ICLASS技术安全性的优势

iCLASS® Technology White Paper 技术基础白皮书

    HID ICALSS卡                               Mifare IC 卡

iCLASS®是HID  Global公司在美国研发的基于RFID  13.56MHz—  可读写平台上的一种技 术，所制造产品均符合ISO国际标准。iCLASS®的产品系列包括各种容量大小、不同分割 扇区的多款IC非接触式智能卡片，还包括适合多种应用场所的读卡器。

iCLASS®——ISO标准

iCLASS®技术是基于ISO  15693的13.56MHz读/写非接触式智能卡技术，同时也符合其它 多种ISO国际标准（如：ISO  14443  Type  A、ISO  14443  Type  B）.

iCLASS®——安全性 

iCLASS®采用64位的动态验证密钥，同时iCLASS®技术特有的HASH加密算法更进一步保障 设备通讯的安全可靠性。读卡器和智能卡需要匹配的密钥才能工作。智能卡与读卡器之 间的所有射频数据传输均采用安全的HASH算法进行加密。密钥管理系统降低了数据被窃 或智能卡被复制的风险。

iCLASS®所有智能卡出厂时都配有唯一的、各不相同的密钥，读卡器亦配有匹配的密钥。

所有密钥皆源于HID标准密钥。虽然带有标准密钥的智能卡和读卡器可以互换，但这些密钥是非常安全的，只需采用  iCLASS®  Elite格式，用户即可以享有不同的密钥，制出不可复制的、具有唯一密钥的智能卡。

从工厂选购带有站点专用的、定制密钥的智能卡和读卡器，也可以使用 iCLASS® CP400 编程器创建站点专用密钥数据库和读卡器配置卡，用以在现场重新设置智能卡和读卡器的密钥。用户还可以利用编程器通过  DES  或3-DES  加密来保护数据。专用密钥的安全级别最高，利用这些密钥，智能卡和读卡器可以唯一地与个别站点或客户 相匹配，无法互换。

现国内使用普及的MIFARE 1卡所使用的是NXP公司Philips MIFARE® Classic MF1芯片组， 其只是采用48位静态的加密方式，据近年消息称，MIFARE 1卡芯片的加密算法已被破解， 安全问题受严峻考验，众多用户只能自行新建加密算法，以保证自身所使用MIFARE  1 卡片数据的相对安全。关于这个令人尴尬的问题，制造商NXP公司称其下MIFARE® DESFire MF3芯片组的问世，可以替代MIFARE® Classic MF1的产品线，但于国内的应用案例少之又少。

ICLASS®——相互认证 

相互认证是基于密钥加密通讯系统的通用惯例。简单的说，卡和读卡器需要确认对方是 否匹配密钥，读卡器要知道持卡人是否合法，卡要知道读卡器是否授权读它的信息。如果卡和读卡器之间简单的传输密钥，只要是精通技术的人都可以将接收器的频率调谐到 和读卡器的频率一样，这样就可以捕获信息，从而制作自己的智能卡，获得非法进出。 卡和读卡器都包含有复杂的加密算法，加密算法能够打乱传输的数据，使它们变得难以理解.  为了防止“黑客”反编译算法，卡和读卡器还包含有随机数产生器，卡和读卡器 都将随机数作为算法的输入。如果你多次读相同的卡，每次传输的数据也不尽相同。每 张卡都包含有64位唯一的序列号，用来加密存储在卡上的密钥，使每张卡的密钥都是唯一的。

iCLASS®——防冲撞 

iCLASS®读卡器不停的以13.56MHz的频率小范围信号覆盖，当有iCLASS®卡片进入读卡器 覆盖范围后被激活，同时以“明码”的方式发送序列号。在此过程中如果有其它iCLASS® 卡片也进入信号覆盖范围，读卡器用第一张被读取的iCLASS®卡片序列号屏蔽其它卡片， 只选择第一张卡片做校验。这个过程，我们称之为“防冲撞”。

iCLASS®——节约智能卡空间容量 

传统的MIFARE 1卡无法实现多类信息同一区段写入，扇区段划分过于死板，严重浪费智 能卡芯片的存储空间。iCLASS®支持多类信息同区段的连续写入，有效利用智能卡剩余 的储存空间。

iCLASS®——系统兼容性 

iCLASS®读卡器有多种通讯格式，如一卡通系统的应用，多采用标准的Wiegand  26通讯 格式，与传统类的门禁控制系统、停车场管理系统、电梯控制系统、考勤系统、访客系 统、包括消费系统均兼容。如与特殊Wiegand通讯格式的系统连接，iCLASS®也可通过刷 配置卡这样简单的操作方式，实现对最高达Wiegand  144通讯格式系统的支持。

iCLASS®——HID的品牌服务体系

iCLASS®卡片的安全级别通过HID公司是可以定制的，共分六个级别：

Level 1  –  标准安全：HID iCLASS®产生单一的标准密钥，并装载进每个读卡器，不管 是用还是不用。用每张iCLASS®卡的序列号、标准密钥被多样化，来创建标准安全凭证 卡。所有iCLASS®标准安全凭证卡只能兼容于iCLASS®标准读卡器。

Level 2  –  安全的“Elite”：HID  iCLASS®创建一个或二个用户自定义的密钥，并 把它们加载到自定义的读卡器里。通过用户自定义密钥产生的矩阵和凭证卡序列号，将 密钥多样化。这些通过用户自定义的iCLASS®凭证卡只能在被同样自定义的iCLASS®读卡 器上工作。

Level 3  –  现场编程器：将标准安全密钥或高安全现场要求的指定密钥编程输入 iCLASS®凭证卡。密钥在现场产生，而且可以根据需要经常变更。应用前面所有的Hash 算法，再加上传统的加密算法。

Level 4  –  串行协议开发者 ：密钥由开发者产生、加载和管理。HID  的密钥通过通讯 端口是上能被使用的，在已经编程的凭证卡上，除了HID应用区域，开发者可以存取其他所有的应用区域。

Level 5  –  OEM开发者：经过挑选的OEM商将会得到一些必要的工具，用来开发自己的 软件包以代替现场编程器。  HID iCLASS®将为OEM客户创建OEM密钥，但是为了使用现货 供应商那里的标准安全密钥读卡器，也允许他们编程标准安全密钥。OEM客户必须使用 定制的读卡器编程标准安全密钥。

Level  6  –  自定义：一些经过挑选的客户将有机会递交自定义固件的规范说明。能够 实现客户指定的安全算法。HID iCLASS®帮助研究，开发部决定可行性、NRE费用和执行进度。

ICLASS和MIFARE的技术对比表