物聯(lián)傳媒 旗下網(wǎng)站
登錄 注冊(cè)

RFIO安全與隱私威脅

作者:王鑫 李春茂 唐停
來源:RFID世界網(wǎng)
日期:2008-07-21 09:58:43
摘要:RFID是一種利用射頻信號(hào)自動(dòng)識(shí)別目標(biāo)對(duì)象并獲取相關(guān)信息的技術(shù)。隨著標(biāo)簽制造成本的下降,RFID技術(shù)大規(guī)模應(yīng)用已成定局,但人們對(duì)RFID普及應(yīng)用所遭受的安全與隱私威脅還不夠重視,甚至認(rèn)為資源嚴(yán)重受限的標(biāo)簽會(huì)免于病毒攻擊。該文分析了RFID技術(shù)應(yīng)用中的一般安全與隱私威脅及其系統(tǒng)的安全缺陷,著重討論基于RFID的入侵、病毒原理和移動(dòng)RFID的隱私威脅。

  射頻識(shí)別(Radi0Ferquency ldent訊ac一itno-RFID)是一種利用射頻信號(hào)自動(dòng)識(shí)別目標(biāo)對(duì)象并獲取相關(guān)信息的技術(shù),又稱電子標(biāo)簽(E一Tag),已經(jīng)有10多年應(yīng)用歷史,目前可取代傳統(tǒng)的條形碼技術(shù)。RFID無線識(shí)別能力將使工業(yè)、商業(yè)和醫(yī)療業(yè)發(fā)生革命性變化。標(biāo)簽(Tag)信息可在多個(gè)對(duì)象間同時(shí)傳輸,不受物理障礙、距離限制,符合Mark weiser的“普適計(jì)算”理念川,標(biāo)簽把人類與計(jì)算機(jī)體系的交互轉(zhuǎn)變?yōu)橄乱庾R(shí)的、自然的事情。

  預(yù)言零售商和制造商將廣泛采用RFID技術(shù),是基于RFID的自動(dòng)檢測(cè)系統(tǒng)可用于超市、加油站和高速公路的現(xiàn)金結(jié)算;使用家畜和魚類標(biāo)簽,用于食品質(zhì)量控制和動(dòng)物傳染病追蹤;該技術(shù)還可用于管理供應(yīng)鏈、門禁系統(tǒng)等。

  安全問題是無線網(wǎng)絡(luò)發(fā)展的最大阻力之一,RFID亦不例外。在機(jī)場(chǎng),感染病毒的安檢系統(tǒng)會(huì)讓恐怖和走私分子輕易得逞,偽造的標(biāo)簽將擾亂正常的標(biāo)價(jià)系統(tǒng)。本文討論該技術(shù)應(yīng)用中可能遇到的一些安全與隱私威脅和RFID的安全漏洞。

1 一般的安全與隱私威脅

  RFID是普適計(jì)算技術(shù)的精髓,但普適計(jì)算是一種烏托邦式的理想主義。標(biāo)簽會(huì)自動(dòng)收集個(gè)體的行為和位置信息,這些數(shù)據(jù)可能被黑客、零售商甚至政府濫用。

1.1 RFID安全威脅

  (1)嗅探。任何對(duì)應(yīng)的閱讀設(shè)備都可能讀取標(biāo)簽信息,閱讀行為無需標(biāo)簽負(fù)荷知曉,并且可以遠(yuǎn)距離發(fā)生。

  (2) 跟蹤。閱讀器在特定地點(diǎn)可記錄獨(dú)特的可視標(biāo)簽識(shí)別器,然后與個(gè)人身份相聯(lián)系。

  (3 )應(yīng)答攻擊。攻擊者使用應(yīng)答設(shè)備攔截、轉(zhuǎn)發(fā)RRD查詢[2]。

  (4) 拒 絕 服務(wù)。Denialfoservice(DoS)阻止RFID系統(tǒng)正常工作,如信令擁塞會(huì)阻止射頻波與標(biāo)簽之間的通信。

1.2 RFID隱私威脅

1.2.1 RRD的隱私威脅

  RFID應(yīng)用 產(chǎn)生了獨(dú)特的隱私問題,射頻波能透過建筑物或金屬傳遞,使標(biāo)簽和閱讀器可以嵌人到任何物體之中。大多數(shù)用戶的隱私威脅都是因?yàn)闃?biāo)簽的獨(dú)特性而暴露個(gè)人身份[2j。

  (1) 定位威脅。在具體定位時(shí),地址轉(zhuǎn)化閱讀器會(huì)產(chǎn)生2種隱私威脅:首先,攜帶電子標(biāo)簽的用戶可能被監(jiān)視而暴露所在位置;其次,帶有標(biāo)簽的物體位置— 不管攜帶者是誰,都容易暴露。

  (2 )優(yōu)選權(quán)威脅。商品的標(biāo)簽標(biāo)明制造商、產(chǎn)品類型和特征,在顧客購(gòu)買商品時(shí)會(huì)暴露顧客的個(gè)人喜好。

  (3 )布局威脅。不管用戶的身份是否與標(biāo)簽集關(guān)聯(lián),每個(gè)人周圍都形成特定的標(biāo)簽格局,廣告商可以利用這種布局跟蹤顧客。

  (4) 泄密。由于RFID系統(tǒng)讀取速度快,可以迅速對(duì)供應(yīng)鏈中所有商品進(jìn)行掃描并跟蹤變化等,而被用來竊取商業(yè)機(jī)密。

  除此之外 ,還有其它很多隱私威脅。

1.2.2 RFID隱私威脅的解決方案

下面 列 舉 幾種解決隱私問題的方法。

  (1) 自毀與休眠。商品被購(gòu)買以后,標(biāo)簽從閱讀器那里接收到“kiU”命令后永久失效。這不是最好的隱私保護(hù)工具,比如在圖書館或租賃店,標(biāo)簽在使用周期內(nèi)必須有效而不能一次性“kill”;使用自毀標(biāo)簽,顧客又無法參與商品的召回和折扣等服務(wù)。

  休眠標(biāo)簽與自毀標(biāo)簽相似,但是休眠標(biāo)簽可以通過“wake up”激活后再次使用。間題在于什么樣的閱讀器可以激活標(biāo)簽,使得標(biāo)簽的管理十分困難。

  (2) 簽名。每個(gè)標(biāo)簽包含數(shù)個(gè)簽名,并輪流用這些簽名作為自己的標(biāo)識(shí)符,對(duì)每次閱讀器查詢釋放不同簽名。經(jīng)過授權(quán)的閱讀器由于之前共享全部簽名,可以辯明標(biāo)簽,而未授權(quán)的閱讀器不能分辨簽名與標(biāo)簽之間的對(duì)應(yīng)關(guān)系。

  (3) 加密。為標(biāo)簽標(biāo)識(shí)符加密是解決隱私問題的一種方法,特別是被動(dòng)式標(biāo)簽沒有能力將標(biāo)簽上的數(shù)據(jù)傳送給閱讀器,加密應(yīng)該成為最起碼的要求。但是加密的標(biāo)識(shí)符本身恰恰就是另外一個(gè)標(biāo)識(shí)符,另外引人密鑰管理后的成本問題使加密難以應(yīng)用于低成本的標(biāo)簽中。

  (4)代理 。除使用公共閱讀器強(qiáng)化隱私保護(hù)外,用戶還可以用公共移動(dòng)設(shè)備等作為其自身隱私保護(hù)強(qiáng)化設(shè)備。

  (5) 模塊化。由A.Juels、Rivest和5盯dlo提出,不需要修改標(biāo)簽,而是在標(biāo)簽中加入一個(gè)稱為隱私比特的可變比特,“0”把標(biāo)簽標(biāo)識(shí)為公有標(biāo)簽;“1”把標(biāo)簽標(biāo)識(shí)為隱私標(biāo)簽,用來防止對(duì)隱私區(qū)中標(biāo)簽的非授權(quán)掃描。

  (6) 立法。由美國(guó)的一個(gè)公民組織CASIPAN提出。另外還可使用法拉第網(wǎng)罩,用主動(dòng)干擾等方法保護(hù)標(biāo)簽的安全和隱私。

2 RFID系統(tǒng)的安全缺陷

  RFID入侵還沒有“正式發(fā)生”,人們習(xí)慣認(rèn)為能量受限的標(biāo)簽可使其裝置免于這種攻擊,而對(duì)RFID技術(shù)成功實(shí)現(xiàn)的渴望抑制了任何對(duì)此觀念的憂慮,但這只是一個(gè)如意算盤,RFID系統(tǒng)的特點(diǎn)使其更容易受到惡意軟件的攻擊。

  (1) 資源代碼多。標(biāo)簽?zāi)芰渴芟?,與生俱來復(fù)雜度不可能太高,但后臺(tái)中間件系統(tǒng)可能包含大量源代碼。若代碼的平均錯(cuò)誤率在0。5%一1.5%之間,中間件就很可能存在大量人侵漏洞。雖然有些中間件系統(tǒng)源代碼不多,卻缺乏有效的檢測(cè)機(jī)制。

  (2) 通用的協(xié)議與設(shè)施。在當(dāng)前因特網(wǎng)體系上開發(fā)可升級(jí)的、成本合理的中間件系統(tǒng),但利用因特網(wǎng)協(xié)議使中間件系統(tǒng)繼承了額外的包袱,如脆弱的安全性。

  (3 )后臺(tái)數(shù)據(jù)庫(kù)。FRDI需要自動(dòng)數(shù)據(jù)收集。為滿足更大的應(yīng)用需求,必須能儲(chǔ)存并查詢收集到的標(biāo)簽信息,數(shù)據(jù)庫(kù)成為絕大部分RFID系統(tǒng)最重要的組成部分,可惜數(shù)據(jù)庫(kù)有很多安全漏洞,并且不同數(shù)據(jù)庫(kù)的安全漏洞也不盡相同。

  (4) 數(shù)據(jù)價(jià)值高。RFID信息總是帶有經(jīng)濟(jì)或隱私特征,甚至對(duì)國(guó)家安全至關(guān)重要(如數(shù)字護(hù)照中的數(shù)據(jù))。與一般的計(jì)算機(jī)攻擊相比,攻擊中間件系統(tǒng)會(huì)產(chǎn)生更大損失,因?yàn)樗四芷茐暮笈_(tái)IT系統(tǒng),還可能破壞帶標(biāo)簽的真實(shí)世界中的物體。

  (5) 安全意識(shí)不夠。當(dāng)無人意識(shí)到惡意軟件的危害時(shí),RFID系統(tǒng)更加脆弱,這也使其成為黑客樂于攻擊的目標(biāo),特別是離線系統(tǒng),中間件系統(tǒng)開

發(fā)商必須要考慮到系統(tǒng)安全問題。

3 RFID入侵

  標(biāo)簽可能會(huì)遇到以下幾種攻擊。

3.1 緩沖器溢出

  緩沖器溢出是最常見的一種軟件攻擊,每年都會(huì)造成數(shù)億美元損失。在網(wǎng)絡(luò)攻擊中緩沖器溢出仍然扮演著重要角色,如Morris,Code Red和SQL Slammer蠕蟲。

  緩沖器溢出通常由C或C++等“錯(cuò)誤分配內(nèi)存”語(yǔ)言不合理使用造成。未經(jīng)綜合檢測(cè)的函數(shù)(strcpy,strlen,sprintf),函數(shù)的空結(jié)尾(strncpy, snprintf,strncat)或用戶添加錯(cuò)誤的函數(shù)指針都使
緩沖器溢出。

  緩沖器溢出始于人侵者直接(如用戶輸人)或間接(通過環(huán)境變量)的輸人數(shù)據(jù),該輸入數(shù)據(jù)大于內(nèi)存中分配給緩沖器的長(zhǎng)度,使之溢出。程序控制數(shù)據(jù)在內(nèi)存中的位置通常與數(shù)據(jù)緩沖器相鄰,緩沖器溢出使程序隨意執(zhí)行代碼。RFID 標(biāo) 簽緩沖器溢出危及中間件后臺(tái)系統(tǒng)安全。標(biāo)簽數(shù)據(jù)一般少于1024bit,但150一15693中“write muhiple blocks”命令允許標(biāo)簽重復(fù)發(fā)送同一數(shù)據(jù)模塊,最終填滿應(yīng)用層緩存。

3.2 代碼植入

  入侵者使用VBScript、Java或JavacScript等標(biāo)識(shí)語(yǔ)言植人惡意代碼,HTML植入和Cross --site scripting(xss)都是如此。人侵時(shí),輸人數(shù)據(jù)常包含以下特殊符號(hào):<>”'%;)(&+-。為進(jìn)行代碼植入入侵,黑客通常先制作惡意URls,欺騙用戶點(diǎn)擊。激活時(shí)這些腳本將執(zhí)行攻擊,其范圍從頁(yè)面獲取到網(wǎng)絡(luò)詐騙,甚至通過網(wǎng)站瀏覽器漏洞攻擊服務(wù)器。

  RFID標(biāo)簽數(shù)據(jù)若帶有可以執(zhí)行代碼植人攻擊腳本語(yǔ)言,可攻擊一些后臺(tái)中間件系統(tǒng)。如果RFID通過網(wǎng)絡(luò)協(xié)議查詢后臺(tái)數(shù)據(jù)庫(kù),中間件客戶端就有機(jī)會(huì)執(zhí)行腳本語(yǔ)言,如果是這樣,中間件就會(huì)與網(wǎng)絡(luò)瀏覽器一樣遭遇代碼植入問題。

3.3 SQL植入

  SQL植入是典型的代碼植人攻擊,它欺騙數(shù)據(jù)庫(kù)運(yùn)行SQL代碼。其步驟如下:首先窮舉指定數(shù)據(jù)庫(kù)的結(jié)構(gòu),然后攻擊者未經(jīng)授權(quán)取回?cái)?shù)據(jù)或修改、刪除文件。一般數(shù)據(jù)庫(kù)會(huì)允許系統(tǒng)管理員運(yùn)行系統(tǒng)命令,如微軟SQL服務(wù)器利用命令“xP_cmdshell”存儲(chǔ)命令步驟,攻擊者可通過電子郵件把隱藏的系統(tǒng)密碼下載到指定位置。

  標(biāo)簽可能包含利用后臺(tái)中間件數(shù)據(jù)庫(kù)的SQL植人攻擊數(shù)據(jù)。盯ID標(biāo)簽數(shù)據(jù)存儲(chǔ)限制并不能限制此種攻擊,因?yàn)樯僭SSQL語(yǔ)言就能造成很大危害。例如,植人命令:;。shutdown--,將在瞬間關(guān)閉SQL服務(wù)器,而只需12個(gè)字符。下面這個(gè)命令威脅更大:drop table<tablename>。這將刪除指定的數(shù)據(jù)庫(kù)列表。只要數(shù)據(jù)庫(kù)在根目錄下運(yùn)行,又有標(biāo)準(zhǔn)SQL植人攻擊,標(biāo)簽就能執(zhí)行攻擊整個(gè)計(jì)算機(jī)系統(tǒng)甚至是網(wǎng)絡(luò)的命令。

3.4 RFID蠕蟲

  蠕蟲 (worm)通過分布式網(wǎng)絡(luò)傳播特定信息,造成網(wǎng)絡(luò)服務(wù)被拒絕或發(fā)生死鎖。與普通病毒不同,蠕蟲是主動(dòng)攻擊的獨(dú)立程序,目標(biāo)是整個(gè)網(wǎng)絡(luò)中的計(jì)算機(jī)。它通常有一個(gè)“有效載荷”,執(zhí)行的進(jìn)程從刪除文件到通過郵件發(fā)送信息,甚至是安裝軟件補(bǔ)丁。最常見的蠕蟲是給計(jì)算機(jī)安裝后門,使黑客可以輕易進(jìn)人計(jì)算機(jī)系統(tǒng)。

  蠕蟲通過在線RFID服務(wù)尋找安全漏洞進(jìn)行傳播。它的傳播不需要用戶做任何事(如掃描標(biāo)簽)。首先發(fā)現(xiàn)的蠕蟲是中間件服務(wù)器通過因特網(wǎng)感染的,蠕蟲利用網(wǎng)絡(luò)的“載體機(jī)制” 自行傳播給到指定對(duì)象,EPCglobal Naming Service(ONS)服務(wù)器攻擊就是這樣一個(gè)例子,只要蠕蟲的傳播機(jī)制健全,它就能發(fā)起攻擊。

  蠕蟲還能通過標(biāo)簽傳播,感染蠕蟲的中間件系統(tǒng)重寫標(biāo)簽數(shù)據(jù)進(jìn)行傳播。這種攻擊會(huì)使中間件服務(wù)器從遠(yuǎn)程下載并執(zhí)行一些文件,這些文件將作為標(biāo)準(zhǔn)的惡意軟件傳染中間件服務(wù)器,由此開始新一輪傳播。

4 RFID 病毒

  蠕蟲傳播依賴于網(wǎng)絡(luò)連接,但有自我復(fù)制能力的RFID病毒則不必,它只需要感染的標(biāo)簽作為攻擊媒介。

4.1 應(yīng)用場(chǎng)合

  超市配送中心租用標(biāo)簽可重復(fù)使用的貨柜,系統(tǒng)正常工作如下:裝有原始產(chǎn)品的貨柜經(jīng)由閱讀器到達(dá)配送中心,閱讀器識(shí)別并顯示產(chǎn)品序列號(hào),然后把數(shù)據(jù)傳到公司數(shù)據(jù)庫(kù)??肇浌窠?jīng)過清洗后重新裝滿商品,由此閱讀器升級(jí)貨柜的標(biāo)簽數(shù)據(jù)庫(kù)并反映給貨車,再由貨車運(yùn)送貨柜到指定商店。

4.2 后臺(tái)結(jié)構(gòu)

  該系統(tǒng)的 中間件結(jié)構(gòu)并不復(fù)雜,前臺(tái)有一些閱讀器,后臺(tái)有數(shù)據(jù)庫(kù)儲(chǔ)存貨柜標(biāo)簽的讀/寫及描述貨柜的貨車數(shù)據(jù),后臺(tái)數(shù)據(jù)庫(kù)儲(chǔ)存貨車到達(dá)與離開等數(shù)據(jù)。

4.3 RFID病毒原理

  一天工作人員發(fā)現(xiàn)閱讀器顯示貨柜中的貨物信息令人驚奇(如蘋果變成了猴子),集裝箱的標(biāo)簽感染了病毒!實(shí)際上是RFID病毒使用SQL植人,攻擊了后臺(tái)的中間件系統(tǒng)。

  閱讀貨柜的標(biāo)簽數(shù)據(jù)時(shí),后臺(tái)數(shù)據(jù)庫(kù)無意中執(zhí)行了SQL代碼。該植人簡(jiǎn)單地把自身附帶的代碼復(fù)制到數(shù)據(jù)庫(kù)列表中的NewContainer一Contents數(shù)據(jù)行。隨后,另一個(gè)貨柜卸貨,裝上新貨物,貨艙管理系統(tǒng)在標(biāo)簽上寫人經(jīng)過修改的ContainerContents數(shù)據(jù),由此傳播病毒。新感染病毒的貨柜又上路,傳染其它RRD系統(tǒng)(假設(shè)中間件系統(tǒng)相同),依此類推進(jìn)行廣泛傳播。

  特別是FRID標(biāo)簽可能包含以下數(shù)據(jù):


  系統(tǒng)希望在分號(hào)之前收到數(shù)據(jù)(此時(shí)數(shù)據(jù)描述的是貨柜的容量),分號(hào)用來結(jié)束當(dāng)前查詢并開始新的查詢,SQL植人攻擊就在分號(hào)之后。

  該SQL植入需要一條途徑進(jìn)行傳播,大多數(shù)數(shù)據(jù)庫(kù)都有一條命令列出當(dāng)前正在執(zhí)行的查詢,這正好滿足RFID病毒的需求,例如Oracle中的這樣一條命令:

  這與MySQL,匆base 等數(shù)據(jù)庫(kù)指令類似。寫人“get current query”命令后,完整的病毒代碼如下:

  現(xiàn)在該病毒的自我繁殖功能完成。

5 移動(dòng)RFID威脅

  移動(dòng)RFID是RFID技術(shù)的眾多應(yīng)用之一,移動(dòng)電話作為閱讀器為用戶提供新的增值服務(wù)。這里標(biāo)簽位置相對(duì)固定,當(dāng)移動(dòng)的閱讀器足夠接近標(biāo)簽時(shí)會(huì)閱讀信息。如移動(dòng)RFID用戶在接近廣告板或宣傳海報(bào)時(shí)可直接購(gòu)買商品或者預(yù)定某種服務(wù),無需撥號(hào)或與任何人通話,而用儲(chǔ)存在移動(dòng)電話中的信用卡信息完成交易。Nokia在德國(guó)CeBIT2004貿(mào)易展發(fā)布了世界上第一個(gè)RRD技術(shù)GSM手機(jī);韓國(guó)在2005年2月建立RFID論壇(MFR)并研發(fā)RFID移動(dòng)電話,使人們通過嵌人在手機(jī)中的微芯片接受產(chǎn)品或服務(wù)信息。

  對(duì)于移動(dòng) FRID,隱私威脅不只是泄漏標(biāo)簽攜帶者的隱私,還涉及閱讀器攜帶者的隱私。移動(dòng)RnD將應(yīng)用于個(gè)人領(lǐng)域,而不僅針對(duì)公司或是組織,因?yàn)槿藗冇凶约旱拈喿x器。并且,移動(dòng)的閱讀器可以像標(biāo)簽一樣被用戶帶到任何地方。因此,移動(dòng)RFID的隱私泄漏風(fēng)險(xiǎn)會(huì)更大,移動(dòng)RFID的隱私威脅來自于移動(dòng)性、閱讀器的閱讀范圍以及移動(dòng)RFID應(yīng)用的服務(wù)模型。

  首先 ,閱讀器的移動(dòng)性使個(gè)人信息無限擴(kuò)張,與商店中的RFID閱讀器集不同,商店中的RFID閱讀器只收集有限的標(biāo)簽信息。對(duì)于移動(dòng)RFID,由于閱讀器的移動(dòng)性,掃描區(qū)域不受限制,閱讀器的閱讀范圍無限。只要攜帶閱讀器的用戶想收集標(biāo)簽信息,再有激活的標(biāo)簽,不管走到那里他都可以無線掃描標(biāo)簽。

  其次 ,用戶可能被移動(dòng)電話本身跟蹤或監(jiān)控。如果閱讀器攜帶者使用移動(dòng)通信或者無線網(wǎng)絡(luò),并在手機(jī)上開通移動(dòng)RFID服務(wù),就可以用電話追蹤到他的位置。

  移動(dòng)RFID是RFID技術(shù)的一個(gè)新應(yīng)用領(lǐng)域。但是,閱讀器的移動(dòng)性以及與供應(yīng)鏈中RFID的不同業(yè)務(wù)模型,使其出現(xiàn)新的隱私威脅,如無限制信息采集,用戶的跟蹤等。隨著移動(dòng)RFID業(yè)務(wù)的增加,將會(huì)產(chǎn)生更多的隱私威脅。

6 結(jié)論

  截至到2005年,我國(guó)已經(jīng)發(fā)行了1.1億枚ID卡,而在RFID信息安全領(lǐng)域有待進(jìn)一步發(fā)展。隨著標(biāo)簽制造成本的下降,RFID應(yīng)用將更加廣泛,本文提出的RnD隱私威脅、系統(tǒng)缺陷、基于RFID的人侵、蠕蟲和病毒等只是它未來應(yīng)用中可能遇到的一部分安全問題。作者期望能夠拋磚引玉,在其大規(guī)模應(yīng)用之前采取適當(dāng)措施,如通過擴(kuò)展DNS、構(gòu)建邢ID安全網(wǎng)絡(luò),采用更安全的編程習(xí)慣和編程語(yǔ)言,增強(qiáng)安全的中間件構(gòu)架等,避免與Internet一樣陷人安全漩渦。