射频识别技术第六章

1、第六章第六章RFID的安全机制研究的安全机制研究 RFID的的安全问题安全问题主要是指存在伪造标签主要是指存在伪造标签时，如何有效地对时，如何有效地对标签标签进行进行认证认证； RFID的的隐私问题隐私问题主要是指存在恶意阅读主要是指存在恶意阅读器时，如何器时，如何防止防止阅读器对标签的阅读器对标签的非法访非法访问。问。6.1 RFID的安全现状的安全现状 近年来，近年来，RFID系统应用的安全威胁层出系统应用的安全威胁层出不穷不穷 公交卡系统破解公交卡系统破解 门禁卡系统破解门禁卡系统破解 电子收费系统破解电子收费系统破解6.1 RFID的安全现状的安全现状 目前关于目前关于RFID的的标准

2、标准主要主要来源于来源于全球电子产全球电子产品编码组织（品编码组织（EPC global）和世界标准组织）和世界标准组织（ISO）；）； EPC C1G2规范中说明了标签必须支持一些功规范中说明了标签必须支持一些功能组件，如能组件，如Kill、Lock和访问控制密码等和访问控制密码等 ISO/ISE 18000-6协议主要针对无源标签的安全协议主要针对无源标签的安全机制机制6.2 RFID的安全及隐私问题的安全及隐私问题 RFID的安全问题的安全问题 窃听窃听 中间人攻击中间人攻击 欺骗、重放、克隆欺骗、重放、克隆 物理破解物理破解 篡改信息篡改信息 拒绝服务攻击拒绝服务攻击 RFID病毒病毒

3、6.2 RFID的安全及隐私问题的安全及隐私问题 窃听：窃听：攻击者直接偷听标签和阅读器通过无攻击者直接偷听标签和阅读器通过无线传输方式传输的内容线传输方式传输的内容 中间人攻击：中间人攻击：攻击者伪装成阅读器或标签与攻击者伪装成阅读器或标签与合法的阅读器以及标签进行通信合法的阅读器以及标签进行通信 欺骗、重放、克隆欺骗、重放、克隆：欺骗是指窃听者伪装成：欺骗是指窃听者伪装成合法标签欺骗阅读器；重放是指将标签回复合法标签欺骗阅读器；重放是指将标签回复记录下来，在阅读器询问时播放以欺骗阅读记录下来，在阅读器询问时播放以欺骗阅读器；克隆是指将一个标签的内容写入另一个器；克隆是指将一个标签的内容写入

4、另一个标签中。标签中。6.2 RFID的安全及隐私问题的安全及隐私问题 RFID的安全问题的安全问题 物理破解物理破解 篡改信息：篡改信息：对标签数据进行未授权的修改或对标签数据进行未授权的修改或擦除擦除 拒绝服务攻击：拒绝服务攻击：发送不完整的交互请求来消发送不完整的交互请求来消耗系统资源耗系统资源 RFID病毒病毒6.2 RFID的安全及隐私问题的安全及隐私问题 RFID的隐私问题的隐私问题 隐私信息泄露：隐私信息泄露： 标签发送的信息被暴漏，该信息包括标签用标签发送的信息被暴漏，该信息包括标签用户或者识别对象的相关信息户或者识别对象的相关信息 跟踪：跟踪： 攻击者通过获取标签上的信息，标

5、注标签携攻击者通过获取标签上的信息，标注标签携带者，进而跟踪标签携带者带者，进而跟踪标签携带者6.3 密码学基础密码学基础 密码学基本概念密码学基本概念 明文、密文、加密密钥、解密密钥明文、密文、加密密钥、解密密钥 加密模型加密模型c=EK(m) m=DK(c)=DK(EK(m) 6.3 密码学基础密码学基础 密码的使用要注意：密码的使用要注意： 密钥长度越长，破译可能性越小，相应的加密钥长度越长，破译可能性越小，相应的加密算法的复杂度和所需资源越多。密算法的复杂度和所需资源越多。 密钥应易于更换密钥应易于更换 密钥要通过单独的安全信道传递。密钥要通过单独的安全信道传递。6.3 密码学基础密码

6、学基础 密码分析面对的主要情况：密码分析面对的主要情况： 只有密文问题：仅有密文而无明文的破译只有密文问题：仅有密文而无明文的破译 已知明文问题：拥有了一批相匹配的明文和已知明文问题：拥有了一批相匹配的明文和密文密文 选择明文问题：能够加密自己所选的一些明选择明文问题：能够加密自己所选的一些明文文6.3 密码学基础密码学基础 密码体制按照加密和解密的密钥是否相同可以密码体制按照加密和解密的密钥是否相同可以分为分为对称密码体制对称密码体制和和非对称密码体制非对称密码体制两种。两种。 对称密码体制也称为单钥密码体制或私钥密码对称密码体制也称为单钥密码体制或私钥密码体制，主要有体制，主要有序列密码序

7、列密码和和分组密码分组密码两种不同的两种不同的体制。体制。 非对称密码体制又称为公钥密码体制、双钥密非对称密码体制又称为公钥密码体制、双钥密码体制，最著名的算法为码体制，最著名的算法为RSA算法算法。6.3 密码学基础密码学基础 序列密码：序列密码：将明文将明文mm看成连续的比特流看成连续的比特流mm1 1，mm2 2，mm3 3，并用密钥序列并用密钥序列K=KK=K1 1，KK2 2中的第中的第i i个元素个元素对明文中的对明文中的mmi i进行加密，因此也称流密码。进行加密，因此也称流密码。 分组密码：分组密码：将明文划分为固定的将明文划分为固定的n n比特的数据组，然后以比特的数据组，然

8、后以组为单位，在密钥的作用下进行一系列变化组为单位，在密钥的作用下进行一系列变化生成密文。生成密文。 对称密码体制算法的对称密码体制算法的优点优点：计算开销小，：计算开销小，速度快。速度快。6.3 密码学基础密码学基础 非对称密码体制每个用户都使用两个密非对称密码体制每个用户都使用两个密钥，即公钥和私钥。钥，即公钥和私钥。 公开密钥：即加密密钥，用于加密报文。公开密钥：即加密密钥，用于加密报文。 私人密钥：即解密密钥，用于对自己接私人密钥：即解密密钥，用于对自己接收的密文进行解密。收的密文进行解密。6.4 RFID的安全机制研究的安全机制研究 基于物理方法的安全机制基于物理方法的安全机制 灭活

9、灭活（Kill） 静电屏蔽静电屏蔽 主动干扰主动干扰 阻止标签阻止标签6.4 RFID的安全机制研究的安全机制研究 灭活（灭活（Kill） 由由Auto-ID center（自动识别中心）提出，阅（自动识别中心）提出，阅读器通过向标签发送一个制定的读器通过向标签发送一个制定的PIN码来执行码来执行杀死命令；杀死命令； 灭活标签机制的原理：使用灭活标签机制的原理：使用kill命令杀死标签命令杀死标签，使标签丧失功能，不再响应阅读器的扫描，使标签丧失功能，不再响应阅读器的扫描，从而防止攻击者对标签及携带者的跟踪。从而防止攻击者对标签及携带者的跟踪。6.4 RFID的安全机制研究的安全机制研究 静电

10、屏蔽静电屏蔽 指将标签放入具有静电屏蔽功能的容器中，指将标签放入具有静电屏蔽功能的容器中，使其不能与外界进行电磁耦合，阻止标签被使其不能与外界进行电磁耦合，阻止标签被扫描扫描 常见的静电屏蔽容器是法拉第网罩。可以双常见的静电屏蔽容器是法拉第网罩。可以双向阻止信号的传输向阻止信号的传输6.4 RFID的安全机制研究的安全机制研究 主动干扰主动干扰 是指通过一个设备主动广播干扰信号来阻止是指通过一个设备主动广播干扰信号来阻止或破坏附近的非授权阅读器对标签的读写操或破坏附近的非授权阅读器对标签的读写操作。作。 基于掩码的主动干扰机制基于掩码的主动干扰机制 会产生非法干扰，使附近系统无法正常工作会产生

11、非法干扰，使附近系统无法正常工作6.4 RFID的安全机制研究的安全机制研究 阻止标签阻止标签 通过设定的标签冲突算法来阻止未授权的通过设定的标签冲突算法来阻止未授权的阅读器读取那些受保护的标签阅读器读取那些受保护的标签 在需要的时候可以取消阻止，使目标标签在需要的时候可以取消阻止，使目标标签可被读取可被读取6.4 RFID的安全机制研究的安全机制研究 基于对称密钥的安全机制基于对称密钥的安全机制 标签向阅读器发送标签向阅读器发送Ti表明身份；表明身份； 阅读器生成一个随机的比特串阅读器生成一个随机的比特串R，发送至标，发送至标签；签； 标签用密钥标签用密钥ki对比特串对比特串R进行加密，计算

12、进行加密，计算C=EkiR,将将C发送至阅读器；发送至阅读器； 阅读器本地计算阅读器本地计算C= EkiR,验证是否有验证是否有C=C，若是，则标签被成功认证。若是，则标签被成功认证。6.4 RFID的安全机制研究的安全机制研究 基于哈希函数的安全机制基于哈希函数的安全机制 哈希锁（哈希锁（Hash-Lock） 随机哈希锁（随机哈希锁（Randomized Hash Lock） 哈希链（哈希链（Hash Chain Scheme)6.4 RFID的安全机制研究的安全机制研究 基于哈希函数的安全机制基于哈希函数的安全机制 哈希函数：又称为散列函数、哈希算法。是把哈希函数：又称为散列函数、哈希算法

13、。是把任意长度的二进制串映射到特定长度二进制串任意长度的二进制串映射到特定长度二进制串的函数，是最基本的密码学工具之一。的函数，是最基本的密码学工具之一。 哈希函数被广泛应用于数字签名、消息鉴别以哈希函数被广泛应用于数字签名、消息鉴别以及伪随机发生器等领域及伪随机发生器等领域6.4 RFID的安全机制研究的安全机制研究 哈希函数的性质哈希函数的性质 单向性：已知输入可以求出输出，但是已知单向性：已知输入可以求出输出，但是已知输出无法得到输入输出无法得到输入 弱无碰撞性：已知输入弱无碰撞性：已知输入x x，想找到输入，想找到输入y y使使得他们的输出相同是不可能的得他们的输出相同是不可能的 强无

14、碰撞性：想找出一对数强无碰撞性：想找出一对数x x和和y y，使得他，使得他们的输出相同是不可能的们的输出相同是不可能的6.4 RFID的安全机制研究的安全机制研究 Hash-Lock协议工作原理：协议工作原理： 阅读器存储每个标签的访问密钥阅读器存储每个标签的访问密钥key，而与，而与此密钥对应的标签存储的元身份为此密钥对应的标签存储的元身份为metaID，其中其中metaID=hash(key)。标签接收到阅读器。标签接收到阅读器的访问请求后发送的访问请求后发送metaID作为响应，阅读作为响应，阅读器则查询与当前器则查询与当前metaID 对应的密钥对应的密钥key发送发送给标签。当标签

15、接收到密钥给标签。当标签接收到密钥key后，检查后，检查hash(key)是否与是否与metaID相同，如果相同，相同，如果相同，则解锁并发送自身的则解锁并发送自身的ID信息给阅读器。信息给阅读器。6.4 RFID的安全机制研究的安全机制研究 锁定过程：锁定过程： 阅读器随机生成阅读器随机生成一个密钥一个密钥key，并计算，并计算metaID=hash(key)。其中。其中hash( )是一个单向是一个单向密码学哈希函数。密码学哈希函数。 阅读器将阅读器将metaID写入到标签。写入到标签。 标签被锁定，进入锁定状态。标签被锁定，进入锁定状态。 阅读器以阅读器以metaID为缩影，将为缩影，将

16、(metaID,key)对对存储到后台数据库。存储到后台数据库。6.5 RFID的安全机制研究的安全机制研究 标签解锁过程标签解锁过程 标签进入阅读器范围后，阅读器查询标签，标签进入阅读器范围后，阅读器查询标签，标签响应并返回标签响应并返回metaID； 阅读器以阅读器以metaID为索引在后台数据库中查为索引在后台数据库中查询对应的询对应的(metaID，key)对，并将对，并将key返回给返回给阅读器；阅读器； 阅读器把密钥阅读器把密钥key发送给标签；发送给标签； 标签计算标签计算hash(key)，如果，如果hash(key)与标签与标签中存储的中存储的metaID相等，则标签解锁，并

17、阅相等，则标签解锁，并阅向读器发送自身的向读器发送自身的ID。6.4 RFID的安全机制研究的安全机制研究 随机哈希锁协议工作流程随机哈希锁协议工作流程 阅读器发送请求；阅读器发送请求； 标签生成随机数标签生成随机数R，并计算自身，并计算自身ID和随机数和随机数R的哈希值的哈希值h(IDR),最后把随机数最后把随机数R和这个和这个哈希值返回给阅读器；哈希值返回给阅读器； 阅读器将收到的消息转发给后台数据库阅读器将收到的消息转发给后台数据库6.4 RFID的安全机制研究的安全机制研究 后台数据库将所有标签的后台数据库将所有标签的ID和收到的随机数和收到的随机数R一起进行哈希运算，如果得到的值和一

18、起进行哈希运算，如果得到的值和h(IDR)相同，则该标签就是正在被查询的相同，则该标签就是正在被查询的标签，后台数据库将该标签，后台数据库将该ID发送给阅读器；发送给阅读器； 阅读器将阅读器将ID返回给标签，解锁标签返回给标签，解锁标签6.4 RFID的安全机制研究的安全机制研究 哈希链哈希链 标签使用了一个标签使用了一个hash函数在每次阅读器访问函数在每次阅读器访问之后自动更新标识符，实现前向安全性之后自动更新标识符，实现前向安全性 该协议中阅读器和标签共享两个单向密码学该协议中阅读器和标签共享两个单向密码学哈希函数，一个用来计算响应信息，一个用哈希函数，一个用来计算响应信息，一个用来进行

19、更新来进行更新 双方还共享一个初始的随机化标识符双方还共享一个初始的随机化标识符6.4 RFID的安全机制研究的安全机制研究 主要安全机制的性能比较主要安全机制的性能比较 项目项目方案方案效果效果适用范围适用范围标签所需资源标签所需资源基于物理方法的安基于物理方法的安全保护机制全保护机制标签实现逻辑非常标签实现逻辑非常简单，不需要标签简单，不需要标签自身实现安全与隐自身实现安全与隐私保障私保障适用于对处理能力适用于对处理能力非常有限的被动标非常有限的被动标签进行安全保护的签进行安全保护的场合场合对标签所需资源要对标签所需资源要求非常低，需要额求非常低，需要额外的设备提供安全外的设备提供安全隐私

20、保障隐私保障基于对称密钥加密基于对称密钥加密的协议的协议实现逻辑较为复杂，实现逻辑较为复杂，能有效实现加密、能有效实现加密、解密操作解密操作主动标签或处理能主动标签或处理能力较强的被动标签力较强的被动标签需要进行加密、解需要进行加密、解密的场合密的场合对标签资源要求较对标签资源要求较高高基于基于hashhash函数的函数的协议协议标签实现逻辑较为标签实现逻辑较为简单，具有前向安简单，具有前向安全性，不能实现加全性，不能实现加密、解密操作密、解密操作适用于处理能力较适用于处理能力较弱的被动标签需要弱的被动标签需要认证的场合认证的场合对标签的资源要求对标签的资源要求低低6.5 密钥管理密钥管理 应

21、答器中的密钥应答器中的密钥 为了阻止对应答器的未经认可的访问，采用了各为了阻止对应答器的未经认可的访问，采用了各种方法。种方法。最简单的方法是口令的匹配检查最简单的方法是口令的匹配检查，应答，应答器将收到的口令与存储的基准口令相比较，如果器将收到的口令与存储的基准口令相比较，如果一致，就允许访问数据存储器。一致，就允许访问数据存储器。 分级密钥分级密钥 密钥密钥A仅可读取存储区中的数据，而密钥仅可读取存储区中的数据，而密钥B对数据对数据区可以读写。如果阅读器区可以读写。如果阅读器A只有密钥只有密钥A，则在认，则在认证后它仅可读取应答器中的数据，但不能写入。证后它仅可读取应答器中的数据，但不能写入。而阅读器而阅读器B如果具有密钥如果具有密钥B，则认证后可以对存储，则认证后可以对存储区进行读写。区进行读写。 6.5 密钥管理密钥管理 密钥的分层管理密钥的分层管理 初级密钥用来保护数据，即对数据进行加密初级密钥用来保护数据，即对数据进行加密和解密；二级密钥是用于加密保护初级密钥和解密；二级密钥是用于加密保护初级密钥的密钥；主密钥则用于保护二级密钥。的密钥；主密钥则用于保护二级密钥。这种这种方法对系统的所有秘密的保护转化为对主密方法对系统的所有秘密的保护转化为对主密钥的保护。钥