DES算法在RFID安全中的應用

李洪旭， 劉宇紅

(貴州大學 計算機科學與信息學院，貴州 貴陽 550025）

0 引言

RFID系統由標簽(Tag)，讀寫器(Reader)和數據管理系統(DBOS)這3部分組成[1]。標簽配備是有天線的微型電路，但通常沒有處理器，僅由數千個邏輯門組成；讀寫器是一個有天線的無線發射與接收設備，它的處理能力、存儲空間都比較大； 后臺數據庫是用戶根據系統需求進行選擇的數據庫系統，存儲所有標簽的信息， 它通過可信的讀寫器獲得標簽發送的信息，具有很強的處理能力和存儲空間。一般認為讀寫器到后臺數據庫的通信信道為安全信道，標簽到讀寫器之間的信道為不安全信道。因為RFID標簽本身具許多特點，如：容量大、體積小、壽命長、標簽可重復使用等，并且還支持非可視識別、移動識別系統、快速讀寫、定位等功能。目前RFID射頻識別技術已經廣泛應用在商業自動化、辦公自動化和大型交通運輸設備管理等諸多與生活貼切的領域[2]。

1 RFID目前存在的安全問題

隨著射頻識別系統應用的不斷擴大，RFID的安全問題也逐漸成為人們關注的焦點。在研究RFID射頻識別技術的過程中，相信已經有許多研發者已經發現了它所存在的安全隱患。據美國系統網絡安全協會(SANS Institute)稱一所荷蘭大學的研究人員破解了Mifare RFID芯片的安全代碼。這款芯片被用于Oyster卡，即英國的公共交通預付費智能卡。據2008年6月24日出版的SANS NewsBites通訊稱。Mifare RFID技術也被用在英國政府部門，醫院和學校的門禁系統中。據報道，這項研究已被提交給荷蘭議會。議會已于今年早些時候推遲了基于同樣技術的預付費智能交通卡的實施。據SANS Institute的報告稱，荷蘭政府也更換了用于政府大樓門禁系統的Mifare卡。所以，加強射頻識別系統的安全是不容忽視的問題。目前存在的主要安全問題有，重放、假冒、惡意阻塞、跟蹤、竊聽、隱私[3]泄露等[4]。

2 解決RFID安全問題的整體設計方案

以S50卡為例介紹本方案的設計思路和流程。S50卡是容量為8K位EEPROM，分為16個扇區，每個扇區為4塊，每塊16個字節，以塊為存取單位，每個扇區有獨立的一組密碼及訪問控制[5]。

2.1 標簽和讀卡器通信設計

讀卡器對寫入S50卡中的數據進行加密，加密算法采用現在金融行業廣泛應用的DES加密算法[6]。讀卡器校驗從S50卡中的數據，主要是隨機數校驗、卡的有效性校驗、金額的有效性校驗、LRC校驗等[7]。

圖1為標簽驗證和讀卡器加密處理過程，首先標簽要驗證一下密碼是否正確，密碼正確以后才能對標簽里的數據進行讀取和寫入，讀卡器讀取到數據以后，先解密得到真實數據，再對真實數據做校驗，校驗通過以后就可以使用和修改數據了，最后讀卡器產生一個四個字節的隨機數加入到標簽數據里，進行加密并將加密好的密文寫入到標簽中[8]。

圖1 標簽與讀卡器通信

2.1.1 DES加密原理

采用基于DES的CBC模式進行加密，攻擊者很難從傳輸的密文數據中分析出有用信息。該算法的不足是密鑰長度過短，但是算法本身的結構是沒有任何缺陷，破譯該算法需要付出一定代價，花費較長時間， 所以至今仍然有著廣泛 的應用。對于安全性要求很高的系統可以考慮采用更長的密鑰[9]，或者DES算法的變種（三重DES算法）

圖2 DES基本構架

DES算法原理如圖2所示，算法的輸入有64位的明文，使用56位的密鑰，輸出是64位的密文，它使用16輪的混合操作，DES使用相同的算法來對數據進行加密和解密，所使用的加密密鑰和解密密鑰是相同的，目標是徹底地打亂明文的信息，使得密文的每一位都依賴于明文的每一位和密鑰的每一位。

圖3 密碼分組鏈接CBC

CBC模式的DES算法特點如圖3所示，每次加密的密文長度為64位(8個字節)； 當相同的明文使用相同的密鑰和初始向量的時候 CBC模式總是產生相同的密文； 密文塊要依賴以前的操作結果，所以，密文塊不能進行重新排列； 可以使用不同的初始化向量來避免相同的明文產生相同的密文，一定程度上抵抗字典攻擊；一個錯誤發生以后，當前和以后的密文都會被影響。

2.1.2 密文中加入隨機數

密文中加入隨機數的目的有二，一是加入隨機數加密使每次加密后的數據都不一樣，這樣使得破解起來有很大的難度；二是為了校驗卡的有效性，如果用戶的卡被非法復制以后，兩張卡的隨機數不會同步，所以只要同時使用兩張卡的話，就會被發現。

2.1.3 標簽和讀卡器通信流程

標簽和讀卡器通信流程如圖4所示，流程描述如下：

1）當S50卡移動到讀卡器上時，讀卡器首先進行KEY驗證。

2）如果KEY驗證成功以后，才可以讀取相應扇區的內容，如果KEY驗證失敗，就不能訪問所在扇區的數據。

3）讀取到數據以后，首先需要對數據進行解碼，解碼得到真實的數據。

4）得到真實數據以后，在使用之前需要先對數據進行合法性驗證和校驗，比如隨機數是否和后臺一直，是否是黑卡，是否金額被改動過，是否LRC校驗通過等。

5）所有校驗都通過以后，就可以進行消費或其他交易。

6）做完交易以后，讀卡器再重新產生一個隨機數，重新對要寫入S50卡上的數據進行加密。

7）最后將加密好的數據，再次寫入到S50卡中。

圖4 標簽和讀卡器通信流程

2.2 S50卡區域的數據存儲結構設計

下面只羅列了錢包區、公共信息區和個人信息區這3個比較重要區域的設計，具體設計如表1、表2和表3所示。

表1 錢包區各個塊數據存儲結構設計

錢包區主要包含錢包、錢包備份和信息校驗數據，錢包區的0塊主要用來保存數據有效性的校驗數據，保存在卡里的數據是被加密以后的數據，解密之后數據的保存結構和表格中的一致，透資額度不能超過規定值，現有金額備份必須和錢包的金額一致，允許最大值不能超過規定值，隨機數必須和系統中的一致，LRC校驗必須能吻合才能校驗通過。錢包區的1、2塊主要是用來保存錢包數據，錢包數據需要符合錢包數據格式存儲，所以這兩個塊的數據不加密保存，但是金額會和加密數據進行校驗。不影響數據的保密性。如果破解者改動了1、2塊的數據，校驗數據的時候就會和0塊加密數據中的現有金額備份不符合從而造成校驗不通過。

表2 公共信息區各個塊數據存儲結構設計

公共信息區的0塊主要用來保存校驗的數據，數據以加密方式保存，解密以后的數據滿足表格中的存儲結構，讀卡器讀取標簽的時候主要核對一下，黑名單標志是不是規定好的值，如果是就提示說是黑名單卡，隨機數是否和數據庫中的符合，LRC校驗是否正確。

表3 個人信息文件區各個塊數據存儲結構設計

個人信息文件區，主要用來保存用戶的個人信息，這個信息屬于個人隱私，所以保存的時候都是以加密方式保存。解密以后滿足上表中的數據存儲格式，隨機數需要和數據庫中隨機數進行校驗，LRC也需要校驗。其中有一個不滿足都要置成黑卡并報警。

3 測試與分析

如表4所示，解密后換算出上面所列數據以后，校驗錢包數據是否是100.00，錢包數據是否超過1000.00，錢包數據是否低于0.00，數據庫中的的隨機數是否是EF A1 32 D1，前面15個字節的LRC是否是BD。只有所有的校驗通過了，這張卡的錢包區的校驗才算通過。只要有一個不滿足都將卡置黑并報警。

表4 仿真實例（DES密碼：12345678，CBC模式加密）

4 結語

此方案有4大優點：①不需要對RFID加任何的硬件，節約成本；②標簽里存儲的數據是密文，保護用戶的隱私；③讀卡器讀取數據以后對標簽里的解密數據包含隨機數和各種校驗，防止了RFID中金額等敏感數據被任意竄改；④即便卡被復制隨機數不同步也會被識別出來。但是也有3個不足：①不能防止卡被復制；②如果真卡一直不刷卡的情況下，不能防止假卡冒充真卡；③如果安全密碼和軟件加密的密碼都被破解也會不安全。

安全問題存在制約著RFID技術的發展與應用，軟加密、并融入隨機數及合法性校驗的思路，不但對標簽的要求低，而且大大的提高了RFID應用中的安全性，是一套思路和算法上的改進，將會有廣泛的應用前景。當然這套思想也有它自己的局限性，因為目前市場上應用標簽的局限性，標簽本身的保密性不高，造成了標簽里的數據對破解者來說幾乎是可見數據，破解者再根據大量的標簽數據進行分析和對比，就會有破解卡內數據存儲結構和密碼的可能性,即便如此,破解者也需要耗費巨大的代價。

[1] 郎為民.射頻識別 RFID技術原理與應用[M].北京:機械工業出版社,2006:48-52,59.

[2] 周永彬,馮登國.RFID安全協議的設計與分析[J].計算機學報,2006,4(29):581-589.

[3] 韓立毛,趙躍華,錢宇力.基于RFID技術的物品跟蹤識別方案研究[J].通信技術,2009,42(10):142-144.

[4] 孔令榮,樊礬.一種RFID標簽信息安全傳輸協議[J].信息安全與通信保密,2011(07):90-91,94.

[5] 張輝,黃銀龍,王占斌.基于RFID技術的跨行業應用數據公共模式[J].通信技術,2011,44(02):123-124,127.

[6] 胡瑛,呂慧強.無線射頻系統安全問題概述[J].浙江大學學報,2006,34(03): 327-330.

[7] 李劍,黃銀龍,陶鵬.RFID涉車應用基站數據分發系統研究[J].信息安全與通信保密,2011(07):59-60,65.

[8] 周永彬,馮登國.RFID 安全協議的設計與分析[J].計算機學報,2006,4(29):581-589.

[9] 于宇,楊玉慶,閔昊.RFID標簽的安全建模及對 EPC C1G2協議的改進[J].小型微型計算機系統,2007,7(28): 1339-1343.