1 智能卡表的安全分析

　　1．1 開放式卡口的安全問題 

　　接觸式IC卡表的用戶卡與儀表的數據通信是通過卡口進行的，因此開放式的讀寫卡口極易受到用戶的攻擊，用戶只需要將一個電路板插入Ic卡插槽，就能使IC卡內部電路卡口暴露在外，然后就能對其內部進行攻擊。目前，對卡口的攻擊方法主要有如下兩種。

　　1．1．1 電壓攻擊法

　　這種方法是通過對開放式的卡口施加外部電壓，擾亂儀表內部電路的正常工作，達到儀表不計費或少計費的目的。電壓攻擊法通常有三種：第一種是從卡口給內部電路輸入一個反向疊加電壓，造成電源濾波電容擊穿，使系統(tǒng)電源紋波系數增大，電源不穩(wěn)定，造成系統(tǒng)工作不正常，單片機不能正常執(zhí)行程序，也就不能可靠計量或完成切斷動作；第二種方法是在開放式卡口上輸入高壓脈沖，使內部單片機死機，失去計費功能；第三種是在卡口上直接輸入220V的交流電，使系統(tǒng)電路徹底癱瘓。

　　1．1．2 燒死繼電器法

　　為了避免用戶通過攻擊開放式卡口來偷竊，后期的IC卡表一般都設計了卡口攻擊檢測功能，卡口一旦遭受用戶攻擊，則迅速切斷用戶供電。但這樣恰恰給燒死繼電器提供了便捷，如用戶接人大功率負載，然后反復攻擊卡口，使繼電器反復通、斷，拉弧產生的高溫將使觸點融化，粘合在一起，造成繼電器永遠直通。上述兩種攻擊方法都是借助于開放式讀寫卡口來實現，因此，開放式的讀寫卡口存在嚴重的安全問題。

　　1．2 用戶卡的安全問題

　　現代的智能卡(Ic卡)使用了論證算法與密鑰等安全手段。在讀卡前，Ic卡與讀寫器首先進行三重雙向認證，采用DES加密算法和隨機數相結合，每次鑒別過程都包括隨機數。因此，利用讀寫器和Ic卡通信來破解Ic卡的密鑰幾乎是不可能的。然而現代的IC卡并非無懈可擊，上個世紀9O年代中期，大部分的Ic卡處理器都被成功地實施了反向工程，IC卡并沒有從本質上解決安全問題。

　　根據是否破壞IC卡芯片的物理封裝可以將IC卡的攻擊技術分為破壞性攻擊和非破壞性攻擊兩大類。破壞性攻擊是使用化學藥品或特殊方法去除芯封裝后，通過金絲鍵合恢復芯片功能焊盤與外界的電氣連接，最后使用手動微探針獲取感興趣的信號。破壞性攻擊的方法又有版圖重構與存儲器讀出兩種。版圖重構是采用特殊方法揭開芯片的封裝后，使用電子顯微鏡拍攝芯片版圖，用氫氟酸(HF)去除芯片各覆蓋層后，根據擴散層的邊緣辨認出ROM 的內容；存儲器讀出則是根據智能卡在安全認證過程中，至少訪問存放密鑰、用戶數據等重要內容的非易失性存儲器一次的依據，黑客在揭開芯片后常使用微探針監(jiān)聽總線上的信號以獲取重要數據。

　　非破壞性攻擊是根據智能卡微處理器是由成百上千個觸發(fā)器、寄存器、鎖存器和SRAM單元組成的原理，結合時序邏輯則可知道下一時鐘的狀態(tài)。常用的非破壞性攻擊方法有電流分析法、故障攻擊法與測試態(tài)攻擊法三種。電流分析法是通過分析電源功耗電流的規(guī)律了解智能卡的內部工作狀態(tài)以及一些重要信息；故障攻擊法是通過故障攻擊可以導致一個或多個觸發(fā)器位于病態(tài)，從而破壞傳輸到寄存器和存儲器中的數據；測試態(tài)攻擊法是根據智能卡芯片生產時設計測試態(tài)來快速完成Ic卡芯片的測試這一依據，通過測試態(tài)來攻擊Ic卡芯片。

　　1．3 其他安全問題

　　除了開放式卡口與用戶卡的安全問題外，儀表的其他部分也極易受到攻擊，主要的攻擊方法如下。

　　1．3．1 電池攻擊法

　　針對氣表與水表采用電池供電的特點，通過供電電池對其進行攻擊，主要方法如下。

　　(1)外置電池攻擊法。

　　早期安裝使用的Ic卡氣表、水表，采用普通電池供電，由用戶更換。當用戶卸電池時，電池盒內的傳感器被觸發(fā)，單片機利用電池的能量將電磁閥門關閉，切斷用戶的燃氣供應。外置電池攻擊法正是利用這一特點，首先用細導線連接一只外接電池盒，利用外接電池盒為儀表供電，當切斷外接電池供電時，并不觸發(fā)電池盒內傳感器，則系統(tǒng)不會切斷用戶的燃氣管電磁閥門，同時由于系統(tǒng)斷電而不計量。

　　(2)內置電池攻擊法

　　為了解決外部電池存在的問題，后期研制的Ic卡燃氣表和IC卡水表普遍使用內藏鋰離子電池為系統(tǒng)供電。但是，由于Ic卡所需電源也是由該電池供電，因此用戶就可以通過開放式卡口將電源線與地線短路來將內部電池能量放盡，使儀表失效，失去計費功能。

　　1．3．2 強磁攻擊法 

　　IC卡燃氣表和Ic卡水表，獲取計量信號的方法普遍采用的是磁敏傳感方法。磁敏傳感采用磁體為控制主體，將磁體安裝在計數器上，計數器輪每轉一周，霍爾元件或干簧管得到一個磁脈沖，從而產生一個電脈沖計量信號。

　　強磁攻擊法是在儀表計數器表面加上一個強大的外磁場使儀表內的霍爾元件或干簧管閉合，從而無法產生電脈沖計量信號。因此，控制器也就無法核減數據，無法實現收費控制的目的。

　　為了防止外界施加磁場的影響，某些儀表采用兩個以上的磁傳感器。利用兩個磁傳感器輸出特性來自動識別是否遭到外部磁場攻擊，遭到外部磁場攻擊儀表關閉閥門，迫使攻擊磁場撤消。但這種方案卻為用戶攻擊內置電池造就了機會，用戶通過反復的強磁攻擊，使閥門反復開關，最終造成電池能量迅速耗盡。

　　1．3．3 消磁攻擊法

　　所謂消磁攻擊法就是利用消磁線圈對儀表內部磁體進行消磁。由于計量儀表廣泛采用了磁性材料，因此，采用消磁的方法使內部磁體磁場消失后，就會使磁體失去對控制對象的控制能力。

　　此外，管理部門把電量(或水量、燃氣量)通過用戶卡售出后，不能對用戶進行跟蹤管理，這更增加了智能卡表的不安全因素。對于用戶的偷竊行為，管理部門將很難發(fā)現、取證與查處，損失很難估量。因此，智能卡預付費表確實存在較嚴重的安全問題，解決智能卡表安全問題是智能卡表推廣的首要問題。

　　2 智能卡預付費表的安全防護

　　2．1 選用射頻卡作為用戶卡解決開放式讀寫卡口的安全問題

　　射頻卡也屬于智能卡的一種，但射頻卡與讀寫器是通過磁耦合或微波的方式來實現能量與信號的非接觸傳輸，解決了接觸式Ic卡使用機械電氣觸點產生的靜電擊穿、機械磨損、易受污染和潮濕環(huán)境影響等問題，同時由于射頻卡與讀寫器之間不存在開放式的讀寫卡口，因此能解決開放式卡口的安全問題，能有效避免用戶從開放式卡口對儀表的攻擊。

　　2．2 增強用戶卡芯片的安全性設計

　　用戶卡無論是選用接觸式Ic卡還是射頻卡，其加密手段基本相同，因此應根據黑客攻擊智能卡的方法采用對應的安全措施。

　　首先在設計、制作智能卡的過程中，一切參數都應嚴加保密。其次在設計智能卡芯片時還必須根據對智能卡芯片的攻擊方法來制定相應的安全措施。例如：外加專防分析存儲器內容的若干保護層，讓黑客難以全部剝離這些保護層而不損及存儲器；在E PROM電路里留有少量表示信息的電荷，防止黑客用探針探測存儲器的內容；采用芯片監(jiān)控程序來防止對處理器／存儲器數據總線和地址總線的截聽；使用變化的加密密鑰和加密算法來防止分析密鑰；采用頂層探測器網格來保護非易失性存儲器中的內容；永久關閉測試態(tài)來防止黑客使用測試態(tài)攻擊智能卡。

　　2．3 增加專門抗攻擊模塊，提高儀表抗攻擊能力 

　　針對存在的或可能存在的攻擊方式，進行防攻擊研究，在儀表中增設相關的抗攻擊模塊能有效的防止用戶對儀表內部的攻擊。無論是卡口電壓攻擊還是電池攻擊或強磁攻擊，其技術含量都不高，要使這些攻擊失效并不難，只要生產廠家或相關利益集團重視預付費表的安全問題，針對攻擊方式進行防攻擊研究，相信馬上就能研究出一些專門的抗攻擊與抗干擾模塊來抵御外部的攻擊與干擾。

　　2．4 建立完善的用戶監(jiān)控體系

　　充分利用計算機管理技術，建立詳細的用戶檔案與完善的監(jiān)控體系，分區(qū)域對用戶消費情況進行監(jiān)控，如發(fā)現某區(qū)域的總消耗量與分戶累加總量不符則報警，從而可及時調查取證，有效防止用戶偷竊行為。有條件的地方，最好將管理部門的管理微機與用戶表通過工業(yè)網絡、電力線載波網絡或無線網絡進行聯網，以進一步提高管理部門對用戶表的監(jiān)管力度。

　　2．5 實施強制性檢測與準入制度

　　國家相關職能部門或利益團體應對智能卡預付費表實施強制性的檢測與準入制度，在產品批量生產前就應該組織專家對產品進行各種攻擊實驗，以檢測其抗攻擊能力，對抗攻擊能力不達標的產品則堅決不準上市，從而能將不達標產品拒絕在市場之外，解決潛在的安全隱患。同時，也能促進廠家加大技術改造與產品防攻擊的研究力度。

　　3 結語

　　隨著非接觸式智能卡(射頻卡)預付費表的研發(fā)以及抗攻擊、抗干擾技術的改進，智能卡預付費表的安全性有了本質上的提高。只要生產廠家與相關利益集團重視智能卡表的安全問題，通過技術革新，加強監(jiān)管，嚴把智能卡儀表的產品質量關，智能卡預付表的安全將不再是問題。這種先交費，再消費的經濟實惠的計費工具必將在我國得到廣泛推廣與應用。