尹漢煒

摘 要：隨著信息技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展與普及，智能終端呈現(xiàn)出迅猛發(fā)展趨勢。智能終端的使用已經(jīng)引起各類內(nèi)容服務(wù)提供商的關(guān)注，紛紛將應(yīng)用、服務(wù)、內(nèi)容轉(zhuǎn)移到移動智能終端并開發(fā)出相應(yīng)的應(yīng)用。而智能終端是依賴近場通信技術(shù)來實現(xiàn)業(yè)務(wù)功能的。該文首先近場通信技術(shù)的應(yīng)用情況、基礎(chǔ)術(shù)語及定義，然后分析此次研究方向和測試線路，最后結(jié)合滲透測試工作實際情況，對該公司的門禁卡、車庫道閘進(jìn)行測試，驗證NFC、遙控道閘的安全薄弱點，通過實例演示以展現(xiàn)NFC、遙控道閘被控制的危害性。

關(guān)鍵詞：近場通信 RFID 門禁卡 遙控道閘 無線鼠標(biāo) 信號破解 信息竊聽 信息篡改

中圖分類號：TD65 文獻(xiàn)標(biāo)識碼：A 文章編號：1672-3791（2015）08（a）-0030-02

目前，近場通信技術(shù)被應(yīng)用到電力行業(yè)中的各個方面，從出入門禁卡、車庫遙控道閘、智能電表、巡檢登記點、物料登記等多個應(yīng)用場景，而這些應(yīng)用場景均是電力企業(yè)開展日常工作的重要組成部分。該方案主要研究對各種終端所面臨的RFID、紅外等無線接入安全威脅及安全需求，分析比較其安全特性、架構(gòu)和機(jī)制，并針對現(xiàn)有安全問題及機(jī)制提出了安全增強(qiáng)方法。最后對各類型無線接入安全未來發(fā)展趨勢進(jìn)行了預(yù)測分析，并根據(jù)課題研究成果形成一套有效的接入、訪問控制、授權(quán)、檢測等安全管理與管控辦法。

1 NFC（近距離無線通訊技術(shù)）

NFC近場通信技術(shù)是由非接觸式射頻識別（RFID）及互聯(lián)互通技術(shù)整合演變而來，在單一芯片上結(jié)合感應(yīng)式讀卡器、感應(yīng)式卡片和點對點的功能，能在短距離內(nèi)與兼容設(shè)備進(jìn)行識別和數(shù)據(jù)交換。工作頻率為13.56MHz.但是使用這種手機(jī)支付方案的用戶必須更換特制的手機(jī)。目前這項技術(shù)在日韓被廣泛應(yīng)用。手機(jī)用戶憑著配置了支付功能的手機(jī)就可以行遍全國：他們的手機(jī)可以用作機(jī)場登機(jī)驗證、大廈的門禁鑰匙、交通一卡通、信用卡、支付卡等等。

2 NFC測試

2.1 檢測目的

NFC近場通信技術(shù)是由非接觸式射頻識別（RFID）及互聯(lián)互通技術(shù)整合演變而來，在單一芯片上結(jié)合感應(yīng)式讀卡器、感應(yīng)式卡片和點對點的功能，能在短距離內(nèi)與兼容設(shè)備進(jìn)行識別和數(shù)據(jù)交換。工作頻率為13.56MHz。

NFC技術(shù)可以用于機(jī)場登機(jī)驗證、大廈的門禁鑰匙、交通一卡通、信用卡、支付卡等等。

在此次測試中，對常見的幾種卡進(jìn)行破解、克隆和篡改測試。

2.2 檢測工具

Proxmark3是國外Jonathan Westhues設(shè)計的第三代射頻開發(fā)工具，用于低頻（125KHz，134KHz）和高頻（13.56MHz）的各種應(yīng)用。

⑴作為一個讀卡器。

⑵監(jiān)聽記錄RFID射頻通信，監(jiān)聽記錄讀卡器到卡片和 卡片到讀卡器的通信，一些監(jiān)聽記錄設(shè)備只能監(jiān)聽讀卡器到卡片的通信，不能監(jiān)聽記錄卡片到讀卡器的通信。包括高頻的各種協(xié)議14443a，14443b和15693.

⑶模擬卡片。

監(jiān)聽記錄RFID射頻通信是射頻開發(fā)的一個必備工具，像電路調(diào)試的示波器一樣。

其他內(nèi)容介紹以及驅(qū)動的安裝請詳見參考資料中的“Proxmark3使用案例”一文。

2.3 測試結(jié)果

2.3.1 判斷卡的類型

常見的NFC標(biāo)簽為高頻卡，使用13.56Mhz進(jìn)行通信。使用hw tune命令查看Proxmark3的天線狀態(tài)，有兩次狀態(tài)，第一次是在無標(biāo)簽狀態(tài)下的電壓9.22v，第二次是在有門禁卡貼近時的電壓5.45v，根據(jù)經(jīng)驗，超過1v的變化，可以判斷為高頻卡。

故使用高頻卡相關(guān)的命令（hf 14a reader、hf 14b read等）嘗試讀取卡的信息，使用hf 14a reader時收到設(shè)備反饋，從而得知此卡為NXP MIFARE CLASSIC 1K或者Plus 2k SL1卡，并且UID為b431d811。

2.3.2 破解密鑰

很多卡在使用前未對所有塊區(qū)的密鑰進(jìn)行整改，而出廠密鑰一般為FFFFFFFFFFFF，測試是否存在哪個塊區(qū)使用了默認(rèn)密鑰，使用命令hf mf chk 0 A FFFFFFFFFFFF，即可發(fā)現(xiàn)一個有效密鑰FFFFFFFFFFFF。由于MIFARE CLASSIC卡存在漏洞，可以通過通過一個已知的密鑰計算出其他塊區(qū)的所有密鑰，這里Proxmark3已經(jīng)提供了此功能，使用命令hf mf nested 1 0 A FFFFFFFFFFFF進(jìn)行破解，經(jīng)過一番計算后，得到整個卡16個塊區(qū)的密鑰，可知很多塊區(qū)均使用了默認(rèn)的密鑰。

在使用使用上述命令增加參數(shù)d，可以把破解出來的密鑰保存到bin文件，破解完成后，在工具所在目錄下可以找到dumpkeys.bin文件。

2.3.3 復(fù)制卡片

得到密鑰文件后，就可以讀取卡片中的內(nèi)容，并且進(jìn)行克隆。使用hf mf dump命令將卡片中所有內(nèi)容讀取并保存成文件，命令執(zhí)行完畢后，內(nèi)容保存在工具所在目錄下，文件名為dumpdata.bin。

使用空白的可改寫UID的卡片，進(jìn)行克隆，使用hf mf restore，將上面dump下來的數(shù)據(jù)寫入到空白的卡里，除block 0寫入失敗，其他從所有塊區(qū)已成功寫入數(shù)據(jù)，由于Proxmark3的restore功能不支持寫入block 0，不過可以使用另外的命令寫入block 0數(shù)據(jù)，使用命令hf mf csetblk 0 B431D8114C0804006263646566676869，其中后面的32位字串為原門禁卡的block 0數(shù)據(jù)，前面的8位為UID，白卡原來自己的UID為a85e8109，成功寫入block 0數(shù)據(jù)后，重新讀取block 0數(shù)據(jù)，與門禁卡的block 0數(shù)據(jù)完全一致，包括了UID及后段的廠商標(biāo)識等信息。

2.4 測試結(jié)論

2.4.1 方法總結(jié)

（1）MIFARE CLASSIC M1卡自身通信協(xié)議上存在缺陷，導(dǎo)致只需要知道其中一個密鑰就可以計算出卡內(nèi)所有其他的密鑰。目前所使用的卡基本都存在默認(rèn)密鑰的現(xiàn)象，即FFFFFFFFFFFF，所以使用FFFFFFFFFFFF和Proxmark3帶有的破解計算功能，即可以完成對M1卡其他所有密鑰的破解。

（2）使用Proxmark3的hf 14a sim 1 22222222即可模擬一張符合ISO/IEC 14443 type A協(xié)議的卡片，UID為22222222，未能實現(xiàn)模擬出一張帶有完整16個扇區(qū)數(shù)據(jù)的卡片。

2.4.2 成果總結(jié)

（1）使用Proxmark3可以憑一個已知密鑰，計算出其他所有塊區(qū)的密鑰。

（2）使用Proxmark3可以模擬一張帶UID的卡片，但未能模擬帶完整16個扇區(qū)的數(shù)據(jù)。

（3）Android 4.4及以上版本的安卓系統(tǒng)，提供NFC芯片相關(guān)API，但暫無相關(guān)成功實例，未能實現(xiàn)模擬。

2.4.3 成果分析

出于成本考慮，M1卡本身沒有對數(shù)據(jù)加密的功能，數(shù)據(jù)容易被解析、篡改。據(jù)了解，有同樣問題的，還有低頻卡片如ID卡、HID卡、5577卡等。建議使用CPU卡，其設(shè)計有密鑰文件及認(rèn)證機(jī)制，安全性較高。

3 結(jié)語

此次通過分析近場通信技術(shù)中的NFC卡、車庫遙控道閘的安全性，并通過技術(shù)測試論證了在目前情況下，NFC卡存在可被破解、篡改、復(fù)制的威脅，車庫遙控道閘就直接會受到重放攻擊。

該文除了論證NFC卡、車庫遙控道閘等兩個近場通信技術(shù)應(yīng)用場景的安全性，還希望能促進(jìn)技術(shù)的升級改造，使用這些應(yīng)用場景能更好的服務(wù)于現(xiàn)實工作。

參考文獻(xiàn)

[1] 姚皓.試析電力無線通信技術(shù)的創(chuàng)新[J].中國新通信，2014，16（6）：3.

[2] 王琦.無線通信技術(shù)及其在電網(wǎng)通信中的應(yīng)用前景探討[J].企業(yè)導(dǎo)報，2012（22）：289.

[3] 常亮.電力自動化無線通信網(wǎng)絡(luò)的分析與研究[J].科技與企業(yè)，2013（15）：101.