第7章无线射频识别技术中的安全性
懦夫博弈射频识别系统广泛应用于物理对象的识别。目前已被应用于货物供应链、库存管理等的产品认证、图书馆图书认证等领域。RFID受制于廉价标签的计算和数据存储能力,容易受到包括隐私问题在内的各种安全威胁。RFID系统必须使安全识别以及其他相关安全问题得到可靠解决。
7.1 RFID中的攻击
7.1.1 安全需求
RFID技术可能代替条形码技术。但RFID技术带来的新的风险需要考虑。当一个条形码阅读器失败时,可以手动输入代码进入终端维持系统继续工作。但当RFID读写器处理大量物品,并且物品以高速移动,RFID读写器失败则会导致严重的后果。因此,RFID安全需求应该被视为处于优先级。
典型的RFID系统主要包括三个部分:应答器或RFID标签、收发器或RFID 读写器以及后端服务器(图7-1)。RFID读写器或应答器由RF模块、控制单元和一个耦合器组成。这些组成部分为应答器提供了不同类型的各种功能,例如巡查、功率估计、识别、读、写,且可具有扩展存储和处理能力。它们与后端服务器进行通信,可代替标签执行一些复杂的密码操作。标签与读写器之间的通信信道通常认为是不安全的,主要是因为该通道是基于空中接口的,而读写器和后台服务器之间的通信信道通常认为是安全的。读写器可以是手持设备也可以是基于无线网络的移动设备。
图7-1 典型RFID系统
后端服务器通常由一个数据库和处理逻辑组成。它从读写器获取数据,为数据提供进入数据库的通道,数据将被存储在数据库中。数据库中包含每个标签的标准工资表格式
数据,就像管理唯一标示符、关键字、随机识别符或者其它基元。当然,数据库也保存事务日志、产品信息以及关键管理数据。后台服务器与读写器之间的通信信道被认为是安全的。
减小对数据和计算资源的机密性(Confidentiality)、完整性(Integrity)、有效性(Availability)威胁至关重要。机密性、完整性、有效性被称为安全三角,如图7-2。
Availability Integrity FIGURE 2.1Three pillars of curity:the CIA triad.2.1.3S ECURITY N EEDS
As any other mission-critical system,it is important to minimize the threats to the confidentiality,integrity,and availability (CIA)of data and computing resources.The three factors are often referred to as “The Big Three.”Figure 2.1illustrates the balance between the three factors.
圆的周长的公式
However,not all systems need the same curity level.For example,not all systems need 99.999percent availability or require that its urs be authenticated via retinal scans.Becau of this,it is
necessary to analyze and evaluate each system (nsitivity of the data,potential loss from incidents,criticality of the mission,etc.)to determine the CIA requirements.To give another example,the curity requirements of tags ud in e-passports should not equal tho employed in t
he supply chain (i.e.,tag compliant to EPC Class-1Generation-2).Confidentiality :The information is accessible only to tho authorized for access.Privacy informa-
tion,such as the static identifiers transmitted by tags,fits into the confidentiality dimension.Both urs and companies consider this issue of utmost importance.Furthermore,RFID tech-nology allows the tracking of items.From a ur perspective,tracking should be avoided.However,companies may control the movements of materials in the supply chains,increasing the productivity of their process.Integrity :The assurance that the messages transmitted between two parties are not modified in transit.Additionally,some systems provide the authenticity of messages.The receipt is able to prove that a message was originated by the purported nder and is not a forgery (nonrepudiation).An example of this kind of attack is the spoofing attack.Availability :System availability is whether (or how often)a system is available for u by its intended urs.This factor will determine the performance and the scalability level of the system.Denial-of-rvice (DoS)attacks are usual threats for availability (i.e.,active jamming of the radio channel or preventing the normal operation of vicinity tags by using some kind of blocker tag).
Each time a new technology is implanted,contingency plans for various points of failure should be designed.We recommend periodical curity audits to review the curity polices,procedures,and IT i
nfrastructures.As has been frequently mentioned,RFID technology may be a replacement for bar-code technology.Nevertheless,new risk scenarios should be considered with its implantation.For example,consider the repercussions of a bar-code reader failing or an RFID reading going down.When a bar-code reader fails,an operator can manually enter the codes into the terminal and the system works,albeit with relatively slowness.On the other hand,if the RFID reader is processing
图 7-2 安全三角
结牧菜机密性(Confidentiality ):只有经过授权访问的人员才可以访问的信息。确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体,对数据和资源提供保护。隐私信息,如通过标签传输的静态标示符,属于机密性维度。此外,RFID 技术允许跟踪条目。从用户角度来说,应避免跟踪技术。 完整性(Integrity):确保消息在两者之间传播未被修改。包括数据完整性和身份完整性,确保信息在存储、使用、传输过程中不会被非授权用户篡改,同时还要防止授权用户对系统及信息进行不恰当的篡改,保持信息内、外部表示的一致性。此外,一些系统提供信息的认证。能够证明消息是来自确定的的发送方而非伪造。完整性攻击的一个例子是欺骗攻击。 有效性(Availability ):系统的有效性是指一个系统是否可以供用户有效使用。确保授权用户或实体对信息及资源的正常使用不会被异常拒绝,允许其可靠而及时地访问信息及资源。这一因素将决定系统的性能和水平。拒绝服务攻击通常威胁到系统的有效性。 7.1.2 主要安全问题 保障系统安全的最好方法是了解系统是如何被攻击的。RFID 没
有不同于其它的技术,因此关于RFID 可能受到的攻击应深入研究。攻击的范围程度相差很大,一些攻击集中于系统的一个特殊部分如电子标签,而其它攻击则把整个系统作为攻击的目标。
RFID系统的主要安全威胁有以下几类:
(1)隐私
RFID技术安全的一个重要的问题是隐私问题。电子标签在发送数据时容易泄漏敏感信息。通常当读写器询问标签时不经过身份验证,且标签以透明和不加区别的方式应答。有关用户(例如银行数据、医疗数据等)敏感数据能在读写器和标签通信过程中在用户毫不知情的情况下发生泄漏。如在医院窃听者可以通过安装读写器读取患者购买的药物。
因此提出了各种确保数据在读写器和标签间安全传输的安全措施。
(2)位置跟踪
如果RFID 系统认证过程中,标签每次的响应信息都是不更新的,那么攻击者就会根据这些信息对标签进行跟踪。位置隐私可看作是隐私信息的部分内容。
RFID标签没有存储和传输大量信息的能力。当一个RFID系统中存在数据库,标签可能只传送一个标
识符。这个标识符被用作数据库中的索引用来获得所有和标签相关的信息。因此,只有可以访问数据库的人才能掌握相关标记项的信息。大多数时候标签提供相同的标识内容。尽管攻击者不能获得标记项的信息,但是很容易建立标记及其持有人之间的一个关联。即使在单个标记中只包含产品代码,而不是一个独特的序列号,仍可能使用一组标签(排列)跟踪。
装备跟踪人们手持RFID标签的装备不是很昂贵。RFID技术不是一个高科技窃听装置。它不具备GPS功能或和卫星交流的能力。
(3)窃听
RFID通过无线电操作,由于阅读器和标签的通信是无线通信,通讯信息能被窃听。攻击者在意想不到的情况下对信息进行拦截和接收。攻击者能够在标签与读写器交换数据时窃听,分类如下,见图7-3。
操作范围(Operating range):操作读范围使用商品标准读写器的作用范围。
前向通道窃听范围(Forward channel eavesdropping range):在读写器-标签通道(前向通道)中读写器广播很强的信号,允许远程监视。
反向通道窃听范围(Backward channel eavesdropping range):在标签-读写器通道(反向通道)中传输的信号相对较弱,可能仅在距离标签较近的地方能被监视。
爸爸干儿子恶意扫描范围(Malicious scanning range):攻击者可建立自己读写器能到达的较长读取范围。读写器与标签的远距离通信比两者之间的直接通信更可能被窃
听。例如,服从ISO 14443标准的标签有一个大约10cm的读距离。然而,这个距离通过一个环形天线和信号处理能增加到55cm。
Operating range
FIGURE 2.2Eavesdropping range classification.(From Ranasinghe,D.C.and Cole,P.H.,Confronting curity and privacy threats in modern RFID systems.In Proceedings of ACSSC06,2006,pp.2058–2064. With permission.)
Malicious scanning range:An adversary may build his own reader-archiving longer read ranges, especially if regulations about radio devices are not respected.A conversation between a reader
and a tag can be eavesdropped over a greater distance than is possible with direct communi-
cation.For example,tags compliant to ISO14443have a reading distance of around10cm
(using standard equipment).However,Kfir et al.showed that this distance can be incread to
55cm employing a loop antenna and signal processing[36].
Eavesdropping is particular problematic for two reasons:
1.Feasibility:it can be accomplished from long distances.
2.Detection difficulty:it is purely passive and does not imply power signal emission.
Eavesdropping attacks are a rious threat mainly when nsitive information is transmitted on
the channel.To give an example,we consider the u of RFID technology in payments cards(RFID credit cards)[37].In an eavesdropping attack,information exchanged between the credit card reader and the RFID credit card is captured.Heydt-Banjamin et al.showed how this attack can be carried
out[38].An antenna was located next to an off-the-shelf RFID credit card reader.The radio signal picked up by the antenna was procesd to translate it into human readable form.In particular,
the following pieces of data were captured:cardholder name,complete credit card number,credit card expiry date,credit card type,and finally information about software version and supported communications protocols.As the above example shows,eavesdropping attacks should therefore be considered and treated riously.
桥课文
2.3.3A UTHENTICATION
Entity authentication allows the verification of the identity of one entity by another.The authenticity足内翻怎么矫正
of the claimed entity can only be ascertained for the instant of the authentication exchange.A cure means of communication should be ud to provide authenticity of the subquent data exchanged.
To prevent replay attacks,a time-variant parameter,such as a time stamp,a quence number,or a challenge may be ud.The messages exchanged between entities are called tokens.At least one token
ß2008by Taylor&Francis Group,LLC.
图7.3 窃听范围分类
(4)物理攻击
抓住机遇的名言物理攻击一般是在实验室对标签的物理信息进行篡改,典型的例子是探针攻击、通过定向填充或水腐蚀去除材料、辐射印记、电路中断等。
(5)拒绝服务攻击(denial of rvice)
又称淹没攻击。通过人为的发送大量的系统命令,使系统超负荷工作,直至系统崩溃。当数据量超过服务器的处理能力导致信号淹没时,则会发生拒绝攻击。在RFID系统中还可以通过射频阻塞(RF jamming),即用噪声信号淹没射频信号导致系统失效。
(6)欺骗攻击
非法入侵者向阅读器和标签发送一些与真实的信息相似的虚假信息。欺骗是攻击者通过成功模仿一个合法标签进行的欺骗攻击,例如对中间人的攻击。这种攻击主要发生在系统认证过程中,以此来干扰系统正常的认证。
(7)重播攻击
如果RFID 系统认证过程中的消息不是动态更新的,那么不法分子在截获到这些信息后,可以作为有效信息继续发送给系统,那么RFID 系统仍然会做出相应,以此来干扰正常的认证过程。
(8)插入攻击
指的是在RFID 系统认证过程中,在认证信息中插入一些其他数据信息,以此来破坏认证信息,干扰正常认证。比如,在认证阶段,阅读器向标签发送的信息,插入认证请求命令Query,那么标签将无法完成正常认证。
(9)非法读取
主要出现在没有任何安全机制的RFID 系统中,非法阅读器对合法的标签随意进行扫描,从而获取一些消费者的隐私信息。
(10)克隆
即创建和一个相同的新RFID标签。
7.2 密码学基本概念
密码技术是一门古老的技术;信息安全服务要依赖各种安全机制来实现,而许多安全机制则需要依赖于密码技术;密码学贯穿于网络信息安全的整个过程,在解决信息的机密性保护、可鉴别性、完整性保护和信息抗抵赖性等方面发挥着极其重要的作用。密码学是信息安全学科建设和信息系统安全工程实践的基础理论之一。对密码学或密码技术一无所知的人不可能从技术层面上完全理解信息安全。
7.2.1密码系统的概念
密码技术一个基本功能是实现保密通信,经典的保密通信模型如图7-4所示。
图7-4 典型保密通信模型
几个基本概念与符号:
明文(Plaintext):待伪装或加密的消息(Message)。在通信系统中它可能是比特流,如文本、位图、数字化的语音流或数字化的视频图像等。一般可以简单的认为明文是有意义的字符或比特集,或通过某种公开的编码标准就能获得的消息。明文常用m或p表示。
密文(Ciphertext):对明文施加某种伪装或变换后的输出,也可认为是不可直接理解的字符或比特集,密文常用c表示。
