NFC標簽與服務器雙向認證方案的設計

郝永放+王彬+王飛+狄輝

摘 要：NFC近場通信技術日漸普及，為防止NFC標簽與服務器通信過程受到攻擊導致信息泄露，提出采用基于橢圓曲線密鑰協商算法和AES對稱加密算法來實現NFC標簽和服務器之間雙向認證的方案。文中分析了當前技術，列出了算法選擇依據，描述了認證方案的具體實現流程。

關鍵詞：NFC標簽；服務器；AES；橢圓曲線密鑰協商算法

中圖分類號：TP393 文獻標識碼：A 文章編號：2095-1302（2018）02-00-03

0 引 言

NFC近場通信技術自2002年被提出以來發展迅速，并廣泛應用于生活中的各個領域，如防偽、巡檢、移動支付、門禁等方面。這些應用大都離不開NFC標簽與服務器之間的數據傳輸（此處的服務器是讀卡器和后臺處理程序的統稱）。以NFC標簽在防偽系統中的應用為例，防偽系統的主要目的是驗證標簽綁定商品的真偽，NFC標簽和服務器都有可能成為攻擊者攻擊或仿造的對象，因此系統面臨的第一個問題是NFC標簽和服務器的身份認證。本文針對該問題提出了解決方案，描述了認證流程。該方案主要包括NFC標簽和服務器的密鑰協商，數據加密傳輸和解密驗證三部分。

1 相關知識介紹

1.1 NFC技術介紹

近場通信技術（Near Filed Communction，NFC）的工作頻率為13.56 MHz，是Philips公司和SONY公司于2002年聯合開發的新一代無線通信技術，也是非接觸式射頻識別技術（RFID）的一種擴展[1]。NFC技術與RFID技術的不同之處在于NFC技術在單一芯片上結合了感應式讀卡器，感應式卡片具有雙向連接和識別的特點，擁有點對點功能，允許在多個設備間實現安全的雙向交互。

同時NFC技術還定義了主動工作模式和被動工作模式，其主要區別在于設備之間通信的射頻場是否由本設備發出。在主動工作模式下，NFC設備自身產生射頻場，當一臺NFC設備向另一臺NFC設備發送數據時，通信雙方都需要發出RF射頻場，并通過該射頻場通信。在被動模式下，射頻場由其他設備發出，工作在該模式下的目標設備利用感應的電動勢提供自身工作所需的電源，并利用負載調制技術進行數據收發。

主動模式的設備通常具有自己的供電單元，如NFC讀卡器和具有NFC功能模塊的手機等。而被動模式無需供電單元，如NFC卡片和標簽等[2]。

1.2 NFC標簽介紹

NFC標簽主要由NFC芯片、線圈組成，經過封裝和加工后形成標簽。目前NFC標簽基本種類有4種，各有不同的格式和容量[3]。

（1）第一類標簽基于ISO14443A協議，標簽內存最小為96 B，通信速率為106 kb/s，可存儲少量數據。

（2）第二類標簽同樣基于ISO14443A 協議，其內存大小為48 B，可擴充到2 kB，通信速率為106 kb/s。

（3）第三類標簽內存為2 kB，通信速率為212 kb/s。此類標簽適合較為復雜的應用場景，但成本較高。

（4）第四類標簽同時兼容ISO14443A和ISO14443B兩種協議，相較于其他三種標簽類型，擁有更大的存儲空間并集成了安全加密認證模塊，能完成更為復雜的操作。

在不同領域的應用中，應根據具體情況來選擇最適合的標簽。以NFC標簽在防偽領域的應用為例，此時標簽不僅需要存儲與企業和產品相關的信息，還要進行加密和解密計算，因此選擇第四類標簽更為合適。

2 雙向認證方案的分析與設計

2.1 雙向認證方案分析

在認證過程中雙方需要加密傳輸需相互認證的信息，因此雙方應事先約定加密算法和協商密鑰。

加密算法主要包括對稱加密算法和非對稱加密算法，常見的對稱加密算法有DES，3DES和AES，非對稱算法有RSA，其中DES算法隨著計算機計算能力的提升已經能夠被輕易破解。3DES算法是DES算法的變形，相對來說更為安全，它以DES為基本模塊，通過組合分組方法設計出加密算法[4]。相比較DES和3DES算法，AES算法屬于下一代加密算法，具有速度更快、安全級別更高等優點，其主要目的是取代3DES算法。RSA算法屬于非對稱加密算法，但加解密速度緩慢，只適合解密數據量較小的數據，通常還需要配合其他加密速度較快的算法一起使用[5]。

密鑰協商方式眾多，比如事先讓雙方保存相同的密鑰，但在這種情況下，密鑰是靜態的，無法抵抗攻擊者的重放攻擊。本設計采用ECDH密鑰協商算法來約定認證雙方的密鑰，其安全性建立在橢圓曲線的離線對數問題上，每次通信都根據雙方產生的隨機數來生成動態密鑰，安全性較高，能有效防止攻擊者的重放式攻擊。

結合以上分析，采用EDCH算法進行密鑰協商，并通過AES對稱加密算法進行加密傳輸和解密驗證。

2.2 關鍵模塊設計

2.2.1 密鑰協商設計

密鑰協商的目的在于在不共享任何秘密的情況下協商出密鑰，本設計采用基于橢圓曲線密碼體制（Elliptic Curve Cryptosystems，ECC）的Diffie-Hellman密鑰交換算法EDCH進行計算[6]。ECC是建立在基于橢圓曲線離散對數問題上的密碼體制，對橢圓曲線離散對數問題可以作以下描述：

給定橢圓曲線上一個點P，一個整數k，求解Q=k×p很容易；給定點P，Q，已知Q=k×P，求整數k是一個難題[7]。ECDH算法的安全性便建立在此數學難題之上。密鑰協商過程如圖1所示。

假如標簽Tag和服務器Server共享一條橢圓曲線E，且基點為G，那么存在以下狀況：

（1）標簽Tag產生隨機數t，計算會話密鑰T=t×G；

（2）Server產生隨機數s，計算會話密鑰S=s×G；endprint

（3）Tag將T傳給Server，同時Server將S傳給Tag；

（4）Tag收到Server傳遞的S，計算出協商密鑰P=t×S；

（5）Server收到Tag傳遞的T，計算出協商密鑰P1=s×T。

P=t×（s×G） （1）

P1=s×（t×G） （2）

由交換律和結合律可知：P=P1。

此時標簽Tag與客戶端Server完成了密鑰協商，且協商過程中有可能公開的參數包括基點G、傳遞的會話密鑰T和S。由于橢圓曲線離線對數問題難度較大，至今仍沒有有效的解決方法[8]，攻擊者若想通過G，T，S三個參數計算出t和s非常困難，同時根據動態隨機數生成密鑰可有效防止重放攻擊，使R和R1的安全性得到有力保障。

2.2.2 信息加密設計

當密鑰協商完成后會涉及數據的加密傳輸，本設計采用AES對稱加密算法來進行數據傳輸。AES 算法又稱Rijndael加密法，是美國國家標準與技術研究所用于加密電子數據的規范，代替了原先的DES算法。與DES不同的是，AES使用的是代換-置換網絡，而非Feistel架構，在軟件和硬件上都能快速加解密，只需很少的存儲器就可實現，相對來說更適用于實際情況[9]。

AES在一個4×4的字節矩陣上進行加密，該矩陣又稱為state，其初始值是一個明文數據塊（即需要加密的數據），該數據塊長度規定為128 B，密鑰長度可設置為128 B，192 B，256 B（如果數據塊及密鑰長度不足時，會補齊）[10]。

加密過程大致分為密鑰擴展、初始輪、重復輪、最終輪4個步驟，其中第三步重復輪中具體重復的次數與密鑰長度有關。當密鑰長度為128 B時，N為10，進行10輪重復計算；當密鑰長度為192 B時，N為12；當密鑰長度為256 B時，N為14。本次方案設計采用長為128 B的密鑰進行加密和解密計算。

2.2.3 解密驗證設計

解密過程與加密過程類似，是加密過程的逆過程，即輸入128 B密文后，經運算可得到128 B明文。

2.3 認證方案具體流程

該方案主要包括密鑰協商、信息加密、解密驗證三部分。認證流程如圖2所示。

式（3）代表以P為密鑰對明文S進行AES加密計算，得到密文R。

R=E（P，S） （3）

式（4）代表以P為密鑰對密文S進行AES解密計算，得到明文R。

R=D（P，S） （4）

雙向認證過程如下：

（1） 當讀卡設備靠近標簽時，發送認證請求。

（2） NFC標簽收到認證請求后，進行密鑰協商。

（3） 雙方完成密鑰協商后，標簽得到密鑰P1，服務器端得到密鑰P2（服務器包括讀卡器和后臺處理程序），P1與P2的值相等。

（4） 服務器端讀取標簽生成的隨機數Rt1，使用密鑰P對Rt1進行加密得到Rt′。

（5） 服務器生成隨機數Rs1，通過讀卡器將Rt′和Rs1寫入標簽。

（6） 標簽收到Rt′，使用P進行解密得到Rt2，判斷Rt1和Rt2的值，若相等則通過對服務器的驗證，否則驗證不予通過。

（7） 若服務器通過驗證，標簽使用P1對Rs1加密得到Rs′，服務器端讀取到Rs′后，通過P2解密得到Rs2，判斷Rs1和Rs2的值是否相等，相等則通過對標簽的驗證，否則，驗證失敗。

3 結 語

基于NFC技術的通信系統在實際應用中，首要工作是認證NFC標簽和服務器的合法性，本文針對該問題以ECDH密鑰協商算法和AES對稱加密算法為基礎，設計出了NFC標簽和服務器之間進行雙向認證的方案，羅列了密鑰協商、加密傳輸以及解密驗證的具體實現流程。

參考文獻

[1]焦建軍.基于NFC技術下的近場通信WiFi傳輸連接方案[J].電子技術與軟件工程， 2017（18）：39.

[2]蘇婕，王忠.基于NFC技術的巡更巡檢管理系統的設計與實現[J].計算機工程與設計， 2015（4）：1068-1072.

[3]陳志鵬，王彬.基于NFC技術的智能巡檢系統設計[J].物聯網技術， 2017，7（2）：24-26.

[4]隋濤.DES與AES數據加密算法探討[J].湖北第二師范學院學報， 2013，30（8）：66-68.

[5]肖振久，胡馳，姜正濤，等.AES與RSA算法優化及其混合加密體制[J].計算機應用研究， 2014，31（4）：1189-1194.

[6]李冠朋，田振川，朱貴良.基于ECDH與Rijndael的數據庫加密系統[J].計算機工程， 2013，39（4）：173-176.

[7]吳學慧，牛志華，王潮.基于橢圓曲線密碼的RFID安全協議[J].計算機工程與設計， 2010，31（24）：5165-5167.

[8]陳義濤.基于橢圓曲線的認證密鑰協商協議的研究及應用[D].武漢：武漢大學， 2014.

[9]程桂花，羅永龍，齊學梅，等.AES算法中基于流水線的可逆S盒設計與實現[J].小型微型計算機系統， 2012，33（3）：576-581.

[10]王小偉. AES加密算法的研究與IP核設計實現[D].哈爾濱：哈爾濱工業大學，2013.endprint