南京工业大学经济与管理学院 李桂林【摘要】物联网进入了快速发展和应用阶段,物联网的安全的核心问题RFID电子标签安全亟待解决。本文对目前应用广泛的主要技术探讨RFID电子标签的安全问题,并对RFID电子标签信息安全问题主要的解决方案进行了分析。 【关键词】物联网;安全;RFID;标签
1.RFID电子标签面临的安全问题
RFID系统包括标签、读写器以及标签与读写器之间的射频通信信道。RFID系统容易遭受各种主动和被动攻击的威胁,RFID系统本身的安全问题可归纳为隐私和认证两个方面:在隐私方面主要是可追踪性问题,即如何防止攻击者对RFID标签进行任何形式的跟踪;在认证方面主要是要确保只有合法的阅读器才能够与标签进行交互通信。当前,保障RFID系统本身安全的方法主要有三大类:物理方法(Kill命令,静电屏蔽,主动干扰以及Blocker Tag 方法等),安全协议(哈希锁随着物联网技术的日益普及应用,使用RFID标签的消费者隐私权备受关注;在使用电子标签进行交易的业务中,标签复制和伪造会给使用者带来损失;在RFID标签应用较广的供应链中,如何防止信息的窃听和篡改显得尤为重要。RFID标签的安全问题主要包括以下诸方面。 1.1 信息传输安全问题
物联网终端很多时候都是通过无线电波传输信号,智能物品感知信息和传递信息基本上都是通过无线传输实现的,这些无线信号,存在着被窃取、监听和其他的危险。目前,在信息传输中攻击者使用的主要方式可分为两大类,即主动攻击和被动攻击,主动攻击中最常见的的攻击手段为信道堵塞,而被动攻击主要以监听和窃听技术为主。
1.2 数据真实性问题
电子标签的身份识别在物联网系统中非常重要。攻击者可以从窃听到的标签与读写器间的通信数据中获得敏感信息,进而重构RFID标签,达到伪造标签的目的。攻击者可利用伪造标签替换原有标签,或通过重写合法的RFID标签内容,使用低价物品的标签替换高价物品标签从而非法获益。同时,攻击者也可以通过某种方式隐藏标签,使读写器无法发现该标签,从而成功地实施物品转移。读写器只有通过身份认证才能确信消息是从正确的标签出发
送过来的。
1.3 信息和用户隐私泄露问题
信息泄露是RFID标签发送的信息被暴
露,该信息包括标签用户或者识别对象的
相关信息,这些信息一般包含一些用户的
隐私和其他敏感数据。如RFID物流商品通信
信息是公开的,收发双方及物品信息其他任
何人都可以获得。当电子标签应用与药品
时,很可能暴露药物使用者的病理,隐私
侵犯者可以通过扫描服用的药物推断出某
人的健康状况。一个安全的RFID系统必须
拥有一个安全的RFID标签,从而保护用户
的隐私信息或相关经济实体的商业利益。
1.4 数据秘密性问题
安全的物联网方案应该可以保证标
签中包含的信息只能被授权读写器识别。
但是目前读写器和标签的通信是不受保护
的,未采用安全机制的RFID标签会向邻近
的读写器泄露标签内容和一些敏感信息。
由于缺乏支持点对点加密和PKI密钥交换的
功能,因此在物联网系统的应用过程中,攻
击者能够获取并利用RFID标签上的内容。
1.5 数据完整性问题
在通信过程中,数据完整性能够保证
接受者收到的信息在传输过程中没有被攻
击者篡改和替换。在基于公钥的密码体制抗石击涂料
中,数据完整性一般是通过数字签名完成
的。在RFID系统中,通常使用消息认证码
进行数据完整性的检验,它使用的是一种
带有共享密钥的散列算法,即将共享密钥
和带验证的消息连接在一起进行散列运算,
对数据的任何细微改动都会对消息认证码
的值产生较大的影响。事实上,除了采用
ISO14443标准的高端系统(该系统使用了
消息认证码)外,在读写器和标签的通信过
程中,传输信息的完整性无法得到保障。
在通信接口处使用校验和的方法也仅仅能
够检测随机错误的发生。如果不采用数据
完整性控制机制,可写的标签存储器有可
能受到攻击。攻击者编写软件,利用计算
机的通信接口,通过扫描RFID标签和响应
读写器的查询,寻安全协议、加密算法
及其实现机制上的漏洞,进而删除或篡改
RFID标签内的数据。
1.6 恶意追踪
随着RFID技术的普及,标签识别装备
的价格也越来越低廉,特别是RFID进入人
们的日常生活后,拥有阅读器的人都可以
扫描并追踪别人。而且被动标签信号不能
切断、尺寸很小,极易隐藏并且使用寿命
很长,可以自动化识别和采集数据,这就
加剧了恶意追踪的问题。
2.RFID标签安全问题解决方案
2.1 Kill命令机制(Kill标签)
Kill命令机制是由标准化组织自动识
别中心(Auto-ID Center)提出。Kill命令
机制采用从物理上销毁RFID标签的方法,一
旦对标签实施了销毁(Kill)命令,RFID
标签将永久作废。读写器无法再对销毁后的
标签进行查询和发布指令,通过自戕的方法
来保护消费者的个人隐私。这种牺牲RFID
电子标签功能以及后续服务的方法可以一
定程度上阻止扫描和追踪。但是Kill命令
机制的口令只有8位,因此恶意攻击者仅
以64的计算代价就可以获得标签访问权。
而且由于电子标签销毁后不再有任何应答,
很难检测是否真正对标签实施了Kill操作。
因此,Kill标签并非是一个有效检测和阻
止标签扫描与追踪的防止隐私泄漏技术。
2.2 静电屏蔽机制
静电屏蔽机制的工作原理是使用法拉
第网罩(Faraday Cage)来屏蔽标签。如
图1所示。
法拉第网罩是由金属网或金属箔片
构成的阻隔电磁号穿透的容器。添加法拉
第网罩前(图1左边部分)两个物体可产
生电磁反应,但加了法拉第网罩后(图1
右边部分),外部电磁信号不能进入法拉
第网罩,里面的磁波电信号也无法穿透出贴膜工具
去。当人们把标签放进由传导材料构成的
容器里时可以阻止标签被扫描,被动电子
-59-
/2011.11/
-60-
/2011.11/
信息安全
》》标签接收不到信号也就不能获得能量,主动标签发射的信号不能发出。利用法拉第网罩可以阻止非法窥测者通过扫描获得标签的信息。采用法拉第网罩需要添加一个额外的物理设备,带来了不方便,也增加了物联网系统设备的成本。
2.3 主动干扰
主动干扰无线电信号是另一种屏蔽标签的方法。标签用户可以通过一个设备主动广播无线电信号以阻止或破坏附近的物联网阅读器的操作。这种初级的方法可能导致非法干扰。附近的其他的合法的物联网系统也会受到干扰,更严重的是它可能阻断附近其他使用无线电信号的系统。
2.4 阻塞标签法
阻塞标签法(Blocker Tag)通过阻止阅读器读取标签确保消费者隐私。与一般用来识别物品的标签不同,Blocker Tag 是一种被动干扰器。当读写器在进行某种分离操作时,当搜索到Blocker Tag所保护的范围时,Blocker Tag便发出干扰信号,使读写器无法完成分离动作,读写器无法确定标签是否存在,也就无法和标签沟通,由此来保护标签,保护用户的隐私。但是由于增加了阻塞标签,因此应用成本相应增加。其次,Blocker Tag可以模拟大量的标签ID,从而阻止阅读器访问隐私保护区域以外的其他标签,因此Blocker Tag的滥用可能导致拒绝服务攻击。同时,Blocker Tag有其作用范围,超出隐私保护区域的标签将得不到保护。
2.5 RFID标签的芯片保护2.5.1 破坏性攻击及其防范
破坏性攻击主要有版图重构和存储器读出技术两种防范措施。
(1)存储器读出技术
存放密钥、用户数据等内容的存储器不能通过简单的光学照片获得其中的信息。在安全认证过程中,至少要对这些数据区访问一次,因此,可以使用微探针监听总线上的信号获取重要数据。顶层探测器网格是有效防止微探针获取存储器数据的重要手段之一,充分利用深亚微米CMOS 技术提供的多层金
属,在重要的信号线顶层构成探测器网格能够连续监测短路和断路。当有电时,它能防止激光切割或选择性的蚀刻去获取总线的内容。根据探测器输出,芯片可立即触发电路将非易失性存储器中的内容全部清零。这些网格对于其下的各层金属连线重构也有影响,因为蚀刻不是均匀的,上层金属的模式在下层可见,会给版图的自动重构带来很多麻烦。手动探针的目标尺寸一般在1微米左右,尖端小于0.1微米的探针台价格在几十万美元之上,且极难获得。一个精心设计的网格将使手动微探针攻击难以实施,一般的FIB修补技术也难以逾越。
(2)版图重构
破坏性攻击的一个重要步骤是重构RFID芯片的版图。通过研究连接模式和跟踪金属连线穿越可见模块的边界,达到迅速识别芯片上的一些基本结构,如数据线
和地址线。
对于RFID标签芯片的设计来说,射频模拟前端需要采用全定制方式实现,但是常采用HDL语言描述来实现包括认证算法在内的复杂控制逻辑,显然这种采用标准单元库综合的实现方法会加速设计过程,但是也给反向工程为基础的破坏性攻击提供了极大的便利,这种以标准单元库为基础的设计可以使用计算机自动实现版图重构。因此,采用全定制的方法实现RFID的芯片版图会在一定程度上加大版图重构的难度。版图重构的技术也可用于获得只读型ROM的内容。ROM的位模式存储在扩散层,用氢氟
酸(HF)去除芯片各覆盖层后,根据扩散层的边缘就很容易辨认出ROM的内容。
基于微处理器的RFID设计中,ROM中可能不包含任何加密的密钥信息,但是它的确包含足够的I/O、存取控制、加密程序等信息,这些在非破坏性攻击中尤为重要。因此,对于使用微处理器的RFID设计,推荐优先使用FLASH或EEPROM等非易失性存储器存放程序。
2.5.2 非破坏性攻击及防范策略非破坏性攻击主要针对具有微处理器的产品而言。微处理器本质上是成百上千个触发器、寄存器、锁存器和SRAM单元的集合,这些器件定义了处理器的当前状态,结合组合逻辑则可知道下一时钟的状态。常见的非破坏性攻击主要有电流分析攻击和故障攻击。
(1)电流分析攻击及防范措施根据电流分析攻击实施的特点,可将其分为简单电源攻击(SPA)和差分电源攻击。原则上,RFID的电源集成在AFE的内部,似乎远离了电流分析的危险,然而实际上并非如此。通过在RFID天线和串联的分压电阻的两端直接加载符合规格的交流信号,RFID负载反馈信号可以百倍于无线模式下的信号强度直接叠加在加载的交
流信号上。由于芯片的功耗变化与负载调制在本质上是相同的,因此,如果AFE的电源设计不恰当,则RFID微处理器执行不
同内部处理的状态可能在串联电阻的两端交流信号上反馈出来。
针对于电流分析攻击的特点,芯片的功耗是个重要的问题,就工作效率而言,串联方案的效率更高,更适合集成电路设计。但是就安全而言,并联方案是更理想的选择,因为通过并联泄放电路将电源幅
度和纹波的变化控制在尽可能小的范围
图1 法拉第网罩
4.˄key ˈID ˅
5. Key 2. metalID
1. Query
7DJ
5HDGHU
Database
图2 Hash-Lock协议流程图
内,使电源电流消耗波动抑制在整流电路之后。这样天线两端的交流信号不能反应任何内部基带系统(主要是微处理器)状态的差异。
(2)故障攻击及防范措施
通过故障攻击可以导致一个或多个触发器位于病态,从而破坏传输到寄存器和存储器中的数据。在所知的RFID标签芯片非破坏性攻击中,故障攻击是实际应用中最有效的攻击技术之一。
时钟故障和电源故障都是故障攻击的主要手段。通过简单地增加或降低时钟频率一个或多个半周期可以实施时钟故障攻击,这样会使部分触发器会在合法的新状态到来之前就采样它们的输入。时钟故障有效的攻击通常和电源故障结合在一起,在接触式RFID标签中通过组合时钟和电源波动,增加程序计数器内容而不影响处理器的其它状态。这样,RFID标签的任意指令序列都可以被黑客执行,而程序员在软件编写中并没有什么很好的应对措施。
RFID标签为了有效抵御时钟故障攻击,除了采用时钟探测器外,更重要的是严格限制RFID设计的工作频率范围、载频的谐波品质因素、对称性的指标。潜在的故障技术仍需进一步探索,如通过将金属探针置于处理器几百个微米的高度,在几毫秒内施加击败伏特的电压,得到的电场强度足够改变附近的晶体管阈值电压。这些技术的应用价值和应对措施还有待进一步的研究。
2.6 信息传输安全技术
解决信道数据的安全传输基本方法是提出相应的安全协议。目前已有多种安全协议被提出,其中包括Hash-Lock协议、随机Hash-Lock协议、Hash-Chain协议、分布
式RFID询问-应答安全协议和LCAP协议。
(1)Hash-Lock协议
Hash-Lock是由Hash Lock协议是由
Sarema等人提出的,为了避免信息泄露和
被追踪,它使用metalID来代替真实的标
签ID,并且每个标签拥有自己的访问密匙
Key,且metalID=Hash(Key),其协议流
程如图2所示。
压缩空气汽车
Hash-Lock协议的执行过程是:Tag
接收到Reader发送的请求认证(Query)
后将metalID发送给Reader。Reader将
metalID转发给Database,Database查询
自己的数据库,如果到与metalID匹配
的项,则将该项的(key,ID)发送给
Reader,其中,ID为待认证Tag的标识,
metalID=Hash(Key);否则,返回给
Reader认证失败信息。Reader将接收自
Database的部分信息key发送给Tag。Tag
验证metalID=Hash(Key)是否成立,如
果成立,则将其ID发送给Reader。Reader
比较来自Tag接收到和ID是否与Database
发送过来的ID一致,如一致,则认证通过;
否则,认证失败。
从Hash-Lock协议的执行过程我们可
以看出,该协议可以提供访问控制和标签
数据隐私保护,但是由于ID没有使用动态
刷新机制,metalID保持不变,所以标签
容易被跟踪定位,(key,ID)以明文形
式发送,容易被窃听者获取。
(2)Hash-Chain协议
Hash-Chain协议由NTT实验室提出,
其本质上是基于共享秘密的询问-答应协
议,但对两个使用不同Hash函数的标签发起
认证时,标签总是发送不同的应答。Hash-
Chain协议的优越点再于协议中的Tag是个具
有自主更新ID的主动式标签,避免了标签
定位隐私泄露;又由于Hash函数具有单向
性,所以该协议具有前向的安全性。
Hash-Chain协议也有自身的不足之处。
首先,Hash-Chain协议为了降低标签的制
作成本,该协议降低了标签的存储空间和
计算能力,标签到最后没有对读写器的合
法性进行认证。其次,Hash-Chain协议非
常容易受到重传和假冒攻击。
3.总结
RFID电子标签自身的安全设计存在
缺陷,但完善的RFID应用系统可以弥补缺
陷并保证RFID电子标签安全运行。目前针
ct二次过电压保护器
对物联网电子标签安全的种种努力仍在进
行,RFID电子标签只是信息媒介,在RFID
电子标签自有的安全设置基础上,加上应
用系统更高级别的安全设计可以使RFID电
子标签的安全问题减少到最低范围。
参考文献
[1]暴磊,张代远,吴家宝.物联网与隐私保护技
术[J].电子科技,2010(7).
[2]宋合营,赵会.关于RFID标签的安全策略
研究[J].计算机工程与应,2008(9).
[3]武传坤.物联网安全架构初探[J].中国科学院
院刊,2010(4).
[4]Rolf H.Weber.Internet of Things-New security
and privacy challenges[J].University of Zurich,Zuric
h,Switzerland,and University of Hong Kong,Hong
Kong,2010.
[5]Rolf H.Weber.Internet of things-Need for a
new legal environment [J]puter law & security
review,2009.
作者简介:李桂林(1965—),男,管理学
博士,南京工业大学管理系教师,已发表论
文十余篇。
(上接第43页)
3.3 优化的数据算法
在系统软件开发中,采集检测数据进行剩余电量计算法、电池组不平衡检测算法等多种算法处理。比如在基于安时积分法(AH法)的电池剩余容量的预测模型中引进Peukert方程。考虑电流和温度等因素变化对电池实际容量的影响,电池剩余容量预测有较高可靠性。其原理是对充放电电流按时间进行积分,累计电池放出电量,再根据蓄电池总容量得出剩余容量。再如SOC估算方法,利用车船电池间歇工作特性,基于开路电压法与安时积分法相结合,充分考虑各种影响因素并进行补偿,据此判定电池是否失效,免除了对电池做
核对性放电试验的麻烦。通过对单片机算
法统筹,蓄电池在线管理系统具备串联电
池组不平衡检测,剩余容量预测,电池失
效判定,电池异常工况报警等多种功能,
很好地满足了用户需求。
3.4 友好的人机界面
蓄电池在线管理系统设置自动警报
喇叭,在出现电量过低﹑端电压过低﹑电
池组严重不匹配﹑负载过大﹑温度异常等
情况时提醒操作者注意。在人机接口上,
选用320×240像素的TFT彩液晶屏显示
系统采集的各项数据、参数和电池运行状
态,并接有导航键盘,方便用户操作。简
洁、友好、直观的输入、输出的用户界
面,实用易用价值凸显。
参考文献
[1]刘胜利,邱振国.电动车蓄电池修复与控制电
路检修技巧[M].北京:机械工业出版社,2010,1.
[2]胡信国.动力电池技术与应用[M].北京:化学细胞破碎
工业出版社,2009,7.
[3]段万普.蓄电池检测技术[M].北京:电子工业
出版社,2011,4
作者简介:郭平(1957—),女,江苏无锡
人,中学高级教师,现供职于无锡机电高等职
业技术学校机电系,研究方向:机电一体化。
-61-
/2011.11/
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议