你必須知道的RFID安全知識
本期我們將詳細介紹關(guān)于RFID的安全知識。DHS4300A–Q4(RFID安全)于2014年8月5日發(fā)布,此文檔提出了與RFID相關(guān)的要求及與RFID有關(guān)的對DHS無線安全策略實現(xiàn)的指導建議,以輔助國土安全部各部門對RFID系統(tǒng)的信息保障項目的開發(fā)和實現(xiàn)。
圖1DHS4300A敏感系統(tǒng)手冊
RFID技術(shù)
RFID是一種能夠通過電磁信號與無線設(shè)備(標簽)進行遠程通信的技術(shù),可以通過電磁信號識別和跟蹤他們所依附的對象。RFID系統(tǒng)包括標簽、讀寫器、本地計算機主機、后端應用程序和數(shù)據(jù)庫,標簽上的數(shù)據(jù)被讀寫器掃描并發(fā)送到后端服務器,整個過程可以自動同步和遠程完成。圖2描述了一個被動式的RFID系統(tǒng)。
圖2被動式的RFID系統(tǒng)
RFID系統(tǒng)中有些標簽只存儲簡單的識別碼,有些標簽則可以存儲更多的信息,比如生物識別數(shù)據(jù)、位置、溫度和濕度等,這取決于標簽的硬件和附加的外圍設(shè)備。例如,一種使用標準企業(yè)無線網(wǎng)絡(luò)并結(jié)合位置和ID信息實時對資產(chǎn)和人員進行定位的標簽,可以利用該標簽在醫(yī)院里實施動態(tài)跟蹤。
RFID標簽由微芯片和天線組成,使用不同的電磁頻率如低頻、高頻、超高頻、無線網(wǎng)絡(luò)、紅外線和超聲波進行通信。一般包括有源和無源兩種類型的RFID標簽:
(1)無源的和半無源的標簽本身沒有內(nèi)部能量來源,通常利用來自外部的(如讀寫器等)射頻設(shè)備發(fā)射信號的能量。
(2)有源和半有源標簽有內(nèi)部能源,可以自動將射頻信號發(fā)送給讀寫器。
RFID系統(tǒng)中存在的安全問題及建議措施
有源標簽
有源標簽周期性地發(fā)出射頻信號與讀寫器進行通信,根據(jù)頻率和傳輸功率大小,信號可以穿透墻壁等物體,有些標簽甚至可以在幾百米的開闊空間和幾十米的室內(nèi)區(qū)域中進行通信。
目前,大多數(shù)有源標簽不支持身份驗證或加密功能,很容易通過使用兼容的讀寫器竊取傳輸?shù)臄?shù)據(jù),因此有源標簽應該在安全的操作環(huán)境中使用。對于采用RFID的組織來說,了解有源標簽的運作機制,評估業(yè)務和操作中的風險和漏洞,做出明智決策、平衡操作和安全考慮,是非常重要的。
圖3有源標簽
無源標簽
現(xiàn)在,大多數(shù)的無源標簽都符合EPCClass1Gen2標準。這個標準是受美國國防部和沃爾瑪委托建立的,并已被各行業(yè)和政府機構(gòu)廣泛地采用。然而,EPCClass1Gen2標準只提供了非常有限的安全特性:
用于雙向握手和數(shù)據(jù)屏蔽的16位隨機數(shù)生成器用來鎖定一個給定的標簽和讀寫器會話,以避免多個標簽或讀寫器存在時發(fā)生沖突;它生成的數(shù)值也被用作一個對密碼進行簡單加密的關(guān)鍵值和執(zhí)行寫命令時讀寫器向標簽中寫的內(nèi)容,但是它不用于對從標簽到讀寫器的識別數(shù)據(jù)的加密。
執(zhí)行禁用標簽的kill命令需要一個32的密碼。
采用16位循環(huán)冗余校驗(CRC)進行錯誤檢測。
訪問標簽某些部分需要一個32位的密碼(如用于“寫”操作的密碼位),但此密碼不用于標記標簽ID數(shù)據(jù)訪問驗證。
由于可以進行加密的位數(shù)很少,所有這些特征被認為安全性很弱。因此部署這類標簽時必須考慮如下安全問題:
EPC標簽響應任何兼容的讀寫器時不會先進行認證;
用于滅活和訪問控制的是短而靜態(tài)的密碼,并且它們只提供讀寫器到標簽的單向認證,因此可能會被攻擊者破解;
EPC標準沒有數(shù)據(jù)加密要求,無論是在標簽上或是在傳輸中;
EPC密碼的加密能力很弱。
讀寫器向標簽發(fā)送的用來進行數(shù)據(jù)屏蔽的關(guān)鍵值在最開始標簽向讀寫器發(fā)送過程中可以被攔截。
圖4無源標簽
智能卡
智能卡通過直接物理接觸(接觸卡,遵循ISO/IEC7816標準)或遠程的非接觸射頻接口(非接觸式卡,遵循ISO/IEC14443標準)與讀寫器進行通信。智能卡中有一個用于數(shù)據(jù)存儲和計算的嵌入式集成電路(IC),憑借其內(nèi)置的集成電路和相關(guān)的微控制器,能夠存儲大量的數(shù)據(jù)并執(zhí)行復雜的操作。智能卡包括一些強大的安全功能,如加密和數(shù)字簽名,并可以與外部RFID系統(tǒng)智能交互。例如,一些非接觸式的卡可以通過高級加密標準(AES)算法加密數(shù)據(jù),并可以根據(jù)公鑰基礎(chǔ)設(shè)施(PKI)使用秘密內(nèi)置的唯一密鑰進行相互認證。
智能卡和RFID系統(tǒng)應該提供一個在通信建立前和周期性通信時進行批次驗證的機制,從而減少智能卡被攻擊。數(shù)字證書經(jīng)常用于此,共享密鑰也是另一種選擇。
圖5智能卡
近場通信(NFC)
近場通信(NFC)是一種無線技術(shù),旨在在兩個設(shè)備非??拷鼤r(幾厘米)進行通信,其工作頻率、功耗、硬件和軟件設(shè)計決定了通信距離的局限性。NFC允許兩個設(shè)備建立一個通信信道,這符合ISO/IEC18092和21481標準的。例如,兩個NFC智能手機用戶可以通過相互靠近手機來分享照片。
NFC通信時不需要進行身份驗證或加密,但需要兩個設(shè)備非常接近,這也使它不容易受到如竊聽、數(shù)據(jù)修改、中間人攻擊等威脅,但不是無懈可擊。除特定的需要或業(yè)務考慮,默認情況下,設(shè)備上的NFC功能應該被禁用,由用戶手動啟用,以盡量減少潛在的數(shù)據(jù)泄漏。
后端系統(tǒng)
RFID后端系統(tǒng)是由網(wǎng)絡(luò)組件、中間件和處理ID信息的業(yè)務應用程序組成。這個系統(tǒng)和其他企業(yè)系統(tǒng)(如供應鏈應用)共享ID信息,因此,后端系統(tǒng)應部署在值得信賴的企業(yè)邊界內(nèi)。
在這個邊界內(nèi)部署的是美國國土安全部認可的信息系統(tǒng)和組件,其中國土安全部通常直接掌握應用程序及其效果評估。為確保RFID后端系統(tǒng)的有效保護,強大的周界深度防御戰(zhàn)略是必要的。防火墻、代理和內(nèi)容過濾是保障企業(yè)邊界安全的一些有效工具和方法。此外,應編寫和實施用于安全修補、更新的操作系統(tǒng)和與后端系統(tǒng)相關(guān)的應用程序的標準操作規(guī)程。
標簽數(shù)據(jù)安全
標簽上的數(shù)據(jù)很容易受到各種攻擊,特別是數(shù)據(jù)能力較差、沒有強大安全功能的標簽。例如,通過EPCGen2無源標簽跟蹤筆記本電腦。可以使用非描述性的和隨機的獨特數(shù)字來代表敏感的識別信息,而不是直接將組織機構(gòu)代碼、員工標簽號碼、產(chǎn)品序列號等敏感數(shù)據(jù)存儲在標簽上,進而使用更安全的RFID后端系統(tǒng)進行映射識別。使用這種方式,即使標簽數(shù)據(jù)被未經(jīng)授權(quán)的讀寫器捕獲,標簽數(shù)據(jù)也不會透露任何敏感的信息。
射頻泄漏
根據(jù)射頻帶和設(shè)備的功率,從標簽和讀寫器發(fā)出的射頻信號可以在幾厘米到幾百米的范圍內(nèi)被捕獲和解碼,需要對此加以防范。
提高RFID技術(shù)安全性的指導意見
物理訪問控制
RFID信號能夠穿越使用區(qū)域的墻壁并在區(qū)域外圍傳播,通用物理訪問控制限制人員進出辦公大樓、數(shù)據(jù)中心和包含IT設(shè)備的房間,可以防范物理環(huán)境威脅。RFID系統(tǒng)所有者通過該控制需措施,限制對手物理接觸RFID系統(tǒng)部件。
考慮到某些特殊對手的能力,還應確保與RFID系統(tǒng)相關(guān)的數(shù)據(jù)的恰當使用。這意味著,還要防止人員的無意識非正確操作,即使這些人員并不是對手。隱私規(guī)范文檔中必須要考慮RFID系統(tǒng)和數(shù)據(jù)的潛在誤用(包括非故意使用),并根據(jù)識別到的新用法和風險持續(xù)更新文檔。
安全處理標簽
在完成預期任務之后,RFID標簽應該被安全地處理掉。標簽可以通過物理或電子方式銷毀、停用。
物理銷毀包括焚燒、強制撕裂或粉碎,粉碎和撕裂能夠?qū)е录呻娐放c天線分離(這使得標簽的讀取變得更加困難,但并非不可能),也會損壞或消除集成電路。電子破壞包括使用標簽的殺死功能或利用強電磁場向電路輸送強電流使標簽的電路不可再操作。盡管該數(shù)據(jù)恢復方法實用性差,但通過電子方式永久禁用標簽仍然有可能恢復標簽內(nèi)容(如使用掃描電子顯微鏡)。因此,如果要保證標簽的可讀性為零,必須在物理破壞或電子破壞后進行焚化。
職責分離
強制要求將每個安全任務分配給不同的人員,單人不能承擔整個任務。要對敏感信息系統(tǒng)進行適當?shù)膬?nèi)部控制,就必須使用這種方式進行分離。它還能確保沒有人能夠單獨完全控制系統(tǒng)的安全機制。
配置管理
通過配置管理控制對RFID系統(tǒng)的更改,以確保更改與組織的任務一致。配置管理通常使技術(shù)支持人員能夠快速識別操作問題的根源,并允許安全人員和審計人員發(fā)現(xiàn)不當行為和其他違反策略的行為。
安全應急響應
安全控制旨在保護組織免受安全威脅,但不管這些控制有多有效,一些安全事件是不可避免的。在發(fā)生此類事件之前,組織需要有效的響應能力。
總結(jié)
RFID技術(shù)是無線網(wǎng)絡(luò)通信的一個重要組成部分,RFID系統(tǒng)的安全也關(guān)系著多個重要部門的資產(chǎn)安全,因此需要使用部門加以重視。本期我們介紹了DHS4300A系列手冊中關(guān)于RFID的安全,供采用RFID系統(tǒng)的部門參考。