射频识别技术漫谈(12)——三次相互认证

射频识别系统中由于卡片和读写器并不是固定连接为一个不可分割的整体，二者在进行数据通讯前如何确信对方的合法身份就变得非常重要。根据安全级别的要求不同，有的系统不需认证对方的身份，例如大多数的TTF模式的卡片；有的系统只需要卡片认证读写器的身份或者读写器认证卡片的身份，称为单向认证；还有的系统不仅卡片要认证读写器的身份，读写器也要认证卡片的身份，这种认证我们称为相互认证。Mifare系列卡片中的认证就是相互认证。
最常见的认证是使用密码或者叫口令，就像特务见面，只要说对了口令(密码)就可以确信对方是自己人。直接说口令(密码)存在巨大的风险，万一被别人听到了后果不堪设想，所以最好不要直接说出密码，而是通过某种方式（运算）把密码隐含在一串数据里，这样不相干的人听到了也不知道什么意思。为了让隐含着密码的这一串数据没有规律性，对密码运算时一定要有随机数的参加。于是最常见的相互认证是双方见面时一方给另一方一个随机数，让对方利用密码和约定的算法对这个随机数进行运算，如果结果符合预期则认证通过，否则认证不通过。
“3”真是一个神奇的数字：做事的时候“三思而后行”才不会犯大错；刘备“三顾茅庐”才把诸葛亮请出山；TCP协议中经过“三次握手”就可以确信双方的连接是成功的。Mifare系列卡片采用的相互认证机制也被称为“三次相互认证”，如下图所示。

卡片认证读写器的合法性，先向读写器发送一个随机数，读写器用事先约定的有密码参与的算法对随机数进行运算，然后把运算的结果回送给卡片，卡片收到后检查这个结果对不对，如果对就通过认证，不对就没有通过认证，其情形就是上图中的图a。
读写器认证卡片也是向卡片发送一个随机数，卡片用事先约定的有密码参与的算法对随机数进行运算，然后把运算的结果回送给读写器，读写器收到后检查这个结果对不对，如果对就通过认证，不对就没有通过认证，其情形就是上图中的图b。
可见卡片和读写器认证对方时都是给对方一个随机数，对方返回对随机数的运算结果。这样的“一来一回”我们称之为“两次相互认证”。那么卡片与读写器互相认证就需要两个“一来一回”，应该称为“四次相互认证”才对啊？为什么是“三次相互认证”呢？上图中表现的很明显，读写器在回送对卡片随机数的运算结果时搭了一次便车，把自己认证卡片的随机数也一同送了过去，从而减少了一次数据传送，四次相互认证就变成了“三次相互认证”。
完整的相互认证过程如下：卡片先向读写器发送一个随机数B，读写器用事先约定的有密码参与的算法对随机数B进行运算，然后把运算的结果连同随机数A一起送给卡片，卡片收到后先检查读写器对随机数B运算的结果对不对，如果不对就不再往下进行，如果正确就对随机数A用事先约定的有密码参与的算法进行运算，然后把运算的结果送给读写器，读写器收到后检查这个结果对不对，如果对就通过认证，不对就没有通过认证，其情形就是上图中的图c。
认证的过程中多次提到“事先约定的算法”，到底是什么样的算法呢。这个没有具体规定，但有一个要求是必须的，就是这个算法一定要有密码和随机数的参与。比如Desfire中使用3DES算法，卡片的主密钥作为DES密钥对随机数进行DES运算。双方使用的“算法”以及“参加运算的密码”可以相同，也可以不同，这要看双方的约定。
认证完成后随机数也并不是就没有用了，这两个随机数的组合可以作为下一步操作的数据加密密钥，Desfire中就是这样。

审核编辑 黄宇