数量最大的城市通卡领域,新的系统招标几乎全是采用CPU卡,校园卡应用由于其封闭的环境,酝酿升级到CPU卡的步伐走的比较缓慢,也不是那么迫切。
全球交通卡行业,发行CPU卡的数量从2008年的3千万片,增长到2009年的4千万,预计2010年的CPU卡发行数量会超过5千万,其份额在飞速增长。


大部分基于非接触应用的系统,在未来数年内,都会进行系统的升级或者重新建设,这种趋势可能会有这样几个方面的因素影响


首先是国家政策导向和要求,在中国,出于对国家社会经济环境安全性的保护,国家非常重视信息安全类产品的安全体系,并一直在强调采用中国自有体系的安全技术与产品。商业领域应用的数据安全产品隶属于国家密码局管理,Mifare的问题,成为大力推动中国国产安全技术与产品的催化剂,国产芯片以及国产算法的使用将成为非常重要的趋势之一。当然,这里也不排除对于中国信息安全类产业的支持与推动,这也无可厚非,没有这样的支持与机会,其差距将会越来越大。


因素其二就是技术标准
     Mifare技术是逻辑加密卡技术中的一种,其他的逻辑加密卡产品的市场占有率非常小。到了CPU的时代,从芯片技术、应用标准、通讯协议等等将会五花八门,各有所长。尤其是在应用标准方面,不同的金融机构、政府机构、区域将会采用各自的应用技术标准,仅仅在非接触支付方面,Visa有PayWave、新加坡有CEPAS、中国有PBOC以及去PBOC、欧洲有Calypso、韩国有T-Money等等。丰富的选择,带来的就是困难的选择,那些没有能力建立自己的应用标准与体系的运营商该如何选择呢?因为这个问题直接影响到下一个话题。


这个话题就是互联互通,世界已经是平的了,在发卡越来越多的当今,用户已经强烈希望身上的卡越来越少了,最好是做到城市通卡,譬如在现代城市内生活,每天只需要带一张卡就能实现日常涉及到的各种支付行为。再譬如区域互通,一个区域发行的非接触卡能够在到另外一个城市也能直接用来支付交通费以至于小额购物费。基本要求就是系统之间,能够支持一个系统发行的卡片在另外一个系统内进行支付。最经济可行的互联互通,前提的要求就互通的系统要采用相同的技术标准,相同的应用标准。


最后的一个因素就是安全上的考虑,芯片与COS等安全类产品都有相应的安全认证,最权威的当属CC认证。如果选择的芯片通过了CC EAL的认证,尤其是CC EAL4+或者5+的认证,对于其安全性,我们大可放心,有专家帮我们进行评估过了,其安全性将不必担忧。对于攻击和破解它的难度,肯定不是我们商业类应用需要担心的了。但是,通常芯片、COS、设备等等的安全体系设计上,我们会考虑的非常多而且周全,而一个系统的安全性,不仅仅局限于此。要真的是为了获利,有的是方式能够达成目标,系统其他方面上的、管理上的漏洞也许更容易,没有人会费大力气从技术上做手脚。就看我们在安全策略上,是为了事前避免还是事后取证?


在安防领域,某种程度上其对安全性的要求要高于类似城市通卡、校园卡的领域。一个非接触门禁控制的门后面,究竟藏着什么,是无可量化的,和普通的非金接触支付不同,有可能是一个巨大宝库?或者是高度机密材料,还是潘多拉的魔盒,能释放出来魔鬼,能让社会动荡,谁也不知道。其带来危害,有时候远远大于用来做电子货币的支付应用。


Mifare One是一定会慢慢的退出历史舞台,CPU卡会快速的得到广泛应用。对于安全,有时候不仅仅是卡片技术本身,需要考虑的因素更多。

Copyright © 2015 - 2017 watchdata.com.cn All Rights Reserved联系我们 | 隐私条约 京ICP备05012323号