浅谈非接触式智能卡安全与对策

　　很多公司都致力于智能卡的研究与开发，目前的产品涵盖了低频、高频与超高频系列。各个公司生产的ID、M1、T5577、I Code2等芯片广泛用于公交、金融、电信、邮电、税务、医疗、保险等各个领域，其中超薄卡（≤0.48mm）已经成功应用于国内外地铁项目。

　　非接触式IC卡又称射频卡，由IC芯片、感应天线组成，封装在一个标准的PVC卡片内，芯片及天线无任何外露部分。是世界上近几年发展起来的一项新技术，它成功的将射频识别技术和IC卡技术结合起来，结束了无源（卡中无电源）和免接触这一难题，是电子器件领域的一大突破。卡片在一定距离范围（通常为5-10mm）靠近读写器表面，通过无线电波的传递来完成数据的读写操作。

　　技术本身是中立的，但是使用技术的人却是需要质疑的。我们必须意识到非接触式智能卡种技术不会消失，而会变得比传统的信用卡技术更安全，因为会有越来越多越好的技术来保证你的个人信息与隐私安全。

　　现在越来越多的非接触式智能卡开始走入人们的日常生活中，如公交卡、银行信用卡等。一些卡中的IC芯片是可见的，但大多数的非接触式卡并不被人们所认识，以致于人们可能意识不到非接触式卡所带来的安全隐患。

　　这也难怪，因为非接触式卡与普通卡片的不同之处仅在于其在交易时信息传递的方式。非接触性IC卡与读卡器之间通过无线电波来完成读写操作。二者之间的通讯频为13.56MHZ.非接触性IC卡本身是无源卡，当读写器对卡进行读写操作时，读写器发出的信号由两部分叠加组成：一部分是电源信号，该信号由卡接收后，与本身的L/C产生一个瞬间能量来供给芯片工作。另一部分则是指令和数据信号，指挥芯片完成数据的读取、修改、储存等，并返回信号给读写器，完成读写操作。读写器则一般由单片机，专用智能模块和天线组成，并配有与PC的通讯接口，打印口，I/O口等，以便应用于不同的领域。

　　对于非接触式信用卡来说，能让大众理解这三方面的问题，就能缓解其担忧了。

　　1.非接触式卡芯片中存储的信息

　　2.芯片是否安全

　　3.芯片的工作频率和数据传送标准

　　非接触式卡中所存储的信息与传统的磁卡中所存储的信息相同，一般包括持卡人姓名、地址、卡号和密码。还可能包括一些其他的信息，如持卡人生日，还有一些高度敏感的个人信息。

　　非接触式卡所用的芯片通常是安全的。一个芯片的存储可通过读写指令加以改变，并支持加密。这意味着芯片内不仅包含着只可写入的固定的信息如个人信息，还包含有可以保护静态数据的加密信息。

　　芯片天线允许芯片与读写器之间利用射频信号进行通信。RFID信用卡所需能量由读写器射频场来提供，之后接受指令和数据，进行相应的操作。这种通信方式可防止远距离的识读。用于RFID信用卡和读写器的频率较高，该频率也用于标识动物或用于供应链管理系统。大多数用于信用卡的工作频率为13.56MHz,符合ISO14443标准。

　　非接触式智能卡应用日渐广泛

　　读写器工作的13.56MHz频率相比于手机工作的超高频较低。但实际上，13.56MHz的读写距离依赖于标签尺寸和读写器类型，一般可达1米。

　　ISO14443标准主要包括四部分的标准，用于近距离非接触式智能卡。一般读写范围可达10厘米。ISO14443标准支持机制，如加密。

　　数据传输速率受读写器与芯片间所放置物质的影响，如金属对射频信号的反射作用。基于此原理，在电子护照的侧边上有一个细金属条，在护照未打开时可以防止护照的读取。但金属也可能在读写器与智能卡之间产生噪声或打破读写器与标签的调谐，因而很可能对该频率与数据传送标准造成影响。

　　因此有必要注意以保护非接触式智能卡及存储的信息的安全。如RFID技术业界、世界的RFID标签芯片制造商德州仪器公司所说，RFID的应用规模会越来越大，但是终的决定权在用户手中。

　　以下是五条提示，有助于更加安全的使用非接触式信用卡。

　　1.与信用卡所使用的无源技术不同的是，你必须采取积极主动的姿态，以保护你的资料。给你的信用卡公司打电话询问你的卡是"非接触"卡还是传统卡。如果是非接触式卡，你有要求更换一个传统卡，因为你拒绝使用RFID技术。

　　2.询问信用卡公司关一频率与ISO的有关情况。如果这两项与上述所说的一致（13.56MHz,ISO14443标准），那很好。如果不一致，就得问个为什么并要求得到更加详细的信息。

　　3.询问信用卡的加密方法。非接触式卡上的密码可为32位至128位。

　　4.询问信用卡公司的欺诈检测和其他预防措施。

　　5.购物时小心。技术在发展，但总是晚黑客一步。所以在进行电子网上交易或在实际购物的过程中，你得加倍小心。

　　技术本身是中立的，但是使用技术的人却是需要质疑的。另一方面，你必须意识到这种技术不会消失，而会变得比传统的信用卡技术更安全，因为会有越来越多越好的技术来保证你的个人信息与隐私安全。