非接觸智能卡芯片MIFARE Plus安全性探討

文章出處：http://www.mjagi.com 作者： 人氣： 發(fā)表時(shí)間：2012年02月19日

    作者姓名：暢江
    職務(wù)：技術(shù)經(jīng)理
    工作單位：恩智浦半導(dǎo)體（上海）有限公司
    通訊地址：上海市閘北區(qū)天目西路218號(hào) 嘉里不夜城第一座34樓
    郵政編碼：200070
    聯(lián)系方式：+8621 2205 2617
    E-mial地址：Steven.CJ.Chang@NXP.COM

    引言：眾所周知，在過去的十年中，MIFARE Classic在全球被廣泛的應(yīng)用，已經(jīng)成為非接觸式智能卡的一個(gè)隱性“標(biāo)準(zhǔn)”。近日，恩智浦半導(dǎo)體宣布將推出新一代的非接觸式智能卡芯片，MIFARE Plus。對(duì)于價(jià)格敏感的公交自動(dòng)付費(fèi)和門禁系統(tǒng)，MIFARE Plus無疑在安全和性能方面具有突破性的意義。相對(duì)于MIFARE Classic, MIFARE Plus有更高級(jí)別的安全性，并且兼容未來用于移動(dòng)支付的新技術(shù)NFC.

    MIFARE Plus 向下兼容，可以從已經(jīng)使用的MIFARE Classic系統(tǒng)無縫升級(jí)。系統(tǒng)升級(jí)以后，運(yùn)營商可以很容易將卡片安全級(jí)別提高，而不用去重新發(fā)卡。

    更高的安全性是MIFARE Plus的核心優(yōu)勢。它采用128位密鑰長度的AES算法進(jìn)行認(rèn)證和加密。同時(shí)，MIFARE Plus在架構(gòu)上還包含了其他一系列的安全特征，例如，MIFARE Plus同時(shí)使用隨機(jī)卡序列號(hào)（RIDs）和7字節(jié)全球唯一序列號(hào)（UIDs），可以用來保護(hù)使用者的信息，防止被其他人竊聽。

    一．MIFARE Plus在NXP 目前的產(chǎn)品平臺(tái)里，處于MIFARE Classic和MIFARE DESFire中間。

    MIFARE 產(chǎn)品類型

    應(yīng)用MIFARE Plus， 對(duì)于公交運(yùn)營商的好處

    對(duì)于已經(jīng)應(yīng)用非接觸式的系統(tǒng)運(yùn)營上來說，MIFARE Plus通過了安全認(rèn)證EAL 4+。從目前已運(yùn)行的MIFARE Classic系統(tǒng)遷移到MIFARE Plus比較簡單，可以分為一系列的步驟。

    主要優(yōu)勢：

    - 從MIFARE Classic升級(jí)非常方便。
    - 和MIFARE Classic 在存儲(chǔ)結(jié)構(gòu)，指令集向下兼容。
    - 已發(fā)行卡片完美的安全等級(jí)升級(jí)（不需要召回或重新發(fā)卡）
    - MIFARE Plus可以用AES 算法對(duì)卡片認(rèn)證和數(shù)據(jù)通信加密，保證數(shù)據(jù)完整和隱私安全。AES是繼DES算法以后最好的對(duì)稱算法。
    - 通過更大的指令集提高卡片的性能和安全性。
    - 通過新的驗(yàn)證流程提高用戶數(shù)據(jù)的保密性。

    二．MIFARE Plus和MIFARE DESFire 的比較

    MIFARE Plus 是最新的主流非接觸智能卡芯片，其主要特性如下：

    - 和MIFARE Classic 兼容的固定數(shù)據(jù)存儲(chǔ)結(jié)構(gòu)
    - 數(shù)據(jù)通信和認(rèn)證采用標(biāo)準(zhǔn)化的加密算法（AES）
    - 適用于安全性要求較高的中低端市場
    - 緊湊的數(shù)據(jù)存儲(chǔ)模式

    DESFire中高端非接觸智能卡芯片，其特征如下：

    - 更快的交易速度
    - 更大的可用空間（最大8k）
    - 認(rèn)證和通信加密可以用標(biāo)準(zhǔn)的DES或者AES算法
    - DESFire符合國際標(biāo)準(zhǔn)（3DES, AES加密算法），ISO14443-4
    - 靈活的數(shù)據(jù)存儲(chǔ)結(jié)構(gòu)（可以自由定義文件大?。?br />     - 更高級(jí)別的靈活性（強(qiáng)大的指令集，數(shù)據(jù)結(jié)構(gòu)，不同的加密配置）
    - 在公共交通收費(fèi)系統(tǒng)中，與其他符合ISO14443-4協(xié)議的CPU卡相比，具有良好的性價(jià)比。

    三．MIFARE Plus 的安全等級(jí)

    1．MIFARE Plus 級(jí)別0
    級(jí)別0是產(chǎn)品初始化配置，公共交通AFC運(yùn)營商必須根據(jù)后臺(tái)系統(tǒng)安全性要求進(jìn)行更改，而且應(yīng)該包括卡片黑名單管理，以及應(yīng)用加密算法通過UID對(duì)數(shù)據(jù)信息加密（和MIFARE Classic一樣的處理）。

    2．MIFARE Plus 級(jí)別1
    完全兼容MIFARE Classic(符合ISO14443 -3協(xié)議，2k或4k字節(jié)容量)。系統(tǒng)運(yùn)營商應(yīng)當(dāng)注意級(jí)別1和級(jí)別0具有相同的安全級(jí)別，客戶可以通過應(yīng)用SAM模塊加強(qiáng)MIFARE Classic密鑰的安全性。

    3．MIFARE Plus 級(jí)別2
    AES僅用于通信建立期間的三路鑒別過程。在隨后的數(shù)據(jù)通信中，仍然使用MIFARE 加密算法。同樣，客戶也可以使用SAM模塊管理AES密鑰已達(dá)到更高的安全性。通信協(xié)議符合ISO14443-3。

    4．MIFARE Plus 級(jí)別3。
    AES用于通信建立期間的三路鑒別以及全部的數(shù)據(jù)通信過程中。非接觸傳輸過程協(xié)議符合ISO14443-4?？蛻艨梢愿逧AL5+標(biāo)準(zhǔn)使用SAM模塊提高系統(tǒng)安全性。

    從MIFARE Classic 升級(jí)到MIFARE Plus的路徑

    總結(jié)：

    總之，MIFARE Plus作為MIFARE平臺(tái)上又一個(gè)具有里程碑意義的產(chǎn)品，具有諸多的優(yōu)勢。恩智浦半導(dǎo)體將秉承以往一貫的做法，積極和本地的系統(tǒng)集成商、卡廠、讀寫器生廠商合作，為中國的公共交通、門禁等行業(yè)作出自己的貢獻(xiàn)。