解决方案/Solution

HID Iclass门禁卡的技术安全性的优势

ICLASS技术安全性的优势

iCLASS® Technology White Paper 技术基础白皮书

       

HID ICALSS卡                                        Mifare IC 卡

iCLASS®是HID  Global公司在美国研发的基于RFID  13.56MHz—  可读写平台上的一种技 术,所制造产品均符合ISO国际标准。iCLASS®的产品系列包括各种容量大小、不同分割 扇区的多款IC非接触式智能卡片,还包括适合多种应用场所的读卡器。

iCLASS®——ISO标准

iCLASS®技术是基于ISO  15693的13.56MHz读/写非接触式智能卡技术,同时也符合其它 多种ISO国际标准(如:ISO  14443  Type  A、ISO  14443  Type  B),由此可见,iCLASS® 的技术对于各标准的兼容性相当强。

iCLASS®——安全性 

iCLASS®采用64位的动态验证密钥,同时iCLASS®技术特有的HASH加密算法更进一步保障 设备通讯的安全可靠性。读卡器和智能卡需要匹配的密钥才能工作。智能卡与读卡器之 间的所有射频数据传输均采用安全的HASH算法进行加密。密钥管理系统降低了数据被窃 或智能卡被复制的风险。 

iCLASS®所有智能卡出厂时都配有唯一的、各不相同的密钥,读卡器亦配有匹配的密钥。

所有密钥皆源于  HID  标准密钥。虽然带有标准密钥的智能卡和读卡器可以互换,但这 些密钥是非常安全的,只需采用  iCLASS®  Elite格式,用户即可以享有不同的密钥,制出不可复制的、具有唯一密钥的智能卡。

从工厂选购带有站点专用的、定制密钥的智能卡和读卡器,也可以使用 iCLASS® CP400 编程器创建站点专用密钥数据库和读卡器配置卡,用以在现场重新设置智能卡和读卡器的密钥。用户还可以利用编程器通过  DES  或3-DES  加密来保护数据。专用密钥的安全级别最高,利用这些密钥,智能卡和读卡器可以唯一地与个别站点或客户 相匹配,无法互换。

现国内使用普及的MIFARE 1卡所使用的是NXP公司Philips MIFARE® Classic MF1芯片组, 其只是采用48位静态的加密方式,据近年消息称,MIFARE 1卡芯片的加密算法已被破解, 安全问题受严峻考验,众多用户只能自行新建加密算法,以保证自身所使用MIFARE  1 卡片数据的相对安全。关于这个令人尴尬的问题,制造商NXP公司称其下MIFARE® DESFire MF3芯片组的问世,可以替代MIFARE® Classic MF1的产品线,但于国内的应用案例少之又少。


ICLASS®——相互认证 

相互认证是基于密钥加密通讯系统的通用惯例。简单的说,卡和读卡器需要确认对方是 否匹配密钥,读卡器要知道持卡人是否合法,卡要知道读卡器是否授权读它的信息。如果卡和读卡器之间简单的传输密钥,只要是精通技术的人都可以将接收器的频率调谐到 和读卡器的频率一样,这样就可以捕获信息,从而制作自己的智能卡,获得非法进出。 卡和读卡器都包含有复杂的加密算法,加密算法能够打乱传输的数据,使它们变得难以理解.  为了防止“黑客”反编译算法,卡和读卡器还包含有随机数产生器,卡和读卡器 都将随机数作为算法的输入。如果你多次读相同的卡,每次传输的数据也不尽相同。每 张卡都包含有64位唯一的序列号,用来加密存储在卡上的密钥,使每张卡的密钥都是唯一的。


iCLASS®——防冲撞 

iCLASS®读卡器不停的以13.56MHz的频率小范围信号覆盖,当有iCLASS®卡片进入读卡器 覆盖范围后被激活,同时以“明码”的方式发送序列号。在此过程中如果有其它iCLASS® 卡片也进入信号覆盖范围,读卡器用第一张被读取的iCLASS®卡片序列号屏蔽其它卡片, 只选择第一张卡片做校验。这个过程,我们称之为“防冲撞”。


iCLASS®——节约智能卡空间容量 

传统的MIFARE 1卡无法实现多类信息同一区段写入,扇区段划分过于死板,严重浪费智 能卡芯片的存储空间。iCLASS®支持多类信息同区段的连续写入,有效利用智能卡剩余 的储存空间。

iCLASS®——系统兼容性 

iCLASS®读卡器有多种通讯格式,如一卡通系统的应用,多采用标准的Wiegand  26通讯 格式,与传统类的门禁控制系统、停车场管理系统、电梯控制系统、考勤系统、访客系 统、包括消费系统均兼容。如与特殊Wiegand通讯格式的系统连接,iCLASS®也可通过刷 配置卡这样简单的操作方式,实现对最高达Wiegand  144通讯格式系统的支持。


iCLASS®——HID的品牌服务体系


iCLASS®卡片的安全级别通过HID公司是可以定制的,共分六个级别:

Level 1  –  标准安全:HID iCLASS®产生单一的标准密钥,并装载进每个读卡器,不管 是用还是不用。用每张iCLASS®卡的序列号、标准密钥被多样化,来创建标准安全凭证 卡。所有iCLASS®标准安全凭证卡只能兼容于iCLASS®标准读卡器。

Level 2  –  高安全的“Elite”:HID  iCLASS®创建一个或二个用户自定义的密钥,并 把它们加载到自定义的读卡器里。通过用户自定义密钥产生的矩阵和凭证卡序列号,将 密钥多样化。这些通过用户自定义的iCLASS®凭证卡只能在被同样自定义的iCLASS®读卡 器上工作。

Level 3  –  现场编程器:将标准安全密钥或高安全现场要求的指定密钥编程输入 iCLASS®凭证卡。密钥在现场产生,而且可以根据需要经常变更。应用前面所有的Hash 算法,再加上传统的加密算法。

Level 4  –  串行协议开发者  :密钥由开发者产生、加载和管理。HID  的密钥通过通讯 端口是上能被使用的,在已经编程的凭证卡上,除了HID应用区域,开发者可以存取其 他所有的应用区域。

Level 5  –  OEM开发者:经过挑选的OEM商将会得到一些必要的工具,用来开发自己的 软件包以代替现场编程器。  HID iCLASS®将为OEM客户创建OEM密钥,但是为了使用现货 供应商那里的标准安全密钥读卡器,也允许他们编程标准安全密钥。OEM客户必须使用 定制的读卡器编程标准安全密钥。

Level  6  –  自定义:一些经过挑选的客户将有机会递交自定义固件的规范说明。能够 实现客户指定的安全算法。HID iCLASS®帮助研究,开发部决定可行性、NRE费用和执行 进度。


iCLASS®不同于MIFARE®只由NXP公司提供芯片技术,而由众多制造商制成智能卡成品, 厂家生产流水线不同,标准存在一定差异,最后售后体系也难保完善。HID公司为iCLASS® 整合一切品牌资源,标准一致,在非人为原因而造成设备折损的前提下,承诺智能卡及 读卡器类产品终身保修(除生物识别类产品)。

ICLASSMIFARE的技术对比表

iCLASS

MiFare

Since   2001

Since   1994

为门禁系统而设计

为交通行业、电子票务设计

符合多个ISO标准

只符合一个ISO标准

较长的读卡距离

较短的读卡距离

64位动态密钥

48bits 静态密钥

动态内存分配

静态内存分配

密钥管理可选(Standard or Elite  key)

用户定义密钥管理

基于ISO 7616串口通讯协议

私有串口通讯协议

HID 终身保修

由制造厂商确定

 

鉴于以上介绍,现在市场上所说的IC卡被解密的说法,是指对MiFare技术被解密了。

HID ICLASS技术安全性是非常高的,不存在被解密的说法。


上一篇:

EM技术和HID PROX技术对比说明

下一篇:

本网站由阿里云提供云计算及安全服务 Powered by CloudDream