張 帥 李焦明 謝 敏

（南京科技職業(yè)學(xué)院 南京 210048）

引言

近年來，射頻識別技術(shù)在物流、零售、制造業(yè)、醫(yī)療、交通、防偽、身份驗證等領(lǐng)域得到了廣泛地應(yīng)用。但安全隱患也隨之出現(xiàn)：竊聽、數(shù)據(jù)篡改、復(fù)制、電子欺騙。加強射頻識別系統(tǒng)的安全性勢在必行。

1 RFID技術(shù)簡介

RFID是一種簡單的技術(shù)，可以識別任何物體（OOI）。除了將標(biāo)簽簡單地應(yīng)用于實體之外，使用具有唯一識別碼的RFID標(biāo)簽可以容易地嵌入到對象（OOI）中以進(jìn)行識別。RFID是一種射頻技術(shù)，通過天線在標(biāo)簽和閱讀器之間發(fā)送數(shù)據(jù)。以這種方式，可以容易地獲得關(guān)于主題（OOI）的標(biāo)簽相關(guān)信息。

當(dāng)RFID標(biāo)簽中的電路具有足夠的能量時，它將開始在接收器的接收領(lǐng)域內(nèi)發(fā)送和配對信號。這種方法與其他靜態(tài)辨別技術(shù)區(qū)別的地方是它是一種LOUD ID技術(shù)。此功能使某些庫存管理和位置問題變得簡單，這就是RFID非常適合跟蹤，跟蹤和庫存管理功能的原因。目前國產(chǎn)的一些門禁射頻識別系統(tǒng)、以及金額卡刷卡式消費系統(tǒng)都存在很大的安全隱患。其中涉及到門禁卡被惡意復(fù)制，金額卡里的金額數(shù)據(jù)被惡意復(fù)制甚至修改現(xiàn)象，給使用該系統(tǒng)的商家造成了巨大的損失?，F(xiàn)在已有的解決方案，就是增強人員監(jiān)控，數(shù)據(jù)傳輸?shù)募咏饷懿捎靡赃M(jìn)制轉(zhuǎn)換為主的簡單算法。

2 射頻卡安全隱患

2.1 門禁卡容易被惡意復(fù)制安全隱患

2.1.1 proxmark3的使用

研究所用電腦是win10系統(tǒng)的筆記本，所以使用proxmark3讀寫器的時候需要先禁用驅(qū)動簽名驗證，禁用驅(qū)動簽名方法按照表1 操作。

然后打開配套的Proxmark3_EASY_GUI軟件，如圖1所示。

然后一鍵自動解析，如圖2所示，一鍵自動解析是執(zhí)行所有操作。當(dāng)然也可以單個執(zhí)行操作。

這樣就獲取到了數(shù)據(jù)。但是有時候卡不支持破解，這時候我們可以拿著設(shè)備去現(xiàn)場嗅探，所謂的嗅探就是利用設(shè)備與設(shè)備之間的交互，劫持一段數(shù)據(jù)出來。然后獲取到的數(shù)據(jù)可以保存下來。

2.1.2 利用proxmark3讀寫器復(fù)制IC卡

Proxmark3的兼容性很強大，可以讀取所有的射頻卡，另外配套的操作軟件支持傻瓜式一件解析。計算機里內(nèi)置的程序已經(jīng)加入了自動識別功能，以某小區(qū)的門禁IC卡為例。

首先將proxmark3連接我的計算機（win10操作系統(tǒng)），然后以管理員身份運行Proxmark3_EASY_GUI軟件。進(jìn)行一鍵解析。通過解析讀取后，可以獲得IC卡里面的數(shù)據(jù)信息，如圖3所示。

大部分小區(qū)門禁卡的復(fù)制很簡單，通常生活中的門禁卡都不加密，安全防護(hù)很差，這張讀取的門禁卡就是這樣，密鑰A和密鑰B都是默認(rèn)密碼FFFFFFFFFFFF，然后控制字為078069，如圖4所示。

復(fù)制的時候用一種空白的IC卡，然后放在proxmark3設(shè)備的高頻區(qū)區(qū)域，選取13.56 MHz的IC卡，然后點擊克隆到UID，進(jìn)行數(shù)據(jù)寫入，16個扇區(qū)的數(shù)據(jù)都能寫入。

2.2 金額卡容易被復(fù)制或修改金額的安全隱患

很多學(xué)校的飯卡和開水卡等金額卡都存在巨大的隱患。筆者利用某學(xué)校的開水卡（金額卡）來揭露該學(xué)校的金額卡的安全隱患。使用的工具是win10系統(tǒng)計算機一臺，proxmark3讀寫器一個，某學(xué)校金額卡一張，以及空白的IC卡一張。

表1 禁用驅(qū)動簽名步驟表

圖1 配套GUI軟件COM端設(shè)置圖

圖2 配套GUI軟件一鍵解析圖

圖3 配套GUI軟件克隆功能截圖

首先將proxmark3讀寫器設(shè)備與計算機連接，然后打開Proxmark3_EASY_GUI軟件，將水卡放在proxmark3設(shè)備上進(jìn)行數(shù)據(jù)讀取，然后導(dǎo)出到編輯區(qū)。這時候讀取到的這張金額卡的余額為50.00元。然后我們使用這張金額卡到開水機去消費，消費一會兒后，余額為12.08元后，停止消費。然后將刷卡后的開水卡放在proxmark3讀寫器設(shè)備上進(jìn)行二次讀取，同時導(dǎo)出到編輯區(qū)。這樣獲取到兩次不同金額的金額卡數(shù)據(jù)，點擊Proxmark3_EASY_GUI軟件的對比數(shù)據(jù)按鍵進(jìn)行對比。通過對比我們可以快速定位金額的數(shù)據(jù)塊區(qū)域，如圖5所示。

這時候可以看到金額區(qū)域已經(jīng)被分析標(biāo)注出來了。分析出來的數(shù)據(jù)都是16進(jìn)制的數(shù)據(jù)，需要我們進(jìn)行進(jìn)制轉(zhuǎn)換運算操作，將16進(jìn)制數(shù)據(jù)轉(zhuǎn)換成10進(jìn)制。16進(jìn)制的04A8轉(zhuǎn)換成10進(jìn)制就是1 208，對應(yīng)著12.08金額卡；16進(jìn)制的1 388轉(zhuǎn)換成10進(jìn)制就是5 000，對應(yīng)著50.00金額卡。攻擊者會進(jìn)行復(fù)制，直接將原本的金額直接克隆寫入到新的IC卡中，實現(xiàn)偽造標(biāo)簽。攻擊者也可能會修改金額數(shù)據(jù)，寫入到新的IC卡中，達(dá)到修改金額這一目的。

以上就是大部分學(xué)校的金額卡的安全隱患，很多時候攻擊者只需要對比兩次數(shù)據(jù)就能輕而易舉的攻破金額卡，甚至修改數(shù)據(jù)，然后申請?zhí)岈F(xiàn)獲取暴利。

3 改進(jìn)措施

3.1 采用安全性高的CPU模擬卡

CPU卡和IC卡表面上看上去沒有任何區(qū)別，主要的區(qū)別就是在于卡內(nèi)的集成電路中帶有微處理器CPU、存儲單元（包括隨機存儲器RAM、程序存儲器ROM（FLASH）、用戶數(shù)據(jù)存儲器EEPROM）以及芯片操作系統(tǒng)COS，而國產(chǎn)的通用的IC卡內(nèi)部沒有微處理器。裝有COS的CPU卡相當(dāng)于一臺微型計算機，不僅具有數(shù)據(jù)存儲功能，同時具有命令處理和數(shù)據(jù)安全保護(hù)等功能。所以CPU卡的安全性能比IC卡要高出很多。

3.2 采用數(shù)據(jù)全加密

對各個扇區(qū)里的數(shù)據(jù)進(jìn)行加密，控制字、密鑰A以及密鑰B都設(shè)置成相對復(fù)雜的密碼。

圖6為讀取的金額卡，可以通過計算機連接prox-mark3讀寫器對這張IC卡進(jìn)行數(shù)據(jù)修改，可以看到這張金額卡扇區(qū)的密碼多都是默認(rèn)密碼00000000000，沒有進(jìn)行全加密；其次控制字都采用國產(chǎn)IC卡的默認(rèn)密碼078069，這種IC配置不可取。建議配置發(fā)卡的時候用全加密卡，勿用默認(rèn)密碼配置，防止被非法人士破解。

圖4 配套GUI塊區(qū)截圖

圖5 金額卡數(shù)據(jù)分析對比圖

圖6 金額卡塊區(qū)數(shù)據(jù)寫入截圖

4 結(jié)論

本文利用proxmark3讀寫器對日常生活中使用的射頻識別系統(tǒng)進(jìn)行了實驗研究。實驗結(jié)果標(biāo)明，日常生活中使用的射頻識別系統(tǒng)存在一定的安全隱患，門禁卡容易被非法復(fù)制，金額卡的金額容易被非法人士惡意修改，采用CPU模擬卡或者采用數(shù)據(jù)全加密的改進(jìn)措施，可大大提高射頻識別系統(tǒng)的安全性。