基于近場支付的中繼攻擊與PBOC協(xié)議安全漏洞分析摘要：移動支付作為當(dāng)今移動互聯(lián)行業(yè)中迅速發(fā)展起來的服務(wù)方式，在人們生活中占據(jù)著越來越重要的位置，但隨即而來的支付安全問題也不容忽視。本文分析了當(dāng)前形勢下近距離移動支付過程中存在的安全問題，將市政公交一卡通的圈存以及余額查詢過程作為研究的切入點(diǎn)，實現(xiàn)了其中一種攻擊方式——中繼攻擊，利用PN532設(shè)備對用戶數(shù)據(jù)進(jìn)行監(jiān)聽和轉(zhuǎn)播。并針對PBOC行業(yè)規(guī)范中電子錢包圈存和消費(fèi)報文的數(shù)據(jù)域格式，分析其中存在的弱點(diǎn)以及對應(yīng)的對抗措施。0引言移動支付是一種允許用戶使用其移動設(shè)備對所消費(fèi)的商品或服務(wù)進(jìn)行賬務(wù)支付的服務(wù)方式，在人們生活節(jié)奏越來越快的今天，移動支付帶來的便利使它在支付行業(yè)內(nèi)占據(jù)著重要位置。移動支付主要分為近場支付和遠(yuǎn)程支付兩種，對于近場支付而言，將具備相關(guān)功能的移動設(shè)備或智能卡在閱讀器終端近距離處感應(yīng)，即可迅速實現(xiàn)關(guān)鍵信息的交互(金融交易)。但與此同時，大量敏感信息的空中傳輸必然帶來很多潛在的安全威脅。事實上，針對目前已有的手機(jī)電子錢包應(yīng)用，例如：GoogleWallet，研究人士已經(jīng)指出其存在著安全漏洞，并且該漏洞使得用戶識別碼遭到了破解，移動支付過程中的安全問題由此被重視起來。竊聽、數(shù)據(jù)損壞、網(wǎng)絡(luò)釣魚、重放和中繼等一系列數(shù)據(jù)攻擊方式，是通信安全領(lǐng)域的學(xué)者所研究的重點(diǎn)，本文將針對其中的中繼攻擊展開討論，采用該攻擊方式監(jiān)聽并轉(zhuǎn)播通信數(shù)據(jù)，長其通信距離至1m以上(轉(zhuǎn)播工具的不同將使通信距離達(dá)到更長)，這使得原本限定在10cm范圍內(nèi)進(jìn)行通信的支付方式失去了有力保障，而另一方面，我們發(fā)現(xiàn)PBOC中對于電子錢包交易的報文規(guī)范也存在著弱點(diǎn)，攻擊者在獲得其通信數(shù)據(jù)之后，對于數(shù)據(jù)的分析和利用將直接引起該類支付業(yè)務(wù)的混亂。1近場支付及其安全性討論近場支付是指消費(fèi)者在購買商品或服務(wù)時，即時通過手機(jī)或者CPU卡片與商家進(jìn)行交易的一種支付方式。支付的處理在現(xiàn)場進(jìn)行，使用非接觸式射頻識別(RFID和NFC)、紅外、藍(lán)牙等通道，實現(xiàn)手機(jī)和卡片在短距離內(nèi)與自動售貨機(jī)或POS機(jī)等兼容設(shè)備的識別和數(shù)據(jù)交換。2012年12月，央行正式發(fā)布移動支付系列技術(shù)標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)涵蓋了應(yīng)用基礎(chǔ)、安全保障、設(shè)備、支付應(yīng)用、聯(lián)網(wǎng)通用5大類35項標(biāo)準(zhǔn)，從產(chǎn)品形態(tài)、業(yè)務(wù)模式、聯(lián)網(wǎng)通用、安全保障等方面明確了系統(tǒng)化的技術(shù)要求，為近場支付的普及提供技術(shù)規(guī)范。于此同時，隨著移動支付平臺的正式上線，近場支付大規(guī)模發(fā)展的條件也已經(jīng)成熟。各種主流技術(shù)的出現(xiàn)為支付行業(yè)提供了更多可能，近場支付有其無可替代的便捷性，但在使用的同時，人們對于其安全性的關(guān)注度也越來越高，非法盜取用戶信息以及用戶賬號的現(xiàn)象普遍存在著。中繼攻擊作為近場支付過程中存在的安全隱患之一，關(guān)鍵在于其致力于監(jiān)聽和轉(zhuǎn)播合法的通訊過程，并對收集的數(shù)據(jù)信息進(jìn)行分析，在必要時候予以篡改或執(zhí)行其他非法操作。如圖1所示：設(shè)備A與設(shè)備B間建立的數(shù)據(jù)通道被第三方介入，使得整個通信過程中的數(shù)據(jù)在合法雙方不知情的狀態(tài)下，都經(jīng)由第三方才抵達(dá)另一端的設(shè)備，最終導(dǎo)致數(shù)據(jù)的泄露。圖1中繼攻擊基本原理最早中繼攻擊的實現(xiàn)是Hancke[4]于2005年用UHF天線連接Proxy(攻擊設(shè)備)，從而完成兩個設(shè)備間模擬數(shù)據(jù)的轉(zhuǎn)播，并將由于轉(zhuǎn)播所造成的延時降低到15-20μs。而后Weiss利用NFC移動設(shè)備作為proxy，也獲得了相似的結(jié)果[5]，事實上，就此利用兩部NokiaNFC手機(jī)便能夠?qū)崿F(xiàn)P2P模式以及閱讀器標(biāo)簽?zāi)Ｊ较逻M(jìn)行通信的中繼攻擊[6][7][8]。雖然這些已經(jīng)是攻擊成功的實證，但在國內(nèi)，對于中繼攻擊的相關(guān)研究仍然不多，而在其實現(xiàn)和數(shù)據(jù)利用上更是缺乏探討。P2P模式和閱讀器標(biāo)簽?zāi)Ｊ皆谝苿又Ц懂?dāng)中的應(yīng)用非常廣，而恰恰這兩種模式下的中繼攻擊也很容易實現(xiàn)，就目前的研究成果而言，從能夠進(jìn)行數(shù)據(jù)轉(zhuǎn)播，延長通信距離這一點(diǎn)來看，中繼攻擊對于移動支付充值等操作的威脅就足夠引起重視，當(dāng)卡片或者手機(jī)內(nèi)信息在與外界POS進(jìn)行交互時，攻擊者通過簡單而不易察覺的方式即可獲得這些數(shù)據(jù)繼而進(jìn)行其他操作。2中繼攻擊的模型設(shè)計2.1中繼攻擊模型根據(jù)中繼攻擊的原理，構(gòu)建如圖2所示模型，ProxyReader和ProxyTag分別作為與合法用戶通信的對應(yīng)端代理(即攻擊者)，數(shù)據(jù)的流向原本從CPU卡至NFC閱讀器，變更成為從CPU卡經(jīng)由ProxyReader、PC機(jī)和ProxyTag到達(dá)NFC閱讀器，整個攻擊建立在合法用戶都認(rèn)為彼此正處于較近的距離進(jìn)行通信的假設(shè)上，而事實上，由于攻擊者的介入，合法用戶將認(rèn)為與其通信的Proxys即為合法設(shè)備，攻擊者從而最終延長了其通信距離，并獲得通信中的所有數(shù)據(jù)，甚至能夠在短時間內(nèi)取代合法用戶單獨(dú)進(jìn)行數(shù)據(jù)的通信(重放)。圖2中繼攻擊模型2.2功能模塊根據(jù)中繼攻擊模型設(shè)計，兩個PN532模塊分別模擬合法的兩個通信設(shè)備，作為ProxyReader和ProxyTag，利用與PC機(jī)之間的數(shù)據(jù)線連接所構(gòu)建的轉(zhuǎn)播通道，使數(shù)據(jù)遠(yuǎn)距離地在攻擊設(shè)備之間進(jìn)行傳輸。2.2.1PN532PN532是一個高度集成的非接觸讀寫芯片，它包含80C51微控制器內(nèi)核，集成了13.56MHz下的各種主動/被動式非接觸通信方法和協(xié)議。PN532傳輸模塊支持6種不同的工作模式，分別由讀寫器模式和卡操作模式對應(yīng)不同通信協(xié)議機(jī)制構(gòu)成，包括ISO/IEC14443A/MIFARE/Felica等。在本次模型構(gòu)建中，ProxyReader一直處于閱讀器模式，將ProxyTag接收到的數(shù)據(jù)轉(zhuǎn)播給CPU卡;而ProxyTag則設(shè)置為卡模擬模式，實時地反饋相應(yīng)數(shù)據(jù)給NFC閱讀器，完成一個讀卡響應(yīng)的過程。2.2.2PC端在Linux環(huán)境下編譯安裝libnfc庫，連接PN532設(shè)備，在相關(guān)程序的支撐下，PN532分別開始探測兩個設(shè)備，并由此開啟整個數(shù)據(jù)轉(zhuǎn)播的過程，同時將兩個PN532接收到的數(shù)據(jù)依次呈現(xiàn)，如圖3所示：圖3攻擊市政公交一卡通充值過程3中繼攻擊的實現(xiàn)與協(xié)議分析結(jié)論3.1監(jiān)聽數(shù)據(jù)分析基于PN532設(shè)備實現(xiàn)中繼攻擊的過程，將經(jīng)歷其探測周圍標(biāo)簽的準(zhǔn)備階段和對傳輸數(shù)據(jù)的實時轉(zhuǎn)播階段，以下將對北京市政公交一卡通的充值和余額查詢過程進(jìn)行攻擊，并探討其間存在的安全問題。依據(jù)模型設(shè)計，圖4和圖5為攻擊過程中PC機(jī)上顯示的監(jiān)聽數(shù)據(jù)結(jié)果。通過采用合法設(shè)備e樂充(閱讀器)連接PC，通過指定網(wǎng)站做一卡通的充值和余額查詢操作，同時攻擊者對其進(jìn)行監(jiān)聽。由攻擊結(jié)果可知，無論是充值還是余額查詢操作，通信過程中的數(shù)據(jù)都將被完整地截獲，卡片的通信完全符合ISO-14443協(xié)議和PBOC協(xié)議，在對卡片進(jìn)行“喚醒”操作后，將對應(yīng)操作的指令下發(fā)給卡片后，卡號、余額、交易記錄、圈存記錄等信息將以明文的形式完整地返回，直接泄露了卡片內(nèi)數(shù)據(jù)及其數(shù)據(jù)存儲文件位置信息。圖4市政公交一卡通余額查詢過程圖5市政公交一卡通充值過程3.2PBOC電子錢包協(xié)議弱點(diǎn)通過中繼攻擊能夠輕易獲取各種交易過程中的數(shù)據(jù)信息，這為攻擊者分析其中的漏洞弱點(diǎn)提供了便利，在信息傳輸?shù)倪^程中，盡管所有報文都遵循PBOC規(guī)范，結(jié)合相關(guān)數(shù)據(jù)發(fā)現(xiàn)，關(guān)于電子錢包應(yīng)用部分的協(xié)議存在著以下弱點(diǎn)。3.2.1隨機(jī)數(shù)的可預(yù)測性隨機(jī)數(shù)的生成作為EMV標(biāo)準(zhǔn)和PBOC《中國金融集成電路(IC)卡規(guī)范》中共有的認(rèn)證協(xié)議之一，其作用在于確保當(dāng)前的安全報文都能夠區(qū)別于之前的操作，在一定程度上有效抵御重放等利用以往交易數(shù)據(jù)再次進(jìn)行交易的攻擊方式。事實上，根據(jù)國外相關(guān)研究及調(diào)研成果表明，在實際應(yīng)用中，基于偽隨機(jī)數(shù)發(fā)生器或其他弱隨機(jī)算法而產(chǎn)生隨機(jī)數(shù)的場景普遍存在[10]，這使得隨機(jī)數(shù)成為一系列可預(yù)測的數(shù)據(jù)，一旦被攻擊者利用，將造成嚴(yán)重的影響?；谥欣^攻擊方式能夠獲得各種交易中的大量隨機(jī)數(shù)樣本，從而為針對該隨機(jī)數(shù)隨機(jī)性的檢測提供了極大便利，在當(dāng)今智能卡端、移動設(shè)備端以及POS端，都不能完全保證其隨機(jī)數(shù)都是利用真隨機(jī)數(shù)發(fā)生器所產(chǎn)生，因此在一定程度上，這些隨機(jī)數(shù)的質(zhì)量將對支付交易的安全具有決定性的影響。3.2.2交易序號的規(guī)律性對于電子錢包應(yīng)用的消費(fèi)過程，攻擊者目的在于利用非法卡片在合法交易終端上進(jìn)行消費(fèi)，因此，當(dāng)交易雙方進(jìn)行兩步認(rèn)證時，攻擊者只需在第二步中響應(yīng)以正確的MAC2值[11]，即可實現(xiàn)對電子錢包消費(fèi)過程的有效攻擊，其中MAC2的生成過程如下所示：該數(shù)據(jù)來源于復(fù)旦FM1208CPU卡的消費(fèi)過程，其中過程密鑰(SessionKey)對交易金額進(jìn)行MAC加密后即成為響應(yīng)的MAC2值，而過程密鑰的生成取決于終端交易序號后2字節(jié)，終端交易序號在交易終端每進(jìn)行一次交易之后，由內(nèi)部交易計數(shù)器的變化決定，這一類計數(shù)器普遍存在著自身的規(guī)律性，基本呈現(xiàn)為加1操作(依據(jù)所監(jiān)測數(shù)據(jù)具體而定)。針對這一弱點(diǎn)，攻擊者如果利用特定設(shè)備在合法終端做實時監(jiān)聽而獲得此刻終端交易序號，通過遍歷已建立的2^16規(guī)模的交易序號查找表，確定出下一次卡片將響應(yīng)的正確數(shù)據(jù)流，最終實現(xiàn)同等金額的非法消費(fèi)。3.2.3過程密鑰的可破解性在近場支付中，電子錢包的圈存和消費(fèi)是值得關(guān)注的，分析FM1208CPU卡的數(shù)據(jù)生成過程，所涉及的加密算法包括3DES和MAC，其中MAC算法為PBOC-MAC，對于核心算法為DES的MAC加密方式，早在1998構(gòu)建的硬件機(jī)器——DeepCrack即能實現(xiàn)在平均15天內(nèi)破解DES密鑰，到2006年，COPACOBANA機(jī)器則采用FPGA將搜索時間縮短至平均不到7天，而成本僅需1萬美元。2010年，關(guān)于利用GPU的并行計算方式的應(yīng)用不斷引起人們的關(guān)注，在相關(guān)文獻(xiàn)中更采用Bit-Slice算法將軟件方式下實現(xiàn)DES密鑰的破解速度提升到373.58Mkey/S，并最終在最短18天(48塊顯卡并行運(yùn)算)[12]內(nèi)完成了密鑰的遍歷。對比2010年CUDA實現(xiàn)DES破解時所采用的顯卡GeForceGTX260，當(dāng)今顯卡以其4倍以上的流處理器數(shù)量進(jìn)行并行運(yùn)算，同時所比較的密文僅為8字節(jié)加密結(jié)果的前4字節(jié)，筆者分析，密鑰的破解速度將在理論上提高至1.5GKey/S以上，這意味著若同樣采用48塊顯卡并行運(yùn)算，將在5天內(nèi)獲得其密鑰，而整個過程對設(shè)備的要求僅僅是滿足CUDA計算功能的普通個人PC機(jī)，相關(guān)密鑰破解工作正在展開，并在未優(yōu)化的前提下，采用BitSliced算法獲得575MKey/S的破解速度。由此分析，若采用僵尸網(wǎng)絡(luò)，使更多PC機(jī)協(xié)同工作，破解密鑰將能在數(shù)小時內(nèi)實現(xiàn)。結(jié)合前文所述消費(fèi)過程，攻擊者利用所破解的過程密鑰對不同消費(fèi)金額進(jìn)行加密生成合法MAC2值，就能夠偽造不同消費(fèi)金額的消費(fèi)過程，從而使移動支付過程中的安全問題更加凸顯。4對抗措施分析目前對近距離通信中存在的安全威脅，各行各業(yè)在進(jìn)行著不斷的研究，此類繞過傳統(tǒng)應(yīng)用層加密的攻擊方式，在防范起來有一定的困難，無疑需要在身份認(rèn)證和加密機(jī)制下提供額外的安全措施。在應(yīng)對中繼攻擊的對策上，目前最為可行的方法是采取位置距離綁定，即通過比對節(jié)點(diǎn)間的位置來檢測其相互距離[9]，以此確保合法的用戶間通信確實是近場范圍內(nèi)，降低其被竊聽和不知情情況下遠(yuǎn)距離消費(fèi)的可能性。同時在通信數(shù)據(jù)中加入時間戳和額外的認(rèn)證機(jī)制(例如數(shù)字簽名)能夠防止數(shù)據(jù)被攻擊者篡改。針對PBOC電子錢包協(xié)議的弱點(diǎn)，從隨機(jī)數(shù)的可預(yù)測性方面而言，需要保證智能卡端、移動設(shè)備端以及POS機(jī)端都能夠產(chǎn)生真隨機(jī)數(shù)，即不采用諸如偽隨機(jī)數(shù)發(fā)生器、rand()函數(shù)等使用場景對安全性要求不高的隨機(jī)數(shù)產(chǎn)生方式;另一方面，對于交易序號的規(guī)律性，若在交易序號中引入部分隨機(jī)性，使得其同樣具有不可預(yù)測性;在對MAC密鑰進(jìn)行破解研究的過程中發(fā)現(xiàn)，MAC算法的初始向量起著很大的作用，這一點(diǎn)與單純的DES等加密算法的密鑰破解所不同，當(dāng)輸入數(shù)據(jù)與初始向量(不為0)進(jìn)行異或后，破解工作將變得更為困難，而在MAC計算中用3DES來取代DES，也為降低其過程密鑰被破解的風(fēng)險提供了有力保證。5對抗措施分析近年來，隨著移動互聯(lián)網(wǎng)的日益完善，人們快節(jié)奏的生活方式使移動支付的應(yīng)用也越來越廣泛，而涉及金錢交易和個人信息交互的業(yè)務(wù)無疑是安全性最需要保證的領(lǐng)域之一。中繼