你必須知道的RFID安全知識

　　本期我們將詳細(xì)介紹關(guān)于RFID的安全知識。DHS4300A–Q4(RFID安全)于2014年8月5日發(fā)布，此文檔提出了與RFID相關(guān)的要求及與RFID有關(guān)的對DHS無線安全策略實(shí)現(xiàn)的指導(dǎo)建議，以輔助國土安全部各部門對RFID系統(tǒng)的信息保障項(xiàng)目的開發(fā)和實(shí)現(xiàn)。

圖1DHS4300A敏感系統(tǒng)手冊

　　RFID技術(shù)

　　RFID是一種能夠通過電磁信號與無線設(shè)備(標(biāo)簽)進(jìn)行遠(yuǎn)程通信的技術(shù)，可以通過電磁信號識別和跟蹤他們所依附的對象。RFID系統(tǒng)包括標(biāo)簽、讀寫器、本地計(jì)算機(jī)主機(jī)、后端應(yīng)用程序和數(shù)據(jù)庫，標(biāo)簽上的數(shù)據(jù)被讀寫器掃描并發(fā)送到后端服務(wù)器，整個(gè)過程可以自動同步和遠(yuǎn)程完成。圖2描述了一個(gè)被動式的RFID系統(tǒng)。

圖2被動式的RFID系統(tǒng)

　　RFID系統(tǒng)中有些標(biāo)簽只存儲簡單的識別碼，有些標(biāo)簽則可以存儲更多的信息，比如生物識別數(shù)據(jù)、位置、溫度和濕度等，這取決于標(biāo)簽的硬件和附加的外圍設(shè)備。例如，一種使用標(biāo)準(zhǔn)企業(yè)無線網(wǎng)絡(luò)并結(jié)合位置和ID信息實(shí)時(shí)對資產(chǎn)和人員進(jìn)行定位的標(biāo)簽，可以利用該標(biāo)簽在醫(yī)院里實(shí)施動態(tài)跟蹤。

　　RFID標(biāo)簽由微芯片和天線組成，使用不同的電磁頻率如低頻、高頻、超高頻、無線網(wǎng)絡(luò)、紅外線和超聲波進(jìn)行通信。一般包括有源和無源兩種類型的RFID標(biāo)簽：

　　(1)無源的和半無源的標(biāo)簽本身沒有內(nèi)部能量來源，通常利用來自外部的(如讀寫器等)射頻設(shè)備發(fā)射信號的能量。

　　(2)有源和半有源標(biāo)簽有內(nèi)部能源，可以自動將射頻信號發(fā)送給讀寫器。

　　RFID系統(tǒng)中存在的安全問題及建議措施

　　有源標(biāo)簽

　　有源標(biāo)簽周期性地發(fā)出射頻信號與讀寫器進(jìn)行通信，根據(jù)頻率和傳輸功率大小，信號可以穿透墻壁等物體，有些標(biāo)簽甚至可以在幾百米的開闊空間和幾十米的室內(nèi)區(qū)域中進(jìn)行通信。

　　目前，大多數(shù)有源標(biāo)簽不支持身份驗(yàn)證或加密功能，很容易通過使用兼容的讀寫器竊取傳輸?shù)臄?shù)據(jù)，因此有源標(biāo)簽應(yīng)該在安全的操作環(huán)境中使用。對于采用RFID的組織來說，了解有源標(biāo)簽的運(yùn)作機(jī)制，評估業(yè)務(wù)和操作中的風(fēng)險(xiǎn)和漏洞，做出明智決策、平衡操作和安全考慮，是非常重要的。

圖3有源標(biāo)簽

　　無源標(biāo)簽

　　現(xiàn)在，大多數(shù)的無源標(biāo)簽都符合EPCClass1Gen2標(biāo)準(zhǔn)。這個(gè)標(biāo)準(zhǔn)是受美國國防部和沃爾瑪委托建立的，并已被各行業(yè)和政府機(jī)構(gòu)廣泛地采用。然而，EPCClass1Gen2標(biāo)準(zhǔn)只提供了非常有限的安全特性：

　　用于雙向握手和數(shù)據(jù)屏蔽的16位隨機(jī)數(shù)生成器用來鎖定一個(gè)給定的標(biāo)簽和讀寫器會話，以避免多個(gè)標(biāo)簽或讀寫器存在時(shí)發(fā)生沖突;它生成的數(shù)值也被用作一個(gè)對密碼進(jìn)行簡單加密的關(guān)鍵值和執(zhí)行寫命令時(shí)讀寫器向標(biāo)簽中寫的內(nèi)容，但是它不用于對從標(biāo)簽到讀寫器的識別數(shù)據(jù)的加密。

　　執(zhí)行禁用標(biāo)簽的kill命令需要一個(gè)32的密碼。

　　采用16位循環(huán)冗余校驗(yàn)(CRC)進(jìn)行錯(cuò)誤檢測。

　　訪問標(biāo)簽?zāi)承┎糠中枰粋€(gè)32位的密碼(如用于“寫”操作的密碼位)，但此密碼不用于標(biāo)記標(biāo)簽ID數(shù)據(jù)訪問驗(yàn)證。

　　由于可以進(jìn)行加密的位數(shù)很少，所有這些特征被認(rèn)為安全性很弱。因此部署這類標(biāo)簽時(shí)必須考慮如下安全問題：

　　EPC標(biāo)簽響應(yīng)任何兼容的讀寫器時(shí)不會先進(jìn)行認(rèn)證;

　　用于滅活和訪問控制的是短而靜態(tài)的密碼，并且它們只提供讀寫器到標(biāo)簽的單向認(rèn)證，因此可能會被攻擊者破解;

　　EPC標(biāo)準(zhǔn)沒有數(shù)據(jù)加密要求，無論是在標(biāo)簽上或是在傳輸中;

　　EPC密碼的加密能力很弱。

　　讀寫器向標(biāo)簽發(fā)送的用來進(jìn)行數(shù)據(jù)屏蔽的關(guān)鍵值在最開始標(biāo)簽向讀寫器發(fā)送過程中可以被攔截。

圖4無源標(biāo)簽

　　智能卡

　　智能卡通過直接物理接觸(接觸卡，遵循ISO/IEC7816標(biāo)準(zhǔn))或遠(yuǎn)程的非接觸射頻接口(非接觸式卡，遵循ISO/IEC14443標(biāo)準(zhǔn))與讀寫器進(jìn)行通信。智能卡中有一個(gè)用于數(shù)據(jù)存儲和計(jì)算的嵌入式集成電路(IC)，憑借其內(nèi)置的集成電路和相關(guān)的微控制器，能夠存儲大量的數(shù)據(jù)并執(zhí)行復(fù)雜的操作。智能卡包括一些強(qiáng)大的安全功能，如加密和數(shù)字簽名，并可以與外部RFID系統(tǒng)智能交互。例如，一些非接觸式的卡可以通過高級加密標(biāo)準(zhǔn)(AES)算法加密數(shù)據(jù)，并可以根據(jù)公鑰基礎(chǔ)設(shè)施(PKI)使用秘密內(nèi)置的唯一密鑰進(jìn)行相互認(rèn)證。

　　智能卡和RFID系統(tǒng)應(yīng)該提供一個(gè)在通信建立前和周期性通信時(shí)進(jìn)行批次驗(yàn)證的機(jī)制，從而減少智能卡被攻擊。數(shù)字證書經(jīng)常用于此，共享密鑰也是另一種選擇。

圖5智能卡

　　近場通信(NFC)

　　近場通信(NFC)是一種無線技術(shù)，旨在在兩個(gè)設(shè)備非常靠近時(shí)(幾厘米)進(jìn)行通信，其工作頻率、功耗、硬件和軟件設(shè)計(jì)決定了通信距離的局限性。NFC允許兩個(gè)設(shè)備建立一個(gè)通信信道，這符合ISO/IEC18092和21481標(biāo)準(zhǔn)的。例如，兩個(gè)NFC智能手機(jī)用戶可以通過相互靠近手機(jī)來分享照片。

　　NFC通信時(shí)不需要進(jìn)行身份驗(yàn)證或加密，但需要兩個(gè)設(shè)備非常接近，這也使它不容易受到如竊聽、數(shù)據(jù)修改、中間人攻擊等威脅，但不是無懈可擊。除特定的需要或業(yè)務(wù)考慮，默認(rèn)情況下，設(shè)備上的NFC功能應(yīng)該被禁用，由用戶手動啟用，以盡量減少潛在的數(shù)據(jù)泄漏。

　　后端系統(tǒng)

　　RFID后端系統(tǒng)是由網(wǎng)絡(luò)組件、中間件和處理ID信息的業(yè)務(wù)應(yīng)用程序組成。這個(gè)系統(tǒng)和其他企業(yè)系統(tǒng)(如供應(yīng)鏈應(yīng)用)共享ID信息，因此，后端系統(tǒng)應(yīng)部署在值得信賴的企業(yè)邊界內(nèi)。

　　在這個(gè)邊界內(nèi)部署的是美國國土安全部認(rèn)可的信息系統(tǒng)和組件，其中國土安全部通常直接掌握應(yīng)用程序及其效果評估。為確保RFID后端系統(tǒng)的有效保護(hù)，強(qiáng)大的周界深度防御戰(zhàn)略是必要的。防火墻、代理和內(nèi)容過濾是保障企業(yè)邊界安全的一些有效工具和方法。此外，應(yīng)編寫和實(shí)施用于安全修補(bǔ)、更新的操作系統(tǒng)和與后端系統(tǒng)相關(guān)的應(yīng)用程序的標(biāo)準(zhǔn)操作規(guī)程。

　　標(biāo)簽數(shù)據(jù)安全

　　標(biāo)簽上的數(shù)據(jù)很容易受到各種攻擊，特別是數(shù)據(jù)能力較差、沒有強(qiáng)大安全功能的標(biāo)簽。例如，通過EPCGen2無源標(biāo)簽跟蹤筆記本電腦?？梢允褂梅敲枋鲂缘暮碗S機(jī)的獨(dú)特?cái)?shù)字來代表敏感的識別信息，而不是直接將組織機(jī)構(gòu)代碼、員工標(biāo)簽號碼、產(chǎn)品序列號等敏感數(shù)據(jù)存儲在標(biāo)簽上，進(jìn)而使用更安全的RFID后端系統(tǒng)進(jìn)行映射識別。使用這種方式，即使標(biāo)簽數(shù)據(jù)被未經(jīng)授權(quán)的讀寫器捕獲，標(biāo)簽數(shù)據(jù)也不會透露任何敏感的信息。

　　射頻泄漏

　　根據(jù)射頻帶和設(shè)備的功率，從標(biāo)簽和讀寫器發(fā)出的射頻信號可以在幾厘米到幾百米的范圍內(nèi)被捕獲和解碼，需要對此加以防范。

　　提高RFID技術(shù)安全性的指導(dǎo)意見

　　物理訪問控制

　　RFID信號能夠穿越使用區(qū)域的墻壁并在區(qū)域外圍傳播，通用物理訪問控制限制人員進(jìn)出辦公大樓、數(shù)據(jù)中心和包含IT設(shè)備的房間，可以防范物理環(huán)境威脅。RFID系統(tǒng)所有者通過該控制需措施，限制對手物理接觸RFID系統(tǒng)部件。

　　考慮到某些特殊對手的能力，還應(yīng)確保與RFID系統(tǒng)相關(guān)的數(shù)據(jù)的恰當(dāng)使用。這意味著，還要防止人員的無意識非正確操作，即使這些人員并不是對手。隱私規(guī)范文檔中必須要考慮RFID系統(tǒng)和數(shù)據(jù)的潛在誤用(包括非故意使用)，并根據(jù)識別到的新用法和風(fēng)險(xiǎn)持續(xù)更新文檔。

　　安全處理標(biāo)簽

　　在完成預(yù)期任務(wù)之后，RFID標(biāo)簽應(yīng)該被安全地處理掉。標(biāo)簽可以通過物理或電子方式銷毀、停用。

　　物理銷毀包括焚燒、強(qiáng)制撕裂或粉碎，粉碎和撕裂能夠?qū)е录呻娐放c天線分離(這使得標(biāo)簽的讀取變得更加困難，但并非不可能)，也會損壞或消除集成電路。電子破壞包括使用標(biāo)簽的殺死功能或利用強(qiáng)電磁場向電路輸送強(qiáng)電流使標(biāo)簽的電路不可再操作。盡管該數(shù)據(jù)恢復(fù)方法實(shí)用性差，但通過電子方式永久禁用標(biāo)簽仍然有可能恢復(fù)標(biāo)簽內(nèi)容(如使用掃描電子顯微鏡)。因此，如果要保證標(biāo)簽的可讀性為零，必須在物理破壞或電子破壞后進(jìn)行焚化。

　　職責(zé)分離

　　強(qiáng)制要求將每個(gè)安全任務(wù)分配給不同的人員，單人不能承擔(dān)整個(gè)任務(wù)。要對敏感信息系統(tǒng)進(jìn)行適當(dāng)?shù)膬?nèi)部控制，就必須使用這種方式進(jìn)行分離。它還能確保沒有人能夠單獨(dú)完全控制系統(tǒng)的安全機(jī)制。

　　配置管理

　　通過配置管理控制對RFID系統(tǒng)的更改，以確保更改與組織的任務(wù)一致。配置管理通常使技術(shù)支持人員能夠快速識別操作問題的根源，并允許安全人員和審計(jì)人員發(fā)現(xiàn)不當(dāng)行為和其他違反策略的行為。

　　安全應(yīng)急響應(yīng)

　　安全控制旨在保護(hù)組織免受安全威脅，但不管這些控制有多有效，一些安全事件是不可避免的。在發(fā)生此類事件之前，組織需要有效的響應(yīng)能力。

　　總結(jié)

　　RFID技術(shù)是無線網(wǎng)絡(luò)通信的一個(gè)重要組成部分，RFID系統(tǒng)的安全也關(guān)系著多個(gè)重要部門的資產(chǎn)安全，因此需要使用部門加以重視。本期我們介紹了DHS4300A系列手冊中關(guān)于RFID的安全，供采用RFID系統(tǒng)的部門參考。