RFID的安全与隐患题库.pptVIP

RFID系统 RFID是近年来的一项热门技术，现在它广泛应用于物流、交通、商业、管理等各个领域。RFID系统由标签、阅读器（Reader）、应用软件和现有的互联网的基础上组成。 在RFID系统里，RFID标签通过读写器把标签数据读取出来，传送给RFID应用软件进行相应的数据处理，然后再通过互联网在各个应用环节交流信息，从而实现商品信息的流通。 RFID的应用越来越广泛，但它像计算机网络一样也存在着安全隐患 RFID系统的安全隐患 系统存在的安全问题分为三类：标签级安全、软件级安全和网络级安全 。 1.软件级安全 数据进入后端系统之后，则属于传统应用软件安全的范畴。在这一领域具有比较强的安全基础，有很多手段来保证这一范畴的安全。 2.网络级安全 RFID系统中标签数据进入系统软件，然后再经由现有的Internet网络传输。在的Internet网络也存在很多安全隐患，这是Internet安全的问题。 3.标签级安全 （ RFID系统特有的安全问题） 下面我们主要讲一讲这个方面的问题。 标签级安全主要集中在以下三个方面： （1）对电子标签信息的盗读和篡改：RFID标签和条码不同，体积小，容量小，通过天线就可以与外界交互信息，因此射频识别系统很容易受到攻击。RFID标签拥有惟一的ID，一旦攻击者获得ID，也就获得了目标对象的数据信息。未被保护的标签易遭受来自未授权方的监听，未授权的读写器在没有访问控制协议下可随时访问其附近的标签从而获得机密数据。在篡改电子标签内数据方面，存在非法者改写或是重置标签内容的威胁。破坏者也可以通过破坏一组标签的有效工作性能，从而可能使整个供应链陷入瘫痪状态，因此存在标签数据被篡改的危险。 （2）读写器受到干扰或其他攻击：由于RFID的开放式环境，非法用户通过发射干扰信号来影响读写器读取信号，或用其他方式释放攻击信号直接攻击读写器，使读写器无法接收正常的标签数据。 （3）对环境的适应性：由于零售业和物流业的RFID应用环境比较复杂，因此需要RFID具有较强的适应性，包括能够在存在非恶意的信号干扰、金属干扰、潮湿以及一定程度的遮挡等。 近几年来，国内外频发各种RFID攻击事件，一些黑客利用RFID技术破解各种消费卡、充值卡，然后盗刷恶意充值消费卡，有些人也因此获刑了。现在是物联网推动着移动互联网发展，很多手机终端也被嵌入NFC功能，用于公交、移动支付等等，很多的安全问题也逐步被曝露出来，在未来也可能会曝露出更多的问题。 Invented by Acad. Oleg V. Gritskevitch 卡数据嗅探 ? 多数人身上一般都会携带有各类射频卡，里面可能一些个人信息，或者门禁监控系统的验证信息。一些攻击者可能通过一些设备，去读取受害者身上的射频卡信息（能否读取成功就取决于射频卡的通讯距离了），然后通过将这些数据写入空白卡或者其它方式进行重放攻击，就可以获取他人的身份验证或者其它敏感信息。 卡复制 ?在很多门禁卡中，经常使用存储器头部的uid值作为一个判断值，如果我们直接将它写入一张空白卡中，就可复制出一张卡来通过门禁。但由于多数卡的uid部分是不可写，因此必须使用到uid可写的特种卡 卡数据破解与篡改 ???????A类卡很早之就已经被破解出来，但目前使用仍是很广泛，很多公司、学校的门禁、餐卡、一卡通都仍在使用这类芯片卡。 主要技术对策 ： ?(1) 只读标签：这种方式消除了数据被篡改和删除的风险，但仍然具有被非法阅读的风险。 (2 ) 限制标签和读写器之间的通信距离：采用不同的工作频率、天线设计、标签技术和读写器技术可以限制两者之间的通信距离，降低非法接近和阅读标签的风险，但是这仍然不能解决数据传输的风险还以损害可部署性为代价。 (3) 实现专有的通信协议：在高度安全敏感和互操作性不高的情况下，实现专有通信协议是有效的。它涉及到实现一套非公有的通信协议和加解密方案。基于完善的通信协议和编码方案，可实现较高等级的安全。但是，这样便丧失了与采用工业标准的系统之间的RFID数据共享能力。 (4) 屏蔽：可以使用法拉第网来屏蔽标签，使其丧失了RF特征。在不需要阅读和通信的时候，这也是一个主要的保护手段，特别是包含有金融价值和敏感数据的标签的场合，可以在需要通信的时候解除屏蔽。 (5) 使用销毁指令(KillCommand)：如果标签支持Kill指令，当标签接收到读写器发送的Kill命令便会将自己销毁，无法被再次激活，以后它将对读写器的任何指令都无法反应。 (6) 使用休眠指令(Sleep)：当支持休眠命令的标签接收到读写器传来的休眠(Sleep)指令,标签即进入休眠状态，不会响应任何读写器的操作；当标签收到读写器的唤醒(WakeUp)命令才会恢复正常