1、 RFID的安全性 場景場景 一一 (1)超市已構建RFID系統并實現倉儲管理、出售商品的自動化收 費等功能，超市管理者使用的閱讀器可以讀寫商品標簽數據(寫 標簽數據時需要接人密鑰)，考慮到價格調整等因素，標簽數據 必須能夠多次讀寫。 (2)移動RFID用戶自身攜帶有嵌入在手機或PDA中的閱讀器，該 閱讀器可以掃描超市中商品的標簽以獲得產品的制造商、生產 日期和價格等詳細信息。 RFID智智 能收貨能收貨 RFID智智 能購物車能購物車 RFID智智 能結算能結算 未來商店未來商店 (3)通過信道監聽信息截獲、暴力破解(利用定向天線和數字 示波器監控標簽被讀取時的功率消耗，確定標簽何時接受 了

2、正確的密碼位)或其他人為因素，攻擊者得到寫標簽數 據所需的接人密鑰。 (4)利用標簽的接人密鑰，攻擊者隨意修改標簽數據，更改 商品價格，甚至“kill”標簽導致超市的商品管理和收費 系統陷入混亂以謀取個人私利。 德州儀器（TI）公司制造了一種稱為數字簽名收發器（Digital Signature Transponder，DTS）的內置加密功能的低頻 RFID 設備。DST 現 已配備在數以百萬計的汽車上，其功能主要是用于防止車輛被盜。 DST 同時也被 SpeedPass 無線付費系統所采用，該系統現用在北美的成 千上萬的ExxonMobil 加油站內。 DST 執行了一個簡單的詢問/應答（c

3、hallenge-response）協議來進行工作. 閱讀器的詢問數據 C 長度為 40bits，芯片產生的回應數據 R 長度為 24bits， 而芯片中的密鑰長度亦為 40bits。 密碼破譯者都知道，40bits 的密鑰長度對于現在的標準而言太短了，這個 長度對于暴力攻擊法毫無免疫力。 2004 年末，一隊來自約翰霍普津斯大學和 RSA 實驗室的研究人員示范了對 DST 安全弱點的攻擊。他們成功的完全復制了 DST，這意味著他們破解了含有 DST 的汽車鑰匙，并且使用它執行了相同的功能。 場景場景 二二 在2006年意大利舉行的一次學術會議上，就有研究者 提出病毒可能感染RFID芯片，通過

4、偽造沃爾瑪、家樂福 這樣的超級市場里的RFID電子標簽，將正常的電子標簽 替換成惡意標簽，即可進入他們的數據庫及IT系統中發 動攻擊。 2011年9月，北京公交一卡通被黑客破解，從而敲響了 整個RFID行業的警鐘。黑客通過破解公交一卡通，給自 己的一卡通非法充值，獲取非法利益2200元 2011年3月，業內某安全專家破解了一張英國發行的、 利用RFID來存儲個人信息的新型生物科技護照。 2007年RSA安全大會上，一家名為IOActive的公司展示 了一款RFID克隆器，這款設備可以通過復制信用卡來竊 取密碼 場景場景 三三 因此，如何實現因此，如何實現RFID系統的安全并保護電子標簽持有人系

5、統的安全并保護電子標簽持有人 隱私將是目前和今后發展隱私將是目前和今后發展RFID技術十分關注的課題。技術十分關注的課題。 1 1、RFIDRFID為什么會泄露個人隱私的為什么會泄露個人隱私的 ？ 2 2、RFIDRFID的安全漏洞在哪的安全漏洞在哪, ,有哪些攻擊方式？有哪些攻擊方式？ 3、RFIDRFID有哪些安全解決方案有哪些安全解決方案 ？ 問題探究問題探究 一、一、 RFIDRFID的安全問題的安全問題 首先，RFID標簽和后端系統之間的通信是非接觸和無 線的，使它們很易受到竊聽; 其次，標簽本身的計算能力 和可編程性，直接受到成本要求的限制。更準確地說，標 簽越便宜，則其計算能力越

6、弱，而更難以實現對安全威脅 的防護。 標簽中數據的脆弱性 標簽和閱讀器之間的通信脆弱性 閱讀器中的數據的脆弱性 后端系統的脆弱性 主動攻擊主動攻擊： 對獲得的標簽實體，通過物理手段在實驗室環境中去除芯片封裝，使用 微探針獲取敏感信號，進而進行目標標簽重構的復雜攻擊； 通過軟件，利用微處理器的通用通信接口，通過掃描標簽和響應讀寫器 的探詢，尋求安全協議、加密算法以及它們實現的弱點，進行刪除標簽 內容或篡改可重寫標簽內容的攻擊； 通過干擾廣播、阻塞信道或其他手段，產生異常的應用環境，使合法處 理器產生故障，進行拒絕服務的攻擊等。 被動攻擊被動攻擊： 通過采用竊聽技術，分析微處理器正常工作過程中產生

7、的各種電磁特 征，來獲得 RFID 標簽和識讀器之間或其它 RFID 通信設備之間的通信 數據（由于接收到閱讀器傳來的密碼不正確時標簽的能耗會上升，功率 消耗模式可被加以分析以確定何時標簽接收了正確和不正確的密碼位）。 通過識讀器等竊聽設備，跟蹤商品流通動態等； 注：美國 Weizmann 學院計算機科學教授 Adi Shamir 和他的一位學 生利用定向天線和數字示波器來監控 RFID 標簽被讀取時的功率消耗， 通過監控標簽的能耗過程研究人員推導出了密碼。 二、二、RFIDRFID受到的攻擊受到的攻擊 RFID存在3個方面的安全問題 (1)(1)截獲截獲RFIDRFID標簽標簽：基礎的安全問

8、題就是如何防止對RFID 標簽信息進行截獲和破解，因為RFID標簽中的信息是整個 應用的核心和媒介，在獲取了標簽信息之后攻擊者就可以 對RFID系統進行各種非授權使用 11 RFID存在3個方面的安全問題 (2)(2)破解破解RFIDRFID標簽標簽：RFID標簽是一種集成電路芯片，這意味 著用于攻擊智能卡產品的方法在RFID標簽上也同樣可行。 破解RFID標簽的過程并不復雜。使用40位密鑰的產品，通 常在一個小時之內就能夠完成被破解出來；對于更堅固的 加密機制，則可以通過專用的硬件設備進行暴力破解。 12 RFID存在3個方面的安全問題 (3)(3)復制復制RFIDRFID標簽標簽：即使能將

9、加密機制設定得足夠強壯，強 壯到攻擊者無法破解RFID標簽仍然面臨著被復制的危險。 特別是那些沒有保護機制的RFID標簽，利用讀卡器和附有 RFID標簽的智能卡設備就能夠輕而易舉的完成標簽復制工 作。盡管目前篡改RFID標簽中的信息還非常困難，至少要 受到較多的限制，但是，在大多數情況下，成功的復制標 簽信息已經足以對RFID系統完成欺騙。 13 只有合法的讀寫器才能獲取或者更新相應的標簽的狀態。 lRFID系統的安全需求 授權訪問 標簽需要對閱讀器進行認證。 只有合法的標簽才可以被合法的讀寫器獲取或者更新狀態信息。 (2)標簽的認證 閱讀器需要對標簽進行認證 。 標簽用戶的真實身份、當前位置

10、等敏感信息，在通信中應該 保證機密性。 (3)標簽匿名性 信息要經過加密 。 三、三、RFID系統數據傳輸的安全性系統數據傳輸的安全性 即使攻擊者攻破某個標簽獲得了它當前時刻t2的狀態， 該攻擊者也無法將該狀態與之前任意時刻tl(tlt1) 識別認證該標簽(抵抗重放攻擊)。若一個安全協議能夠實現 后向安全性，那么所有權轉移就有了保證。 (5)后向安全性與所有權轉移 每次發送的身份信息需要不斷變化，且變化后的值不能 由變化前的值推導出 。 lRFID系統的安全需求 RFID系統可能會受到各種攻擊，導致系統無法正常工作。 例如去同步化攻擊可以使得標簽和后臺數據庫所存儲的信息不 一致導致合法標簽失效

11、。拒絕服務攻擊，可以通過對合法標簽 廣播大量的訪問請求，使得標簽無法對合法讀寫器的訪問進行 響應。 (6)可用性 必須設計良好的安全認證協議 。 四、四、RFIDRFID的安全解決方案的安全解決方案 1、物理安全機制 2、邏輯安全機制 若標簽支援Kill指令，如EPC Class 1 Gen 2標簽，當 標簽接收到讀寫器發出的Kill指令時，便會將自己銷毀， 使得這個標簽之后對于讀寫器的任何指令都不會有反應， 因此可保護標簽資料不被讀取；但由于這個動作是不可逆 的，一旦銷毀就等于是浪費了這個標簽 標簽銷毀指令標簽銷毀指令 法拉第籠法拉第籠 將標簽放置在由金屬網罩或金屬箔片組成的容器中，稱 作法

12、拉第籠，因為金屬可阻隔無線電訊號之特性，即可避 免標簽被讀取器所讀取。無線信號將被屏蔽，閱讀器無法 讀取標簽信息，標簽無法向閱讀器發送信息。缺點：增加 了額外費用，有時不可行，如衣服上的RFID 標簽。 1、物理安全機制 主動干擾主動干擾 使用能夠主動發出廣播訊號的設備，來干擾讀取器查 詢受保護之標簽，成本較法拉第籠低；但此方式可能干擾 其他合法無線電設備的使用； 阻擋標簽阻擋標簽 使用一種特殊設計的標簽，稱為阻擋標簽 (Blocker Tag)，此種標簽會持續對讀取器傳送混淆的訊息，藉此阻 止讀取器讀取受保護之標簽；但當受保護之標簽離開阻擋 標簽的保護范圍，則安全與隱私的問題仍然存在。 綜上

13、，物理安全機制存在很大的局限性，往往 需要附加額外的輔助設備，這不但增加了額外 的成本，還存在其他缺陷。如Kill命令對標簽 的破壞性是不可逆的；某些有RFID標簽的物品 不便置于法拉第籠中等。 2、邏輯安全機制 基于共享秘密和偽隨機函數的安全協議基于共享秘密和偽隨機函數的安全協議 基于加密算法的安全協議基于加密算法的安全協議 基于基于HashHash函數和偽隨機函數函數和偽隨機函數 基于循環冗余校驗（CRC）的安全協議 基于消息認證碼（MAC）的安全協議 基于邏輯位運算的安全協議 22 密碼學的基礎概念 加密算法 E 解密算法 D 明文 m 密文 c 明文 m 密鑰 K 密鑰 K? 加密模型

14、加密模型 加密和解密變換的關系式：加密和解密變換的關系式： c=EK(m) m=DK(c)=DK(EK(m) 23 三次認證過程 基于共享秘密和偽隨機函數的安全協議基于共享秘密和偽隨機函數的安全協議 注：該協議在認證過程中，屬于同一應用的所有標簽和閱讀器共享 同一的加密密鑰。由于同一應用的所有標簽都使用唯一的加密密鑰， 所有三次認證協議具有安全隱患。 25 l射頻識別中的認證技術 l三次認證過程 l閱讀器發送查詢口令的命令給應答器，應答器作為應答響應 傳送所產生的一個隨機數RB給閱讀器。 l閱讀器產生一個隨機數RA，使用共享的密鑰K和共同的加密算 法EK，算出加密數據塊TOKEN AB，并將T

15、OKEN AB傳送給應答 器。 TOKEN ABEK(RA,RB) l應答器接受到TOKEN AB后，進行解密，將取得的隨機數與原 先發送的隨機數RB進行比較，若一致，則閱讀器獲得了應答 器的確認。 l應答器發送另一個加密數據塊TOKEN BA給閱讀器，TOKEN BA 為 TOKEN BAEK(RB1,RA) l閱讀器接收到TOKEN BA并對其解密，若收到的隨機數與原先 發送的隨機數RA相同，則完成了閱讀器對應答器的認證。 例如：Mifare卡，采用三次認證協議，其密 鑰為6字節，即48位，一次典型的驗證需要 6ms，如果外部使用暴力破解的話，需要的時 間為一個非常大的數字，常規破解手段將

16、無 能為力。 27 數據加密標準（Data Encryption Standard，DES） lDES由IBM公司1975年研究成功并發表，1977年被美國定為 聯邦信息標準。 lDES 使用一個 56 位的密鑰以及附加的 8 位奇偶校驗位， 將64位的明文經加密算法變換為64位的密文。 l加密和解密共用同一算法，使工程實現的工作量減半。 l綜合運用了置換、代替、代數等多種密碼技術。 基于加密算法的安全協議基于加密算法的安全協議 28DES加密算法 Li=Ri-1 RiLi-1 f(Ri-1, Ki) 從左圖可知 i= 1,2,3,16 矩陣矩陣 58 50 42 34 26 18 10 2

17、60 52 44 36 28 20 12 4 62 54 46 38 30 22 14 6 64 56 48 40 32 24 16 8 57 49 41 33 25 17 9 1 59 51 43 35 27 19 11 3 61 53 45 37 29 21 13 5 63 55 47 39 31 23 15 7 作用作用: :把把6464位明文打亂重排。位明文打亂重排。 左一半為左一半為L0 (L0 (左左3232位位) ) ，右一半為，右一半為R0 (R0 (右右3232位位) ) 。 例：把輸入的第例：把輸入的第1 1位置換到第位置換到第4040位，把輸入的第位，把輸入的第5858位

18、置換到位置換到 第第1 1位。位。 初始置換初始置換IP 3 3重重DESDES 3DES 3DES是是DESDES加密數據的一種模式，它使用加密數據的一種模式，它使用3 3條條 5656位的密鑰對數據進行三次加密。位的密鑰對數據進行三次加密。 31 高級加密標準（Advanced Encryption Standard， AES） l高級加密標準由美國國家標準與技術研究院 （NIST） 于2001年11月26日發布于FIPS PUB 197，并在2002年5 月26日成為有效的標準。2006年，高級加密標準已然成 為對稱密鑰加密中最流行的算法之一。 lAES是分組加密算法，分組長度為128位

19、，密鑰長度有 128位、192位、256位三種，分別稱為AES-128，AES- 192，AES-256。 AES 基本要求： l比3重DES快 l至少與3重DES一樣安全 l數據長度為128bit l密鑰長度為128/192/256bit 設計原則： l能抵抗所有已知的攻擊； l在各種平臺上易于實現，速度快； l設計簡單。 標準的高級加密算法(AES)大概需要20000- 30000個等效門電路來實現。但Feldhofer等人 提出了一個128位的AES算法只需要3600個等效 門（和256bit的RAM）實現。該算法是迄今為止 已知的最低成本的AES方案。 34 RSA算法算法 lMIT三

20、位年青數學家R.L.Rivest，A.Shamir和L.Adleman等 發現了一種用數論構造雙鑰的方法，稱作MIT體制，后來 被廣泛稱之為RSA體制。 l它既可用于加密、又可用于數字簽字。 lRSA算法的安全性基于數論中大整數分解的困難性。即要 求得兩個大素數的乘積是容易的，但要分解一個合數為兩 個大素數的乘積，則在計算上幾乎是不可能的。 l密鑰長度應該介于1024bit到2048bit之間 lRSA-129歷時8個月被于1996年4月被成功分解，RSA130 于1996年4月被成功分解，RSA-140于1999年2月被成功分 解，RSA-155于1999年8月被成功分解。 lDES和RSA

21、兩種算法各有優缺點：DES算法處理速度快，而 RSA算法速度慢很多；DES密鑰分配困難，而RSA簡單；DES 適合用于加密信息內容比較長的場合，而RSA適合用于信 息保密非常重要的場合。 35 橢圓曲線密碼體制（橢圓曲線密碼體制（ECC） l橢圓曲線 Weierstrass方程 y2+a1xy+a3y=x3+a2x2+a4x+a6 36 橢圓曲線的基本橢圓曲線的基本ElGamal加解密方案加解密方案 l加密算法：首先把明文加密算法：首先把明文m表示為橢園曲線上的一個點表示為橢園曲線上的一個點M，然后再加，然后再加 上上KQ進行加密，其中進行加密，其中K是隨機選擇的正整數，是隨機選擇的正整數，Q

22、是接收者的公鑰。是接收者的公鑰。 發方將密文發方將密文c1=KP和和c2=M+KQ發給接收方。發給接收方。 l解密算法：接收方用自己的私鑰計算解密算法：接收方用自己的私鑰計算 dc1=d(KP)=K(dP)=KQ 恢復出明文點恢復出明文點M為為 M=c2-KQ 37 lRSA算法的特點之一是數學原理簡單，在工程應用 中比較易于實現，但它的單位安全強度相對較低， 用目前最有效的攻擊方法去破譯RSA算法，其破譯 或求解難度是亞指數級。 lECC算法的數學理論深奧復雜，在工程應用中比較 困難，但它的安全強度比較高，其破譯或求解難度 基本上是指數級的。這意味著對于達到期望的安全 強度，ECC可以使用較

23、RSA更短的密鑰長度。 lECC的密鑰尺寸和系統參數與RSA相比要小得多，因 此 ECC在智能卡中已獲得相應的應用，可不采用協 處理器而在微控制器中實現，而在RFID中的應用尚 需時日。 哈希(Hash)鎖方案（Hash lock） Hash鎖是一種更完善的抵制標簽未授權訪問的安全與 隱私技術。整個方案只需要采用Hash函數，因此成本很低。 Hash函數的特點： 給定x，計算h(x)容易，但給定h(x)，求x計算上不可行； 對于任意x，找到一個y，且yx使得h(x)= h(y)，計算上是不可行 的；同時，發現一對(x，y)使得h(x)=h(y)，計算上也是不可行的。 給定函數h及安全參數k，輸

24、入為任意長度二進制串，輸出為 k位二進制串，記為 ； kn h1 ,01 ,0: 基于基于HashHash函數和偽隨機函數函數和偽隨機函數 鎖定標簽：鎖定標簽：對于唯一標志號為ID的標簽，首先閱讀器隨機 產生該標簽的Key，計算metaID=Hash(Key)，將metaID發 送給標簽；標簽將metaID存儲下來，進入鎖定狀態。閱讀 器將(metaID，Key，ID)存儲到后臺數據庫中，并以 metaID 為索引。 哈希哈希(Hash)(Hash)鎖方案（鎖方案（Hash lockHash lock） 解鎖標簽：解鎖標簽：閱讀器詢問標簽時，標簽回答metaID；閱讀器 查詢后臺數據庫，找到對

25、應的(metaID，Key，ID)記錄， 然后將該Key值發送給標簽；標簽收到Key值后，計算 Hash(Key)值，并與自身存儲的metaID值比較，若 Hash(Key)=metaID，標簽將其ID發送給閱讀器，這時標簽 進入已解鎖狀態，并為附近的閱讀器開放所有的功能。 哈希哈希(Hash)(Hash)鎖方案（鎖方案（Hash lockHash lock） l方法的優點：方法的優點：解密單向Hash函數是較困難的，因此該方法 可以阻止未授權的閱讀器讀取標簽信息數據，在一定程度 上為標簽提供隱私保護；該方法只需在標簽上實現一個 Hash函數的計算，以及增加存儲metaID值，因此在低成本 的標簽上容易實現。 l方法的缺陷：方法的缺陷：由于每次詢問時標簽回答的數據是特定的， 因此其不能防止位置跟蹤攻擊；閱讀器和標簽問傳輸的數 據未經加密，竊聽者可以輕易地獲得標簽Key和ID值。 哈希哈希(Hash)(Hash)鎖方案（鎖方案（Hash lockHash lock） 注：常用