第5章(2学时)-RFID数据安全性

1、 RFID的安全性 场景场景 一一 (1)超市已构建RFID系统并实现仓储管理、出售商品的自动化收 费等功能，超市管理者使用的阅读器可以读写商品标签数据(写 标签数据时需要接人密钥)，考虑到价格调整等因素，标签数据 必须能够多次读写。 (2)移动RFID用户自身携带有嵌入在手机或PDA中的阅读器，该 阅读器可以扫描超市中商品的标签以获得产品的制造商、生产 日期和价格等详细信息。 RFID智智 能收货能收货 RFID智智 能购物车能购物车 RFID智智 能结算能结算 未来商店未来商店 (3)通过信道监听信息截获、暴力破解(利用定向天线和数字 示波器监控标签被读取时的功率消耗，确定标签何时接受 了

2、正确的密码位)或其他人为因素，攻击者得到写标签数 据所需的接人密钥。 (4)利用标签的接人密钥，攻击者随意修改标签数据，更改 商品价格，甚至“kill”标签导致超市的商品管理和收费 系统陷入混乱以谋取个人私利。 德州仪器（TI）公司制造了一种称为数字签名收发器（Digital Signature Transponder，DTS）的内置加密功能的低频 RFID 设备。DST 现 已配备在数以百万计的汽车上，其功能主要是用于防止车辆被盗。 DST 同时也被 SpeedPass 无线付费系统所采用，该系统现用在北美的成 千上万的ExxonMobil 加油站内。 DST 执行了一个简单的询问/应答（c

3、hallenge-response）协议来进行工作. 阅读器的询问数据 C 长度为 40bits，芯片产生的回应数据 R 长度为 24bits， 而芯片中的密钥长度亦为 40bits。 密码破译者都知道，40bits 的密钥长度对于现在的标准而言太短了，这个 长度对于暴力攻击法毫无免疫力。 2004 年末，一队来自约翰霍普津斯大学和 RSA 实验室的研究人员示范了对 DST 安全弱点的攻击。他们成功的完全复制了 DST，这意味着他们破解了含有 DST 的汽车钥匙，并且使用它执行了相同的功能。 场景场景 二二 在2006年意大利举行的一次学术会议上，就有研究者 提出病毒可能感染RFID芯片，通过

4、伪造沃尔玛、家乐福 这样的超级市场里的RFID电子标签，将正常的电子标签 替换成恶意标签，即可进入他们的数据库及IT系统中发 动攻击。 2011年9月，北京公交一卡通被黑客破解，从而敲响了 整个RFID行业的警钟。黑客通过破解公交一卡通，给自 己的一卡通非法充值，获取非法利益2200元 2011年3月，业内某安全专家破解了一张英国发行的、 利用RFID来存储个人信息的新型生物科技护照。 2007年RSA安全大会上，一家名为IOActive的公司展示 了一款RFID克隆器，这款设备可以通过复制信用卡来窃 取密码 场景场景 三三 因此，如何实现因此，如何实现RFID系统的安全并保护电子标签持有人系

5、统的安全并保护电子标签持有人 隐私将是目前和今后发展隐私将是目前和今后发展RFID技术十分关注的课题。技术十分关注的课题。 1 1、RFIDRFID为什么会泄露个人隐私的为什么会泄露个人隐私的 ？ 2 2、RFIDRFID的安全漏洞在哪的安全漏洞在哪, ,有哪些攻击方式？有哪些攻击方式？ 3、RFIDRFID有哪些安全解决方案有哪些安全解决方案 ？ 问题探究问题探究 一、一、 RFIDRFID的安全问题的安全问题 首先，RFID标签和后端系统之间的通信是非接触和无 线的，使它们很易受到窃听; 其次，标签本身的计算能力 和可编程性，直接受到成本要求的限制。更准确地说，标 签越便宜，则其计算能力越

6、弱，而更难以实现对安全威胁 的防护。 标签中数据的脆弱性 标签和阅读器之间的通信脆弱性 阅读器中的数据的脆弱性 后端系统的脆弱性 主动攻击主动攻击： 对获得的标签实体，通过物理手段在实验室环境中去除芯片封装，使用 微探针获取敏感信号，进而进行目标标签重构的复杂攻击； 通过软件，利用微处理器的通用通信接口，通过扫描标签和响应读写器 的探询，寻求安全协议、加密算法以及它们实现的弱点，进行删除标签 内容或篡改可重写标签内容的攻击； 通过干扰广播、阻塞信道或其他手段，产生异常的应用环境，使合法处 理器产生故障，进行拒绝服务的攻击等。 被动攻击被动攻击： 通过采用窃听技术，分析微处理器正常工作过程中产生

7、的各种电磁特 征，来获得 RFID 标签和识读器之间或其它 RFID 通信设备之间的通信 数据（由于接收到阅读器传来的密码不正确时标签的能耗会上升，功率 消耗模式可被加以分析以确定何时标签接收了正确和不正确的密码位）。 通过识读器等窃听设备，跟踪商品流通动态等； 注：美国 Weizmann 学院计算机科学教授 Adi Shamir 和他的一位学 生利用定向天线和数字示波器来监控 RFID 标签被读取时的功率消耗， 通过监控标签的能耗过程研究人员推导出了密码。 二、二、RFIDRFID受到的攻击受到的攻击 RFID存在3个方面的安全问题 (1)(1)截获截获RFIDRFID标签标签：基础的安全问

8、题就是如何防止对RFID 标签信息进行截获和破解，因为RFID标签中的信息是整个 应用的核心和媒介，在获取了标签信息之后攻击者就可以 对RFID系统进行各种非授权使用 11 RFID存在3个方面的安全问题 (2)(2)破解破解RFIDRFID标签标签：RFID标签是一种集成电路芯片，这意味 着用于攻击智能卡产品的方法在RFID标签上也同样可行。 破解RFID标签的过程并不复杂。使用40位密钥的产品，通 常在一个小时之内就能够完成被破解出来；对于更坚固的 加密机制，则可以通过专用的硬件设备进行暴力破解。 12 RFID存在3个方面的安全问题 (3)(3)复制复制RFIDRFID标签标签：即使能将

9、加密机制设定得足够强壮，强 壮到攻击者无法破解RFID标签仍然面临着被复制的危险。 特别是那些没有保护机制的RFID标签，利用读卡器和附有 RFID标签的智能卡设备就能够轻而易举的完成标签复制工 作。尽管目前篡改RFID标签中的信息还非常困难，至少要 受到较多的限制，但是，在大多数情况下，成功的复制标 签信息已经足以对RFID系统完成欺骗。 13 只有合法的读写器才能获取或者更新相应的标签的状态。 lRFID系统的安全需求 授权访问 标签需要对阅读器进行认证。 只有合法的标签才可以被合法的读写器获取或者更新状态信息。 (2)标签的认证 阅读器需要对标签进行认证 。 标签用户的真实身份、当前位置

10、等敏感信息，在通信中应该 保证机密性。 (3)标签匿名性 信息要经过加密 。 三、三、RFID系统数据传输的安全性系统数据传输的安全性 即使攻击者攻破某个标签获得了它当前时刻t2的状态， 该攻击者也无法将该状态与之前任意时刻tl(tlt1) 识别认证该标签(抵抗重放攻击)。若一个安全协议能够实现 后向安全性，那么所有权转移就有了保证。 (5)后向安全性与所有权转移 每次发送的身份信息需要不断变化，且变化后的值不能 由变化前的值推导出 。 lRFID系统的安全需求 RFID系统可能会受到各种攻击，导致系统无法正常工作。 例如去同步化攻击可以使得标签和后台数据库所存储的信息不 一致导致合法标签失效

11、。拒绝服务攻击，可以通过对合法标签 广播大量的访问请求，使得标签无法对合法读写器的访问进行 响应。 (6)可用性 必须设计良好的安全认证协议 。 四、四、RFIDRFID的安全解决方案的安全解决方案 1、物理安全机制 2、逻辑安全机制 若标签支援Kill指令，如EPC Class 1 Gen 2标签，当 标签接收到读写器发出的Kill指令时，便会将自己销毁， 使得这个标签之后对于读写器的任何指令都不会有反应， 因此可保护标签资料不被读取；但由于这个动作是不可逆 的，一旦销毁就等于是浪费了这个标签 标签销毁指令标签销毁指令 法拉第笼法拉第笼 将标签放置在由金属网罩或金属箔片组成的容器中，称 作法

12、拉第笼，因为金属可阻隔无线电讯号之特性，即可避 免标签被读取器所读取。无线信号将被屏蔽，阅读器无法 读取标签信息，标签无法向阅读器发送信息。缺点：增加 了额外费用，有时不可行，如衣服上的RFID 标签。 1、物理安全机制 主动干扰主动干扰 使用能够主动发出广播讯号的设备，来干扰读取器查 询受保护之标签，成本较法拉第笼低；但此方式可能干扰 其他合法无线电设备的使用； 阻挡标签阻挡标签 使用一种特殊设计的标签，称为阻挡标签 (Blocker Tag)，此种标签会持续对读取器传送混淆的讯息，藉此阻 止读取器读取受保护之标签；但当受保护之标签离开阻挡 标签的保护范围，则安全与隐私的问题仍然存在。 综上

13、，物理安全机制存在很大的局限性，往往 需要附加额外的辅助设备，这不但增加了额外 的成本，还存在其他缺陷。如Kill命令对标签 的破坏性是不可逆的；某些有RFID标签的物品 不便置于法拉第笼中等。 2、逻辑安全机制 基于共享秘密和伪随机函数的安全协议基于共享秘密和伪随机函数的安全协议 基于加密算法的安全协议基于加密算法的安全协议 基于基于HashHash函数和伪随机函数函数和伪随机函数 基于循环冗余校验（CRC）的安全协议 基于消息认证码（MAC）的安全协议 基于逻辑位运算的安全协议 22 密码学的基础概念 加密算法 E 解密算法 D 明文 m 密文 c 明文 m 密钥 K 密钥 K? 加密模型

14、加密模型 加密和解密变换的关系式：加密和解密变换的关系式： c=EK(m) m=DK(c)=DK(EK(m) 23 三次认证过程 基于共享秘密和伪随机函数的安全协议基于共享秘密和伪随机函数的安全协议 注：该协议在认证过程中，属于同一应用的所有标签和阅读器共享 同一的加密密钥。由于同一应用的所有标签都使用唯一的加密密钥， 所有三次认证协议具有安全隐患。 25 l射频识别中的认证技术 l三次认证过程 l阅读器发送查询口令的命令给应答器，应答器作为应答响应 传送所产生的一个随机数RB给阅读器。 l阅读器产生一个随机数RA，使用共享的密钥K和共同的加密算 法EK，算出加密数据块TOKEN AB，并将T

15、OKEN AB传送给应答 器。 TOKEN ABEK(RA,RB) l应答器接受到TOKEN AB后，进行解密，将取得的随机数与原 先发送的随机数RB进行比较，若一致，则阅读器获得了应答 器的确认。 l应答器发送另一个加密数据块TOKEN BA给阅读器，TOKEN BA 为 TOKEN BAEK(RB1,RA) l阅读器接收到TOKEN BA并对其解密，若收到的随机数与原先 发送的随机数RA相同，则完成了阅读器对应答器的认证。 例如：Mifare卡，采用三次认证协议，其密 钥为6字节，即48位，一次典型的验证需要 6ms，如果外部使用暴力破解的话，需要的时 间为一个非常大的数字，常规破解手段将

16、无 能为力。 27 数据加密标准（Data Encryption Standard，DES） lDES由IBM公司1975年研究成功并发表，1977年被美国定为 联邦信息标准。 lDES 使用一个 56 位的密钥以及附加的 8 位奇偶校验位， 将64位的明文经加密算法变换为64位的密文。 l加密和解密共用同一算法，使工程实现的工作量减半。 l综合运用了置换、代替、代数等多种密码技术。 基于加密算法的安全协议基于加密算法的安全协议 28DES加密算法 Li=Ri-1 RiLi-1 f(Ri-1, Ki) 从左图可知 i= 1,2,3,16 矩阵矩阵 58 50 42 34 26 18 10 2

17、60 52 44 36 28 20 12 4 62 54 46 38 30 22 14 6 64 56 48 40 32 24 16 8 57 49 41 33 25 17 9 1 59 51 43 35 27 19 11 3 61 53 45 37 29 21 13 5 63 55 47 39 31 23 15 7 作用作用: :把把6464位明文打乱重排。位明文打乱重排。 左一半为左一半为L0 (L0 (左左3232位位) ) ，右一半为，右一半为R0 (R0 (右右3232位位) ) 。 例：把输入的第例：把输入的第1 1位置换到第位置换到第4040位，把输入的第位，把输入的第5858位

18、置换到位置换到 第第1 1位。位。 初始置换初始置换IP 3 3重重DESDES 3DES 3DES是是DESDES加密数据的一种模式，它使用加密数据的一种模式，它使用3 3条条 5656位的密钥对数据进行三次加密。位的密钥对数据进行三次加密。 31 高级加密标准（Advanced Encryption Standard， AES） l高级加密标准由美国国家标准与技术研究院 （NIST） 于2001年11月26日发布于FIPS PUB 197，并在2002年5 月26日成为有效的标准。2006年，高级加密标准已然成 为对称密钥加密中最流行的算法之一。 lAES是分组加密算法，分组长度为128位

19、，密钥长度有 128位、192位、256位三种，分别称为AES-128，AES- 192，AES-256。 AES 基本要求： l比3重DES快 l至少与3重DES一样安全 l数据长度为128bit l密钥长度为128/192/256bit 设计原则： l能抵抗所有已知的攻击； l在各种平台上易于实现，速度快； l设计简单。 标准的高级加密算法(AES)大概需要20000- 30000个等效门电路来实现。但Feldhofer等人 提出了一个128位的AES算法只需要3600个等效 门（和256bit的RAM）实现。该算法是迄今为止 已知的最低成本的AES方案。 34 RSA算法算法 lMIT三

20、位年青数学家R.L.Rivest，A.Shamir和L.Adleman等 发现了一种用数论构造双钥的方法，称作MIT体制，后来 被广泛称之为RSA体制。 l它既可用于加密、又可用于数字签字。 lRSA算法的安全性基于数论中大整数分解的困难性。即要 求得两个大素数的乘积是容易的，但要分解一个合数为两 个大素数的乘积，则在计算上几乎是不可能的。 l密钥长度应该介于1024bit到2048bit之间 lRSA-129历时8个月被于1996年4月被成功分解，RSA130 于1996年4月被成功分解，RSA-140于1999年2月被成功分 解，RSA-155于1999年8月被成功分解。 lDES和RSA

21、两种算法各有优缺点：DES算法处理速度快，而 RSA算法速度慢很多；DES密钥分配困难，而RSA简单；DES 适合用于加密信息内容比较长的场合，而RSA适合用于信 息保密非常重要的场合。 35 椭圆曲线密码体制（椭圆曲线密码体制（ECC） l椭圆曲线 Weierstrass方程 y2+a1xy+a3y=x3+a2x2+a4x+a6 36 椭圆曲线的基本椭圆曲线的基本ElGamal加解密方案加解密方案 l加密算法：首先把明文加密算法：首先把明文m表示为椭园曲线上的一个点表示为椭园曲线上的一个点M，然后再加，然后再加 上上KQ进行加密，其中进行加密，其中K是随机选择的正整数，是随机选择的正整数，Q

22、是接收者的公钥。是接收者的公钥。 发方将密文发方将密文c1=KP和和c2=M+KQ发给接收方。发给接收方。 l解密算法：接收方用自己的私钥计算解密算法：接收方用自己的私钥计算 dc1=d(KP)=K(dP)=KQ 恢复出明文点恢复出明文点M为为 M=c2-KQ 37 lRSA算法的特点之一是数学原理简单，在工程应用 中比较易于实现，但它的单位安全强度相对较低， 用目前最有效的攻击方法去破译RSA算法，其破译 或求解难度是亚指数级。 lECC算法的数学理论深奥复杂，在工程应用中比较 困难，但它的安全强度比较高，其破译或求解难度 基本上是指数级的。这意味着对于达到期望的安全 强度，ECC可以使用较

23、RSA更短的密钥长度。 lECC的密钥尺寸和系统参数与RSA相比要小得多，因 此 ECC在智能卡中已获得相应的应用，可不采用协 处理器而在微控制器中实现，而在RFID中的应用尚 需时日。 哈希(Hash)锁方案（Hash lock） Hash锁是一种更完善的抵制标签未授权访问的安全与 隐私技术。整个方案只需要采用Hash函数，因此成本很低。 Hash函数的特点： 给定x，计算h(x)容易，但给定h(x)，求x计算上不可行； 对于任意x，找到一个y，且yx使得h(x)= h(y)，计算上是不可行 的；同时，发现一对(x，y)使得h(x)=h(y)，计算上也是不可行的。 给定函数h及安全参数k，输

24、入为任意长度二进制串，输出为 k位二进制串，记为 ； kn h1 ,01 ,0: 基于基于HashHash函数和伪随机函数函数和伪随机函数 锁定标签：锁定标签：对于唯一标志号为ID的标签，首先阅读器随机 产生该标签的Key，计算metaID=Hash(Key)，将metaID发 送给标签；标签将metaID存储下来，进入锁定状态。阅读 器将(metaID，Key，ID)存储到后台数据库中，并以 metaID 为索引。 哈希哈希(Hash)(Hash)锁方案（锁方案（Hash lockHash lock） 解锁标签：解锁标签：阅读器询问标签时，标签回答metaID；阅读器 查询后台数据库，找到对

25、应的(metaID，Key，ID)记录， 然后将该Key值发送给标签；标签收到Key值后，计算 Hash(Key)值，并与自身存储的metaID值比较，若 Hash(Key)=metaID，标签将其ID发送给阅读器，这时标签 进入已解锁状态，并为附近的阅读器开放所有的功能。 哈希哈希(Hash)(Hash)锁方案（锁方案（Hash lockHash lock） l方法的优点：方法的优点：解密单向Hash函数是较困难的，因此该方法 可以阻止未授权的阅读器读取标签信息数据，在一定程度 上为标签提供隐私保护；该方法只需在标签上实现一个 Hash函数的计算，以及增加存储metaID值，因此在低成本 的标签上容易实现。 l方法的缺陷：方法的缺陷：由于每次询问时标签回答的数据是特定的， 因此其不能防止位置跟踪攻击；阅读器和标签问传输的数 据未经加密，窃听者可以轻易地获得标签Key和ID值。 哈希哈希(Hash)(Hash)锁方案（锁方案（Hash lockHash lock） 注：常用