RFID安全與隱私產(chǎn)生的原因(2022新)

RFIDRFID安全與隱私產(chǎn)生的原因Contents

目

錄案例分析RFID系統(tǒng)的安全隱私威脅涉及的對(duì)象RFID系統(tǒng)的安全威脅010203RFID系統(tǒng)的隱私威脅0304案例分析MIFARE是芯片類的一大家族，被廣泛應(yīng)用于城市的非接觸公交卡和門(mén)禁卡，據(jù)估計(jì)，當(dāng)時(shí)全球至少有10億張含MIFARE芯片的卡片處于使用當(dāng)中。MIFARE芯片的易受攻擊性可被黑客利用來(lái)克隆采用該芯片的非接觸卡。2011年，德國(guó)魯爾大學(xué)的研究人員采用旁信道攻擊，花費(fèi)了七個(gè)小時(shí)，破解了MifareDESFireMF3ICD40使用的安全算法，獲得了智能卡使用的112位加密，破解密鑰所需設(shè)備僅僅只要3000美元。該破解加密方法的出現(xiàn)使得對(duì)RFID芯片的完美復(fù)制成為可能。案例分析車(chē)匙加密技術(shù)漏洞過(guò)百萬(wàn)日韓車(chē)輛有被盜危機(jī)。研究人員指黑客只需利用一款廉價(jià)的ProxmarkRFID信號(hào)收發(fā)設(shè)備，靠近任何內(nèi)置TIDST80的車(chē)匙，就可以讀取內(nèi)里的密碼數(shù)據(jù)。黑客帶著存儲(chǔ)車(chē)匙數(shù)據(jù)的Proxmark設(shè)備，就能夠模擬車(chē)主的車(chē)匙，將防盜器解除和發(fā)動(dòng)引擎將車(chē)駛走。案例分析國(guó)汽車(chē)媒體11月28日消息，汽車(chē)盜竊團(tuán)伙利用無(wú)鑰匙進(jìn)入系統(tǒng)的漏洞，不到60秒偷走汽車(chē)。不要以為那是好萊塢的電影片段，這是真實(shí)發(fā)生在英國(guó)索利赫爾城的事件。案例分析案例分析密碼學(xué)模型DBMSRFID系統(tǒng)的安全隱私威脅涉及的對(duì)象RFID系統(tǒng)的安全隱患系統(tǒng)存在的安全問(wèn)題分為三類：標(biāo)簽級(jí)安全、軟件級(jí)安全和網(wǎng)絡(luò)級(jí)安全。1.軟件級(jí)安全數(shù)據(jù)進(jìn)入后端系統(tǒng)之后，則屬于傳統(tǒng)應(yīng)用軟件安全的范疇。在這一領(lǐng)域具有比較強(qiáng)的安全基礎(chǔ)，有很多手段來(lái)保證這一范疇的安全。2.網(wǎng)絡(luò)級(jí)安全RFID系統(tǒng)中標(biāo)簽數(shù)據(jù)進(jìn)入系統(tǒng)軟件，然后再經(jīng)由現(xiàn)有的Internet網(wǎng)絡(luò)傳輸。在的Internet網(wǎng)絡(luò)也存在很多安全隱患，這是Internet安全的問(wèn)題。3.標(biāo)簽級(jí)安全（RFID系統(tǒng)特有的安全問(wèn)題）下面我們主要講一講這個(gè)方面的問(wèn)題。RFID系統(tǒng)的安全隱私威脅涉及的對(duì)象標(biāo)簽級(jí)安全主要集中在以下三個(gè)方面：

（1）對(duì)電子標(biāo)簽信息的盜讀和篡改：RFID標(biāo)簽和條碼不同，體積小，容量小，通過(guò)天線就可以與外界交互信息，因此射頻識(shí)別系統(tǒng)很容易受到攻擊。RFID標(biāo)簽擁有惟一的ID，一旦攻擊者獲得ID，也就獲得了目標(biāo)對(duì)象的數(shù)據(jù)信息。未被保護(hù)的標(biāo)簽易遭受來(lái)自未授權(quán)方的監(jiān)聽(tīng)，未授權(quán)的讀寫(xiě)器在沒(méi)有訪問(wèn)控制協(xié)議下可隨時(shí)訪問(wèn)其附近的標(biāo)簽從而獲得機(jī)密數(shù)據(jù)。在篡改電子標(biāo)簽內(nèi)數(shù)據(jù)方面，存在非法者改寫(xiě)或是重置標(biāo)簽內(nèi)容的威脅。破壞者也可以通過(guò)破壞一組標(biāo)簽的有效工作性能，從而可能使整個(gè)供應(yīng)鏈陷入癱瘓狀態(tài)，因此存在標(biāo)簽數(shù)據(jù)被篡改的危險(xiǎn)。（2）讀寫(xiě)器受到干擾或其他攻擊：由于RFID的開(kāi)放式環(huán)境，非法用戶通過(guò)發(fā)射干擾信號(hào)來(lái)影響讀寫(xiě)器讀取信號(hào)，或用其他方式釋放攻擊信號(hào)直接攻擊讀寫(xiě)器，使讀寫(xiě)器無(wú)法接收正常的標(biāo)簽數(shù)據(jù)。（3）對(duì)環(huán)境的適應(yīng)性：由于零售業(yè)和物流業(yè)的RFID應(yīng)用環(huán)境比較復(fù)雜，因此需要RFID具有較強(qiáng)的適應(yīng)性，包括能夠在存在非惡意的信號(hào)干擾、金屬干擾、潮濕以及一定程度的遮擋等。RFID系統(tǒng)的安全隱私威脅涉及的對(duì)象隱患之一：標(biāo)簽隱患之二：網(wǎng)絡(luò)隱患之三：數(shù)據(jù)RFID系統(tǒng)的安全隱私威脅涉及的對(duì)象2RFID隱私問(wèn)題位置隱私喜好隱私標(biāo)簽集關(guān)聯(lián)隱私商業(yè)機(jī)密RFID系統(tǒng)的安全隱私威脅涉及的對(duì)象芯片線圈天線小小標(biāo)簽其實(shí)存在著極大隱患。是因?yàn)椋骸駱?biāo)簽很小，因此在技術(shù)上來(lái)說(shuō)，很難給它們提供保護(hù)?！馬FID標(biāo)簽是移動(dòng)的，因此可以接觸到它的人很多，而且大部分是未授權(quán)的用戶?！駱?biāo)簽上的信息并不總是敏感信息?！駱?biāo)簽的用途非常廣，因此在其安全性問(wèn)題上很難做到標(biāo)準(zhǔn)化和量化。標(biāo)簽安全RFID系統(tǒng)的安全隱私威脅涉及的對(duì)象不安全的無(wú)線網(wǎng)絡(luò)為竊聽(tīng)數(shù)據(jù)提供了機(jī)會(huì)?！皣@閱讀器的一切系統(tǒng)都是非常標(biāo)準(zhǔn)的因特網(wǎng)基礎(chǔ)設(shè)施?！边@包括競(jìng)爭(zhēng)對(duì)手或者入侵者把非法閱讀器安裝在網(wǎng)絡(luò)上，然后把掃描來(lái)的數(shù)據(jù)發(fā)給別人；另一個(gè)問(wèn)題是，有人劫持閱讀器來(lái)讀取數(shù)據(jù)?！本W(wǎng)絡(luò)安全RFID系統(tǒng)的安全隱私威脅涉及的對(duì)象RFID的主要好處之一就是增加了供應(yīng)鏈的透明度，但這給數(shù)據(jù)安全帶來(lái)了新的隱患。企業(yè)要確保所有數(shù)據(jù)非常安全，不僅指自己的數(shù)據(jù)安全，還指交易伙伴的相關(guān)數(shù)據(jù)的安全。目前還沒(méi)有決定使用哪些標(biāo)準(zhǔn)來(lái)保護(hù)EPCglobalNetwork上的數(shù)據(jù)。數(shù)據(jù)安全RFID系統(tǒng)的安全威脅首先，RFID標(biāo)簽和后端系統(tǒng)之間的通信是非接觸和無(wú)線的，使它們很易受到竊聽(tīng);其次，標(biāo)簽本身的計(jì)算能力和可編程性，直接受到成本要求的限制。更準(zhǔn)確地說(shuō)，標(biāo)簽越便宜，則其計(jì)算能力越弱，而更難以實(shí)現(xiàn)對(duì)安全威脅的防護(hù)?！鬜FID組件的安全脆弱性◆標(biāo)簽中數(shù)據(jù)的脆弱性◆標(biāo)簽和閱讀器之間的通信脆弱性◆閱讀器中的數(shù)據(jù)的脆弱性◆后端系統(tǒng)的脆弱性RFID系統(tǒng)的安全威脅1、RFID組件的安全脆弱性在RFID系統(tǒng)中，受到非授權(quán)攻擊的數(shù)據(jù)可能保存在標(biāo)簽、讀寫(xiě)器或后端計(jì)算機(jī)中，由于RFID是采用無(wú)線通信的，當(dāng)數(shù)據(jù)在各組件之間傳輸時(shí)，RFID各組件極有可能被非授權(quán)用戶攻擊。2、標(biāo)簽中數(shù)據(jù)的脆弱性通常每個(gè)標(biāo)簽是具有一個(gè)存儲(chǔ)器的微芯片，其中的數(shù)據(jù)受到的威脅類似于計(jì)算機(jī)中保存的數(shù)據(jù)受到的威脅。非授權(quán)地通過(guò)讀寫(xiě)器或者其他手段讀取標(biāo)簽中的數(shù)據(jù)將使其喪失安全性；在可讀寫(xiě)標(biāo)簽的情況下，甚至可能非授權(quán)地改寫(xiě)或者刪除標(biāo)簽中的數(shù)據(jù)。3、標(biāo)簽和讀寫(xiě)器之間的通信脆弱性當(dāng)標(biāo)簽傳輸數(shù)據(jù)給讀寫(xiě)器或讀寫(xiě)器質(zhì)詢標(biāo)簽時(shí)，數(shù)據(jù)通過(guò)無(wú)線電波進(jìn)行傳輸。在這種交換中，數(shù)據(jù)安全是脆弱的。利用這種脆弱性的攻擊手段包括非授權(quán)的讀寫(xiě)器截取數(shù)據(jù)、第三方阻塞或者欺騙數(shù)據(jù)通信、非法標(biāo)簽發(fā)送數(shù)據(jù)。RFID系統(tǒng)的安全威脅4、讀寫(xiě)器中的數(shù)據(jù)的脆弱性當(dāng)數(shù)據(jù)從標(biāo)簽采集到讀寫(xiě)器中之后，在發(fā)送到后端系統(tǒng)之前，讀寫(xiě)器一般要進(jìn)行一些初步處理。在這種處理中，數(shù)據(jù)會(huì)遇到和其他任何計(jì)算機(jī)安全脆弱性相似的問(wèn)題。而且有兩點(diǎn)特別需要注意：一是一些移動(dòng)式讀寫(xiě)器需要特別關(guān)注；二是讀寫(xiě)器多是專有的設(shè)備，很難有公共接口進(jìn)行安全加固。5、后端系統(tǒng)的脆弱性當(dāng)數(shù)據(jù)進(jìn)入后端系統(tǒng)之后，則屬于傳統(tǒng)的網(wǎng)絡(luò)安全、應(yīng)用安全的范疇。在這一領(lǐng)域具有比較強(qiáng)的安全基礎(chǔ)，可用很多手段來(lái)保證這一范疇的安全。值得注意的是，基于應(yīng)用層的安全正在不斷發(fā)展和完善中，而基于RFID的中間件應(yīng)用將大量采用基于XML的技術(shù)。RFID技術(shù)正在不斷發(fā)展，通信安全的工業(yè)標(biāo)準(zhǔn)也正在不斷地?cái)U(kuò)展及加強(qiáng)，如開(kāi)發(fā)及采用高效率的加密功能（cryptographicfunctions）、對(duì)稱加密（symmetricencryption）、信息驗(yàn)證碼（messageauthenticationcodes）和隨機(jī)數(shù)字產(chǎn)生器等，這些技術(shù)都能大大增強(qiáng)RFID的安全性。RFID系統(tǒng)的隱私威脅隱私權(quán)是個(gè)人有其信息不受侵犯的權(quán)利。隨著RFID技術(shù)廣泛應(yīng)用于各個(gè)領(lǐng)域，個(gè)人隱私的保護(hù)問(wèn)題也越來(lái)越受到人們的關(guān)注，人們擔(dān)心在使用RFID的過(guò)程中自己的個(gè)人隱私會(huì)被不法分子或商家利用。在RFID應(yīng)用領(lǐng)域中可能存在兩類隱私侵犯：位置隱私和信息隱私。（1）RFID對(duì)個(gè)人隱私的影響RFID技術(shù)可以唯一標(biāo)識(shí)生活中使用的物品，這使得RFID簽處于隱私狀態(tài)。這是因?yàn)槊看螔呙璧侥橙说奈锲沸畔r(shí)，你只能得知使用過(guò)這個(gè)物品的時(shí)間和地點(diǎn)，但無(wú)法判斷出是誰(shuí)已經(jīng)使用過(guò)這個(gè)物品。但是，RFID也可能處于的隱私狀態(tài)。試想一下，當(dāng)褲子、上衣、鞋、錢(qián)包、手機(jī)上都被貼上標(biāo)簽時(shí)，我們通過(guò)一段時(shí)間的觀察就可以建立起這些私人物品的檔案。于是，只要在某地掃描到這些物品的子集，就可以判斷出物品的主人在這個(gè)地方。RFID系統(tǒng)的隱私威脅①隱私權(quán)不論采用直接的或間接的方式，不論通過(guò)服裝、消費(fèi)物品或其它物件，任何商家或個(gè)人未經(jīng)許可就不能獲取顧客的個(gè)人信息，例如顧客身上的物品信息以及顧客的位置信息，RFID技術(shù)不能用于監(jiān)測(cè)人們的行蹤和活動(dòng)。消費(fèi)者有權(quán)要求將所擁有商品的電子標(biāo)簽置于失效狀態(tài)。（2）對(duì)未來(lái)RFID系統(tǒng)提出如下要求RFID系統(tǒng)的隱私威脅（2）對(duì)未來(lái)RFID系統(tǒng)提出如下要求②知情權(quán)消費(fèi)者有權(quán)了解商品的電子標(biāo)簽和讀取器。美國(guó)的幾個(gè)消費(fèi)者權(quán)益組織，例如消費(fèi)者反超市隱私侵權(quán)組織（CASPIAN）、全美自由聯(lián)盟、電子新領(lǐng)域基金會(huì)、電子隱私信息中心等都呼吁為RFID知情權(quán)立法。在商店購(gòu)物消費(fèi)中，消費(fèi)者有權(quán)知道哪些商品附有電子標(biāo)簽，讀取器的位置、數(shù)據(jù)讀取方式和技術(shù)參數(shù)，企業(yè)還必須披露物品信息被整理和使用的方式，授權(quán)使用顧客個(gè)人信息的商家必須及時(shí)報(bào)告?zhèn)€人信息的使用狀況。RFID系統(tǒng)的隱私威脅