M1公交卡被克隆篡改频频发生 存量M1卡转换刻不容缓

近年来，全国多地频频发生了M1公交卡被破解篡改事件。近日，西北某市因公交卡被克隆损失近70万元，公安局查获非法制作的假公交卡达1000余张。在其他城市也频繁被爆出公交卡伪造、盗刷，在这些新闻中，篡改成本低、技术要求简单成为M1公交卡被破解的代名词。

网上关于M1卡破解的“攻略”数不胜数，按照这些攻略分享的步骤，一个没有任何软件基础的小白也能在半天内对普通M1公交卡实现破解，其危险性和严重性不言而喻。

M1卡是利用PVC封装M1芯片、感应天线，然后压制成型后而制作的卡即是我们所说的M1卡，属于非接触式IC卡。众所周知，早在2008年，德国研究员亨里克•普洛茨和弗吉尼亚大学计算机科学在读博士卡尔斯滕•诺尔成功地破解了M1卡的安全算法。漏洞在于，M1在产生奇偶校验位时将数据链路层和安全通信层本该分层处理的协议混为一谈，先校验后加密，并且重复使用了加密校验位的密码。这是不符合安全原则的并确实可被利用。再者就是M1卡嵌套认证的漏洞使得攻击者在得知一个扇区的密钥后可较容易的再破解其它任何扇区的密钥从而做到对该卡的全面破解。

2009年4月，工业和信息部发布《关于做好应对部分IC卡出现严重安全漏洞工作的通知》，要求各地各机关和部门开展对IC卡使用情况的调查及应对工作。

2013年12月，住房和城乡建设部IC卡应用服务中心发布了《关于采取若干措施促进城市一卡通系统升级及加快CPU卡替换M1卡的通知》，文件要求自2014年1月1日起，仍在用M1卡的城市一卡通运营单位新采购的安全认证卡中将统一设置M1卡控制时效，其时效控制时间截止为2018年12月31日，2019年1月1日起安全认证卡仅支持CPU卡应用。

近5年来，各地城市均推进了系统升级及CPU卡替换M1卡工作，但市面上仍有大量M1卡存量，这部分M1卡便成为了不法分子的实验温床，屡屡被克隆攻击，给城市通卡公司带来一定的资金风险和安全漏洞，因此将市面上的存量公交M1卡的转换刻不容缓。

保障安全是运行民生工程的重中之重，城市公交信息化运营单位完全有责任及义务提前修复技术漏洞，为持卡人提供最高级别的安全服务。部分城市公共交通运营单位风险意识不强，没有建设被盗复制卡的预警系统，能采取的黑名单等防范手段虽然有效，但是毕竟属于事后防范，难以从根本上解决问题。与其发生安全事件后的补救，不如事前升级系统避免该类事件的发生，而且公交卡被克隆攻破事件的屡屡发生对于政府公共服务的公信力也是极大的损耗。对于现存的M1公交卡而言，升级到云端系统，将M1卡转换为线上账户或CPU卡都将是可选的解决方案。

根据Synergy Research Group的新数据显示，全球云计算市场去年增长了24％，估值超过1800亿美元。我国越来越多的传统行业也迈上了云端，对于城市卡公司而言，通过接入统一的云平台，既能摆脱一些既有的制约，更好自主地拓展，还能以更低成本地为持卡人提供更加安全可靠的服务。由住房城乡建设部IC卡应用服务中心主导的“城市智慧卡互联互通V2．0云平台”，其是为通卡公司（包括各地公交、轨交公司）提供移动互联网化的云端服务平台。统一的云平台能有效帮助卡公司实现便捷高效地拓展，通过云端的互通联动还能使数据共享，最大限度打破信息孤岛，实现资源融合、创新数据价值。