郝永放+王彬+王飛+狄輝

摘 要：NFC近場通信技術日漸普及，為防止NFC標簽與服務器通信過程受到攻擊導致信息泄露，提出采用基于橢圓曲線密鑰協(xié)商算法和AES對稱加密算法來實現(xiàn)NFC標簽和服務器之間雙向認證的方案。文中分析了當前技術，列出了算法選擇依據(jù)，描述了認證方案的具體實現(xiàn)流程。

關鍵詞：NFC標簽；服務器；AES；橢圓曲線密鑰協(xié)商算法

中圖分類號：TP393 文獻標識碼：A 文章編號：2095-1302（2018）02-00-03

0 引 言

NFC近場通信技術自2002年被提出以來發(fā)展迅速，并廣泛應用于生活中的各個領域，如防偽、巡檢、移動支付、門禁等方面。這些應用大都離不開NFC標簽與服務器之間的數(shù)據(jù)傳輸（此處的服務器是讀卡器和后臺處理程序的統(tǒng)稱）。以NFC標簽在防偽系統(tǒng)中的應用為例，防偽系統(tǒng)的主要目的是驗證標簽綁定商品的真?zhèn)?，NFC標簽和服務器都有可能成為攻擊者攻擊或仿造的對象，因此系統(tǒng)面臨的第一個問題是NFC標簽和服務器的身份認證。本文針對該問題提出了解決方案，描述了認證流程。該方案主要包括NFC標簽和服務器的密鑰協(xié)商，數(shù)據(jù)加密傳輸和解密驗證三部分。

1 相關知識介紹

1.1 NFC技術介紹

近場通信技術（Near Filed Communction，NFC）的工作頻率為13.56 MHz，是Philips公司和SONY公司于2002年聯(lián)合開發(fā)的新一代無線通信技術，也是非接觸式射頻識別技術（RFID）的一種擴展[1]。NFC技術與RFID技術的不同之處在于NFC技術在單一芯片上結合了感應式讀卡器，感應式卡片具有雙向連接和識別的特點，擁有點對點功能，允許在多個設備間實現(xiàn)安全的雙向交互。

同時NFC技術還定義了主動工作模式和被動工作模式，其主要區(qū)別在于設備之間通信的射頻場是否由本設備發(fā)出。在主動工作模式下，NFC設備自身產(chǎn)生射頻場，當一臺NFC設備向另一臺NFC設備發(fā)送數(shù)據(jù)時，通信雙方都需要發(fā)出RF射頻場，并通過該射頻場通信。在被動模式下，射頻場由其他設備發(fā)出，工作在該模式下的目標設備利用感應的電動勢提供自身工作所需的電源，并利用負載調(diào)制技術進行數(shù)據(jù)收發(fā)。

主動模式的設備通常具有自己的供電單元，如NFC讀卡器和具有NFC功能模塊的手機等。而被動模式無需供電單元，如NFC卡片和標簽等[2]。

1.2 NFC標簽介紹

NFC標簽主要由NFC芯片、線圈組成，經(jīng)過封裝和加工后形成標簽。目前NFC標簽基本種類有4種，各有不同的格式和容量[3]。

（1）第一類標簽基于ISO14443A協(xié)議，標簽內(nèi)存最小為96 B，通信速率為106 kb/s，可存儲少量數(shù)據(jù)。

（2）第二類標簽同樣基于ISO14443A 協(xié)議，其內(nèi)存大小為48 B，可擴充到2 kB，通信速率為106 kb/s。

（3）第三類標簽內(nèi)存為2 kB，通信速率為212 kb/s。此類標簽適合較為復雜的應用場景，但成本較高。

（4）第四類標簽同時兼容ISO14443A和ISO14443B兩種協(xié)議，相較于其他三種標簽類型，擁有更大的存儲空間并集成了安全加密認證模塊，能完成更為復雜的操作。

在不同領域的應用中，應根據(jù)具體情況來選擇最適合的標簽。以NFC標簽在防偽領域的應用為例，此時標簽不僅需要存儲與企業(yè)和產(chǎn)品相關的信息，還要進行加密和解密計算，因此選擇第四類標簽更為合適。

2 雙向認證方案的分析與設計

2.1 雙向認證方案分析

在認證過程中雙方需要加密傳輸需相互認證的信息，因此雙方應事先約定加密算法和協(xié)商密鑰。

加密算法主要包括對稱加密算法和非對稱加密算法，常見的對稱加密算法有DES，3DES和AES，非對稱算法有RSA，其中DES算法隨著計算機計算能力的提升已經(jīng)能夠被輕易破解。3DES算法是DES算法的變形，相對來說更為安全，它以DES為基本模塊，通過組合分組方法設計出加密算法[4]。相比較DES和3DES算法，AES算法屬于下一代加密算法，具有速度更快、安全級別更高等優(yōu)點，其主要目的是取代3DES算法。RSA算法屬于非對稱加密算法，但加解密速度緩慢，只適合解密數(shù)據(jù)量較小的數(shù)據(jù)，通常還需要配合其他加密速度較快的算法一起使用[5]。

密鑰協(xié)商方式眾多，比如事先讓雙方保存相同的密鑰，但在這種情況下，密鑰是靜態(tài)的，無法抵抗攻擊者的重放攻擊。本設計采用ECDH密鑰協(xié)商算法來約定認證雙方的密鑰，其安全性建立在橢圓曲線的離線對數(shù)問題上，每次通信都根據(jù)雙方產(chǎn)生的隨機數(shù)來生成動態(tài)密鑰，安全性較高，能有效防止攻擊者的重放式攻擊。

結合以上分析，采用EDCH算法進行密鑰協(xié)商，并通過AES對稱加密算法進行加密傳輸和解密驗證。

2.2 關鍵模塊設計

2.2.1 密鑰協(xié)商設計

密鑰協(xié)商的目的在于在不共享任何秘密的情況下協(xié)商出密鑰，本設計采用基于橢圓曲線密碼體制（Elliptic Curve Cryptosystems，ECC）的Diffie-Hellman密鑰交換算法EDCH進行計算[6]。ECC是建立在基于橢圓曲線離散對數(shù)問題上的密碼體制，對橢圓曲線離散對數(shù)問題可以作以下描述：

給定橢圓曲線上一個點P，一個整數(shù)k，求解Q=k×p很容易；給定點P，Q，已知Q=k×P，求整數(shù)k是一個難題[7]。ECDH算法的安全性便建立在此數(shù)學難題之上。密鑰協(xié)商過程如圖1所示。

假如標簽Tag和服務器Server共享一條橢圓曲線E，且基點為G，那么存在以下狀況：

（1）標簽Tag產(chǎn)生隨機數(shù)t，計算會話密鑰T=t×G；

（2）Server產(chǎn)生隨機數(shù)s，計算會話密鑰S=s×G；endprint

（3）Tag將T傳給Server，同時Server將S傳給Tag；

（4）Tag收到Server傳遞的S，計算出協(xié)商密鑰P=t×S；

（5）Server收到Tag傳遞的T，計算出協(xié)商密鑰P1=s×T。

P=t×（s×G） （1）

P1=s×（t×G） （2）

由交換律和結合律可知：P=P1。

此時標簽Tag與客戶端Server完成了密鑰協(xié)商，且協(xié)商過程中有可能公開的參數(shù)包括基點G、傳遞的會話密鑰T和S。由于橢圓曲線離線對數(shù)問題難度較大，至今仍沒有有效的解決方法[8]，攻擊者若想通過G，T，S三個參數(shù)計算出t和s非常困難，同時根據(jù)動態(tài)隨機數(shù)生成密鑰可有效防止重放攻擊，使R和R1的安全性得到有力保障。

2.2.2 信息加密設計

當密鑰協(xié)商完成后會涉及數(shù)據(jù)的加密傳輸，本設計采用AES對稱加密算法來進行數(shù)據(jù)傳輸。AES 算法又稱Rijndael加密法，是美國國家標準與技術研究所用于加密電子數(shù)據(jù)的規(guī)范，代替了原先的DES算法。與DES不同的是，AES使用的是代換-置換網(wǎng)絡，而非Feistel架構，在軟件和硬件上都能快速加解密，只需很少的存儲器就可實現(xiàn)，相對來說更適用于實際情況[9]。

AES在一個4×4的字節(jié)矩陣上進行加密，該矩陣又稱為state，其初始值是一個明文數(shù)據(jù)塊（即需要加密的數(shù)據(jù)），該數(shù)據(jù)塊長度規(guī)定為128 B，密鑰長度可設置為128 B，192 B，256 B（如果數(shù)據(jù)塊及密鑰長度不足時，會補齊）[10]。

加密過程大致分為密鑰擴展、初始輪、重復輪、最終輪4個步驟，其中第三步重復輪中具體重復的次數(shù)與密鑰長度有關。當密鑰長度為128 B時，N為10，進行10輪重復計算；當密鑰長度為192 B時，N為12；當密鑰長度為256 B時，N為14。本次方案設計采用長為128 B的密鑰進行加密和解密計算。

2.2.3 解密驗證設計

解密過程與加密過程類似，是加密過程的逆過程，即輸入128 B密文后，經(jīng)運算可得到128 B明文。

2.3 認證方案具體流程

該方案主要包括密鑰協(xié)商、信息加密、解密驗證三部分。認證流程如圖2所示。

式（3）代表以P為密鑰對明文S進行AES加密計算，得到密文R。

R=E（P，S） （3）

式（4）代表以P為密鑰對密文S進行AES解密計算，得到明文R。

R=D（P，S） （4）

雙向認證過程如下：

（1） 當讀卡設備靠近標簽時，發(fā)送認證請求。

（2） NFC標簽收到認證請求后，進行密鑰協(xié)商。

（3） 雙方完成密鑰協(xié)商后，標簽得到密鑰P1，服務器端得到密鑰P2（服務器包括讀卡器和后臺處理程序），P1與P2的值相等。

（4） 服務器端讀取標簽生成的隨機數(shù)Rt1，使用密鑰P對Rt1進行加密得到Rt′。

（5） 服務器生成隨機數(shù)Rs1，通過讀卡器將Rt′和Rs1寫入標簽。

（6） 標簽收到Rt′，使用P進行解密得到Rt2，判斷Rt1和Rt2的值，若相等則通過對服務器的驗證，否則驗證不予通過。

（7） 若服務器通過驗證，標簽使用P1對Rs1加密得到Rs′，服務器端讀取到Rs′后，通過P2解密得到Rs2，判斷Rs1和Rs2的值是否相等，相等則通過對標簽的驗證，否則，驗證失敗。

3 結 語

基于NFC技術的通信系統(tǒng)在實際應用中，首要工作是認證NFC標簽和服務器的合法性，本文針對該問題以ECDH密鑰協(xié)商算法和AES對稱加密算法為基礎，設計出了NFC標簽和服務器之間進行雙向認證的方案，羅列了密鑰協(xié)商、加密傳輸以及解密驗證的具體實現(xiàn)流程。

參考文獻

[1]焦建軍.基于NFC技術下的近場通信WiFi傳輸連接方案[J].電子技術與軟件工程， 2017（18）：39.

[2]蘇婕，王忠.基于NFC技術的巡更巡檢管理系統(tǒng)的設計與實現(xiàn)[J].計算機工程與設計， 2015（4）：1068-1072.

[3]陳志鵬，王彬.基于NFC技術的智能巡檢系統(tǒng)設計[J].物聯(lián)網(wǎng)技術， 2017，7（2）：24-26.

[4]隋濤.DES與AES數(shù)據(jù)加密算法探討[J].湖北第二師范學院學報， 2013，30（8）：66-68.

[5]肖振久，胡馳，姜正濤，等.AES與RSA算法優(yōu)化及其混合加密體制[J].計算機應用研究， 2014，31（4）：1189-1194.

[6]李冠朋，田振川，朱貴良.基于ECDH與Rijndael的數(shù)據(jù)庫加密系統(tǒng)[J].計算機工程， 2013，39（4）：173-176.

[7]吳學慧，牛志華，王潮.基于橢圓曲線密碼的RFID安全協(xié)議[J].計算機工程與設計， 2010，31（24）：5165-5167.

[8]陳義濤.基于橢圓曲線的認證密鑰協(xié)商協(xié)議的研究及應用[D].武漢：武漢大學， 2014.

[9]程桂花，羅永龍，齊學梅，等.AES算法中基于流水線的可逆S盒設計與實現(xiàn)[J].小型微型計算機系統(tǒng)， 2012，33（3）：576-581.

[10]王小偉. AES加密算法的研究與IP核設計實現(xiàn)[D].哈爾濱：哈爾濱工業(yè)大學，2013.endprint