作者:甘勇、贺蕾
出版社:人民邮电出版社
格式: AZW3, DOCX, EPUB, MOBI, PDF, TXT
RFID标签所有权安全转换试读:
前言
射频识别(Radio Frequency Identification,RFID)技术是利用无线射频的方式在阅读器和应答器之间进行非接触式的双向数据传输的新技术,以达到目标识别和数据交换的目的。随着RFID技术的广泛应用,所有权转换和安全隐私问题也越来越凸显,RFID标签的安全问题主要包括个人隐私保护、企业商业机密保护以及安全防范等多个方面。RFID标签有可能在没有感知的情况下被附近的阅读器读取,造成个人信息泄露,尤其是可能暴露用户的位置隐私,导致用户被跟踪,因此RFID安全协议研究引起了国内外同行的重视,并在安全协议研究与设计方面取得了一些成果。在国家自然科学基金项目“基于动态重载的RFID标签所有权安全转换机制研究”(No.61340059)和“多所有者RFID标签所有权可验证动态安全转换机制研究”(No.61572445)及河南省重点科技攻关计划项目“RFID系统安全性研究”的支持和资助下,本书作者及所在项目组对RFID标签所有权安全转换协议进行了研究并进行了总结,希望能为从事相关研究与工程的科研工作者提供参考。
本书主要内容包括:第1章介绍了RFID技术及其面临的安全挑战,以及RFID所有权安全转换协议研究背景与意义;第2章介绍了RFID系统安全协议所涉及的信息安全基本理论,包括密码学基本概念与常用算法、数字签名及常用算法、数字认证和数字证书、安全协议、密钥协商协议等;第3章介绍了RFID系统中的认证、密钥协商和所有权转换;第4章介绍了RFID标签所有权转换的概念、模型和协议,设计了RFID所有权转换协议并进行了安全性分析;第5章介绍了基于动态重载的RFID标签所有权转换机制;第6章给出了RFID标签所有权转换系统的设计实例。
甘勇编写了第1章、第2章和第6章,并对全书进行了统稿,贺蕾编写了第3~5章,项目组的硕士研究生李天豹、杨佳佳、许允倩、薛峰、杜超、杨宗琴、王凯、郭胜娜、张云霄参与了项目研究,并为本书的文字校阅、插图绘制等做了大量的工作;本书的编写得到了郑州轻工业学院、郑州工程技术学院和人民邮电出版社的支持和帮助,在此由衷地向他们表示感谢!作者在编写本书的过程中参考了大量国内外相关项目的专业知识和研究成果,在此对原作者和出版单位表示诚挚的谢意!
由于作者水平所限,同时RFID所有权安全转换协议的研究仍在快速发展和完善中,因此书中难免存在缺点甚至错误之处,敬请广大读者批评指正。作者2017年12月第1章 RFID技术及其面临的安全挑战
1.1 RFID技术及其基本工作原理
1.2 RFID面临的安全问题与挑战
1.3 RFID安全协议研究的意义
1.4 本章小结
本章简要介绍RFID(Radio Frequency Identification,无线射频识别)技术及基本工作原理,包括RFID电子标签及种类、相关标准、RFID应用面临的安全问题与挑战、RFID安全协议研究的意义等内容。1.1 RFID技术及其基本工作原理1.1.1 RFID技术与发展
RFID是一种通过无线射频信号识别特定目标并读写相关数据的无线通信技术,它可自动识别、收集、处理、转换实体的相关信息。RFID技术源于军事方面的应用,目前RFID技术作为物联网的核心技术之一发展迅速,已在物流、医药、零售业、制造业、航空业、石化、银行、公共交通、校园卡、产品追踪与溯源等领域广泛应用,甚至私人物品的运输都可用电子标签进行监管。作为物联网技术应用的排头兵,RFID不仅被广泛应用于各行各业,而且将变革现有的商业模式,使各行业更大限度地把人力物力投入到创新发展以及尽可能提供更好的服务上来。例如在供应链管理等物流领域,RFID的应用将成为重头戏。在物流供应链环境下,RFID技术可以有效跟踪,收集产品相关信息,提高产品流通中的管理效率,降低管理成本。[1-2]
目前RFID技术和市场正日趋成熟,美国及欧盟等多国把RFID作为重点产业投入巨资积极推动。中国也在高度关注和重视物联网技术,自2010年物联网发展被正式列入国家发展战略以来,我国RFID及物联网产业迎来了难得的发展机遇。2011年4月,工业和信息化部(以下简称“工信部”)、财政部设立物联网专项资金,推动产业快速发展。2011年中国RFID产业的市场规模达到了179.7亿元,比2010年增长了47.94%。2011年中国RFID产业链各环节如射频芯片、标签封装产品与设备、软件/中间件、系统集成都呈现出高速增长的势头。2012年2月,工信部正式发布《物联网“十二五”发展规划》,指明产业未来发展道路,在政府大力推动物联网产业发展的背景下,国家的一系列促进政策成为中国RFID产业发展的强大动力来源,2012年我国RFID市场规模达236.6亿,位居世界第三。2013年我国RFID市场规模达318.4亿。从2015年开始,中国RFID行业将再一次进入快速扩张的阶段,预计市场增长速度将从当前的25%左右提升到30%以上,2015年中国RFID行业市场规模达373亿,预计2017年将高达621亿。从2013—2017年,中国RFID行业市场规模将增长约2.4倍,年均增长率约为27.88%。
我国RFID行业在过去的几年间经历过了一段高速的成长期,目前RFID已经在国内的身份识别、交通管理、军事与安全、资产管理、防盗与防伪、金融、物流、工业控制等领域的应用中取得了突破性的进展,并在部分领域开始进入规模应用阶段。随着RFID技术的进一步成熟和成本的进一步降低,必将广泛应用到各行各业之中。1.1.2 RFID标签的基本工作原理
RFID标签又称为射频标签、应答器、数据载体,阅读器又称为读出装置、扫描器、读头、通信器、读写器(取决于电子标签是否可以无线改写数据)。RFID技术的基本工作原理如下:标签进入磁场后,接收读写器发出的射频信号,凭借感应电流所获得的能量发送出存储在芯片中的产品信息(Passive Tag,无源标签或被动标签),或者主动发送某一频率的信号(Active Tag,有源标签或主动标签);读写器读取信息并解码后,送至管理信息系统进行有关数据处理。
RFID系统由两部分组成:读/写单元和电子标签。读/写器通过天线发出电磁脉冲,电子标签接收这些脉冲,并发送已存储的信息到阅读器作为响应。实际上,这就是对存储器的数据进行非接触读、写或删除处理。电子标签包含了RFID射频处理电路和一个超薄天线环路,天线与一个塑料薄片一起嵌入标签内,最常见的标签一般为信用卡大小,也可以根据不同的应用需求设计不同形状、不同大小的标签。
与条形码或磁条等其他ID技术相比较而言,RFID技术的优势在于阅读器和收发器之间的无线连接:读/写单元不需要与收发器之间的可视接触,因此可以完全集成到产品里面。RFID标签适合于恶劣的环境,收发器对潮湿、肮脏和机械影响不敏感,具有非常高的读可靠性和快速数据获取的能力。电子标签与读/写器之间通过耦合元件实现射频信号的空间(无接触)耦合;在耦合通道内,根据时序关系,实现能量的传递和数据交换。电子标签处于开放待访问状态,当进入读写器的电磁场信号覆盖范围中时,接收读写器发出的射频信号(查询请求),根据电感耦合(Inductive Coupling)原理或电磁反向散射耦合标签收到读写器功率相匹配的电磁信号后产生感应能量并解析接收到的信号,标签内部处理器(微电子芯片)利用内部产生的电流返回特定的响应信息与读写器进行数据交换。读写器接收标签响应信息并解码,送至后端数据库服务器进行标签身份认证识别和有关数据处理。射频信号的耦合类型分为两类:电感耦合和电磁反向散射耦合。
1.电感耦合
根据法拉第电磁感应定律产生感应电动势,通过空间高频交变磁场实现互感耦合,也称磁耦合。其中一个重要的、广泛的应用就是变压器。一般适用低、高频工作的近距离RFID系统。工作频率主要有125 kHz、225 kHz和13.56 MHz。识别距离小于1m,典型作用距离为10~20cm。电感耦合原理示意如图1-1所示。图1-1 电感耦合原理示意
2.电磁反向散射耦合
这种类型是雷达原理模型,依据电磁波的空间传播规律,发射出的电磁波反射同时携带回碰到的目标信息。一般适用于超高频、微波工作的远距离RFID系统。工作频率主要有433 MHz、915 MHz、2.45 GHz和5.8 GHz。识别距离大于1m,典型作用距离为3~10m。电磁反向散耦合原理示意如图1-2所示。图1-2 电磁反向散射耦合原理示意1.1.3 RFID标签及分类
RFID标签由耦合元件及芯片组成,每个RFID标签具有唯一的电子编码,附着在物体上标识目标对象,又称为电子标签或智能标签。
1.按标签供电方式(1)无源标签
无源标签没有内置供电电源,其内部集成电路(电磁元件)驱动能量来源于通过接收读写器发射的电磁波(信号)转换的感应电流。
当标签所处电磁场的射频信号足够强时,可以向读写器发出存储在芯片中的数据信息,通常包含标签身份信息、识别目标或所有者的相关数据。由于无独立供电电源,因此标签的工作距离受到限制,一般无源标签的有效工作距离为0.1~7m。但同时无源标签有成本低、体积小、轻便、使用时间长等优点,因此成为目前市场应用最广泛的电子标签。(2)有源标签
有源标签自身有内部电源供应内部集成电路工作及产生射频信号。同时内部配置有独立存储元件,有持续的能量供应,但寿命有限,因此拥有较大的工作距离和较大存储容量,运算能力也更强大,可以主动向读写器发送特定频率包含交互信息的信号。正是这些优点也造成了标签造价昂贵,应用范围受限。(3)半有源标签
与有源标签类似,半有源标签(Semi-Passive Tag)内置一个小型电池供电装置,用来驱动标签内部的集成电路保持工作状态。因此天线不再完成电磁波转换感应电流的工作,只负责向读写器回传信号。半有源标签比无源标签反应速度快、效率高,同时有更远的读写距离。
2.按标签存取方式(1)只读(RO)和一次写入多次读出(WORM)
此类标签的存储器为只读存储器(ROM)、随机存取存储器(RAM)和缓存。(2)读写(RW)标签
此类标签除ROM和RAM外,还有非活动可编程记忆存储器,可以在特定条件下允许多次写入数据。
3.按标签工作频率
RFID系统的工作频率是指读写器与标签间发送和接收信号的频率范围,作为RFID系统重要的特点之一,它与有效工作距离有密切的关系。工作频率决定着系统的耦合方式、识别距离、电子标签及读写器设计实现的难易程度等各方面特性。(1)低频
低频标签的工作频率范围为30 kHz~300 kHz。典型工作频率为125 kHz和133 kHz。低频标签一般为无源标签,其工作能量通过电感耦合方式从读写器耦合线圈的辐射近场中获得。低频标签的阅读距离一般情况下小于1m,具有省电、廉价的特点,适合数据量要求较少的识别应用。其缺点是标签存储数据量较少,只能适合低速、近距离识别应用。低频标签的典型应用有动物识别、容器识别和工具识别等。(2)中高频
中高频段标签的工作频率一般为3 MHz~30 MHz。典型工作频率为13.56 MHz。该频段的电子标签采用电感耦合方式工作。高频标签一般也采用无源方式,其工作能量同低频标签一样,从读写器耦合线圈的辐射近场中获得。标签与读写器进行数据交换时,标签必须位于读写器天线辐射的近场区内。中频标签的阅读距离一般情况下也小于1m(最大读取距离为1.5m)。典型应用包括电子车票、电子身份证和电子闭锁防盗等。(3)超高频与微波
超高频与微波频段的电子标签,简称为微波电子标签,其典型工作频率为433.92 MHz、862 MHz~928 MHz、2.45 GHz和5.8 GHz。标签与读写器之间的耦合方式为电磁耦合方式。阅读距离一般大于1m,典型情况为4~7m,最大可达10m以上。由于阅读距离的增加,应用中有可能在通信区域中同时出现多个电子标签,从而提出了多标签同时读取的需求。微波电子标签的数据存储容量一般限定在2000 bit以内。典型应用包括移动车辆识别、电子身份证和仓储物流应用等。1.1.4 RFID相关标准
RFID系统主要由数据采集和后台应用系统两大部分组成,标准大致分为4类:技术标准、数据内容标准、一致性标准和应用标准。现阶段已发布或正在制定的标准主要是与数据采集相关的,主要有电子标签与读写器之间的空间接口、读写器与计算机的数据交换协议、标签与读写器的性能和一致性测试规范、标签的数据内容编码标准等。其中包括了标识编码规范、协议及应用接口规范等多方面,正式完善的国际、国内标准都还未完全形成。存在多种标准并存的现状,标签的数据内容编码标准是争夺的核心。后台应用系统只有少数产业联盟制定了一些规范,现阶段还在不断变化中。
RFID的标准化是关系到RFID技术发展的重要因素,世界各国及相关组织都在积极推进RFID标准的制定。为了规范系统各部分的开发设计和量产,解决系统之间的互联和兼容问题,RFID技术必须尽快形成相关的、统一的全球化标准规范。
现阶段主要的技术标准有欧美一些国家的EPC、日本的UID和ISO 18000系列标准。最具权威的标准组织主要有以下几个。(1)ISO
ISO(International Organization for Standardization,国际标准组织)作为全球公认的非营利工业标准组织,ISO/IEC在各个频段都颁布了RFID标准。ISO/IEC JTC1/SC31制定的标准有不同频率下通信接口的参数标准ISO/IEC18000系列标准。识别卡与身份识别分技术委员会ISO/IEC JTC1/SC17制定的标准主要是ISO/IEC14443系列,我国的居民二代身份证即采用该标准。(2)EPC
EPC是由全球产品电子代码管理中心(EPC Global)组织、各应用方协调一致的编码标准,可用全球统一识别系统编码技术实现对所有实体对象(商品、集装箱等)的唯一有效标识。它专注于860 MHz~960 MHz频段,还负责EPC Global号码注册管理。在EPC标签信息规范1.1中采用64~96 bit的电子产品编码,2.0规范中则扩大为96~256 bit。
EPC由一个版本号加上域名管理者、对象分类、序列号3段数据组成的一组数字。其中EPC的版本号标识EPC的长度或类型;域名管理者是描述与此EPC相关生产企业的信息;对象分类记录产品精确类型的信息;序列号用于唯一标识货品单件。
EPC与目前应用最成功的商业标准EAN.UCC全球统一标识系统兼容,成为EAN.UCC系统的一个重要组成部分,是EAN.UCC系统的延续和拓展,也是EPC系统的核心与关键。(3)UID
UID(Ubiquitous ID Center,泛在识别中心)负责日本RFID标准的研究和推广。日本的电子标签采用的频段为2.45 GHz和13.56 MHz。UID的核心是物理对象唯一的识别号(Ucode)。电子标签的信息位数128 bit,提供340×1036编码空间,更可以用128 bit为单元进一步扩展至256 bit、384 bit或512 bit。Ucode可以兼容多种编码,包括JAN、UPC、ISBN、IPv6地址等。(4)AIM
自动识别与数据采集组织(Automatic Identification and Data Collection,AIDC)制定通行全球的条形码标准,为了推出RFID标准,该组织于1999年成立了AIM(Automatic Identification Manufacturers,自动识别技术)组织。(5)GB 18937
国务院标准化行政主管部门于2003年2月2日颁布,2003年4月16日正式实施了强制性国家标准GB 18937《全国产品与服务统一标识代码编制规则》。规定了全国产品与服务统一代码(NPC)的适用范围、代码结构及其表现形式。根据国内外对海量赋码对象进行赋码的一般规律,NPC按照全数字、最长不超过14位、便于维护机构维护和管理的原则设计,由13位数字本体代码和一位数字校验码组成,其中本体代码采用序列顺序码或顺序码。
NPC是按照《全国产品与服务统一标识代码编制规则》国家标准要求编制的全国产品与服务统一标识代码,目前已经用于电子设备、药品、食品、建材、石油化工、农业、汽车、专业服务等领域。ISO和EPC Global的主要RFID标准见表1-1所列。
ISO 14443和ISO 15693是目前现阶段国内最常用的RFID标准,都是基于非接触智能卡应用的ISO标准。国内公民二代电子身份证采用的就是ISO 14443 TYPE B协议标准。现阶段我国基于国际业内共享的技术标准ISO 18000正在进行国际标准的本土化,如依据ISO/IEC 15693系列标准完成了国家标准的起草,基于ISO/IEC18000制定国内标准的工作也已列入计划中。表1-1 ISO和EPC Global的主要RFID标准1.2 RFID面临的安全问题与挑战
RFID技术的高速发展为物流领域的电子交易带来便利的同时,也带来了新的安全和隐私问题。由于标签自身的设计限制,目前RFID系统还不够强壮,无线通信和RFID本身固有的缺陷,使标签所有者的隐私安全受到威胁,系统在安全性和隐私性方面的问题成为制约RFID技术进一步发展及应用的严重障碍。
而且,RFID标签受成本的限制,通常具有非常有限的计算资源,如电力供应、存储空间、计算能力等。因此,标签通常不能执行对称密钥密码算法和非对称密钥密码算法,仅能执行计算量较小的计算,如异或运算、Hash运算等。标签计算资源的有限性向保护标签—读写器—后端数据库之间的安全通信提出了新的挑战。RFID系统面临的安全威胁主要包括以下几个方面。1.2.1 系统的设计脆弱性
电子标签(Electric Tag)由耦合元件及芯片构成,每个标签存储唯一的电子编码,通常为64 bit、96 bit或更高,唯一标识号是它所携带数据中最重要的内容。标签内部存储特定信息,其存储空间大于条形码能提供的数据量。与其他元件相比较而言,标签作为RFID系统的一种只读或可读写的数据载体,对于更多的应用在进行设计生产时追求的是标签的灵便性,标签的成本与体积成为标签设计时需要考虑的非常重要的因素,因此在安全防护设计方面存在脆弱性。
在高端RFID标签中,使用具有防篡改功能的芯片存储密钥等敏感数据。这种芯片在其封装被破坏或检测到外界环境参数改变时会立即自动擦除敏感信息,使攻击者不能读写该标签数据,但这样的标签成本较高,这对低成本标签来说不现实,因此低成本RFID标签通常不具备抵抗物理攻击的能力。在这种情况下,敌手可以对其实施物理攻击并获得其内部数据。
RFID系统安全研究的重点是针对标签与读写器间建立的无线信道连接在开放环境下进行电磁信号交互,这是整个RFID系统中安全性最薄弱的环节,也是最易受到攻击的部分。
标签与读写器之间的数据交互是双方通过读写器发出的电磁波相互接收并响应进行的,针对无线电磁信号的攻击手段便会在这类开放性环境中起到作用,例如通过物理方法对无线信道电磁信号中的数据进行拦截、篡改以及窃取等攻击。此外,在开放环境中,对标签信息隐私的保护和对合法读写器之间的认证也是至关重要的问题。1.2.2 攻击手段
一个标准的RFID系统由3个实体节点(图1-3中节点①、节点③和节点⑤)和两条通信链路(图1-3中链路②和链路④)组成。一般情况下,后端数据库服务器和读写器之间具有安全的有线通信信道,而且两者都拥有足够的存储和计算能力,在此种应用场景下,信息安全中的密码学算法和网络安全协议足以保护它们之间的通信安全。
而RFID标签一般发行量大且成本较低,同时要考虑标签的灵便性,因此标签的安全性相对较弱。在商品流通环节中,一方面,攻击者可能会通过实施物理攻击窃取标签内部存储信息,商品本身及附属信息的安全隐私可能会受到各种安全威胁和攻击;另一方面,电子标签与读写器之间的无线通信链路安全问题是RFID系统的首要问题,也是本书研究的重点。图1-3 RFID系统及面临的安全威胁
标签与读写器之间是无线信道通信,开放的无线链路环境是通信过程中安全威胁的主要来源,针对无线信道的攻击手段都会对标签与读写器间的安全通信产生威胁。标签与读写器之间传送的数据信息可能被窃听、拦截和篡改,敌手伪装合法标签或读写器进行主动欺骗,或者通过DoS攻击使标签不可用。
同时标签与读写器间不安全的数据通信还会对标签所有者的隐私产生威胁。隐私问题是限制RFID技术应用的重要因素之一。当标签进入读写器的有效工作范围时,标签对读写器的响应是在标签所有者未知晓的情况下自动进行的。RFID标签的响应信息中可能包含识别物的身份或其他信息,例如物品信息、个人身份、药品名称等信息,某些敏感数据可能导致个人相关的身份信息、经济状况等被攻击者非法获取。若没有适当的防护机制,攻击者通过未经授权的读写器对标签进行查询,或标签对授权读写器的响应,都会威胁到标签所有者的隐私。攻击者甚至可以利用这些信息在特定条件下跟踪标签携带者的物理位置。
例如,美国2006年8月在入境护照上配备了RFID标签,和传统的护照相比,电子护照在封底的芯片当中存储有与护照页中一样的电子信息,包含了护照持有人的相关信息。有些国家发行的RFID电子护照中则含有持照人的生物信息,例如相片、指纹和虹膜信息等。在这种情况下,若没有有效安全的防护机制,标签信息的泄露会严重危及个人隐私。
另外,RFID系统的安全隐私问题还可能导致商业机密的泄露。例如,在物流领域,商品从生产到售出的各个流通环节均大规模使用电子标签,竞争对手可能收集到该企业供应链中电子标签的数据,以非法途径获得有价值的商业信息。
敌手在标签与读写器之间的无线通信信道上可能采取的攻击手段有破坏攻击(Zapping Attack)和干扰攻击(Jamming Attack)等。破坏性攻击是攻击者在物理上对标签实施攻击,造成标签与读写器不能进行交互,例如破坏天线,使天线不能接收信号,或接收到的信号强度不能提供给标签足够的能量进行通信,或使标签读写距离减小。一种高级的远程攻击方法可以在不接触标签的情况下使用电磁脉冲(EMP)破坏标签接收电路,使标签不可用。干扰攻击通过干扰标签与读写器的交互破坏RFID系统的可用性。
与利用物理特性对标签进行攻击相比,敌手从应用协议层实施的攻击所造成的后果更为严重,攻击手段主要是破坏双方的认证、数据完整性和系统可用性等。此类攻击手段是关注的重点,主要包括以下几个方面。(1)信息窃听(Eavesdropping)
标签与读写器之间通过射频信号进行通信交互,窃听在无线信道中是最常被实施的被动攻击手段,攻击者可以通过此手段窃取机密,威胁系统的安全保密性。
在RFID系统中,标签与读写器的工作频率决定通信距离。实际中由于读写器和标签供能及功耗的不对称性,因此读写器到标签(Reader-to-Tag)和标签到读写器(Tag-to-Reader)实际通信距离不相等。与标准网络通信不同,射频信号在空间中传播,敌手所处位置不局限于标签与读写器之间。可能的窃听范围分4类,按范围距离递增顺序依次以下4种。
①工作范围(Operation Range):用于描述一个正常功耗下的读写器进行可靠的标签读写的工作范围。
②恶意扫描(Malicious Scanning Range):敌手利用大功率输出和更多天线部件的读写器以增加实际读写距离。当大部分低成本标签接收到更强的输入信号时,反射信号也将增强,这使得敌手以较低的代价扩大了窃听范围。恶意扫描范围是非法读写器可以向无源标签供能并完成读写的最大距离。
③反向信道窃听(Backward Channel Eavesdropping Range):标签—读写器信道为反向信道。由于标签反射信号强度较弱,攻击者实施反向信道窃听较为困难,若想窃听标签对合法读写器的响应,则位置需要距标签较近。但由于标签所需能量已由合法读写器提供,攻击者用非法读写器窃听时不需要发射任何信号。
④前向信道窃听(Forward Channel Eavesdropping Range):读写器—标签信道为前向信道。由于读写器发出的信号强度远大于标签,因此前向信道的距离远大于两者之间的工作距离,读写器广播的信号能被远距离窃听者接收。敌手可以在前向信道上窃听读写器发送的查询请求或密钥更新消息等通信内容。
被动窃听无须发射信号,因此无线信道上的窃听不容易检测到。若敏感数据在无线信道传输,则数据的安全性存在严重威胁。例如,攻击者可以通过在读写器上附加接收天线,对接收到的射频信号进行处理,最终得到信用卡以及持有人相关信息,甚至包括卡片运行的软件版本和支持的通信协议。(2)重传攻击(Replay Attacks)
攻击者在无线信道窃取信息后,可以利用标签与读写器过期会话的交互消息,在新的会话中伪装合法标签或读写器企图通过认证。在攻击者一方,以合法标签不在读写器的读写范围内时作为重放时机,否则敌手需要阻塞合法参与方的响应消息,而后实施重传攻击。重传攻击通常以两种方式进行:一是伪装合法读写器发起主动查询请求,标签响应后重放过期会话中的读写器—标签记录消息;二是伪装合法标签,当收到查询请求时,重传标签—读写器响应消息。在基于挑战—响应机制的协议中,重传攻击依然可能存在。(3)假冒攻击(Impersonation Attacks)
标签与读写器之间的认证识别通过无线信道进行,攻击者可以进行假冒攻击。假冒攻击存在两种形式。
①假冒合法标签欺骗读写器:当攻击者在无线信道中窃听到标签身份的相关信息后,可利用这些信息,与读写器再次进行确认,欺骗读写器,实施假冒攻击。通常假设攻击者在不拥有标签内部状态和密钥的状况下实施这种攻击,例如,在门禁系统中,非法用户可通过此类途径非法入侵。
②假冒合法读写器欺骗标签:目标是获取标签内部秘密或身份信息等敏感数据。(4)消息篡改(Tampering)
攻击者可以在开放的无线信道拦截标签与读写器间的消息,对截获信息进行篡改后再发送给原接收者,其目的可能是破坏标签与读写器之间认证,使通信双方不能正确识别,或是企图欺骗原接收方相信篡改后的消息,达到攻击者非法通过认证的目的。(5)非法查询标签信息(Tag Information Inventory)
因为RFID标签存在自动响应的特性,因此对标签的非法查询是最易实施的攻击,攻击者利用非法读写器在标签的工作范围内对标签发起主动查询请求,获得标签的响应。通过数据分析处理,破译出响应消息中标签所有者的信息及隐私。随着RFID技术在日常生活中的应用越来越普遍,个人隐私也受到越发严重威胁。(6)标签位置跟踪(Tag Tracking)
标签一般附于目标物体,敌手可能会根据标签的响应跟踪标签所有者位置。敌手利用未授权读写器接收某一标签的查询响应,并与其他标签的响应信息加以区别,由于标签的响应消息固定不变,攻击者通过不断收取该标签的响应消息来跟踪标签所有者的位置。即便通信双方采用加密算法对消息进行匿名保护,攻击者仍可用密文值进行跟踪。因此标签位置跟踪严重威胁到系统安全性,若在军事物流中敌手通过跟踪标签获得军事动向,则后果更为严重。(7)标签失效(Tag Killing)[3]
该攻击利用应用层协议的缺陷使标签某类资源被耗尽而失效。由于低成本标签储存和计算处理能力极其有限,敌手利用协议漏洞,使标签有限的资源耗尽而不能工作。
例如,标签在认证未完成时占用空间存储临时随机数,若协议存在缺陷,敌手持续向标签发起请求并阻塞消息,使协议步骤停顿,标签则会连续分配存储空间存放数据,很快标签的存储会被耗尽,而停止工作。
异步攻击和标签失效都属于DoS攻击。在计算机网络中,DoS会破坏系统可用性,导致网络或服务不可用。在RFID系统中,标签遭受DoS攻击可能给所有者带来直接利益损失。例如,对物品的电子标签实施DoS攻击后将物品带出装有读写器的出口,由于标签和后端数据库失去同步不再被识别,因此,攻击者可以将目标物品带出,而无法检测到。(8)中间人攻击
中间人攻击也是一种常见的网络攻击,在RFID系统中,是指攻击者拦截了标签和读写器之间的网络通信数据,并进行数据分析和篡改,而标签和读写器却没有发现。在RFID系统中,通常中间人攻击的目的是获取标签和读写器的共享密钥,或者假冒标签或读写器的身份与对方进行通信。(9)去同步化攻击
去同步化攻击是无线通信系统中特有的攻击方式。由于无线通信系统很难像有线通信那样,提供可靠数据传输,因此,当后端数据库和标签需要更新密钥时,攻击者通过干扰标签和读写器之间的通信,使分别存储于标签和后端数据库中的密钥不同,即标签中存储的密钥已经更新了,而存储在后端数据库中的密钥还没有更新,反之亦然。在遭受去同步化攻击后,标签和后端数据库不能进行成功的相互验证,破坏了系统的可用性。1.3 RFID安全协议研究的意义
目前RFID系统主要存在隐私和认证两个方面的安全隐患,在隐私方面的目标是防止攻击者对标签进行任何形式的非法跟踪,在认证[4-5]方面的目标是确保标签只能与合法的读写器进行安全通信。
入侵与防御的此消彼长是在安全领域存在的固有特点,因此标签在认证、所有权转换过程中的安全性和隐私性总是相对的。由于电子标签的自身设计问题,传统加密算法及安全策略在标签与读写器的认证授权、所有权转换过程中,不能很好地应用,例如RSA和AES加密算法是低成本标签自身有限的计算资源和能力所难以承载的。在RFID技术产品化的过程中,各国研究人员都致力于发现并修复底层RFID芯片、加密算法存在的缺陷,国内外对标签所有权转换尚缺乏关键安全性和隐私性保护的研究。而国内相关产品与技术更多的是由国外引进,安全性上不去、缺乏关键技术的独立自主产权,也成为限制国内物联网发展的关键因素之一。
因此,标签所有权转换领域内的研究成果对改变上述状况、RFID技术的发展和应用以及提升国内电子标签安全性的自主研发能力具有重要意义。1.4 本章小结
本章首先对RFID系统的基本组成、工作原理和分类标准等进行了介绍,然后分析了由RFID系统的设计和工作特性所带来的安全与隐私问题,最后分析了RFID安全协议研究的重要意义,使读者对该领域能够有一个大致的了解,有助于理解和掌握后续章节中的内容。参考文献
[1]吴欢欢,周建平,许燕,李润萍.RFID发展及其应用综述[J].计算机应用与软件,2013,30(12):203-206.
[2]俞华,路红艳.物联网在我国流通领域应用前景分析[J].经济理论与经济管理,2012(08):32-38.
[3]Han D G,Takagi T,Kim H W,et al.New security problem in RFID systems“tag killing”[C]//International Conference on Computational Science and Its Applications.Springer,Berlin,Heidelberg,2006:375-384.
[4]OSAKA K,TAKAGI T,YAMAZAKI K,et al.An efficient and secure RFID security method with ownership transfer[J].RFID security,2009:147-176.
[5]FERNANDEZ-MIR A,TRUJILLO-RASUA R,CASTELLA-ROCA J,et al.A scalable RFID authentication protocol supporting ownership transfer and controlled delegation[J].RFID security and privacy,2012:147-162.第2章 信息安全基础
2.1 密码学基本概念
2.2 常用的密码算法
2.3 数字签名
2.4 Hash函数
2.5 数字认证与数字证书
2.6 安全协议
2.7 密钥协商协议
2.8 本章小结
随着现代计算机通信技术的快速发展和互联网的广泛应用,确保信息安全性的问题已经引起了社会的广泛关注。密码学是信息安全相关议题的核心,如认证、访问控制、安全协议等。本章简要介绍RFID系统安全研究所涉及的信息安全基本理论,包括密码学基本概念与常用算法、数字签名及常用算法、数字认证和数字证书、安全协议、密钥协商协议等。2.1 密码学基本概念[1-3]
密码学[Cryptography,源于希腊语kryptós(隐藏的)和gráphein(书写)],是研究如何隐秘地传递信息的学科,即编制密码和破译密码的科学。研究密码变化的客观规律,并应用于编制密码以保守通信秘密的,称为编码学;应用于破译密码以获取通信情报的,称为分析学——总称密码学。著名的密码学者Ron Rivest解释:“密码学是关于如何在敌人存在的环境中通信”,密码学的首要目的是隐藏信息的含义,并不是隐藏信息的存在。密码学促进了计算机科学的发展,特别是对于计算机与网络安全所使用的技术,如访问控制与信息的机密性等。密码学已广泛应用于日常生活中,如自动柜员机的芯片卡、电脑使用者存取密码、电子商务等。
下面先介绍几个密码学的基本概念。
·明文:没有进行加密,能够直接代表原文含义的信息。
·密文:经过加密处理之后,隐藏原文含义的信息。
·加密:把明文转换成密文的实施过程。
·解密:把密文转换成明文的实施过程。
·密钥:是在明文转换为密文或将密文转换为明文的算法中输入的参数,分为加密密钥和解密密钥。
·密码算法:密码系统采用的加密方法和解密方法,随着基于数学密码技术的发展,加密方法一般称为加密算法,解密方法一般称为解密算法。
·密码协议(Cryptographic Protocol):是使用密码技术的通信协议(Communication Protocol)。
密码是通信双方按约定的法则进行信息特殊变换的一种重要保密手段。依照这些法则,变明文为密文,称为加密变换;变密文为明文,称为解密变换。密码在早期仅对文字或数字进行加/解密变换,随着通信技术的发展,对语音、图像、数据等都可实施加/解密变换。
加/解密的具体运作由两部分决定:一部分是算法,另一部分是密钥。密钥是一个用于加/解密算法的秘密参数,通常只有通信者拥有。
数据加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息,使非授权者不能了解被保护信息的内容。网络安全使用密码学来辅助完成在传递敏感信息的相关问题,具有以下特性。
①机密性(Confidentiality):仅有发送方和指定的接收方能够理解传输的报文内容。窃听者可以截取到加密的报文,但不能还原出原来的信息,即不能得到报文内容。
②鉴别(Authentication):发送方和接收方都应该能证实通信过程所涉及的另一方,通信的另一方确实具有他们所声称的身份,即能对对方的身份进行鉴别,第三者不能冒充跟你通信的对方。
③报文完整性(Message Integrity):即使发送方和接收方可以互相鉴别对方,但他们还需要确保其通信的内容在传输过程中未被改变。
④不可否认性(Non-Repudiation):如果人们收到通信对方的报文后,还要证实报文确实来自所宣称的发送方,发送方也不能在发送报文以后否认自己发送过报文。2.2 常用的密码算法
密码算法是加密算法和解密算法的统称,它是密码体制的核心。密码算法可以看成一些交换的组合。经典密码学主要包括两类加/解密方法,置换加密法和替换加密法。置换加密法是把字母的顺序重新排列;替换加密法是把一组字母换成其他字母或符号。经典加密法易受统计分析的攻击,资料越多,破解就越容易。经典密码学现在仍未消失,经常出现在智力游戏之中。在20世纪早期,包括转轮机在内的一些机械设备被发明出来用于加密,其中最著名的是用于第二次世界大战的密码机Enigma。这些机器产生的密码相当大地增加了密码分析的难度。比如针对Enigma各种各样的攻击,在付出了相当大的努力后才得以成功。
常用密码算法一般分为对称密码算法和非对称密码算法。对称密码算法中通信双方使用相同的密钥,而非对称密码算法中通信双方的密钥(公钥和私钥)是不同的。常用对称算法主要包括DES(Data Encryption Standard,数据加密标准)算法、AES(Advanced Encryption Standard,高级加密标准)算法、IDEA(International Data Encryption Algorithmic,国际数据加密算法)、RC4和RC5等,常用非对称算法主要包括RSA(Rivest Shamir Adelman)算法和DH(Diffie-Hellman)算法等。2.2.1 对称加密算法
对称加密算法的特点是算法公开、计算量小、加密速度快、加密效率高。由于通信双方都使用同样的密钥,安全性得不到保证。此外,每对用户每次使用对称加密算法时,都需要使用其他人不知道的唯一密钥,这会使得发/收信双方所拥有的密钥数量成几何级数增长,密钥管理成为用户的负担。对称加密算法在分布式网络系统上使用较为困难,主要是因为密钥管理困难,使用成本较高。下面简要介绍几种典型的对称加密算法。(1)DES算法
DES算法是最著名的采用对称密码体制的算法。DES算法用于对64 bit的数据块进行加密和解密。它的密钥是64 bit,但其中包含8 bit的奇偶校验位,实际密钥长度是56 bit。DES算法利用多次组合迭代算法和换位算法,对64 bit的数据块进行16轮编码。利用分散和错乱的相互作用,把明文编制成保密强度相对较高的密文。DES算法的加密和解密流程是完全相同的,区别仅是加密与解密使用子密钥序列的顺序正好相反。(2)IDEA
IDEA由来学嘉和James L.Massey于1990年联合提出。明文和密文都是64 bit,但密钥长为128 bit。IDEA是作为迭代的分组密码实现的,使用128 bit的密钥和8个循环。(3)AES算法
AES算法是美国高级加密标准算法,AES设计有3个密钥长度,分别为128 bit、192 bit、256 bit。相对而言,AES的128 bit密钥比DES的56 bit密钥强1021倍。AES算法主要包括3个方面:轮变化、圈数和密钥扩展。(4)RC系列算法
RC系列算法是大名鼎鼎的RSA三人组设计的密钥长度可变的流加密算法,包括RC2、RC4、RC5、RC6算法。其中最流行的是RC4算法,RC系列算法可以使用2048 bit的密钥,该算法的速度可以达到DES加密的10倍左右。由于RC4算法加密采用的是异或方式,因此一旦子密钥序列出现了重复,密文就有可能被破解,但是目前还没有发现密钥长度达到128 bit的RC4有重复的可能性。所以,RC4还是目前最安全的加密算法之一。2.2.2 非对称加密算法
非对称加密又叫作公开密钥算法(Public Key Algorithm)。这种加密算法是这样设计的:用作加密的密钥不同于用作解密的密钥,而且解密密钥不能根据加密密钥计算出来(至少在合理假定的长时间内)。之所以又叫作公开密钥算法,是由于加密密钥可以公开,即陌生人可以得到它并用来加密信息,但只有用相应的解密密钥才能解密信息。在这种加密算法中,加密密钥称为公开密钥,而解密密钥称为私有密钥。下面简要介绍几种典型的对称加密算法。(1)RSA算法
RSA算法是使用最多的公开密钥算法,能够被应用在加密和数字签名中。大家普遍接受当足够长的密钥被使用后,RSA算法是足够安全的(512 bit是不安全的,768 bit是中等安全的,1024 bit足够保障一般的安全传输),RSA的安全依赖于大整数因数分解的难度,因数分解的快速发展将导致RSA算法出现问题。不过,目前RSA算法是这个世界上最重要的公开密钥算法。由于进行的都是大数计算,因此RSA算法最快的情况也比DES算法慢了100倍。无论是软件还是硬件实现,速度一直是RSA算法的缺陷。(2)DH算法
DH算法是一个被普遍应用在密钥交换的公开密钥算法。当采用了足够长度的密钥和合适的发生因子时,该加密算法很安全,DH算法依赖于离散对数的困难度(这和大整数分解因数一样,都非常困难)。2.3 数字签名
在计算机通信中,当接收者收到一个消息时,往往需要验证消息在传输过程中有没有被篡改,有时接收者还需要确认消息发送者的身份,所有这些都可以通过数字签名来实现。数字签名是公钥密码学发展中最重要的概念之一,它可以提供其他方法难以实现的安全性。数字签名可以用来证实消息确实是由发送者签发的,而且当数字签名用于存储数据或程序时,可以用来验证数据或程序的完整性。它和传统手写签名类似,应具有以下特征。
①不可伪造性:除了签名者外,任何人都不能伪造签名者的合法签名。
②认证性:接收者相信这份签名来自签名者。
③不可重用性:一个消息的签名不能用于其他消息。
④不可修改性:一个消息在签名后不能被修改。
⑤不可抵赖性:签名者事后不能否认自己的签名。
实现数字签名有很多方法,目前数字签名采用较多的是公钥加密技术,如基于RSA数据安全公司的PKCS(Public Key Cryptography Standards,公开密码学标准)、数字签名算法(Digital Signature Algorithm)、X.509、PGP(Pretty Good Privacy,更好地保护隐私)。1994年美国标准与技术协会公布了数字签名标准(Digital Signature Standard,DSS)而使公钥加密技术得以广泛应用。数字签名的保密性很大程度上依赖于私有密钥。
数字签名算法通常使用两个密钥,即公开密钥(Public Key)和私有密钥(Private Key),分别用于对数据的加密和解密,即如果用公开密钥对数据进行加密,只有用对应的私有密钥才能进行解密;如果用私有密钥对数据进行加密,则只有用对应的公开密钥才能解密。其签名和验证过程如下。
①发送方首先用公开的单向函数对报文进行一次变换,得到数字指纹,然后利用私有密钥对数字签名进行加密后附在报文之后一同发出。
②接收方用发送方的公开密钥对数字签名进行解密变换,得到一个数字签名的明文。发送方的公钥是由一个可信赖的技术管理机构,即验证机构(Certification Authority,CA)发布的。
③接收方将得到的明文通过单向函数进行计算,同样得到一个数字指纹,再将两个数字指纹进行对比,如果相同,则证明签名有效,否则无效。
这种方法使任何拥有发送方公开密钥的人都可以验证数字签名的正确性。发送方私有密钥的保密性,使得接收方既可以根据验证结果来拒收该报文,也能使其无法伪造报文签名及对报文进行修改,原因是数字签名是对整个报文进行的,是一组代表报文特征的定长代码,同一个人对不同的报文将产生不同的数字签名。这就解决了银行通过网络传送一张支票,而接收方可能对支票数额进行改动的问题,也避免了发送方逃避责任的可能性。2.4 Hash函数
Hash函数(散列函数)就是通过散列算法,把任意长度的输入变换成固定长度的输出,该输出就是散列值。散列是一种从任何一种数据中创建小的数字“指纹”的方法。散列函数把消息或数据压缩成摘要,使得数据量变小,将数据的格式固定下来。该函数将数据打乱混合,重新创建一个叫作散列值的指纹。散列值通常是由一个短的随机字母和数字组成的字符串。散列函数的数学表述为h=H(M),其中,H()表示单向散列函数,M表示任意长度明文,h表示固定长度散列值。
信息安全领域中应用的散列算法需要满足以下特性。
①单向性(One-Way):从预映射,能够简单迅速地得到散列值,而在计算上不可能构造一个预映射,使其散列结果等于某个特定的散-1列值,即构造相应的M=H(h)不可行。密码学上的散列又被称为“消息摘要(Messagedigest)”,就是要求能方便地将“消息”进行“摘要”,但在“摘要”中无法得到比“摘要”本身更多的关于“消息”的信息。
②抗冲突性(Collision-Resistant):即在统计上无法产生2个散列值相同的预映射。给定M,计算上无法找到M',满足H(M)=H(M'),此为弱抗冲突性;计算上也难以寻找一对任意的M和M',使满足H(M)=H(M'),此为强抗冲突性。
③映射分布均匀性和差分分布均匀性:散列结果中,为0的比特和为1的比特,其总数应该大致相等;输入中一个比特的变化,散列结果中将有一半以上的比特改变,这又叫作雪崩效应(Avalanche Effect)。其实质是必须使输入中每一个比特的信息尽量均匀地反映到输出的每一个比特上去;输出中的每一个比特,都是输入中尽可能多比特的信息一起作用的结果。2.5 数字认证与数字证书[4-5]
数字认证是以数字证书为核心的加密技术,可以对网络上传输的信息进行加/解密、数字签名和签名验证,以确保网上传递信息的安全性。数字认证是基于安全标准、协议和密码技术的电子证书,来确立一个人或服务器的身份,它把一对用于信息加密和签名的电子密钥捆绑在一起,保证了这对密钥真正属于指定的个人和机构。数字认证由验证机构进行电子化发布或撤销公钥验证,信息接收方可以从CA网站上下载发送方的验证信息。如Verisign是第一家X.509公开密钥的商业化发布机构,在它的数字ID下可以生成、管理应用于其他厂商的数字签名的公开密钥验证。
数字证书是由证书签证机关签发的对用户公钥的认证。证书的内容包括:电子签证机关的信息、公钥用户信息、公钥、权威机构的签字和有效期等。目前,证书的格式和验证方法普遍遵循X.509国际标准。2.6 安全协议[6-7]
安全协议在这里主要指的是工程安全协议,有时也称作密码协议,是以密码学为基础的消息交换协议,其目的是在网络环境中提供各种安全服务。密码学是网络安全的基础,但网络安全不能单纯依靠安全的密码算法。安全协议是网络安全的一个重要组成部分,我们需要通过安全协议进行实体之间的认证,在实体之间安全地分配密钥或其他各种秘密、确认发送和接收的消息的不可否认性等。
安全协议是建立在密码体制基础上的一种交互通信协议,它运用密码算法和协议逻辑来实现认证和密钥分配等目标。密码协议(Cryptographic Protocol)是使用密码学完成某项特定的任务并满足安全需求的协议,又称安全协议(Security Protocol)。在密码协议中,经常使用对称密码、公开密钥密码、单向函数、伪随机数生成器等。现实生活中人们常常遇到机密性、完整性、认证性、匿名性、公平性等安全需求,因此安全协议须具备机密性、完整性、认证性、非否认性、正确性、可验证性、公平性、匿名性、隐私属性、强健性和高效性。
安全协议可用于保障计算机网络信息系统中秘密信息的安全传递与处理,确保网络用户能够安全、方便、透明地使用系统中的密码资源。目前,安全协议在金融系统、商务系统、政务系统、军事系统和社会生活中的应用日益普遍。2.7 密钥协商协议
信息安全和密码学中的一个核心问题就是保证通信的参与者能在一个有敌手存在的环境中进行秘密可靠的通信。这就需要通过认证和密钥交换协议来实现,该协议使参与者们互相认证对方的身份并且生成一个共享的秘密会话密钥。随后,参与者可以将该会话密钥应用到已有的技术中以实现相互之间的安全通信(例如应用加密算法、签名算法以及消息认证码到所有的通信中)。认证和密钥协商协议是保证电子商务和电子政务安全的基础组成部分和理论保证,已经成为当前信息安全研究的热点问题。
密钥协商是指两个或多个实体协商共同建立会话密钥,任何一个参与者均对结果产生影响。在密钥协商协议中,会话密钥由每个协议参与者分别产生的参数通过一定的计算得出。密钥协商协议的生成方式可分为证书型和无证书型。证书型是指在会话密钥的产生过程中,由一个可信的证书中心给参与密钥协商的各方各分发一个证书,此证书中含有此方的公钥、ID及其他信息。证书型密钥协商协议的优点是提供认证,目前PKI(公钥基础设施)广泛部署,比较成熟,应用面广,且由PKG管理公私钥对有利于统一管理;但其缺点是计算代价大,需要一个可信的认证中心,同时证书还需要维护。无证书型是指各方在进行会话密钥的协商过程中不需要证书的参与,这是目前密钥协商协议的主流种类,优点是不需要认证中心的参与,减少了计算量,尤其是在低耗环境下应用的更多,同时安全性也不比证书型弱。
试读结束[说明:试读内容隐藏了图片]