RFID系统安全与隐私

吉首大学信息科学与工程学院课程设计报告书课程：《物联网安全》课题：论述RFID系统安全与隐私姓名：黄涛学号：20124055069专业：通信工程（物联网方向）年级：2012级2015年6月第1章RFID安全的概述1.1概述无线射频识别（RFID）是一种远程存储和获取数据的方法，其中使用了一个称为标签（tag）的小设备。在典型的RFID系统中，每个物体装配这这样一个小的、低成本的标签。系统的目的就是使标签发射的数据能够被阅读器读取，并根据特殊的应用需求由后台服务器进行处理。标签发射的数据可能是身份、位置信息或携带物体的价格、颜色以及购买数据等。RFID标签被认为是条码的替代，具有体积小、易于嵌入物体中、无须接触就能大量的进行读取等优点。另外，RFID标识符较长，可使每一个物体具有一个唯一的编码，唯一性使得物体的跟踪称为可能，该特征可帮助企业防止被盗，改进库存管理，方便商店和仓库的清点。此外，使用RFID技术可极大的减少消费者在付款柜台前的等待时间。但是，随着RFID能力的提高和标签应用的日益普及，安全问题，特别是用户隐私问题变得日益严重。用户如果带有不安全的标签的产品，则可能在用户没有感知的情况下被附近的阅读器读取，从而泄露个人的敏感信息，例如金钱、药物、书等，特别是暴露用户的位置隐私，使得用户被跟踪。因此，在应用RFID时，必须仔细分析存在的安全威胁，研究和采取适当的安全措施，既需要技术当面的措施，也需要政策、法规方面的制约。1.2RFID的基本组成架构1)系统组成：RFID系统一般由标签、读写器、后台数据库三部分组成；2)工作原理：阅读器与标签之间通过无线信号建立双方通信的通道，阅读器通过天线发出电磁信号，电磁信号携带了阅读器向标签的查询指令。当标签处于阅读器工作范围时，标签将从电磁信号中获得指令数据和能量，并根据指令将标签标识和数据以电磁信号的形式发给阅读器，或根据阅读器的指令改写存储在RFID标签中的数据。阅读器可接受RFID标签发送的数据或向标签发送数据，并能通过标准接口与后台服务器通信网络进行对接，实现数据的通信传输；3)标签与读写器之间的通信通道：读写器到标签之间的信道称为前向信道，而标签到读写器的信道称为反向信道，读写器与标签之间的无线功率差别很大，前向信道的通信范围远远大于反向信道的通信范围；1.3RFID的安全和攻击模式1)信息及隐私泄露：指暴露标签发送的信息，该信息包括标签用户或识别对象的相关信息，例如，当RFID标签应用于图书馆管理时，图书馆信息是公开的，读者的读书信息任何其他人都可以获得。2)RFID的隐私威胁：RFID面临的隐私威胁包括标签信息泄露和利用标签的唯一标识符进行的恶意跟踪3)RFID的攻击模式：窃听：借助于技术设备和技术手段，不仅窃取语言信息，还窃取数据、文字和图像等信息。中间人攻击（man-in-the-middleattack):通过各种技术手段将受入侵者控制的一台阅读器虚拟放置在网络连接中的标签和阅读器之间，然后入侵者使中间人能够与原始RFID网络建立活动连接并允许其读取或修改传递的信息，然而两个原始RFID网络的用户却认为他们是在互相通信。欺骗、重放和克隆：欺骗是基于已经掌握的标签数据通过阅读器进行欺骗；重放是将标签的回复记录下来并回放；克隆是形成原来标签的一个副本。拒绝服务攻击：通过不完整的交互请求消耗系统资源，使系统不能正常工作。物理破解：首先劫持获取标签样本，通过逆向工程等技术破解标签，然后发起一次攻击，推测此标签之前发送的消息内容，推断其他标签的秘密篡改信息：进行非授权的修改或擦除标签数据，从而达到篡改信息的目的RFID病毒：由于标签中可以写入一定量的代码，当读取标签时，代码将可以被注入系统，所以从RFID标签来的数据能够用来攻击后端的软件系统。1.4RFID系统通信模型1)RFID系统通信模型:物理层，主要关心电气信号问题；通信层，定义读写器与标签之间双向交换数据和指令的方式；应用层，用于解决和最上层应用直接相关的内容。2)恶意跟踪问题的层次划分：恶意跟踪可分别在RFID的三个层次内进行，分别是物理层、通信层、应用层。1.5安全RFID系统的基本特征1)射频识别系统防范范围①高度安全的射频识别系统对下列单项攻击能够予以防范:②为了复制/改变数据，未经授权地读出数据载体；③将外来的数据载体植入某个读写器的询问范围内，企图得到非授权出入建筑物或不付费服务④为了假冒真正的数据载体，窃听无线电通信并重放数据；2)安全RFID系统的基本特征：机密性：一个电子标签不应当向未经授权的读写器泄露任何敏感的信息。完整性：在通信时，保证接收者收到的信息在传输过程中没有被攻击者篡改或替代。可用性：RFID系统的安全解决方案所各种服务能够被授权用户使用，并能够有效防止非法攻击者企图中断RFID系统服务的恶意攻击。真实性：电子标签的身份认证在RFID系统的许多应用中是非常重要的。隐私性：一个安全的RFID系统应当能够保护使用者的隐私信息或相关经济实体的商业利益。第2章RFID技术中的隐私问题及保护措施2.1位置隐私位置隐私含有高度的个人特征，阅读器通过RFID芯片可以很方便的探知到个人活动的位置，携带RFID标签的任何人都能在公共场合被自动跟踪。2.2信息隐私信息隐私包括关于个人信息，比如：纳税、医疗或者购买记录等，也叫数据隐私，这些信息都极易暴露，所以必须引起重视。2.3隐私保护：当RFID被广泛应用带来巨大的利润时，也同样带来了一定的负面效应，只有通过法规来约束对RFID技术的滥用，才能使得隐私权的保护与科技的高度发展尽可能地保持平衡和双赢。第3章产品电子代码的密码机制与安全协议3.1基于RFID技术的EPC系统安全问题1)标签本身的访问缺陷用户（合法用户与非法用户）都可以利用合法的阅读器或者自构一个阅读器，直接与标签进行通信，读取、篡改甚至删除标签内所存储的数据。2)通信链路上的安全问题：①黑客非法截取通信数据②拒绝服务攻击③利用假冒标签向阅读器发送数据④RFID阅读器与后台系统间的通信信息安全3)移动RFID安全指利用植入RFID读写芯片的智能移动终端，获取标签中的信息，并通过移动网络访问后台数据库，获取相关信息，常见的应用是手机支付，在移动RFID网络中存在的安全问题主要还是假冒与非授权服务。3.2EPCglobal系统安全分析1)EPCglobal系统的纵向安全和隐私威胁分析①标签和阅读器构成的无线数据采集区域构成的安全域：安全威胁有标签的伪造，对标签的非法接入和篡改，通过空中无线接口的窃听、获取标签的有关信息，对标签进行跟踪和监控。②企业内部系统构成的安全域：防止内部人员的非法或越权访问与使用，还要防止非法阅读器接入企业内部网络。③企业之间和企业与公共用户之间供数据交换和查询网络构成的安全区域：通过一种认证和授权机制，以及根据有关的隐私法规，保证采集的数据不被用于其他非正常目的的商业应用或被泄露，并保证合法用户对有关信息的查询和监控。2)供应链的横向安全和隐私威胁分析①工业间谍威胁②竞争市场威胁③基础设施威胁④信任威胁3)个人隐私威胁①行为威胁②关联威胁③位置威胁④喜好威胁⑤星座威胁⑥事务威胁⑦面包屑威胁3.3实现RFID安全性机制与安全协议1)物理方法①静电屏蔽：采用一个法拉第笼，使得某一频段的无线电信号无法穿透。②阻塞标签：采用一种标签装置，通过发射出假冒标签序列码的连续频谱，这样就能隐藏其他标签的序列码。③主动干扰：采用一个能主动发出无线电信号的装置，以干扰或中断附近其他RFID阅读器的操作。④改变阅读器频率：使用任意的频率，未授权的用户就不能轻易的探测或窃听阅读器与标签之间的通信。⑤改变标签频率：特殊设计的标签可以通过一个保留频率传送信息。⑥Kill命令机制：采用从物理上销毁标签的办法。2)密码机制①Hash-Lock协议：使用metaID来代替真实的标签ID。Hash-Lock协议流程图②随机化Hash-Lock协议：采用基于随机数的询问应答机制。随机化Hash-Lock协议流程图③Hash链协议：基于共享秘密的询问-应答协议。Hash链协议流程第4章RFID标签安全设置4.1RFID电子标签的安全属性RFID电子标签的安全属性与标签分类直接相关。一般来说，就安全性等级而言，存储型最低，CPU型最高，逻辑加密型居中，目前广泛使用的RFID电子标签中也以逻辑加密型居多。存储型RFID电子标签没有做特殊的安全设置，标签内有一个厂商固化的不重复、不可更改的唯一序列号，内部存储区课存储一定容量的数据信息，不需要进行安全认证即可，读出或改写。虽然所有的RFID电子标签在通信链路层都没有采用加密机制，并且芯片本身的安全设计也不是非常强大，但在应用方面因为采取了很多加密手段，使其可以保证足够的安全性。4.2RFID电子标签在应用中的安全设计①存储型RFID电子标签的应用主要是通过快速读取ID号来达到识别的目的，主要应用于动物识别和跟踪追溯等方面。②逻辑加密型的RFID电子标签内部存储区一般按块分布，并有密钥控制位设置每个数据块的安全属性。③CPU型RFID电子标签的芯片内部采用了核心处理器，并且CPU型芯片安装有专用操作系统，可以根据需求将存储区设计成不同大小的二进制文件、记录文件和密钥文件等。4.3第二代的RFID标准强化的安全功能EPC第二代RFID标准开发中最主要的部分是设计了第二代的UHF空中接口协议，该协议用于管理从标签到读卡器的数据的移动，为芯片中存储的数据提供了一些保护措施。根据第二代RFID标准规范，当数据被写入标签时，数据在经过空中接口时被伪装。从标签到读卡器的所有数据都被伪装，所以当读卡器在从标签中读或写数据的过程中数据不会被截取。一旦数据被写入标签，数据就会被锁定，这样只可以读取数据，而不能改写，即具有只读功能。EPC被动标签一般只包括产品的识别信息，比如产品代码、产品部件数或者SKU数目，也就是仅仅包括物品本身的信息，另外，EPC被动标签不包括依据秘密保护规则涉及的物品个性化的识别信息。产品的识别信息通常是指相对于个性化识别信息而言不太敏感的内容，通常伪装也只针对其中涉及到的数据。数据不被加密，但是读卡器需要一个破解伪装的密钥。