通信層
通信層中的攻擊是針對 RFID通信和 RFID網(wǎng)絡(luò)實體間的數(shù)據(jù)傳輸而實施的攻擊��。
3. 1 保密性
RFID通信的保密性主要受到竊聽���、非法標簽閱讀��、隱私威脅以及密鑰泄露等攻擊的破壞���。
3.1. 1 竊聽
開放的傳輸媒介和無線信道的不安全屬性, 使竊聽成為RFID系統(tǒng)面臨的重要攻擊之一。RFID通信系統(tǒng)中的竊聽是指使用非法手段監(jiān)聽和攔截 RFID實體間傳輸?shù)男畔?���。竊聽者可能竊聽閱讀器至標簽的前向信道, 以及標簽至閱讀器的后向信道上的信息。然而, 由于閱讀器的信號較強, 前向信道更容易受到竊聽威脅����。竊聽的成功還與竊聽者的位置有關(guān), 被攔截的信息可以被用于實現(xiàn)更復(fù)雜的攻擊。通常, 竊聽者會攔截信息并提取有用信息進行更復(fù)雜的攻擊���。即使通過加密和認證技術(shù)對 RFID通信進行保護, 這種情況依然會存在, 如流量分析攻擊����。
每種類型的 RFID系統(tǒng)都有其自身的最大通信范圍。尤其在無源 RFID 系統(tǒng)中, 與后向信道(標簽至閱讀器)的通信范圍相比, 前向信道(閱讀器至標簽)通信范圍更廣��。同時, 無源標簽通過前向信道供電, 這就形成了第三個距離范圍, 即最大接收距離, 在該范圍內(nèi)接收的功率能保證標簽正常工作��。理論上講, 系統(tǒng)的讀取范圍是上述三種距離范圍的最小值���。人侵者無需給標簽供電, 使用比常規(guī)標簽或閱讀器更大的天線, 并且在增加的較差讀取范圍上進行竊聽��。最終, 檢測范圍在發(fā)拌作用���。這是標簽或閱讀器能夠檢測的最大范圍, 但是, 實際信息的傳輸就毫無意義。
3.1. 2 非法標簽閱讀
不幸的是, RFID標簽缺少允許/禁止讀取的 ON/OFF(開關(guān))����。更糟的是, 不是所有類型的 RFID 標簽都能夠使用防止非法閱讀的安全認證議。因此, 很多情況下, 即使沒有授權(quán)認證, RFID標簽還是能夠被讀取��。竊聽和非法標簽閱讀是常見的攻擊方式, 該攻擊給受害者造成極大的危害��。當攻擊帶有競爭性的商業(yè)間諜目的時, 這些攻擊能夠獲取機密和敏感信息, 如市場營銷策略和股票信息�����。
3.1. 3 隱私威脅
在RFID協(xié)議中, 存在許多用于隱私規(guī)范化的提議�����。起初, 由區(qū)分兩個已知標簽的能力規(guī)范隱私�。然而, 該模型排除了側(cè)信道信息的可能性。2007年, Juels 和Weis 利用側(cè)信道信息擴展了模型, 并允許人侵者選擇兩個標簽����。同年, Vaudenay提出了隱私模型的分層結(jié)構(gòu), 研究了RFID系統(tǒng)中有關(guān)標簽損壞和側(cè)信道的可用性的制約因素。具體而言, 該模型引起了入侵者的注意, 人侵者監(jiān)視所有通信�����、在有限時間內(nèi)追蹤標簽����、損壞標簽以及在閱讀器輸出端攔截側(cè)信道信息。那些無權(quán)訪問側(cè)信道信息的攻擊者被稱為狹義攻擊者�����。依據(jù)損壞的標簽數(shù)量將攻擊者定義為強壯��、毀滅����、前鋒和微弱攻擊者�����。下面將詳細描述兩個重要的隱私威脅:追蹤和活動表��。
1)追蹤:RFID標簽無法對合法與非法標簽讀取作出反應(yīng)��。入侵者利用 RFID標簽這一特征暗中收集私人信息, 以便從中獲益或者跟蹤用戶��。收集的信息各種各樣, 如購物偏好��、個人的醫(yī)療數(shù)據(jù)等重要的私人信息����。例如, RFID 標簽產(chǎn)生的痕跡可能會被入侵者用來跟蹤定位某人的位置��。即使這些信息是匿名的, 它們?nèi)阅軌?/span>提示用戶的具體位置并創(chuàng)建活動檔案�。入侵者甚至利用未使用的多標簽存儲器創(chuàng)建非法的通信通道, 從而達到獲取傳遞信息的目的。這種非法信息傳輸難以檢測����。例如 RFID 標簽的正規(guī)使用是個體鑒定, 獲取與其相關(guān)的社交活動信息。
2)活動表:與用戶位置相關(guān)的信息或與某人相關(guān)的物體信息都可能被獲取,人侵者利用這些信息實現(xiàn)更為直接的攻擊。準確地說, 人侵者可能鎖定那些藏有貴重物品的人, 在實施盜竊之前詳細搜查室內(nèi)物品, 將做了標記的鈔票放入口袋或盜取貴重/敏感的物品��。護照也都有標記, 它們可能會被不法分子用來發(fā)現(xiàn)特殊國籍的人或者引發(fā)“RFID 炸彈”��。
3. 1. 4 密鑰泄露
人侵者較為關(guān)注的是與加密技術(shù)和密鑰資料相關(guān)的信息�����。掌握了這些信息, 他們便可輕易地偽造標簽和閱讀器, 并獲取相關(guān)特權(quán)訪問其他信息�。例如, 獲取存儲
在電子護照和身份證中的敏感信息��。
1)密碼攻擊:存儲在 RFID 標簽中的敏感數(shù)據(jù)通常采用加密技術(shù)加以保護�����。然而, 人侵者采用加密攻擊破解加密算法, 從而獲取數(shù)據(jù)或篡改數(shù)據(jù)����。攻擊目標有口今認證機制、暗碼�、偽隨機數(shù)發(fā)生器、哈希函數(shù)���。典型的攻擊有蠻力攻擊(明碼/暗碼), 選擇密文攻擊或已知明文攻擊(暗碼), 預(yù)映射或者碰撞攻擊(哈希函效)����。通過蠻力攻擊破解了荷蘭護照是具有代表性的RFID密碼攻擊案例。荷蘭奈梅根大學(xué)的研究人員實現(xiàn)了針對基于專有算法 MIFRAE卡的密碼-1算法的攻擊���。相同類型的卡已被荷蘭公共運輸協(xié)議使用��。
2)逆向工程:逆向工程是指企圖模擬設(shè)備或軟件的內(nèi)部工作原理��、運行狀況, 以期更有效地對其進行攻擊����。首先, 對專用密碼���、哈希函數(shù)或協(xié)議進行詳細的研究, 以便發(fā)現(xiàn)其缺陷����。如果算法沒有經(jīng)過嚴格的測試, 這將會嚴重影響系統(tǒng)的安全性����。近年來, 有關(guān)Mifare 標簽以及它所專用的密碼-1算法就是一個很好的例子。逆向工程是側(cè)信道分析�����、探測或電子脈沖信號干擾的重要工具。為了實現(xiàn)攻擊, 需要對設(shè)備內(nèi)部工作原理進行充分理解�。模擬嘗試也能從逆向工程中受益; 獲悉原始設(shè)備的運行方式是實施復(fù)制的關(guān)鍵。
3. 2 完整性
中繼攻擊���、重播攻擊�����、信息重構(gòu)、數(shù)據(jù)修改和數(shù)據(jù)插入將破壞RFID 通信信道的完整性����。
3. 2. 1 中繼攻擊
在中繼攻擊中, 人侵者扮演著中間人的角色。將入侵設(shè)備偷偷地放置在合法RFID標簽與閱讀器之間, 旨在攔截或篡改 RFID標簽和閱讀器之間的通信����。而標簽和閱讀器錯誤地認為它們是直接與對方通信的。用于中繼標簽和閱讀器之間的遠距離通信的設(shè)備有:與閱讀器通信的“ghost”, 與 RFID 標簽通信的“l(fā)eech”��。這些裝置可能的工作范圍比標稱讀取或功率可達范圍更大, 尤其是“ghost”, 其工作范圍與閱讀器的功率無關(guān)�����。
2008年, 一位德國理科碩士生對荷蘭票務(wù)系統(tǒng)進行了中繼攻擊, 該學(xué)生僅僅利用Kfir和Wool描述的“ghost”和"leech”模型, 就造成荷蘭公共交通系統(tǒng)約20億美元的損失�。另一種重大的威脅是在受害者不知情的情況下掌握 RFID卡款項�。依據(jù)詐騙組織的不同, 中繼攻擊也被賦予不同的名字���。
1)距離欺詐:入侵者使用假冒標簽試圖使合法閱讀器相信它與該閱讀器的距離比實際距離近�。
2)黑手黨欺詐:這種攻擊主要涉及三個組成部分:合法標簽T, 合法閱讀器R, 攻擊者A����。攻擊者安排欺詐標簽T'和閱讀器R'試圖讓合法閱讀器R以為它正與合法標簽T通信, 而事實上, 閱讀器R正與攻擊者A通信。但是, 這種攻擊并漢有泄露合法標簽與閱讀器的共享私鑰����。
3)恐怖欺詐:“恐怖欺詐”是指持有者完全合作的標簽不與中繼設(shè)備共導(dǎo)“ 鑰資料。這就意味著它能夠估算風(fēng)險, 但是不會將自己的估算方法告知人侵者���。
3. 2. 2 重播攻擊
重播攻擊是在某段時間內(nèi)重新發(fā)送有效答復(fù)��。這些答復(fù)可通過竊聽和會話獲得����。該攻擊與中繼攻擊相關(guān), 但是它發(fā)生在離線狀態(tài)下, 也就是說, 獲取信息的時間與重新發(fā)送信息的時間之間存在明顯的延遲�����。重播攻擊的最簡單應(yīng)用是在基于訪問控制的 RFID系統(tǒng)或者在RFID 認證系統(tǒng)中, 重復(fù)發(fā)送截取的合法標簽到合法閱讀器之間的傳輸信息��。在這些應(yīng)用中, 人侵者能夠獲得特定的訪問權(quán)限, 或是通過重播截獲的信息替代特定物品。即使信息被加密, 依然可以實現(xiàn)重播攻擊����。信息中的新鮮源(隨機數(shù))是一個必要條件, 但是就其本身并不能抵制重播攻擊。
3. 2. 3 信息重構(gòu)
包含隨機會話變量的協(xié)議通常對重播攻擊具有一定的抵抗能力, 盡管在某些情況下, 通過多條信息的結(jié)合或分析能夠限制這些新鮮信息���。這就需要重構(gòu)新的有信息, 這些信息將被進一步的攻擊利用�����。因此, 信息重構(gòu)可能使入侵者進行更復(fù)雜的假冒攻擊, 例如獲得受限區(qū)域的訪問權(quán)利, 簡單的重播攻擊則無法做到這一點。
3. 2. 4 數(shù)據(jù)修改
RFID標簽通常配備有可寫存儲器, 因此, 人侵者便利用這一點傳輸或刪除數(shù)據(jù)�。該情況的發(fā)生主要取決于所采用的 READ/WRITE保護和RFID標準。此類攻擊
所造成的后果與應(yīng)用和修改的程度直接相關(guān)����。例如, 在醫(yī)療應(yīng)用中, 修改病人的藥劑量或病例史標簽將會造成可怕的后果。專業(yè)的入侵者可以修改標簽的重要信息而不改變標簽的ID和任何與安全相關(guān)的信息, 如加密密鑰��、數(shù)字證書�����。因此, 閱讀器無法得知信息的變化���。在RFID 通信中, 濫用編碼方案是修改數(shù)據(jù)的一種重要方法���。 濫用編碼方案:修改傳輸數(shù)據(jù)的方法是在數(shù)據(jù)傳輸過程中, 更換或翻轉(zhuǎn)數(shù)據(jù)比特�����。某些編碼機制易受此類攻擊的影響��。例如, 當數(shù)據(jù)傳輸速率為106KB時, NFC標簽使用100%調(diào)制比的“改進密勒效應(yīng)編碼”, 當數(shù)據(jù)傳輸速率大于106KB時, 標簽則使用10%調(diào)制比的“曼徹斯特編碼”�。100%調(diào)制比意味著“0”和“1”被分別編碼表示無信號和全信號, 人侵者通過發(fā)送自己的信號能夠?qū)ⅰ?”變成“1”, 但卻不能將“1”變成“0”, 因為入侵者無法減小合法閱讀器發(fā)出的信號強度, 然而, 在10%調(diào)制比條件下, “0”表示弱信號(82%), “1”表示強信號(100%)��。通過增加“0”或“1”兩個信號, 人侵者就可以按照自己的意愿對數(shù)據(jù)進行修改, 調(diào)制比為80%的信號被看作是基線噪聲, 100%調(diào)制比的是“0”, 125%調(diào)制比的是“1”����。
3. 2. 5 數(shù)據(jù)插入
非不修改傳輸數(shù)據(jù)的比特位, 只是增加新的數(shù)據(jù)或是整條信息的攻擊稱作數(shù)據(jù)插入攻擊, 而非數(shù)據(jù)修改攻擊。該攻擊通常發(fā)生在邊緣硬件或后端系統(tǒng), 但是最容易遭受該攻擊的是通信協(xié)議本身����。這種攻擊具有多種實施場景。例如, 人侵者插入信息改變字段, 如改變商店中商品的價格等��。最有挑戰(zhàn)性的數(shù)據(jù)插入方法非不修改傳輸數(shù)據(jù)的比特位, 只是增加新的數(shù)據(jù)或是整條信息的攻擊稱作數(shù)據(jù)插入攻擊, 而非數(shù)據(jù)修改攻擊��。該攻擊通常發(fā)生在邊緣硬件或后端系統(tǒng), 但是, 最容易遭受該攻擊的是通信協(xié)議本身��。這種攻擊具有多種實施場景。例如, 人侵者插入信息改變字段, 如改變商店中商品的價格等�����。最有挑戰(zhàn)性的數(shù)據(jù)插入方法非不修改傳輸數(shù)據(jù)的比特位, 只是增加新的數(shù)據(jù)或是整條信息的攻擊稱作數(shù)據(jù)插入攻擊, 而非數(shù)據(jù)修改攻擊���。該攻擊通常發(fā)生在邊緣硬件或后端系統(tǒng), 但是,最容易遭受該攻擊的是通信協(xié)議本身����。這種攻擊具有多種實施場景����。例如, 人侵者插入信息改變字段, 如改變商店中商品的價格等。最有挑戰(zhàn)性的數(shù)據(jù)插入方法是競賽”�����。競賽:數(shù)據(jù)插人要求人侵者在合法閱讀器做出響應(yīng)之前迅速發(fā)出響應(yīng), 該討需要瞬間完成, 因而產(chǎn)生了“競賽”的概念�����。這樣, 閱讀器只能執(zhí)行部分協(xié)計如標簽解鎖等, 同時, 人侵者能夠劫持通信會話, 如將不同信息寫人標簽或在不假名的情況下關(guān)閉會話����。
3. 3 可用性
拒絕服務(wù)(DoS)攻擊是RFID通信層最具挑戰(zhàn)性的威脅之一, 因為它易于現(xiàn), 卻難以防御。這種類型的攻擊與被動降低射頻信號的攻擊和主動阻塞干擾通
的攻擊是有區(qū)別的�����。
3. 3. 1 主動干擾
環(huán)境噪聲���、阻塞或濫用私有保護標簽都將引起主動干擾�����。
1)噪聲:RFID 系統(tǒng)的工作環(huán)境不穩(wěn)定, 且存在噪聲, 因此, RFID 通信容受到各種無線電干擾, 如電源開關(guān)和電子信號發(fā)生器等�����。
2)阻塞:在某些情況下, RFID 通信并沒有采取認證機制, RFID 標簽將接其可達范圍內(nèi)的所有無線信號���。人侵者利用與閱讀器同樣工作范圍的無線信號故制造電磁干擾, 旨在干擾合法標簽與閱讀器之間的通信。
3)惡意阻礙標簽:正常運行的 RFID 標簽可能受到惡意阻礙, 從而導(dǎo)致訪中斷�����。濫用阻斷標簽和 RFID 保護會導(dǎo)致 RFID 標簽的惡意阻礙訪問和 DoS�。這種方法都是保護RFID 通信免受隱私威脅。但是, 它們都可能被攻擊者利用, 蓄完成拒絕服務(wù)攻擊。
3. 3. 2 信號的被動衰減
金屬化合物���、水和其他物質(zhì)同樣對無線電通信存在負面影響�?�;镜男盘?/span>減���、復(fù)雜的傳播效應(yīng)甚至標簽屏蔽都會引發(fā)信號的被動衰減��。
1)基本衰減效應(yīng):水����、金屬��、人體, 甚至某些塑料都會干擾無線電的傳輸這些負面效應(yīng)引發(fā)的衰減隨水和導(dǎo)電液體的吸收作用�、金屬和金屬表面的反射或
射作用、塑料等絕緣材料的介電效應(yīng)/頻率失諧作用等而變化�。一般而言, 頻率高, 金屬和液體對其性能影響就越大。
2)復(fù)雜的傳播效應(yīng):如果高頻(特高頻/微波)無線電波與其反射波在空某一點相遇, 此時兩者的相位相反, 彼此互相抵消, 此時就會發(fā)生傳播效應(yīng), 從產(chǎn)生駐波和多徑衰落����。盲區(qū)的信號接收效果很差, 但如果稍微調(diào)整傳輸信源或者)接收天線的方位, 這個問題就可以順利解決�。這種傳播效應(yīng)難以預(yù)料, 其產(chǎn)生開人為而是自然發(fā)生的, 無論采取任何控制方法都難以抑制。
3)標簽屏蔽:如內(nèi)襯鋁箔的包裝袋一樣的法拉第籠可以將標簽和電磁波屏意而阻斷標簽與閱讀器之間的通信。這為小偷偷盜商品和逃脫結(jié)賬提供了機會���。
被動和主動干擾都可能導(dǎo)致 RFID 通信的中斷, 甚至導(dǎo)致公司����、組織機構(gòu)和商
店里的識別系統(tǒng)完全崩潰��。入侵者的目的要么是損害受害者利益, 要么是在不受干
擾和不被發(fā)現(xiàn)的情況下進行惡意行為, 如偷竊等�����。
3. 4 威脅評估以及對策
總結(jié)了 RFID通信層可能存在的威脅及其主要損害, 并針對不同的威脅列舉出相應(yīng)的對策���。低成本和高成本 RFID標簽都容易受到該層幾乎所有的威脅攻擊�。因攻擊的難易程度不同, 實施攻擊的成本高低不等��。竊聽或被動/主動干擾的攻擊成本較低, 中繼攻擊等成本較高����。對于通信層上采用的防御/抵制攻擊的對策而言, 大多數(shù)情況下, 采用高效加密和認證協(xié)議能夠有效地保護RFID系統(tǒng), 該對策實施成本適中。
但是, 防御中繼攻擊必須采取更復(fù)雜的防御機制�����。防御中繼攻擊的方法是把標簽與閱讀器之間的距離作為安全度量標準。如果標簽距離閱讀器很近, 我們就可以
認為, 在不被察覺的情況下, 入侵者無法截獲信息���。測量距離的技術(shù)有:測量的信號強度, 時間延時或往返時間, 或標簽到閱讀器的方位�。理想情況下, 應(yīng)該在要求時間內(nèi)盡可能快地制定協(xié)議, 標簽應(yīng)盡可能快地給出反應(yīng)以減小欺騙空間�����?��;谝陨显瓌t的距離邊界協(xié)議用于防御中繼攻擊����。
3. 4 后端平臺
后端平臺由許多不同的部件組成, 同樣易受攻擊��。后端平臺一般由三部分組 成:“服務(wù)器”��、“中間件設(shè)備”和“應(yīng)用軟件”�。“服務(wù)器”負責(zé)收集閱讀器發(fā)出的射頻傳輸數(shù)據(jù), “中間件設(shè)備”負責(zé)將數(shù)據(jù)進行轉(zhuǎn)換, 以便數(shù)據(jù)能被后端平臺中其他部件進一步的處理, 諸如數(shù)據(jù)庫和特定業(yè)務(wù)的“應(yīng)用軟件”實現(xiàn)這進一步的處理�。入侵者對后端平臺的攻擊會造成嚴重的后果。攻擊的切入點最可能是來自硬件邊緣和現(xiàn)有網(wǎng)絡(luò)的信息流���。
