RFID世界網(wǎng) > 新聞中心 > 行業(yè)動(dòng)態(tài) > 正文

安全隱患不容忽視 RFID信息安全策略分析

作者：支點(diǎn)網(wǎng) 曾雋芳趙毅強(qiáng) 陳琳夏添

來源：來源網(wǎng)絡(luò)(侵權(quán)刪)

日期：2007-03-04 11:44:40

摘要：本文分別從RFID系統(tǒng)的前端無線裝置和協(xié)議、后臺(tái)網(wǎng)絡(luò)系統(tǒng)安全以及數(shù)據(jù)安全三方面進(jìn)行信息安全方面的策略分析。

關(guān)鍵詞：安全后臺(tái)網(wǎng)絡(luò)前端無線裝置數(shù)據(jù)安全協(xié)議信息安全

　　雖然RFID由于頻段相容等多種原因還沒有形成全球統(tǒng)一的產(chǎn)業(yè)標(biāo)準(zhǔn)，但已經(jīng)有越來越多的RFID產(chǎn)品被實(shí)際應(yīng)用，特別是在物流領(lǐng)域?；赗FID本身強(qiáng)大的功能，我們完全相信RFID的發(fā)展前景極為廣闊，甚至組成一個(gè)全球性的物聯(lián)網(wǎng)。正因?yàn)槿绱?，其安全問題不容我們忽視。如果一個(gè)RFID芯片設(shè)計(jì)不良或沒有受到保護(hù)，有很多手段可以獲取此芯片的結(jié)構(gòu)和其中的數(shù)據(jù)，所造成的損失將會(huì)不堪設(shè)想。

　　本文分別從RFID系統(tǒng)的前端無線裝置和協(xié)議、后臺(tái)網(wǎng)絡(luò)系統(tǒng)安全以及數(shù)據(jù)安全三方面進(jìn)行信息安全方面的策略分析。

　　前端無線裝置和協(xié)議面臨的威脅及解決辦法

　　RFID系統(tǒng)前端的無線裝置和傳輸協(xié)議是可靠產(chǎn)生系統(tǒng)處理信息的依托，是整個(gè)系統(tǒng)的基礎(chǔ)，其除了具有無線系統(tǒng)所通用的安全威脅之外，其標(biāo)簽也有特定的安全問題，需要多方面考慮。

　　對(duì)這個(gè)問題的研究，澳洲柏斯大學(xué)研究人員Edith Cowan研究人員曾說，第一代RFID的安全漏洞在于，一旦數(shù)據(jù) 超載，就無法正常作業(yè)。在較新的UHF式RFID標(biāo)簽中，也發(fā)現(xiàn)到該漏洞，它可對(duì)關(guān)鍵或攸關(guān)人命的RFID系統(tǒng)造成影響。就連更精密、可以四段速操作的“第二代RFID”也一樣逃不過攻擊。

　　RFID是一種靠無線射頻遠(yuǎn)距辨識(shí)身分的技術(shù)，需要讀取器在一定的距離內(nèi)和RFID電子卷標(biāo)內(nèi)建的頻道進(jìn)行非接觸雙向溝通。之所以被認(rèn)為安全，是因?yàn)樽x取器碰到障礙后，會(huì)在頻段內(nèi)跳接不同的頻道。

　　為了測(cè)試RFID的安全性，澳洲研究員將電子卷標(biāo)使用的頻段全部滿載，讓讀取器無法和電子卷標(biāo)溝通。結(jié)果發(fā)現(xiàn)，頻道跳接的設(shè)計(jì)并不能阻止不法份子進(jìn)行阻斷服務(wù)攻擊。因?yàn)殡娮泳順?biāo)本身無法跳接頻道。

　　研究員也發(fā)現(xiàn)，在3英尺的距離之外，可以阻斷電子標(biāo)簽與讀取器的溝通，讓卷標(biāo)進(jìn)入“通信錯(cuò)誤”的狀態(tài)。雖然讀取器碰到干擾可在設(shè)定的頻段之間跳接，但RFID電子卷標(biāo)卻不行。

　　其他各研究單位和具體廠商也發(fā)現(xiàn)了系統(tǒng)前端部分的各種問題。比如，專家Rubin斷言，雖然最近也進(jìn)行了一些改進(jìn)，但大多數(shù)RFID芯片依然很容易被破解。其中一個(gè)原因是: 最廉價(jià)和最流行的RFID芯片都沒有電池，事實(shí)上它們是在掃描時(shí)由讀卡機(jī)提供能量。Rubin認(rèn)為，這限制了芯片可設(shè)置密碼的數(shù)量。由于缺乏自己的動(dòng)力系統(tǒng)，這種芯片也容易受到“能耗途徑竊取”(power-consumption hack)的攻擊。

　　歐洲一個(gè)電腦研究組織表示，軟件病毒可以安插至無線射頻身份識(shí)別(RFID)標(biāo)簽當(dāng)中。前不久在意大利比薩召開的一個(gè)電腦學(xué)術(shù)會(huì)議上，研究人員公布了一份報(bào)告，該報(bào)告聲稱，病毒有可能感染RFID晶片的記憶體。

　　雖然目前大部分的電腦安全專家都認(rèn)為，RFID晶片不可能感染電腦病毒，因?yàn)檫@種晶片的記憶體數(shù)量相當(dāng)有限。但研究人員表示，RFID存在被病毒感染的危險(xiǎn)，幸好他們同時(shí)還公布了一套讓RFID晶片免受攻擊的防范措施。

　　對(duì)于RFID標(biāo)簽來說，芯片具有可重復(fù)編程功能的確是個(gè)問題。公司全球戰(zhàn)略專家帕特·金(Pat King)認(rèn)為，這需要“適當(dāng)?shù)墓芾怼??！肮静粦?yīng)該幻想可重復(fù)編程標(biāo)簽內(nèi)的數(shù)據(jù)總是安全的。如果你對(duì)信息的有效性產(chǎn)生了懷疑，就應(yīng)該把芯片上的信息與儲(chǔ)存在數(shù)據(jù)庫里的數(shù)據(jù)進(jìn)行比較驗(yàn)證。

　　最近，來自荷蘭阿姆斯特丹的Vrije大學(xué)的一組計(jì)算機(jī)研究員宣稱，他們已發(fā)現(xiàn)包括EPC標(biāo)簽在內(nèi)的RFID標(biāo)簽可以被用來攜帶病毒，并對(duì)電腦系統(tǒng)造成攻擊，他們相信使用可讀寫的RFID標(biāo)簽會(huì)有很大的風(fēng)險(xiǎn)，一個(gè)有惡意代碼的標(biāo)簽會(huì)造成更多的被感染標(biāo)簽，這將引發(fā)一場(chǎng)混亂。

　　一位知名的破解密碼專家應(yīng)用功率分析技術(shù)，破譯了最流行RFID標(biāo)簽品牌的密碼。美國Weizmann學(xué)院計(jì)算機(jī)科學(xué)教授Adi Shamir也在RSA會(huì)議高層研討中匯報(bào)了他的工作。他和他的一位學(xué)生已經(jīng)能侵入某個(gè)RFID標(biāo)簽并開發(fā)出相應(yīng)的密碼殺手——一種可使標(biāo)簽自毀的代碼。通過監(jiān)控標(biāo)簽的能耗過程研究人員推導(dǎo)出了密碼。(推導(dǎo)過程是，接收到讀卡機(jī)傳來的不正確數(shù)據(jù)時(shí)，標(biāo)簽的能耗會(huì)上升)。研究人員只用了3個(gè)小時(shí)就開發(fā)出了標(biāo)簽的殺手代碼。他們表示，雖然使用的標(biāo)簽已經(jīng)過時(shí)，但即使是去年下半年上市的最新產(chǎn)品也存在類似的問題，只需如手機(jī)一樣簡單的工具就可侵入RFID標(biāo)簽。

　　此外，與Shamir合作開發(fā)RSA算法的MIT電氣工程和計(jì)算機(jī)科學(xué)教授Ron Rivest借年會(huì)平臺(tái)呼吁行業(yè)共同創(chuàng)建下一代散列算法，以取代當(dāng)今的SHA-1。最近幾周，Shamir利用定向天線和數(shù)字示波器來監(jiān)控RFID標(biāo)簽被讀取時(shí)的功率消耗。功率消耗模式可被加以分析以確定何時(shí)標(biāo)簽接收了正確和不正確的密碼位。解密專家在會(huì)議中探討了基本SHA-1散列算法的弱點(diǎn)?！拔覜]有測(cè)試所有RFID標(biāo)簽，但我們測(cè)試了最大品牌，它完全沒有保護(hù)措施?！盨hamir說道。而Rivest則表示: “我期望工業(yè)能創(chuàng)建一個(gè)類似為AES算法所做的流程，到2010前研究出新的散列功能?！?/P>

　　RSA擔(dān)心存儲(chǔ)在RFID標(biāo)簽中的信息將會(huì)被任何持有RFID讀取器的黑客盜取，目前這種威脅還不大，但是一旦這項(xiàng)技術(shù)被普遍接受，讀取器的價(jià)格將會(huì)大幅下降，而且，讀取器還有可能被內(nèi)置在手機(jī)上，這些都大大增加了對(duì)于安全的威脅。

　　提供IT咨詢服務(wù)的咨詢委員會(huì)(The Advisory Council，以下簡稱TAC)認(rèn)為，缺乏對(duì)點(diǎn)對(duì)點(diǎn)加密(使用現(xiàn)行的標(biāo)準(zhǔn)，諸如ISO14443/DESFire就可以實(shí)現(xiàn))和PKI(公鑰基礎(chǔ)結(jié)構(gòu))密鑰交換的支持，是導(dǎo)致標(biāo)簽漏洞的原因之一。很多人還指出，“惡意”標(biāo)簽(rogue tag)有可能破壞供應(yīng)鏈數(shù)據(jù)。一旦遭到“拒絕服務(wù)”式攻擊，把標(biāo)簽中的數(shù)據(jù)改為隨機(jī)數(shù)據(jù)，將降低供應(yīng)鏈的速度。這類風(fēng)險(xiǎn)一點(diǎn)都不比現(xiàn)在存在的風(fēng)險(xiǎn)小。

　　同時(shí)在實(shí)際應(yīng)用中，對(duì)于剛剛使用RFID的企業(yè)，RFID標(biāo)簽很容易就被黑客、商店扒手或者不滿的職員所操控。還有一個(gè)問題是“極低的成本將會(huì)大大限制RFID標(biāo)簽的功能”。在過去20年內(nèi)開發(fā)出來的好的安全工具，和目前的大部分RFID標(biāo)簽硬件都不匹配。舉例而言，如果對(duì)一個(gè)標(biāo)簽進(jìn)行加密，就會(huì)大大消耗標(biāo)簽的處理能力，并增加標(biāo)簽的成本。為了控制成本，公司需要的是重量輕、價(jià)格低的標(biāo)簽，這正好跟標(biāo)簽的安全需求相違背。

　　也有人提出，數(shù)據(jù)在讀入到讀取器的過程中，可能在半途被竊取。

　　如此眾多的問題，研究者和應(yīng)用商們也正在逐步尋求解決方案，比如:

　　在芯片設(shè)計(jì)與實(shí)現(xiàn)的工程中考慮攻擊措施，以保護(hù)重要的數(shù)據(jù)不被非法利用。許多專家已經(jīng)就目前針對(duì)芯片的各種破壞性、非破壞性攻擊手段(比如版圖重構(gòu)，存儲(chǔ)器讀取技術(shù)，電流攻擊和故障攻擊等)，從軟、硬件角度分析現(xiàn)有的各種安全措施如何應(yīng)對(duì)這些攻擊，或使攻擊變得難以實(shí)施，同時(shí)給出建議如何避免不良設(shè)計(jì)。

　　一些應(yīng)用廠商已經(jīng)開始考慮采用安全設(shè)備來緩解有關(guān)RFID標(biāo)簽安全的憂慮。比如給每個(gè)產(chǎn)品一個(gè)惟一的電子產(chǎn)品代碼，這有點(diǎn)類似于汽車的牌照號(hào)碼。一旦有人想破壞安全，他得到的只是單個(gè)產(chǎn)品的信息。這樣的話，就不值得花時(shí)間去解碼，“門檻太高，沒有人會(huì)這樣做的?！崩赘f。此外，新的EPCglobal超高頻第二代協(xié)議標(biāo)準(zhǔn)增強(qiáng)了無源標(biāo)簽的安全性能。據(jù)EPCglobal產(chǎn)品管理總監(jiān)秀·赫欽森(Sue Hutchinson)介紹，新標(biāo)準(zhǔn)不僅提供了密碼保護(hù)，而且能對(duì)數(shù)據(jù)從標(biāo)簽傳輸?shù)阶x取器的過程進(jìn)行加密，而不是對(duì)標(biāo)簽上的數(shù)據(jù)進(jìn)行加密。

　　2005年，Johns Hopkins大學(xué)和RSA實(shí)驗(yàn)室的專家宣布使用在高安全性車鑰匙和加油站付費(fèi)系統(tǒng)中使用RFID技術(shù)的密碼弱點(diǎn)。

　　針對(duì)RFID業(yè)界的一個(gè)主要擔(dān)憂RFID標(biāo)簽有可能被仿冒，它的編碼系統(tǒng)有可能被復(fù)制。XINK公司的新墨水可以消除這種隱患，這是一種理論上不可見的印刷墨水。把這種墨水與Creo公司的隱形標(biāo)簽技術(shù)結(jié)合，標(biāo)簽被仿冒的擔(dān)憂就可以消除。

　　大部分的RFID產(chǎn)業(yè)擁有者都意識(shí)到標(biāo)簽資料保密性的重要，一些廠商對(duì) RFID 的私隱問題作出了很大的努力，并且提供了幾個(gè)可行的解決方案，例如:

　　使用探測(cè)器探測(cè)其他 RFID 閱讀器的存在，以防上資料暴露;

　　為RFID 標(biāo)簽編程，使其只可能與己授權(quán)的 RFID 閱讀器通信;

　　采用EPCglobal 所提倡的消除標(biāo)簽資料 (kill tag) 協(xié)議，禁止資料殘留于被棄用的標(biāo)簽上;

　　采用更強(qiáng)的加密及安全功能。

　　可能的解決辦法

　　RFID網(wǎng)絡(luò)中安全威脅主要有兩方面，一是從讀寫器傳到后臺(tái)之間的網(wǎng)絡(luò)漏洞給系統(tǒng)和后臺(tái)信息造成潛在威脅，二是RFID系統(tǒng)后臺(tái)網(wǎng)絡(luò)是借助于標(biāo)準(zhǔn)的互聯(lián)網(wǎng)設(shè)施，因此RFID后臺(tái)網(wǎng)絡(luò)中存在的安全問題和互聯(lián)網(wǎng)是一樣的。因此射頻識(shí)別(RFID)技術(shù)面臨網(wǎng)絡(luò)安全挑戰(zhàn)，這是參與TechBiz Connection有關(guān)RFID研討的嘉賓得出的一致意見。

　　對(duì)第一種威脅，研究機(jī)構(gòu)Forrester 公司的分析師勞拉·科茨勒(Laura Koetzle)指出，如果競(jìng)爭對(duì)手或入侵者把他們開發(fā)出來的“惡意標(biāo)簽”裝到未經(jīng)安全處理的網(wǎng)絡(luò)上，他們就可以把所有掃描到的數(shù)據(jù)傳輸出去。這就是一種網(wǎng)絡(luò)漏洞造成的系統(tǒng)泄漏。另外與其它無線技術(shù)類似，對(duì)于沒有使用帶內(nèi)置協(xié)議如安全殼及安全槽層的設(shè)備來確保其RFID網(wǎng)絡(luò)安全無憂的公司來說，存在著安全風(fēng)險(xiǎn)。因?yàn)閷?duì)于無線平臺(tái)的供應(yīng)鏈應(yīng)用網(wǎng)絡(luò)來說“攻破它是非常輕而易舉的事情。”

　　對(duì)第二種威脅，最近，三位計(jì)算機(jī)研究者在意大利比薩舉辦的一次會(huì)議上就曾發(fā)表了一篇關(guān)于計(jì)算機(jī)病毒如何傳染RFID的論文。因此，RFID中間件開發(fā)商必須作一些適當(dāng)?shù)臋z查，來防止RFID在受到Internet上的漏洞攻擊時(shí)重蹈覆轍。他們?cè)谡撐闹羞€寫道:“操縱標(biāo)簽上少于1000位的RFID數(shù)據(jù)就能夠開拓安全漏洞來影響RFID中間件，暗中進(jìn)行破壞活動(dòng);嚴(yán)重的情況下，也許能夠危及到整個(gè)計(jì)算機(jī)、或者整個(gè)網(wǎng)絡(luò)的安全?！毙疫\(yùn)的是RFID中間件除了能夠?qū)⒈O(jiān)測(cè)RFID信號(hào)的硬件與后臺(tái)能夠利用RFID信息的企業(yè)軟件連接起來，更重要的一點(diǎn)，它可以繼承傳統(tǒng)中間件在安全方面的優(yōu)勢(shì)，幫助RFID應(yīng)用削減安全隱患。

　　阿姆斯特丹自由大學(xué)的研究者Andrew S. Tanenbaum、Bruno Crispo和Melanie R. Rieback也討論了該問題并總結(jié)道，RFID惡意軟件就是一個(gè)“潘多拉魔盒”。因?yàn)閷?duì)于研究者來講，典型的攻擊目標(biāo)就是RFID中間件，同時(shí)從RFID標(biāo)簽來的數(shù)據(jù)能夠用來攻擊后端的軟件系統(tǒng)。

　　當(dāng)數(shù)據(jù)在EPCglobal網(wǎng)絡(luò)上交換時(shí)，使用者希望現(xiàn)有的一些安全手段，比如防火墻和其他接入管理技術(shù)也能用來保護(hù)網(wǎng)絡(luò)中數(shù)據(jù)安全，并確保只有被授權(quán)者才能接觸到數(shù)據(jù)，VeriSign公司的技術(shù)人員說。VeriSign公司目前協(xié)助解決這些問題。

　　保護(hù)RFID數(shù)據(jù)安全的解決方案

　　另一方面，如果系統(tǒng)與消費(fèi)者相關(guān)聯(lián)，則存在于上述消費(fèi)者應(yīng)用類似的風(fēng)險(xiǎn)。國防和軍事領(lǐng)域的RFID應(yīng)用的安全風(fēng)險(xiǎn)類似于企業(yè)應(yīng)用，但是它則完全涉及到國家的安全。

　　由于保存于閱讀器或者后端系統(tǒng)中的數(shù)據(jù)屬于傳統(tǒng)信息安全的范疇，標(biāo)簽中的數(shù)據(jù)安全和標(biāo)簽與閱讀器通信安全就需要相應(yīng)的解決方案。如表中所示。

　　對(duì)于某些不需要經(jīng)常移動(dòng)的被標(biāo)簽?zāi)繕?biāo)，可以通過常規(guī)的物理安全手段限制對(duì)標(biāo)簽的訪問。不幸的是，被標(biāo)簽的目標(biāo)一般都需要移動(dòng)。

　　只讀標(biāo)簽

　　這種方式消除了數(shù)據(jù)被篡改和刪除的風(fēng)險(xiǎn)，但是仍然具有被非法閱讀的風(fēng)險(xiǎn)。

　　限制標(biāo)簽和閱讀器之間的通信距離

　　采用不同的工作頻率、天線設(shè)計(jì)、標(biāo)簽技術(shù)和閱讀器技術(shù)可以限制兩者之間的通信距離，降低非法接近和閱讀標(biāo)簽的風(fēng)險(xiǎn)，但是這仍然不能解決數(shù)據(jù)傳輸?shù)娘L(fēng)險(xiǎn)還以損害可部署性為代價(jià)。

　　實(shí)現(xiàn)專有的通信協(xié)議

　　在高度安全敏感和互操作性不高的情況下，實(shí)現(xiàn)專有通信協(xié)議是有效的。它涉及到實(shí)現(xiàn)一套非公有的通信協(xié)議和加解密方案?；谕晟频耐ㄐ艆f(xié)議和編碼方案，可實(shí)現(xiàn)較高等級(jí)的安全。但是，這樣便喪失了與采用工業(yè)標(biāo)準(zhǔn)的系統(tǒng)之間的RFID數(shù)據(jù)共享能力。當(dāng)然，還可以通過專用的數(shù)據(jù)網(wǎng)關(guān)來進(jìn)行處理。

　　屏蔽

　　屏蔽掉標(biāo)簽之后，也同時(shí)喪失了RF特征。但是在不需要閱讀和通信的時(shí)候，這也是一個(gè)主要的保護(hù)手段。特別是包含有金融價(jià)值和敏感數(shù)據(jù)的標(biāo)簽(高端標(biāo)簽，如智能卡)的場(chǎng)合。可以在需要通信的時(shí)候接觸屏蔽。

　　使用殺死命令(Kill Command)

　　Kill命令是用來在需要的時(shí)候是標(biāo)簽失效的命令。接收到這個(gè)命令之后，標(biāo)簽便終止其功能，無法再發(fā)射和接收數(shù)據(jù)。屏蔽和殺死都可以使標(biāo)簽失效，但后者是永久的。特別是在零售場(chǎng)合，基于保護(hù)消費(fèi)者隱私的目的，必須在離開賣場(chǎng)的時(shí)候殺死標(biāo)簽。這種方式的最大缺點(diǎn)是影響到反向跟蹤，比如退貨、維修和服務(wù)。因?yàn)闃?biāo)簽已經(jīng)無效，相應(yīng)的信息系統(tǒng)將不能再識(shí)別該數(shù)據(jù)。

　　物理損壞

　　物理損壞是指使用物理手段徹底銷毀標(biāo)簽，并且不必像殺死命令一樣擔(dān)心是否標(biāo)簽的確失效，但是對(duì)一些嵌入的、難以接觸的標(biāo)簽則難以做到。

　　認(rèn)證和加密

　　可使用各種認(rèn)證和加密手段來確保標(biāo)簽和閱讀器之間的數(shù)據(jù)安全。比如，直至閱讀器發(fā)送一個(gè)密碼來解鎖數(shù)據(jù)之前，標(biāo)簽的數(shù)據(jù)一直處于鎖定狀態(tài)。更嚴(yán)格的還可能同時(shí)包括認(rèn)證和加密方案。但是標(biāo)簽的成本直接影響到其計(jì)算能力以及采用的算法的強(qiáng)度。因此，一般來說，在高端RFID系統(tǒng)(智能卡)和高價(jià)值的被標(biāo)簽物品場(chǎng)合，可以采用這種方式。

　　選擇性鎖定

　　這種方法使用一個(gè)特殊的稱為鎖定者(Blocker)的RFID標(biāo)簽來模擬無窮的標(biāo)簽的一個(gè)子集。這一方法可以把阻止非授權(quán)的閱讀器讀取某個(gè)標(biāo)簽的子集。

　　這一方法克服或者平衡了以上方法的缺點(diǎn)，也消除了加密和認(rèn)證方案帶來的高成本性。這一方法在安全性和成本之間取得了較好的平衡。需要的時(shí)候，Blocker標(biāo)簽可以防止其他閱讀器讀取和跟蹤其附近的標(biāo)簽，而在需要的時(shí)候，則可以取消這種阻止，使標(biāo)簽得以重新生效。

　　推薦安全策略

　　沒有任何一個(gè)單一的手段可以徹底保證RFID應(yīng)用的安全。在很多時(shí)候，都需要采用綜合性的解決方案。對(duì)于采用某些標(biāo)準(zhǔn)的RFID應(yīng)用，比如ISO 或者EPCglobal，標(biāo)準(zhǔn)體系對(duì)安全有其自己的考慮和解決。

　　不管如何，在實(shí)施和部署RFID應(yīng)用系統(tǒng)之前，必須進(jìn)行充分的業(yè)務(wù)安全評(píng)估和風(fēng)險(xiǎn)分析，考慮綜合的解決方案、考慮成本和收益之間的關(guān)系。