我正在創建一個使用NTAG203標籤識別帳戶的系統。標籤格式如下:NTAG203標籤的複製
Android應用讀取標籤的唯一ID。
標籤ID發送到Web服務器。
Web服務器創建一個新帳戶記錄,在新帳戶ID與標籤ID和存儲哈希和鹽的新帳戶記錄的組合來創建一個哈希和鹽。
將散列返回給Android應用程序,然後將其寫入標記。
當標籤在將來被掃描時,哈希和標籤ID將被髮送到Web服務器進行驗證。
我的問題是,複製這樣的標籤有多容易?這將涉及創建一個具有相同唯一ID的標籤,這是可能的還是隻能由NXP創建芯片?
創建或修改標籤使其完全相同可能相當困難。但是,模擬這樣的標籤並不難。可以在互聯網上找到幾個可以做到這一點的硬件平臺或原理圖。
一般來說,這不是一個好主意,使你的安全依賴於一個硬件並非專門針對安全的ID或地址的唯一性。
你可以使用NDEF記錄類型「U」衆所周知類1型(刪除HTTP:\)或2型(降HTTPS:\)和寫保護成功寫在標記 - 記住,OTP還應該設置爲NDEF方面的工作,否則你將有一個TAG DISCOVERED或TECH DISCOVERED(這意味着它要麼有內容,要麼沒有NDEF,否則是一個空標籤)查找NFC的NDEF標準,這不是android框架,但被框架使用
陷阱標記ID(NDEF DISCOVERED或TECH DISCOVERED或TAG DISCOVERED) - 如果NDEF然後做服務器查找,否則視爲空標記 - 傳遞Ident(記住它的14A不是16A的圖像值!)到服務器進行查找,並在返回時執行死滴寫入(否則顯示按鈕和讓用戶按標籤出現)。 NDEF NFC的編碼和解碼操作將按照用戶手機設置進行,並由android自動完成。
設備的ISO14443(a,b,c)標籤的「仿真」方面仍處於初級階段,但如果存在Ident,則獲得的鎖定字段和用戶區域一致,相當難以複製 - 但增加了一些混淆,並且變得有趣。要求某些區域不能被寫入,或者鎖定位被取消,會讓你知道標籤是否被模擬。 NTAG201/NTAG203/MIFARE標籤免費提供,請在ebay上查看。
如果我使用Ultralight C標籤的加密功能,是否可以緩解克隆或模擬的問題? –
當您使用Ultralight C進行身份驗證時,標籤內容(的一部分)僅在閱讀器成功驗證後纔可讀。通過這種方式,您可以保護用於識別帳戶的信息。 (順便說一句:* read *命令的RF通信不受加密保護,理論上它可以被截取。) –