解析影響RFID數據安全的諸多因素

rfid的全稱是非接觸式的自動id識別技術。這項技術是通過射頻信號對某個目標的id號自動識別以后得到這個對象的信息，并獲取相關數據。由于它快速、實時、準確采集、精確處理對象物的id信息，世界已將rfid公認為本世紀十大技術之一。從某個角度上說，該技術可稱為條形碼無線識別的升級版。rfid具有條形碼所不具備的防水、防磁、耐高溫、使用壽命長、讀取距離大、標簽上數據可以加密、存儲容量更大、存儲信息更改自如、可識別高速運動物體并可同時識別多個標簽、操作方便快捷、可適用各種工作環境。介于上述的優點，它在生產、零售、物流、交通等各個行業有著廣泛的應用前景。
但隨著rfid的進一步推廣一些問題也相應出現，這些問題制約著它的發展。其中最為顯著的是安全問題。由于最初的rfid開發設計者和應用人員并沒有考慮其相應的安全問題，因此安全問題成了制約rfid發展的瓶頸問題。假如沒有值得信賴的信息安全機制。rfid技術的普及就成為空談，試想一個信息被任意竊取甚至被惡意篡改的技術能有多大的生存空間，它只能成為類似紙上談兵的空話。另外，不具有可靠信息安全機制的射頻標簽，還存在著易向鄰近的讀寫器泄漏敏感信息、易被干擾和易被跟蹤等安全隱患。如果rfid的安全性不能得到充分保證。rfid系統中的軍事秘密、商業機密和個人信息，都可能被盜竊和利用。這勢必會給國家、集體、個人帶來無法估量的損失。故rfid的安全問題已經提到議事日程上來。
1 rfid系統工作原理
rfid系統的基本工作原理。閱讀器與標簽之間通過無線信號建立雙方通信的通道．閱讀器通過天線發出電磁信號。電磁信號攜帶了閱讀器向標簽的查詢指令。當標簽處于閱讀器工作范圍時。標簽將從電磁信號中獲得指令數據和能量，并根據指令將標簽標識和數據以電磁信號的形式發送給閱讀器?；蚋鶕喿x器的指令改寫存儲在rfid標簽中的數據。閱讀器可接收rfid標簽發送的數據或向標簽發送數據，并能通過標準接口與后臺服務器通信網絡進行對接，實現數據的通信傳輸。
根據標簽能量獲取方式，rfld系統工作方式可分為：近距離的電感耦合方式和遠距離的電磁耦合方式。
2 rfid安全問題及解決策略
經過對工作原理的研究，rfid的安全隱患相對于閱讀器與后臺服務器重點是閱讀器與標簽。要分析一個系統存在哪些安全問題最好的辦法是站在攻擊者的立場上分析即他們采用什么攻擊方式最為簡單、有效、隱蔽；能夠以最低成本找出這個系統中存在的漏洞。我們就將這些漏洞進行修補，以達到提高系統安全性的目的。應用rfid技術的系統也應如此，假設一個攻擊者，攻擊應用rfid技術的系統一般會從兩方面人手：一方面是閱讀器與后臺數據庫之間的信息傳遞，這與網絡上每臺電腦所遇到問題是一樣的；另一方面閱讀器與標簽之間的無線通信及標簽本身。后者是我們研究的重點，由于rfid技術要求硬件本身的成本要低，因此一些好的安全辦法是不能直接應用在這項技術上的。這是造成目前為止rfid技術不能廣泛代替條碼標簽的原因。假定第一方面安全的情況下，著重對第二方面進行研究，第二方面又分以下兩個方面：①內部人員泄露閱讀器與標簽的機密；②外部攻擊即利用軟硬件對讀卡器和電子標簽進行攻擊來獲取有價值的信息。
2.1 內部人員泄露rfid的機密及解決策略
內部人員泄露rfid的機密有兩種途徑：一種竊取射頻標簽實體提供給不法分子。然后不法分子通過物理手段在實驗室環境中去除芯片封裝，使用微探針獲取敏感信號。從而進行射頻標簽重構的復雜攻擊；另一種將密鑰提供給不法分子。對于這種威脅的解決方法需要企業內部加強管理及內部人員提高安全隱患意識。
2.2 外部攻擊即利用軟硬件對讀卡器和電子標簽進行攻擊來獲取有價值的信息及解決策略
假設內部人員沒有泄密，那么來自攻擊者的外部攻擊就會成為影響rfid安全的主要因素，即利用軟硬件對讀卡器和電子標簽進行攻擊來獲取有價值的信息。這也是我們研究的重點和難點。就一般應用rfid技術的所設計系統而言通常受到兩種外部攻擊：一種是主動攻擊(篡改信息、偽造信息、重放信息、中斷信息)；另一種是被動攻擊(跟蹤標簽監控貨物流通、干擾讀寫器及標簽正常工作、截取標簽數據傳遞信息)。這七種攻擊是rfid技術應用在商業領域中所見到的最普通的攻擊。
上面分析了完成七種攻擊所需要的全部信息，針對各種攻擊子目標的rfid系統安全機制如下：
①防止標簽頻率檢測，如殺死(kill)標簽原理是使標簽喪失功能，從而阻止對標簽及其攜帶物的跟蹤。法拉第網罩：根據電磁場理論，由傳導材料構成的容器如法拉第網罩可以屏蔽無線電波。使得外部的無線電信號不能進入法拉第網罩，反之亦然。把標簽放進由傳導材料構成的容器可以阻止標簽被掃描，即被動標簽接收不到信號，不能獲得能量。主動標簽發射的信號不能發出。因此，利用法拉第網罩可以阻止隱私侵犯者掃描標簽獲取信息。主動干擾：主動干擾無線電信號是另一種屏蔽標簽的方法。標簽用戶可以通過一個設備主動廣播無線電信號用于阻止或破壞附近的rfid閱讀器的操作。阻止標簽：阻止標簽原理是通過采用一個特殊的阻止標簽干擾防碰撞算法來實現，閱讀器讀取命令每次總是獲得相同的應答數據。從而保護標簽。
②防止標簽識讀范圍和能量檢測，如夾子標簽是ibm公司針對rfid隱私問題開發的新型標簽。使用者能夠將rfid天線扯掉或者刮除，縮小標簽的可閱讀范圍，使標簽不能被隨意讀取。使用夾子標簽技術，盡管天線不能再用，閱讀器仍然能夠近距離讀取標簽(例如商品賣出后，當使用者返回來退貨時，可以從rfid標簽中讀出信息)。
③防止安全協議的檢測以及相關認證密鑰的竊取。一是認證嚴謹的安全協議。如hash—i。ock協議為了避免信息泄漏和被追蹤，它使用偽id來代替真實的標簽id。隨機化hash—lock協議采用了基于隨機數的詢問一應答機制。hash鏈協議本質上也是基于共享秘密的詢問一應答協議。當使用兩個不同雜湊函數的閱讀器發起認證，標簽總是發送不同的應答。在該協議中，標簽成為了一個具有自主id更新能力的主動式標簽。基于雜湊的id變化協議與hash鏈協議相似，每一次回話中的id交換信息都不相同。系統使用了一個隨機數尺對標簽標識不斷進行動態刷新，同時還對tid(最后一次回話號)和i。st(最后一次成功的回話號)信息進行更新，所以該協議可以抵抗重傳攻擊。david的數字圖書館rfid協議david等提出的數字圖書館rfid協議使用基于預共享秘密的偽隨機函數來實現認證。分布式rfid詢問一應答認證協議是一種適用于分布式數據庫環境的rfid認證協議，它是典型的詢問一應答型雙向認證協議。到目前為止，david的數字圖書館rfid協議和分布式rfid詢問一應答認證協議還沒有發現該協議有明顯的安全漏洞或缺陷。lcap協議是詢問一應答協議。但是與前面的同類其它協議不同，它每次執行之后都要動態刷新標簽的id。再次加密機制(re—encryption)rfid標簽的計算資源和存儲資源都十分有限，因此極少有人設計使用公鑰密碼體制的rfid安全機制。二是相關認證密鑰的保護，有hash鎖，隨機hash鎖。hash鏈，key值更新隨機hash鎖。
④防止rfid讀寫器頻率檢測，如頻率更改；
⑤防止rfid讀寫器與后端系統接口假冒，主要是通過安全協議和網絡部分的安全策略來解決，可采用相互認證等方式解決。
⑥監視節點找出發送最多的。主要是通過分散發送數據包，不要集中在一兩個節點上，也可以用假的數據包和假的節點來迷惑攻擊者。 [next]
3 不安全隱患分析
通過對上述系統攻擊模型的研究和安全機制的列舉，其中許多安全機制存在很多不安全隱患，進行如下分析：
3.1 對于標簽頻率的檢測
kill命令使標簽失去了它本身應有的優點。如商品在賣出后，標簽上的信息將不再可用，不便于日后的售后服務以及用戶對產品信息的進一步了解。另外，若kill識別序列號pin一旦泄露，可能導致惡意者對商品的偷盜；法拉第容器由于自身的屏蔽效應不能很好的和其他安全機制兼容；主動干擾這種方法可能導致非法干擾，使附近其他合法的rfld系統受到f擾。嚴重的是，它叮能阻斷附近其他無線系統，因此可以考慮使用阻止標簽機制預防標簽頻率的檢測。
3.2 對于標簽識讀范圍和能量檢測
使用夾子標簽和頻率更改機制可以共同提高安全性能，但此處應該注意頻率和讀寫距離之間的關系。
3.3 對于安全協議的檢測
①hash—lock協議。該協議中沒有id動態刷新機制，并且偽id也保持不變，id是以明文的形式通過不安全的信道傳送，因此hash—i。ock協議非常容易受到假冒攻擊和重傳攻擊，攻擊者也可以很容易地對標簽進行追蹤。
②隨機化hash—lock協議，該協議中認證通過后的標簽的標識id仍以明文的形式通過不安全信道傳送，因此攻擊者可以對標簽進行有效的追蹤。同時，一旦獲得了標簽的標識id，攻擊者就可以對標簽進行假冒。該協議也無法抵抗重傳攻擊。不僅如此，每一次標簽認證時，后端數據庫都需要將所有標簽的標識發送給閱讀器，二者之間的數據通信量很大。所以，該協議不僅不安全。也不實用。
③hash鏈協議，是一個單向認證協議，只能對tag身份進行認證，不能對閱讀器身份進行認證。hash鏈協議非常容易受到重傳和假冒攻擊。此外，每一次標簽認證發生時。后端數據庫都要對每一個標簽進行多次雜湊運算。因此其計算負荷也很大。同時，該協議需要兩個不同的雜湊函數，也增加了標簽的制造成本，不適合應用在普適計算中。
④基于雜湊的ld變化協議，該協議在標簽更新其id和lst信息之前，后端數據庫已經成功地完成相關信息的更新。如果在這個時間延遲內攻擊者進行攻擊(例如，攻擊者可以偽造一個假消息，或者干脆實施干擾使標簽無法接收到該消息)，就會在后端數據庫和標簽之間出現嚴重的數據不同步問題。這也就意味著合法的標簽在以后的回話中將無法通過認證。也就是說，該協議不適合使用分布式數據庫的普適計算環境，同時存在數據庫同步的潛在安全隱患。
⑤david的數字圖書館rfid協議該協議必需在標簽電路中包含實現隨機數生成以及安全偽隨機函數兩大功能模塊，故而該協議完全不適用于低成本的rfid系統。
⑥分布式rfid詢問一應答認證協議，該協議在方案中．執行一次認證協議需要標簽進行兩次雜湊運算。標簽電路中自然也需要集成隨機數發生器和雜湊函數模塊。因此它也不適合于低成本rfid系統。
⑦lcap協議該協議與基于雜湊的id變化協議的情況類似．標簽更新其id之前。后端數據庫已經成功完成相關id的更新。因此，lcap協議也不適合使用于分布式數據庫的普適計算環境，同時亦存在數據庫同步的潛在安全隱患。
⑧再次加密機制(re—encryption)，rfid標簽的計算資源和存儲資源都十分有限，因此極少有人設計使用公鑰密碼體制的rfid安全機制。 [next]
3.4 對于認證的檢測
①hash鎖，在該方法中由于每次詢問時標簽回答的數據是特定的，因此其不能防止位置跟蹤攻擊；閱讀器和標簽間傳輸的數據未經加密，竊聽者可以輕易地獲得標簽key和id值。
②隨機hash鎖，在該方法中標簽每次回答是隨機的，因此可以防止依據特定輸出而進行的位置跟蹤攻擊。但是。該方法也有一定的缺陷：(1)閱讀器需要搜索所有標簽id，并為每一個標簽計算，因此標簽數目很多時．系統延時會很長，效率并不高；(2)隨機hash鎖不具備前向安全性，若敵人獲得了標簽id值，則可根據r值計算出hash(id ir)值，因此可追蹤到標簽歷史位置信息。
③hash鏈，該方法具有不可分辨性，具有前向安全性兩個優點，但也有缺點：需要為每一個標簽計算一個值，假設數據庫中存儲的標簽個數為人，則需進行n個記錄搜索，2n個hash函數計算．n次比較，計算和比較量較大，不適合標簽數日較多的情況。
④key值更新隨機hash鎖，該方法特點一是簡單實用。將隨機數產生器等復雜的計算移到廠后臺數據庫中實現，降低了，標簽的復雜性，標簽只需要實現兩個hash函數h和s，這在低成本的標簽上較易實現。二是前向安全。因為標簽的key值在每次事務交換后被單向hash函數5更新，外人即使獲取r當前標簽key值，也無法推算出之前的key值．所以無法獲得標簽相關的歷史活動信息。第三機器運算負載小，效率高。在每次詢問過程中，設數據庫中存儲的標簽個數為n，本方法中后臺數據庫需執行2n個記錄搜索(因每個標簽存在兩條記錄)，進行3個hash函數計算和1次值比較，以及產生1個隨機數r。相比于hash鏈方法需計算2ⅳ個hash函數、n個記錄搜索和n個值比較，因為hash函數的計算時延較長。資源消耗大，所以當n很大時，這個方法系統的負載將要小得多。速度較快，延時較短，效率較高，但安全性更高。第四適應標簽數目較多的情況。第五實現了身份的雙向驗證。最后有效實現安全隱私保護。但它也有缺點，它不能防止攻擊者的流量分析。
綜上所述．rfid系統標簽信息竊取的復合安全策略如下：①夾子標簽、key值更新隨機hash鎖，主要適用于安全級別較低且距離較近的情況．他們的聯合不能防止標簽被跟蹤；②阻止標簽、key值更新隨機hash鎖。主要是川于成本較低h．距離較遠的情況，他們聯合不能防止標簽被進行流量分析；③阻止標簽、分布式rfid詢問一應答認證協議。沒有明顯安全漏洞．儀適合高保密性能的高成本標簽的rfid系統；④頻率更改、key值更新隨機hash鎖，可以用于安全級別較高。成本稍高的情況。
4 結束語
rfid標簽已逐步進入我們的日常生產和生活當中，同時，也給我們帶來了許多新的安全和隱私問題。由于對低成本、高安全性rfid標簽的追求．使得現有的密碼技術難以應用。如何根據rfid標簽有限的資源，設計出安今有效的安全技術解決方案，仍然是一個具有相當挑戰性的課題。為了有效地保護數據安全和個人隱私，引導rfir)的合理應用和健康發展，還需要建立和制訂完善的rfid安全與隱私保護法規、政策。


理光推出雙面打印機DX4640PD
身份證將迎大變革，電子身份標識將誕生？
數字印前制作過程中的GCR非彩色結構奧秘
網紅雪糕發布了一組傻白甜廣告，沒想到被玩壞了
商業模式決定數碼印刷未來
掃描儀
墨水節約 | 數碼印花機也要為環保助力！
防偽印刷專區：結構防偽技術