RFID的安全性

1、RFID安全技术综述安全技术综述 RFID security and privacyRFID(Radio Frequency Identification)，即射频识别，俗称电子标签。，即射频识别，俗称电子标签。v什么是什么是RFID？vRFID及应用及应用RFID是用来对人或者物品进行身份识别的所有无线设备。是用来对人或者物品进行身份识别的所有无线设备。票证和收费票证和收费门禁系统门禁系统图书管理图书管理危险品管理危险品管理动物识别动物识别RFID的应用领域不断拓展，市场潜力巨大商品防伪商品防伪vRFID及应用及应用RFID的应用领域不断拓展，市场潜力巨大不停车收费系统不停车收费系统火车车号

2、识别火车车号识别集装箱识别集装箱识别vRFID的安全问题的安全问题 低成本电子标签有限的资源很大程度的制约着低成本电子标签有限的资源很大程度的制约着RFID安全机安全机制的实现。安全问题，特别是用户隐私问题变得日益严重。由制的实现。安全问题，特别是用户隐私问题变得日益严重。由于于RFID标签不需经它的拥有者允许便直接响应阅读器的查询，标签不需经它的拥有者允许便直接响应阅读器的查询，用户如果带有不安全的标签的产品，则在用户没有感知的情况用户如果带有不安全的标签的产品，则在用户没有感知的情况下，被附近的阅读器读取，用户数据会被非法盗用产生重大损下，被附近的阅读器读取，用户数据会被非法盗用产生重大损

3、失。或者泄露个人的敏感信息，特别是可能暴露用户的位置隐失。或者泄露个人的敏感信息，特别是可能暴露用户的位置隐私，使得用户被跟踪。私，使得用户被跟踪。 因此，如何实现因此，如何实现RFID系统的安全并保护电子标签持有人系统的安全并保护电子标签持有人隐私将是目前和今后发展隐私将是目前和今后发展RFID技术十分关注的课题。技术十分关注的课题。vRFID系统构成系统构成只有合法的读写器才能获取或者更新相应的标签的状态。只有合法的读写器才能获取或者更新相应的标签的状态。 vRFID系统的安全需求系统的安全需求1、授权访问、授权访问标签需要对阅读器进行认证标签需要对阅读器进行认证。 只有合法的标签才可以被

4、合法的读写器获取或者更新状态信息。只有合法的标签才可以被合法的读写器获取或者更新状态信息。2、标签的认证、标签的认证阅读器需要对标签进行认证阅读器需要对标签进行认证 。 标签用户的真实身份、当前位置等敏感信息，在通信中应该保证标签用户的真实身份、当前位置等敏感信息，在通信中应该保证机密性。机密性。 3、标签匿名性、标签匿名性信息要经过加密信息要经过加密 。 即使攻击者攻破某个标签获得了它当前时刻即使攻击者攻破某个标签获得了它当前时刻t2的状态，该攻的状态，该攻击者也无法将该状态与之前任意时刻击者也无法将该状态与之前任意时刻tl(tlt1)识别认识别认证该标签证该标签(抵抗重放攻击抵抗重放攻击)

5、。若一个安全协议能够实现后向安全。若一个安全协议能够实现后向安全性，那么所有权转移就有了保证。性，那么所有权转移就有了保证。 5、后向安全性与所有权转移、后向安全性与所有权转移 每次发送的身份信息需要不断变化，且变化后的值不能由每次发送的身份信息需要不断变化，且变化后的值不能由变化前的值推导出变化前的值推导出 。 RFID系统可能会受到各种攻击，导致系统无法正常工作。例系统可能会受到各种攻击，导致系统无法正常工作。例如去同步化攻击可以使得标签和后台数据库所存储的信息不一致如去同步化攻击可以使得标签和后台数据库所存储的信息不一致导致合法标签失效。拒绝服务攻击，可以通过对合法标签广播大导致合法标签

6、失效。拒绝服务攻击，可以通过对合法标签广播大量的访问请求，使得标签无法对合法读写器的访问进行响应。量的访问请求，使得标签无法对合法读写器的访问进行响应。 vRFID系统的安全需求系统的安全需求6 、可用性、可用性必须设计良好的安全认证协议必须设计良好的安全认证协议 。 v常见攻击形式常见攻击形式 1、物理攻击物理攻击 2、伪造攻击伪造攻击 3、假冒攻击假冒攻击 4、复制攻击复制攻击 5、重放攻击重放攻击 6、信息篡改信息篡改 其他攻击形式：其他攻击形式：side channel attackdenial of service (DoS) attack brute-force attackman

7、-in-the-middle attackcryptanalysisdata theft没有微处理器没有微处理器 有限的存储空间有限的存储空间 有限的电源供给有限的电源供给 由数千个逻辑门电路组成由数千个逻辑门电路组成 vRFID安全设计的挑战安全设计的挑战标签的特殊性和局限性：标签的特殊性和局限性： 所有这些特点和局限性都对所有这些特点和局限性都对RFID系统安全的设计带来了特系统安全的设计带来了特殊的要求，传统的加密或者签名算法很难集成到这类设备中，使殊的要求，传统的加密或者签名算法很难集成到这类设备中，使得设计者对机制的选择受到很多限制。得设计者对机制的选择受到很多限制。 设计安全、高效

8、、低成本的设计安全、高效、低成本的RFID安全协议成为了一个新的具安全协议成为了一个新的具有挑战性的问题，也吸引了许多国际一流密码学家的关注和投入。有挑战性的问题，也吸引了许多国际一流密码学家的关注和投入。 针对一些极低成本的基本针对一些极低成本的基本RFID标签，提出了一些标签，提出了一些物理安全机制。物理安全机制。 v现有的现有的RFID安全机制分析安全机制分析 1、物理安全机制、物理安全机制(1)Killing和和 Sleeping机制机制 (2)静电屏蔽静电屏蔽 (3)主动干扰主动干扰 (4)Blocker Tag 针对一些有较高安全要求，有能力执行加密功能的针对一些有较高安全要求，有

9、能力执行加密功能的RFID标签，标签，提出了一些基于密码技术的安全机制。提出了一些基于密码技术的安全机制。 2、基于密码技术的安全机制基于密码技术的安全机制 现在提出的基于密码技术的协议大部分都是三轮协议。现在提出的基于密码技术的协议大部分都是三轮协议。典型的三轮密码认证协议典型的三轮密码认证协议 1、为确保数据的私密性，发送的信息需要进行加密。为确保数据的私密性，发送的信息需要进行加密。 采用的加密算法采用的加密算法:(1) Hash函数函数给定给定x，计算，计算h(x)容易，但给定容易，但给定h(x)，求，求x计算上不可行；计算上不可行；对于任意对于任意x，找到一个，找到一个y，且，且yx

10、使得使得h(x)= h(y)，计算上是不可行的；，计算上是不可行的；同时，发现一对同时，发现一对(x，y)使得使得h(x)=h(y)，计算上也是不可行的。，计算上也是不可行的。标准标准Hash函数函数 ：MD4、MD5、SHA-1、SHA-256等等 (2) 异或运算异或运算(A B) A=B给定函数给定函数h及安全参数及安全参数k，输入为任意长度二进制串，输出，输入为任意长度二进制串，输出为为k位二进制串，记为位二进制串，记为 ；knh1 , 01 , 0:协议分析协议分析: 2、为了抵抗假冒攻击，重放攻击，防止对标签的跟踪，每一、为了抵抗假冒攻击，重放攻击，防止对标签的跟踪，每一次通信中发

11、送的私密信息必须是变化的，而且变化前后的信息次通信中发送的私密信息必须是变化的，而且变化前后的信息不能被对手通过窃听到的信息预测和推导出。不能被对手通过窃听到的信息预测和推导出。v 采用伪随机数加密采用伪随机数加密ID信息；信息； 采用伪随机数增加了标签硬件成本，而动态更新采用伪随机数增加了标签硬件成本，而动态更新ID要解要解决数据同步问题。决数据同步问题。v 动态更新动态更新ID。一般采用两种机制：一般采用两种机制： Rhee Rhee等人提了一种适用于分布式数据库环境的等人提了一种适用于分布式数据库环境的RFIDRFID认证协议，认证协议，它是典型的询问它是典型的询问- -应答型双向认证协

12、议。应答型双向认证协议。(1)布式布式RFID询问询问-应答认证协议应答认证协议标签硬件需求：标签硬件需求：随机数生成，随机数生成，Hash函数。函数。安全性：安全性：到目前为止，还没有发现该协议具有明显的安全漏洞。到目前为止，还没有发现该协议具有明显的安全漏洞。 存在问题：存在问题：完全完全不适用低成本的标签。不适用低成本的标签。 典型的密码认证协议及分析典型的密码认证协议及分析 NTT实验室提出的实验室提出的Hash-Chain协议。在系统运行之前，协议。在系统运行之前，Tag和和后端数据库首先要预共享一个初始秘密值后端数据库首先要预共享一个初始秘密值st,1。标签中存储的密。标签中存储的

13、密值不断用值不断用Hash函数来进行自我更新，形成一条函数来进行自我更新，形成一条Hash链。链。(2) Hash-Chain协议协议安全性：安全性：有比较好的前向安全性。单向认证协议，阅读器可以假有比较好的前向安全性。单向认证协议，阅读器可以假冒，只要截获某个冒，只要截获某个at,j，标签可以进行重放攻击和伪造攻击；，标签可以进行重放攻击和伪造攻击；标签硬件需求：标签硬件需求：Hash函数，读写存储器；函数，读写存储器；存在问题：存在问题：后端数据库计算负荷大，标签成本高。需要解决数据不后端数据库计算负荷大，标签成本高。需要解决数据不同步问题。同步问题。 简宏宇（简宏宇（Huang-Yu C

14、hien）提出的）提出的SASI协议是一个轻便的协协议是一个轻便的协议，在低成本的议，在低成本的RFID标签上实现了强认证与完整性。标签上实现了强认证与完整性。 (3) SASI（Strong Authentication and Strong Integrity）协议）协议标签硬件需求：标签硬件需求：异或，移位运算。异或，移位运算。存在问题：存在问题：算法缺陷，循环左移运算算法缺陷，循环左移运算Rot （6）其他安全协议）其他安全协议 v David的数字图书馆的数字图书馆RFID协议协议 v Lee等人的等人的LCAP协议协议 v Osaka等人提出的等人提出的Ownership Tran

15、sfer协议协议v 张帆等人提出的协议张帆等人提出的协议v Y.-C.Lee等人的安全协议等人的安全协议 这些协议都采用了伪随机数生成器、这些协议都采用了伪随机数生成器、Hash函数和异或函数和异或运算、动态更新运算、动态更新ID等机制来实现加密和认证。等机制来实现加密和认证。v Ari Juels 提出的提出的yoking-Proof协议协议RFID安全认证的一个新的方向：多标签认证。安全认证的一个新的方向：多标签认证。 v 基于杂凑的基于杂凑的ID变化协议变化协议v主要的研究方向主要的研究方向1、安全协议的研究、安全协议的研究 v 安全协议和其它协议不同，人们也许永远无法知道攻击者下一步安

16、全协议和其它协议不同，人们也许永远无法知道攻击者下一步将采取什么样的攻击手段，有时甚至恰恰就是在那些被认为相当将采取什么样的攻击手段，有时甚至恰恰就是在那些被认为相当安全的细节之处出现了微妙的漏洞。安全的细节之处出现了微妙的漏洞。 提出提出RFID系统潜在的安全威胁与新的攻击模型，设计更为安全的系统潜在的安全威胁与新的攻击模型，设计更为安全的认证协议。认证协议。v 对于低成本的标签，要实现完美的安全性是比较困难的。由于对于低成本的标签，要实现完美的安全性是比较困难的。由于RFID系统有别于其他系统的特殊性，系统有别于其他系统的特殊性，构建一个弱化的安全模型构建一个弱化的安全模型能够反映一些实际

17、的安全威胁，依此设计一个低成本、低功耗的能够反映一些实际的安全威胁，依此设计一个低成本、低功耗的安全协议，满足实际的安全需求。安全协议，满足实际的安全需求。 使用对称加密算法来确保私密性和实现认证，必须要设计和实使用对称加密算法来确保私密性和实现认证，必须要设计和实现高效的加密算法。现高效的加密算法。2、加密算法的设计、加密算法的设计（1）常用的）常用的Hash算法算法硬件开销是比较大的，例如硬件开销是比较大的，例如SHA-1算法大概算法大概需要需要20000个等效门电路来实现，完全不适用于低成本的个等效门电路来实现，完全不适用于低成本的RFID标签。但是标签。但是Yksel提出了一个低成本的

18、提出了一个低成本的64位位Hash函数，只需要函数，只需要1700个等效门便可实现。个等效门便可实现。（2）标准的标准的高级加密算法高级加密算法(AES)大概需要大概需要20000-30000个等效门个等效门电路来实现。但电路来实现。但Feldhofer等人提出了一个等人提出了一个128位的位的AES算法只算法只需要需要3600个等效门（和个等效门（和256bit的的RAM）实现。该算法是迄今）实现。该算法是迄今为止已知的最低成本的为止已知的最低成本的AES方案。方案。 密码协议的安全性分析和证明长期以来一直是安全研究的热点密码协议的安全性分析和证明长期以来一直是安全研究的热点和难点问题。证明密码协议的正确性与安全性的理论和方法可以分和难点问题。证明密码协议的正确性与安全性的理论和方法可以分为两大类：为两大类：形式化方法形式化方法和和可证明安全理论方法可证明安全理论方法。 现在已经提出的针对现在已经提出的针对RFID系统的可证明安全模型主要有：系统的可证明安全模型主要有：3、 RFID安全协议的安全模型及安全性的研究安全协议的安全模型及安全性的研究（1）Gildas Avoine提出的攻击者模型；提出的攻