IC卡作為全球IT產(chǎn)業(yè)中的分支，其產(chǎn)業(yè)規(guī)模與整個(gè)IT產(chǎn)業(yè)的大環(huán)境相比，占據(jù)著微不足道的地位，整個(gè)中國IC卡產(chǎn)業(yè)（包括所有芯片、加工、制造、開發(fā)等）年產(chǎn)值在百億元左右。然而最近，這個(gè)情況發(fā)生了巨大的變化——Mifare Classic非接觸芯片的算法與密鑰被破解，引發(fā)了業(yè)內(nèi)、媒體、社會(huì)，以至于政府的極大關(guān)注和反應(yīng)。

何為IC卡？
    Mifare Classic，簡(jiǎn)稱“M1卡”，屬IC卡的一種，廣泛應(yīng)用于城市公交地鐵、門禁校園的非接觸卡。其在十幾年前就已問世，目前還在大規(guī)模使用，本身已是一個(gè)奇跡。

    那么，何為IC卡？我們可以理解為其是將一個(gè)集成電路芯片鑲嵌在一個(gè)塑料基片上。該集成電路芯片可分為三種：一種是僅僅具備存儲(chǔ)功能的，叫存儲(chǔ)卡，類似U盤，這種產(chǎn)品形態(tài)基本上已經(jīng)退出市場(chǎng)；其二為具有簡(jiǎn)單的邏輯加密設(shè)計(jì)，被稱為邏輯加密卡，M1就屬于這一種，其具備較低的安全性；第三種則內(nèi)置CPU和處理軟件（也被稱為芯片操作系統(tǒng)，COS），也叫做智能卡、SmartCard、CPU卡、智慧卡。

    IC卡的主要用途為兩類：安全支付和身份識(shí)別。以M1的設(shè)計(jì)與應(yīng)用為例，在作為城市一卡通的電子錢包時(shí)，錢包的金額以計(jì)數(shù)器（一種具備加與減功能的存儲(chǔ)格式）形式存在，對(duì)計(jì)數(shù)器數(shù)值進(jìn)行加與減的操作前，都需要驗(yàn)證相應(yīng)的類似口令的訪問控制機(jī)制，該口令在讀寫設(shè)備上、設(shè)備與卡之間傳輸，以及在卡的驗(yàn)證中，都以被保護(hù)的形式存在。

IC卡安全性釋疑
    籠統(tǒng)地懷疑“IC卡的安全性”是不準(zhǔn)確的，確切地說，應(yīng)該是以M1為代表的邏輯加密卡，用于高安全領(lǐng)域的安全支付與身份識(shí)別應(yīng)用領(lǐng)域中，存在一定的安全隱患，有可能導(dǎo)致安全性問題出現(xiàn)。如何理解這種說法？

    首先，M1卡是IC卡中安全性較低的一種，帶有CPU的IC卡的安全性在目前尚未被證明有被破解，因此，存在安全性隱患的是邏輯加密卡，而不是所有類型的IC卡。

    其二，類似M1的IC卡產(chǎn)品，從犯罪成本、犯罪動(dòng)機(jī)來看，用于考勤、公交車等低安全性的應(yīng)用領(lǐng)域，具有一定的市場(chǎng)價(jià)值。理性的做法應(yīng)該是選擇合適的產(chǎn)品，而不是總是選擇安全性最高、最好的產(chǎn)品。

    其三，M1卡的安全性隱患也沒有那么簡(jiǎn)單直白。首先，非專業(yè)人士很難對(duì)自己手中的卡片實(shí)施破解操作；其次，安全性并非僅與卡片相關(guān)，城市通卡片中的很多交易場(chǎng)合是做聯(lián)機(jī)交易、黑名單控制的，一旦識(shí)別卡片的余額與后臺(tái)記錄中的嚴(yán)重不符，或者卡片的交易情況異常，都可以很快將卡片鎖定。

    其實(shí)，在一個(gè)設(shè)計(jì)合理、考慮完善的IC卡應(yīng)用系統(tǒng)中，IC卡的安全性僅僅是安全機(jī)制中的一環(huán)，還有諸如卡片結(jié)構(gòu)設(shè)計(jì)、有效性與合法性標(biāo)志位設(shè)置、累計(jì)消費(fèi)次數(shù)與金額比對(duì)校驗(yàn)、錢包備份、密鑰分散管理，PSAM卡認(rèn)證、黑名單等多種機(jī)制保護(hù)發(fā)卡方與持卡人的利益不受侵犯。

升級(jí)為CPU卡成必然趨勢(shì)
    對(duì)于IC卡的應(yīng)用，當(dāng)前可限制M1卡的應(yīng)用領(lǐng)域擴(kuò)展及交易限額，同時(shí)逐步將系統(tǒng)改造升級(jí)到CPU卡，這并不需要太長的時(shí)間和巨大投資。

    首先，非接觸CPU卡的價(jià)格并不如想象的那么不可接受，一張非接觸卡片的價(jià)格由芯片、封裝、卡基、其它制造與運(yùn)輸成本、發(fā)行成本等組成，其中的芯片成本只占不足50%，而邏輯加密卡和CPU卡在芯片上的價(jià)格差異已經(jīng)非常小了，重要的是規(guī)模效應(yīng)；其次，盡管一個(gè)基于CPU卡的應(yīng)用系統(tǒng)從設(shè)計(jì)、選型、發(fā)行、管理上的確需要比邏輯加密卡的系統(tǒng)考慮更多，更加復(fù)雜，但是國際標(biāo)準(zhǔn)化組織、各金融支付組織和行業(yè)，大多都制定了基于CPU卡的技術(shù)標(biāo)準(zhǔn)與應(yīng)用規(guī)范；而且，這些標(biāo)準(zhǔn)規(guī)范都是來自于實(shí)際應(yīng)用系統(tǒng)的設(shè)計(jì)與經(jīng)驗(yàn)，極具參考價(jià)值；最后，在小額脫機(jī)支付系統(tǒng)中的電子錢包，使用CPU芯片+COS，是目前最安全、最經(jīng)濟(jì)的選擇。