论文部分内容阅读
【摘要】在高速公路路网中,安全应用智能IC卡具有非常中重要的意义,需得到人们的广泛重视。本文首先介绍了在高速公路联网收费中,智能IC卡的安全模型,其次就模型中智能IC卡面临的攻击进行分析,并结合具体的联网收费应用情况,提出了解决相应攻击的有效解决策略。
【关键词】智能IC卡;安全模型分析;高速公路路网
引言
智能IC卡安全模型指的是在IC卡应用系统中,由各参与IC卡交易方组成的一个应用模型,由于模型中各方的功能存在一定的差异性,因而使得分割各方功能后,可能发生相关安全问题。在高速公路联网收费系统中,IC卡向其提供收费信息,因而IC卡的安全性为收费系统的安全基础。目前,路网收费系统混合应用人工及电子的收费方式,此外,根据不同的应用,采用不同类型的IC卡。虽然两种收费方式具有不同的安全机制,但在以IC卡为基础的安全系统中,无论采用的IC卡为何种类型,建立安全模型始终具有非常重要的意义。
1.高速公路路网收费系统的模型分析
1.1应用智能IC卡的可信任模型分析
根据路网收费系统中参与方具有的不同功能,智能IC卡的可信任模型具体如图1所示。其中,IC卡持有人指的是拥有IC卡使用权的合法使用者及非法攻击者;终端设备是与IC卡进行通信的外部设备,包括收费车道读卡器或车载单元(OBU)等;信息控制方为IC卡内的数据与管理;IC卡制造商指的是IC卡的生产公司;发行方为IC卡的发行部门;软件开发商则负责IC卡应用软件的开发工作[1]。
1.2分割模型中各方功能后参与方之间产生的攻击类型
(1)终端对IC卡持有人的攻击 在高速公路路网中,持卡人在终端读写器中插入IC卡时,此处的系统可能存在木马攻击。此时,当合法用户向可信的程序中输入个人信息或口令时,在用户不知情的情况下,其个人相关资料便被特洛伊木马程序窃取,并以此重放攻击,进而实施信息诈骗。
(2)IC卡持有人对终端的攻击 这类常见攻击通常分为物理与逻辑两种攻击。物理攻击主要指的是利用智能IC卡对终端进行干扰或模拟,主要包括模拟、伪IC卡、分析着三类攻击。逻辑攻击指的是在正常物理环境中使用IC卡时,个人密钥、内部资金、加密密钥等敏感信息通过对IC卡比特流进行探测而获得,进而将各个受控设备打开,未经授权便访问系统。
(3)IC卡持有者对信息控制方的攻击 在高速公路路网中收费系统中使用IC卡交易,因而需保护卡内的信息数据。但是攻击者会采取各式方法对IC卡进行访问,为对IC卡的工作原理进行了解,破坏或占有IC卡。IC卡持有者对信息控制方的攻击主要有错误分析攻击与时分攻击等。
(4)发卡方对IC卡持有者的攻击 此类攻击指的是发行方为遵守行业的准则,利用自身便利对IC卡内信息进行窃取,从而构成了秘密侵犯。除此之外,从用户角度考虑,发卡方将IC卡的初始状态改变,不但对IC卡持有者造成了攻击,而且还会导致安全隐患的发生,发卡方为征询持卡者的意见,并且用户也难以将其识别出来[2]。在高速公路路网收费系统中,由于一卡需要多用,且需要进行跨平台操作,因而产生了涉及到操作系统接口、开发程序等新的安全隐患。由于IC卡中的认证与密钥安全给予随机数,如果IC卡制造商使用的随机数发生器的性能不够好,那么就极有可能造成安全隐患。
2.高速公路路网收费系统模型中智能IC卡抵御攻击的有效策略
(1)在公路路网收费中,木马攻击可以发生在系统登录及IC卡终端上,针对此种情况,可采取以下两种应对方案:其一,采用单通道设备驱动体系的操作系统,可以在在特定的时间内只允许一个应用程序对系列设备进行访问,但可能会造成IC卡的使用不便。其二,采用每次输入不同口令的应对策略,木马程序即便获得了当前的口令也无法展开重放攻击。此种策略在防止出现字典攻击的同时,增加了密钥的复杂度。(2)针对中端遭到物理与逻辑攻击这一情况,应对策略的核心便是阻止IC卡内敏感信息被攻击者窃取。可采取以下策略。①依据IC卡本身的物理特性,在选用IC卡时,确保其坚固耐用性;在制造IC卡时,建议厂家使用复杂且特定的生产设备,加大伪造的难度系数,严格保密IC卡的制造发行参数,确保其包装的完整。将监控程序安装在IC卡内部时,应防止截听处理器,以及非授权的个人化。②对于IC卡的逻辑安全防护,可采取以下策略。采用3DES的加密算法,3DES的密钥长度有原先的56比特扩展带了112或168比特,破解密钥的难度也得到了加深,极大程度上满足了使用安全需求[3]。除上述对称加密体制外,还可采用基于一个质数难以被分解成为两个小的质数这一数学难题的非对称加密体制的RSA算法。在IC卡内,3DES要比RSA更快速实现一些,处于收费时间的考虑,可将3DES作为加密算法,利用RSA算法进行数字签名操作。
在预防抵赖性方面,为解决收发方的诚实问题,可采用数字签名。由于对完整的明文信息签名需花费很长一段时间,因而可以先压缩明文再签名。签名验证过程具体见图2。
(3)针对IC卡持有者对信息控制方的攻击,采用一卡一密的应对方式,从而保证任一张卡的密钥泄漏不会对整个系统信息安全造成威胁。(4)对于IC卡持有者对生产方进行攻击这一情况,可在发行IC卡时,采用多种多样的单项变换从而实现抵抗。这种单项变换可确保软件不被篡改,而且对于制造IC卡的厂商而言,非常容易便可做到。(5)对于终端对发卡方攻击的防范,发卡方首先便要深入、全面了解终端的情况,特别是IC卡读写器的各项指标、性能以及相关参数等。同时,还需要得到IC卡制造商的全力配合,IC卡制造商必须充分保证终端设备具有较强的可靠性。(6)在防范发卡方对IC卡持有者进行攻击的过程中,加大对发卡方的监督力度为重要环节。此外,还需建立可靠机制对发卡方拥有的用户敏感信息权限进行严格约束,通过增加IC卡用户对卡内信息的透明度,从而确保用户可及时了解IC卡中存在的重要数据。
3.结语
综上可知,为充分保证智能IC卡在高速公路路网收费中的安全性,我们仍然需要进行大量的分析与研究工作,要全面考虑涉及到智能IC卡本身以及应用环境的安全性,全面认识带它是一个综合因素产生的结果。在设计任何具有可靠性与安全性的智能IC卡系统过程中,都需要得到具体环境的支持,也就是需要全面、可靠地分析智能IC卡的物理、逻辑,以及与使用环境进行相互制约等多个方面。只有采取严格、有效的措施,才能更好对非法攻击进行抵抗,从而将智能IC卡应有的特长充分发挥出来。
参考文献
[1]刘璋峰,朱健,黄承明.智能IC卡安全模型分析及在高速公路路网中的应用[J].微型机与应用,2012,10(03):156-158.
[2]蒋黎红.IC卡的安全特性及其选用[J].丽水师范专科学校学报.2011,15(02):52-53.
作者简介
朱戈(1982-),男,汉族, 陕西省西安市,硕士学位,任职于陕西省高速公路收费管理中心,研究方向:高速公路联网收费。
【关键词】智能IC卡;安全模型分析;高速公路路网
引言
智能IC卡安全模型指的是在IC卡应用系统中,由各参与IC卡交易方组成的一个应用模型,由于模型中各方的功能存在一定的差异性,因而使得分割各方功能后,可能发生相关安全问题。在高速公路联网收费系统中,IC卡向其提供收费信息,因而IC卡的安全性为收费系统的安全基础。目前,路网收费系统混合应用人工及电子的收费方式,此外,根据不同的应用,采用不同类型的IC卡。虽然两种收费方式具有不同的安全机制,但在以IC卡为基础的安全系统中,无论采用的IC卡为何种类型,建立安全模型始终具有非常重要的意义。
1.高速公路路网收费系统的模型分析
1.1应用智能IC卡的可信任模型分析
根据路网收费系统中参与方具有的不同功能,智能IC卡的可信任模型具体如图1所示。其中,IC卡持有人指的是拥有IC卡使用权的合法使用者及非法攻击者;终端设备是与IC卡进行通信的外部设备,包括收费车道读卡器或车载单元(OBU)等;信息控制方为IC卡内的数据与管理;IC卡制造商指的是IC卡的生产公司;发行方为IC卡的发行部门;软件开发商则负责IC卡应用软件的开发工作[1]。
1.2分割模型中各方功能后参与方之间产生的攻击类型
(1)终端对IC卡持有人的攻击 在高速公路路网中,持卡人在终端读写器中插入IC卡时,此处的系统可能存在木马攻击。此时,当合法用户向可信的程序中输入个人信息或口令时,在用户不知情的情况下,其个人相关资料便被特洛伊木马程序窃取,并以此重放攻击,进而实施信息诈骗。
(2)IC卡持有人对终端的攻击 这类常见攻击通常分为物理与逻辑两种攻击。物理攻击主要指的是利用智能IC卡对终端进行干扰或模拟,主要包括模拟、伪IC卡、分析着三类攻击。逻辑攻击指的是在正常物理环境中使用IC卡时,个人密钥、内部资金、加密密钥等敏感信息通过对IC卡比特流进行探测而获得,进而将各个受控设备打开,未经授权便访问系统。
(3)IC卡持有者对信息控制方的攻击 在高速公路路网中收费系统中使用IC卡交易,因而需保护卡内的信息数据。但是攻击者会采取各式方法对IC卡进行访问,为对IC卡的工作原理进行了解,破坏或占有IC卡。IC卡持有者对信息控制方的攻击主要有错误分析攻击与时分攻击等。
(4)发卡方对IC卡持有者的攻击 此类攻击指的是发行方为遵守行业的准则,利用自身便利对IC卡内信息进行窃取,从而构成了秘密侵犯。除此之外,从用户角度考虑,发卡方将IC卡的初始状态改变,不但对IC卡持有者造成了攻击,而且还会导致安全隐患的发生,发卡方为征询持卡者的意见,并且用户也难以将其识别出来[2]。在高速公路路网收费系统中,由于一卡需要多用,且需要进行跨平台操作,因而产生了涉及到操作系统接口、开发程序等新的安全隐患。由于IC卡中的认证与密钥安全给予随机数,如果IC卡制造商使用的随机数发生器的性能不够好,那么就极有可能造成安全隐患。
2.高速公路路网收费系统模型中智能IC卡抵御攻击的有效策略
(1)在公路路网收费中,木马攻击可以发生在系统登录及IC卡终端上,针对此种情况,可采取以下两种应对方案:其一,采用单通道设备驱动体系的操作系统,可以在在特定的时间内只允许一个应用程序对系列设备进行访问,但可能会造成IC卡的使用不便。其二,采用每次输入不同口令的应对策略,木马程序即便获得了当前的口令也无法展开重放攻击。此种策略在防止出现字典攻击的同时,增加了密钥的复杂度。(2)针对中端遭到物理与逻辑攻击这一情况,应对策略的核心便是阻止IC卡内敏感信息被攻击者窃取。可采取以下策略。①依据IC卡本身的物理特性,在选用IC卡时,确保其坚固耐用性;在制造IC卡时,建议厂家使用复杂且特定的生产设备,加大伪造的难度系数,严格保密IC卡的制造发行参数,确保其包装的完整。将监控程序安装在IC卡内部时,应防止截听处理器,以及非授权的个人化。②对于IC卡的逻辑安全防护,可采取以下策略。采用3DES的加密算法,3DES的密钥长度有原先的56比特扩展带了112或168比特,破解密钥的难度也得到了加深,极大程度上满足了使用安全需求[3]。除上述对称加密体制外,还可采用基于一个质数难以被分解成为两个小的质数这一数学难题的非对称加密体制的RSA算法。在IC卡内,3DES要比RSA更快速实现一些,处于收费时间的考虑,可将3DES作为加密算法,利用RSA算法进行数字签名操作。
在预防抵赖性方面,为解决收发方的诚实问题,可采用数字签名。由于对完整的明文信息签名需花费很长一段时间,因而可以先压缩明文再签名。签名验证过程具体见图2。
(3)针对IC卡持有者对信息控制方的攻击,采用一卡一密的应对方式,从而保证任一张卡的密钥泄漏不会对整个系统信息安全造成威胁。(4)对于IC卡持有者对生产方进行攻击这一情况,可在发行IC卡时,采用多种多样的单项变换从而实现抵抗。这种单项变换可确保软件不被篡改,而且对于制造IC卡的厂商而言,非常容易便可做到。(5)对于终端对发卡方攻击的防范,发卡方首先便要深入、全面了解终端的情况,特别是IC卡读写器的各项指标、性能以及相关参数等。同时,还需要得到IC卡制造商的全力配合,IC卡制造商必须充分保证终端设备具有较强的可靠性。(6)在防范发卡方对IC卡持有者进行攻击的过程中,加大对发卡方的监督力度为重要环节。此外,还需建立可靠机制对发卡方拥有的用户敏感信息权限进行严格约束,通过增加IC卡用户对卡内信息的透明度,从而确保用户可及时了解IC卡中存在的重要数据。
3.结语
综上可知,为充分保证智能IC卡在高速公路路网收费中的安全性,我们仍然需要进行大量的分析与研究工作,要全面考虑涉及到智能IC卡本身以及应用环境的安全性,全面认识带它是一个综合因素产生的结果。在设计任何具有可靠性与安全性的智能IC卡系统过程中,都需要得到具体环境的支持,也就是需要全面、可靠地分析智能IC卡的物理、逻辑,以及与使用环境进行相互制约等多个方面。只有采取严格、有效的措施,才能更好对非法攻击进行抵抗,从而将智能IC卡应有的特长充分发挥出来。
参考文献
[1]刘璋峰,朱健,黄承明.智能IC卡安全模型分析及在高速公路路网中的应用[J].微型机与应用,2012,10(03):156-158.
[2]蒋黎红.IC卡的安全特性及其选用[J].丽水师范专科学校学报.2011,15(02):52-53.
作者简介
朱戈(1982-),男,汉族, 陕西省西安市,硕士学位,任职于陕西省高速公路收费管理中心,研究方向:高速公路联网收费。