近期，Mifare芯片密码被破译的消息引起了大家对RFID技术及智能卡安全性的极大关注。那么，怎样的RFID高频技术才是真正安全的呢?本文希望可以给大家予解释。

　　自2008年初，荷兰政府发布警告，指出目前广泛应用的NXP公司生产的Mifare Classic芯片已被两位大学生(黑客)破解;2009年2月，中国政府相关部门也对该问题发表相应声明及关注，此举一出，业界哗然!原本对Mifare产品还抱有一丝幻想的RFID行业纷纷开始寻觅更加可靠和安全的RFID产品。但是，并不是每一个用户对RFID都有很深入的研究!

　　没有绝对安全的技术

　　首先要说明的是，世界上没有一种技术是不能被破解的!就像世界上没有一个保险柜或金库大门是打不开的一样。人们可以花几百元钱在商场买的保险柜，甚至花上千万的价钱去安装一个金库门，它们唯一的区别就是花几百元的保险柜也许用一个榔头花几分钟就把它打开，而上千万的金库门需要专业人士用高科技专业工具花几个月时间才可以打开。那么，这个比喻用在13.56MHZ的技术上又代表什么呢?

　　这个例子形象地描绘了不同厂家高频技术的技术含量是不同的。一项技术的安全程度取决于黑客花费多少时间和精力去破解它。那么，一项复杂、高弹性的技术将会使黑客更难去破解。从外在的数据来看，一项技术的“弹性”和“复杂性”能够体现该技术的“抗黑客”能力。

　　如何选择高安全RFID产品

　　选择高安全性的RFID产品，基本上可参考以下几个功能。

　　卡片的内存如何分配

　　卡内的分段基本上有两种：固定模式和自由分段。自由分段弹性的内存分配比固定模式的内存分配更复杂，更加不利于黑客对技术的破解。

　　·固定模式：数据段的长度由厂家预先定义好。例如Mifare、INSIDE、HID的ICLASS 都是固定模式的分段。这样的分段模式，使公司在开发应用时比较简单，但也影响到用户的弹性及本身技术的简化(抗破解能力下降);

　　·自由分段：数据段的长度可根据要求来定义。例如SONY、FELICA、LEGIC、DESFIRE等。这些卡内的扇区可以根据不同应用数据的多少来划分大小，而一张卡最多可分割成多少个不同的扇区，需要根据不同的厂家的不同标准来划分。这一功能对用户来说，卡片的应用“弹性”较高，“内存利用率”也比较高，同时还增加了本身技术的复杂性——“抗黑客”能力。[nextpage]

　　“数据密钥”是否多元化

　　芯片内的数据是由密钥来保护的。密钥的产生一般由用户或开发商指定，但市场上也有一些芯片密钥是生成出来的。那么，生成出来的密钥到底是不是“多元化”?就要视不同厂家而定。

　　所谓“多元化”密钥就是指卡内保护数据的密钥根据每张卡片来变化。换句话说，每一张初始化出来的卡片，其内部密钥都不一样,这就能够增加防御黑客的能力。但也有些厂家为了达到“多元化”密钥功能，只能在芯片外围多增加一层保护设置，从而希望达到同样的目的，这和芯片自身产生“多元化”密钥还是有一定的距离。

　　数据传输使用何种加密方法

　　在整个读卡过程中，数据的传输是否有加密、用何种方法加密是一个很重要的检验标准。笔者建议，不仅要对最前端的卡片做数据保密，同时也要对卡片与读卡器、读卡器与主机之间的点对点数据传输都做到非常严密的加密保护。

　　使用何种加密方法，也是至关重要的。业内比较推荐的3DES加密方法是比较可靠的方法之一。该方法不仅用于卡片内数据的读取，而且用于数据的输出。而其它大多数的加密技术只能应用于卡片内数据的读取，在数据的传输上都可以支持3DES的只有DESFIRE和LEGIC。

　　芯片是否有额外的功能来保护数据安全

　　除了以上提到的三点特性来保护芯片密钥的安全性以外，还有什么额外的功能可以把整体的技术更加复杂化呢?若能在芯片上预先设置密码管理系统，那么这会使该类型的高频技术更具有复杂性。比如， LEGIC的主令牌系统就是一个可参考的例子。

　　CPU卡是否最安全

　　目前，国内CPU卡的生产及应用发展得比较快，市场已经有不同的厂家推出了不同的CPU卡。那么，到底真正了解CPU卡的人有多少呢?

　　CPU卡在理论上比一般逻辑卡要安全。其最主要的原因是：一般的逻辑卡可以不停地被访问，直到卡片有回应为止，这有利于黑客的破解。而对于一个符合安全标准的CPU卡来说，如果有连续3次的“访问失败”，卡片就会被锁死(就像手机开机时设置的开机PIN码一样)，这一特性，不利于黑客破解，从而安全性会高一些。

　　但是，CPU卡真正的安全性和COS本身的安全性有很大的关联。现如今，世界上大部分公认的比较安全的COS都是运用Java base来编写，而市面上也有很多所谓“Native COS”的算法是不公开的，这样的COS安全程度就不得而知了。国际上对COS也有比较严格的认证标准——Common Criteria (CC evaluation)。

　　所以，用户不能盲目地认为只要有了COS就是安全的。而现在市场上对于CPU卡的应用以及数据储存都还没有一家很成熟的产品，因此，在CPU卡的应用方面也需要比较注意。

　　结语

　　总之，市场上有很多高频技术，而一项技术的安全程度取决于这个技术的本身特点。当然，一项技术越复杂，越具有弹性，黑客破解的难度就越大。对于现在高频技术多应用于一卡通，特别是消费和高安保项目上，对技术的选择更是要慎重!

　　以上列举的技术特点和和判断标准，希望能给RFID业内人士提供一定的参考。黑客的存在并不完全是坏事，它让整个RFID行业保持清醒的头脑，也促进了RFID技术的不断发展和进步。“破解门”并不意味着“世界末日”，RFID技术的发展方向已经更加清晰!(本文由LEGIC亚洲区总经理 姜鹤松提供)