电话:13691762133
手机:13691762133
邮件:andy@ownlikes.cn
QQ:317779813
地址:深圳市龙华新区观澜大道35号1栋3楼
网址 : www.hysrfid.com
RFID边缘硬件层
在RFID边缘硬件层中, 攻击是利用阅读器的较差物理安全性和较低的物理操作抵抗能力来攻击 RFID标签和阅读器。主要的攻击有侧信道攻击、物理数据篡
改、伪装攻击, 以及暂时或永久性硬件边缘损坏。
1、保密性
为保护信息的保密性, 信息数据应该只对授权方开放。根据系统保密对象不同, 系统保密性攻击的方式存在很大差异。侧信道攻击若非法者有充足的时间访问边缘硬件, 并尝试从中获取信息。可以根据侧信道对策措施推导出信息的数据和硬件操作上的错误(错误攻击或小故障), 从而影响信道的信息输出, 也可以直接读出内存数据(篡改)。2006 年, Berkes 对此进行了简单概述。大部分的攻击都需要专门设备, 并且只能依靠专业人士和设备齐全的实验室完成。侧信道攻击的影响随着应用场景的变化而变化, 因而该攻击可能会让人侵者获取 RFID标签密码, 甚至泄露标签到阅读器的认证密匙。前面提到的入侵者能够使标签永久失效, 从而偷窃贵重物品。对于后面提及的密钥泄露, 将使人侵者获得受限区域的访问权限, 窃取重要信息甚至引发金融欺诈。以下简单讨论此类攻击的多种方式:
1)侧信道分析:它是攻击者在测量时延、功耗或发射信号以及辐射信息波动时发起的非人侵式攻击。上述测量数据是反映 RFID 设备的输入数据和内部状态的重要信息。例如, 后向散射回波信号的波动可能引起内部电阻的相关变化。根据泄漏信息的不同所采用的应对措施方式不同, 可区分各种侧信道攻击。如基于功耗变化, 可以区分简易功率分析(SPA)攻击和差分功率分析(DPA)攻击。计时器攻击利用目标计算速度产生的波动, 也可能是延迟。RFID 设备进行加密操作时会起电磁场的变化, 可由差分电磁分析(DEMA)对变化进行测量。对于后者, 可能会泄露密钥等重要信息。2007年, Oren 和 Shamir 通过测量从标签到阅读器的功滚轨迹, 获得了特高频标签的关键密码, 实现了SPA 攻击。同年, Hutter等人完成RFID标签的 DPA攻击。精确地讲, 通过功率和电磁分析完成了对高频标签的硬件和软件 AES(高级加密标准)的实现。2008年, Plos 已证实即使是特高频标客地极易受到 DPA 攻击。2009年, Hutter 等人实现了对 RFID 设备公钥发起了DP攻击。
2)故障攻击:它是当人侵者尝试在操作设备期间制造错误, 从而通过正常给出通道或侧信道非法提取信息时发起的一种攻击。这种攻击可通过改变设备的输人或工作环境条件, 如热、冷、电磁辐射(如紫外线(UV)或X射线)、电压、不间断供电或磁性来达到目标。
3)物理篡改:人侵者能够在不破坏其存储数据的情况下, 尝试拆散设备以恢复数据。另一种物理篡改是对特定硬件进行针对性的操作和破坏。例如, 通过改变ROM中个别单元来改变密码行为和密码种子。其他入侵攻击方式则是保留和直接读取存储单元。但电源中断时, 易失性存储器的数据将会丢失。有些设备(如智能卡)检测到攻击时, 通过删除内存的方式保护数据。减缓内存损失的方法有冷却硬件, 或者通过辐射将数据状态永久存入内存, 也可以快速进入硬件, 以便在设备对攻击有反应前切断保护措施。即使没有这些成本较高的解决方法, 在断电后也可读取内存。如果 RAM(随机存取存储器)长时间以恒定状态(0或1)供电,那么将产生所谓的“内存剩磁感应”, 可用于部分数据的恢复。香去非苦
2、 完整性
保障信息完整性可定义为保证所有信息及相关处理方法是准确和完整的。一旦认证被避开或绕过, 完整性就被破坏。因此, 需要研究在RFID系统中对认证产生威胁的攻击。在边缘硬件层中, 这一攻击被将归纳为物理数据篡改和伪装攻击。
2. 1 物理数据篡改
在RFID 系统中, 可通过错误引人及存储器写入进行物理数据篡改。错误引人是指在数据被写人或处理时进行数据篡改。存储器写人要使用专门的设备, 如激光
切割显微镜或小针探头。该方法可以直接影响存储器单元(Hancke 和Kuhn(2008)中的ROM攻击就是一个很好的例子)。虽然这种方法难度大且费时, 但却避开了软件保护。篡改物理数据的影响取决于应用场景和被篡改信息的危险程度。这种攻击会造成标签的存储数据及被标记物体数据之间的不一致。因此, 这种攻击可能会导致严重的医疗事故(即篡改贴在药物上的标签存储数据)。甚至假冒原装产品。
2. 2 伪装攻击
通过标签克隆、标签交换、标签重新编程或电子欺骗等手段可以制作假冒的 RFID 标签。攻击者主要利用伪装标签或阅读器使其能够进入限制区, 获取敏感信息和访问权限。
1)标签克隆:现已证实复制RFID标签相当容易, 既不需要花很多钱也不需要很多专业知识, 只需要一些必需的设备, 例如, 软件和空白标签。德国研究员Reid 证实电子护照易克隆。如果 RFID 标签不采取任何安全机制, 那么很容易完成将标签的识别ID和相关数据复制到克隆标签。然而, 如果标签采用了安全机制, 那么应发动更杂的攻击以便于辨别克隆标签与合法标签。采用何种克隆攻击在一定程度上取决于标签使用的安全机制。但是, 克隆并不只是复制标签ID及数据, 还要制造一个仿照原标签以及其特征的 RFID标签。人眼无法区分克隆 RFID标签和合法标签。
2)标签交换:另一种伪装攻击是标签交换, 方法十分简单, 但却是零售产品跟踪和自动销售的真正威胁。标签交换是将某一物品的 RFID标签撕掉, 随后将该标签贴在另一物品上(例如, “交换”价格标签)。在零售商店中, 小偷挑选出高价商品和低价商品, 然后交换两件商品的价格标签, 这样就可以支付较少的钱 “购买”高价商品。后端系统不能正确地将商品与其价格进行关联, 因此, 其信息的完整性被损害。
3)标签重新编程:部分标签在构建过程中可以直接或利用接口的方式重新编程。直接编程是在知晓密码的前提下, 通过RF接口实现的。然而, 使用 ROM的标签不能重新编程。通常, 制造假冒标签最便宜的方式是重复利用现有的标签, 如果需要, 能够对其重新编程。例如, 利用丢弃的标签或者在开放市场购买同类型的标签。
4)电子欺骗:电子欺骗可以被看做是克隆标签的衍生方式。它们的主要区别是在于, 电子欺骗不对 RFID 标签进行物理复制。此外, 由于 RFID 阅读器也可以伪造, 因此电子欺骗攻击并不限于标签。若要实现此类攻击需要专门的设备, 该设备能够根据数据内容完成 RFID标签和阅读器的仿造。攻击者则需要能够访问合法的信息渠道, 以及用于认证的协议和密钥信息。攻击的目的是仿造合法标签或者阅读器探取敏感信息和获得未授权的服务。
2. 3 可用性
可用资源是能够被所有合法用户随时访问并使用的资源。当RFID边缘硬件由移除、销毁和破坏等方式造成永久或暂时失效时, 其可用性将受到影响。
2. 3. 1 边缘硬件永久失效
移除或销毁操作可能使 RFID 标签和阅读器永久失效。使用特定的销毁命令也可能使 RFID标签永久失效。永久失效的 RFID 标签将导致被标记物体难以追验因此, 造成供应链团体或零售店的巨大损失, 损失的大小则取决于攻击范围大小。
1)移除:RFID标签物理安全性较差, 如果标记在物体上的标签粘贴或者入得不够牢固, 就很容易被移除。标签移除无需特殊的技术就可以轻易做到。这系威胁将导致物体无法被追踪, 从而引发严重的安全问题。幸运的是, 这种攻击不能大规模的展开。如果无人监管, RFID 阅读器也可能会被移除。鉴于阅读器体和较大, 攻击难以实施。
2)损坏:较低的物理安全性不仅导致标签易被移除, 而且易被破坏。未被买善管理的 RFID标签易被蓄意破坏者破坏, 蓄意破坏者可以通过化学、增加压力甚至通过简单地裁剪天线的方式实现破坏。然而, 即使 RFID 标签没有受到恶意础坏, 它们也可能遭遇恶劣环境条件, 如极端的温度, 或者因处理不当产生的磨损。此外, 滥用 RFID Zapper等设备也能致使 RFID标签失效。该设备工作在强大的电磁场中, 强大的电磁场足以烧坏标签的内部电路。RFID标签尺寸小, 易于攻击, 然而, RFID 阅读器也可能面临类似的威胁。RFID 阅读器通常存储着重要的安全认证数据, 如加密密钥等, 因此, 极有可能成为攻击的目标, 尤其在无人监管时。破坏或盗取 RFID 阅读器可能会中断RFID通信, 干扰RFID系统的可用性。
3)滥用销毁标签命令:有些标签具有永久销毁或锁定的安全功能。由Auto- ID中心和 EPC global 创建的规范-KILL指令, 可以使标签永久销毁、无法响应请求。若干RFID 标准利用 LOCK 指令防止标签的非法写人。通常预定义密码用于 认证, 这种密码暂时或永久的自我锁定。实际上, 多个标签可以共享一个密码 (如同一个商店的所有货物)。否则, 密码管理就会出现问题, 例如大型清单需要与货物一起运送。尽管这些功能都可用于隐私保护, 但是它们也有可能被滥用, 从而使 RFID标签永远无法工作并破坏RFID通信。在某些情况下, 标签使用的密码是低熵的(1 EPC Gen 1 标签是8位的, EPC Gen 2 标签是32 位的), 而且极易被破解。除此之外, 主密码还可能锁定和破坏大量标签, 严重损害系统安全。
2. 3. 2 边缘硬件暂时失效
极端的环境条件, 如标签被水或冰覆盖, 协议资源枯竭, 以及同步失效攻击部可能导致 RFID边缘硬件暂时失效。与边缘硬件永久失效一样, 尽管边缘硬件失效
是暂时的, 该攻击也能够破坏整个RFID系统。最常见的状况就是窃贼能够在商场里免费获得商品。
1)协议资源枯竭:某些协议限制了标签的阅读次数, 或者限制了标签的阅以失败次数。有些协议使用计数器或者是时间戳计算最大次数, 当达到限值后, 标签便不可读。而其他协议为了保护标签, 仅规定了其读取次数。储存在标记上的哈希链固定长度限制标签的读取次数。当这些标签资源耗尽时, 它们将再一次成为追踪攻击的对象。OSK(Ohkubo-Suzuki-Kinoshita)协议就是链协议的一个例子。
此类攻击的另一手段是耗尽有源标签的电池电量以缩短它们的寿命。通过在一 个频段上反复读取, 致使标签资源“耗尽”, 并失效。在某些情况下, 故障是可恢
复的, 但绝大多数情况是不可以的。系统的中断操作和恢复与成本相关, 会产生经济影响。
2)同步失效攻击:某些协议利用了标签与阅读器/服务器之间的同步特性。这种同步采用计数器(读取次数)、时间戳或更新的假名及密钥等形式。当双方都没有更新时, 对抗性读取或更新阻止产生同步失效, 如协议中断等。除非协议能够处理或恢复其同步, 否则服务器将不能再读取或识别标签。即使在某些限制了同步失效的协议中, 攻击或反复读取(被其他系统读取)也可能导致同步失效的发生。
3. 2. 4 威胁评估以及对策
在边缘硬件层中存在的威胁, 实施各类攻击/威胁的成本, 以及易受攻击标签的分类。同时, 列举了面对各类威胁可能采取的对策(解决方案)和其成本, 这方案有助于抵抗攻击。 成本评估使用低、中、高表示, 成本应该考虑到效率、时间、实现攻击/抵御攻击所需耗费的经济成本。
成本较高的攻击是侧信道攻击和一些高级的伪装攻击。在RFID 边缘硬件层 用较高物理安全性的策略, 例如采用保安、摄像监控、门禁等。准确地说, 侧信邀辐射, 但是这样会缩小系统的工作范围。另一个成本较高的对策是增加 RFID标签 一个很具挑战性的任务。防篡改标签也可以增加攻击的难度。然而, 这种攻击的成 御攻击的对策中, 成本最高的是那此具有较强鲁棒性和防篡改的特殊标签, 以及平攻击是最难克服的攻击之一。抵抗这类攻击的最合理方法是限制 RFID 系统的电内部电路的复杂性, 从而增加逆向工程难度。鉴于RFID 标签小型化的需求, 这具本较高, 不易普及。