从一卡通的风险看它目前的安全性问题

前段时间，一卡通泄露出行信息被媒体爆出，用户只需输入一卡通上面的卡号便可在市政一卡通官方网站上查出出行记录，此新闻一出立刻引起了人们的争论，不少网友称，一卡通泄露出行信息让人感觉隐私被侵犯了；也有网友称，一卡通不记名，根本不用担心。那么泄露用户出行信息，一卡通涉嫌侵犯他人隐私吗？由此事件引出深思，我们又该如何看待一卡通的安全性问题呢。

据笔者了解，目前市面上的公交一卡通几乎全部为MIFARE卡。MIFARE卡是非接触式IC卡，是1994年由荷兰NXP半导体公司发明的。它成功的将射频识别技术和IC卡技术相结合。MIFARE卡是目前市场上使用量最大、技术最成熟、性能稳定、内存容量大的一种感应式智能IC卡。这种卡的操作简单，由于采用射频无线通讯，使用时无须插拔卡及不受方向和正反面的限制，所以非常方便用户使用，完成一次读写操作仅需0.1秒，大大提高了每次使用的速度，既适用于一般场合，又适用于快速、高流量的场所。安全性，可靠性也比较高，每张MIFARE卡的序列号是全球唯一的，不可以更改；读写时卡与读写器之间采用三次双向认证机制，互相验证使用的合法性，而且在通讯过程中所有的数据都加密传输；此外，卡片各个分区都有自己的读写密码和访问机制，卡内数据的安全得到了有效的保证。MIFARE卡与读写器之间没有机械接触，避免了由于接触读写而产生的各种故障；而且卡中的芯片和感应天线完全密封在标准的PVC中，进一步提高了应用的可靠性和卡的使用寿命。

由于MIFARE卡的存贮结构及大容量特点（16分区、1024字节），能应用于不同的场合或系统，尤其适用于学校、企事业单位、智能小区的停车场管理、身份识别、门禁控制、考勤签到、食堂就餐、娱乐消费、图书管理等多方面的综合应用，有很强的系统应用扩展性，可以真正做到“一卡多用”。使用的广泛也就注定了安全性问题也将成为讨论的话题，不仅业界人士给予了很大的关注，同时在政府的推动下，使用部门对IC卡也有了更多的了解。

前几年发现了MIFARE卡有安全漏洞，可以破解或复制后，引起社会一片哗然，特别是政府机关、城市公交一卡通等部门给予了高度重视，各个部门都重新整改漏洞，升级系统方案。其实MIFARE卡首先是非接触式的逻辑加密IC卡,IC卡从安全性角度可分为存储卡、逻辑加密卡和CPU加密卡，而从读写接口方式可分为接触式IC卡和非接触式IC卡。CPU加密卡内涵CPU芯片，它不仅处理卡片内的文件管理，而且也提供加密算法处理，大大提供了卡片的安全性。其次如果从用户角度来说，系统的安全性不仅仅取决于卡片的安全性。IC卡应用系统是由卡片及卡片数据结构、读写机具及控制软件、网络和服务器及管理软件一起组成的，系统的安全性是各个环节的集成。MIFARE卡的安全性不如CPU加密卡，但是用于一般场合是没有多大问题的，破解MIFARE卡获得利益的风险远远大于能够得到的好处。2011年9月24日，奇虎公司的两名网络工程师利用专业知识破解了4张市政一卡通内芯片的系统密码，之后恶意充值2600余元，并多次刷卡消费被抓获就说明了这个问题。由于一卡通目前是不记名，其暴露个人隐私的可能性很小，而且可以采用相应的措施进一步减小风险。

总之，随着社会的不断发展，技术会日新月异，所以我们要正确地看待一卡通的安全性问题，处理好由此而带来的安全隐患，避免给社会带来大的损失。