一種適用於RFID讀寫器的加密演算法及其實現

 隨著電子資訊科技的發展，非接觸式智慧卡(如RFID卡)已經在我們的生活中隨處可見。與傳統的接觸式卡、磁卡相比，利用射頻識別技術開發的非接觸式智慧卡，具有高度安全保密性和使用簡單等特點，正逐漸取代傳統的接觸式IC卡，成為智慧卡領域的新潮流。然而，由於RFID系統的資料交流處於開放的無線狀態，外界容易對系統實施各種資訊干擾及資訊盜取。

　　鑑於RFID系統資料交流開放的安全性問題，人們做了大量的研究工作，提出了很多安全機制設計方面的建議。在硬體物理實現方面，提出瞭如：Kill標籤、法拉第電罩等方法;在軟體系統實現方面，提出了一系列安全協議，如：Hash鎖、隨機Hash鎖、Hash鏈以及改進的隨機Hash鎖等方法，而這些方法都是針對RFID標籤晶片的製造而設計的，對已經大規模投入使用的智慧卡而言，不具備實用性。目前在智慧卡應用系統中，比較流行採用相容ISO/IEC 14443協議的Mifare 1系列智慧卡，其本身具有3次相互認證的安全協議，但其安全性仍有漏洞，有必要在它安全機制基礎上，引入一種資料加密演算法來進一步保障資料通訊的安全性。TEA演算法作為一種微型的加密演算法，有著簡單、快速、安全效能好等特點，在電子產品開發領域得到了廣泛應用，例如PDA資料加密、嵌入式通訊加密等領域，而TEA演算法的廣泛使用導致產生了針對該演算法的攻擊方法，所以有必要對TEA演算法進行改進。

　　為此，本文提出利用TEA演算法的改進演算法——xxTEA演算法進行RFID讀卡器與RFID智慧卡之間密碼資料的動態變換，來解決RFID系統應用中所面對的非法讀取、竊聽、偽裝哄騙及重放等攻擊。

　　1 XXTEA加密演算法原理

　　在資料的加解密領域，演算法分為對稱金鑰與非對稱金鑰2種。對稱金鑰與非對稱金鑰由於各自特點，所應用的領域不盡相同。對稱金鑰加密演算法由於其速度快，一般用於整體資料的加密，而非對稱金鑰加密演算法的安全效能佳，在數字簽名領域得到廣泛應用。

　　TEA演算法是由劍橋大學計算機實驗室的Wheeler DJ和Needham RM於1994年提出，以加密解密速度快，實現簡單著稱。TEA演算法每一次可以操作64 bit(8 byte)，採用128 bit(16 byte)作為Key，演算法採用迭代的形式，推薦的迭代輪數是64輪，最少32輪。為解決TEA演算法金鑰表攻擊的問題，TEA演算法先後經歷了幾次改進，從XTEA到Block TEA，直至最新的XXTEAt。XTEA也稱作TEAN，它使用與TEA相同的簡單運算，但4個子金鑰採取不正規的方式進行混合以阻止金鑰表攻擊。Block TEA演算法可以對32位的任意整數倍長度的變數塊進行加解密的操作，該演算法將XTEA輪循函式依次應用於塊中的每個字，並且將它附加於被應用字的鄰字。XXTEA使用跟Block TEA相似的結構，但在處理塊中每個字時利用了相鄰字，且用擁有2個輸入量的MX函式代替了XTEA輪循函式，這一改變對演算法的實現速度影響不大，但提高了演算法的抗攻擊能力，使得對6輪加密次數的演算法攻擊所需的明文數量由234上升為280，基本排除了暴力攻擊的可能性。本文描述的安全機制所採用的加密演算法就是TEA演算法中安全效能最佳的改進版本——XXTEA演算法。

XXTEA的加密輪次視資料長度而定，最少為6輪，最多為32輪，對應的每輪加密過程如圖1所示。圖1中，+表示求和，+表示異或，>>表示右移，<<表示左移。

　　從圖1中可知，XXTEA演算法主要包括加法、移位和異或等運算，它的結構非常簡單，只需要執行加法、異或和寄存的硬體即可，且軟體實現的程式碼十分短小，具有可移植性，非常適合嵌入式系統應用。由於XXTEA演算法的以上優點，它可以很好地應用於嵌入式RFID系統當中。

　　

 

　　2 RFID讀寫器安全機制

　　整個RFID安全系統的整體框圖如圖2所示。本系統的設計思路是由上位PC機通過RS232介面控制MCU操作射頻模組對Mifare 1智慧卡進行操作，再將Mifare 1卡中的資料由MCU進行加解密運算，返回到主機的資料管理系統中。在此過程中，假設MCU與PC後臺資料管理系統的資料通訊是安全的，那麼會被進行安全攻擊的環節，就是智慧卡與讀寫器之間的資料交換。

　　Mifare 1智慧卡的安全效能在最新的電子攻擊面前變得日益單薄，且已被來自荷蘭的黑客破譯，考慮到硬體升級的成本過大，本系統在不對基於Mifare 1的RFID讀卡器硬體系統進行變動的情況下，將XXTEA演算法嵌入到RFID系統中，設定特定的安全機制，以保護RFID資料的安全性。

　　

 

　　整個系統的安全機制分為3個部分：對Mifare 1卡的讀取控制密碼的加密;對存入Mifare 1卡中的資料進行的加密;動態地進行密碼的變換。加解密的函式設為：

　　Data_new=BTEA(Key，n，Data) (1) 式中：Data_new為資料進行加解密運算後的值;Key為XXTEA演算法的金鑰;n是資料組元的個數且用以控制加解密運算，n>0表示進行加密，n<0表示進行解密。在讀卡器中，存放4個Key，Key_com，Key1，Key2，Key3分別作為4次XXTEA加解密運算的金鑰，其中Key_com，Key1，Key2，Key3為16 byte且是固定在閱讀器的儲存器之中。根據XXTEA演算法的輸入與輸出資料的長度限制，以2個長整陣列元為加解密運算的基本單位，規定控制扇區讀寫許可權的金鑰KeyA，KeyB為XXTEA加密結果的前6個位元組。

　　1)對Mifare 1卡的控制密碼的加密：由Mifare 1卡特性決定，任意扇區X與扇區Y的控制密碼是完全不相關的。由於Mifare 1卡的獨一無二的序列號特性，在整個系統所能支援的智慧卡系列中，可以規定第X個扇區的密碼是與該智慧卡的序列號相關的。序列號的得到不需要經歷密碼校驗，而只要對智慧卡的操作到達防衝突這一步驟，就可以得到。序列號SNR為4位元組，而每次XXTEA加密的陣列都為2個長整型的陣列，可以規定x扇區的密碼為2個SNR所構成的1個64 bit陣列與公用金鑰Key_com進行加密的結果。假設扇區X的金鑰為KeyA，則KeyA為BTEA(Key_com，2，SNR||SNR<<4)，取該結果的前6 byte為KeyA。有價值資料內容存在第Y個扇區內部，第Y個扇區的控制密碼不固定，由第X個扇區的指定資料Data1經過XXTEA加密演算法得來。具體過程如圖3所示。系統的公鑰Key_com是固定於閱讀器內，雖然在公開通道上傳遞的資訊中不包含此公鑰的資訊，但是還是有必要對其進行定期更新，才能確保安全性。

2)對存入Mifare 1卡中的資料進行的加解密：經過一次加密運算得到扇區Y的密碼後，通過Authentication命令完成對卡的認證後，就可以讀取存放於扇區Y的有價值資料。讀取到的是已經經過XXTEA演算法進行加密完的資料。所以，有必要對其進行解密，才能得到真正的資料。而資料寫入的過程與之對應，需要先將要寫入Y扇區的資料以Key3進行XXTEA加密運算，再將運算結果寫人到扇區Y中。由XXTEA演算法的對稱金鑰特性可知，金鑰是與加密該資料的金鑰相同，固定存放於讀卡器的儲存器之中。具體過程如圖3所示。

　　

 

　　3)動態地進行密碼的變換：在每次讀寫操作完智慧卡之後，進行智慧卡扇區Y金鑰的動態變換。將扇區X內的資料，用Key2進行再次的XXTEA演算法加密，變化得到一個新的資料。該新的資料寫入扇區X。而對此Data_new進行Key1的加密運算得到扇區Y的新金鑰，在已經驗證扇IXY的金鑰的情況下，更改此金鑰為Data_new)iS對應的金鑰，以便下次再次使用。具體如圖4所示。

　　

 

　　3 RFID應用系統實現

　　系統的硬體電路由NXP的專用讀寫晶片MF RC500和STC微控制器STC89C52以及外部的天線濾波和接收回路組成，如圖5所示。MF RC500讀寫晶片完全相容於ISO/IEC 14443協議，且與MCU的介面多樣化，特別適合於嵌入式系統應用。

　　MCU除了操作讀卡晶片進行常規的智慧卡操作，也實現了系統所需的加密演算法的嵌入，讀取或寫人資料的加解密運算都通過MCU進行。

　　

 

　　MF RC500對Mifare 1卡的操作過程依照ISO14443的協議規定，按先後的順序為尋卡、防衝突、選擇、金鑰校驗和之後的讀寫和增減值操作。MF RC500對Mifare 1卡的操作都是通過寫入Transceive命令至Regcommand暫存器，再將操作Mifare 1卡的命令以資料的形式存放於Regfifodata暫存器中，設定完收發時鐘的長度以後，就等待智慧卡對讀寫命令的反應。在足夠長的時間段之內，Mifare 1卡傳輸的資料就會在Regfifodata裡面出現，此時，先讀取Regfifolength以確定資料的長度，根據長度寫迴圈程式獲取智慧卡返回的資訊。圖6給出了系統上位機的介面。通過上位機，在正常操作智慧卡的基礎上，進行動態更新密碼的操作，以及隱藏在讀寫操作之下的加解密過程。

 

　　系統進行加密的試驗如下：

　　1)控制密碼的得到：假設系統的公鑰Key_com為{0x00112233，0x44556677，0x8899AABB，0xCCDDEEFF)，對於智慧卡1，SNR為FDC71188，根據系統的規定，扇區X的密碼為KeyA與BTEA(Key_tom，2，SNR||SNR<<4)相關，結果為{oxD3A7BA0l，0x525F18FC}。取結果的前6個位元組作為扇區X的控制金鑰，即KeyA為D3A7BA0152。由此密碼得到了扇區X的Data1，假設Datal為{0x00，0x11，0x22，0x33，0x44，0x55，0x66，0x77}。由此Data1和儲存於MCU中的Key1通過XXTEA加密過程BTEA(key1，2，data1)，可以得到KeyB。假設Key1為{0x01234567，0x89ABCDEF，0x01234567，0x89ABCDEF}，通過加密，得到了{0x4CEFBEC2，0xCSCBACE0}，取前6 byte，則KeyB為4CEFBEC2C8。使用該金鑰獲得對扇區Y的控制權，就可以對價值資料進行讀寫操作，這樣也避免了未經授權的讀卡器想要非法對智慧卡進行操作的情況。

　　2)敏感資料的加解密：在Mifare 1智慧卡中，資料是以塊為單位來儲存的，一塊16 byte，可以由XXTEA直接運算得出加密結果。設需要寫入的資料為{0x01，0x12，0x23，0x34，0x45，0x56，0x67，0x78，0x89，0x9A，0xAB，0xBC，0xCD，0xDE，0xEF，0xF0}，而金鑰為Key3，設為{0xFEDCBA98，0x76543210，0xFEDCBA98，0x76543210}，通過該金鑰進行XXTEA加密，得到加密後的資料為{0xA2，0xC6，0x6C，0x1A，0x3E，0x98，0x5E，0x48，0x7D，0xDA，0x68，0xC3，0x0C，0x23，0x1D，0x24}。將該資料寫入智慧卡中，讀取時，對它用Key3作為金鑰進行解密，得到所需資料。利用此種方法，使得明文在開放的傳播空間內得到保護，保護了資訊的安全。

　　3)密碼的動態變換：在進行完讀寫操作以後，為了保障智慧卡的安全，要立刻進行密碼的變換。Data1經過與key2的XXTEA運算後，變換為Data1_new。由此Datal_new推算出KeyB_new。假設Key2為{0xFEDCBA98，0x76543210，0x01234567，0x89ABCDEF}，則Data1_new為{0x23FF28AA，0xA7684804}，KeyB_new為3C7099D07F。此密碼在智慧卡中必須同步更新，防止出現讀卡器未能取得智慧卡扇區Y的讀寫控制權的問題。

　　通過對實驗結果的分析可以看出，XXTEA所佔用的程式碼空間為2 968 byte，佔用記憶體空間124 byte，在24 MHz外部晶振條件下，加密速率為(3.26±0.1)Kbps(p=0.01)，解密速率為(3.30±0.1)Kbps(p=0.01)，抗攻擊能力強，暫時沒有一種可行的方法對該演算法進行有效攻擊，而且防衝突效能好，微小的資料改變將導致結果的重大變化。控制金鑰動態變換的根金鑰和智慧卡資料的加密金鑰不經過明文傳輸，杜絕了RFID資料通訊中出現的非法讀取和監聽等威脅。

　　4 結論

　　在XXTEA加密演算法基礎上的新RFID系統安全方案，具有安全性高、低成本和相容性高的特點。實驗結果表明，新方案能有效地提高RFID資料傳輸的安全性，可將RFID的應用範圍推廣到資訊敏感的領域，包括金融交易、食品安全和公共安全等。

本文轉hackfreer51CTO部落格，原文連結：http://blog.51cto.com/pnig0s1992/595874，如需轉載請自行聯絡原作者