规范,支持多种加密算法,同时还支持两线和SPI串行接口通信,具有在主机上执行所有射频通信、封装格式化、解码和通信错误检查等功能。此种读卡器由于需要很少的外部电路设计,从而降低了成本,因此,在工业领域里使用相当广泛。系统用卡读写接口模块功能电路如图4所示。
2.3.2 加密认证芯片读写接口模块电路设计
本系统选用Atmel公司的加密认证伴随芯片AT88SC118作为安全存储器。AT88SC118采用I2C串行总线通信接口方式,即微控制器STC11F16XE将从射频读卡器AT88RF1354中读取的待认证信息通过I2C通信传输给安全存储器AT88SC118芯片进行双重交叉认证,认证完成后还需将相关认证结果回馈给微控制器。因此,安全存储芯片的读写接口电路主要是与微控制器的I/O口进行简单的I2C读写操作。具体的安全存储器读写接口电路如图5所示。
3 系统软件部分的设计
本系统选用AT88SC6416CRF协议认证卡作为系统用卡,选用AT88SC118协议认证芯片作为底层硬件的安全存储器,两片具有双向认证密文传送的加密芯片可形成更高安全级别的防范机制,同时重要的认证信息则以密文的形式存储于安全存储器中,对于已获得加密芯片详细资料的盗版者仍然无法得到明文。
3.1 芯片(IC卡和芯片)口令认证原理
AT88SC系列芯(卡)片都提供了三种方式访问用户存储区的信息,分别是标准、口令、认证和加密,其中在标准访问模式下,对用户存储区信息的访问无任何限制;在口令访问模式下,也只需要简单的口令验证即可;而对于要求安全性很高的电梯智能管理系统而言,为了保护用户的信息安全,必须采用认证和加密的信息访问模式。同时本系统还采用了用户端的射频卡与主机端安全存储芯片的双重认证与加密方式。
射频卡芯片AT88SC6416CRF和主机里的安全伴随存储芯片AT88SC118都内置了一个64位的加密算法。其认证和加密过程都使用了这个加密算法。在认证和加密过程中,芯片访问的安全性获得了极大的增强,同时还能有效的防止旁路攻击。在该种模式下,主机每次与芯片交互的信息都不一样,都是通过算法函数计算出实时数据,这样第三方就很难从交互信息中获取有效数据,从而进行复制抄袭,最终保障了信息传输的安全。基于AT88SC的智能电梯的双重身份认证原理的具体过程如下:
(1) 主机通过RFID技术从射频卡AT88SC6416CRF中读出[NC]和[Ci,]其中[NC]是存储在设置区的识别码,一般为卡号信息,[Ci]也同样存储在设置区,是密文,一般是一个随机数,每次访问后会自动更改。
(2) 主机根据自定义的算法函数[F1NC,KS](即一种GPA函数)算出64位的密钥[GC,]其中[KS]为用户已知的固定参数。
(3) 主机再利用嵌入的安全伴随芯片AT88SC118内部的一个算法函数[F21GC,Ci,Q0]算出随机密文[Q1],其中[Q0]是AT88SC118的随机数生成部件产生的随机数。
(4)主机将随机密文[Q0,][Q1]传送给射频卡AT88SC6416CRF。
(5)射频卡将接收到的随机密文[Q0]作为AT88SC6416CRF内置的一个算法函数[F′21GC,Ci,Q0]的参数,通过该函数算出[Ci+1。]同时判断[Ci+1]是否等于[Q1,]若相等,则利用射频卡芯片AT88SC6416CRF内置的另一函数[F′22GC,Ci+1]算出[Ci+2,]从而更新原来的密文[Ci;]若不等,则认证失败,即未通过认证,用户不合法。
(6) 与此同时,主机内也通过AT88SC118内置的另一函数[F22GC,Q1]算出另一个随机密文[Q2]。
(7) 最后判断[Q2]是否等于更新后的[Ci,]若相等,则双重认证通过,否则未通过。
以上是以AT88SC118芯片的认证模式访问用户存储区的过程,如果想使用AT88SC118芯片的加密认证模式,需要再次利用认证成功时返回更新的SK(Session Encryption Key)值,即用SK取代[Ci,]再将其重新作为新的参数;利用[F1,][F2]类函数,射频卡芯片AT88SC6416CRF和主机嵌入的伴随芯片AT88SC118再计算一次并比较,只有当判断两者相等后才能进入加密认证模式。
上面使用的两个[F2]类函数,即[F21GC,Ci,Q0]和[F22GC,Q1]都是AT88SC118芯片内部的一个类DES加密算法函数或者说是一个DES算法变种函数,该类函数是利用[GC,][Ci,][Q0]三个参数进行初始化的。这个算法是所有加密解密、完整性交互认证与用户信息认证的关键[7]。
3.2 用户区访问
用户身份信息只有通过成功认证后才可以访问用户数据,当用户的各个分区设置了应用存储区,并设置了独立的读写口令限制,则还需要对各访问分区的口令进行独立的校验,只有通过了口令的正确校验后,才拥有用户分区的全部读写用户权限。当双重认证顺利通过后,芯片内部将立即进入加密模式,启动加密机制,主机与芯片的任何交互操作都需要利用芯片内部集成的加密算法进行,以确保芯片与主机的同步。当主机需要向用户分区写数据时,在发送写命令后,紧接着芯片内部加密计算的结果将与发送主机计算的加密校验结果进行校验。如果校验通过,相应的地址空间将被写入对应的校验数据,否则将不能进行写数据操作。同理,主机对用户分区的读操作也类似。
4 系统应用与测试
经应用测试,本文开发设计的电梯智能控制管理系统使用光耦模拟按键信号,实现完全的物理隔离且功耗极小,满足非传统的感应式按键电梯的使用需求,同时引入独立的遥控模块,通过遥控可以实现一键开梯,一键锁梯,多方面保证在特殊情况下完全恢复电梯的正常运行。
本系统从系统用卡、硬件保护、双重认证加密手段等多方面保证系统的客户信息安全。通过多家酒店(例如南京国际博览中心酒店、南京金凌江滨酒店等)应用实践表明:使用以上方法的确能有效防止系统用卡的克隆和信息复制,提高了系统的安全性且占用MCU硬件资源较少。
5 结 语
文中以STC11F16XE芯片为微控制器,不仅负责控制电梯的升降,而且负责用户身份识别的信息通信与处理,同时还给出了实现电梯双重安全身份认证智能控制管理系统的整体设计,其中包括硬件部分和软件部分。采用AT88SC6416CRF射频智能卡作为系统用卡,采用AT88RF1354芯片作为射频读卡器,同时采用AT88SC118作为安全认证存储芯片,其中射频卡和安全存储芯片各自认证的同时又进行交叉认证,完成整个系统的双重认证,实现从射频卡、读写器和电梯控制器数据传输网络三方面的信息安全传输。本系统的测试结果表明,系统运行稳定,能达到实时对系统用卡个性信息的保护,基本满足用户的需要。
参考文献
[1] 李晖,夏伟,邓冠阳,等.超轻量级双向认证协议PUMAP的安全性分析[J].北京理工大学学报,2013,12(33):1259⁃1262.
[2] 马昌社.前向隐私安全的低成本RFID认证协议[J].计算机学报,2011,34(8):1387⁃1398.
[3] 杨小林.跨省智能卡应用中的高安全密钥体系设计[D].上海:复旦大学,2012.
[4] NOHL K, EVANS D, STARBUG S, et al. Reverse⁃engineering a cryptographic RFID tag [C]// Proceedings of 2008 the 17th USENIX Security Symposium. [S.l.]: ACM, 2008.
[5] 吴金宏,张连中,刘丽娜.光电开关及其应用[J].国外电子元器件,2001(5):14⁃18.
[6] 王彦文,薄勇,孙素丽.加密存储芯片AT88SC1616的原理与应用技术[J].计算机与嵌入式系统应用,2004,12(10):39⁃42.
[7] 潘永雄,胡敏强,李小伟.单片机控制程序加密策略探索与应用[J].计算机工程与设计,2010,31(11):2466⁃2469.
[8] Atmel. Crypto memory specification for AT88SC0101C~25616C [R]. US: Atmel, 2003.