隨著科技的不斷發展，NFC技術開始越來越多的走入我們的生活。坐公交時刷公交卡、購物時刷NFC手機，讓我們的生活更加便捷。然后便捷的同時，也帶來了一定的安全隱患。從本質上講，NFC是一種無線通信技術，只要有合適的設備，就可以很容易的進行竊聽。如何保證RFID使用的安全性，也成為了安全領域的一大研究熱點。

1、什么是無線射頻

無線射頻譯自英文Radio Frequency Identification，簡稱為RFID，是20世紀90年代興起的一種非接觸式的自動識別技術。射頻技術（RFID）相對于傳統的磁卡及IC卡技術具有非接觸、閱讀速度快、無磨損等特點。無線射頻技術在閱讀器和射頻卡之間進行非接觸雙向數據傳輸，以達到目標識別和數據交換的目的。與傳統的條型碼、磁卡及IC卡相比，射頻卡具有非接觸、閱讀速度快、無磨損、不受環境影響、壽命長、便于使用的特點和具有防沖突功能，能同時處理多張卡片。

我們日常使用的無線射頻技術主要涉及到以下兩個概念。進場通信技術（Near Field Communication，NFC）是一種短距離的無線通訊技術，可允許電子設備之間進行非接觸式點對點資料傳輸。射頻識別技術使用無線通信技術識別特定目標，NFC技術就是在RFID的基礎上發展出來的。

早期的RFID卡功能簡單，僅包含目標表示，所以又稱為標簽（tag），其外形也不固定，常用于物聯網等需要進行目標的識別和跟蹤等場合。而日常生活中使用的信用卡大小的RFID卡，本文稱之為非接觸智能卡，功能更加強大，也是本文主要探析的對象。

射頻技術主要用于生產流水線管理、倉儲管理、銷售管理、商品防偽、證件防偽、汽車防盜、物品防盜、包裹管理、物品跟蹤、運輸工具和貨架識別等。如香港的車輛自動識別系統采用的就是無線射頻技術，當裝有電子標簽的車輛通過裝有射頻掃描器的專用隧道、橋梁、高速公路、停車場時，無需停車繳費，大大提高了行車速度，提高了運輸效率。

典型的無線射頻技術系統一般由電子標簽、讀寫器、數據交換和管理系統等組成。電子標簽也叫射頻卡，具有發射、接收無線信號的功能并帶有可擦除只讀存儲器的小芯片，有智能讀寫和加密通信的功能。讀寫器由無線收發模塊、天線、控制模塊及接口電路組成，基本功能提供數據傳輸的途徑。而車載MP3就是在普通的MP3上加一個無線射頻。

無線射頻的工作流程主要是閱讀器通過發射天線發送一定頻率的射頻信號，當射頻卡進入發射天線工作區域時產生感應電流，射頻卡獲得能量被激活；射頻卡將自身編碼等信息通過卡內置發送天線發送出去；系統接收天線接收到從射頻卡發送來的載波信號，經天線調節器傳送到閱讀器，閱讀器對接收的信號進行解調和解碼然后送到后臺主系統進行相關處理；主系統根據邏輯運算判斷該卡的合法性，針對不同的設定做出相應的處理和控制，發出指令信號控制執行機構動作。目前常用的非接觸智能卡分為存儲卡（MemoryCard）和CPU卡；前者又分為無加密型和有邏輯加密型兩種。

2、存儲卡安全性

為了保護卡里的信息不被惡意讀取或篡改，邏輯加密卡加入了密鑰認證這一步驟。邏輯加密卡加入了密鑰認證這一步驟。MiFareclassic卡是較常見的一種邏輯加密卡，在國際市場上占有和使用率很高，但是它也有它自身的缺陷。

2.1  MiFareclassic卡介紹及其缺陷

MIFAREclassic（以下簡稱mfc卡）卡是目前世界上使用量最大、技術最成熟、性能最穩定、內存容量最大的一種感應式智能IC卡。

MIFARE經常被認為是一種智能卡的技術，這是因為它可以在卡片上兼具讀寫的功能。事實上，MIFARE僅具備記憶功能，必須搭配處理器卡才能達到讀寫功能。

MIFARE的非接觸式讀寫功能是設計來處理大眾運輸系統中的付費交易部分，其與眾不同的地方是具備執行升冪和降序的排序功能，簡化資料讀取的過程。盡管接觸性智能卡也能夠執行同樣的動作，但非接觸性智能卡的速度更快且操作更簡單，而且卡片閱讀機幾乎不需要任何維修，卡片也較為耐用。

MIFARE非接觸智能卡之卡片閱讀機的標準讀卡距離是1.0吋至3.9吋（亦即2.5至10公分）。在北美，由于FCC（電力）的限制，讀卡距離則在2.5公分左右。

mfc卡的存取區分為數個扇區，每個扇區結尾保存有兩個6字節的密鑰，用于對本扇區的讀寫操作。mfc卡結構簡單，讀寫速度快，市場普及率很高，舊版北京公交卡使用的就是這個卡。

mfc卡的加密算法是私有的，只有硬件實現，在2008年遭到逆向破解。研究組織通過對硬件的逆向分析，將加密算法還原。算法包括一個“線性反饋移位寄存器”（linear feed-backshift register，LFSR）和非線性濾波器f。

當讀卡器需要讀取mfc卡的內容時，其認證過程首先是讀卡器（Reader）首先發送認證命令（auth）給卡片（tag），卡片生成隨機數nT并發送給讀卡器。讀卡器回復加密后nT（aT），同時也發送一個隨機數nR。最后卡片根據nR回復應答（aR）給讀卡器。通過對加密算法的分析，發現通過nT、aT、nR和aR就能還原出加密算法使用的密鑰。

由于存在安全問題，目前mfc卡已逐漸退出有安全要求的消費領域。MiFare的設計廠商也該改進了原有的卡設計，推出了使用公開加密算法的升級版MiFare系列。同時一種新型的智能卡----CPU卡也開始被越來越多的使用。

2.2  無加密存儲卡

無加密的存儲卡由于安全性較低，現在使用的并不多。還有一種和無加密存儲卡類似的卡片，也就是低頻門禁卡。這種卡通常只能一次性寫入，多次讀取，存儲的數據量較小，主要用于目標標識。就安全性而言，對卡中的數據可直接讀取，克隆卡也十分容易。使用pM3，只需要輸入若干命令即可。

3、Proxmark3

3.1  Proxmark3功能簡介

Proxmark3（PM3）是有JonathanWesthues設計并且開發的開源硬件，可以在高頻（13.56MHz）以及低頻（125K-134KHZ）波段工作，主要有RFID的嗅探、讀取以及克隆等功能。

以SVN528般般的firmware為例，PM3的主要功能如下表所示：
低頻（lf） 讀取/解調/模擬EM4X，FlexPass，Indala，VeriChip
高頻（hf） 讀取/竊聽/模擬ISO14443A，ISO14443B；讀取/模擬ISO15693；讀取LEGICRFID
數據分析 ASK、FSK、Manchester解調，畫圖、數據保存等。
PM3的強大之處在于其分析能力，當拿到一個位置的非接觸卡時，可以通過PM3來判斷是高頻卡還是低頻卡，然后在嘗試相應的命令來分析卡的具體種類。

3.2  PM3模擬低頻卡

以用的門卡為例，通過“hwtune”命令可以確認門卡為低頻卡。然后輸入命令
Proxmark3>ifread
Proxmark3>datasamples1024
Proxmark3>dataplot
運行的結果可以得出，dt=128，即64個采樣。PM3的采樣率為載波頻率即125kHZ，于是dt=64*1/（125k）=0.000512s。從后面相鄰的部分波形可以才出512μs可能是4bit，也就是128μs/bit，每個16個采樣1bit。
使用indala卡模式解調：
Proxmarks>ifindalademod
得到門卡的64bitUID；然后用PM3模擬門禁卡；
Proxmarks>ifsim
等PM3的指示燈常亮后，就可以拿著PM3刷門禁了。

3.3PM3破解mfc卡

PM3也提供了對mfc卡的破解工具。首先使用PM3對讀卡器和卡之間的交互進行嗅探，命令如下：proxmark3>hf14asnoop，然后嗅探得到數據的命令如下：Proxmarks>hf14alist，然后在使用PM3的小工具就可以破解mfc卡的密鑰并且復制出來。

4、小結

從上述內容不難看出，非接觸智能卡并非如我們想象的那樣安全，尤其是對于低頻卡和mfc卡，在使用像PM3這樣的工具時，嗅探、克隆，都是很簡單的事情。國外更是有研究者對各個層次的RFID攻擊進行了分類。目前和消費有段的非接觸卡大都已經采用CPU卡，就是為了應對邏輯加密卡易于被克隆的風險。雖然目前暫時還沒有公開發現CPU卡的安全漏洞，但是還是希望大家養成良好的用卡習慣，尤其不要外接自己的門禁卡或飯卡，以免被克隆復制。