第6讲RFID的安全性ppt课件.ppt

《第6讲RFID的安全性ppt课件.ppt》由会员分享，可在线阅读，更多相关《第6讲RFID的安全性ppt课件.ppt（49页珍藏版）》请在三一办公上搜索。

1、第6讲 RFID的安全性,场景 一,(1)超市已构建RFID系统并实现仓储管理、出售商品的自动化收费等功能，超市管理者使用的阅读器可以读写商品标签数据(写标签数据时需要接人密钥)，考虑到价格调整等因素，标签数据必须能够多次读写。(2)移动RFID用户自身携带有嵌入在手机或PDA中的阅读器，该阅读器可以扫描超市中商品的标签以获得产品的制造商、生产日期和价格等详细信息。,RFID智能收货,RFID智能购物车,RFID智能结算,未来商店,(3)通过信道监听信息截获、暴力破解(利用定向天线和数字示波器监控标签被读取时的功率消耗，确定标签何时接受了正确的密码位)或其他人为因素，攻击者得到写标签数据所需的

2、接人密钥。(4)利用标签的接人密钥，攻击者随意修改标签数据，更改商品价格，甚至“kill”标签导致超市的商品管理和收费系统陷入混乱以谋取个人私利。,德州仪器（TI）公司制造了一种称为数字签名收发器（Digital Signature Transponder，DTS）的内置加密功能的低频 RFID 设备。DST 现已配备在数以百万计的汽车上，其功能主要是用于防止车辆被盗。DST 同时也被 SpeedPass 无线付费系统所采用，该系统现用在北美的成千上万的ExxonMobil 加油站内。,DST 执行了一个简单的询问/应答（challenge-response）协议来进行工作.阅读器的询问数据

3、C 长度为 40bits，芯片产生的回应数据 R 长度为 24bits，而芯片中的密钥长度亦为 40bits。密码破译者都知道，40bits 的密钥长度对于现在的标准而言太短了，这个长度对于暴力攻击法毫无免疫力。2004 年末，一队来自约翰霍普津斯大学和 RSA 实验室的研究人员示范了对 DST 安全弱点的攻击。他们成功的完全复制了 DST，这意味着他们破解了含有 DST 的汽车钥匙，并且使用它执行了相同的功能。,场景 二,在2006年意大利举行的一次学术会议上，就有研究者提出病毒可能感染RFID芯片，通过伪造沃尔玛、家乐福这样的超级市场里的RFID电子标签，将正常的电子标签替换成恶意标签，即

4、可进入他们的数据库及IT系统中发动攻击。 2011年9月，北京公交一卡通被黑客破解，从而敲响了整个RFID行业的警钟。黑客通过破解公交一卡通，给自己的一卡通非法充值，获取非法利益2200元 2011年3月，业内某安全专家破解了一张英国发行的、利用RFID来存储个人信息的新型生物科技护照。 2007年RSA安全大会上，一家名为IOActive的公司展示了一款RFID克隆器，这款设备可以通过复制信用卡来窃取密码,场景 三, ,RFID应用的隐私泄露问题,因此，如何实现RFID系统的安全并保护电子标签持有人隐私将是目前和今后发展RFID技术十分关注的课题。,1、RFID为什么会泄露个人隐私的 ？2、

5、RFID的安全漏洞在哪,有哪些攻击方式？,3、RFID有哪些安全解决方案 ？,问题探究,一、 RFID的安全问题,首先，RFID标签和后端系统之间的通信是非接触和无线的，使它们很易受到窃听; 其次，标签本身的计算能力和可编程性，直接受到成本要求的限制。更准确地说，标签越便宜，则其计算能力越弱，而更难以实现对安全威胁的防护。,标签中数据的脆弱性 标签和阅读器之间的通信脆弱性 阅读器中的数据的脆弱性 后端系统的脆弱性,主动攻击：对获得的标签实体，通过物理手段在实验室环境中去除芯片封装，使用微探针获取敏感信号，进而进行目标标签重构的复杂攻击；通过软件，利用微处理器的通用通信接口，通过扫描标签和响应读

6、写器的探询，寻求安全协议、加密算法以及它们实现的弱点，进行删除标签内容或篡改可重写标签内容的攻击；通过干扰广播、阻塞信道或其他手段，产生异常的应用环境，使合法处理器产生故障，进行拒绝服务的攻击等。被动攻击： 通过采用窃听技术，分析微处理器正常工作过程中产生的各种电磁特征，来获得 RFID 标签和识读器之间或其它 RFID 通信设备之间的通信数据（由于接收到阅读器传来的密码不正确时标签的能耗会上升，功率消耗模式可被加以分析以确定何时标签接收了正确和不正确的密码位）。通过识读器等窃听设备，跟踪商品流通动态等； 注：美国 Weizmann 学院计算机科学教授 Adi Shamir 和他的一位学生利用

7、定向天线和数字示波器来监控 RFID 标签被读取时的功率消耗，通过监控标签的能耗过程研究人员推导出了密码。,二、RFID受到的攻击,RFID存在3个方面的安全问题(1)截获RFID标签：基础的安全问题就是如何防止对RFID标签信息进行截获和破解，因为RFID标签中的信息是整个应用的核心和媒介，在获取了标签信息之后攻击者就可以对RFID系统进行各种非授权使用,11,RFID存在3个方面的安全问题(2)破解RFID标签：RFID标签是一种集成电路芯片，这意味着用于攻击智能卡产品的方法在RFID标签上也同样可行。破解RFID标签的过程并不复杂。使用40位密钥的产品，通常在一个小时之内就能够完成被破解

8、出来；对于更坚固的加密机制，则可以通过专用的硬件设备进行暴力破解。,12,RFID存在3个方面的安全问题(3)复制RFID标签：即使能将加密机制设定得足够强壮，强壮到攻击者无法破解RFID标签仍然面临着被复制的危险。特别是那些没有保护机制的RFID标签，利用读卡器和附有RFID标签的智能卡设备就能够轻而易举的完成标签复制工作。尽管目前篡改RFID标签中的信息还非常困难，至少要受到较多的限制，但是，在大多数情况下，成功的复制标签信息已经足以对RFID系统完成欺骗。,13,只有合法的读写器才能获取或者更新相应的标签的状态。,RFID系统的安全需求,授权访问,标签需要对阅读器进行认证。,只有合法的标

9、签才可以被合法的读写器获取或者更新状态信息。,(2)标签的认证,阅读器需要对标签进行认证 。,标签用户的真实身份、当前位置等敏感信息，在通信中应该保证机密性。,(3)标签匿名性,信息要经过加密 。,三、RFID系统数据传输的安全性,即使攻击者攻破某个标签获得了它当前时刻t2的状态，该攻击者也无法将该状态与之前任意时刻tl(tlt2)获得的某个状态关联起来(防止跟踪和保护用户隐私)。,RFID系统的安全需求,(4)前向安全性,每次发送的身份信息需要不断变化，且变化前的值不能由变化后的值推导出 。,标签在时刻tl的秘密信息不足以用来在时刻t2(t2t1)识别认证该标签(抵抗重放攻击)。若一个安全协

10、议能够实现后向安全性，那么所有权转移就有了保证。,(5)后向安全性与所有权转移,每次发送的身份信息需要不断变化，且变化后的值不能由变化前的值推导出 。,RFID系统的安全需求,RFID系统可能会受到各种攻击，导致系统无法正常工作。例如去同步化攻击可以使得标签和后台数据库所存储的信息不一致导致合法标签失效。拒绝服务攻击，可以通过对合法标签广播大量的访问请求，使得标签无法对合法读写器的访问进行响应。,(6)可用性,必须设计良好的安全认证协议 。,四、RFID的安全解决方案,1、物理安全机制2、逻辑安全机制,若标签支援Kill指令，如EPC Class 1 Gen 2标签，当标签接收到读写器发出的K

11、ill指令时，便会将自己销毁，使得这个标签之后对于读写器的任何指令都不会有反应，因此可保护标签资料不被读取；但由于这个动作是不可逆的，一旦销毁就等于是浪费了这个标签,标签销毁指令,法拉第笼,将标签放置在由金属网罩或金属箔片组成的容器中，称作法拉第笼，因为金属可阻隔无线电讯号之特性，即可避免标签被读取器所读取。无线信号将被屏蔽，阅读器无法读取标签信息，标签无法向阅读器发送信息。缺点：增加了额外费用，有时不可行，如衣服上的RFID 标签。,1、物理安全机制,主动干扰 使用能够主动发出广播讯号的设备，来干扰读取器查询受保护之标签，成本较法拉第笼低；但此方式可能干扰其他合法无线电设备的使用；阻挡标签

12、使用一种特殊设计的标签，称为阻挡标签 (Blocker Tag)，此种标签会持续对读取器传送混淆的讯息，藉此阻止读取器读取受保护之标签；但当受保护之标签离开阻挡标签的保护范围，则安全与隐私的问题仍然存在。,综上，物理安全机制存在很大的局限性，往往需要附加额外的辅助设备，这不但增加了额外的成本，还存在其他缺陷。如Kill命令对标签的破坏性是不可逆的；某些有RFID标签的物品不便置于法拉第笼中等。,2、逻辑安全机制基于共享秘密和伪随机函数的安全协议基于加密算法的安全协议基于Hash函数和伪随机函数基于循环冗余校验（CRC）的安全协议基于消息认证码（MAC）的安全协议基于逻辑位运算的安全协议,22,

13、密码学的基础概念,加密模型,加密和解密变换的关系式：,c=EK(m),m=DK(c)=DK(EK(m),23,三次认证过程,基于共享秘密和伪随机函数的安全协议,注：该协议在认证过程中，属于同一应用的所有标签和阅读器共享同一的加密密钥。由于同一应用的所有标签都使用唯一的加密密钥，所有三次认证协议具有安全隐患。,25,射频识别中的认证技术 三次认证过程阅读器发送查询口令的命令给应答器，应答器作为应答响应传送所产生的一个随机数RB给阅读器。阅读器产生一个随机数RA，使用共享的密钥K和共同的加密算法EK，算出加密数据块TOKEN AB，并将TOKEN AB传送给应答器。TOKEN ABEK(RA,RB

14、) 应答器接受到TOKEN AB后，进行解密，将取得的随机数与原先发送的随机数RB进行比较，若一致，则阅读器获得了应答器的确认。应答器发送另一个加密数据块TOKEN BA给阅读器，TOKEN BA为TOKEN BAEK(RB1,RA) 阅读器接收到TOKEN BA并对其解密，若收到的随机数与原先发送的随机数RA相同，则完成了阅读器对应答器的认证。,例如：Mifare卡，采用三次认证协议，其密钥为6字节，即48位，一次典型的验证需要6ms，如果外部使用暴力破解的话，需要的时间为一个非常大的数字，常规破解手段将无能为力。,27,数据加密标准（Data Encryption Standard，DES

15、）DES由IBM公司1975年研究成功并发表，1977年被美国定为联邦信息标准。DES 使用一个 56 位的密钥以及附加的 8 位奇偶校验位，将64位的明文经加密算法变换为64位的密文。加密和解密共用同一算法，使工程实现的工作量减半。综合运用了置换、代替、代数等多种密码技术。,基于加密算法的安全协议,28,DES加密算法,矩阵 58 50 42 34 26 18 10 260 52 44 36 28 20 12 4 62 54 46 38 30 22 14 664 56 48 40 32 24 16 857 49 41 33 25 17 9 159 51 43 35 27 19 11 3 61

16、 53 45 37 29 21 13 563 55 47 39 31 23 15 7,作用:把64位明文打乱重排。左一半为L0 (左32位) ，右一半为R0 (右32位) 。例：把输入的第1位置换到第40位，把输入的第58位置换到第1位。,初始置换IP,3重DES,3DES是DES加密数据的一种模式，它使用3条56位的密钥对数据进行三次加密。,31,高级加密标准（Advanced Encryption Standard，AES） 高级加密标准由美国国家标准与技术研究院 （NIST）于2001年11月26日发布于FIPS PUB 197，并在2002年5月26日成为有效的标准。2006年，高级加

17、密标准已然成为对称密钥加密中最流行的算法之一。 AES是分组加密算法，分组长度为128位，密钥长度有128位、192位、256位三种，分别称为AES-128，AES-192，AES-256。,AES,基本要求：比3重DES快至少与3重DES一样安全数据长度为128bit密钥长度为128/192/256bit设计原则：能抵抗所有已知的攻击；在各种平台上易于实现，速度快；设计简单。,标准的高级加密算法(AES)大概需要20000-30000个等效门电路来实现。但Feldhofer等人提出了一个128位的AES算法只需要3600个等效门（和256bit的RAM）实现。该算法是迄今为止已知的最低成本的

18、AES方案。,34,RSA算法 MIT三位年青数学家R.L.Rivest，A.Shamir和L.Adleman等发现了一种用数论构造双钥的方法，称作MIT体制，后来被广泛称之为RSA体制。它既可用于加密、又可用于数字签字。RSA算法的安全性基于数论中大整数分解的困难性。即要求得两个大素数的乘积是容易的，但要分解一个合数为两个大素数的乘积，则在计算上几乎是不可能的。密钥长度应该介于1024bit到2048bit之间RSA-129历时8个月被于1996年4月被成功分解，RSA130于1996年4月被成功分解，RSA-140于1999年2月被成功分解，RSA-155于1999年8月被成功分解。DES

19、和RSA两种算法各有优缺点：DES算法处理速度快，而RSA算法速度慢很多；DES密钥分配困难，而RSA简单；DES适合用于加密信息内容比较长的场合，而RSA适合用于信息保密非常重要的场合。,35,椭圆曲线密码体制（ECC） 椭圆曲线 Weierstrass方程 y2+a1xy+a3y=x3+a2x2+a4x+a6,36,椭圆曲线的基本ElGamal加解密方案 加密算法：首先把明文m表示为椭园曲线上的一个点M，然后再加上KQ进行加密，其中K是随机选择的正整数，Q是接收者的公钥。发方将密文c1=KP和c2=M+KQ发给接收方。解密算法：接收方用自己的私钥计算 dc1=d(KP)=K(dP)=KQ

20、恢复出明文点M为 M=c2-KQ,37,RSA算法的特点之一是数学原理简单，在工程应用中比较易于实现，但它的单位安全强度相对较低，用目前最有效的攻击方法去破译RSA算法，其破译或求解难度是亚指数级。ECC算法的数学理论深奥复杂，在工程应用中比较困难，但它的安全强度比较高，其破译或求解难度基本上是指数级的。这意味着对于达到期望的安全强度，ECC可以使用较RSA更短的密钥长度。 ECC的密钥尺寸和系统参数与RSA相比要小得多，因此 ECC在智能卡中已获得相应的应用，可不采用协处理器而在微控制器中实现，而在RFID中的应用尚需时日。,哈希(Hash)锁方案（Hash lock） Hash锁是一种更完

21、善的抵制标签未授权访问的安全与隐私技术。整个方案只需要采用Hash函数，因此成本很低。 Hash函数的特点：,给定x，计算h(x)容易，但给定h(x)，求x计算上不可行；,对于任意x，找到一个y，且yx使得h(x)= h(y)，计算上是不可行的；同时，发现一对(x，y)使得h(x)=h(y)，计算上也是不可行的。,给定函数h及安全参数k，输入为任意长度二进制串，输出为k位二进制串，记为 ；,基于Hash函数和伪随机函数,锁定标签：对于唯一标志号为ID的标签，首先阅读器随机产生该标签的Key，计算metaID=Hash(Key)，将metaID发送给标签；标签将metaID存储下来，进入锁定状态

22、。阅读器将(metaID，Key，ID)存储到后台数据库中，并以metaID 为索引。,哈希(Hash)锁方案（Hash lock）,解锁标签：阅读器询问标签时，标签回答metaID；阅读器查询后台数据库，找到对应的(metaID，Key，ID)记录，然后将该Key值发送给标签；标签收到Key值后，计算Hash(Key)值，并与自身存储的metaID值比较，若Hash(Key)=metaID，标签将其ID发送给阅读器，这时标签进入已解锁状态，并为附近的阅读器开放所有的功能。,哈希(Hash)锁方案（Hash lock）,方法的优点：解密单向Hash函数是较困难的，因此该方法可以阻止未授权的阅读

23、器读取标签信息数据，在一定程度上为标签提供隐私保护；该方法只需在标签上实现一个Hash函数的计算，以及增加存储metaID值，因此在低成本的标签上容易实现。方法的缺陷：由于每次询问时标签回答的数据是特定的，因此其不能防止位置跟踪攻击；阅读器和标签问传输的数据未经加密，窃听者可以轻易地获得标签Key和ID值。,哈希(Hash)锁方案（Hash lock）,注：常用的Hash算法硬件开销是比较大的，例如SHA-1算法大概需要20000个等效门电路来实现，完全不适用于低成本的RFID标签。但是Yksel提出了一个低成本的64位Hash函数，只需要1700个等效门便可实现。,改进的Hash-Lock协

24、议：随机Hash-Lock协议Hash-Chain协议折中Hash-Chain协议逆Hash-Chain协议基于Hash的ID变化协议 ,小结：没有任何一种单一的手段可以彻底保证RFID系统的应用安全。实际上往往需要采用综合性的解决方案。当然，安全又是相对的，不存在绝对安全的标签，安全措施的级别(破解的难易程度、随时间地点的变化等)会视应用不同而改变。在实施和部署RFID应用系统之前，有必要进行充分的业务安全评估和风险分析，综合的解决方案需要考虑成本和收益之间的关系。,46,密钥管理 应答器中的密钥 为了阻止对应答器的未经认可的访问，采用了各种方法。最简单的方法是口令的匹配检查，应答器将收到的

25、口令与存储的基准口令相比较，如果一致，就允许访问数据存储器。 分级密钥 密钥A仅可读取存储区中的数据，而密钥B对数据区可以读写。如果阅读器A只有密钥A，则在认证后它仅可读取应答器中的数据，但不能写入。而阅读器B如果具有密钥B，则认证后可以对存储区进行读写。,47,密钥管理,初级密钥用来保护数据，即对数据进行加密和解密；二级密钥是用于加密保护初级密钥的密钥；主密钥则用于保护二级密钥。这种方法对系统的所有秘密的保护转化为对主密钥的保护。主密钥永远不可能脱离和以明码文的形式出现在存储设备之外。,P250 RFID安全策略举例,作业：1、RFID存在哪些安全隐患？2、RFID的安全机制有哪些？3、说明RFID中阅读器和应答器的三次认证过程。4、简述存储型、逻辑加密型和CPU型电子标签的安全设计方法。5、在产品包装中RFID技术涉及哪几个方面？分析产品包装中RFID系统的安全需求，给出产品包装中RFID系统的安全策略。,