智能IC卡安全模型分析及在高速公路路網(wǎng)中的應用

【摘要】在高速公路路網(wǎng)中，安全應用智能IC卡具有非常中重要的意義，需得到人們的廣泛重視。本文首先介紹了在高速公路聯(lián)網(wǎng)收費中，智能IC卡的安全模型，其次就模型中智能IC卡面臨的攻擊進行分析，并結合具體的聯(lián)網(wǎng)收費應用情況，提出了解決相應攻擊的有效解決策略。

【關鍵詞】智能IC卡；安全模型分析；高速公路路網(wǎng)

引言

智能IC卡安全模型指的是在IC卡應用系統(tǒng)中，由各參與IC卡交易方組成的一個應用模型，由于模型中各方的功能存在一定的差異性，因而使得分割各方功能后，可能發(fā)生相關安全問題。在高速公路聯(lián)網(wǎng)收費系統(tǒng)中，IC卡向其提供收費信息，因而IC卡的安全性為收費系統(tǒng)的安全基礎。目前，路網(wǎng)收費系統(tǒng)混合應用人工及電子的收費方式，此外，根據(jù)不同的應用，采用不同類型的IC卡。雖然兩種收費方式具有不同的安全機制，但在以IC卡為基礎的安全系統(tǒng)中，無論采用的IC卡為何種類型，建立安全模型始終具有非常重要的意義。

1.高速公路路網(wǎng)收費系統(tǒng)的模型分析

1.1應用智能IC卡的可信任模型分析

根據(jù)路網(wǎng)收費系統(tǒng)中參與方具有的不同功能，智能IC卡的可信任模型具體如圖1所示。其中，IC卡持有人指的是擁有IC卡使用權的合法使用者及非法攻擊者；終端設備是與IC卡進行通信的外部設備，包括收費車道讀卡器或車載單元（OBU）等；信息控制方為IC卡內(nèi)的數(shù)據(jù)與管理；IC卡制造商指的是IC卡的生產(chǎn)公司；發(fā)行方為IC卡的發(fā)行部門；軟件開發(fā)商則負責IC卡應用軟件的開發(fā)工作[1]。

1.2分割模型中各方功能后參與方之間產(chǎn)生的攻擊類型

（1）終端對IC卡持有人的攻擊 在高速公路路網(wǎng)中，持卡人在終端讀寫器中插入IC卡時，此處的系統(tǒng)可能存在木馬攻擊。此時，當合法用戶向可信的程序中輸入個人信息或口令時，在用戶不知情的情況下，其個人相關資料便被特洛伊木馬程序竊取，并以此重放攻擊，進而實施信息詐騙。

（2）IC卡持有人對終端的攻擊 這類常見攻擊通常分為物理與邏輯兩種攻擊。物理攻擊主要指的是利用智能IC卡對終端進行干擾或模擬，主要包括模擬、偽IC卡、分析著三類攻擊。邏輯攻擊指的是在正常物理環(huán)境中使用IC卡時，個人密鑰、內(nèi)部資金、加密密鑰等敏感信息通過對IC卡比特流進行探測而獲得，進而將各個受控設備打開，未經(jīng)授權便訪問系統(tǒng)。

（3）IC卡持有者對信息控制方的攻擊 在高速公路路網(wǎng)中收費系統(tǒng)中使用IC卡交易，因而需保護卡內(nèi)的信息數(shù)據(jù)。但是攻擊者會采取各式方法對IC卡進行訪問，為對IC卡的工作原理進行了解，破壞或占有IC卡。IC卡持有者對信息控制方的攻擊主要有錯誤分析攻擊與時分攻擊等。

（4）發(fā)卡方對IC卡持有者的攻擊 此類攻擊指的是發(fā)行方為遵守行業(yè)的準則，利用自身便利對IC卡內(nèi)信息進行竊取，從而構成了秘密侵犯。除此之外，從用戶角度考慮，發(fā)卡方將IC卡的初始狀態(tài)改變，不但對IC卡持有者造成了攻擊，而且還會導致安全隱患的發(fā)生，發(fā)卡方為征詢持卡者的意見，并且用戶也難以將其識別出來[2]。在高速公路路網(wǎng)收費系統(tǒng)中，由于一卡需要多用，且需要進行跨平臺操作，因而產(chǎn)生了涉及到操作系統(tǒng)接口、開發(fā)程序等新的安全隱患。由于IC卡中的認證與密鑰安全給予隨機數(shù)，如果IC卡制造商使用的隨機數(shù)發(fā)生器的性能不夠好，那么就極有可能造成安全隱患。

2.高速公路路網(wǎng)收費系統(tǒng)模型中智能IC卡抵御攻擊的有效策略

（1）在公路路網(wǎng)收費中，木馬攻擊可以發(fā)生在系統(tǒng)登錄及IC卡終端上，針對此種情況，可采取以下兩種應對方案：其一，采用單通道設備驅動體系的操作系統(tǒng)，可以在在特定的時間內(nèi)只允許一個應用程序對系列設備進行訪問，但可能會造成IC卡的使用不便。其二，采用每次輸入不同口令的應對策略，木馬程序即便獲得了當前的口令也無法展開重放攻擊。此種策略在防止出現(xiàn)字典攻擊的同時，增加了密鑰的復雜度。（2）針對中端遭到物理與邏輯攻擊這一情況，應對策略的核心便是阻止IC卡內(nèi)敏感信息被攻擊者竊取?？刹扇∫韵虏呗浴＂僖罁?jù)IC卡本身的物理特性，在選用IC卡時，確保其堅固耐用性；在制造IC卡時，建議廠家使用復雜且特定的生產(chǎn)設備，加大偽造的難度系數(shù)，嚴格保密IC卡的制造發(fā)行參數(shù)，確保其包裝的完整。將監(jiān)控程序安裝在IC卡內(nèi)部時，應防止截聽處理器，以及非授權的個人化。②對于IC卡的邏輯安全防護，可采取以下策略。采用3DES的加密算法，3DES的密鑰長度有原先的56比特擴展帶了112或168比特，破解密鑰的難度也得到了加深，極大程度上滿足了使用安全需求[3]。除上述對稱加密體制外，還可采用基于一個質數(shù)難以被分解成為兩個小的質數(shù)這一數(shù)學難題的非對稱加密體制的RSA算法。在IC卡內(nèi)，3DES要比RSA更快速實現(xiàn)一些，處于收費時間的考慮，可將3DES作為加密算法，利用RSA算法進行數(shù)字簽名操作。

在預防抵賴性方面，為解決收發(fā)方的誠實問題，可采用數(shù)字簽名。由于對完整的明文信息簽名需花費很長一段時間，因而可以先壓縮明文再簽名。簽名驗證過程具體見圖2。

（3）針對IC卡持有者對信息控制方的攻擊，采用一卡一密的應對方式，從而保證任一張卡的密鑰泄漏不會對整個系統(tǒng)信息安全造成威脅。（4）對于IC卡持有者對生產(chǎn)方進行攻擊這一情況，可在發(fā)行IC卡時，采用多種多樣的單項變換從而實現(xiàn)抵抗。這種單項變換可確保軟件不被篡改，而且對于制造IC卡的廠商而言，非常容易便可做到。（5）對于終端對發(fā)卡方攻擊的防范，發(fā)卡方首先便要深入、全面了解終端的情況，特別是IC卡讀寫器的各項指標、性能以及相關參數(shù)等。同時，還需要得到IC卡制造商的全力配合，IC卡制造商必須充分保證終端設備具有較強的可靠性。（6）在防范發(fā)卡方對IC卡持有者進行攻擊的過程中，加大對發(fā)卡方的監(jiān)督力度為重要環(huán)節(jié)。此外，還需建立可靠機制對發(fā)卡方擁有的用戶敏感信息權限進行嚴格約束，通過增加IC卡用戶對卡內(nèi)信息的透明度，從而確保用戶可及時了解IC卡中存在的重要數(shù)據(jù)。

3.結語

綜上可知，為充分保證智能IC卡在高速公路路網(wǎng)收費中的安全性，我們?nèi)匀恍枰M行大量的分析與研究工作，要全面考慮涉及到智能IC卡本身以及應用環(huán)境的安全性，全面認識帶它是一個綜合因素產(chǎn)生的結果。在設計任何具有可靠性與安全性的智能IC卡系統(tǒng)過程中，都需要得到具體環(huán)境的支持，也就是需要全面、可靠地分析智能IC卡的物理、邏輯，以及與使用環(huán)境進行相互制約等多個方面。只有采取嚴格、有效的措施，才能更好對非法攻擊進行抵抗，從而將智能IC卡應有的特長充分發(fā)揮出來。

參考文獻

[1]劉璋峰，朱健，黃承明.智能IC卡安全模型分析及在高速公路路網(wǎng)中的應用[J].微型機與應用，2012，10（03）：156-158.

[2]蔣黎紅.IC卡的安全特性及其選用[J].麗水師范專科學校學報.2011，15（02）：52-53.

作者簡介

朱戈（1982-），男，漢族， 陜西省西安市，碩士學位，任職于陜西省高速公路收費管理中心，研究方向：高速公路聯(lián)網(wǎng)收費。