RFID原理及應(yīng)用：第6講 RFID的安全性

1、第6講 RFID的安全性場景 一(1)超市已構(gòu)建RFID系統(tǒng)并實現(xiàn)倉儲管理、出售商品的自動化收費等功能，超市管理者使用的閱讀器可以讀寫商品標(biāo)簽數(shù)據(jù)(寫標(biāo)簽數(shù)據(jù)時需要接人密鑰)，考慮到價格調(diào)整等因素，標(biāo)簽數(shù)據(jù)必須能夠多次讀寫。(2)移動RFID用戶自身攜帶有嵌入在手機或PDA中的閱讀器，該閱讀器可以掃描超市中商品的標(biāo)簽以獲得產(chǎn)品的制造商、生產(chǎn)日期和價格等詳細信息。RFID智能收貨RFID智能購物車RFID智能結(jié)算未來商店(3)通過信道監(jiān)聽信息截獲、暴力破解(利用定向天線和數(shù)字示波器監(jiān)控標(biāo)簽被讀取時的功率消耗，確定標(biāo)簽何時接受了正確的密碼位)或其他人為因素，攻擊者得到寫標(biāo)簽數(shù)據(jù)所需的接人密鑰。(4

2、)利用標(biāo)簽的接人密鑰，攻擊者隨意修改標(biāo)簽數(shù)據(jù)，更改商品價格，甚至“kill”標(biāo)簽導(dǎo)致超市的商品管理和收費系統(tǒng)陷入混亂以謀取個人私利。 德州儀器（TI）公司制造了一種稱為數(shù)字簽名收發(fā)器（Digital Signature Transponder，DTS）的內(nèi)置加密功能的低頻 RFID 設(shè)備。DST 現(xiàn)已配備在數(shù)以百萬計的汽車上，其功能主要是用于防止車輛被盜。DST 同時也被 SpeedPass 無線付費系統(tǒng)所采用，該系統(tǒng)現(xiàn)用在北美的成千上萬的ExxonMobil 加油站內(nèi)。DST 執(zhí)行了一個簡單的詢問/應(yīng)答（challenge-response）協(xié)議來進行工作.閱讀器的詢問數(shù)據(jù) C 長度為 40

3、bits，芯片產(chǎn)生的回應(yīng)數(shù)據(jù) R 長度為 24bits，而芯片中的密鑰長度亦為 40bits。密碼破譯者都知道，40bits 的密鑰長度對于現(xiàn)在的標(biāo)準(zhǔn)而言太短了，這個長度對于暴力攻擊法毫無免疫力。2004 年末，一隊來自約翰霍普津斯大學(xué)和 RSA 實驗室的研究人員示范了對 DST 安全弱點的攻擊。他們成功的完全復(fù)制了 DST，這意味著他們破解了含有 DST 的汽車鑰匙，并且使用它執(zhí)行了相同的功能。場景 二在2006年意大利舉行的一次學(xué)術(shù)會議上，就有研究者提出病毒可能感染RFID芯片，通過偽造沃爾瑪、家樂福這樣的超級市場里的RFID電子標(biāo)簽，將正常的電子標(biāo)簽替換成惡意標(biāo)簽，即可進入他們的數(shù)據(jù)庫及

4、IT系統(tǒng)中發(fā)動攻擊。 2011年9月，北京公交一卡通被黑客破解，從而敲響了整個RFID行業(yè)的警鐘。黑客通過破解公交一卡通，給自己的一卡通非法充值，獲取非法利益2200元 2011年3月，業(yè)內(nèi)某安全專家破解了一張英國發(fā)行的、利用RFID來存儲個人信息的新型生物科技護照。 2007年RSA安全大會上，一家名為IOActive的公司展示了一款RFID克隆器，這款設(shè)備可以通過復(fù)制信用卡來竊取密碼 場景 三 RFID應(yīng)用的隱私泄露問題 因此，如何實現(xiàn)RFID系統(tǒng)的安全并保護電子標(biāo)簽持有人隱私將是目前和今后發(fā)展RFID技術(shù)十分關(guān)注的課題。存在這么幾個問題1、RFID為什么會泄露個人隱私的 ？2、RFID的

5、安全漏洞在哪,有哪些攻擊方式？ 3、RFID有哪些安全解決方案 ？問題探究一、 RFID的安全問題 首先，RFID標(biāo)簽和后端系統(tǒng)之間的通信是非接觸和無線的，使它們很易受到竊聽; 其次，標(biāo)簽本身的計算能力和可編程性，直接受到成本要求的限制。更準(zhǔn)確地說，標(biāo)簽越便宜，則其計算能力越弱，而更難以實現(xiàn)對安全威脅的防護。 標(biāo)簽中數(shù)據(jù)的脆弱性 標(biāo)簽和閱讀器之間的通信脆弱性 閱讀器中的數(shù)據(jù)的脆弱性 后端系統(tǒng)的脆弱性 主動攻擊：對獲得的標(biāo)簽實體，通過物理手段在實驗室環(huán)境中去除芯片封裝，使用微探針獲取敏感信號，進而進行目標(biāo)標(biāo)簽重構(gòu)的復(fù)雜攻擊；通過軟件，利用微處理器的通用通信接口，通過掃描標(biāo)簽和響應(yīng)讀寫器的探詢，尋

6、求安全協(xié)議、加密算法以及它們實現(xiàn)的弱點，進行刪除標(biāo)簽內(nèi)容或篡改可重寫標(biāo)簽內(nèi)容的攻擊；通過干擾廣播、阻塞信道或其他手段，產(chǎn)生異常的應(yīng)用環(huán)境，使合法處理器產(chǎn)生故障，進行拒絕服務(wù)的攻擊等。被動攻擊： 通過采用竊聽技術(shù)，分析微處理器正常工作過程中產(chǎn)生的各種電磁特征，來獲得 RFID 標(biāo)簽和識讀器之間或其它 RFID 通信設(shè)備之間的通信數(shù)據(jù)（由于接收到閱讀器傳來的密碼不正確時標(biāo)簽的能耗會上升，功率消耗模式可被加以分析以確定何時標(biāo)簽接收了正確和不正確的密碼位）。通過識讀器等竊聽設(shè)備，跟蹤商品流通動態(tài)等； 注：美國 Weizmann 學(xué)院計算機科學(xué)教授 Adi Shamir 和他的一位學(xué)生利用定向天線和數(shù)字

7、示波器來監(jiān)控 RFID 標(biāo)簽被讀取時的功率消耗，通過監(jiān)控標(biāo)簽的能耗過程研究人員推導(dǎo)出了密碼。二、RFID受到的攻擊RFID存在3個方面的安全問題(1)截獲RFID標(biāo)簽：基礎(chǔ)的安全問題就是如何防止對RFID標(biāo)簽信息進行截獲和破解，因為RFID標(biāo)簽中的信息是整個應(yīng)用的核心和媒介，在獲取了標(biāo)簽信息之后攻擊者就可以對RFID系統(tǒng)進行各種非授權(quán)使用11RFID存在3個方面的安全問題(2)破解RFID標(biāo)簽：RFID標(biāo)簽是一種集成電路芯片，這意味著用于攻擊智能卡產(chǎn)品的方法在RFID標(biāo)簽上也同樣可行。破解RFID標(biāo)簽的過程并不復(fù)雜。使用40位密鑰的產(chǎn)品，通常在一個小時之內(nèi)就能夠完成被破解出來；對于更堅固的加密

8、機制，則可以通過專用的硬件設(shè)備進行暴力破解。12RFID存在3個方面的安全問題(3)復(fù)制RFID標(biāo)簽：即使能將加密機制設(shè)定得足夠強壯，強壯到攻擊者無法破解RFID標(biāo)簽仍然面臨著被復(fù)制的危險。特別是那些沒有保護機制的RFID標(biāo)簽，利用讀卡器和附有RFID標(biāo)簽的智能卡設(shè)備就能夠輕而易舉的完成標(biāo)簽復(fù)制工作。盡管目前篡改RFID標(biāo)簽中的信息還非常困難，至少要受到較多的限制，但是，在大多數(shù)情況下，成功的復(fù)制標(biāo)簽信息已經(jīng)足以對RFID系統(tǒng)完成欺騙。13只有合法的讀寫器才能獲取或者更新相應(yīng)的標(biāo)簽的狀態(tài)。 RFID系統(tǒng)的安全需求授權(quán)訪問標(biāo)簽需要對閱讀器進行認證。 只有合法的標(biāo)簽才可以被合法的讀寫器獲取或者更新

9、狀態(tài)信息。(2)標(biāo)簽的認證閱讀器需要對標(biāo)簽進行認證 。 標(biāo)簽用戶的真實身份、當(dāng)前位置等敏感信息，在通信中應(yīng)該保證機密性。 (3)標(biāo)簽?zāi)涿孕畔⒁?jīng)過加密 。 三、RFID系統(tǒng)數(shù)據(jù)傳輸?shù)陌踩?即使攻擊者攻破某個標(biāo)簽獲得了它當(dāng)前時刻t2的狀態(tài)，該攻擊者也無法將該狀態(tài)與之前任意時刻tl(tlt1)識別認證該標(biāo)簽(抵抗重放攻擊)。若一個安全協(xié)議能夠?qū)崿F(xiàn)后向安全性，那么所有權(quán)轉(zhuǎn)移就有了保證。 (5)后向安全性與所有權(quán)轉(zhuǎn)移 每次發(fā)送的身份信息需要不斷變化，且變化后的值不能由變化前的值推導(dǎo)出 。 RFID系統(tǒng)的安全需求 RFID系統(tǒng)可能會受到各種攻擊，導(dǎo)致系統(tǒng)無法正常工作。例如去同步化攻擊可以使得標(biāo)簽和后

10、臺數(shù)據(jù)庫所存儲的信息不一致導(dǎo)致合法標(biāo)簽失效。拒絕服務(wù)攻擊，可以通過對合法標(biāo)簽廣播大量的訪問請求，使得標(biāo)簽無法對合法讀寫器的訪問進行響應(yīng)。 (6)可用性必須設(shè)計良好的安全認證協(xié)議 。 四、RFID的安全解決方案 1、物理安全機制2、邏輯安全機制 若標(biāo)簽支援Kill指令，如EPC Class 1 Gen 2標(biāo)簽，當(dāng)標(biāo)簽接收到讀寫器發(fā)出的Kill指令時，便會將自己銷毀，使得這個標(biāo)簽之后對于讀寫器的任何指令都不會有反應(yīng)，因此可保護標(biāo)簽資料不被讀??；但由于這個動作是不可逆的，一旦銷毀就等于是浪費了這個標(biāo)簽標(biāo)簽銷毀指令法拉第籠 將標(biāo)簽放置在由金屬網(wǎng)罩或金屬箔片組成的容器中，稱作法拉第籠，因為金屬可阻隔無線

11、電訊號之特性，即可避免標(biāo)簽被讀取器所讀取。無線信號將被屏蔽，閱讀器無法讀取標(biāo)簽信息，標(biāo)簽無法向閱讀器發(fā)送信息。缺點：增加了額外費用，有時不可行，如衣服上的RFID 標(biāo)簽。1、物理安全機制主動干擾 使用能夠主動發(fā)出廣播訊號的設(shè)備，來干擾讀取器查詢受保護之標(biāo)簽，成本較法拉第籠低；但此方式可能干擾其他合法無線電設(shè)備的使用；阻擋標(biāo)簽 使用一種特殊設(shè)計的標(biāo)簽，稱為阻擋標(biāo)簽 (Blocker Tag)，此種標(biāo)簽會持續(xù)對讀取器傳送混淆的訊息，藉此阻止讀取器讀取受保護之標(biāo)簽；但當(dāng)受保護之標(biāo)簽離開阻擋標(biāo)簽的保護范圍，則安全與隱私的問題仍然存在。 綜上，物理安全機制存在很大的局限性，往往需要附加額外的輔助設(shè)備，這

12、不但增加了額外的成本，還存在其他缺陷。如Kill命令對標(biāo)簽的破壞性是不可逆的；某些有RFID標(biāo)簽的物品不便置于法拉第籠中等。2、邏輯安全機制基于共享秘密和偽隨機函數(shù)的安全協(xié)議基于加密算法的安全協(xié)議基于Hash函數(shù)和偽隨機函數(shù)基于循環(huán)冗余校驗（CRC）的安全協(xié)議基于消息認證碼（MAC）的安全協(xié)議基于邏輯位運算的安全協(xié)議22密碼學(xué)的基礎(chǔ)概念 加密模型 加密和解密變換的關(guān)系式： c=EK(m) m=DK(c)=DK(EK(m) 對稱密碼體制一種常規(guī)密鑰密碼體制，也稱為單鑰密碼體制或私鑰密碼體制。在對稱密碼體制中，加密密鑰和解密密鑰相同。 從得到的密文序列的結(jié)構(gòu)來劃分，有序列密碼和分組密碼兩種不同的密

13、碼體制。序列密碼是將明文m看成是連續(xù)的比特流（或字符流）m1m2，并且用密鑰序列K=K1K2中的第i個元素Ki對明文中的mi進行加密，因此也稱為流密碼。分組密碼是將明文劃分為固定的n比特的數(shù)據(jù)組，然后以組為單位，在密鑰的控制下進行一系列的線性或非線性的變化而得到密文。 非對稱密碼體制 公開密鑰與私人密鑰 加密算法E和解密算法D必須滿足以下三個條件：D(E(m)m，m為明文；從E導(dǎo)出D非常困難；使用“選擇明文”攻擊不能破譯，即破譯者即使能加密任意數(shù)量的選擇明文，也無法破譯密文。 25三次認證過程基于共享秘密和偽隨機函數(shù)的安全協(xié)議注：該協(xié)議在認證過程中，屬于同一應(yīng)用的所有標(biāo)簽和閱讀器共享同一的加密

14、密鑰。由于同一應(yīng)用的所有標(biāo)簽都使用唯一的加密密鑰，所有三次認證協(xié)議具有安全隱患。27射頻識別中的認證技術(shù) 三次認證過程閱讀器發(fā)送查詢口令的命令給應(yīng)答器，應(yīng)答器作為應(yīng)答響應(yīng)傳送所產(chǎn)生的一個隨機數(shù)RB給閱讀器。閱讀器產(chǎn)生一個隨機數(shù)RA，使用共享的密鑰K和共同的加密算法EK，算出加密數(shù)據(jù)塊TOKEN AB，并將TOKEN AB傳送給應(yīng)答器。TOKEN ABEK(RA,RB) 應(yīng)答器接受到TOKEN AB后，進行解密，將取得的隨機數(shù)與原先發(fā)送的隨機數(shù)RB進行比較，若一致，則閱讀器獲得了應(yīng)答器的確認。應(yīng)答器發(fā)送另一個加密數(shù)據(jù)塊TOKEN BA給閱讀器，TOKEN BA為TOKEN BAEK(RB1,RA

15、) 閱讀器接收到TOKEN BA并對其解密，若收到的隨機數(shù)與原先發(fā)送的隨機數(shù)RA相同，則完成了閱讀器對應(yīng)答器的認證。例如：Mifare卡，采用三次認證協(xié)議，其密鑰為6字節(jié)，即48位，一次典型的驗證需要6ms，如果外部使用暴力破解的話，需要的時間為一個非常大的數(shù)字，常規(guī)破解手段將無能為力。29數(shù)據(jù)加密標(biāo)準(zhǔn)（Data Encryption Standard，DES）DES由IBM公司1975年研究成功并發(fā)表，1977年被美國定為聯(lián)邦信息標(biāo)準(zhǔn)。DES 使用一個 56 位的密鑰以及附加的 8 位奇偶校驗位，將64位的明文經(jīng)加密算法變換為64位的密文。加密和解密共用同一算法，使工程實現(xiàn)的工作量減半。綜合

16、運用了置換、代替、代數(shù)等多種密碼技術(shù)。 基于加密算法的安全協(xié)議30DES加密算法 Li=Ri-1 RiLi-1f(Ri-1, Ki)從左圖可知 i= 1,2,3,16矩陣 58 50 42 34 26 18 10 260 52 44 36 28 20 12 4 62 54 46 38 30 22 14 664 56 48 40 32 24 16 857 49 41 33 25 17 9 159 51 43 35 27 19 11 3 61 53 45 37 29 21 13 563 55 47 39 31 23 15 7 作用:把64位明文打亂重排。左一半為L0 (左32位) ，右一半為R0

17、(右32位) 。例：把輸入的第1位置換到第40位，把輸入的第58位置換到第1位。初始置換IP3重DES 3DES是DES加密數(shù)據(jù)的一種模式，它使用3條56位的密鑰對數(shù)據(jù)進行三次加密。33高級加密標(biāo)準(zhǔn)（Advanced Encryption Standard，AES） 高級加密標(biāo)準(zhǔn)由美國國家標(biāo)準(zhǔn)與技術(shù)研究院 （NIST）于2001年11月26日發(fā)布于FIPS PUB 197，并在2002年5月26日成為有效的標(biāo)準(zhǔn)。2006年，高級加密標(biāo)準(zhǔn)已然成為對稱密鑰加密中最流行的算法之一。 AES是分組加密算法，分組長度為128位，密鑰長度有128位、192位、256位三種，分別稱為AES-128，AES-

18、192，AES-256。 AES基本要求：比3重DES快至少與3重DES一樣安全數(shù)據(jù)長度為128bit密鑰長度為128/192/256bit設(shè)計原則：能抵抗所有已知的攻擊；在各種平臺上易于實現(xiàn)，速度快；設(shè)計簡單。 標(biāo)準(zhǔn)的高級加密算法(AES)大概需要20000-30000個等效門電路來實現(xiàn)。但Feldhofer等人提出了一個128位的AES算法只需要3600個等效門（和256bit的RAM）實現(xiàn)。該算法是迄今為止已知的最低成本的AES方案。36RSA算法 MIT三位年青數(shù)學(xué)家R.L.Rivest，A.Shamir和L.Adleman等發(fā)現(xiàn)了一種用數(shù)論構(gòu)造雙鑰的方法，稱作MIT體制，后來被廣泛稱

19、之為RSA體制。它既可用于加密、又可用于數(shù)字簽字。RSA算法的安全性基于數(shù)論中大整數(shù)分解的困難性。即要求得兩個大素數(shù)的乘積是容易的，但要分解一個合數(shù)為兩個大素數(shù)的乘積，則在計算上幾乎是不可能的。密鑰長度應(yīng)該介于1024bit到2048bit之間RSA-129歷時8個月被于1996年4月被成功分解，RSA130于1996年4月被成功分解，RSA-140于1999年2月被成功分解，RSA-155于1999年8月被成功分解。DES和RSA兩種算法各有優(yōu)缺點：DES算法處理速度快，而RSA算法速度慢很多；DES密鑰分配困難，而RSA簡單；DES適合用于加密信息內(nèi)容比較長的場合，而RSA適合用于信息保密

20、非常重要的場合。37橢圓曲線密碼體制（ECC） 橢圓曲線 Weierstrass方程 y2+a1xy+a3y=x3+a2x2+a4x+a6 38橢圓曲線的基本ElGamal加解密方案 加密算法：首先把明文m表示為橢園曲線上的一個點M，然后再加上KQ進行加密，其中K是隨機選擇的正整數(shù)，Q是接收者的公鑰。發(fā)方將密文c1=KP和c2=M+KQ發(fā)給接收方。解密算法：接收方用自己的私鑰計算 dc1=d(KP)=K(dP)=KQ 恢復(fù)出明文點M為 M=c2-KQ 39RSA算法的特點之一是數(shù)學(xué)原理簡單，在工程應(yīng)用中比較易于實現(xiàn)，但它的單位安全強度相對較低，用目前最有效的攻擊方法去破譯RSA算法，其破譯或求

21、解難度是亞指數(shù)級。ECC算法的數(shù)學(xué)理論深奧復(fù)雜，在工程應(yīng)用中比較困難，但它的安全強度比較高，其破譯或求解難度基本上是指數(shù)級的。這意味著對于達到期望的安全強度，ECC可以使用較RSA更短的密鑰長度。 ECC的密鑰尺寸和系統(tǒng)參數(shù)與RSA相比要小得多，因此 ECC在智能卡中已獲得相應(yīng)的應(yīng)用，可不采用協(xié)處理器而在微控制器中實現(xiàn)，而在RFID中的應(yīng)用尚需時日。 哈希(Hash)鎖方案（Hash lock） Hash鎖是一種更完善的抵制標(biāo)簽未授權(quán)訪問的安全與隱私技術(shù)。整個方案只需要采用Hash函數(shù)，因此成本很低。 Hash函數(shù)的特點：給定x，計算h(x)容易，但給定h(x)，求x計算上不可行；對于任意x，

22、找到一個y，且yx使得h(x)= h(y)，計算上是不可行的；同時，發(fā)現(xiàn)一對(x，y)使得h(x)=h(y)，計算上也是不可行的。給定函數(shù)h及安全參數(shù)k，輸入為任意長度二進制串，輸出為k位二進制串，記為 ；基于Hash函數(shù)和偽隨機函數(shù) 鎖定標(biāo)簽：對于唯一標(biāo)志號為ID的標(biāo)簽，首先閱讀器隨機產(chǎn)生該標(biāo)簽的Key，計算metaID=Hash(Key)，將metaID發(fā)送給標(biāo)簽；標(biāo)簽將metaID存儲下來，進入鎖定狀態(tài)。閱讀器將(metaID，Key，ID)存儲到后臺數(shù)據(jù)庫中，并以metaID 為索引。哈希(Hash)鎖方案（Hash lock） 解鎖標(biāo)簽：閱讀器詢問標(biāo)簽時，標(biāo)簽回答metaID；閱讀器

23、查詢后臺數(shù)據(jù)庫，找到對應(yīng)的(metaID，Key，ID)記錄，然后將該Key值發(fā)送給標(biāo)簽；標(biāo)簽收到Key值后，計算Hash(Key)值，并與自身存儲的metaID值比較，若Hash(Key)=metaID，標(biāo)簽將其ID發(fā)送給閱讀器，這時標(biāo)簽進入已解鎖狀態(tài)，并為附近的閱讀器開放所有的功能。哈希(Hash)鎖方案（Hash lock） 方法的優(yōu)點：解密單向Hash函數(shù)是較困難的，因此該方法可以阻止未授權(quán)的閱讀器讀取標(biāo)簽信息數(shù)據(jù)，在一定程度上為標(biāo)簽提供隱私保護；該方法只需在標(biāo)簽上實現(xiàn)一個Hash函數(shù)的計算，以及增加存儲metaID值，因此在低成本的標(biāo)簽上容易實現(xiàn)。方法的缺陷：由于每次詢問時標(biāo)簽回答的數(shù)據(jù)是特定的，因此其不能防止位置跟蹤攻擊；閱讀器和標(biāo)簽問傳輸?shù)臄?shù)據(jù)未經(jīng)加密，竊聽者可以輕易地獲得標(biāo)簽Key和ID值。哈希(Hash)鎖方案（Hash lock） 注：常用的Hash算法硬件開銷是比較大的，例如SHA-1算法大概需要20000個等效門電路來