第6讲RFID的安全性

第6讲RFID的安全性场景一(1)超市已构建RFID系统并实现仓储管理、出售商品的自动化收费等功能，超市管理者使用的阅读器可以读写商品标签数据(写标签数据时需要接人密钥)，考虑到价格调整等因素，标签数据必须能够多次读写。(2)移动RFID用户自身携带有嵌入在手机或PDA中的阅读器，该阅读器可以扫描超市中商品的标签以获得产品的制造商、生产日期和价格等详细信息。RFID智能收货RFID智能购物车RFID智能结算未来商店(3)通过信道监听信息截获、暴力破解(利用定向天线和数字示波器监控标签被读取时的功率消耗，确定标签何时接受了正确的密码位)或其他人为因素，攻击者得到写标签数据所需的接人密钥。(4)利用标签的接人密钥，攻击者随意修改标签数据，更改商品价格，甚至“kill”标签导致超市的商品管理和收费系统陷入混乱以谋取个人私利。德州仪器（TI）公司制造了一种称为数字签名收发器（DigitalSignatureTransponder，DTS）的内置加密功能的低频RFID设备。DST现已配备在数以百万计的汽车上，其功能主要是用于防止车辆被盗。DST同时也被SpeedPass无线付费系统所采用，该系统现用在北美的成千上万的ExxonMobil加油站内。DST执行了一个简单的询问/应答（challenge-response）协议来进行工作.阅读器的询问数据C长度为40bits，芯片产生的回应数据R长度为24bits，而芯片中的密钥长度亦为40bits。密码破译者都知道，40bits的密钥长度对于现在的标准而言太短了，这个长度对于暴力攻击法毫无免疫力。2004年末，一队来自约翰霍普津斯大学和RSA实验室的研究人员示范了对DST安全弱点的攻击。他们成功的完全复制了DST，这意味着他们破解了含有DST的汽车钥匙，并且使用它执行了相同的功能。场景二在2006年意大利举行的一次学术会议上，就有研究者提出病毒可能感染RFID芯片，通过伪造沃尔玛、家乐福这样的超级市场里的RFID电子标签，将正常的电子标签替换成恶意标签，即可进入他们的数据库及IT系统中发动攻击。2011年9月，北京公交一卡通被黑客破解，从而敲响了整个RFID行业的警钟。黑客通过破解公交一卡通，给自己的一卡通非法充值，获取非法利益2200元2011年3月，业内某安全专家破解了一张英国发行的、利用RFID来存储个人信息的新型生物科技护照。2007年RSA安全大会上，一家名为IOActive的公司展示了一款RFID克隆器，这款设备可以通过复制信用卡来窃取密码场景三……RFID阅读器臀部置换手术医疗号：459382假发型号：4456(便宜的聚酯材料)厚黑学共产主义宣言钱夹里有1500欧元序列号：597387、389473...女士贴身内衣RFIDTAG1RFIDTAG2RFIDTAG3RFIDTAG4RFIDTAG5RFID应用的隐私泄露问题因此，如何实现RFID系统的安全并保护电子标签持有人隐私将是目前和今后发展RFID技术十分关注的课题。存在这么几个问题1、RFID为什么会泄露个人隐私的？2、RFID的安全漏洞在哪,有哪些攻击方式？3、RFID有哪些安全解决方案？问题探究一、RFID的安全问题首先，RFID标签和后端系统之间的通信是非接触和无线的，使它们很易受到窃听;其次，标签本身的计算能力和可编程性，直接受到成本要求的限制。更准确地说，标签越便宜，则其计算能力越弱，而更难以实现对安全威胁的防护。◆标签中数据的脆弱性◆标签和阅读器之间的通信脆弱性◆阅读器中的数据的脆弱性◆后端系统的脆弱性主动攻击：①对获得的标签实体，通过物理手段在实验室环境中去除芯片封装，使用微探针获取敏感信号，进而进行目标标签重构的复杂攻击；②通过软件，利用微处理器的通用通信接口，通过扫描标签和响应读写器的探询，寻求安全协议、加密算法以及它们实现的弱点，进行删除标签内容或篡改可重写标签内容的攻击；③通过干扰广播、阻塞信道或其他手段，产生异常的应用环境，使合法处理器产生故障，进行拒绝服务的攻击等。被动攻击：通过采用窃听技术，分析微处理器正常工作过程中产生的各种电磁特征，来获得RFID标签和识读器之间或其它RFID通信设备之间的通信数据（由于接收到阅读器传来的密码不正确时标签的能耗会上升，功率消耗模式可被加以分析以确定何时标签接收了正确和不正确的密码位）。通过识读器等窃听设备，跟踪商品流通动态等；注：美国Weizmann学院计算机科学教授AdiShamir和他的一位学生利用定向天线和数字示波器来监控RFID标签被读取时的功率消耗，通过监控标签的能耗过程研究人员推导出了密码。二、RFID受到的攻击RFID存在3个方面的安全问题(1)截获RFID标签：基础的安全问题就是如何防止对RFID标签信息进行截获和破解，因为RFID标签中的信息是整个应用的核心和媒介，在获取了标签信息之后攻击者就可以对RFID系统进行各种非授权使用．11RFID存在3个方面的安全问题(2)破解RFID标签：RFID标签是一种集成电路芯片，这意味着用于攻击智能卡产品的方法在RFID标签上也同样可行。破解RFID标签的过程并不复杂。使用40位密钥的产品，通常在一个小时之内就能够完成被破解出来；对于更坚固的加密机制，则可以通过专用的硬件设备进行暴力破解。12RFID存在3个方面的安全问题(3)复制RFID标签：即使能将加密机制设定得足够强壮，强壮到攻击者无法破解．RFID标签仍然面临着被复制的危险。特别是那些没有保护机制的RFID标签，利用读卡器和附有RFID标签的智能卡设备就能够轻而易举的完成标签复制工作。尽管目前篡改RFID标签中的信息还非常困难，至少要受到较多的限制，但是，在大多数情况下，成功的复制标签信息已经足以对RFID系统完成欺骗。13只有合法的读写器才能获取或者更新相应的标签的状态。RFID系统的安全需求⑴授权访问标签需要对阅读器进行认证。只有合法的标签才可以被合法的读写器获取或者更新状态信息。(2)标签的认证阅读器需要对标签进行认证。标签用户的真实身份、当前位置等敏感信息，在通信中应该保证机密性。(3)标签匿名性信息要经过加密。三、RFID系统数据传输的安全性即使攻击者攻破某个标签获得了它当前时刻t2的状态，该攻击者也无法将该状态与之前任意时刻tl(tlt2)获得的某个状态关联起来(防止跟踪和保护用户隐私)。RFID系统的安全需求(4)前向安全性每次发送的身份信息需要不断变化，且变化前的值不能由变化后的值推导出。标签在时刻tl的秘密信息不足以用来在时刻t2(t2t1)识别认证该标签(抵抗重放攻击)。若一个安全协议能够实现后向安全性，那么所有权转移就有了保证。(5)后向安全性与所有权转移每次发送的身份信息需要不断变化，且变化后的值不能由变化前的值推导出。RFID系统的安全需求RFID系统可能会受到各种攻击，导致系统无法正常工作。例如去同步化攻击可以使得标签和后台数据库所存储的信息不一致导致合法标签失效。拒绝服务攻击，可以通过对合法标签广播大量的访问请求，使得标签无法对合法读写器的访问进行响应。(6)可用性必须设计良好的安全认证协议。四、RFID的安全解决方案1、物理安全机制2、逻辑安全机制若标签支援Kill指令，如EPCClass1Gen2标签，当标签接收到读写器发出的Kill指令时，便会将自己销毁，使得这个标签之后对于读写器的任何指令都不会有反应，因此可保护标签资料不被读取；但由于这个动作是不可逆的，一旦销毁就等于是浪费了这个标签标签销毁指令法拉第笼将标签放置在由金属网罩或金属箔片组成的容器中，称作法拉第笼，因为金属可阻隔无线电讯号之特性，即可避免标签被读取器所读取。无线信号将被屏蔽，阅读器无法读取标签信息，标签无法向阅读器发送信息。缺点：增加了额外费用，有时不可行，如衣服上的RFID标签。1、物理安全机制主动干扰使用能够主动发出广播讯号的设备，来干扰读取器查询受保护之标签，成本较法拉第笼低；但此方式可能干扰其他合法无线电设备的使用；阻挡标签使用一种特殊设计的标签，称为阻挡标签(BlockerTag)，此种标签会持续对读取器传送混淆的讯息，藉此阻止读取器读取受保护之标签；但当受保护之标签离开阻挡标签的保护范围，则安全与隐私的问题仍然存在。综上，物理安全机制存在很大的局限性，往往需要附加额外的辅助设备，这不但增加了额外的成本，还存在其他缺陷。如Kill命令对标签的破坏性是不可逆的；某些有RFID标签的物品不便置于法拉第笼中等。2、逻辑安全机制基于共享秘密和伪随机函数的安全协议基于加密算法的安全协议基于Hash函数和伪随机函数基于循环冗余校验（CRC）的安全协议基于消息认证码（MAC）的安全协议基于逻辑位运算的安全协议22密码学的基础概念加密算法E解密算法D明文m密文c明文m密钥K密钥K?加密模型加密和解密变换的关系式：c=EK(m)m=DK′(c)=DK′(EK(m))23三次认证过程阅读器随机数RBTOKENABTOKENBA应答器基于共享秘密和伪随机函数的安全协议注：该协议在认证过程中，属于同一应用的所有标签和阅读器共享同一的加密密钥。由于同一应用的所有标签都使用唯一的加密密钥，所有三次认证协议具有安全隐患。电子标签读写器接受认证请求发送随记数据B解密数据B加密数据A加密数据B发送随机数据A认证请求随机数据B加密数据B随机数据A加密数据A解密数据A25射频识别中的认证技术三次认证过程阅读器发送查询口令的命令给应答器，应答器作为应答响应传送所产生的一个随机数RB给阅读器。阅读器产生一个随机数RA，使用共享的密钥K和共同的加密算法EK，算出加密数据块TOKENAB，并将TOKENAB传送给应答器。TOKENAB＝EK(RA,RB)应答器接受到TOKENAB后，进行解密，将取得的随机数与原先发送的随机数RB进行比较，若一致，则阅读器获得了应答器的确认。应答器发送另一个加密数据块TOKENBA给阅读器，TOKENBA为TOKENBA＝EK(RB1,RA)阅读器接收到TOKENBA并对其解密，若收到的随机数与原先发送的随机数RA相同，则完成了阅读器对应答器的认证。例如：Mifare卡，采用三次认证协议，其密钥为6字节，即48位，一次典型的验证需要6ms，如果外部使用暴力破解的话，需要的时间为一个非常大的数字，常规破解手段将无能为力。27①数据加密标准（DataEncryptionStandard，DES）DES由IBM公司1975年研究成功并发表，1977年被美国定为联邦信息标准。DES使用一个56位的密钥以及附加的8位奇偶校验位，将64位的明文经加密算法变换为64位的密文。加密和解密共用同一算法，使工程实现的工作量减半。综合运用了置换、代替、代数等多种密码技术。基于加密算法的安全协议28IPL1=R0R16=L15⊕f(R15，K16)L15=R14L16=R15R15=L14⊕f(R14，K15)IP1R1=L0⊕f(R0，K1)L0(32bit)R0(32bit)ffK1K16明文m（64bit）密文C（64bit）异或DES加密算法Li=Ri-1Ri＝Li-1⊕f(Ri-1,Ki)从左图可知i=1,2,3,…16矩阵58504234261810260524436282012462544638302214664564840322416857494133251791595143352719113615345372921135635547393123157作用:把64位明文打乱重排。左一半为L0(左32位)，右一半为R0(右32位)。例：把输入的第1位置换到第40位，把输入的第58位置换到第1位。初始置换IP②3重DES3DES是DES加密数据的一种模式，它使用3条56位的密钥对数据进行三次加密。解密过程DES加密DES解密DES加密DES解密DES加密DES解密64位明文64位密文K1K2K3加密过程31③高级加密标准（AdvancedEncryptionStandard，AES）高级