行业新闻
RFID的安全机制措施
时间:2021-06-15
RFID隐私保护与成本是相互牵制的,如何在低成本的标签上提供确保隐私安全的增强技术面临诸多挑战。现有的RFID隐私增强技术可以分为两大类:一类是通过物理方法阻止标签与阅读器通信的隐私增强技术,即物理安全机制;另一类是通过逻辑方法增加标签安全机制的隐私增强技术,即逻辑安全机制。RFID的逻辑机制主要通过基于Hash函数的安全认证协议来实现。
通过对RFID隐私安全威胁的分析可知,RFID隐私威胁的根源是RFID标签的唯一性和标签数据的易获得性。为了保证RFID的隐私安全,防止隐私攻击,可以采取以下RFID隐私保护方法。
保证RFID标签的ID匿名性。标签匿名性是指标签响应的消息不会暴露出标签身份的任何可用信息。加密是保护标签响应的方法之一。尽管标签的数据可能被加密,但如果加密的数据在每轮协议中都固定,则攻击者仍然能够通过唯一的标签标识分析出标签的身份,这是因为攻击者可以通过固定的加密数据来确定每一个标签。因此,使标签信息隐蔽是确保标签ID匿名的重要方法。
保证RFID标签的ID随机性。即便对标签ID信息进行加密,但是因为标签ID是固定的,所以未授权扫描也将侵害标签持有者的定位隐私。如果标签的ID为变量,标签每次输出都不同,则隐私侵犯者不可能通过固定输出获得同一标签的信息,从而可以在一定范围内解决ID追踪问题和信息推断的隐私安全威胁问题。
保证RFID标签的前向安全性。RFID标签的前向安全,是指隐私侵犯者即便获得了标签内存储的加密信息,也不能通过回溯当前信息获得标签的历史数据。也就是说,隐私侵犯者不能通过联系当前数据和历史数据对标签进行分析以获得消费者的隐私信息。
增强RFID标签的访问控制性。RFID标签的访问控制,是指标签可以根据需要确定读取RFID标签数据的权限。通过访问控制,可以避免未授权RFID阅读器的扫描,并保证只有经过授权的RFID阅读器才能获得RFID标签数据及相关隐私数据。访问控制对于实现RFID标签隐私保护具有非常重要的作用。
1、RFID的物理安全机制
通过无线技术手段进行RFID隐私保护是一种物理性手段,可以阻扰RFID阅读器获取标签数据,避免RFID标签数据被阅读器非法获得。无线隔离RFID标签的方法包括电磁屏蔽方法、无线干扰方法、可变天线方法等。
(1)基于电磁屏蔽的方法
利用电磁屏蔽原理,把RFID标签置于由金属薄片制成的容器中,无线电信号将被屏蔽,从而可使阅读器无法读取标签信息,标签也无法向阅读器发送信息。最常使用的电磁屏蔽容器就是法拉第网罩。法拉第网罩可以有效屏蔽电磁波,这样无论是外部信号还是内部信号,都将无法穿过。对被动标签来说,在没有接收到查询信号的情况下就没有能量和动机来发送相应的响应信息;对主动标签来说,它的信号无法穿过法拉第网罩,因此也无法被攻击者携带的阅读器接收到。这种方法的缺点是在使用标签时需要把标签从法拉第网罩中取出,这就失去了使用RFID标签的便利性。另外,如果要提供广泛的物联网服务,不能总是让标签处于屏蔽状态中,而是需要在更多的时间内使标签能够与阅读器处于自由通信的状态。
(2)基于无线干扰的方法
能主动发出无线电干扰信号的设备可以使其附近的RFID阅读器无法正常工作,从而达到保护隐私的目的。这种方法的缺点在于可能会产生非法干扰,使其附近的其他RFID系统甚至其他无线系统都不能正常工作。
(3)基于可变天线的方法
以上这些安全机制是以牺牲RFID标签的部分功能为代价来满足隐私保护要求的。这些方法都可以在一定程度上起到保护低成本的RFID标签的目的,但是由于验证、成本和法律等的约束,物理安全机制仍存在着各种各样的缺点。
2、RFID的逻辑安全机制
RFID的逻辑安全机制主要包括改变唯一性方法、隐藏信息方法和同步方法。
(1)改变唯一性方法
改变RFID标签输出信息的唯一性是指标签在每次响应RFID阅读器的请求时,返回不同的RFID序列号。不论是跟踪攻击还是罗列攻击,很大程度上是由RFID标签每次返回的序列号都相同所致。因此,解决RFID隐私安全问题的另一个方法是改变序列号的唯一性。改变RFID标签数据需要技术手段支持,根据所采用技术的不同,主要方法包括基于标签重命名的方法和基于密码学的方法。
1)基于标签重命名的方法是指改变RFID标签响应阅读器请求的方式,每次返回一个不同的序列号。例如,在购买商品后,可以去掉商品标签的序列号而保留其他信息(如产品类别码等),也可以为标签重新写入一个序列号。由于序列号发生了改变,因此攻击者无法通过简单的攻击来破坏隐私性。但是,与销毁等隐私保护方法类似,序列号改变后带来的售后服务等问题需要借助其他技术手段来解决。
例如,下面的方案可以让顾客暂时更改标签ID:当标签处于公共状态时,存储在芯片只读存储器里的ID可以被阅读器读取;当顾客想要隐藏ID信息时,可以在芯片的随机存取存储器中输入一个临时ID;当随机存取存储器中存储有临时ID时,标签会利用这个临时ID回复阅读器的询问;只有把随机存取存储器重置,标签才会显示其真实ID。这个方法给顾客使用RFID技术带来了额外的负担,同时临时ID的更改也存在潜在的安全问题。
2)基于密码学的方法是指加解密等方法,此类方法确保RFID标签序列号不被非法读取。例如,采用对称加密算法和非对称加密算法对RFID标签数据以及RFID标签和阅读器之间的通信进行加密,可使一般攻击者由于不知道密钥而难以获得数据。同样,在RFID标签和阅读器之间进行认证,也可以避免非法阅读器获得RFID标签的数据。
例如,最典型的密码学方法是利用函数给RFID标签加锁。该方法使用metaID来代替标签的真实ID,当标签处于封锁状态时,它将拒绝显示电子编码信息,只返回使用Hash函数产生的散列值。只有发送正确的密钥或电子编码信息时,标签才会在利用Hash函数确认后解锁。
由于这种方法较为直接和经济,因此受到了普遍关注。但是协议采用静态ID机制,metaID保持不变,且ID以明文形式在不安全的信道中传输,因此非常容易被攻击者窃取。攻击者因而可以计算或者记录(metaID,key,ID)这一组合,并在与合法的标签或者阅读器交互时假冒阅读器或者标签,实施欺骗。
另外,为防止RFID标签和阅读器之间的通信被非法监听,可以通过公钥密码体制实现重加密(Re-encryption),即对已加密的信息进行周期性再加密,这样因标签和阅读器间传递的加密ID信息变化很快,所以标签电子编码信息很难被盗窃,非法跟踪也很困难。但是,由于RFID标签资源有限,因此使用公钥加密RFID标签的机制比较少见。
近年来,随着计算机技术的发展,出现了一些新的RFID隐私保护方法,包括基于物理不可克隆函数的方法、基于掩码的方法、基于策略的方法、基于中间件的方法等。
通过对RFID隐私安全威胁的分析可知,RFID隐私威胁的根源是RFID标签的唯一性和标签数据的易获得性。为了保证RFID的隐私安全,防止隐私攻击,可以采取以下RFID隐私保护方法。
保证RFID标签的ID匿名性。标签匿名性是指标签响应的消息不会暴露出标签身份的任何可用信息。加密是保护标签响应的方法之一。尽管标签的数据可能被加密,但如果加密的数据在每轮协议中都固定,则攻击者仍然能够通过唯一的标签标识分析出标签的身份,这是因为攻击者可以通过固定的加密数据来确定每一个标签。因此,使标签信息隐蔽是确保标签ID匿名的重要方法。
保证RFID标签的ID随机性。即便对标签ID信息进行加密,但是因为标签ID是固定的,所以未授权扫描也将侵害标签持有者的定位隐私。如果标签的ID为变量,标签每次输出都不同,则隐私侵犯者不可能通过固定输出获得同一标签的信息,从而可以在一定范围内解决ID追踪问题和信息推断的隐私安全威胁问题。
保证RFID标签的前向安全性。RFID标签的前向安全,是指隐私侵犯者即便获得了标签内存储的加密信息,也不能通过回溯当前信息获得标签的历史数据。也就是说,隐私侵犯者不能通过联系当前数据和历史数据对标签进行分析以获得消费者的隐私信息。
增强RFID标签的访问控制性。RFID标签的访问控制,是指标签可以根据需要确定读取RFID标签数据的权限。通过访问控制,可以避免未授权RFID阅读器的扫描,并保证只有经过授权的RFID阅读器才能获得RFID标签数据及相关隐私数据。访问控制对于实现RFID标签隐私保护具有非常重要的作用。
1、RFID的物理安全机制
通过无线技术手段进行RFID隐私保护是一种物理性手段,可以阻扰RFID阅读器获取标签数据,避免RFID标签数据被阅读器非法获得。无线隔离RFID标签的方法包括电磁屏蔽方法、无线干扰方法、可变天线方法等。
(1)基于电磁屏蔽的方法
利用电磁屏蔽原理,把RFID标签置于由金属薄片制成的容器中,无线电信号将被屏蔽,从而可使阅读器无法读取标签信息,标签也无法向阅读器发送信息。最常使用的电磁屏蔽容器就是法拉第网罩。法拉第网罩可以有效屏蔽电磁波,这样无论是外部信号还是内部信号,都将无法穿过。对被动标签来说,在没有接收到查询信号的情况下就没有能量和动机来发送相应的响应信息;对主动标签来说,它的信号无法穿过法拉第网罩,因此也无法被攻击者携带的阅读器接收到。这种方法的缺点是在使用标签时需要把标签从法拉第网罩中取出,这就失去了使用RFID标签的便利性。另外,如果要提供广泛的物联网服务,不能总是让标签处于屏蔽状态中,而是需要在更多的时间内使标签能够与阅读器处于自由通信的状态。
(2)基于无线干扰的方法
能主动发出无线电干扰信号的设备可以使其附近的RFID阅读器无法正常工作,从而达到保护隐私的目的。这种方法的缺点在于可能会产生非法干扰,使其附近的其他RFID系统甚至其他无线系统都不能正常工作。
(3)基于可变天线的方法
以上这些安全机制是以牺牲RFID标签的部分功能为代价来满足隐私保护要求的。这些方法都可以在一定程度上起到保护低成本的RFID标签的目的,但是由于验证、成本和法律等的约束,物理安全机制仍存在着各种各样的缺点。
2、RFID的逻辑安全机制
RFID的逻辑安全机制主要包括改变唯一性方法、隐藏信息方法和同步方法。
(1)改变唯一性方法
改变RFID标签输出信息的唯一性是指标签在每次响应RFID阅读器的请求时,返回不同的RFID序列号。不论是跟踪攻击还是罗列攻击,很大程度上是由RFID标签每次返回的序列号都相同所致。因此,解决RFID隐私安全问题的另一个方法是改变序列号的唯一性。改变RFID标签数据需要技术手段支持,根据所采用技术的不同,主要方法包括基于标签重命名的方法和基于密码学的方法。
1)基于标签重命名的方法是指改变RFID标签响应阅读器请求的方式,每次返回一个不同的序列号。例如,在购买商品后,可以去掉商品标签的序列号而保留其他信息(如产品类别码等),也可以为标签重新写入一个序列号。由于序列号发生了改变,因此攻击者无法通过简单的攻击来破坏隐私性。但是,与销毁等隐私保护方法类似,序列号改变后带来的售后服务等问题需要借助其他技术手段来解决。
例如,下面的方案可以让顾客暂时更改标签ID:当标签处于公共状态时,存储在芯片只读存储器里的ID可以被阅读器读取;当顾客想要隐藏ID信息时,可以在芯片的随机存取存储器中输入一个临时ID;当随机存取存储器中存储有临时ID时,标签会利用这个临时ID回复阅读器的询问;只有把随机存取存储器重置,标签才会显示其真实ID。这个方法给顾客使用RFID技术带来了额外的负担,同时临时ID的更改也存在潜在的安全问题。
2)基于密码学的方法是指加解密等方法,此类方法确保RFID标签序列号不被非法读取。例如,采用对称加密算法和非对称加密算法对RFID标签数据以及RFID标签和阅读器之间的通信进行加密,可使一般攻击者由于不知道密钥而难以获得数据。同样,在RFID标签和阅读器之间进行认证,也可以避免非法阅读器获得RFID标签的数据。
例如,最典型的密码学方法是利用函数给RFID标签加锁。该方法使用metaID来代替标签的真实ID,当标签处于封锁状态时,它将拒绝显示电子编码信息,只返回使用Hash函数产生的散列值。只有发送正确的密钥或电子编码信息时,标签才会在利用Hash函数确认后解锁。
由于这种方法较为直接和经济,因此受到了普遍关注。但是协议采用静态ID机制,metaID保持不变,且ID以明文形式在不安全的信道中传输,因此非常容易被攻击者窃取。攻击者因而可以计算或者记录(metaID,key,ID)这一组合,并在与合法的标签或者阅读器交互时假冒阅读器或者标签,实施欺骗。
另外,为防止RFID标签和阅读器之间的通信被非法监听,可以通过公钥密码体制实现重加密(Re-encryption),即对已加密的信息进行周期性再加密,这样因标签和阅读器间传递的加密ID信息变化很快,所以标签电子编码信息很难被盗窃,非法跟踪也很困难。但是,由于RFID标签资源有限,因此使用公钥加密RFID标签的机制比较少见。
近年来,随着计算机技术的发展,出现了一些新的RFID隐私保护方法,包括基于物理不可克隆函数的方法、基于掩码的方法、基于策略的方法、基于中间件的方法等。
上一篇:电子标签在智慧消防中的使用情况
