RFID的安全与隐私
无线射频识别(RFID)是一种远程存储和获取数据的方法,其中使用了一个称为标签(Tag)的小设备。在典型的RFID系统中,每个物体装配着这样一个小的、低成本的标签。系统的目的就是使标签发射的数据能够被阅读器读取,并根据特殊的应用需求由后台服务器进行处理。标签发射的数据可能是身份、位置信息,或携带物体的价格、颜色、购买数据等。
RFID标签被认为是条码的替代,具有体积小、易于嵌入物体当中、无需接触就能大量地进行读取等优点。另外,RFID标识符较长,可使每一个物体具有一个唯一的编码,唯一性使得物体的跟踪成为可能。该特征可帮助企业防止偷盗、改进库存管理、方便商店和仓库的清点。此外,使用RFID技术,可极大地减少消费者在付款柜台前的等待时间。
但是,随着RFID能力的提高和标签应用的日益普及,安全问题,特别是用户隐私问题变得日益严重。用户如果带有不安全的标签的产品,则在用户没有感知的情况下,被附近的阅读器读取,从而泄露个人的敏感信息,例如金钱、药物(与特殊的疾病相关联)、书(可能包含个人的特殊喜好)等,特别是可能暴露用户的位置隐私,使得用户被跟踪。
因此,在RFID应用时,必须仔细分析所存在的安全威胁,研究和采取适当的安全措施,既需要技术方面的措施,也需要政策、法规方面的制约。
1 RFID技术及其系统组成
1.1系统组成
基本的RFID系统主要由3部分组成,如图1所示,包括:
(1)标签
标签放置在要识别的物体上,携带目标识别数据,是RFID系统真正的数据载体,由耦合元件以及微电子芯片(包含调制器、编码发生器、时钟及存储器)组成。
(2)阅读器
阅读器用于读或读/写标签数据的装置,由射频模块(发送器和接收器)、控制单元、与标签连接的藕合单元组成。
(3)后台服务器
后台服务器包含数据库处理系统,存储和管理标签相关信息,如标签标识、阅读器定位、读取时间等。后台服务器接收来自可信的阅读器获得的标签数据,将数据输入到它自身的数据库里,且提供对访问标签相关数据的编号。
1.2工作原理
RFID系统的基本工作原理是:阅读器与标签之间通过无线信号建立双方通信的通道,阅读器通过天线发出电磁信号,电磁信号携带了阅读器向标签的查询指令。当标签处于阅读器工作范围时,标签将从电磁信号中获得指令数据和能量,并根据指令将标签标识和数据以电磁信号的形式发送给阅读器,或根据阅读器的指令改写存储在RFID标签中的数据。阅读器可接收RFID标签发送的数据或向标签发送数据,并能通过标准接口与后台服务器通信网络进行对接,实现数据的通信传输。
根据标签能量获取方式,RFID系统工作方式可分为:近距离的电感耦合方式和远距离的电磁耦合方式。
2 RFID的安全和隐私问题
2.1RFID的隐私威胁
RFID面临的隐私威胁包括:标签信息泄漏和利用标签的唯一标识符进行的恶意跟踪。
信息泄露是指暴露标签发送的信息,该信息包括标签用户或者是识别对象的相关信息。例如,当RFID标签应用于图书馆管理时,图书馆信息是公开的,读者的读书信息任何其他人都可以获得。当RFID标签应用于医院处方药物管理时,很可能暴露药物使用者的病理,隐私侵犯者可以通过扫描服用的药物推断出某人的健康状况。当个人信息比如电子档案、生物特征添加到RFID标签里时,标签信息泄露问题便会极大地危害个人隐私。如美国原计划2005年8月在入境护照上装备电子标签的计划[1-2]因为考虑到信息泄露的安全问题而被迟。
RFID系统后台服务器提供有数据库,标签一般不需包含和传输大量的信息。通常情况下,标签只需要传输简单的标识符,然后,通过这个标识符访问数据库获得目标对象的相关数据和信息。因此,可通过标签固定的标识符实施跟踪,即使标签进行加密后不知道标签的内容,仍然可以通过固定的加密信息跟踪标签。也就是说,人们可以在不同的时间和不同的地点识别标签,获取标签的位置信息。这样,攻击者可以通过标签的位置信息获取标签携带者的行踪,比如得出他的工作地点,以及到达和离开工作地点的时间。
虽然利用其他的一些技术,如视频监视、全球移动通信系统(GSM)、蓝牙等,也可进行跟踪。但是,RFID标签识别装备相对低廉,特别是RFID进入老百姓日常生活以后,拥有阅读器的人都可以扫描并跟踪他人。而且,被动标签信号不能切断,尺寸很小极易隐藏,使用寿命长,可自动识别和采集数据,从而使恶意跟踪更容易。
2.2跟踪问题的层次划分
RFID系统根据分层模型可划分为3层:应用层、通信层和物理层,如图2所示。
恶意跟踪可分别在此3个层次内进行[3]。
(1)应用层
处理用户定义的信息,如标识符。为了保护标识符,可在传输前变换该数据,或仅在满足一定条件时传送该信息。标签识别、认证等协议在该层定义。
通过标签标识符进行跟踪是目前的主要手段。因此,解决方案要求每次识别时改变由标签发送到阅读器的信息,此信息或者是标签标识符,或者是它的加密值。
(2)通信层
定义阅读器和标签之间的通信方式。防碰撞协议和特定标签标识符的选择机制在该层定义。该层的跟踪问题来源于两个方面:一是基于未完成的单一化(Singulation)会话攻击,二是基于缺乏随机性的攻击。
防碰撞协议分为两类:确定性协议和概率性协议。确定性防碰撞协议基于标签唯一的静态标识符,对手可以轻易地追踪标签。为了避免跟踪,标识符需要是动态的。然而,如果标识符在单一化过程中被修改,便会破坏标签单一化。因此,标识符在单一化会话期间不能改变。为了阻止被跟踪,每次会话时应使用不同的标识符。但是,恶意的阅读器可让标签的一次会话处于开放状态,使标签标识符不改变,从而进行跟踪。概率性防碰撞协议也存在这样的跟踪问题。另外,概率性防碰撞协议,如Aloha 协议,不仅要求每次改变标签标识符,而且,要求是完美的随机化,以防止恶意阅读器的跟踪。
(3)物理层
定义物理空中接口,包括频率、传输调制、数据编码、定时等。在阅读器和标签之间交换的物理信号使对手在不理解所交换的信息的情况下也能区别标签或标签集。
无线传输参数遵循已知标准,使用同一标准的标签发送非常类似的信号,使用不同标准的标签发送的信号很容易区分。可以想象,几年后,我们可能携带嵌有标签的许多物品在大街上行走,如果使用几个标准,每个人可能带有特定标准组合的标签,这类标准组合使对人的跟踪成为可能。该方法特别地利于跟踪某些类型的人,如军人或安全保安人员。
类似地,不同无线指纹的标签组合,也会使跟踪成为可能。
2.3RFID的安全威胁
RFID应用广泛,可能引发各种各样的安全问题。在一些应用中,非法用户可利用合法阅读器或者自构一个阅读器对标签实施非法接入,造成标签信息的泄露。在一些金融和证件等重要应用中,攻击者可篡改标签内容,或复制合法标签,以获取个人利益或进行非法活动。在药物和食品等应用中,伪造标签,进行伪劣商品的生产和销售。实际中,应针对特定的RFID应用和安全问题,分别采取相应的安全措施。
下面,根据EPCglobal标准组织定义的EPCglobal系统架构[4]和一条完整的供应链[5-6],纵向和横向分别描述RFID面临的安全威胁和隐私威胁。
2.4EPCglobal系统的纵向安全和隐私威胁分析
EPCglobal系统架构和所面临的安全威胁如图3所示。主要由标签、阅读器、电子物品编码(EPC)中间件、电子物品编码信息系统(EPCIS)、物品域名服务(ONS)以及企业的其他内部系统组成。其中EPC 中间件主要负责从一个或多个阅读器接收原始标签数据,过滤重复等冗余数据;EPCIS主要保存有一个或多个EPCIS级别的事件数据;ONS主要负责提供一种机制,允许内部、外部应用查找EPC相关EPCIS数据。
从下到上,可将EPCglobal整体系统划分为3个安全域:标签和阅读器构成的无线数据采集区域构成的安全域、企业内部系统构成的安全域、企业之间和企业与公共用户之间供数据交换和查询网络构成的安全区域。个人隐私威胁主要可能出现在第一个安全域,即标签、空口无线传输和阅读器之间,有可导致个人信息泄露和被跟踪等。另外,个人隐私威胁还可能出现在第三个安全域,如果ONS的管理不善,也可能导致个人隐私的非法访问或滥用。安全与隐私威胁存在于如下各安全域:
(1)标签和阅读器构成的无线数据采集区域构成的安全域。可能存在的安全威胁包括标签的伪造、对标签的非法接入和篡改、通过空中无线接口的窃听、获取标签的有关信息以及对标签进行跟踪和监控。
(2)企业内部系统构成的安全域。企业内部系统构成的安全域存在的安全威胁与现有企业网一样,在加强管理的同时,要防止内部人员的非法或越权访问与使用,还要防止非法阅读器接入企业内部网络。
(3)企业之间和企业与公共用户之间供数据交换和查询网络构成的安全区域。ONS通过一种认证和授权机制,以及根据有关的隐私法规,保证采集的数据不被用于其他非正常目的的商业应用和泄露,并保证合法用户对有关信息的查询和监控。
2.5供应链的横向安全和隐私威胁分析
一个较完整的供应链及其面对的安全与隐私威胁如图4所示,包括供应链内、商品流通和供应链外等3个区域,具体包括商品生产、运输、分发中心、零售商店、商店货架、付款柜台、外部世界和用户家庭等环节。图中前4个威胁为安全威胁,后7个威胁为隐私威胁。其中,安全威胁包括:
(1)工业间谍威胁
从商品生产出来到售出之前各环节,竞争对手可容易地收集供应链数据,其中某些涉及产业的最机密信息。例如,一个代理商可从几个地方购买竞争对手的产品,然后,监控这些产品的位置补充情况。在某些场合,可在商店内或在卸货时读取标签,因为,携带标签的物品被唯一编号,竞争者可以非常隐蔽地收集大量的数据。
(2)竞争市场威胁
从商品到达零售商店直到用户在家使用等环节,携带着标签的物品使竞争者可容易地获取用户的喜好,并在竞争市场中使用这些数据。
(3)基础设施威胁
基础设施威胁包括从商品生产到付款柜台售出等整个环节,这不是RFID本身特定的威胁,但当RFID成为一个企业基础设施的关键部分时,通过阻塞无线信号,可使企业遭到新的拒绝服务攻击。
(4)信任域威胁
信任域威胁包括从商品生产到付款柜台售出等整个环节,这也不是RFID特定的威胁,因需要在各环节之间共享大量的电子数据,某个不适当的共享机制将提供新的攻击机会。
个人隐私威胁包括:
(1)行为威胁
由于标签标识的唯一性,可以很容易地与一个人的身份相联系。可以通过监控一组标签的行踪而获取一个人的行为。
(2)关联威胁
在用户购买一个携带EPC标签的物品时,可将用户的身份与该物品的电子序列号相关联,这类关联可能是秘密的,甚至是无意的。
(3)位置威胁
在特定的位置放置秘密的阅读器,可产生两类隐私威胁。一类是,如果监控代理知道那些与个人关联的标签,那么,携带唯一标签的个人可被监控,他们的位置将被暴露;另一类是,一个携带标签的物品的位置(无论谁或什么东西携带它)易于未经授权地被暴露。
(4)喜好威胁
利用EPC网络,物品上的标签可唯一地识别生产者、产品类型、物品的唯一身份。这使竞争(或好奇)者以非常低的成本可获得宝贵的用户喜好信息。如果对手能够容易地确定物品的金钱价值,这实际上也是一种价值威胁。
(5)星座(Constellation)威胁
无论个人身份是否与一个标签关联,多个标签可在一个人的周围形成一个唯一的星座,对手可使用该特殊的星座实施跟踪,而不必知道他们的身份,即前面描述的利用多个标准进行的跟踪。
(6)事务威胁
当携带标签的对象从一个星座移到另一个星座时,在与这些星座关联的个人之间,可容易地推导出发生的事务。
(7)面包屑(Breadcrumb)威胁
属于关联结果的一种威胁。因为个人收集携带标签的物品,然后,在公司信息系统中建立一个与他们的身份关联的物品数据库。当他们丢弃这些“电子面包屑”时,在他们和物品之间的关联不会中断。使用这些丢弃的面包屑可实施犯罪或某些恶意行为。
标签复制也是RFID面临的一种严重的安全威胁。
3 RFID安全解决方案
3.1技术解决方案
RFID安全和隐私保护与成本之间是相互制约的。根据自动识别(Auto-ID)中心的试验数据,在设计5美分[7]标签时,集成电路芯片的成本不应该超过2美分,这使集成电路门电路数量限制在了7.5 kb~15 kb。一个96 b的EPC芯片约需要5 kb~l0 kb的门电路[8],因此用于安全和隐私保护的门电路数量不能超过2.5 kb~5 kb,使得现有密码技术难以应用。优秀的RFID安全技术解决方案应该是平衡安全、隐私保护与成本的最佳方案。
现有的RFID安全和隐私技术可以分为两大类:一类是通过物理方法阻止标签与阅读器之间通信,另一类是通过逻辑方法增加标签安全机制。
3.1.1物理方法
(1)杀死(Kill)标签
原理是使标签丧失功能,从而阻止对标签及其携带物的跟踪。如在超市买单时的处理。但是,Kill 命令使标签失去了它本身应有的优点。如商品在卖出后,标签上的信息将不再可用,不便于日后的售后服务以及用户对产品信息的进一步了解。另外,若Kill识别序列号(PIN)一旦泄露,可能导致恶意者对超市商品的偷盗。
(2)法拉第网罩
根据电磁场理论,由传导材料构成的容器如法拉第网罩可以屏蔽无线电波。使得外部的无线电信号不能进入法拉第网罩,反之亦然。把标签放进由传导材料构成的容器可以阻止标签被扫描,即被动标签接收不到信号,不能获得能量,主动标签发射的信号不能发出。因此,利用法拉第网罩可以阻止隐私侵犯者扫描标签获取信息。比如,当货币嵌入RFID标签后,可利用法拉第网罩原理阻止隐私侵犯者扫描,避免他人知道你包里有多少钱。
(3)主动干扰
主动干扰无线电信号是另一种屏蔽标签的方法。标签用户可以通过一个设备主动广播无线电信号用于阻止或破坏附近的RFID阅读器的操作。但这种方法可能导致非法干扰,使附近其他合法的RFID 系统受到干扰,严重的是,它可能阻断附近其他无线系统。
(4)阻止标签
原理是通过采用一个特殊的阻止标签干扰防碰撞算法来实现,阅读器读取命令每次总是获得相同的应答数据,从而保护标签。
3.1.2逻辑方法
(1)哈希(Hash)锁方案
Hash锁[9]是一种更完善的抵制标签未授权访问的安全与隐私技术。整个方案只需要采用Hash函数,因此成本很低。
方案原理是阅读器存储每个标签的访问密钥K,对应标签存储的元身份(MetaID),其中MetaID
=Hash(K )。标签接收到阅读器访问请求后发送MetaID 作为响应,阅读器通过查询获得与标签MetaID 对应的密钥K并发送给标签,标签通过Hash函数计算阅读器发送的密钥K,检查Hash(K )是否与MetaID 相同,相同则解锁,发送标签真实ID给阅读器。
(2)随机Hash锁方案
作为Hash锁的扩展,随机Hash锁[10]解决了标签位置隐私问题。采用随机Hash锁方案,阅读器每次访问标签的输出信息都不同。
随机Hash锁原理是标签包含Hash函数和随机数发生器,后台服务器数据库存储所有标签ID。阅读器请求访问标签,标签接收到访问请求后,由Hash函数计算标签ID与随机数r (由随机数发生器生成)的Hash值。标签发送数据给请求的阅读器,同时阅读器发送给后台服务器数据库,后台服务器数据库穷举搜索所有标签ID和r 的Hash值,判断是否为对应标签ID。标签接收到阅读器发送的ID 后解锁。
尽管Hash函数可以在低成本的情况下完成,但要集成随机数发生器到计算能力有限的低成本被动标签,却是很困难的。其次,随机Hash锁仅解决了标签位置隐私问题,一旦标签的秘密信息被截获,隐私侵犯者可以获得访问控制权,通过信息回溯得到标签历史记录,推断标签持有者隐私。后台服务器数据库的解码操作是通过穷举搜索,需要对所有的标签进行穷举搜索和Hash函数计算,因此存在拒绝服务攻击。
(3)Hash链方案
作为Hash方法的一个发展,为了解决可跟踪性,标签使用了一个Hash函数在每次阅读器访问后自动更新标识符,实现前向安全性[11]。
方案原理是标签最初在存储器设置一个随机的初始化标识符s 1,同时这个标识符也储存在后台数据库。标签包含两个Hash函数G和H。当阅读器请求访问标签时,标签返回当前标签标识符r k =G (s k )给阅读器,同时当标签从阅读器电磁场获得能量时自动更新标识符s k+1=H (sk)。
Hash链与之前的Hash方案相比主要优点是提供了前向安全性。然而,它并不能阻止重放攻击。并且该方案每次识别时需要进行穷举搜索,比较后台数据库每个标签,一旦标签规模扩大,后端服务器的计算负担将急剧增大。因此Hash链方案存在着所有标签自更新标识符方案的通用缺点,难以大规模扩展,同时,因为需要穷举搜索,所以存在拒绝服务攻击。
(4)匿名ID方案
采用匿名ID[12],隐私侵犯者即使在消息传递过程中截获标签信息也不能获得标签的真实ID。该方案通过第三方数据加密装置采用公钥加密、私钥加密或者添加随机数生成匿名标签ID。虽然标签信息只需要采用随机读取存储器(RAM)存储,成本较低,但数据加密装置与高级加密算法都将导致系统
的成本增加。因标签ID加密以后仍具有固定输出,因此,使得标签的跟踪成为可能,存在标签位置隐私问题。并且,该方案的实施前提是阅读器与后台服务器的通信建立在可信通道上。
(5)重加密方案
该方案采用公钥加密[13]。标签可以在用户请求下通过第三方数据加密装置定期对标签数据进行重写。因采用公钥加密,大量的计算负载超出了标签的能力,通常这个过程由阅读器来处理。该方案存在的最大缺陷是标签的数据必须经常重写,否则,即使加密标签ID固定的输出也将导致标签定位隐私泄露。与匿名ID方案相似,标签数据加密装置与公钥加密将导致系统成本的增加,使得大规模的应用受到限制。并且经常地重复加密操作也给实际操作带来困难。
3.2法规、政策解决方案
除了技术解决方案以外,还应充分利用和制订完善的法规、政策,加强RFID安全和隐私的保护。2002年,Garfinkel先生提出了一个RFID权利法案[14],提出了RFID系统创建和部署的五大指导原则,即RFID标签产品的用户具有如下权利:
有权知道产品是否包含RFID标签
有权在购买产品时移除、失效或摧毁嵌入的RFID标签
有权对RFID做最好的选择,如果消费者决定不选择RFID或启用RFID的Kill功能,消费者不应丧失其他权利
有权知道他们的RFID标签内存储着什么信息,如果信息不正确,则有方法进行纠正或修改
有权知道何时、何地、为什么RFID标签被阅读
4 结束语
RFID标签已逐步进入我们的日常生产和生活当中,同时,也给我们带来了许多新的安全和隐私问题。由于对低成RFID标签的追求,使得现有的密码技术难以应用。如何根据RFID标签有限的计算资源,设计出安全有效的安全技术解决方案,仍然是一个具有相当挑战性的课题。为了有效地保护数据安全和个人隐私,引导RFID的合理应用和健康发展,还需要建立和制订完善的RFID安全与隐私保护法规、政策。
RFID期末复习 第1章 1.什么是RFID技术,它与其他自动识别技术有什么区别,主要优势 在哪? 答: (1)RFID,即无线射频识别。它常称为感应式电子晶片或近接卡、感应卡、非接触卡、电子条码等,俗称电子标签或应答器。 (2)RFID是一种非接触式的自动识别技术,它通过射频信号自动识别目标对象并获取相关数据,可快速的进行物品追踪和数据交换,且其识别工作无须人工干预,可工作于各种恶劣环境。 (3)优势: 第一,它可以识别单个且非常具体的物体; 第二,它采用无线电射频; 第三,它可以同时对多个物体进行识读。 2.简述RFID系统的组成及类型。 答: (1)组成:由电子标签、读写器、中间件和应用系统构成。 (2)类型: 1)按供电方式:有源电子标签、无源电子标签、半无源电子标签。2)按频率:低频电子标签、高频电子标签、超高频电子标签和极高频/微波电子标签。 3)按封装形式:信用卡标签、线型标签、纸状标签、玻璃管标签等。
3.简述RFID技术的发展趋势及对未来生活的影响 答: (1)RFID结合感测装置 (2)RFID结合人体 (3)RFID结合显示装置,拉伸了视角 (4)RFID结合定位技术,准确快速定位 第2章 1.简述电磁波频谱的划分与分配? 答: 频谱的分配,即将频率根据不同的业务加以分配,以避免频率使用方面的混乱;频谱的节约。 2. 简述RFID工作频率的分类及主要应用领域 答: (1)低频段射频标签。应用于动物识别的低频标签外观有项圈式、耳牌式、注射式、药丸式等,典型的应用动物有牛、信鸽等。(2)中高频段射频标签。典型应用包括电子车票、电子身份证、电子闭锁防盗等。 (3)超高频与微波频段射频标签。应用包括移动车辆识别、电子身份证、仓储物流应用、电子闭锁防盗等。 3. 简述RFID天线的主要性能要求及部署时应注意的问题。 答: 在选择标签天线时主要应考虑:
RFID系统的安全与隐私问题研究 1.引言无线射频识别(Radio Frequency Identification RFID)系统是利用RFID技术 对物体对象进行非接触式、即时自动识别的信息系统[l]。由于RFID系统具有可实现移动物体识别、多目标识别、非接触式识别以及抗干扰能力强等优点.已经被广泛应用到零售行业、物流供应链管理、图书馆管理和交通等领域。并视为实现普适计算环境的有效技术之一。然而。由于RFID系统涉及到标签、读写器、互联网、数据库系统等多个对象.其安全性问题也显得较为复杂,包括标签安全、网络安全、数据安全和保护隐私等方面。目前。RFID系统的安全问题已成为制约RFID技术推广应用的主要因素之一。2 RFID系统安全与隐私 RFID系统包括RFID标签、RFID读写器和RFID数据处理系统三部分[2] RFID系统中安全和隐私问题存在于信息传输的各个环节。目前RFID系统的安全隐私问题主要集中在RFID标签与读写器之间电子标签比传统条形码来说安全性有了很大提高。但是RFID电子标签也面临着一些安全威胁。主要表现为标签信息的非法读取和标签数据的恶意篡改。电子标签所携带的标签信息也会涉及到物品所有者的隐私信息。电子标签的隐私威胁主要有跟踪隐私和信息隐私[3]。 RFID系统的数据安全威胁主要指在RFID标签数据在传递过程中受到攻击。被非法读取、克隆、篡改和破坏。这些将给RFID 系统带来严重影响[2]。RFID与网络的结合是RFID技术发展的必然趋势。将现有的RFID 技术与互联网融合。推动RFID技术在物流等领域的更广阔的应用。但随着RFID与网络的融合。网络中常见的信息截取和攻击手段都会给RFID系统带来潜在的安全威胁[4]。保障RFID系统安全需要有较为完备的RFID系统安全机制做支撑。现有RFID系统安全机制所采用的方法主要有三大类:物理安全机制、密码机制、物理安全机制与密码机制相结合。物理机制主要依靠外加设备或硬件功能解决RFID系统安全问题.而密码机制则是通过各种加密协议从软件方面解决RFID系统安全问题。 3 一种基于攻击树的RFID系统安全策略 RFID系统的物理安全机制和密码安全机制往往偏重于某个特定的场景或者特定的安全问题.并不能够有效地保证一个实际的RFID系统 安全.在解决具体问题上也缺乏系统性的描述.为此,提出一种基于攻击树的复合型安全策略。该策略通过分析RFID系统安全隐患.以攻击者的角度模拟各种攻击过程.并用攻击树的 形式加以表现.针对不同的攻击隐患制定不同的安全策略.并最终形成一套复合型的安全策略。复合型安全策略的基础是RFID系统安全隐私攻击模型.该模型能够对整个的攻 击过程进行结构化和形式化的描述.有助于深入分析和研究各种可能的攻击行为.并提出相应的解决策略.进一步提高系统的安全性攻击模型的研究是一门前沿学科.目前大都处于理论研究阶段.主要有适于安全知识共享的模型和适于攻击检测和安全预警的模型两种这里提出的RFID系统安全攻击模型是一种基于攻击树的RFID标签信息窃取攻击模型。3.1 RFID系统安 全策略 (1)攻击树模型构建攻击树模型[5]是由Bruce Scheier提出的一种使用树型结构模拟攻击方法和攻击实例表示整个攻击过程的方法。该模型使用树来表示攻击行为及步骤之间的相互依赖关系.每个节点代表一个攻击行为或子目标.根节点表示攻击的最终目标模型中用“与分解”和“或分解”表示两种不同的树结构。“与分解 ”树表示所有子目标实现父目标才能实现。“或分解”树表示子目标中任一 目标的实现父目标就可实现。根据RFID系统的实际需要.以攻击者的角度模拟所有 可能的攻击路径和方法.使用“与分解”和“或分解”描述全部攻击行为或子目标.并使用深度优先方式从攻击树中推导出实现最终目标的攻击路径。一般可以先采用原语描述整个攻击过程,在原语描述中AND和OR分别表示“与分解”树和 “或分解”树,G表示攻击目标.通过原语的描述最终推导出攻击树模型。 (2)安全策略选择在RFID攻击树模型中.由于中间节点可以由其子节点描述(即父目标 需要子目标实现才能实现),因此攻击路径不含有中间节点.而只含有各层的叶子节点.不同 的攻击路径对应着不同的子目标或攻击方式。目前RFID系统安全策略主要有物理安全机制和 密码安全机制两大类.两类安全机制从不同的方面解决现有的RFID系统安全隐私问题.有针
RFID的信息安全与隐私保护 随着物联网的发展,从信息安全和隐私保护角度上说,物联网终端(RFID、传感器、智能信息设备)的广泛引入在提供更丰富信息的同时,也增加了暴露这些信息的危险。所以有必要安全地管理这些信息,确保隐私信息不被别有用心的攻击者利用,来损坏我们的利益。 RFID作为物联网重要的信息获取手段,现面临着严峻的安全和隐私方面的挑战。网络信息安全的一般性指标包括可靠性、可用性、保密性、完整性、不可抵赖性和可控性。除了这些安全指标外,在物联网中通常还需要考虑隐私。由于RFED标签使用量大,必须控制单个标签的成本,这导致了耽搁RFID标签的能力非常弱小,不能支持复杂的密码学计算。故现在RFID系统面临的安全隐患有窃听、中间人呢攻击、欺骗、重放、克隆、物理破解、篡改信息、拒绝服务攻击、RFID病毒和其他用物理或者电子的方法,未经授权的破坏一个标签。隐私方面则担心隐私信息的泄漏以及被跟踪等问题。 为了应对安全隐私问题,RFID有着自己的保护机制。在RFID早期,由于低成本标签不支持高强度的安全性,人们提出了物理安全机制,主要包括“灭活”(kill)、法拉第网罩、主动干扰以及阻止标签(block tag)等。物理安全机制通过牺牲标签的部分功能来满足隐私保护的要求。随着技术的发展,出现了一些新的隐私保护认证方法,包括基于密码学的安全机制(哈希锁、随机哈希锁、哈希链、同步方法、树形协议)、基于物理不克隆函数(Physical Unclonable Funtion,PUF)的方法、基于掩码的方法、基于策略的方法、基于中间件的方法、带方向的标签等。 RFID的安全与隐私保护寻求的是一种可用性与安全性的统一。在保护隐私的RFID系统中,由于标签不能勾暴露真实身份,增加了标签检索的代价,进而影响整个系统的吞吐量,因此,在低成本的约束下,如何平衡安全、隐私和系统可用性,是所有RFID系统都必须考虑的问题。RFID技术面的安全问题有望与其他技术手段结合来解决,一些已经出现的热门技术包括生物识别技术、近场通信(Near Field Communication, NFC)等。同时,许多政府和团体纷纷出台法律和知道规范来保护RFID及其所有者的安全和隐私。 每一项新技术,诞生之初总会遇到质疑乃至抵制。但是不能因噎废食,不能因为看到一些需要解决的安全和隐私问题就否定和抵制RFID技术。或许,基于RFID技术的电子标签将会掀起全社会的物联网革命浪潮。
(安全生产)RFID的安全 与隐私
RFID的安全和隐私(组图) 作者:彭志威杜江张建,出处:通信世界网,责任编辑:杨春晖, 2007-08-1311:10 随着RFID能力的提高和标签应用的日益普及,安全问题,特别是用户隐私问题变得日益严重。 无线射频识别(RFID)是壹种远程存储和获取数据的方法,其中使用了壹个称为标签(Tag)的小设备。在典型的RFID系统中,每个物体装配着这样壹个小的、低成本的标签。系统的目的就是使标签发射的数据能够被阅读器读取,且根据特殊的应用需求由后台服务器进行处理。标签发射的数据可能是身份、位置信息,或携带物体的价格、颜色、购买数据等。 RFID标签被认为是条码的替代,具有体积小、易于嵌入物体当中、无需接触就能大量地进行读取等优点。另外,RFID标识符较长,可使每壹个物体具有壹个唯壹的编码,唯壹性使得物体的跟踪成为可能。该特征可帮助企业防止偷盗、改进库存管理、方便商店和仓库的清点。此外,使用RFID技术,可极大地减少消费者在付款柜台前的等待时间。 可是,随着RFID能力的提高和标签应用的日益普及,安全问题,特别是用户隐私问题变得日益严重。用户如果带有不安全的标签的产品,则在用户没有感知的情况下,被附近的阅读器读取,从而泄露个人的敏感信息,例如金钱、药物(和特殊的疾病相关联)、书(可能包含个人的特殊喜好)等,特别是可能暴露用户的位置隐私,使得用户被跟踪。 因此,在RFID应用时,必须仔细分析所存在的安全威胁,研究和采取适当的安全措施,既需要技术方面的措施,也需要政策、法规方面的制约。 1RFID技术及其系统组成 1.1系统组成 基本的RFID系统主要由3部分组成,如图1所示,包括: (1)标签 标签放置在要识别的物体上,携带目标识别数据,是RFID系统真正的数据载体,由耦合元件以及微电子芯片(包含调制器、编码发生器、时钟及存储器)组成。 (2)阅读器 阅读器用于读或读/写标签数据的装置,由射频模块(发送器和接收器)、控制单元、和标签连接的藕合单元组成。 (3)后台服务器 后台服务器包含数据库处理系统,存储和管理标签相关信息,如标签标识、阅读器定位、读取时间等。后台服务器接收来自可信的阅读器获得的标签数据,将数据输入到它自身的数据库里,且提供对访问标签相关数据的编号。
RFID引起的隐私安全问题 随着RFID技术应用的增长,对个人隐私安全的关注也随之上升。然而,一名信息安全专家称,RFID技术的益处和功能远超过其潜在的安全问题。RFID指的是无线和无接触式射频磁场,用于传送数据,以自动识别和追踪物品上的标签。这些标签都包含电子储存的信息,分为自带电源和无电源。根据标签类型的不同,读取距离分为10厘米至200米不等。RFID广泛用于不同的行业,包括运输、物流、时装、汽车和药物等。与传统的条形码不同的是,读取时无需将读取器与标签对齐,且标签可安置在物品内部。就是这个特点使许多人对RFID带来的个人隐私安全问题感到担忧。另外,伪造及其它未授权应用也妨碍着RFID技术的推广。IT安全服务供应商Help AG的技术服务主管Nicolai Solling 表示:“人们会担心信息获取是否安全。当涉及到护照和支付卡等高度安全应用时,存在的风险就更大了。如果标签被仿造,那么你的账户就很可能被别人盗用。” 由于标签还可应用于衣物和财产,有人担心这些标签是否会被用于追踪人。据哈佛报告称,RFID标签可安置于许多物品内部,如衣服、鞋子、书本和钥匙卡等,且消费者还可能不知道它的存在。这些标签还可被其它人利用来进行追踪,而且以后RFID读取器将会变得非常便宜,易于隐藏。Solling称:“撇开安全问题不谈,由于RFID安装方便、简单易用,未来RFID必定会普及。不幸的是,组织机构并不总是注意到技术所带来的内部安全风险。这就是行业需改进的地方——不单单是引起注意,还要制定安全使用RFID技术的标准。”
RFID的安全与隐私(组图) 作者: 彭志威杜江张建, 出处:通信世界网,责任编辑: 杨春晖, 2007-08-13 11:10 随着RFID能力的提高和标签应用的日益普及,安全问题,特别是用户隐私问题变得日益严重。 无线射频识别(RFID)是一种远程存储和获取数据的方法,其中使用了一个称为标签(Tag)的小设备。在典型的RFID系统中,每个物体装配着这样一个小的、低成本的标签。系统的目的就是使标签发射的数据能够被阅读器读取,并根据特殊的应用需求由后台服务器进行处理。标签发射的数据可能是身份、位置信息,或携带物体的价格、颜色、购买数据等。 RFID标签被认为是条码的替代,具有体积小、易于嵌入物体当中、无需接触就能大量地进行读取等优点。另外,RFID标识符较长,可使每一个物体具有一个唯一的编码,唯一性使得物体的跟踪成为可能。该特征可帮助企业防止偷盗、改进库存管理、方便商店和仓库的清点。此外,使用RFID技术,可极大地减少消费者在付款柜台前的等待时间。 但是,随着RFID能力的提高和标签应用的日益普及,安全问题,特别是用户隐私问题变得日益严重。用户如果带有不安全的标签的产品,则在用户没有感知的情况下,被附近的阅读器读取,从而泄露个人的敏感信息,例如金钱、药物(与特殊的疾病相关联)、书(可能包含个人的特殊喜好)等,特别是可能暴露用户的位置隐私,使得用户被跟踪。 因此,在RFID应用时,必须仔细分析所存在的安全威胁,研究和采取适当的安全措施,既需要技术方面的措施,也需要政策、法规方面的制约。 1 RFID技术及其系统组成 1.1系统组成 基本的RFID系统主要由3部分组成,如图1所示,包括: (1)标签 标签放置在要识别的物体上,携带目标识别数据,是RFID系统真正的数据载体,由耦合元件以及微电子芯片(包含调制器、编码发生器、时钟及存储器)组成。 (2)阅读器
RFID的安全与隐私 无线射频识别(RFID)是一种远程存储和获取数据的方法,其中使用了一个称为标签(Tag)的小设备。在典型的RFID系统中,每个物体装配着这样一个小的、低成本的标签。系统的目的就是使标签发射的数据能够被阅读器读取,并根据特殊的应用需求由后台服务器进行处理。标签发射的数据可能是身份、位置信息,或携带物体的价格、颜色、购买数据等。 RFID标签被认为是条码的替代,具有体积小、易于嵌入物体当中、无需接触就能大量地进行读取等优点。另外,RFID标识符较长,可使每一个物体具有一个唯一的编码,唯一性使得物体的跟踪成为可能。该特征可帮助企业防止偷盗、改进库存管理、方便商店和仓库的清点。此外,使用RFID技术,可极大地减少消费者在付款柜台前的等待时间。 但是,随着RFID能力的提高和标签应用的日益普及,安全问题,特别是用户隐私问题变得日益严重。用户如果带有不安全的标签的产品,则在用户没有感知的情况下,被附近的阅读器读取,从而泄露个人的敏感信息,例如金钱、药物(与特殊的疾病相关联)、书(可能包含个人的特殊喜好)等,特别是可能暴露用户的位置隐私,使得用户被跟踪。 因此,在RFID应用时,必须仔细分析所存在的安全威胁,研究和采取适当的安全措施,既需要技术方面的措施,也需要政策、法规方面的制约。 1 RFID技术及其系统组成 1.1系统组成 基本的RFID系统主要由3部分组成,如图1所示,包括: (1)标签 标签放置在要识别的物体上,携带目标识别数据,是RFID系统真正的数据载体,由耦合元件以及微电子芯片(包含调制器、编码发生器、时钟及存储器)组成。 (2)阅读器 阅读器用于读或读/写标签数据的装置,由射频模块(发送器和接收器)、控制单元、与标签连接的藕合单元组成。 (3)后台服务器
RFID系统的安全与隐私问题研究 1 引言无线射频识别(Radio Frequency Identification RFID)系统是利用RFID技术对物体对象进行非接触式、即时自动识别的信息系统[l]。由于RFID系统具有可实现移动物体识别、多目标识别、非接触式识别以及抗干扰能力强等优点.已经被广泛应用到零售行业、物流供应链管理、图书馆管理和交通等领域。并视为实现普适计算环境的有效技术之一。然而。由于RFID系统涉及到标签、读写器、互联网、数据库系统等多个对象.其安全性问题也显得较为复杂,包括标签安全、网络安全、数据安全和保护隐私等方面。目前。RFID系统的安全问题已成为制约RFID技术推广应用的主要因素之一。 2 RFID系统安全与隐私 RFID 系统包括RFID标签、RFID读写器和RFID数据处理系统三部分[2] RFID系统中安全和隐私问题存在于信息传输的各个环节。目前RFID系统的安全隐私问题主要集中在RFID标签与读写器之间电子标签比传统条形码来说安全性有了很大提高。但是RFID电子标签也面临着一些安全威胁。主要表现为标签信息的非法读取和标签数据的恶意篡改。电子标签所携带的标签信息也会涉及到物品所有者的隐私信息。电子标签的隐私威胁主要有跟踪隐私和信息隐私[3]。 RFID系统的数据安全威胁主要指在RFID标签数据在传递过程中受到攻击。被非法读取、克隆、篡改和破坏。这些将给RFID系统带来严重影响[2]。RFID与网络的结合是RFID技术发展的必然趋势。将现有的RFID技术与互联网融合。推动RFID技术在物流等领域的更广阔的应用。但随着RFID与网络的融合。网络中常见的信息截取和攻击手段都会给RFID 系统带来潜在的安全威胁[4]。保障RFID系统安全需要有较为完备的RFID系统安全机制做支撑。现有RFID系统安全机制所采用的方法主要有三大类:物理安全机制、密码机制、物理安全机制与密码机制相结合。物理机制主要依靠外加设备或硬件功能解决RFID系统安全问题.而密码机制则是通过各种加密协议从软件方面解决RFID系统安全问题。 3 一种基于攻击树的RFID系统安全策略 RFID系统的物理安全机制和密码安全机制往往偏重于某个特定的场景或者特定的安全问题.并不能够有效地保证一个实际的RFID 系统安全.在解决具体问题上也缺乏系统性的描述.为此,提出一种基于攻击树的复合型安全策略。该策略通过分析RFID系统安全隐患.以攻击者的角度模拟各种攻击过程.并用攻击树的形式加以表现.针对不同的攻击隐患制定不同的安全策略.并最终形成一套复合型的安全策略。复合型安全策略的基础是RFID系统安全隐私攻击模型.该模型能够对整个的攻击过程进行结构化和形式化的描述.有助于深入分析和研究各种可能的攻击行为.并提出相应的解决策略.进一步提高系统的安全性攻击模型的研究是一门前沿学科.目前大都处于理论研究阶段.主要有适于安全知识共享的模型和适于攻击检测和安全预警的模型两种这里提出的RFID系统安全攻击模型是一种基于攻击树的RFID标签信息窃取攻击模型。3.1 RFID 系统安全策略 (1)攻击树模型构建攻击树模型[5]是由Bruce Scheier提出的一种使用树型结构模拟攻击方法和攻击实例表示整个攻击过程的方法。该模型使用树来表示攻击行为及步骤之间的相互依赖关系.每个节点代表一个攻击行为或子目标.根节点表示攻击的最终目标模型中用“与分解”和“或分解”表示两种不同的树结构。“与分解”树表示所有子目标实现父目标才能实现。“或分解”树表示子目标中任一目标的实现父目标就可实现。根据RFID系统的实际需要.以攻击者的角度模拟所有可能的攻击路径和方法.使用“与分解”和“或分解”描述全部攻击行为或子目标.并使用深度优先方式从攻击树中推导出实现最终目标的攻击路径。一般可以先采用原语描述整个攻击过程,在原语描述中AND和OR分别表示“与分解”树和“或分解”树,G表示攻击目标.通过原语的描述最终推导出攻击树模型。 (2)安全策略选择在RFID攻击树模型中.由于中间节点可以由其子节点描述(即父目标需要子目标实现才能实现),因此攻击路径不含有中间节点.而只含有各层
用Has h锁方法解决RFID的安全与隐私问题 ■第二炮兵工程学院 王爱明 李艾华 ■第二炮兵装备研究院 穆晓曦 摘 要提出一种解决RFID安全与隐私问题的方法。它是在随机控制Hash锁方法基础上的一种改进方法,解决了位置隐私和中间人攻击问题;与定控制和随机Hash锁方法相比,具备相同的安全级水平,同时降低计算负载,适合于大量射频标签的场合。 关键词RFID Hash锁安全与隐私 引 言 RFID安全问题集中在对个人用户的隐私保护、对企业用户的商业秘密保护,防范对RFID系统的攻击以及利用RFID技术进行安全防范等多个方面。面临的挑战是: ①保证用户对标签的拥有信息不被未经授权访问,以保护用户在消费习惯、个人行踪等方面的隐私。 ②避免由于RFID系统读取速度快,可以迅速对超市中所有商品进行扫描并跟踪变化,而被利用来窃取用户商业机密。 ③防护对RFID系统的各类攻击,如重写标签以篡改物品信息;使用特制设备伪造标签应答欺骗读写器,以制造物品存在的假相;根据RFID前后向信道的不对称性远距离窃听标签信息;通过干扰RFID工作频率实施拒绝服务攻击;通过发射特定电磁波破坏标签等。 ④如何把RFID的唯一标识特性用于门禁安防、支票防伪、产品防伪等。 为了避免RFID标签给客户带来关于个人隐私的担忧,同时也为了防止用户携带安装有标签的产品进入市场所带来的混乱,很多商家在商品交付给客户时都把标签拆掉。这种方法无疑增加了系统成本,降低了RFID标签的利用率,并且有些场合标签不可拆卸。为解决上述安全与隐私问题,人们还从技术上提出了多种方案,包括K ill标签、法拉第网罩、主动干扰、智能标签、阻止标签和Hash 锁等方法。Hash锁通过简单的Hash函数,增加闭锁和开锁状态,对标签和读写器之间的通信进行访问;但是它无法解决位置隐私和中间人攻击问题。本文提出一种Hash锁改进方法,成功解决了这个问题。1 Hash锁方法分析 1.1 定读取控制Hash锁方法 在定读取控制Hash锁方法中,射频标签只对授权的读写器起作用,它代表了一种认证过程,认证密匙固定不变。使用该方法的射频标签分别有1个只读(ROM)和1个可读写(如RAM)的存储器,并且每个电子标签只供有限的用户使用。这些用户都共有同一个存储在读写存储器中的识别码。每个标签认证读写器的过程如图1所示。读写器对每一个电子标签都有一个认证密匙k,每个电子标签都存储有一Hash方程计算的结果metaID=Hash(k)。首先读写器向射频标签发出ID访问请求,标签向读写器发出相应的metaID。读写器根据接收到的metaID得出密匙k并发送给标签。然后该标签把接收到的密匙k代入Hash方程,检验计算得到的结果与存储在标签中的metaID是否一致。如果一致,标签就把其ID发送给读写器。 该方案提出了一种低成本解决安全与隐私问题的方法。仅仅需要一个Hash方程和存储metaID值就足够。但是它不能防止被跟踪,因为射频标签的反应能提前被预测泄露,并且随机密匙k和标签ID 能被敌人窃听到。 图1定读取控制Hash锁方法
16 RFID安全和隐私保护 在互联网时代,有一句非常著名的话:“在互联网上没有人知道你是一条狗。”但是随着物联网的发展,在不远的将来,不仅你是谁,甚至连你今天去过哪里,遇见到什么人,这些你自己未必记得清楚的细节,都有可能被物联网中的感知设备记录下来。从信息安全和隐私保护角度上说,物联网终端(RFID、传感器、智能信息设备)的广泛引入在提供更丰富信息的同时,也增加了暴露这些信息的危险。所以有必要安全地管理这些信息,确保隐私信息不被别有用心的攻击者利用,来损坏我们的利益。 本章着眼于物联网中目前讨论最多的两大安全隐私问题——RFID安全和位置隐私。RFID标签通常附着于物品,甚至嵌入人体,其中可能存储大量隐私信息。然而,RFID标签受自身成本限制,不支持复杂的加密方法,因而容易遭受攻击。攻击者可以通过破解RFID 标签,来获取、复制、篡改以及滥用RFID标签中保存的信息。而RFID系统的大规模应用为攻击者提供了更多机会。 定位技术给人们的生活带来方便的同时,也带来了新的安全隐忧。随着定位的精度不断提高,位置信息的内涵也变得越来越丰富。高精度的位置信息倘若被攻击者窃取,造成的后果也不可小觑。攻击者可以跟踪某个特定的用户,了解用户去过哪里,推断出干了什么事情、见过什么人;也可以通过追踪匿名用户的位置信息,结合某些先验知识,来判断用户的真实身份。 本章以RFID安全和位置隐私为例,介绍物联网中特有的安全和隐私问题。物联网中也存在传统的安全和隐私问题,在本章节中没有深入讨论。 1.RFID安全现状概述 2008年8月,美国麻省理工学院的三名学生宣布成功破解了波士顿地铁资费卡。更为严重的是,世界各地的公共交通系统都采用几乎同样的智能卡技术,因此使用他们的破解方法可以“免费搭车游世界”。近几年来不时爆出这样的破解事件,相关技术人员或者通常意义下的“黑客”声称破解了一种或多种使用RFID技术的产品,并可以从中获取用户的隐私,或者伪造RFID标签。严峻的安全现状让我们不得不关心,RFID产品有没有相关的安全和隐私的标准规范呢?这些标准规范又为RFID标签提供了哪些保护? 全球电子产品编码组织(EPCglobal)在超高频第一类第二代标签空中接口规范中说明了RFID标签需要支持的一些功能组件,这些功能组件包括“灭活” (kill)、“锁” (10ck)和访问控制密码。这些功能组件可以用来实现一定的安全和隐私保护。在((物品级标签协议要求文档)) (Item—Level‘Fagging(ILT)Protocol Requirements Document)中还对这些功能组件提出了具体的安全性要求。2007年欧盟委员会认为,在大规模应用和部署之前,应该在RFID系统内建隐私和安全。2009年3月,全球自动识别与移动制造商协会(Association for·Automatic Identification and Mobility,AIM Global)的RFID专家工作组(RFID.Experts Group,REG),针对AIM Global成员使用的RFID系统的潜在弱点,公布了一份文件《信息技术~RFID物品管理一实施指南一第四章:RFID数据安全准则》(ISO/IEC TR24’729—4)。这份文件为RFID系统中潜在漏洞的评估提供了指南,同时提出了一些解决办法。这份文件并不致力于解决用户的隐私问题,而是通过减轻未授权的标签数据读取的可能性,提供部分一般性的隐私保护。同年5月,欧盟委员会发布《RFID隐私和数据保护的若干建议》 (RFID Privacy’and Data Protection Recommendation),强调了欧盟在物联网隐私及安全方面多项建议。EPCglobal也对此文件作出积极响应,要求使用其标准的厂商遵守隐私政策,并履行告知消费者的义务。 RFID标准组织已经发布了一系列相关安全标准,而且他们对RFID隐私保护的关注越来越多,相信在不久的将来会有更多相关标准出台。