1、智能卡技術(shù)學(xué)習(xí)報告Mifare卡的算法破解和應(yīng)用姓名：劉欣凱專業(yè)：信息安全2班學(xué)號：指導(dǎo)老師：楊帆目錄一、論文摘要.3二、Mifare卡的簡單介紹4、Mifare卡的構(gòu)造及其功能模塊6四、Mifare卡的破解12五、確保Mifare卡安全應(yīng)用的新方案 18六、Mifare七、參考文獻24一、論文摘要Mifare是近年來被廣泛應(yīng)用的一種智能卡。但是隨著其廣泛應(yīng)用以及人們對其研究的加深， 一度被認為非常安全的 mifare卡也存在被破解的危險。針對此現(xiàn)象，我們對mifare的構(gòu)造進行了深入的了解，并提出了 mifare卡安全應(yīng)用的新的方法，使其能夠安全的繼續(xù)應(yīng)用 在各種領(lǐng)域。關(guān)鍵詞：mifare卡

2、、算法破解、安全應(yīng)用、SM7國密算法一、AbstractMifarecardhasbee nu sedi nmanyfron tier.Withthedevelopme ntofthemifarecard,peop lehaveafurtherresearcho nittha nbefore.Themifarecardwasco nsideredsafei nsomeyears yet.Buti nno wadays,ithasbee ncracked.Aimi ngatthephe nomenon ,wehaveastudy on thec ons tructofthemifarecard.

3、A ndatthesametime,weputforwarda newmethodtoi nsureitssafety. In thisway,themifarecardca nstillbeusedi nmanyfron tieri nsafe.Keywords:Mifarecard 、Algorithmcrack 、Securityapplications、SM7algorithm、Mifare卡的簡單介紹1、Mifarel卡領(lǐng)導(dǎo)了非接觸式IC卡的革命Mifarel非接觸式IC卡是1994年由荷蘭NX半導(dǎo)體公司(簡稱NX公司)發(fā)明。它成功地將射頻 識別技術(shù)和IC卡技術(shù)相結(jié)合，解決了無源(卡

4、中無電源)和免接觸的技術(shù)難題，是電子科技 領(lǐng)域的技術(shù)創(chuàng)新的成果。Mifarel卡是目前世界上使用量最大、技術(shù)最成熟、性能最穩(wěn)定 的一種感應(yīng)式智能IC卡。其具有如下優(yōu)點：(1) 操作簡單、快捷：由于采用射頻無線通訊，使用時無須插拔卡且不受方向和正反面的限制，所以非常方便用戶使用。完成一次讀寫操作僅需0.1秒，大大提高了每次使用的速度。既適用于一般場合，又適用于快速、高流量的場所。(2) 抗干擾能力強：Mifare1卡中有快速防沖突機制。在多卡同時進入讀寫范圍內(nèi)時，能有效防止卡片之間出現(xiàn) 數(shù)據(jù)干擾。讀寫設(shè)備可一一對卡進行處理，提高了應(yīng)用的并行性及系統(tǒng)工作的速度?？煽啃愿撸篗ifare1卡與讀寫器之

5、間沒有機械接觸。避免了由于接觸讀寫而產(chǎn)生的各種故障；而且卡中的芯片和感應(yīng)天線完全密封在標(biāo)準(zhǔn)的PVC中,進一步提高了應(yīng)用的可靠性和卡的使用壽命。安全性好：Mifare1卡的序列號是全球唯一的，不可以更改；讀寫時卡與讀寫器之間采用三次雙向認證 機制.，互相驗證使用的合法性。而且在通訊過程中所有的數(shù)據(jù)都加密傳輸；此外.卡片各個 分區(qū)都有自己的讀寫密碼和訪問機制，卡內(nèi)數(shù)據(jù)的安全得到了有效的保證（5）適合于一卡多用：Mifarel卡的存貯結(jié)構(gòu)及特點使其能應(yīng)用于不同的場合或系統(tǒng)，尤其適用于政府機關(guān)、公用設(shè)施、學(xué)校、企事業(yè)單位、智能小區(qū)的身份識別、門禁控制、停車場管理、考勤簽到、食 堂就餐、娛樂消費、圖書管

6、理等多方面的綜合應(yīng)用。有很強的系統(tǒng)應(yīng)用擴展性.，可以真正 做到“一卡通”。成本低：隨著Mifarel卡的廣泛應(yīng)用，中國不但成為全球最大的卡片生產(chǎn)基地 .，而且芯片生產(chǎn)技術(shù) 也為多家國內(nèi)的廠家掌握，使得Mifarel及其兼容卡的出廠價格大幅下降，大大降低了用戶 的投資。2、Mifarel非接觸式IC卡的構(gòu)造簡介Mifarel非接觸式IC卡（又稱Mifarel射頻卡，以下簡稱M卡）采用先進的芯片制造工藝制 作，內(nèi)建有高速的CMOSEEPROIMIC等。它的核心是Philips公司的Mifare1ICS50（ 01， 一02, 一 03, 04）系列微模塊（微晶片），該模塊確定了卡片的特性以及卡片讀

7、寫器的諸 多性能?？ㄆ铣?IC微晶片及一副咼效率天線外，無任何其它兀件?？ㄆ蠠o源（無任何電池），工作時的電源能量由卡片讀寫器天線發(fā)送無線電載波信號耦合 到卡片上天線而產(chǎn)生電能，一般可達 2V以上，供卡片上IC工作。工作頻率13. 56MHz M1 卡所具有的獨特的MIFAREL接觸式接口標(biāo)準(zhǔn)已被制定為國際標(biāo)準(zhǔn)：IS0/IEC14443TYPEA 標(biāo)準(zhǔn)。M卡的標(biāo)準(zhǔn)操作距離與讀寫器的讀寫電路模塊有關(guān)，當(dāng)采用McM50作為讀寫器的讀寫模塊時，操作距離為100mm當(dāng)采用MCM20時，操作距離為25mmM卡具有先進的數(shù)據(jù)通信加密及雙向驗證系統(tǒng)，且具有防沖突機制，能在同一時間處理重疊在卡片讀寫器天線

8、的有效工作距離內(nèi)的多張重疊的卡片，支持多卡操作?？ㄆ圃?時具有惟一的卡片系列號（32位），沒有重復(fù)相同的兩張M卡。M卡與讀寫器通信使用握手式半雙工通信協(xié)議，卡片上有高速的CR協(xié)處理器，符合CCITT標(biāo)準(zhǔn)。射頻卡與讀寫器的通信速率高達106Kbit /s?？ㄆ蟽?nèi)建8K位EEPROM儲區(qū)，并劃分為16個扇區(qū)，每個扇區(qū)分為4個塊，并以塊為 存取單位。每個扇區(qū)可分別設(shè)置各自的密碼，并以多種方式進行管理，互不干涉。因此， 每個扇區(qū)可以獨立地應(yīng)用于一個應(yīng)用場合，整個卡片非常適合于各種“一卡通”應(yīng)用系 統(tǒng)?？ㄆ线€內(nèi)建有增值/減值的專項的數(shù)學(xué)運算電路，非常適合公交/地鐵等行業(yè)的檢 票/收費系統(tǒng)。典型的檢

9、票交易時間最長不超過100ms（0. 1秒）?？ㄆ系臄?shù)據(jù)可改寫10萬次以上，讀無限次；數(shù)據(jù)保存期可達10年以上，且卡片抗靜電保 護能力達2KV以上。ISO14443即是以Mifare卡的技術(shù)標(biāo)準(zhǔn)為草案形成的。根據(jù) NX公司提供的數(shù)據(jù),全球超 過50個國家、650個城市在使用Mifare方案,且?guī)缀醵际鞘褂肕ifarel卡。市場上已經(jīng)使用的 Mifare1卡的數(shù)量超過10億張。我國140多個城市的公共交通領(lǐng)域在使用 Mifare1卡，市場占 有率超過70%同時，眾多的Mifare1卡讀寫機具的生產(chǎn)廠商也為用戶提供了便利、廉價、 及時的服務(wù)。三、Mifare1的構(gòu)造及其功能模塊1、Mifare1

10、非接觸式IC卡的工作原理M1卡片的電氣部分只由一個天線和一個微模塊組成。天線是只有幾組繞線的線圈，很適于封裝到ISO卡片中，微模塊由一個高速的RF射頻接口電路和數(shù)字電路部分組成。其工作原 理是：讀寫器向卡片發(fā)一組固定頻率的電磁波，卡片內(nèi)有一個LC串聯(lián)諧振電路，其頻率與讀寫器發(fā)射的頻率相同，在電磁波的激勵下，LC諧振電路產(chǎn)生共振，從而使電容內(nèi)有了電荷，在這個電容的另一端，接有一個單向?qū)ǖ碾娮颖茫瑢㈦娙輧?nèi)的電荷送到另一個電容 內(nèi)儲存，當(dāng)所積累的電荷達到2V時，此電容可做為電源為其它電路提供工作電壓，將卡內(nèi) 數(shù)據(jù)發(fā)射出去或接取讀寫器的數(shù)據(jù)。2、Mifarel非接觸式IC卡功能組成M卡核心微模塊IC

11、S50的功能組成如圖1所示。整個模塊主要由兩個部分組成：RF射頻 接口電路和數(shù)字電路部分。(1) RF射頻接口電路在RF射頻接口電路中，主要包括有波形轉(zhuǎn)換模塊、調(diào)制/解調(diào)模塊、電壓調(diào)節(jié)模塊和POR模塊。波形轉(zhuǎn)換模塊可將卡片讀寫器上的13. 56MHZ勺無線電調(diào)制信號接收，一方面送調(diào)制/解調(diào)模塊進行解調(diào)，另一方面進行波形轉(zhuǎn)換，將正弦波轉(zhuǎn)換為方波，然后對其整流濾 波，并由電壓調(diào)節(jié)模塊對電壓進行穩(wěn)壓等進一步的處理，最終輸出的電壓供給卡片上的各個電路。P0模塊主要是對卡片上的各個電路進行 POwE一 ON- RESE上電復(fù)位，使各電路 同步啟動工作。(2) 數(shù)字電路部分ATR模塊(AnswertoRe

12、quest):請求應(yīng)答模塊當(dāng)一張M1卡片處在卡片讀寫器天線的工作范圍之內(nèi)時，讀寫器內(nèi)的讀卡程序會向卡片發(fā)出REQUESTal或REQUESTstd請求命令，于是卡片的ATF將啟動，將卡片的類型號（TagType）共2個字節(jié)傳送給讀寫器，建立卡片與讀寫器的第一步通信聯(lián)絡(luò)。如果不進行第一步的ATR工作，讀寫器對卡片的其他操作將不會進行。AntiCollision 模塊：防止（卡片）重疊功能模塊如果有多張M卡片處在卡片讀寫器天線的工作范圍之內(nèi)時，AntiCo11ision模塊的防重疊功能將被啟動工作。卡片讀寫器在程序控制下將會首先與每一張卡片進行通信，取得每一 張卡片的序列號（共5個字節(jié)，其中4個字

13、節(jié)為序列號，另一個字節(jié)為校驗字節(jié)），由于M卡 片每一張都具有其惟一的序列號，因此根據(jù)卡片的序列號可以識別每一張卡片?？ㄆx寫 器中的讀寫電路MCI的防重疊功能，配合卡片上的防重疊功能模塊一起工作，在程序控制 下根據(jù)卡片的序列號選定其中一張卡片。最后被選中的卡片將直接與讀寫器進行數(shù)據(jù)交 換，未被選中的卡片處于等待狀態(tài)，隨時準(zhǔn)備與卡片讀寫器進行通信。SelectApplicati on 模塊：卡片選擇模塊當(dāng)卡片與讀寫器完成了上述兩步操作之后，接下來讀寫器還必須對卡片進行選擇操作，即 與被選中的卡片進行一次數(shù)據(jù)交換。當(dāng)某卡片被選中后，被選中的卡片便將其容量傳送給 讀寫器，當(dāng)讀寫器收到卡片的容量信息后

14、，便可以對卡片進行下一步的操作了。Authentication & AccessControl模塊：認證及存取控制模塊在成功完成上述三步操作之后，接下來讀寫器要對卡片上某個扇區(qū)已經(jīng)設(shè)置的密碼進行認證。如果認證通過，則允許讀寫器對卡片上該扇區(qū)進行讀寫操作。否則要重新認證。M1卡片的認證過程包含三次相互驗證，圖 2所示為三次驗證的令牌原理框圖。認證過程是這樣進行的:(A) 環(huán)：由M卡向讀寫器發(fā)送一個隨機數(shù)據(jù)RB(B) 環(huán)：讀寫器收到RB后，向M卡片發(fā)送一個令牌數(shù)據(jù)TOKENAB其中包含了讀寫器發(fā)出的 一個隨機數(shù)據(jù)RA(C) 環(huán)：M卡收至0TOKENA后，對TOKENAB加密部分進行解密，并

15、校驗第一次由(A)環(huán)中M1卡發(fā)出去的隨機數(shù)RB是否與(B)環(huán)中接收到的TOKENA中的RA相一致；(D) 環(huán)：如果(c)環(huán)校驗是正確的，則M1卡向讀寫器發(fā)送令牌TOKENBA(E) 環(huán)：讀寫器收到令牌TOKENB后，將對令牌TOKENB中的RB(隨機數(shù))進行解密；并校驗 第一次由(B)環(huán)中讀寫器發(fā)出的隨機數(shù)RA是否與(D)環(huán)中接收到的TOKENB中的RAf致。如果上述每一個環(huán)都能正確通過驗證，則整個的認證過程成功。讀寫器將可以對剛剛認證 通過的卡片上的這個扇區(qū)進行讀寫操作。在對卡片上其它扇區(qū)的讀寫操作之前，都必須完 成上述的認證過程。認證過程中任何一環(huán)出現(xiàn)差錯，整個認證將告失敗。如果事先不知卡

16、片上的密碼，則由于 密碼的變化可以極其復(fù)雜，因此靠猜測密碼而想打開卡片上的一個扇區(qū)的可能性幾乎為 零。這里提醒一下程序員和卡片的使用者，必須牢記卡片中16個扇區(qū)的每一個密碼，否則，遺忘某一扇區(qū)的密碼，將使該扇區(qū)中的數(shù)據(jù)不能讀寫，沒有任何辦法可以挽救這種低級錯 誤。但是，卡片上的其他扇區(qū)可以照樣使用。綜上所述，可以充分地說明M卡片的高度安全性、保密性，卡片的應(yīng)用場合多樣性和一卡 多用的特點這一單元是整個卡片的控制中心，是卡片的“頭腦”。它主要對整個卡片的各個單元進行微操作控制，協(xié)調(diào)卡片的各個操作；同時它還對各種收/發(fā)的數(shù)據(jù)進行算術(shù)運算處理、遞增/遞減處理、CR運算處理等等。可以說是卡片中內(nèi)建的中

17、央微處理機 （MCU單元。RAIMA ROM RAM口 R0單元RA主要配合控制及算術(shù)運算單元，將運算的結(jié)果進行暫時存儲，如果某些數(shù)據(jù)需要存儲到EEPROM®由控制及算術(shù)運算單元取出送到 EEPRO存儲區(qū)中；如果某些數(shù)據(jù)需要傳送給讀寫器，則由控制及算術(shù)運算單元取出，經(jīng)過 RF射頻接口電路的處 理，通過卡片上的天線傳送給卡片讀寫器。 RA悴的數(shù)據(jù)在卡片失掉電源后（即卡片離開讀 寫器天線的有效工作范圍內(nèi)）將被清除。R0中固化了卡片運行所需要的程序指令，由控制及算術(shù)運算單元取出對每個單元進行微指令控制。從而使卡片能有條不紊地與卡片讀寫器進行數(shù)據(jù)通信。Cryptounit :數(shù)據(jù)加密單元該單

18、元完成對數(shù)據(jù)的加密處理及密碼保護，加密的算法通常為DES5準(zhǔn)算法或其他。EEPROMMEM/EYPROMINTERFACEEPRO存儲器及其接口電路該單元主要用于存儲密碼和數(shù)據(jù)。EEPRO中的數(shù)據(jù)在卡片失掉電源后（即卡片離開讀寫器 天線的有效工作范圍內(nèi)）仍將被保持，因此，用戶所要存儲的數(shù)據(jù)都被存放在該單元中。（3）EEPROM儲器的存儲結(jié)構(gòu)M1卡中EEPRO存儲器容量為8K位（即1K字節(jié)），共分為16個扇區(qū)，每個扇區(qū)由4塊組成，每 塊16個字節(jié)。我們將16個扇區(qū)的64個塊按絕對地址編號為063,存儲結(jié)構(gòu)如圖3所示：其中，第0扇區(qū)的塊0用于存放廠商代碼，已經(jīng)固化，不可更改。每個扇區(qū)的塊0、塊1、

19、塊2為數(shù)據(jù)塊，用于存貯數(shù)據(jù)。存貯在數(shù)據(jù)塊中的數(shù)據(jù)可以有兩種應(yīng)用：一是用作一般的數(shù)據(jù)保存，可以對其進行讀、寫操作。二是用作貯值，可以對其進 行初始化值、加值、減值、讀值操作。每個扇區(qū)的塊3為控制塊，用于存貯該扇區(qū)密碼A（6個字節(jié)）、存取控制字節(jié)（4個字節(jié)）、扇 區(qū)密碼B（6個字節(jié)）。每個扇區(qū)的密碼和存取控制都是獨立的，可以根據(jù)實際需要設(shè)定各自的密碼及存取控制位。扇區(qū)中的每個塊（包括數(shù)據(jù)塊和控制塊）的存取條件由本扇區(qū)密碼和相應(yīng)的存取控制位共同決定。限于篇幅，有關(guān)控制位對扇區(qū)中每個塊的控制情況略。1、Mifarel非接觸式IC卡與卡片讀寫器的通訊M1卡與卡片讀寫器之間的數(shù)據(jù)通訊過程如圖 4所示。復(fù)位

20、應(yīng)答（Answertorequest）M1卡的通訊協(xié)議和通訊波特率是定義好的，當(dāng)有卡片進入讀寫器的操作范圍時，讀寫器以 特定的協(xié)議與它通訊，此時讀寫器會接收到由射頻卡發(fā)出的卡片的類型號，從而確定該卡 是否為Ml卡，即驗證卡片的卡型。防沖突機制(Antico11isionLoop)當(dāng)有多張卡進入讀寫器操作范圍時，防沖突機制會從其中選擇一張進行操作，未選中的則 處于空閑模式等待下一次選卡，該過程操作成功會返回被選卡片的序列號。選擇卡片(SelectTag)選擇被選中的卡片的序列號，此時讀寫器會接收到卡片的容量信息。三次互相驗證(3PassAuthentication)選定好要處理的卡片之后，讀寫器

21、接下來需要確定所訪問的扇區(qū)號，并對該扇區(qū)密碼進行密碼校驗，在三次相互驗證之后就可以通過加密流進行數(shù)據(jù)通訊。(注意：在選擇另一扇區(qū)時，則必須進行另一扇區(qū)密碼校驗。)以上操作成功之后，便可以對相應(yīng)的扇區(qū)進行操作，其操作方式可有以下幾種類型：讀操作(Read):讀一個塊；寫操作(write):寫一個塊；加值操作(In creme nt):對數(shù)值塊進行加值；減值操作(Decrement):對數(shù)值塊進行減值；存儲操作(Restore):將塊中的內(nèi)容存到數(shù)據(jù)寄存器中；傳輸操作(Transfer):將數(shù)據(jù)寄存器中的內(nèi)容寫入塊中；中止操作(Halt):將卡置于暫停工作狀態(tài)。四、Mifare卡的破解1、mifa

22、re卡的基本認證協(xié)議當(dāng)MIFARECIassic卡接近讀卡器的磁場區(qū)域時，卡片會接收到讀卡器發(fā)來的尋卡指令，然 后按照防沖突協(xié)議發(fā)出自己的卡號 UID（尋卡過程）。收到UID后，讀卡器會選擇這張卡（選 卡過程）。接著讀卡器發(fā)出對某一塊的認證請求，然后就開始了一個標(biāo)準(zhǔn)的三步認證協(xié) 議?？ㄆa(chǎn)生一個隨機數(shù) 山并以明文方式發(fā)送給讀卡器。緊接著讀卡器發(fā)出它的隨機數(shù)nR和對卡片的應(yīng)答aR0最后卡片返回一個對讀卡器的應(yīng)答 aT0如果讀卡器的應(yīng)答不正確，卡 將不會發(fā)送a.從nR開始，所有的數(shù)據(jù)都會被加密，也就是說 nR, aR, aT會與密鑰流 ksi, ks2, ks3異或以后再發(fā)送出去。整個過程如圖1所

23、示。2、Cryptol 算法MIFARE的安全性，主要依賴于基本認證協(xié)議和流加密算法Crypto1。無論是認證還是加密，都需要卡中密鑰的參與，密鑰流由 Crypto1算法生成。Crypto1算法由1個48bit的線性 反饋移位寄存器（LFSR和1個兩層的20bit輸入1比特輸出的非線性函數(shù)組成。48bitLFSR 由密鑰初始化以一定的方式產(chǎn)生密鑰流。國外研究者提出了一些不同的攻擊方法，荷蘭奈梅亨Rabou（大學(xué)教授等人提出的攻擊方案是其中效率較高的。這種攻擊方法主要是利用了密碼結(jié)構(gòu)本身的弱點：非線性 函數(shù)的抽頭只取奇數(shù)位，從而把密鑰搜索空間從 48位降低到20位。文獻的研究結(jié)果表明， 在獲得一

24、組完整的基本認證數(shù)據(jù)的條件下，攻擊者就可以恢復(fù)出原始密鑰。3、MIFAR®統(tǒng)的攻擊過程在現(xiàn)實環(huán)境中，MIFAR應(yīng)用系統(tǒng)開發(fā)商根據(jù)實際需要，往往以三種不同的方式來實現(xiàn)上述 基本認證協(xié)議。我們對于MIFARECIassic卡的攻擊直接建立在對這三種認證方式的攻擊之 上。為此，我們首先需要偵聽MIFARECIassic卡與讀卡器之間的交互數(shù)據(jù)。利用這些數(shù)據(jù) 和給出的Cryptol攻擊方法，即可破譯卡中的相應(yīng)扇區(qū)密鑰，并利用扇區(qū)的訪 問控制策略實現(xiàn)卡內(nèi)數(shù)據(jù)的復(fù)制和篡改。（1）偵聽交互數(shù)據(jù)我們使用偵聽工具來截獲卡與讀卡器之間的通信數(shù)據(jù)。為了恢復(fù)出密鑰，我們需要截取一 次合法卡與讀卡器之間的完整

25、的基本認證數(shù)據(jù)。（2）攻擊基于基本認證協(xié)議的三種認證方式實際中，不同的應(yīng)用系統(tǒng)所使用的認證方式是不同的，大致上可以分為三類：第一類，無 密碼認證；第二類，單扇區(qū)認證；第三類，多扇區(qū)認證。 無密碼認證對于一些簡單的系統(tǒng)或者一個系統(tǒng)中的某些簡單的應(yīng)用（如某些門禁），只驗證明文卡號 的合法性，不使用任何密碼保護，所需的其他數(shù)據(jù)均從后臺數(shù)據(jù)庫中取出，而非從卡中讀 出。因此，它沒有認證部分的流程，而只有尋卡和選卡部分的流程。這種認證過程可用如 圖2（ a）所示的流程來表示。其中，af為一次完整的尋卡選卡流程，但f之后并沒有認證過程，而是又重新進行尋卡選 卡（gh）,此后也一直進行此過程。也就是說，這些系

26、統(tǒng)沒有使用MIFAR卡的安全特征,而是單純的讀取卡號。如果卡號不在應(yīng)用系統(tǒng)定義的黑名單中，則以此卡號在白名單中查 找，找到則返回所需信息，找不到則認為認證失敗。顯見，攻擊者只要能制作或找到一張 卡號相同的卡，則該卡就會被系統(tǒng)誤認為是合法的。我們對此類認證方式下的交互過程進行了仿真實驗，所偵聽到的通信過程及數(shù)據(jù)如表1所示。 單扇區(qū)認證有些系統(tǒng)的交互流程是每次尋卡選卡后都只與一個特定扇區(qū)進行認證。這類系統(tǒng)或者只使用了一個扇區(qū)，或者認證新的扇區(qū)時都會重新進行尋卡選卡。這類認證協(xié)議如圖2 （b）所示，其中af與圖2 （a）中一致。注意到從g開始讀卡器發(fā)送認證指令，hj是一個完整的 基本認證過程，此后開

27、始傳輸加密的指令以及數(shù)據(jù)（即第k步）；與一個扇區(qū)的交互完成后，讀卡器根據(jù)應(yīng)用系統(tǒng)的設(shè)計要求，可以重新開始尋卡過程。如此反復(fù)進行，直到交互 結(jié)束。我們通過仿真實驗給出了單扇區(qū)認證方式下的通信過程及數(shù)據(jù) （如表2所示）。可以看出， 讀卡器在與卡進行成功認證（第10步）后發(fā)送了經(jīng)過加密的指令（即第11步），然后卡返 回了一個18字節(jié)長的加密數(shù)據(jù)（第12步）。這里，可以通過表中第0810步的數(shù)據(jù)算出一個密鑰0X4C4D0A2C0CF3這個過程在一臺普 通的計算機上大概需要8M內(nèi)存并在幾秒內(nèi)可以完成。接著我們就可以解密出：第 11步的明 文為300426EE表示讀04塊。接下來第12步為04塊中的16字

28、節(jié)數(shù)據(jù)和兩字節(jié)的校驗。 多扇區(qū)認證相比前兩種認證方式，多扇區(qū)認證具有更好的安全性，因此往往被一些安全要求較高的應(yīng) 用系統(tǒng)所采用。該認證方式的特點是：第一次扇區(qū)的認證采用基本認證協(xié)議方式，從第二 次扇區(qū)認證開始，所有的交互過程都是加密的，直到一次完整的交互結(jié)束。這個過程如圖2 （c）所示，其中ak與圖2 （b）中一致。注意到，第k步完成后讀卡器并沒有發(fā)送新的尋 卡指令，而是直接發(fā)送加密的認證請求，讀卡器接著發(fā)送的隨機數(shù)也是加密的（第m步），這與前面的認證過程不同，之后都與前面的認證過程相同。這時，由于第二次認證請求卡 片再發(fā)送隨機數(shù)都是密文的，使得我們無法獲得隨機數(shù)明文數(shù)據(jù)。因此，我們通過窮舉所

29、 有可能的隨機數(shù)（216個）來計算密鑰，這時我們大約需要做216次單扇區(qū)認證解密的離線計 算時間。通過一些如校驗位等的漏洞可以減少嘗試的隨機數(shù)，以提高破譯密鑰的速度。表3給出了我們實驗仿真的多扇區(qū)認證的過程。第13步讀卡器直接發(fā)送了加密的認證指令，而第 14步是一個加密的隨機數(shù)。根據(jù)第0810 步的數(shù)據(jù)，我們花費了幾秒的時間就計算出第一步認證的密鑰是0X307E00DFD5D6再根據(jù)第1416步的數(shù)據(jù)窮舉卡發(fā)送的隨機數(shù)，計算出第二步認證的密鑰為0X2A9E0E770EFF這次我們大概花費幾個小時的離線計算時間。接著我們依次解密出：第17步的明文為30084A20,表示讀08塊；第18步為08塊

30、中的16字節(jié)數(shù)據(jù)和兩字節(jié)的校驗。（3）復(fù)制、篡改卡片從理論上講，獲得了 MIFARECIassic的密鑰，卡片的安全性就已經(jīng)喪失。對于攻擊者來 說，他們會利用密鑰來復(fù)制一張相同的卡或者將此卡片按照自己的目的進行修改，給實際 應(yīng)用帶來危害。對于攻擊者來說，獲得密鑰之后只需一臺支持 MIFAREClassic卡的讀卡器就可以將一張合 法卡的內(nèi)容全部復(fù)制出來，寫入另外一張空白卡片中，而系統(tǒng)并沒有辦法區(qū)分這兩張卡片 是不同的。實際中，盡管MIFAREClassic空白卡片的UID是預(yù)先固定的，但攻擊者可以使用 其他類型的支持MIFAREClassic標(biāo)準(zhǔn)的卡片或者一些硬件設(shè)備來模擬 MIFARECla

31、ssic卡。因 此，從根本上說，UID也是可以修改的。攻擊者還可能篡改卡的內(nèi)容，就是直接改寫卡內(nèi)的數(shù)據(jù)。通過對卡內(nèi)數(shù)據(jù)（如金額）的存 儲格式以及是否有完整性保護或者備份進行分析，攻擊者就可以對卡片中的內(nèi)容進行有目 的的篡改。對于存在完整性保護的卡片（即有數(shù)據(jù)的校驗等機制），復(fù)制仍然是無法抵御 的，因為復(fù)制同樣也把正確的校驗位復(fù)制到新的卡中。對于篡改，攻擊者可以重放歷史數(shù)據(jù)，以達到修改數(shù)據(jù)的目的（4）其他攻擊方法前面所提到的攻擊都是基于可以同時與合法的卡或讀卡器接觸，但是攻擊者仍可以使用其 他攻擊方法，不同時與卡或者讀卡器接觸。如攻擊者可以分別與卡和讀卡器交互，先與卡 通信獲得UID,再與讀卡器

32、交互，破譯密鑰；在讀卡器不檢測 UID合法性的系統(tǒng)中，攻擊者 可以直接用非法UID與讀卡器交互也能破譯所需密鑰；攻擊者還可以在只獲得合法的卡 片，在不需要合法讀卡器的情況下，破解出卡中的密鑰。五、確保Mifare卡安全應(yīng)用的新方案1、國家出臺相關(guān)的技術(shù)標(biāo)準(zhǔn)我國智能卡應(yīng)用技術(shù)作為國家信息化發(fā)展戰(zhàn)略的一部分，已經(jīng)有了10余年的發(fā)展歷史。智能卡應(yīng)用的行業(yè)和地方標(biāo)準(zhǔn)已經(jīng)初步建立，如中國人民銀行早在1998年就頒布了中國人民銀行金融集成電路（IC）卡規(guī)范（版本1.0 ），2005年又修訂后發(fā)布中國金融集成電 路（IC）卡規(guī)范（2.0版），即通常簡稱的PBOC2.0建設(shè)部在2002年頒布實施建設(shè)事 業(yè)IC

33、卡應(yīng)用技術(shù)（CJ/T166-2002），2006年修訂為建設(shè)事業(yè)集成電路（IC）卡應(yīng)用技 術(shù)規(guī)范（CJ/T166-2006）。2000年國家勞動和社會保障部也頒布了社會保障（個人） 卡規(guī)范等。但是，這些標(biāo)準(zhǔn)中 CP卡部分基本上是以ISO/IEC7816（ GB/T16649識別卡 帶觸點的集成電路（IC）卡為基礎(chǔ)。同時，從國際標(biāo)準(zhǔn)的角度看，接觸式IC的標(biāo)準(zhǔn)統(tǒng)一在ISO/IEC7816，但是關(guān)于非接觸式IC 卡的標(biāo)準(zhǔn)繁多，如：ISO14443識別卡-非接觸集成電路卡-接近卡、ISO18000言息技 術(shù)-射頻識別的管理、ISO18092信息技術(shù)-系統(tǒng)間的通訊與信息交換-NFC-接口與協(xié)議、ISO1

34、0536識別卡-非接觸集成電路卡-緊耦合卡、ISO15693識別卡-非接觸集成電路卡-鄰近卡，等等。隨著非接觸式CP卡產(chǎn)品技術(shù)(包括雙界面卡技術(shù))的成熟和 MIFARE卡的安全性問題事件 的促進，國家有關(guān)部門有必要加快非接觸式 CP卡產(chǎn)品技術(shù)應(yīng)用體系標(biāo)準(zhǔn)制定的步伐，指 導(dǎo)IC卡用戶的使用和IC卡產(chǎn)業(yè)的發(fā)展，避免在無標(biāo)準(zhǔn)或多標(biāo)準(zhǔn)的狀態(tài)下，政府和企業(yè)盲目 地投入在項目或研發(fā)而造成不必要的損失?？傊?，我們要正確地看待MIFARE卡的安全性問題，處理好由此而帶來的安全隱患，避免給社會帶來巨大的損失，同時，做好向非接觸式 CPI卡發(fā)展的準(zhǔn)備工作，以保證IC卡產(chǎn)業(yè) 沿著正確的軌道發(fā)展。2、基于SM國密算法

35、對Mifarel門禁系統(tǒng)的升級方案(1) 上海華虹SM國密算法RFID安全芯片2009年，上海華虹集成電路有限責(zé)任公司研發(fā)出中國第一枚國家自主安全算法RFID芯片SHC1112(SSX0904，并已通過國家密碼管理局組織的型號評審，獲準(zhǔn)進行生產(chǎn)銷售。SHC111主要技術(shù)指標(biāo)：采用ISO/IEC14443TypeA非接觸通訊方式，支持抗沖突協(xié)議；支持ISO/IECDIS9798-2三次傳送鑒別相互認證體制；采用 SM國密算法加密保護數(shù)據(jù)交互的安 全，通訊過程所有數(shù)據(jù)加密以防信號截取；具有 8個相互獨立的密鑰，支持一卡多用；數(shù) 據(jù)通訊速率106kbps； 4字節(jié)唯一序列號UID； EEPRC存貯容

36、量1k字節(jié)，劃分為64塊，每個數(shù)據(jù)塊可由用戶定義單獨的訪問權(quán)限；EEPRO數(shù)據(jù)保存時間大于10年; EEPRO數(shù)據(jù)擦寫次數(shù)大于10萬次；天線輸 入引腳 ESDT達4000V( HBM。(2) 門禁系統(tǒng)原理及升級方案對比分析發(fā)現(xiàn)，現(xiàn)有Mifarel門禁系統(tǒng)隱患存在于系統(tǒng)前端，包括門禁讀卡器和用戶IC卡，理想的升級方法是門禁系統(tǒng)前端更換為具有密碼認證功能的門禁讀卡器和用戶IC卡，與此同時原門禁系統(tǒng)的后臺管理和權(quán)限管理功能無需改動，可以繼續(xù)按照原有方式運行。針對目前Mifarel門禁系統(tǒng)，可采用上海華虹SM國密算法安全芯片SHC111來實現(xiàn)系統(tǒng)升 級。SHC111集成了國家密碼管理局提供的128位密

37、鑰SM密碼算法，達到了防止對IC卡的 非法復(fù)制、偽造和變造的目的。SM算法是由國內(nèi)密碼領(lǐng)域有關(guān)專家組成的專項工作組在 國密局指導(dǎo)下成功研制的，相對于 CPI卡，SM算法是一種低成本、高速度的輕量級密碼算 法。由于使用了密碼算法對用戶信息進行加解密保護，所以在門禁讀卡器和用戶IC卡上都分別存放了對應(yīng)的密鑰，在門禁讀卡器上具體表現(xiàn)為安全模塊（PSA卡）的形式，因此我們引入了密鑰管理系統(tǒng)的概念。通過密鑰管理系統(tǒng)，我們可以根據(jù)實際需要對各種業(yè)務(wù)， 如門禁、考勤、小額消費等各自生成不同的密鑰，在密鑰管理系統(tǒng)的多種安全措施保護 下，可以實現(xiàn)密鑰的生成、注入、備份、恢復(fù)、更新、導(dǎo)出和銷毀等功能。這種密碼方案

38、 采用國密局指定的SM分組加密算法，采用SM分組加密算法進行門禁卡與門禁讀卡器之間 的身份鑒別與通信數(shù)據(jù)加密。方案原理框圖如圖 2所示。用戶門禁卡采用128位密鑰SM分組密碼算法，卡內(nèi)存放發(fā)行信息及卡片密鑰。在門禁讀卡 器中特別加進了帶SM7/SM算法的安全模塊（PSAI卡），圖中門禁讀卡器射頻接口模塊負責(zé) 讀卡器與門禁卡間的射頻通信，MC負責(zé)讀卡器內(nèi)部的數(shù)據(jù)交換，與后臺管理系統(tǒng)及門禁 執(zhí)行機構(gòu)的數(shù)據(jù)通信。SM7/SM安全模塊負責(zé)讀卡器中的安全密碼運算以及數(shù)據(jù)通訊所需 要的密鑰流，同時鑒別門禁卡的合法性，存放系統(tǒng)密鑰。方案中，用戶門禁卡的認證由讀卡器 +PSA卡內(nèi)部完成，認證完成后門禁讀卡器上

39、傳鑒別 結(jié)果給后臺管理系統(tǒng)，傳輸協(xié)議可以根據(jù)客戶原系統(tǒng)的標(biāo)準(zhǔn)分別采用維根和RS232后臺管理系統(tǒng)進行實時或非實時門禁權(quán)限及審計管理，門禁執(zhí)行機構(gòu)具體執(zhí)行完成門禁操作?；赟M國密算法IC卡作為門禁卡的系統(tǒng)示意圖如圖3所示 門禁系統(tǒng)包括如下：SM國密算法用戶IC卡、門禁讀卡機+PSA卡、門禁執(zhí)行機構(gòu)、通訊總 線、后臺服務(wù)器，以及SM用戶卡發(fā)卡器。當(dāng)持卡人手持SM門禁卡靠近門禁讀卡機時，讀卡機獲取門禁卡的用戶信息，讀卡機與門 禁卡通訊時數(shù)據(jù)用SM國密算法加密保護。讀卡機將得到的用戶信息通過安全模塊的認證 后，把相應(yīng)的結(jié)果通過通信總線發(fā)給后臺管理系統(tǒng)，后臺管理系統(tǒng)比對門禁信息的真?zhèn)蝸?決定是否執(zhí)行開

40、門動作。SM用戶卡通過發(fā)卡器配合后臺管理系統(tǒng)，使用 SM算法對系統(tǒng)根 密鑰進行密鑰分散，將得到的密鑰寫入 SM用戶卡里。SM用戶卡發(fā)卡示意圖如圖4所示。 采用SM國密算法對SM用戶卡唯一序列號分散。六、Mifare的應(yīng)用1、在公共交通領(lǐng)域的應(yīng)用非接觸式IC卡應(yīng)用潛力最大的領(lǐng)域之一就是公共交通領(lǐng)域。在歐洲和美國，各交通部門以 往的運營情況是連年赤字，有些部門甚至達到營業(yè)額的40%，因此，尋找一種增收節(jié)支的扭虧方案勢在必行。自90年代前期使用非接觸式IC卡作為電子車票以來，歐美各國的公交 企業(yè)便逐步改善了虧損局面。我國一些城市自 2003年開始也采用非接觸式IC卡電子車票管 理系統(tǒng)。根據(jù)估測，近年

41、來所售出的非接觸式IC卡的50%是使用在公共交通領(lǐng)域，而且， 應(yīng)用最廣的就是Mifare系列非接觸式IC卡。典型的非接觸式電子車票系統(tǒng)通常由車內(nèi)卡片讀寫器、運營部服務(wù)器、中央服務(wù)器、客戶 服務(wù)閱讀器和系統(tǒng)管理軟件組成。車內(nèi)卡片讀寫器用于對乘客卡片的讀寫操作，每天當(dāng)公 交車返回到車站時，當(dāng)天的數(shù)據(jù)可以通過有線或紅外線接口傳送到運營部服務(wù)器內(nèi)，然后 通過企業(yè)內(nèi)部網(wǎng)絡(luò)將經(jīng)過預(yù)處理的數(shù)據(jù)傳送到中央服務(wù)器進行分析統(tǒng)計?？蛻舴?wù)閱讀器 用于接待客戶購卡、預(yù)購車費、查詢余額等服務(wù)。采用基于非接觸式IC卡技術(shù)的電子車票管理方式所顯示的優(yōu)勢: 首先，給乘客帶來的好處是：不需要攜帶零錢出門，方便乘車；即使價目有變更，己預(yù)先支付的非接觸式IC卡仍有效；月票卡可以在每月的任意一天開始，從非接觸 IC卡第一次使 用時間起算，有效時間截止到下個月的同一天。其次，給司機帶來的好處是：不必兼任售票或檢查投幣工作；不必準(zhǔn)備零錢找零；不必進 行每日的收入結(jié)