新闻动态
推荐新闻
新闻中心
售后服务
您所在位置 > 首页 > 技术中心 > 技术手册
RFID数据安全的因素分析
日期:2011-12-05 11:45:12  浏览量:57

        RFID的全称是非接触式的自动ID识别技术。这项技术是通过射频信号对某个目标的ID号自动识别以后得到这个对象的信息,并获取相关数据。由于它快速、实时、准确采集、精确处理对象物的ID信息,世界已将RFID公认为本世纪十大技术之一。从某个角度上说,该技术可称为条形码无线识别的升级版。RFID具有条形码所不具备的防水、防磁、耐高温、使用寿命长、读取距离大、标签上数据可以加密、存储容量更大、存储信息更改自如、可识别高速运动物体并可同时识别多个标签、操作方便快捷、可适用各种工作环境。介于上述的优点,它在生产、零售、物流、交通等各个行业有着广泛的应用前景。
        但随着RFID的进一步推广一些问题也相应出现,这些问题制约着它的发展。其中最为显著的是安全问题。由于最初的RFID开发设计者和应用人员并没有考虑其相应的安全问题,因此安全问题成了制约RFID发展的瓶颈问题。假如没有值得信赖的信息安全机制。RFID技术的普及就成为空谈,试想一个信息被任意窃取甚至被恶意篡改的技术能有多大的生存空间,它只能成为类似纸上谈兵的空话。另外,不具有可靠信息安全机制的射频标签,还存在着易向邻近的读写器泄漏敏感信息、易被干扰和易被跟踪等安全隐患。如果RFID的安全性不能得到充分保证。RFID系统中的军事秘密、商业机密和个人信息,都可能被盗窃和利用。这势必会给国家、集体、个人带来无法估量的损失。故RFID的安全问题已经提到议事日程上来。

        1 RFID系统工作原理

        RFID系统的基本工作原理。阅读器与标签之间通过无线信号建立双方通信的通道.阅读器通过天线发出电磁信号。电磁信号携带了阅读器向标签的查询指令。当标签处于阅读器工作范围时。标签将从电磁信号中获得指令数据和能量,并根据指令将标签标识和数据以电磁信号的形式发送给阅读器。或根据阅读器的指令改写存储在RFID标签中的数据。阅读器可接收RFID标签发送的数据或向标签发送数据,并能通过标准接口与后台服务器通信网络进行对接,实现数据的通信传输。
        根据标签能量获取方式,RFlD系统工作方式可分为:近距离的电感耦合方式和远距离的电磁耦合方式。

        2 RFID安全问题及解决策略

        经过对工作原理的研究,RFID的安全隐患相对于阅读器与后台服务器重点是阅读器与标签。要分析一个系统存在哪些安全问题最好的办法是站在攻击者的立场上分析即他们采用什么攻击方式最为简单、有效、隐蔽;能够以最低成本找出这个系统中存在的漏洞。我们就将这些漏洞进行修补,以达到提高系统安全性的目的。应用RFID技术的系统也应如此,假设一个攻击者,攻击应用RFID技术的系统一般会从两方面人手:一方面是阅读器与后台数据库之间的信息传递,这与网络上每台电脑所遇到问题是一样的;另一方面阅读器与标签之间的无线通信及标签本身。后者是我们研究的重点,由于RFID技术要求硬件本身的成本要低,因此一些好的安全办法是不能直接应用在这项技术上的。这是造成目前为止RFID技术不能广泛代替条码标签的原因。假定第一方面安全的情况下,着重对第二方面进行研究,第二方面又分以下两个方面:①内部人员泄露阅读器与标签的机密;②外部攻击即利用软硬件对读卡器和电子标签进行攻击来获取有价值的信息。
        2.1 内部人员泄露RFID的机密及解决策略
        内部人员泄露RFID的机密有两种途径:一种窃取射频标签实体提供给不法分子。然后不法分子通过物理手段在实验室环境中去除芯片封装,使用微探针获取敏感信号。从而进行射频标签重构的复杂攻击;另一种将密钥提供给不法分子。对于这种威胁的解决方法需要企业内部加强管理及内部人员提高安全隐患意识。

        2.2外部攻击即利用软硬件对读卡器和电子标签进行攻击来获取有价值的信息及解决策略
        假设内部人员没有泄密,那么来自攻击者的外部攻击就会成为影响RFID安全的主要因素,即利用软硬件对读卡器和电子标签进行攻击来获取有价值的信息。这也是我们研究的重点和难点。就一般应用RFID技术的所设计系统而言通常受到两种外部攻击:一种是主动攻击(篡改信息、伪造信息、重放信息、中断信息);另一种是被动攻击(跟踪标签监控货物流通、干扰读写器及标签正常工作、截取标签数据传递信息)。这七种攻击是RFID技术应用在商业领域中所见到的最普通的攻击。
        上面分析了完成七种攻击所需要的全部信息,针对各种攻击子目标的RFID系统安全机制如下:
        ①防止标签频率检测,如杀死(Kill)标签原理是使标签丧失功能,从而阻止对标签及其携带物的跟踪。法拉第网罩:根据电磁场理论,由传导材料构成的容器如法拉第网罩可以屏蔽无线电波。使得外部的无线电信号不能进入法拉第网罩,反之亦然。把标签放进由传导材料构成的容器可以阻止标签被扫描,即被动标签接收不到信号,不能获得能量。主动标签发射的信号不能发出。因此,利用法拉第网罩可以阻止隐私侵犯者扫描标签获取信息。主动干扰:主动干扰无线电信号是另一种屏蔽标签的方法。标签用户可以通过一个设备主动广播无线电信号用于阻止或破坏附近的RFID阅读器的操作。阻止标签:阻止标签原理是通过采用一个特殊的阻止标签干扰防碰撞算法来实现,阅读器读取命令每次总是获得相同的应答数据。从而保护标签。
        ②防止标签识读范围和能量检测,如夹子标签是IBM公司针对RFID隐私问题开发的新型标签。使用者能够将RFID天线扯掉或者刮除,缩小标签的可阅读范围,使标签不能被随意读取。使用夹子标签技术,尽管天线不能再用,阅读器仍然能够近距离读取标签(例如商品卖出后,当使用者返回来退货时,可以从RFID标签中读出信息)。
        ③防止安全协议的检测以及相关认证密钥的窃取。一是认证严谨的安全协议。如Hash—I。ock协议为了避免信息泄漏和被追踪,它使用伪ID来代替真实的标签ID。随机化Hash—Lock协议采用了基于随机数的询问一应答机制。Hash链协议本质上也是基于共享秘密的询问一应答协议。当使用两个不同杂凑函数的阅读器发起认证,标签总是发送不同的应答。在该协议中,标签成为了一个具有自主ID更新能力的主动式标签。基于杂凑的ID变化协议与Hash链协议相似,每一次回话中的ID交换信息都不相同。系统使用了一个随机数尺对标签标识不断进行动态刷新,同时还对TID(最后一次回话号)和I。ST(最后一次成功的回话号)信息进行更新,所以该协议可以抵抗重传攻击。David的数字图书馆RFID协议David等提出的数字图书馆RFID协议使用基于预共享秘密的伪随机函数来实现认证。分布式RFID询问一应答认证协议是一种适用于分布式数据库环境的RFID认证协议,它是典型的询问一应答型双向认证协议。到目前为止,David的数字图书馆RFID协议和分布式RFID询问一应答认证协议还没有发现该协议有明显的安全漏洞或缺陷。LCAP协议是询问一应答协议。但是与前面的同类其它协议不同,它每次执行之后都要动态刷新标签的ID。再次加密机制(Re—encryption)RFID标签的计算资源和存储资源都十分有限,因此极少有人设计使用公钥密码体制的RFID安全机制。二是相关认证密钥的保护,有Hash锁,随机Hash锁。Hash链,Key值更新随机Hash锁。
        ④防止RFID读写器频率检测,如频率更改;
        ⑤防止RFID读写器与后端系统接口假冒,主要是通过安全协议和网络部分的安全策略来解决,可采用相互认证等方式解决。
        ⑥监视节点找出发送最多的。主要是通过分散发送数据包,不要集中在一两个节点上,也可以用假的数据包和假的节点来迷惑攻击者。
 

        3不安全隐患分析

        通过对上述系统攻击模型的研究和安全机制的列举,其中许多安全机制存在很多不安全隐患,进行如下分析:
        3.1对于标签频率的检测
        Kill命令使标签失去了它本身应有的优点。如商品在卖出后,标签上的信息将不再可用,不便于日后的售后服务以及用户对产品信息的进一步了解。另外,若Kill识别序列号PIN一旦泄露,可能导致恶意者对商品的偷盗;法拉第容器由于自身的屏蔽效应不能很好的和其他安全机制兼容;主动干扰这种方法可能导致非法干扰,使附近其他合法的RFlD系统受到f扰。严重的是,它叮能阻断附近其他无线系统,因此可以考虑使用阻止标签机制预防标签频率的检测。

       3.2对于标签识读范围和能量检测
        使用夹子标签和频率更改机制可以共同提高安全性能,但此处应该注意频率和读写距离之间的关系。
        3.3对于安全协议的检测
        ①Hash—Lock协议。该协议中没有ID动态刷新机制,并且伪ID也保持不变,ID是以明文的形式通过不安全的信道传送,因此Hash—I。ock协议非常容易受到假冒攻击和重传攻击,攻击者也可以很容易地对标签进行追踪。
        ②随机化Hash—Lock协议,该协议中认证通过后的标签的标识ID仍以明文的形式通过不安全信道传送,因此攻击者可以对标签进行有效的追踪。同时,一旦获得了标签的标识ID,攻击者就可以对标签进行假冒。该协议也无法抵抗重传攻击。不仅如此,每一次标签认证时,后端数据库都需要将所有标签的标识发送给阅读器,二者之间的数据通信量很大。所以,该协议不仅不安全。也不实用。
        ③Hash链协议,是一个单向认证协议,只能对Tag身份进行认证,不能对阅读器身份进行认证。Hash链协议非常容易受到重传和假冒攻击。此外,每一次标签认证发生时。后端数据库都要对每一个标签进行多次杂凑运算。因此其计算负荷也很大。同时,该协议需要两个不同的杂凑函数,也增加了标签的制造成本,不适合应用在普适计算中。
        ④基于杂凑的lD变化协议,该协议在标签更新其ID和LST信息之前,后端数据库已经成功地完成相关信息的更新。如果在这个时间延迟内攻击者进行攻击(例如,攻击者可以伪造一个假消息,或者干脆实施干扰使标签无法接收到该消息),就会在后端数据库和标签之间出现严重的数据不同步问题。这也就意味着合法的标签在以后的回话中将无法通过认证。也就是说,该协议不适合使用分布式数据库的普适计算环境,同时存在数据库同步的潜在安全隐患。
        ⑤David的数字图书馆RFID协议该协议必需在标签电路中包含实现随机数生成以及安全伪随机函数两大功能模块,故而该协议完全不适用于低成本的RFID系统。
        ⑥分布式RFID询问一应答认证协议,该协议在方案中.执行一次认证协议需要标签进行两次杂凑运算。标签电路中自然也需要集成随机数发生器和杂凑函数模块。因此它也不适合于低成本RFID系统。
        ⑦LCAP协议该协议与基于杂凑的ID变化协议的情况类似.标签更新其ID之前。后端数据库已经成功完成相关ID的更新。因此,LCAP协议也不适合使用于分布式数据库的普适计算环境,同时亦存在数据库同步的潜在安全隐患。
        ⑧再次加密机制(Re—encryption),RFID标签的计算资源和存储资源都十分有限,因此极少有人设计使用公钥密码体制的RFID安全机制。
        3.4对于认证的检测
        ①Hash锁,在该方法中由于每次询问时标签回答的数据是特定的,因此其不能防止位置跟踪攻击;阅读器和标签间传输的数据未经加密,窃听者可以轻易地获得标签Key和ID值。
        ②随机Hash锁,在该方法中标签每次回答是随机的,因此可以防止依据特定输出而进行的位置跟踪攻击。但是。该方法也有一定的缺陷:(1)阅读器需要搜索所有标签ID,并为每一个标签计算,因此标签数目很多时.系统延时会很长,效率并不高;(2)随机Hash锁不具备前向安全性,若敌人获得了标签ID值,则可根据R值计算出Hash(ID IR)值,因此可追踪到标签历史位置信息。
        ③Hash链,该方法具有不可分辨性,具有前向安全性两个优点,但也有缺点:需要为每一个标签计算一个值,假设数据库中存储的标签个数为人,则需进行N个记录搜索,2N个Hash函数计算.N次比较,计算和比较量较大,不适合标签数日较多的情况。
        ④Key值更新随机Hash锁,该方法特点一是简单实用。将随机数产生器等复杂的计算移到厂后台数据库中实现,降低了,标签的复杂性,标签只需要实现两个Hash函数H和S,这在低成本的标签上较易实现。二是前向安全。因为标签的Key值在每次事务交换后被单向Hash函数5更新,外人即使获取r当前标签Key值,也无法推算出之前的Key值.所以无法获得标签相关的历史活动信息。第三机器运算负载小,效率高。在每次询问过程中,设数据库中存储的标签个数为N,本方法中后台数据库需执行2N个记录搜索(因每个标签存在两条记录),进行3个Hash函数计算和1次值比较,以及产生1个随机数R。相比于Hash链方法需计算2Ⅳ个Hash函数、N个记录搜索和N个值比较,因为Hash函数的计算时延较长。资源消耗大,所以当N很大时,这个方法系统的负载将要小得多。速度较快,延时较短,效率较高,但安全性更高。第四适应标签数目较多的情况。第五实现了身份的双向验证。最后有效实现安全隐私保护。但它也有缺点,它不能防止攻击者的流量分析。
        综上所述.RFID系统标签信息窃取的复合安全策略如下:①夹子标签、Key值更新随机Hash锁,主要适用于安全级别较低且距离较近的情况.他们的联合不能防止标签被跟踪;②阻止标签、Key值更新随机Hash锁。主要是川于成本较低H.距离较远的情况,他们联合不能防止标签被进行流量分析;③阻止标签、分布式RFID询问一应答认证协议。没有明显安全漏洞.仪适合高保密性能的高成本标签的RFID系统;④频率更改、Key值更新随机Hash锁,可以用于安全级别较高。成本稍高的情况。

        4结束语

        RFID标签已逐步进入我们的日常生产和生活当中,同时,也给我们带来了许多新的安全和隐私问题。由于对低成本、高安全性RFID标签的追求.使得现有的密码技术难以应用。如何根据RFID标签有限的资源,设计出安今有效的安全技术解决方案,仍然是一个具有相当挑战性的课题。为了有效地保护数据安全和个人隐私,引导RFIr)的合理应用和健康发展,还需要建立和制订完善的RFID安全与隐私保护法规、政策。