条形码是退潮时的裸泳者,毫无安全可言。而RFID技术由于使用电磁波进行通信、并且可存储大量数据,对于黑客而言具有相关的价值,所以其安全隐患较多,下面列举几种常见的RFID安全隐患问题。
安全隐患
窃听。由于RFID标签和RFID读写器之间采用电磁波进行数据传输,所以攻击者有可能通过窃听电磁波信号而“偷听”到传输内容。中低频RFID标签由于通讯距离较长,容易被直接窃听;廉价的超高频RFID标签一般通讯距离较短,直接窃听不容易实现,攻击者可以通过“中间人”—非法RFID读写器进行攻击及消息窃听。
中间人攻击。无源RFID系统中的RFID标签会在收到RFID读写器的信号后主动响应,发送“接头”信号。因此,攻击者先伪装成一个阅读器靠近标签,在标签携带者毫不知觉的情况下读取标签信息;然后将从标签中偷到的信息—“接头”暗号发送给合法的RFID阅读器,进而达到攻击者的各种目的。
欺骗、重放、克隆。欺骗是指攻击者将获取的标签数据发送给阅读器,以此来骗过RFID阅读器。重放是将标签的接头暗号记录下来,然后在RFID阅读器询问暗号时播放,以欺骗RFID阅读器。克隆主要是指将一个RFID标签中的内容复制到另外一个非法标签中,以形成原来标签的副本。
比如攻击者先记录一个普通牙刷的信息(EPC码),然后去购买一个电动牙刷。在扫描付款时,通过重放或者克隆的方式,欺骗RFID阅读器,让它以为购买的是普通牙刷,进而实现低价购买高价物品的目的。
物理破解。由于RFID系统通常包含大量的系统内合法标签,攻击者可以轻松获取其中的安全机制和所有隐私信息,尤其是那些没有防破解机制的廉价标签。
篡改信息。数据篡改是一种非授权的修改或者擦除RFID标签上的数据。攻击者可以让物品所携带的RFID标签传达他们想要的信息。比如电动牙刷的电子标签是500元/只,通过数据篡改成50元/只,黑客在拿着篡改数据后的牙刷去结算时,只需要付50元,对于无人值守的自助RFID结算系统而言,很难发现破绽。
RFID病毒。RFID标签本身不能检测其存储的数据是否是病毒或者蠕虫,因此攻击者可以将病毒代码写入到RFID标签中,然后让合法的RFID读写器读取其中的数据。这样,病毒就有可能被注入到系统中,迅速传播并摧毁整个系统及重要资料。
防患措施
灭活。灭活标签机制的原理就是杀死RFID标签,使其丧失通讯功能,从而标签不会响应攻击者(非法RFID读写器)的扫描。例如,在超市购买完物品后,可以杀死购买商品上的RFID标签,以保护消费者的隐私。但是它有个缺点就是无法让消费者继续享受到以RFID标签为基础的物联网(食品供应链溯源系统)服务。
法拉第网罩。将由金属网或者金属箔形成的网罩罩在标签上,可以屏蔽电磁波,进而达到屏蔽RFID读写器与RFID标签进行通信的效果。比如银行卡如果是用RFID标签制作的,那么可以将其日常存放在法拉第网罩中,防止被黑客非法读取信息。
主动干扰。用户可以主动发射电磁波信号来阻止或者破坏非法RFID阅读器的读取。它的缺点就是会产生非法干扰,使得附近其他RFID系统无法正常工作,甚至影响到其他无线系统的正常运转。
阻止标签。这种方法主要是通过特殊的标签碰撞算法来阻止非授权的RFID阅读器读取被保护的RFID标签信息。
结语
RFID是一个发明老,应用新的系统,RFID之所以没有大规模使用,其中一个重要的因素就是其安全性能太低!如何提高RFID系统安全性,仍是一个长期的挑战!
系统集成展:http://www.nepconchina.com
来源:物联网世界
安全隐患
窃听。由于RFID标签和RFID读写器之间采用电磁波进行数据传输,所以攻击者有可能通过窃听电磁波信号而“偷听”到传输内容。中低频RFID标签由于通讯距离较长,容易被直接窃听;廉价的超高频RFID标签一般通讯距离较短,直接窃听不容易实现,攻击者可以通过“中间人”—非法RFID读写器进行攻击及消息窃听。
中间人攻击。无源RFID系统中的RFID标签会在收到RFID读写器的信号后主动响应,发送“接头”信号。因此,攻击者先伪装成一个阅读器靠近标签,在标签携带者毫不知觉的情况下读取标签信息;然后将从标签中偷到的信息—“接头”暗号发送给合法的RFID阅读器,进而达到攻击者的各种目的。
欺骗、重放、克隆。欺骗是指攻击者将获取的标签数据发送给阅读器,以此来骗过RFID阅读器。重放是将标签的接头暗号记录下来,然后在RFID阅读器询问暗号时播放,以欺骗RFID阅读器。克隆主要是指将一个RFID标签中的内容复制到另外一个非法标签中,以形成原来标签的副本。
比如攻击者先记录一个普通牙刷的信息(EPC码),然后去购买一个电动牙刷。在扫描付款时,通过重放或者克隆的方式,欺骗RFID阅读器,让它以为购买的是普通牙刷,进而实现低价购买高价物品的目的。
物理破解。由于RFID系统通常包含大量的系统内合法标签,攻击者可以轻松获取其中的安全机制和所有隐私信息,尤其是那些没有防破解机制的廉价标签。
篡改信息。数据篡改是一种非授权的修改或者擦除RFID标签上的数据。攻击者可以让物品所携带的RFID标签传达他们想要的信息。比如电动牙刷的电子标签是500元/只,通过数据篡改成50元/只,黑客在拿着篡改数据后的牙刷去结算时,只需要付50元,对于无人值守的自助RFID结算系统而言,很难发现破绽。
RFID病毒。RFID标签本身不能检测其存储的数据是否是病毒或者蠕虫,因此攻击者可以将病毒代码写入到RFID标签中,然后让合法的RFID读写器读取其中的数据。这样,病毒就有可能被注入到系统中,迅速传播并摧毁整个系统及重要资料。
防患措施
灭活。灭活标签机制的原理就是杀死RFID标签,使其丧失通讯功能,从而标签不会响应攻击者(非法RFID读写器)的扫描。例如,在超市购买完物品后,可以杀死购买商品上的RFID标签,以保护消费者的隐私。但是它有个缺点就是无法让消费者继续享受到以RFID标签为基础的物联网(食品供应链溯源系统)服务。
法拉第网罩。将由金属网或者金属箔形成的网罩罩在标签上,可以屏蔽电磁波,进而达到屏蔽RFID读写器与RFID标签进行通信的效果。比如银行卡如果是用RFID标签制作的,那么可以将其日常存放在法拉第网罩中,防止被黑客非法读取信息。
主动干扰。用户可以主动发射电磁波信号来阻止或者破坏非法RFID阅读器的读取。它的缺点就是会产生非法干扰,使得附近其他RFID系统无法正常工作,甚至影响到其他无线系统的正常运转。
阻止标签。这种方法主要是通过特殊的标签碰撞算法来阻止非授权的RFID阅读器读取被保护的RFID标签信息。
结语
RFID是一个发明老,应用新的系统,RFID之所以没有大规模使用,其中一个重要的因素就是其安全性能太低!如何提高RFID系统安全性,仍是一个长期的挑战!
系统集成展:http://www.nepconchina.com
来源:物联网世界