轨道交通收费系统风险研究.docVIP

PAGE \* MERGEFORMAT 6轨道交通收费系统非接触芯片风险研究摘要：本文对城市轨道交通单程票系统广泛采用的UltraLight非接触芯片安全性进行全面分析，从物理、电气、数据结构等几个方面进行剖析，针对其弱点研究了潜在的攻击方式，为目前众多城市公交收费系统敲响安全的警钟。关键词：安全、CRC32、破解、智能卡、Ultra Light基本情况1.1芯片参数Mifare UltraLight (以下简称UL)存储容量：512bit,16块，每块4字节，唯一的7字节序列号，32位用户可定义的一次性编程区域，384位用户读、写区域;工作频率：13.56MHZ;通讯速度：106Kbps;读写距离：在100MM以内（与天线有关）;卡与读卡器通过iso/iec 14443A协议进行通讯；通讯过程中，没有使用通常逻辑加密卡的三重认证机制。1.2 使用特点由于其是Mifare Class平台简化的非接触设计，因此其成本低廉；而其完全兼容于Mifare非接触系统的特点，使得国内90%以上城市轨道交通自动售检票系统（AFC）中采用作单程票（single ticket），甚至作为多程票卡使用。1.3 技术局限恩智浦公司UL设计目标为可丢弃票卡使用（最早用于罗马的公交计次票），国内用作循环单程票系统，从一开始就遭到诸多专家的置疑，为此，恩智浦公司很早就开发了Ultralight-C作为UL替代解决方案在国内推广,这在一定程度印证了UL技术上存在无法弥补的安全缺陷。Mifare逻辑加密卡被破解，实际上是逻辑加密卡与读卡器之间的三次认证算法Crypto1被破解。缘于此事，工信部于2009年初下达了《关于做好应对部分IC卡出现严重安全漏洞的通知》，其主要精神是限制和逐渐取消M1卡。但是对于UL，业界对其安全性应该说是忽视掉了，目前UL在国内单程票卡市场上占有很大优势，并在新建地铁项目中，几乎全部采用。UL平台的风险，就少为人提起。下文以既有UL系统为例，说明UL安全存在的巨大隐患。UL卡破解2.1暴力破解UL卡芯片实际上属于没有读控制/缺少完整写控制的存储卡，在实现计程收费的公交系统中，如采用UL芯片作为单程票卡，攻击者/乘客只需持type A标准读卡器，向单程卡内写入任意数据，打乱票卡逻辑结构，票卡就不能被出站闸机正常读取，但由于无法确定票卡故障原因，运营商必须放乘客出站，这样就实现了乘客用最低票价，乘座最长程的目的。2.2 票卡复制UL卡利用其56个bit的出厂唯一序列号作为其防伪的主要技术手段，但是UL卡与读卡器通过iso/iec 14443A协议进行通讯，没有通常加密卡的三重认证过程。因此，只要利用iso/iec 14443A的模拟设备，就可以轻易实现票卡的复制。具体设计与实现如下图所示：上图为14443A开发板卡。上图为模仿正常工作票卡的工装，可以完全模拟UL卡读写操作。2.3 算法破解由于UL卡没有环境认证机制，芯片本身缺少完整的读写控制功能，因此在此芯片平台开发支付应用是非常困难的，由于UL缺少物理层读写控制，因此只能进行平面加密，限于前置系统的处理能力，对UL卡几乎不能进行全文加密，因此只能采用签名算法，正因如此，外界可以轻易取得明文与密文。所有这些，都成为制约系统安全的瓶颈。下图是国内典型UL卡的安全体系统示意图。卡内数据卡内数据（明文）CRC32防伪码（MAC）特征值串（CRC校验值）3DES笔者借鉴资料，得到一种CRC逆向配适算法，成功的对CRC特征值进行了反向工程（破解）；同时利用上述原理，利用读卡器与既有系统内票卡，已成功的制作出上述UL系统内任意种类的合法票卡。CRC逆向算法3.1 CRC原理循环冗余校验算法（下文简称CRC），它的全称是“Cyclic Redundancy Check”，中文名是“循环冗余码”，“CRC校验”就是“循环冗余校验”。 CRC是在传统通信行业发展起来的，如在串行传输过程中，数据是逐位沿传输通道传递的，因此利用CRC寄存器，就可以实现对传输数据准确性的保障。他的主要应用就是用于数据传输的偶发性电平突变的防治。因此他的算法简洁高速。通常，计算量与原始数据量呈线性关系，可以在传输的同时进行校验。CRC应用范围很广泛，最常见的就是在网络传输中进行信息的校对。由于CRC算法简洁，占用系统资源较小，近来有人也把他用于数据保护，甚至在一些涉密系统，如AFC系统中作为签名算法使用。3.2 基本算法算法描述如下：（1）生成CRC对应表，建立队列形CRC寄存器，准备好待计算的数字队列；（2）CRC寄存器操作（高位移出，低位移入待计算的队列）；（3）将移出值进行查表，得到对应的CRC值后与现在的寄存器进行异或操作；（4）循环至所有待计算的数据均移入寄存器后，此时寄存器值即为此数字队列的CRC值。3.3