蔡菁
摘 要:射频识别(RFID)标签以其容量大,速度快,支持移动识别、多目标识别和非可视识别,正逐步应用于生产制造、交通运输、批发零售等诸多行业,可以说RFID的应用已经遍布我们生活的方方面面。那么RFID的安全问题也日益突出,如何解决RFID的安全问题就显得尤为重要,本文就是在这样的背景下,阐述了RFID的安全威胁和解决方案。
关键词:RFID;安全;Hash函数
一、引言
RFID系统一般由三个实体部分与两种通信信道组成,即电子标签、阅读器、后台应用系统与无线通信信道、后端网络通信信道。对于攻击者来说,这几部分都可能成为攻击对象,攻击者模型如图1所示。
二、安全威胁
攻击RFID系统的手段一般分为被动攻击、主动攻击、物理攻击、内部人员攻击和软/硬件配装攻击5种。
1.被动攻击
被动攻击不修改数据,而是获得系统中的敏感信息,通过对电子标签与阅读器之间的无线信道的窃听,攻击者可以获得电子标签中的数据,分析出大量有价值的信息。
2.主动攻击
主动攻击涉及对系统数据的篡改或增加虚假的数据。其手段主要包括:
(1)假冒:对于RFID系统,既可以假冒电子标签也可以假冒阅读器。
(2)重放:攻击者可以把以前的合法通信数据记录下来,然后重放出来以欺骗标签或阅读器。
(3)篡改:对RFID系统而言,可以篡改空中接口数据或者标签数据。
(4)拒绝服务:针对RFID的空中接口实施拒绝服务是比较容易的。
(5)病毒攻击。
三、RFID安全关键问题
RFID系统中电子标签固有的内部资源有限、能量有限和快速读取要求,以及具有的灵活读取方式,增加了在RFID系统中实现安全的难度。实现符合RFID系统的安全协议、机制,必须考虑RFID系统的可行性,同时重点考虑以下几方面的问题。
1.算法复杂度
对于存储资源最为缺乏的RFID电子标签要求加密算法不能占用过多的计算周期。
无源EPC C1G2电子标签的内部最多有2000个逻辑门,而通常的DES算法需要2000多个逻辑门。
2.认证流程
在不同应用系统中,读写器对电子标签的读取方式不同,认证所需时间也不一样。
3.密钥管理
在RFID应用系统中,如果每个电子标签都具有唯一的密钥,那么密钥的数量十分庞大,密钥管理会比较困难。如果所有同类的商品具有相同密钥,安全性又会不足。
除了要考虑以上这几个方面之外,还要考虑如何对传感器、电子标签、读写器等感知设备进行物理保护,以及是否要对不用的应用使用不同的安全等级等。
四、一种RFID密码相关技术
密码相关技术可以实现RFID系统所要求的机密性、完整性、可用性、真实性和隐私性等基本特征,且具有广谱性,在任何标签上均可实施。但完善的密码学机制一般需要较强的计算能力,对标签的功耗和成本是一个较大的挑战。下面一种基于Hash函数的安全通信协议,抛砖引玉,供大家参考。
一种用于供应链的RFID安全和隐私方案。在标签内置一个Hash函数,保存Hash(TagID)和ReaderID(合法阅读器的ID)。数据库中保存所有标签的TagID和Hash(TagID)。其协议流程如下图所示。
其执行步骤为:
(1)阅读器向电子标签发送查询命令。
(2)电子标签生成随机数k并通过阅读器转发给数据库。
(3)数据库计算a(k)=Hash(ReaderID‖k)并通过阅读器转发给电子标签。
(4)电子标签同样计算a(k),以认证阅读器,若认证通过则将Hash(TagID)通过阅读器转发给数据库。
(5)数据库通过Hash(TagID)查找出TagID并发给阅读器。
该协议基本解决了机密性、真实性和隐私性问题。其优点主要是简单明了,数据库查询速度快。缺点一是需要一个Hash函数,增加了标签成本、功耗和运行时间;二是攻击者可重放数据欺骗阅读器;三是非法阅读器可安装在合法阅读器附近,通过监听Hash(TagID)跟踪标签;四是一个地点的所有电子标签共享同一个ReaderID安全性不佳;五是阅读器和电子标签中的ReaderID的管理難度较大。
五、结束语
随着技术的发展,目前乃至将来,RFID标签将存储越来越多的信息,承担越来越多的使命,RFID安全问题是一个不能回避的问题,但由于标签资源的有限性,大多安全方案或多或少都存在一些问题,值得我们进一步研究。
参考文献
[1]何加亮.基于散列函数的RFID安全协议研究[D].吉林大学,2012.
[2]米志强,杨署,王武等编著.射频识别(RFID)技术与应用[M].电子工业出版社,2011.
[3]Vajda I.and Buttydn L.Lightweight authentication protocols for low-cost RFID tags.Security issue in Ubicomp03,2003.