盧思佳，王金銘

（中國人民公安大學(xué)，北京 102623）

0 引 言

近場通信(Near Field Communication，NFC)技術(shù)是由非接觸式射頻識(shí)別RFID(Radio Frequency Identification)技術(shù)連同互聯(lián)互通技術(shù)整合演變而來，可以在較短的距離范圍內(nèi)與兼容設(shè)備實(shí)現(xiàn)相互的識(shí)別以及數(shù)據(jù)的交換[1]。該方法如今已經(jīng)成功演變成為短距離無線通信技術(shù)，發(fā)展十分迅速[2]。本文基于NFC相關(guān)技術(shù)，以手機(jī)“北京市政交通一卡通”即手機(jī)NFC交通卡為例，研究其數(shù)據(jù)存儲(chǔ)位置、提取方法以及對(duì)數(shù)據(jù)的分析，并實(shí)現(xiàn)最終獲得手機(jī)NFC交通卡內(nèi)近10次乘坐記錄的上下車位置、消費(fèi)、時(shí)間、交通卡號(hào)等信息，為公安工作提供偵查線索。

1 手機(jī)NFC技術(shù)簡介

1.1 手機(jī)NFC技術(shù)支持

將NFC芯片內(nèi)置于手機(jī)中可實(shí)現(xiàn)支付和信息讀取等功能。其硬件結(jié)構(gòu)有NFC控制器、基帶處理器、安全模塊三部分[3]。NFC控制器主要負(fù)責(zé)調(diào)配信號(hào)，切換手動(dòng)與自動(dòng)模式。基帶處理器是基礎(chǔ)模塊，提供應(yīng)用程序的聯(lián)系通路，具有NFC功能手機(jī)要求其基帶處理器能夠提供API，該API訪問NFC控制器。

根據(jù)NFC硬件結(jié)構(gòu)及相關(guān)技術(shù)支持，手機(jī)NFC支持讀卡器模式、仿真卡模式、點(diǎn)對(duì)點(diǎn)通信3種模式。讀卡器模式是通過支持NFC的手機(jī)從帶有NFC芯片的媒介中讀寫信息，并遵行智能卡的標(biāo)準(zhǔn) ISO/IEC 14443 Type A、 Type B 和 Felica[4]。仿真卡模式，是將NFC手機(jī)等電子設(shè)備當(dāng)成公交卡、門禁卡等IC卡使用。點(diǎn)對(duì)點(diǎn)通信模式用于NFC的手機(jī)設(shè)備可以和同樣具有該功能的其他設(shè)備建立起近距離通信鏈路，進(jìn)行數(shù)據(jù)交換和信息互換等功能。

1.2 NFC近場支付與數(shù)據(jù)存儲(chǔ)概述

使用手機(jī)NFC交通卡乘坐公交、地鐵是近場支付的主要應(yīng)用，移動(dòng)終端系統(tǒng)、受理終端系統(tǒng)和支付平臺(tái)系統(tǒng)是近場支付過程中主要涉及的三部分，在支付時(shí)移動(dòng)終端系統(tǒng)和受理系統(tǒng)交互完成近場通信，受理和支付平臺(tái)系統(tǒng)實(shí)現(xiàn)聯(lián)網(wǎng)通信。同時(shí)，分別將移動(dòng)終端系統(tǒng)和受理終端系統(tǒng)的通信稱為通信前端，將受理和支付系統(tǒng)之間的通信稱為通信后端。

2 手機(jī)NFC數(shù)據(jù)的提取方法

為探索NFC交通卡數(shù)據(jù)提取方法，首先要了解手機(jī)NFC功能的開啟方式，選取市面主流品牌小米、三星、華為3種手機(jī)進(jìn)行分析研究，經(jīng)實(shí)驗(yàn)發(fā)現(xiàn)華為、小米可在不解鎖情況下直接打開，而三星在點(diǎn)擊NFC標(biāo)識(shí)后提示需解鎖手機(jī)后才能開啟NFC功能。

根據(jù)對(duì)數(shù)據(jù)提取的進(jìn)一步探究，我們發(fā)現(xiàn)僅開啟NFC功能時(shí)，手機(jī)只處于被讀設(shè)備模式，打開軟件Nfcard后，讀卡手機(jī)調(diào)整為識(shí)讀設(shè)備，最后將卡貼取已解鎖的檢材手機(jī)，觀察數(shù)據(jù)提取情況。實(shí)驗(yàn)發(fā)現(xiàn)Nfcard軟件可以讀取檢材設(shè)備內(nèi)NFC交通卡內(nèi)信息，包括手機(jī)市政交通卡卡號(hào)、版本、生效日期、交易、余額以及10條交易記錄明細(xì)。

綜上，利用電子設(shè)備讀卡模式可以讀取到另一臺(tái)被讀設(shè)備的NFC交通卡信息，且實(shí)驗(yàn)發(fā)現(xiàn)如若在實(shí)際案件中所獲檢材手機(jī)品牌為華為或小米，可在未解鎖狀態(tài)下開啟NFC功能，如若是三星手機(jī)則需解鎖后可開啟NFC功能，如若檢材設(shè)備已開啟NFC功能，那么在未解鎖狀態(tài)下也可完成對(duì)檢材設(shè)備的數(shù)據(jù)提取。因手機(jī)NFC功能開啟后耗電量非常小，所以許多人在日常生活中都是保持手機(jī)NFC功能的開啟狀態(tài)，這類習(xí)慣性行為提供了便利的偵查條件。

3 手機(jī)NFC數(shù)據(jù)提取與分析

3.1 交通卡內(nèi)包含的基本數(shù)據(jù)

目前市面上發(fā)行許多讀取NFC交通卡的軟件，但各軟件讀取信息不盡相同，為此對(duì)常用的四款軟件進(jìn)行分析：小米錢包、Nfcard、北京一卡通、E卡貼軟件。在小米3手機(jī)上安裝軟件并讀取數(shù)據(jù)。

分析不同軟件讀取情況后發(fā)現(xiàn)手機(jī)NFC交通卡所包含的基本信息至少有交通卡類型、交通卡卡號(hào)、交通卡余額、交通卡有效期、10條交易記錄，及其對(duì)應(yīng)的消費(fèi)金額、日期（精確到秒）。然而上述信息不能準(zhǔn)確反映上下車的具體位置，不能滿足偵查過程的需要，為此，還需對(duì)卡內(nèi)的原始數(shù)據(jù)進(jìn)行探索。

3.2 NFC原始數(shù)據(jù)的提取與分析

Nfcard軟件解析出數(shù)據(jù)，說明具有相應(yīng)API即可讀取NFC交通卡的原始數(shù)據(jù)，之后，繼續(xù)解析。Androids studio軟件提供了集成Android開發(fā)工具用于開發(fā)和調(diào)試，該軟件具有debug功能，可供開發(fā)者對(duì)應(yīng)用進(jìn)行測試。為此，將Nfcard源代碼導(dǎo)入到Androids studio軟件中，嘗試提取原始數(shù)據(jù)。

制作名為“WJM”的原始數(shù)據(jù)讀取軟件，“WJM”發(fā)送指令00A0 0000 02 3F01到卡中，返回：

INFO->1000751123917598010200300000000000 0002016082520191130000000000007D091560000140 00000000000000000000000000000009000

其中[1000751123917598]代表卡號(hào)，[010200]代表版本，[2016082520191130]代表卡生效日期。發(fā)送805C 00 02 04，返回?cái)?shù)據(jù)BALANCE->000012C09000，[12C0]為十六進(jìn)制轉(zhuǎn)化為十進(jìn)制為4 800，其代表余額。隨后輸入00B2 01 C4 00，00B2 02 C4 00，00B2 03 C4 00…00B2 0A C4 00，測試發(fā)現(xiàn)最多可以讀取10條交易記錄，大于10條就會(huì)返回記錄未找到（6A83），交易記錄與Nfcard軟件解析后比較：

根據(jù)所得數(shù)據(jù)，結(jié)合Nfcard信息分析，發(fā)現(xiàn)黃色代表消費(fèi)金額，具體為-1—064、-2—0c8、-3—12c、-4—190、-5—1f4、-6—258、-7—2bc、-8—320、-9—384、-10—3e8，淺藍(lán)色為Nfcard軟件中的12位未知編碼，深藍(lán)色為刷卡時(shí)間，精確到秒。

由此，Nfcard內(nèi)顯示的12位未知編碼即為卡內(nèi)原始數(shù)據(jù)，且該編碼很可能涉及到乘車方式、站點(diǎn)等信息。此外，原始數(shù)據(jù)與Nfcard對(duì)應(yīng)的消費(fèi)記錄顯示的時(shí)間都對(duì)應(yīng)為下車或出站的時(shí)間，說明NFC卡原始數(shù)據(jù)中只包含消費(fèi)信息；而不同卡有上下車的信息，說明上下車信息取決于交通卡種類。

3.3 12位未知編碼的解析

為解析Nfcard軟件12位編碼，以NFC手機(jī)市政交通一卡通為研究對(duì)象，利用小米 Mix 2手機(jī)進(jìn)行乘車刷卡，分別在相鄰車站反復(fù)乘坐并記錄數(shù)據(jù)。

根據(jù)表1、2、3，a與b為同車不同站、同刷卡機(jī)刷卡，編碼相同，說明此編碼與公交站無關(guān)；b與c為同站不同車，編碼不同，說明此編碼與具體車輛有關(guān)；c與d為同車不同站、前后刷卡機(jī)分別刷卡，編碼值相鄰，說明此編碼與刷卡機(jī)有關(guān)，且相鄰刷卡機(jī)編號(hào)相鄰；此外，e與g為同閘口出站，編碼相同，f與h為相鄰閘口出站，編碼相鄰。

表1 乘坐954路，均從前門刷卡

表2 乘坐954路，前入后出

表3 乘坐4號(hào)線地鐵

分析得以下規(guī)律：位置編碼data[1]代表出行方式，如3為地鐵，0為公交；data[4：6]代表乘坐線路，如939代表乘坐大興線；data[8：12]為刷卡機(jī)編號(hào)，如高米店南站兩刷卡機(jī)編號(hào)為75、76，公交954某車上下車刷卡機(jī)編號(hào)為14385、14386。這12位編碼包含出行方式、出行線路及刷卡機(jī)編號(hào)等規(guī)律，為偵查工作的進(jìn)一步開展提供行動(dòng)指南。

3.4 數(shù)據(jù)庫的獲取及分析

原始編碼中只有 data[4：6]和 data[8：12]區(qū)域，能夠顯示站點(diǎn)。若知悉刷卡機(jī)編碼范圍，利用編碼數(shù)據(jù)中的刷卡機(jī)編號(hào)即可定位具體站點(diǎn)。

SQliteStudio是一種數(shù)據(jù)管理工具，將所獲數(shù)據(jù)庫導(dǎo)入，發(fā)現(xiàn)包含線路、站點(diǎn)位置等信息，為滿足偵查需要，對(duì)卡內(nèi)的原始數(shù)據(jù)進(jìn)行進(jìn)一步探索。

數(shù)據(jù)庫內(nèi)有“subway fees” “subway lines”“subway stations”及“subway code”等信息。其中，Lineid代表地鐵線路，如1號(hào)線（1）、2號(hào)線（2）等；Stationid代表站點(diǎn)，如1號(hào)線共23站，站點(diǎn)編號(hào) SQL顯示到23號(hào)；此外1、2號(hào)線交叉站點(diǎn)跟隨1號(hào)線站編號(hào)；最后，Exit代表出站口信息。

根據(jù)《公共交通NFC技術(shù)規(guī)范》，發(fā)送指令80 123 0xB0 0x7b ，對(duì)返回的最后一行數(shù)據(jù)進(jìn)行解析：

1904051936,5D15,018C,0A00,0020,0304,190 4052124,020D,02000000,00F4,0105,1904051936,5D15,1904058403,00000000000000009000

數(shù)據(jù)1904051936代表上車時(shí)間19年4月5日19點(diǎn)36分，5D15十進(jìn)制為23 829，在SQliteStudio數(shù)據(jù)庫中查詢?cè)摼幋a為新宮站，代表進(jìn)站口；190405212402代表下車時(shí)間為19年4月5日21點(diǎn)24分，020D十進(jìn)制為525，數(shù)據(jù)庫中查詢?cè)摼幋a代表東四十條，代表出站口。

為確證分析繼續(xù)實(shí)驗(yàn)，得到的原始數(shù)據(jù)：

1904071530,043D,0184,0300,00200306,1904071 556,5D1B0200,0000,00F4,0107,1904071530,043D,190 404,E803,00000000000000009000

比對(duì)實(shí)際乘坐過程， 1904071530與對(duì)應(yīng)進(jìn)站時(shí)間相符，該編碼代表進(jìn)站時(shí)間；043D十進(jìn)制為1 085，在SQliteStudio數(shù)據(jù)庫中查詢?cè)摼幋a為北京南站，與進(jìn)站口相符，該編碼代表進(jìn)站口。1904071556與對(duì)應(yīng)出站時(shí)間相符，該編碼代表出站時(shí)間，5D1B十進(jìn)制為23 835，在SQliteStudio數(shù)據(jù)庫中該編碼為高米店南，與出站口相符，該編碼代表出站口；且均對(duì)應(yīng)卡內(nèi)最后一條消費(fèi)記錄。說明最后乘坐地鐵會(huì)遺留包含進(jìn)出站時(shí)間、站口等信息。

4 結(jié) 語

本文研究的手機(jī)NFC交通卡刷卡記錄的提取方法與數(shù)據(jù)分析是國內(nèi)還未探索的一個(gè)全新領(lǐng)域，通過一系列研究開發(fā)了能夠讀取原始數(shù)據(jù)的“WJM”軟件，解析了12位未知編碼并獲取并分析出最后一次乘車的時(shí)間、地點(diǎn)等信息，為公安偵查提供指南。

首先，手機(jī)NFC交通卡內(nèi)包含交通卡卡號(hào)、交通卡類型、版本、交通卡余額、最近充值、有效期、近10條交易記錄、及其對(duì)應(yīng)的消費(fèi)金額、時(shí)間等信息。同時(shí)，NFC卡原始數(shù)據(jù)只包含消費(fèi)信息，上下車信息取決于交通卡種類。此外，用Nfcard軟件得到的12位編碼包含乘坐方式、乘坐線路及刷卡機(jī)編號(hào)等信息，且該編號(hào)具有一定規(guī)律。最后，根據(jù)NFC使用規(guī)范，發(fā)送相應(yīng)指令可以獲取最后一次乘車記錄，包含進(jìn)出站時(shí)間、地點(diǎn)等信息，根據(jù)上述信息描繪犯罪嫌疑人作案線路，根據(jù)線路縮小偵查范圍，推斷犯罪嫌疑人刷卡站點(diǎn)，鎖定犯罪的具體位置。

上述信息的獲取在實(shí)際偵查過程中可遇而不可求，在得知犯罪嫌疑人的刷卡地點(diǎn)和刷卡時(shí)間后，我們可以通過刷卡地點(diǎn)的監(jiān)控視頻快速鎖定犯罪嫌疑人，大大提升案件偵破的效率。