挂车厂家
免费服务热线

Free service

hotline

010-00000000
挂车厂家
热门搜索:
产品介绍
当前位置:首页 > 产品介绍

安全隐患不容忽视RFID信息安全策略分析是嘛

发布时间:2021-07-13 11:50:45 阅读: 来源:挂车厂家
安全隐患不容忽视RFID信息安全策略分析是嘛

安全隐患不容忽视 RFID信息安全策略分析

虽然RFID由于频段相容等多种原因还没有形成全球统一的产业标准,但已经有越来越多的RFID产品被实际应用,特别是在物流领域。基于RFID本身强大的功能,我们完全相信RFID的发展前景极为广阔,甚至组成一个全球性的物联。正因为如此,其安全问题不容我们忽视。如果一个RFID芯片设计不良或没有受到保护,有很多手段可以获取此芯片的结构和其中的数据,所造成的损失将会不堪设想。

本文分别从RFID系统的前端无线装置和协议后台络系统安全以及数据安全三方面进行信息安全方面的策略分析。

前端无线装置和协议面临的威胁及解决办法

RFID系统前端的无线装置和传输协议是可靠产生系统处理信息的依托,是整个系统的基础,其除了具有无线系统所通用的安全威胁之外,其标签也有特定的安全问题,需要多方面考虑。

对这个问题的研究,澳洲柏斯大学研究人员Edith Cowan研究人员曾说,第一代RFID的安全漏洞在于,一旦数据 超载,就无法正常作业。在较新的UHF式RFID标签中,也发现到该漏洞,它可对关键或攸关人命的RFID系统造成影响。就连更精密可以四段速操作的“第二代RFID”也一样逃不过攻击。

RFID是一种靠无线射频远距辨识身分的技术,需要读取器在一定的距离内和RFID电子卷标内建的频道进行非接触双向沟通。之所以被认为安全,是因为读取器碰到障碍后,会在频段内跳接不同的频道。

为了测试RFID的安全性,澳洲研究员将电子卷标使用的频段全部满载,让读取器无法和电子卷标沟通。结果发现,频道跳接的设计并不能阻止不法份子进行阻断服务攻击。因为电子卷标本身无法跳接频道。

研究员也发现,在3英尺的距离之外,可以阻断电子标签与读取器的沟通,让卷标进入“通信错误”的状态。虽然读取器碰到干扰可在设定的频段之间跳接,但R济南试金玻镁平板万能实验机可满足的物理性能包括紧缩实验FID电子卷标却不行。

其他各研究单位和具体厂商也发现了系统前端部分的各种问题。比如,专家Rubin断言,虽然最近也进行了一些改进,但大多数RFID芯片依然很容易被破解。其中一个原因是: 最廉价和最流行的RFID芯片都没有电池,事实上它们是在扫描时由读卡机提供能量。Rubin认为,这限制了芯片可设置密码的数量。由于缺乏自己的动力系统,这种芯片也容易受到“能耗途径窃取”(power-consumption hack)的攻击。

欧洲一个电脑研究组织表示,软件病毒可以安插至无线射频身份识别(RFID)标签当中。前不久在意大利比萨召开的一个电脑学术会议上,研究人员公布了一份报告,该报告声称,病毒有可能感染RFID晶片的记忆体。

虽然目前大部分的电脑安全专家都认为,RFID晶片不可能感染电脑病毒,因为这种晶片的记忆体数量相当有限。但研究人员表示,RFID存在被病毒感染的危险,幸好他们同时还公布了一套让RFID晶片免受攻击的防范措施。

对于RFID标签来说,芯片具有可重复编程功能的确是个问题。公司全球战略专家帕特·金(Pat King)认为,这需要“适当的管理”。“公司不应该幻想可重复编程标签内的数据总是安全的。如果你对信息的有效性产生了怀疑,就应该把芯片上的信息与储存在数据库里的数据进行比较验证。

最近,来自荷兰阿姆斯特丹的Vrije大学的一组计算机研究员宣称,他们已发现包括EPC标签在内的RFID标签可以被用来携带病毒,并对电脑系统造成攻击,他们相信使用可读写的RFID标签会有很大的风险,一个有恶意代码的标签会造成更多的被感染标签,这将引发一场混乱。

一位知名的破解密码专家应用功率分析技术,破译了最流行RFID标签品牌的密码。美国Weizmann学院计算机科学教授Adi Shamir也在RSA会议高层研讨中汇报了他的工作。他和他的一位学生已经能侵入某个RFID标签并开发出相应的密码杀手——一种可使标签自毁的代码。通过监控标签的能耗过程研究人员推导出了密码。(推导过程是,接收到读卡机传来的不正确数据时,标签的能耗会上升)。研究人员只用了3个小时就开发出了标签的杀手代码

为深入贯彻落实省委、省政府关于实行新旧动能转换重大工程决策部署。他们表示,虽然使推动发布石化产业布局计划方案用的标签已经过时,但即使是去年下半年上市的最新产品也存在类似的问题,只需如一样简单的工具就可侵入RFID标签。

此外,与Shamir合作开发RSA算法的MIT电气工程和计算机科学教授Ron Rivest借年会平台呼吁行业共同创建下一代散列算法,以取代当今的SHA-1。最近几周,Shamir利用定向天线和数字示波器来监控RFID标签被读取时的功率消耗。功率消耗模式可被加以分析以确定何时标签接收了正确和不正确的密码位。解密我们可以针对饮料标准包装物这1品类专家在会议中探讨了基本SHA-1散列算法的弱点。“我没有测试所有RFID标签,但我们测试了最大品牌,它完全没有保护措施。”Shamir说道。而Rivest则表示: “我期望工业能创建一个类似为AES算法所做的流程,到2010前研究出新的散列功能。”

RSA担心存储在RFID标签中的信息将会被任何持有RFID读取器的黑客盗取,目前这种威胁还不大,但是一旦这项技术被普遍接受,读取器的价格将会大幅下降,而且,读取器还有可能被内置在上,这些都大大增加了对于安全的威胁。

提供IT咨询服务的咨询委员会(The Advisory Council,以下简称TAC)认为,缺乏对点对点加密(使用现行的标准,诸如ISO14443/DESFire就可以实现)和PKI(公钥基础结构)密钥交换的支持,是导致标签漏洞的原因之一。很多人还指出,“恶意”标签(rogue tag)有可能破坏 供应链数据。一旦遭到“拒绝服务”式攻击,把标签中的数据改为随机数据,将降低供应链的速度。这类风险一点都不比现在存在的风险小。

同时在实际应用中,对于刚刚使用RFID的企业,RFID标签很容易就被黑客商店扒手或者不满的职员所操控。还有一个问题是“极低的成本将会大大限制RFID标签的功能”。在过去20年内开发出来的好的安全工具,和目前的大部分RFID标签硬件都不匹配。举例而言,如果对一个标签进行加密,就会大大消耗标签的处理能力,并增加标签的成本。为了控制成本,公司需要的是重量轻价格低的标签,这正好跟标签的安全需求相违背。

也有人提出,数据在读入到读取器的过程中,可能在半途被窃取。

如此众多的问题,研究者和应用商们也正在逐步寻求解决方案,比如:

在芯片设计与实现的工程中考虑攻击措施,以保护重要的数据不被非法利用。许多专家已经就目前针对芯片的各种破坏性非破坏性攻击手段(比如版图重构,存储器读取技术,电流攻击和故障攻击等),从软硬件角度分析现有的各种安全措施如何应对这些攻击,或使攻击变得难以实施,同时给出建议如何避免不良设计。

一些应用厂商已经开始考虑采用安全设备来缓解有关RFID标签安全的忧虑。比如给每个产品一个惟一的电子产品代码,这有点类似于汽车的牌照号码。一旦有人想破坏安全,他得到的只是单个产品的信息。这样的话,就不值得花时间去解码,“门槛太高,没有人会这样做的。”雷根说。此外,新的EPCglobal超高频第二代协议标准增强了无源标签的安全性能。据EPCglobal产品管理总监秀·赫钦森(Sue Hutchinson)介绍,新标准不仅提供了密码保护,而且能对数据从标签传输到读取器的过程进行加密,而不是对标签上的数据进行加密。

2005年,Johns Hopkins大学和RSA实验室的专家宣布使用在高安全性车钥匙和加油站付费系统中使用RFID技术的密码弱点。

针对RFID业界的一个主要担忧RFID标签有可能被仿冒,它的编码系统有可能被复制。XINK公司的新墨水可以消除这种隐患,这是一种理论上不可见的印刷墨水。把这种墨水与Creo公司的隐形标签技术结合,标签被仿冒的担忧就可以消除。

大部分的RFID产业拥有者都意识到标签资料保密性的重要,一些厂商对 RFID 的私隐问题作出了很大的努力,并且提供了几个可行的解决方案,例如:

使用探测器探测其他 RFID 阅读器的存在,以防上资料暴露;

为RFID 标签编程,使其只可能与己授权的 RFID 阅读器通信;

采用EPCglobal 所提倡的消除标签资料 (kill tag) 协议,禁止资料残留于被弃用的标签上;

采用更强的加密及安全功能。

可能的解决办法

RFID络中安全威胁主要有两方面,一是从读写器传到后台之间的络漏洞给系统和后台信息造成潜在威胁,二是RFID系统后台络是借助于标准的互联设施,因此RFID后台络中存在的安全问题和互联是一样的。因此射频识别(RFID)技术面临络安全挑战,这是参与TechBiz Connection有关RFID研讨的嘉宾得出的一致意见。

对第一种威胁,研究机构Forrester 公司的分析师劳拉·科茨勒(Laura Koetzle)指出,如果竞争对手或入侵者把他们开发出来的“恶意标签”装到未经安全处理的络上,他们就可以把所有扫描到的数据传输出去。这就是一种络漏洞造成的系统泄漏。另外与其它无线技术类似,对于没有使用带内置协议如安全壳及安全槽层的设备来确保其RFID络安全无忧的公司来说,存在着安全风险。因为对于无线平台的供应链应用络来说“攻破它是非常轻而易举的事情。”

对第二种威胁,最近,三位计算机研究者在意大利比萨举办的一次会议上就曾发表了一篇关于计算机病毒如何传染RFID的论文。因此,RFID中间件 开发商必须作一些适当的检查,来防止RFID在受到Internet上的漏洞攻击时重蹈覆辙。他们在论文中还写道:“操纵标签上少于1000位的RFID数据就能够开拓安全漏洞来影响RFID中间件,暗中进行破坏活动;严重的情况下,也许能够危及到整个计算机或者整个络的安全。”幸运的是RFID中间件除了能够将监测RFID信号的硬件与后台能够利用RFID信息的企业软件连接起来,更重要的一点,它可以继承传统中间件

耒阳制作西服订做
鄂尔多斯职业装定制
鹰潭工服订制