RFID信息安全策略分析.docVIP

RFID信息安全策略分析 来源：RFID射频快报 2006-8-24 8:45:56 关键词: RFID信息安全 安全隐患 数据安全 【提要】RFID信息安全策略分析 虽然RFID由于频段相容等多种原因还没有形成全球统一的产业标准，但已经有越来越多的RFID产品被实际应用，特别是在物流领域。基于RFID本身强大的功能，我们完全相信RFID的发展前景极为广阔，甚至组成一个全球性的物联网。正因为如此，其安全问题不容我们忽视。如果一个RFID芯片设计不良或没有受到保护，有很多手段可以获取此芯片的结构和其中的数据，所造成的损失将会不堪设想。 　　本文分别从RFID系统的前端无线装置和协议、后台网络系统安全以及数据安全三方面进行信息安全方面的策略分析。 　　前端无线装置和协议面临的威胁及解决办法 　　RFID系统前端的无线装置和传输协议是可靠产生系统处理信息的依托，是整个系统的基础，其除了具有无线系统所通用的安全威胁之外，其标签也有特定的安全问题，需要多方面考虑。 　　对这个问题的研究，澳洲柏斯大学研究人员Edith Cowan研究人员曾说，第一代RFID的安全漏洞在于，一旦数据超载，就无法正常作业。在较新的UHF式RFID标签中，也发现到该漏洞，它可对关键或攸关人命的RFID系统造成影响。就连更精密、可以四段速操作的“第二代RFID”也一样逃不过攻击。 　　RFID是一种靠无线射频远距辨识身分的技术，需要读取器在一定的距离内和RFID电子卷标内建的频道进行非接触双向沟通。之所以被认为安全，是因为读取器碰到障碍后，会在频段内跳接不同的频道。 　　为了测试RFID的安全性，澳洲研究员将电子卷标使用的频段全部满载，让读取器无法和电子卷标沟通。结果发现，频道跳接的设计并不能阻止不法份子进行阻断服务攻击。因为电子卷标本身无法跳接频道。 　　研究员也发现，在3英尺的距离之外，可以阻断电子标签与读取器的沟通，让卷标进入“通信错误”的状态。虽然读取器碰到干扰可在设定的频段之间跳接，但RFID电子卷标却不行。 　　其他各研究单位和具体厂商也发现了系统前端部分的各种问题。比如，专家Rubin断言，虽然最近也进行了一些改进，但大多数RFID芯片依然很容易被破解。其中一个原因是: 最廉价和最流行的RFID芯片都没有电池，事实上它们是在扫描时由读卡机提供能量。Rubin认为，这限制了芯片可设置密码的数量。由于缺乏自己的动力系统，这种芯片也容易受到“能耗途径窃取”(power-consumption hack)的攻击。 　　欧洲一个电脑研究组织表示，软件病毒可以安插至无线射频身份识别(RFID)标签当中。前不久在意大利比萨召开的一个电脑学术会议上，研究人员公布了一份报告，该报告声称，病毒有可能感染RFID晶片的记忆体。 　　虽然目前大部分的电脑安全专家都认为，RFID晶片不可能感染电脑病毒，因为这种晶片的记忆体数量相当有限。但研究人员表示，RFID存在被病毒感染的危险，幸好他们同时还公布了一套让RFID晶片免受攻击的防范措施。 　　对于RFID标签来说，芯片具有可重复编程功能的确是个问题。公司全球战略专家帕特·金(Pat King)认为，这需要“适当的管理”。“公司不应该幻想可重复编程标签内的数据总是安全的。如果你对信息的有效性产生了怀疑，就应该把芯片上的信息与储存在数据库里的数据进行比较验证。 　　最近，来自荷兰阿姆斯特丹的Vrije大学的一组计算机研究员宣称，他们已发现包括EPC标签在内的RFID标签可以被用来携带病毒，并对电脑系统造成攻击，他们相信使用可读写的RFID标签会有很大的风险，一个有恶意代码的标签会造成更多的被感染标签，这将引发一场混乱。 　　一位知名的破解密码专家应用功率分析技术，破译了最流行RFID标签品牌的密码。美国Weizmann学院计算机科学教授Adi Shamir也在RSA会议高层研讨中汇报了他的工作。他和他的一位学生已经能侵入某个RFID标签并开发出相应的密码杀手——一种可使标签自毁的代码。通过监控标签的能耗过程研究人员推导出了密码。(推导过程是，接收到读卡机传来的不正确数据时，标签的能耗会上升)。研究人员只用了3个小时就开发出了标签的杀手代码。他们表示，虽然使用的标签已经过时，但即使是去年下半年上市的最新产品也存在类似的问题，只需如手机一样简单的工具就可侵入RFID标签。 　　此外，与Shamir合作开发RSA算法的MIT电气工程和计算机科学教授Ron Rivest借年会平台呼吁行业共同创建下一代散列算法，以取代当今的SHA-1。最近几周，Shamir利用定向天线和数字示波器来监控RFID标签被读取时的功率消耗。功率消耗模式可被加以分析以确定何时标签接收了正确和不正确的密码位。解密专家在会议中探讨