Technology Basics White Paper 技术基础白皮书i C L ASS®iCLASS®是HID Global公司在美国研发的基于RFID 13.56MHz—可读写平台上的一种技术,所制造产品均符合ISO国际标准。
iCLASS®的产品系列包括各种容量大小、不同分割扇区的多款IC非接触式智能卡片,还包括适合多种应用场所的读卡器。
iCLASS®——ISO标准iCLASS®技术是基于ISO 15693的13.56MHz读/写非接触式智能卡技术,同时也符合其它多种ISO国际标准(如:ISO 14443 Type A、ISO 14443 Type B),由此可见,iCLASS®的技术对于各标准的兼容性相当强。
备注:1、MIFARE®技术只符合ISO 14443 Type A标准2、ISO标准简述及对比见附录13、iCLASS®于ISO标准的兼容性见附录2表iCLASS®——安全性iCLASS®采用64位的动态验证密钥,同时iCLASS®技术特有的HASH加密算法更进一步保障设备通讯的安全可靠性。
读卡器和智能卡需要匹配的密钥才能工作。
智能卡与读卡器之间的所有射频数据传输均采用安全的HASH算法进行加密。
密钥管理系统降低了数据被窃或智能卡被复制的风险。
iCLASS®所有智能卡出厂时都配有唯一的、各不相同的密钥,读卡器亦配有兼容的密钥。
所有密钥皆源于HID 标准传输密钥。
虽然带有标准密钥的智能卡和读卡器可以互换,但这些密钥是非常安全的,只需采用iCLASS® Elite格式排序,即可制出不可复制的唯一智能卡。
可以从工厂选购带有站点专用的定制密钥的智能卡和读卡器,也可以使用iCLASS®CP400 编程器创建站点专用密钥数据库和读卡器配置卡,用以在现场重新设置智能卡和读卡器的密钥。
用户还可以利用编程器通过DES 或三重DES 加密来保护数据。
专用密钥的安全级别最高,利用这些密钥,智能卡和读卡器可以唯一地与个别站点或客户相匹配,无法互换。
现国内使用普及的MIFARE 1卡所使用的是NXP公司Philips MIFARE®Classic MF1芯片组,其只是采用48位静态的加密方式,据近年消息称,MIFARE 1卡芯片的加密算法已被破解,安全问题受严峻考验,众多用户只能自行新建加密算法,以保证自身所使用MIFARE 1卡片数据的相对安全。
关于这个令人尴尬的问题,制造商NXP公司称其下MIFARE® DESFire MF3芯片组的问世,可以替代MIFARE® ClassicMF1的产品线,但于国内的应用案例少之又少。
iCLASS®——相互认证相互认证是基于密钥加密通讯系统的通用惯例。
简单的说,卡和读卡器需要确认对方是否匹配密钥,读卡器要知道持卡人是否合法,卡要知道读卡器是否授权读它的信息。
如果卡和读卡器之间简单的传输密钥,只要是精通技术的人都可以将接收器的频率调谐到和读卡器的频率一样,这样就可以捕获信息,从而制作自己的智能卡,获得非法进出。
卡和读卡器都包含有复杂的加密算法,加密算法能够打乱传输的数据,使它们变得难以理解. 为了防止“黑客”反编译算法,卡和读卡器还包含有随机数产生器,卡和读卡器都将随机数作为算法的输入。
如果你多次读相同的卡,每次传输的数据也不尽相同。
每张卡都包含有唯一的序列号,用来加密存储在卡上的密钥,使每张卡的密钥都是唯一的。
iCLASS®——防冲撞iCLASS®读卡器不停的以13.56MHz的频率小范围信号覆盖,当有iCLASS®卡片进入读卡器覆盖范围后被激活,同时以“明码”的方式发送序列号。
在此过程中如果有其它iCLASS®卡片也进入信号覆盖范围,读卡器用第一张被读取的iCLASS®卡片序列号屏蔽其它卡片,只选择第一张卡片做校验。
这个过程,我们称之为“防冲撞”。
iCLASS®——节约智能卡空间容量传统的MIFARE 1卡无法实现多类信息同一区段写入,扇区段划分过于死板,严重浪费智能卡芯片的存储空间。
iCLASS®支持多类信息同区段的连续写入,有效利用智能卡剩余的储存空间。
iCLASS®——系统兼容性iCLASS®读卡器有多种通讯格式,于一卡通系统的应用,多采用标准的Wiegand 26通讯格式,与传统类的门禁控制系统、停车场管理系统、电梯控制系统、考勤系统、访客系统、包括消费系统均兼容。
如与特殊Wiegand通讯格式的系统连接,iCLASS®也可通过刷配置卡这样简单的操作方式,实现对最高达Wiegand 40通讯格式系统的支持。
iCLASS®——HID的品牌服务体系iCLASS®卡片的安全级别通过HID公司是可以定制的,共分六个级别:Level 1 –标准安全:HID iCLASS®产生单一的标准密钥,并装载进每个读卡器,不管是用还是不用。
用每张iCLASS®卡的序列号、标准密钥被多样化,来创建标准安全凭证卡。
所有iCLASS®标准安全凭证卡只能兼容于iCLASS®标准读卡器。
Level 2 –高安全的“Elite”:HID iCLASS®创建一个或二个用户自定义的密钥,并把它们加载到自定义的读卡器里。
通过用户自定义密钥产生的矩阵和凭证卡序列号,将密钥多样化。
这些通过用户自定义的iCLASS®凭证卡只能在被同样自定义的iCLASS®读卡器上工作。
Level 3 –现场编程器:将标准安全密钥或高安全现场要求的指定密钥编程输入iCLASS®凭证卡。
密钥在现场产生,而且可以根据需要经常变更。
应用前面所有的Hash算法,再加上传统的加密算法。
Level 4 –串行协议开发者:密钥由开发者产生、加载和管理。
HID 的密钥通过通讯端口是不能被使用的,在已经编程的凭证卡上,除了HID应用区域,开发者可以存取其他所有的应用区域。
Level 5 –OEM 开发者:经过挑选的OEM商将会得到一些必要的工具,用来开发自己的软件包以代替现场编程器。
HID iCLASS®将为OEM客户创建OEM密钥,但是为了使用现货供应商那里的标准安全密钥读卡器,也允许他们编程标准安全密钥。
OEM客户必须使用定制的读卡器编程标准安全密钥。
Level 6 –自定义:一些经过挑选的客户将有机会递交自定义固件的规范说明。
能够实现客户指定的安全算法。
HID iCLASS®帮助研究,开发部决定可行性、NRE费用和执行进度。
iCLASS®不同于MIFARE®只由NXP公司提供芯片技术,而由众多制造商制成智能卡成品,众家生产流水线不同,标准存在一定差异,最后售后体系也难保完善。
HID公司为iCLASS®整合一切品牌资源,标准一致,在非人为原因而造成设备折损的前提下,承诺智能卡及读卡器类产品终身保修(除生物识别类产品)。
附录1:ISO 标准简述及对比1. ISO 14443协议是定义“接近耦合”非接触智能卡,专门针对于10CM 以下的非接触技术。
这种近距离非接触的方式非常适合于需要大量信息数据传输的金融交易。
Type A 采用改进的Miller 编码方式,调制深度为100%的ASK 信号;Type B 则采用NRZ 编码方式,调制深度为10%的ASK 信号。
ISO14443B 较ISO14443A 加密系数比较高,用于电子身份证,国内的第二代身份证使用的就是ISO 14443 Type B 的协议标准。
备注:ASK 是指用电压的振幅来判别高、低电平,即“1”与“0”,100%的ASK 信号传输会出现间断的情况,而10%的ASK 信号虽然避免传输间断现象,但极易出现判别高、低电平混乱的情况。
2. ISO 15693协议是定义“附近耦合”非接触智能卡,专门针对于1米以下稍长距离的非接触技术。
这种距离规格更适合应用于相对有读卡距离要求的门禁系统。
虽然,ISO 15693协议的数据传输速度为26.6kbps ,远小于ISO 14443协议的106 kbps 的数据传输速度,但对于通讯数据量极小的门禁系统而言,无疑没有太大影响。
附录2表:iCLASS ® 关于ISO 标准兼容性 ISO标准卡片兼容性读卡器R10/R30/R40/RK40 RW300/RW400RWK400/RWKL550 RWKB575FIPS201 R10A Transit I S O 15693 只读卡片CSN 2K&16K 2K&16K Infineon MyD™TI Tag-ItPhilips I Code ® Infineon MyD™ TI Tag-ItPhilips I Code ® 读卡 2K&16K 2K&16K 2K&16K 2K&16K 写卡2K&16K 2K&16K 2K&16K 2K&16K I S O 14443A 只读卡片CSN Philips MIFARE UltraLight DESFire™ Philips MIFARE UltraLight DESFire™ 不支持 不支持 读卡 不支持 不支持 DESFire™ 不支持 写卡不支持 不支持 DESFire™ 不支持 I S O 14443B 只读卡片CSN 2K&16K 2K&16K 2K&16K 2K&16K 读卡 2K&16K 2K&16K 2K&16K 2K&16K 写卡不支持不支持不支持不支持。