024-83385346 手机:15142580885
你必须知道的RFID安全知识
文章来源:博能科技 发布时间:2018-05-14 访问量:人
关于RFID安全知识。于2014年8月5日发布,此文档提出了与RFID相关的要求以及与RFID有关的对DHS无线安全策略实现指导建议,来辅助国土安全部各部门对RFID系统的信息保障项目的开发跟实现。
RFID技术
RFID是一种可以通过电磁信号跟无线设备(标签)进行远程通信的技术,可以通过电磁信号识别与跟踪他们所依附的对象。RFID系统包括标签、读写器、本地计算机主机、后端应用程序跟数据库,标签上的数据被读写器扫描并且发送到后端服务器,整个过程能够自动同步和远程完成。
RFID是一种可以通过电磁信号跟无线设备(标签)进行远程通信的技术,可以通过电磁信号识别与跟踪他们所依附的对象。RFID系统包括标签、读写器、本地计算机主机、后端应用程序跟数据库,标签上的数据被读写器扫描并且发送到后端服务器,整个过程能够自动同步和远程完成。
被动式的RFID系统
RFID系统中有些标签只存储简单识别码,有些标签则能够存储更多信息,比如生物识别数据、位置、温度跟湿度等,取决于标签的硬件跟附加的外围设备。 例如,一种使用标准企业无线网络并结合位置跟ID信息实时对资产跟人员进行定位标签,能够利用该标签在医院里实施动态跟踪。
RFID标签由微芯片跟天线组成,使用不同电磁频率如低频、高频、超高频、无线网络、红外线和超声波进行通信。一般包括有源跟无源两种类型的RFID标签:
(1)无源的跟半无源的标签本身没有内部能量来源,通常是利用来自外部的(如读写器等)射频设备发射信号能量。
(2)有源跟半有源标签有内部能源,能够自动将射频信号发送给读写器。
RFID系统中存在的安全问题以及建议措施
有源标签周期性地发出射频信号跟读写器进行通信,根据频率跟传输功率大小,信号能够穿透墙壁等物体,有些标签甚至可以在几百米开阔空间和几十米的室内区域中进行通信。
目前,大多数的有源标签不支持身份验证或加密的功能,很容易通过使用兼容读写器窃取传输数据,因此有源标签应该在安全的操作环境中使用。对于采用RFID组织来说,了解有源标签运作机制,评估业务跟操作中的风险和漏洞,做出明智的决策、平衡操作跟安全考虑,是非常重要的。
有源标签
用于双向握手跟数据屏蔽的16位随机数生成器用来锁定一个给定标签和读写器会话,来避免多个标签或者读写器存在时发生冲突;它生成数值也被用作一个对密码进行简单加密的关键值和执行写命令时读写器向标签中写的内容,但它不用于对从标签到读写器的识别数据的加密。
执行禁用标签的kill命令需要一个32的密码。
采用了16位循环冗余校验(CRC)进行错误检测。
访问标签某些部分需要一个32位的密码(如用于“写”操作的密码位),但是此密码不用于标记标签ID数据访问验证。
由次可以进行加密位数很少,所有这些特征被认为安全性很弱。因此部署这类标签时必须考虑如下的安全问题:
EPC标签响应任何兼容的读写器时不会先进行认证;
用于灭活跟访问控制的是短而静态的密码,并且它们只提供了读写器到标签的单向认证,因此可能会被攻击者破解;
EPC标准没有数据加密要求,无论是在标签上或者是在传输中;
EPC密码的加密能力很弱。
读写器向标签发送的用来进行数据屏蔽的关键值在最开始标签向读写器发送过程中能够被拦截。
无源标签
智能卡
标签数据安全
标签上数据很容易受到各种攻击,特别是数据能力较差、没有强大安全功能的标签。例如,通过EPCGen2无源标签跟踪笔记本电脑。能够使用非描述性的和随机的独特数字来代表敏感的识别信息,而不是直接将组织机构代码、员工标签号码、产品序列号等敏感数据存储在标签上面,进而使用更安全的RFID后端系统进行映射识别。使用这样的方式,即使标签数据被未经授权的读写器捕获,标签数据也不会透露任何敏感信息。
射频泄漏
根据射频带跟设备的功率,从标签与读写器发出的射频信号可以在几厘米到几百米的范围内被捕获和解码,需要对此加以防范。
有源标签
有源标签周期性地发出射频信号跟读写器进行通信,根据频率跟传输功率大小,信号能够穿透墙壁等物体,有些标签甚至可以在几百米开阔空间和几十米的室内区域中进行通信。
目前,大多数的有源标签不支持身份验证或加密的功能,很容易通过使用兼容读写器窃取传输数据,因此有源标签应该在安全的操作环境中使用。对于采用RFID组织来说,了解有源标签运作机制,评估业务跟操作中的风险和漏洞,做出明智的决策、平衡操作跟安全考虑,是非常重要的。
有源标签
无源标签
现在,大多数无源标签都符合EPCClass1Gen2标准。这个标准是受美国国防部和沃尔玛委托建立,并且已被各行业和政府机构广泛地采用。然而,EPCClass1Gen2标准只提供了非常有限安全特性:
现在,大多数无源标签都符合EPCClass1Gen2标准。这个标准是受美国国防部和沃尔玛委托建立,并且已被各行业和政府机构广泛地采用。然而,EPCClass1Gen2标准只提供了非常有限安全特性:
用于双向握手跟数据屏蔽的16位随机数生成器用来锁定一个给定标签和读写器会话,来避免多个标签或者读写器存在时发生冲突;它生成数值也被用作一个对密码进行简单加密的关键值和执行写命令时读写器向标签中写的内容,但它不用于对从标签到读写器的识别数据的加密。
执行禁用标签的kill命令需要一个32的密码。
采用了16位循环冗余校验(CRC)进行错误检测。
访问标签某些部分需要一个32位的密码(如用于“写”操作的密码位),但是此密码不用于标记标签ID数据访问验证。
由次可以进行加密位数很少,所有这些特征被认为安全性很弱。因此部署这类标签时必须考虑如下的安全问题:
EPC标签响应任何兼容的读写器时不会先进行认证;
用于灭活跟访问控制的是短而静态的密码,并且它们只提供了读写器到标签的单向认证,因此可能会被攻击者破解;
EPC标准没有数据加密要求,无论是在标签上或者是在传输中;
EPC密码的加密能力很弱。
读写器向标签发送的用来进行数据屏蔽的关键值在最开始标签向读写器发送过程中能够被拦截。
无源标签
智能卡
智能卡通过直接物理接触或者远程的非接触射频接口跟读写器进行通信。智能卡中有一个用于数据存储跟计算的嵌入式集成电路(IC),凭借其内置集成电路与相关的微控制器,可以存储大量的数据并执行复杂的操作。
智能卡包括一些强大安全功能,比如加密和数字签名,并且可以与外部RFID系统智能交互。例如,一些非接触式的卡能够通过高级加密标准(AES)算法加密数据,并且可以根据公钥基础设施(PKI)使用秘密内置的唯一密钥进行相互认证。
智能卡和RFID系统应该提供了一个在通信建立前和周期性通信时进行批次验证的机制,从而减少了智能卡被攻击。数字证书经常用于此,共享密钥也是另一种选择。
智能卡通过直接物理接触或者远程的非接触射频接口跟读写器进行通信。智能卡中有一个用于数据存储跟计算的嵌入式集成电路(IC),凭借其内置集成电路与相关的微控制器,可以存储大量的数据并执行复杂的操作。
智能卡包括一些强大安全功能,比如加密和数字签名,并且可以与外部RFID系统智能交互。例如,一些非接触式的卡能够通过高级加密标准(AES)算法加密数据,并且可以根据公钥基础设施(PKI)使用秘密内置的唯一密钥进行相互认证。
智能卡和RFID系统应该提供了一个在通信建立前和周期性通信时进行批次验证的机制,从而减少了智能卡被攻击。数字证书经常用于此,共享密钥也是另一种选择。
智能卡
近场通信
近场通信是一种无线技术,在两个设备非常靠近时来进行通信,工作频率、功耗、硬件和软件设计决定通信距离的局限性。NFC允许两个设备建立一个通信信道,这符合ISO/IEC18092和21481标准的。例如,两个NFC智能手机用户能够通过相互靠近手机来分享照片。
NFC通信时候不需要进行身份验证或者加密,但是需要两个设备非常接近,这也使它不容易受到如窃听、数据修改、中间人攻击等威胁,但不是无懈可击。除了特定的需要或业务考虑,默认情况下,设备上NFC功能应该被禁用,由用户手动启用,来尽量减少潜在的数据泄漏。
近场通信是一种无线技术,在两个设备非常靠近时来进行通信,工作频率、功耗、硬件和软件设计决定通信距离的局限性。NFC允许两个设备建立一个通信信道,这符合ISO/IEC18092和21481标准的。例如,两个NFC智能手机用户能够通过相互靠近手机来分享照片。
NFC通信时候不需要进行身份验证或者加密,但是需要两个设备非常接近,这也使它不容易受到如窃听、数据修改、中间人攻击等威胁,但不是无懈可击。除了特定的需要或业务考虑,默认情况下,设备上NFC功能应该被禁用,由用户手动启用,来尽量减少潜在的数据泄漏。
后端系统
RFID后端系统由网络组件、中间件跟处理ID信息的业务应用程序组成。这个系统跟其他企业系统(如供应链应用)共享ID信息,因此,后端系统应部署在值得信赖的企业边界内。
在这个边界内部署的是美国国土安全部认可的信息系统跟组件,其中国土安全部通常直接掌握应用程序及其效果的评估。为了确保RFID后端系统的有效保护,强大周界深度防御战略是必要的。防火墙、代理和内容过滤是保障企业边界安全的一些有效工具跟方法。此外,应编写跟实施用于安全修补、更新操作系统和与后端系统相关的应用程序标准操作的规程。
RFID后端系统由网络组件、中间件跟处理ID信息的业务应用程序组成。这个系统跟其他企业系统(如供应链应用)共享ID信息,因此,后端系统应部署在值得信赖的企业边界内。
在这个边界内部署的是美国国土安全部认可的信息系统跟组件,其中国土安全部通常直接掌握应用程序及其效果的评估。为了确保RFID后端系统的有效保护,强大周界深度防御战略是必要的。防火墙、代理和内容过滤是保障企业边界安全的一些有效工具跟方法。此外,应编写跟实施用于安全修补、更新操作系统和与后端系统相关的应用程序标准操作的规程。
标签数据安全
标签上数据很容易受到各种攻击,特别是数据能力较差、没有强大安全功能的标签。例如,通过EPCGen2无源标签跟踪笔记本电脑。能够使用非描述性的和随机的独特数字来代表敏感的识别信息,而不是直接将组织机构代码、员工标签号码、产品序列号等敏感数据存储在标签上面,进而使用更安全的RFID后端系统进行映射识别。使用这样的方式,即使标签数据被未经授权的读写器捕获,标签数据也不会透露任何敏感信息。
射频泄漏
根据射频带跟设备的功率,从标签与读写器发出的射频信号可以在几厘米到几百米的范围内被捕获和解码,需要对此加以防范。
提高了RFID技术安全性的指导意见
物理访问控制
物理访问控制
RFID信号能穿越使用区域的墙壁并在区域外围传播,通用物理访问控制限制人员进出办公大楼、数据中心与包含IT设备的房间,能够防范物理环境威胁。RFID系统所有者通过该控制需措施,限制对手物理接触RFID系统部件。
考虑到某些特殊对手能力,还应该确保与RFID系统相关的数据的恰当使用。这意味着,还要防止人员的无意识非正确操作,即使这些人员并不是对手。隐私规范文档中必须要考虑RFID系统和数据的潜在误用(包括非故意使用),并且根据识别到的新用法和风险持续更新文档。
考虑到某些特殊对手能力,还应该确保与RFID系统相关的数据的恰当使用。这意味着,还要防止人员的无意识非正确操作,即使这些人员并不是对手。隐私规范文档中必须要考虑RFID系统和数据的潜在误用(包括非故意使用),并且根据识别到的新用法和风险持续更新文档。
安全处理标签
在完成预期任务后,RFID标签应该被安全地处理掉。标签能够通过物理或电子方式销毁、停用。
物理销毁包括焚烧、强制撕裂或粉碎,粉碎跟撕裂能够导致集成电路与天线分离(这使得标签的读取变得更加困难,但并非不可能),也会损坏或者消除集成电路。
电子破坏包括使用标签的杀死功能或利用强电磁场向电路输送强电流使标签的电路不可再操作。尽管数据恢复方法实用性差,但是通过电子方式永久禁用标签仍然有可能恢复标签内容(如使用扫描电子显微镜)。因此,如果要保证标签的可读性为零,必须在物理破坏或电子破坏后进行焚化。
在完成预期任务后,RFID标签应该被安全地处理掉。标签能够通过物理或电子方式销毁、停用。
物理销毁包括焚烧、强制撕裂或粉碎,粉碎跟撕裂能够导致集成电路与天线分离(这使得标签的读取变得更加困难,但并非不可能),也会损坏或者消除集成电路。
电子破坏包括使用标签的杀死功能或利用强电磁场向电路输送强电流使标签的电路不可再操作。尽管数据恢复方法实用性差,但是通过电子方式永久禁用标签仍然有可能恢复标签内容(如使用扫描电子显微镜)。因此,如果要保证标签的可读性为零,必须在物理破坏或电子破坏后进行焚化。
职责分离
强制要求将每个安全任务分配给不同人员,单人不能够承担整个任务。要对敏感信息系统进行适当的内部的控制,就必须使用这种方式来进行分离。它还能够确保没有人能够单独完全控制系统的安全机制。
强制要求将每个安全任务分配给不同人员,单人不能够承担整个任务。要对敏感信息系统进行适当的内部的控制,就必须使用这种方式来进行分离。它还能够确保没有人能够单独完全控制系统的安全机制。
配置管理
通过配置管理控制对RFID系统更改,来确保更改跟组织的任务一致。配置管理通常使技术支持人员可以快速识别操作问题的根源,并且允许安全人员和审计人员发现不当行为和其他违反策略行为。
通过配置管理控制对RFID系统更改,来确保更改跟组织的任务一致。配置管理通常使技术支持人员可以快速识别操作问题的根源,并且允许安全人员和审计人员发现不当行为和其他违反策略行为。
安全应急响应
安全控制旨在保护组织免受安全威胁,但是不管这些控制有多有效,有些安全事件是不可避免的。在发生此类事件之前,组织需要有效的响应能力。
安全控制旨在保护组织免受安全威胁,但是不管这些控制有多有效,有些安全事件是不可避免的。在发生此类事件之前,组织需要有效的响应能力。
总结
RFID技术是无线网络通信的一个重要的组成部分,RFID系统的安全也关系着多个重要部门资产的安全,因此需要使用部门加以重视。
RFID技术是无线网络通信的一个重要的组成部分,RFID系统的安全也关系着多个重要部门资产的安全,因此需要使用部门加以重视。
