從上世紀90年代第一張非接觸邏輯加密IC卡（以下簡稱非接觸卡）推向市場，到目前為止，非接觸卡在世界應用市場上的推廣與發(fā)展已經經歷了十幾個年頭，在這十多年間，非接觸IC卡在門禁、公交、小額支付等人們的日常生活中得到了廣泛的應用。截止去年，根據(jù)國際智能卡組織的統(tǒng)計數(shù)據(jù)顯示，世界上該類IC卡的發(fā)行量已超過21億張。巨量的IC卡發(fā)行給芯片制造商帶來了巨大的商業(yè)利潤，當人們沉浸于非接觸卡給生活帶來巨大便利的時候，在2008歐洲計算機安全研討會（Esorics）上，Jacobs教授將一份有關非接觸式IC卡的漏洞的報告公布于眾，一時間，引起軒然大波。由非接觸邏輯加密IC卡引發(fā)的安全問題，猶如一股“旋風”，在業(yè)界引發(fā)大討論。

　　中國智能卡專業(yè)委員會于3月26日還專門就非接觸IC卡的安全問題，召開了研討會。會上有關專家各抒己見，發(fā)表了精彩的演講。那么非接觸IC卡的安全問題，究竟將為廣大民眾的生活帶來怎樣的影響？我們目前使用的諸如公交卡、市民卡等有沒有可能被盜刷或者克隆？我們目前應用的智能卡系統(tǒng)是否足夠安全？在具體進行分析前，我們先看一下，近年來發(fā)生在國際上的有關事件。

    2008年2月，在美國華盛頓舉行的BlackHat DC大會上，研究人員Adam Laurie發(fā)布了其最新的研究成果——能夠直接在RFID或磁條介質的信用卡和其他卡片上讀寫信息的攻擊程序，黑客只需通過這個程序，結合最普通的讀卡器，便可直接進行相關攻擊。此外，這名研究人員還發(fā)現(xiàn)，相當多種類的卡片上所存儲用戶隱私信息并沒有經過妥善加密，攻擊者可輕易的從這些卡片上讀出合法用戶的隱私信息，并進行卡片復制或其他類似的非法活動……

    2008年2月下旬，荷蘭半導體芯片制造商NXP起訴了荷蘭的Radboud大學，以阻止其公布關于NXP無線智能卡安全漏洞的研究細節(jié)。據(jù)稱該大學成功破解了這種智能卡系統(tǒng)，而這種無線智能卡被廣泛應用于世界各地的門禁或安全系統(tǒng)上。據(jù)悉，Radboud大學計劃把研究結果刊登在今年10月份的技術雜志上。經荷蘭Radboud大學證實，它們已經可以克隆NXP的門禁卡，并在理論上可利用被盜身份訪問裝有門禁系統(tǒng)的建筑物和設施。另外，Radboud大學的Bart Jacobs博士在上個月演示了如何免費乘坐倫敦的公交系統(tǒng)，他與其他乘客擦肩而過，利用筆記本電腦和智能卡資料收集裝置成功的克隆了使用NXP系統(tǒng)的OYSTER公交卡……

    2008年8月11日，美國麻省理工學院的3名學生成功破解波士頓地鐵乘車卡的密碼，他們打算在賭城拉斯維加斯的黑客大會上，與“同行”分享他們如何免費乘搭地鐵的心得；但波士頓市捷運公司先發(fā)制人，成功取得法院禁令阻止他們這么做。據(jù)報道，波士頓捷運公司8日向聯(lián)邦法院提出申請，要求禁止麻省理工學院這3個學生在大會上演說，法院在次日批準了申請，對3名學生下了“封口令”……

    2008年8月，由于Oyster卡系統(tǒng)服務器癱瘓造成卡片無法使用，成千上萬倫敦上班族只能更換他們的Oyster卡。這一支付架構癱瘓的，公交司機們只能讓人們免費乘坐地鐵和巴士。這一事件非常嚴重，因為人們依賴RFID卡系統(tǒng)的程度很高。自2003年以來已經發(fā)行了1,700多萬張卡，目前有80%的交通卡都是這種卡。2008年10月關于如何破解世界上最流行非接觸式IC卡的方法現(xiàn)在已經公布到互聯(lián)網上……

    2008年10月26日，據(jù)韓國議員陳秀希拿到的《IC現(xiàn)金卡復制結果報告書》，韓國電子通訊研究院(ETRI)旗下的國家保安技術研究院（NSRI）在8月份進行了復制IC現(xiàn)金卡的實驗，并成功的導出了密碼及復制IC卡。 韓國國家保安技術研究院在報告書上表示“復制卡后，可非法轉賬，并能夠進行正常的交易。而且，可輸出明細表” ……

    今年初，德國研究員亨里克.普洛茨（Henryk Plotz）和弗吉尼亞大學計算機科學在讀博士卡爾斯滕.諾爾（Karsten Nohl）申稱，成功地破解了NXP的Mifare（非接觸智能卡）經典芯片的安全算法。

　　從以上國外媒體所報道的事件來看，非接觸卡加密算法被攻破，已經是不爭的事實，那么接下來面臨的問題是，使用非接觸卡將存在巨大的安全隱患，因為非接觸卡加密算法的破解，使原始持卡人遭受經濟甚至安全上的侵害，這自然引起了人們的擔憂和恐慌。不過假如我們仔細分析上面所報道的信息不難發(fā)現(xiàn)，破解Mifare芯片的主體，主要集中于學校，科研院所，等相關的學術與研究機構，也就是說，加密算法的破解僅限于專業(yè)技術人員范圍之內，并未在社會上廣泛流行，同時司法機關也已經及時采取了相關的限制行動。因此Mifare芯片的安全漏洞將被局限于一個較小的范圍之內，對普通民眾的實際影響將非常有限，即便有也可能僅僅是心理上的安全擔憂，恐慌是沒有必要的。與現(xiàn)在犯罪分子大肆克隆銀行卡（磁條卡）來比較，其實際危害幾乎可以忽略不計。

　　從民眾的角度來說不必過于擔心，但對與專業(yè)機構，及相關的智能卡安全監(jiān)管機構來說卻是要保持高度警惕的。在加密與反加密的斗爭中，我們習慣了“道高一尺，魔高一丈”的說法，在危險與安全的角逐中，而危險往往最終消弭于安全。這是歷史的必然。因此廣大民眾完全沒有必要過度擔憂甚至恐慌。

　　目前國內的企業(yè)由于早就認識到了非接觸卡所面臨的安全隱患，所以大多已轉向加密性更高的CPU智能卡生產，新上馬的智能卡項目如社保卡、公交卡等也大多采用了CPU智能卡，如果現(xiàn)在大家手里所拿的是新卡，就可以完全放心大膽的使用，因為目前的CPU智能卡的安全系數(shù)要比原來的非接觸卡高達萬倍，并且目前世界上還沒有破解CPU卡的信息出現(xiàn)。

　　目前的智能卡系統(tǒng)是安全的。從現(xiàn)實的角度來分析，黑客或犯罪分子攻擊非接觸卡的成本與風險要遠遠高于目前的銀行卡，一張小額支付非接觸卡，往往只充值幾十元，而一個用于破解非接觸卡的讀卡器就要上千元，再加上電腦，還必須了解相關的技術知識。這對于大多犯罪分子來說是有些難以企及的。相對于動輒儲存數(shù)千數(shù)萬元的銀行卡來說，或許黑客或犯罪分子更傾向于攻擊銀行卡及其應用系統(tǒng)。從目前的現(xiàn)實情況來看也確實是這樣。就國內來說，每年關于銀行卡的犯罪所造成的經濟損失高達近億元，而針對非接觸卡方面的犯罪，目前還沒有媒體的公開報道。并且隨著時間的推移，民眾使用的非接觸卡即將在幾年內到期，更換成高安全性的CPU卡成為必然。因此大家完全可以放心大膽繼續(xù)使用。

　　就智能卡行業(yè)內部來說，有實力的企業(yè)或機構，大多設計了最新的國產加密算法并應用于新的CPU卡芯片，同時加強了相關系統(tǒng)的安全防范，行業(yè)的技術精英們也時刻警惕著，不但在緊盯國際智能卡發(fā)展的動向，同時也在大力開發(fā)與研究安全性更高的技術或產品。

　　做為普通民眾的我們，也要加強防范之心，經常對自己卡片內資金狀況與實際應用的狀況核對，發(fā)現(xiàn)異常及時采取相關措施，或通知有關的發(fā)卡部門，或報告警方。在加上政府有關安全方面的部門的高度重視，智能卡應用的安全環(huán)境將依然樂觀。

　　只要我們智能卡行業(yè)的精英們與政府安全部門的工作者們，以及我們廣大的普通持卡者們加強防范意識，一定能夠構筑我們國家自己的智能卡應用的安全之“盾”。

　　最后，在這春光明媚的日子里，預祝我國智能卡應用的明天，更加安全、和諧！預祝智能卡在未來的日子里，為民生，為社會，為國家的發(fā)展貢獻更大的力量。