當(dāng)前位置：協(xié)會(huì)首頁 > 新聞動(dòng)態(tài) > 行業(yè)新聞 > RFID安全十大問題與威脅

RFID安全十大問題與威脅

時(shí)間:2015-11-04 10:21:12 來源:深圳市智慧安防行業(yè)協(xié)會(huì) 作者:FreeBuf

　　其它安全設(shè)備一樣，RFID設(shè)備的安全性并不完美。盡管RFID設(shè)備得到了廣泛的應(yīng)用，但其帶來的安全威脅需要我們?cè)谠O(shè)備部署前解決。本文將主要介紹幾個(gè)RFID相關(guān)的安全問題。
　　
　

　　
　　1.RFID偽造
　　
　　根據(jù)計(jì)算能力，RFID可以分為三類：
　　
　　1.普通標(biāo)簽(tag)
　　
　　2.使用對(duì)稱密鑰的標(biāo)簽
　　
　　3.使用非對(duì)稱密鑰的標(biāo)簽
　　
　　其中，普通標(biāo)簽不做任何加密操作，很容易進(jìn)行偽造。但普通標(biāo)簽卻廣泛應(yīng)用在物流管理和旅游業(yè)中，攻擊者可以輕易將信息寫入一張空白的RFID標(biāo)簽中或者修改一張現(xiàn)有的標(biāo)簽，以獲取使用RFID標(biāo)簽進(jìn)行認(rèn)證系統(tǒng)對(duì)應(yīng)的訪問權(quán)限。對(duì)于普通標(biāo)簽攻擊者可以進(jìn)行如下三件事：
　　
　　1.修改現(xiàn)有標(biāo)簽中的數(shù)據(jù)，使一張無效標(biāo)簽變?yōu)橛行У模蛘呦喾?，將有效的?biāo)簽變?yōu)闊o效。例如，可以通過修改商品的標(biāo)簽內(nèi)容，然后以一個(gè)較低的價(jià)格購買一件昂貴的商品。
　　
　　2.同樣還是修改標(biāo)簽，不過是將一個(gè)標(biāo)簽內(nèi)容修改為另一個(gè)標(biāo)簽的內(nèi)容，就是貍貓換太子。
　　
　　3.根據(jù)獲取到的別人標(biāo)簽內(nèi)容來制造一張自己的標(biāo)簽。
　　
　　所以，當(dāng)想在一些處理如身份證這種包含敏感信息的系統(tǒng)中使用RFID標(biāo)簽時(shí)，一定要使用加密技術(shù)。但如果不得不使用普通標(biāo)簽的話，一定要確保配有相應(yīng)的安全規(guī)范、監(jiān)控和審計(jì)程序，以檢測(cè)RFID系統(tǒng)中任何的異常行為。
　　
　　2.RFID嗅探
　　
　　RFID嗅探是RFID系統(tǒng)中一個(gè)主要的問題。RFID閱讀器總是向標(biāo)簽發(fā)送請(qǐng)求認(rèn)證的信息，當(dāng)閱讀器收到標(biāo)簽發(fā)送的認(rèn)證信息時(shí)，它會(huì)利用后端數(shù)據(jù)庫驗(yàn)證標(biāo)簽認(rèn)證信息的合法性。但不幸的是，大部分的RFID標(biāo)簽并不認(rèn)證RFID閱讀器的合法性。那么攻擊者可以使用自己的閱讀器去套取標(biāo)簽的內(nèi)容。
　　
　　3.跟蹤
　　
　　通過讀取標(biāo)簽上的內(nèi)容，攻擊者可以跟蹤一個(gè)對(duì)象或人的運(yùn)動(dòng)軌跡。當(dāng)一個(gè)標(biāo)簽進(jìn)入到了閱讀器可讀取的范圍內(nèi)時(shí)，閱讀器可以識(shí)別標(biāo)簽并記錄下標(biāo)簽當(dāng)前的位置。無論是否對(duì)標(biāo)簽和閱讀器之間的通信進(jìn)行了加密，都無法逃避標(biāo)簽被追蹤的事實(shí)。攻擊者可以使用移動(dòng)機(jī)器人來跟蹤標(biāo)簽的位置。
　　
　　4.拒絕服務(wù)
　　
　　當(dāng)閱讀器收到來自標(biāo)簽的認(rèn)證信息時(shí)，它會(huì)將認(rèn)證信息與后端數(shù)據(jù)庫內(nèi)的信息進(jìn)行比對(duì)。閱讀器和后端數(shù)據(jù)庫都很容易遭受拒絕服務(wù)攻擊。當(dāng)出現(xiàn)拒絕服務(wù)攻擊時(shí)，閱讀器將無法完成對(duì)標(biāo)簽的認(rèn)證，并導(dǎo)致其他相應(yīng)服務(wù)的中斷。所以，必須確保閱讀器和后端數(shù)據(jù)庫之間有相應(yīng)防范拒絕服務(wù)攻擊的機(jī)制。
　　
　　5.欺騙
　　
　　在欺騙攻擊中，攻擊中常常將自己偽造成為一個(gè)合法的用戶。有時(shí)，攻擊者會(huì)把自己偽造成后端數(shù)據(jù)庫的管理員，如果偽造成功，那么攻擊者就可以隨心所欲的做任何事，例如：相應(yīng)無效的請(qǐng)求，更改RFID標(biāo)識(shí)，拒絕正常的服務(wù)或者干脆直接在系統(tǒng)中植入惡意代碼。
　　
　　6.否認(rèn)
　　
　　所謂否認(rèn)就是當(dāng)一個(gè)用戶在進(jìn)行了某個(gè)操作后拒絕承認(rèn)他曾做過，當(dāng)否認(rèn)發(fā)送時(shí)，系統(tǒng)沒有辦法能夠驗(yàn)證該用戶究竟有沒有進(jìn)行這項(xiàng)操作。在使用RFID中，存在兩種可能的否認(rèn)：一種是發(fā)送者或接收者可能否認(rèn)進(jìn)行過一項(xiàng)操作，如發(fā)出一個(gè)RFID請(qǐng)求，此時(shí)我們沒任何證據(jù)可以證明發(fā)送者或接收者是否發(fā)出過RFID請(qǐng)求;另一種是數(shù)據(jù)庫的擁有者可能否認(rèn)他們給予過某件物品或人任何標(biāo)簽。
　　
　　7.插入攻擊
　　
　　在這種攻擊中，攻擊者試圖向RFID系統(tǒng)發(fā)送一段系統(tǒng)命令而不是原本正常的數(shù)據(jù)內(nèi)容。一個(gè)最簡單的例子就是，攻擊者將攻擊命令插入到標(biāo)簽存儲(chǔ)的正常數(shù)據(jù)中。
　　
　　8.重傳攻擊
　　
　　攻擊者通過截獲標(biāo)簽與閱讀器之間的通信，記錄下標(biāo)簽對(duì)閱讀器認(rèn)證請(qǐng)求的回復(fù)信息，并在之后將這個(gè)信息重傳給閱讀器。重傳攻擊的一個(gè)例子就是，攻擊者記錄下標(biāo)簽和閱讀器之間用于認(rèn)證的信息。
　　
　　9.物理攻擊
　　
　　物理攻擊發(fā)送在攻擊者能夠在物理上接觸到標(biāo)簽并篡改標(biāo)簽的信息。物理攻擊有多種方式，例如：使用微探針讀取修改標(biāo)簽內(nèi)容，使用X射線或者其他射線去破壞標(biāo)簽內(nèi)容，使用電磁干擾破壞標(biāo)簽與閱讀器之間的通信。
　　
　　另外，任何人都可以輕易的使用小刀或其他工具人為的破壞標(biāo)簽，這樣閱讀器就無法識(shí)別標(biāo)簽了。
　　
　　10.病毒
　　
　　同其他信息系統(tǒng)一樣，RFID系統(tǒng)很容易遭受病毒的攻擊。多數(shù)情況下，病毒的目標(biāo)都是后端數(shù)據(jù)庫。 RFID病毒可以破壞或泄露后端數(shù)據(jù)庫中存儲(chǔ)的標(biāo)簽內(nèi)容，拒絕或干擾閱讀器與后端數(shù)據(jù)庫之間的通信。為了保護(hù)后端數(shù)據(jù)庫，一定要及時(shí)修補(bǔ)數(shù)據(jù)庫漏洞和其他風(fēng)險(xiǎn)。
　　
　　雖然RFID系統(tǒng)常常成為被攻擊的目標(biāo)，但是由于RFID系統(tǒng)低廉的成本，使得其在很多領(lǐng)域還是得到了廣泛的應(yīng)用。所以當(dāng)準(zhǔn)備部署RFID系統(tǒng)時(shí)，一定要更多的關(guān)注其安全問題，特別是本文描述的前四種攻擊：偽造、嗅探、跟蹤和拒絕服務(wù)攻擊。

上一篇：互聯(lián)網(wǎng)＋”熱度未消帶給我們哪些思考？
下一篇：日本專家眼中的智慧城市可持續(xù)發(fā)展

企業(yè)資訊

: 共繪藍(lán)圖，2024熵基科技全球合作伙伴大會(huì)圓滿成功; 近日，以“共繪藍(lán)圖”為主題的2024熵基科技全球合作伙伴大會(huì)在東莞成功落下帷幕。作為熵基科技規(guī)模最大、面向全球全品類核心伙伴的頂

: 一文讀懂熵基國密門禁; 在數(shù)字化轉(zhuǎn)型的洪流中，信息安全不僅是企業(yè)穩(wěn)健運(yùn)營的基石，更是公共部門安全無虞的保障。隨著數(shù)據(jù)價(jià)值的日益凸顯，其保密性和安全性成為

: 門禁“隱形冠軍”？是時(shí)候重新認(rèn)識(shí)熵基科技了; 在智慧出入口與身份識(shí)別、辦公等領(lǐng)域深耕多年的熵基科技，早已不局限于傳統(tǒng)的門禁與考勤系統(tǒng)，而是悄然邁入了智能物聯(lián)（AIoT）的廣闊

項(xiàng)目活動(dòng)

會(huì)員專區(qū)

熱門專題

熵基科技出席數(shù)字經(jīng)濟(jì)及智慧城市空間未來應(yīng)用創(chuàng)新峰會(huì)
2021年智能安防機(jī)器人市場或?qū)⑦M(jìn)入井噴期
2021年的智慧城市建設(shè)該怎么發(fā)展？聽聽行業(yè)大咖的觀點(diǎn)
達(dá)實(shí)信息：顛覆傳統(tǒng)經(jīng)營模式構(gòu)建互聯(lián)網(wǎng)+門禁新時(shí)代