RFID應用中存在的問(wèn)題
目前國際上普遍將物聯(lián)網(wǎng)的體系結構分為三層:感知層、傳輸層和應用層,分別完成智能感知、接入與傳輸和處理和決策功能。其中感知層起識別物體、采集信息的作用,它可以鏈接物理世界與信息世界。而RFID技術(shù)就是物聯(lián)網(wǎng)感知層的一個(gè)重要組成部份,它的英文全稱(chēng)是Radio Frequency Identification,它是一種非接觸式的自動(dòng)識別技術(shù),可以通過(guò)射頻信號自動(dòng)采集輻射范圍內的電子標簽,速度快而且不受光照、塵埃等環(huán)境因素的影響,可應用于各種惡劣的環(huán)境中。
它還具有支持群讀、高速讀寫(xiě)、無(wú)需對準、讀取距離遠等特性,所以它在很多場(chǎng)景中是更優(yōu)于條碼技術(shù)的。
因為RFID是物聯(lián)網(wǎng)系統中非常重要的一項技術(shù),所以有必要針對其安全問(wèn)題進(jìn)行相關(guān)研究。
一套安全的RFID系統一般應具備以下幾個(gè)基本特征:
1. 真實(shí)性:保證電子標簽身份的真實(shí)性;
2. 隱私性:保證電子標簽不被用來(lái)跟蹤用戶(hù)及泄露其個(gè)人喜好、消費習慣、行動(dòng)軌跡等隱私信息;
3. 機密性:保證標簽內信息只能被授權訪(fǎng)問(wèn);
4. 完整性:確保讀寫(xiě)器收到的標簽信息未經(jīng)篡改與替換;
5. 可用性:保證經(jīng)過(guò)授權的用戶(hù)可以使用RFID系統提供的各項服務(wù),并能夠有效防止攻擊者各種不良企圖,如中斷RFID系統服務(wù)等;
RFID系統的常見(jiàn)安全威脅:
1. 竊聽(tīng)與干擾
RFID系統的讀寫(xiě)器與電子標簽之間的通信鏈路是無(wú)線(xiàn)的,通訊內容比較容易被竊聽(tīng)且通訊過(guò)程比較容易被干擾。
基本的RFID系統主要由應用軟件、RFID讀寫(xiě)器和RFID標簽三部分組成。
RFID標簽是由IC芯片和天線(xiàn)組成的微型電路,每個(gè)標簽都有一個(gè)唯一的電子編碼,當天線(xiàn)收到RFID讀寫(xiě)器發(fā)射的無(wú)線(xiàn)電波后,RFID標簽會(huì )回復標簽內的數據給RFID讀寫(xiě)器。由于RFID標簽和讀寫(xiě)器之間的通訊是非接觸且是無(wú)線(xiàn)連接的,所以未授權的讀寫(xiě)器很容易可以讀取和收集到其作用范圍內的電子標簽的相關(guān)信息,從而導致用戶(hù)的隱私泄露。
而讀寫(xiě)器與應用軟件之間經(jīng)常通過(guò)串口或者以太網(wǎng)的方式進(jìn)行通訊,協(xié)議也較為簡(jiǎn)單,通過(guò)抓包等方式也比較容易攔截到讀取的標簽信息。
竊聽(tīng)會(huì )造成RFID信標數據被截取,導致信息泄露,而干擾則會(huì )使通訊出現錯誤,導致讀寫(xiě)器無(wú)法讀取到有效信標數據,或是標簽信息錯誤。
2. 未授權讀取
由于目前大多數標簽在不需要認證的情況下就會(huì )發(fā)送其內部存儲的信息,因此很容易通過(guò)一個(gè)非法的讀寫(xiě)器與標簽進(jìn)行交互,即可在標簽所有者不知情或未同意的情況下獲取存儲在標簽中的數據。
3. 克隆
通過(guò)復制其它電子標簽,頂替別人身份,常見(jiàn)的案例是門(mén)禁卡復制。
4. 重放攻擊
指攻擊者通過(guò)某種技術(shù)手段獲取用戶(hù)某次使用過(guò)程中或身份驗證記錄重放或竊聽(tīng)到有效信息經(jīng)過(guò)一段時(shí)間后再傳給信息的接收者,騙取系統的信任,達到其攻擊的止的。常見(jiàn)案例是汽車(chē)無(wú)線(xiàn)鑰匙的監聽(tīng)與重放攻擊。
5. 泄露個(gè)人隱私
由于RFID系統可以標識物體或個(gè)人,這就造成該信標持有人的個(gè)人隱私可能被泄露或跟蹤。比如某個(gè)人穿戴的內衣上帶有初始化了尺寸、顏色、種類(lèi)等信息的標簽,該標簽被讀取時(shí),個(gè)人隱私就被暴露了。