通信層
通信層中的攻擊是針對(duì) RFID通信和 RFID網(wǎng)絡(luò)實(shí)體間的數(shù)據(jù)傳輸而實(shí)施的攻擊。
3. 1 保密性
RFID通信的保密性主要受到竊聽��、非法標(biāo)簽閱讀���、隱私威脅以及密鑰泄露等攻擊的破壞�。
3.1. 1 竊聽
開放的傳輸媒介和無線信道的不安全屬性, 使竊聽成為RFID系統(tǒng)面臨的重要攻擊之一。RFID通信系統(tǒng)中的竊聽是指使用非法手段監(jiān)聽和攔截 RFID實(shí)體間傳輸?shù)男畔?。竊聽者可能竊聽閱讀器至標(biāo)簽的前向信道, 以及標(biāo)簽至閱讀器的后向信道上的信息。然而, 由于閱讀器的信號(hào)較強(qiáng), 前向信道更容易受到竊聽威脅���。竊聽的成功還與竊聽者的位置有關(guān), 被攔截的信息可以被用于實(shí)現(xiàn)更復(fù)雜的攻擊。通常, 竊聽者會(huì)攔截信息并提取有用信息進(jìn)行更復(fù)雜的攻擊����。即使通過加密和認(rèn)證技術(shù)對(duì) RFID通信進(jìn)行保護(hù), 這種情況依然會(huì)存在, 如流量分析攻擊。
每種類型的 RFID系統(tǒng)都有其自身的最大通信范圍�。尤其在無源 RFID 系統(tǒng)中, 與后向信道(標(biāo)簽至閱讀器)的通信范圍相比, 前向信道(閱讀器至標(biāo)簽)通信范圍更廣。同時(shí), 無源標(biāo)簽通過前向信道供電, 這就形成了第三個(gè)距離范圍, 即最大接收距離, 在該范圍內(nèi)接收的功率能保證標(biāo)簽正常工作����。理論上講, 系統(tǒng)的讀取范圍是上述三種距離范圍的最小值。人侵者無需給標(biāo)簽供電, 使用比常規(guī)標(biāo)簽或閱讀器更大的天線, 并且在增加的較差讀取范圍上進(jìn)行竊聽�����。最終, 檢測(cè)范圍在發(fā)拌作用��。這是標(biāo)簽或閱讀器能夠檢測(cè)的最大范圍, 但是, 實(shí)際信息的傳輸就毫無意義��。
3.1. 2 非法標(biāo)簽閱讀
不幸的是, RFID標(biāo)簽缺少允許/禁止讀取的 ON/OFF(開關(guān))����。更糟的是, 不是所有類型的 RFID 標(biāo)簽都能夠使用防止非法閱讀的安全認(rèn)證議����。因此, 很多情況下, 即使沒有授權(quán)認(rèn)證, RFID標(biāo)簽還是能夠被讀取��。竊聽和非法標(biāo)簽閱讀是常見的攻擊方式, 該攻擊給受害者造成極大的危害�。當(dāng)攻擊帶有競(jìng)爭(zhēng)性的商業(yè)間諜目的時(shí), 這些攻擊能夠獲取機(jī)密和敏感信息, 如市場(chǎng)營(yíng)銷策略和股票信息。
3.1. 3 隱私威脅
在RFID協(xié)議中, 存在許多用于隱私規(guī)范化的提議��。起初, 由區(qū)分兩個(gè)已知標(biāo)簽的能力規(guī)范隱私�。然而, 該模型排除了側(cè)信道信息的可能性。2007年, Juels 和Weis 利用側(cè)信道信息擴(kuò)展了模型, 并允許人侵者選擇兩個(gè)標(biāo)簽��。同年, Vaudenay提出了隱私模型的分層結(jié)構(gòu), 研究了RFID系統(tǒng)中有關(guān)標(biāo)簽損壞和側(cè)信道的可用性的制約因素����。具體而言, 該模型引起了入侵者的注意, 人侵者監(jiān)視所有通信、在有限時(shí)間內(nèi)追蹤標(biāo)簽��、損壞標(biāo)簽以及在閱讀器輸出端攔截側(cè)信道信息�����。那些無權(quán)訪問側(cè)信道信息的攻擊者被稱為狹義攻擊者����。依據(jù)損壞的標(biāo)簽數(shù)量將攻擊者定義為強(qiáng)壯��、毀滅����、前鋒和微弱攻擊者�。下面將詳細(xì)描述兩個(gè)重要的隱私威脅:追蹤和活動(dòng)表�。
1)追蹤:RFID標(biāo)簽無法對(duì)合法與非法標(biāo)簽讀取作出反應(yīng)。入侵者利用 RFID標(biāo)簽這一特征暗中收集私人信息, 以便從中獲益或者跟蹤用戶���。收集的信息各種各樣, 如購(gòu)物偏好����、個(gè)人的醫(yī)療數(shù)據(jù)等重要的私人信息����。例如, RFID 標(biāo)簽產(chǎn)生的痕跡可能會(huì)被入侵者用來跟蹤定位某人的位置。即使這些信息是匿名的, 它們?nèi)阅軌?/span>提示用戶的具體位置并創(chuàng)建活動(dòng)檔案�。入侵者甚至利用未使用的多標(biāo)簽存儲(chǔ)器創(chuàng)建非法的通信通道, 從而達(dá)到獲取傳遞信息的目的。這種非法信息傳輸難以檢測(cè)�����。例如 RFID 標(biāo)簽的正規(guī)使用是個(gè)體鑒定, 獲取與其相關(guān)的社交活動(dòng)信息。
2)活動(dòng)表:與用戶位置相關(guān)的信息或與某人相關(guān)的物體信息都可能被獲取,人侵者利用這些信息實(shí)現(xiàn)更為直接的攻擊�。準(zhǔn)確地說, 人侵者可能鎖定那些藏有貴重物品的人, 在實(shí)施盜竊之前詳細(xì)搜查室內(nèi)物品, 將做了標(biāo)記的鈔票放入口袋或盜取貴重/敏感的物品。護(hù)照也都有標(biāo)記, 它們可能會(huì)被不法分子用來發(fā)現(xiàn)特殊國(guó)籍的人或者引發(fā)“RFID 炸彈”�����。
3. 1. 4 密鑰泄露
人侵者較為關(guān)注的是與加密技術(shù)和密鑰資料相關(guān)的信息�。掌握了這些信息, 他們便可輕易地偽造標(biāo)簽和閱讀器, 并獲取相關(guān)特權(quán)訪問其他信息。例如, 獲取存儲(chǔ)
在電子護(hù)照和身份證中的敏感信息�。
1)密碼攻擊:存儲(chǔ)在 RFID 標(biāo)簽中的敏感數(shù)據(jù)通常采用加密技術(shù)加以保護(hù)。然而, 人侵者采用加密攻擊破解加密算法, 從而獲取數(shù)據(jù)或篡改數(shù)據(jù)����。攻擊目標(biāo)有口今認(rèn)證機(jī)制、暗碼�����、偽隨機(jī)數(shù)發(fā)生器���、哈希函數(shù)�����。典型的攻擊有蠻力攻擊(明碼/暗碼), 選擇密文攻擊或已知明文攻擊(暗碼), 預(yù)映射或者碰撞攻擊(哈希函效)�����。通過蠻力攻擊破解了荷蘭護(hù)照是具有代表性的RFID密碼攻擊案例��。荷蘭奈梅根大學(xué)的研究人員實(shí)現(xiàn)了針對(duì)基于專有算法 MIFRAE卡的密碼-1算法的攻擊�����。相同類型的卡已被荷蘭公共運(yùn)輸協(xié)議使用���。
2)逆向工程:逆向工程是指企圖模擬設(shè)備或軟件的內(nèi)部工作原理�、運(yùn)行狀況, 以期更有效地對(duì)其進(jìn)行攻擊��。首先, 對(duì)專用密碼���、哈希函數(shù)或協(xié)議進(jìn)行詳細(xì)的研究, 以便發(fā)現(xiàn)其缺陷。如果算法沒有經(jīng)過嚴(yán)格的測(cè)試, 這將會(huì)嚴(yán)重影響系統(tǒng)的安全性��。近年來, 有關(guān)Mifare 標(biāo)簽以及它所專用的密碼-1算法就是一個(gè)很好的例子�����。逆向工程是側(cè)信道分析�����、探測(cè)或電子脈沖信號(hào)干擾的重要工具。為了實(shí)現(xiàn)攻擊, 需要對(duì)設(shè)備內(nèi)部工作原理進(jìn)行充分理解��。模擬嘗試也能從逆向工程中受益; 獲悉原始設(shè)備的運(yùn)行方式是實(shí)施復(fù)制的關(guān)鍵�����。
3. 2 完整性
中繼攻擊��、重播攻擊��、信息重構(gòu)����、數(shù)據(jù)修改和數(shù)據(jù)插入將破壞RFID 通信信道的完整性。
3. 2. 1 中繼攻擊
在中繼攻擊中, 人侵者扮演著中間人的角色�。將入侵設(shè)備偷偷地放置在合法RFID標(biāo)簽與閱讀器之間, 旨在攔截或篡改 RFID標(biāo)簽和閱讀器之間的通信。而標(biāo)簽和閱讀器錯(cuò)誤地認(rèn)為它們是直接與對(duì)方通信的����。用于中繼標(biāo)簽和閱讀器之間的遠(yuǎn)距離通信的設(shè)備有:與閱讀器通信的“ghost”, 與 RFID 標(biāo)簽通信的“l(fā)eech”。這些裝置可能的工作范圍比標(biāo)稱讀取或功率可達(dá)范圍更大, 尤其是“ghost”, 其工作范圍與閱讀器的功率無關(guān)�����。
2008年, 一位德國(guó)理科碩士生對(duì)荷蘭票務(wù)系統(tǒng)進(jìn)行了中繼攻擊, 該學(xué)生僅僅利用Kfir和Wool描述的“ghost”和"leech”模型, 就造成荷蘭公共交通系統(tǒng)約20億美元的損失。另一種重大的威脅是在受害者不知情的情況下掌握 RFID卡款項(xiàng)�����。依據(jù)詐騙組織的不同, 中繼攻擊也被賦予不同的名字�。
1)距離欺詐:入侵者使用假冒標(biāo)簽試圖使合法閱讀器相信它與該閱讀器的距離比實(shí)際距離近。
2)黑手黨欺詐:這種攻擊主要涉及三個(gè)組成部分:合法標(biāo)簽T, 合法閱讀器R, 攻擊者A�。攻擊者安排欺詐標(biāo)簽T'和閱讀器R'試圖讓合法閱讀器R以為它正與合法標(biāo)簽T通信, 而事實(shí)上, 閱讀器R正與攻擊者A通信。但是, 這種攻擊并漢有泄露合法標(biāo)簽與閱讀器的共享私鑰�����。
3)恐怖欺詐:“恐怖欺詐”是指持有者完全合作的標(biāo)簽不與中繼設(shè)備共導(dǎo)“ 鑰資料�����。這就意味著它能夠估算風(fēng)險(xiǎn), 但是不會(huì)將自己的估算方法告知人侵者���。
3. 2. 2 重播攻擊
重播攻擊是在某段時(shí)間內(nèi)重新發(fā)送有效答復(fù)。這些答復(fù)可通過竊聽和會(huì)話獲得�。該攻擊與中繼攻擊相關(guān), 但是它發(fā)生在離線狀態(tài)下, 也就是說, 獲取信息的時(shí)間與重新發(fā)送信息的時(shí)間之間存在明顯的延遲。重播攻擊的最簡(jiǎn)單應(yīng)用是在基于訪問控制的 RFID系統(tǒng)或者在RFID 認(rèn)證系統(tǒng)中, 重復(fù)發(fā)送截取的合法標(biāo)簽到合法閱讀器之間的傳輸信息�����。在這些應(yīng)用中, 人侵者能夠獲得特定的訪問權(quán)限, 或是通過重播截獲的信息替代特定物品。即使信息被加密, 依然可以實(shí)現(xiàn)重播攻擊�。信息中的新鮮源(隨機(jī)數(shù))是一個(gè)必要條件, 但是就其本身并不能抵制重播攻擊。
3. 2. 3 信息重構(gòu)
包含隨機(jī)會(huì)話變量的協(xié)議通常對(duì)重播攻擊具有一定的抵抗能力, 盡管在某些情況下, 通過多條信息的結(jié)合或分析能夠限制這些新鮮信息���。這就需要重構(gòu)新的有信息, 這些信息將被進(jìn)一步的攻擊利用���。因此, 信息重構(gòu)可能使入侵者進(jìn)行更復(fù)雜的假冒攻擊, 例如獲得受限區(qū)域的訪問權(quán)利, 簡(jiǎn)單的重播攻擊則無法做到這一點(diǎn)。
3. 2. 4 數(shù)據(jù)修改
RFID標(biāo)簽通常配備有可寫存儲(chǔ)器, 因此, 人侵者便利用這一點(diǎn)傳輸或刪除數(shù)據(jù)�����。該情況的發(fā)生主要取決于所采用的 READ/WRITE保護(hù)和RFID標(biāo)準(zhǔn)���。此類攻擊
所造成的后果與應(yīng)用和修改的程度直接相關(guān)��。例如, 在醫(yī)療應(yīng)用中, 修改病人的藥劑量或病例史標(biāo)簽將會(huì)造成可怕的后果�����。專業(yè)的入侵者可以修改標(biāo)簽的重要信息而不改變標(biāo)簽的ID和任何與安全相關(guān)的信息, 如加密密鑰�����、數(shù)字證書�。因此, 閱讀器無法得知信息的變化。在RFID 通信中, 濫用編碼方案是修改數(shù)據(jù)的一種重要方法�。 濫用編碼方案:修改傳輸數(shù)據(jù)的方法是在數(shù)據(jù)傳輸過程中, 更換或翻轉(zhuǎn)數(shù)據(jù)比特。某些編碼機(jī)制易受此類攻擊的影響����。例如, 當(dāng)數(shù)據(jù)傳輸速率為106KB時(shí), NFC標(biāo)簽使用100%調(diào)制比的“改進(jìn)密勒效應(yīng)編碼”, 當(dāng)數(shù)據(jù)傳輸速率大于106KB時(shí), 標(biāo)簽則使用10%調(diào)制比的“曼徹斯特編碼”。100%調(diào)制比意味著“0”和“1”被分別編碼表示無信號(hào)和全信號(hào), 人侵者通過發(fā)送自己的信號(hào)能夠?qū)ⅰ?”變成“1”, 但卻不能將“1”變成“0”, 因?yàn)槿肭终邿o法減小合法閱讀器發(fā)出的信號(hào)強(qiáng)度, 然而, 在10%調(diào)制比條件下, “0”表示弱信號(hào)(82%), “1”表示強(qiáng)信號(hào)(100%)���。通過增加“0”或“1”兩個(gè)信號(hào), 人侵者就可以按照自己的意愿對(duì)數(shù)據(jù)進(jìn)行修改, 調(diào)制比為80%的信號(hào)被看作是基線噪聲, 100%調(diào)制比的是“0”, 125%調(diào)制比的是“1”��。
3. 2. 5 數(shù)據(jù)插入
非不修改傳輸數(shù)據(jù)的比特位, 只是增加新的數(shù)據(jù)或是整條信息的攻擊稱作數(shù)據(jù)插入攻擊, 而非數(shù)據(jù)修改攻擊�。該攻擊通常發(fā)生在邊緣硬件或后端系統(tǒng), 但是最容易遭受該攻擊的是通信協(xié)議本身����。這種攻擊具有多種實(shí)施場(chǎng)景。例如, 人侵者插入信息改變字段, 如改變商店中商品的價(jià)格等�。最有挑戰(zhàn)性的數(shù)據(jù)插入方法非不修改傳輸數(shù)據(jù)的比特位, 只是增加新的數(shù)據(jù)或是整條信息的攻擊稱作數(shù)據(jù)插入攻擊, 而非數(shù)據(jù)修改攻擊。該攻擊通常發(fā)生在邊緣硬件或后端系統(tǒng), 但是, 最容易遭受該攻擊的是通信協(xié)議本身�����。這種攻擊具有多種實(shí)施場(chǎng)景����。例如, 人侵者插入信息改變字段, 如改變商店中商品的價(jià)格等。最有挑戰(zhàn)性的數(shù)據(jù)插入方法非不修改傳輸數(shù)據(jù)的比特位, 只是增加新的數(shù)據(jù)或是整條信息的攻擊稱作數(shù)據(jù)插入攻擊, 而非數(shù)據(jù)修改攻擊����。該攻擊通常發(fā)生在邊緣硬件或后端系統(tǒng), 但是,最容易遭受該攻擊的是通信協(xié)議本身。這種攻擊具有多種實(shí)施場(chǎng)景�����。例如, 人侵者插入信息改變字段, 如改變商店中商品的價(jià)格等�����。最有挑戰(zhàn)性的數(shù)據(jù)插入方法是競(jìng)賽”�����。競(jìng)賽:數(shù)據(jù)插人要求人侵者在合法閱讀器做出響應(yīng)之前迅速發(fā)出響應(yīng), 該討需要瞬間完成, 因而產(chǎn)生了“競(jìng)賽”的概念�。這樣, 閱讀器只能執(zhí)行部分協(xié)計(jì)如標(biāo)簽解鎖等, 同時(shí), 人侵者能夠劫持通信會(huì)話, 如將不同信息寫人標(biāo)簽或在不假名的情況下關(guān)閉會(huì)話。
3. 3 可用性
拒絕服務(wù)(DoS)攻擊是RFID通信層最具挑戰(zhàn)性的威脅之一, 因?yàn)樗子?/span>現(xiàn), 卻難以防御����。這種類型的攻擊與被動(dòng)降低射頻信號(hào)的攻擊和主動(dòng)阻塞干擾通
的攻擊是有區(qū)別的。
3. 3. 1 主動(dòng)干擾
環(huán)境噪聲��、阻塞或?yàn)E用私有保護(hù)標(biāo)簽都將引起主動(dòng)干擾。
1)噪聲:RFID 系統(tǒng)的工作環(huán)境不穩(wěn)定, 且存在噪聲, 因此, RFID 通信容受到各種無線電干擾, 如電源開關(guān)和電子信號(hào)發(fā)生器等����。
2)阻塞:在某些情況下, RFID 通信并沒有采取認(rèn)證機(jī)制, RFID 標(biāo)簽將接其可達(dá)范圍內(nèi)的所有無線信號(hào)。人侵者利用與閱讀器同樣工作范圍的無線信號(hào)故制造電磁干擾, 旨在干擾合法標(biāo)簽與閱讀器之間的通信���。
3)惡意阻礙標(biāo)簽:正常運(yùn)行的 RFID 標(biāo)簽可能受到惡意阻礙, 從而導(dǎo)致訪中斷��。濫用阻斷標(biāo)簽和 RFID 保護(hù)會(huì)導(dǎo)致 RFID 標(biāo)簽的惡意阻礙訪問和 DoS�。這種方法都是保護(hù)RFID 通信免受隱私威脅��。但是, 它們都可能被攻擊者利用, 蓄完成拒絕服務(wù)攻擊��。
3. 3. 2 信號(hào)的被動(dòng)衰減
金屬化合物����、水和其他物質(zhì)同樣對(duì)無線電通信存在負(fù)面影響?��;镜男盘?hào)減�、復(fù)雜的傳播效應(yīng)甚至標(biāo)簽屏蔽都會(huì)引發(fā)信號(hào)的被動(dòng)衰減�����。
1)基本衰減效應(yīng):水�、金屬、人體, 甚至某些塑料都會(huì)干擾無線電的傳輸這些負(fù)面效應(yīng)引發(fā)的衰減隨水和導(dǎo)電液體的吸收作用����、金屬和金屬表面的反射或
射作用、塑料等絕緣材料的介電效應(yīng)/頻率失諧作用等而變化��。一般而言, 頻率高, 金屬和液體對(duì)其性能影響就越大�����。
2)復(fù)雜的傳播效應(yīng):如果高頻(特高頻/微波)無線電波與其反射波在空某一點(diǎn)相遇, 此時(shí)兩者的相位相反, 彼此互相抵消, 此時(shí)就會(huì)發(fā)生傳播效應(yīng), 從產(chǎn)生駐波和多徑衰落����。盲區(qū)的信號(hào)接收效果很差, 但如果稍微調(diào)整傳輸信源或者)接收天線的方位, 這個(gè)問題就可以順利解決。這種傳播效應(yīng)難以預(yù)料, 其產(chǎn)生開人為而是自然發(fā)生的, 無論采取任何控制方法都難以抑制���。
3)標(biāo)簽屏蔽:如內(nèi)襯鋁箔的包裝袋一樣的法拉第籠可以將標(biāo)簽和電磁波屏意而阻斷標(biāo)簽與閱讀器之間的通信��。這為小偷偷盜商品和逃脫結(jié)賬提供了機(jī)會(huì)����。
被動(dòng)和主動(dòng)干擾都可能導(dǎo)致 RFID 通信的中斷, 甚至導(dǎo)致公司�、組織機(jī)構(gòu)和商
店里的識(shí)別系統(tǒng)完全崩潰����。入侵者的目的要么是損害受害者利益, 要么是在不受干
擾和不被發(fā)現(xiàn)的情況下進(jìn)行惡意行為, 如偷竊等����。
3. 4 威脅評(píng)估以及對(duì)策
總結(jié)了 RFID通信層可能存在的威脅及其主要損害, 并針對(duì)不同的威脅列舉出相應(yīng)的對(duì)策。低成本和高成本 RFID標(biāo)簽都容易受到該層幾乎所有的威脅攻擊�����。因攻擊的難易程度不同, 實(shí)施攻擊的成本高低不等�。竊聽或被動(dòng)/主動(dòng)干擾的攻擊成本較低, 中繼攻擊等成本較高。對(duì)于通信層上采用的防御/抵制攻擊的對(duì)策而言, 大多數(shù)情況下, 采用高效加密和認(rèn)證協(xié)議能夠有效地保護(hù)RFID系統(tǒng), 該對(duì)策實(shí)施成本適中����。
但是, 防御中繼攻擊必須采取更復(fù)雜的防御機(jī)制。防御中繼攻擊的方法是把標(biāo)簽與閱讀器之間的距離作為安全度量標(biāo)準(zhǔn)���。如果標(biāo)簽距離閱讀器很近, 我們就可以
認(rèn)為, 在不被察覺的情況下, 入侵者無法截獲信息����。測(cè)量距離的技術(shù)有:測(cè)量的信號(hào)強(qiáng)度, 時(shí)間延時(shí)或往返時(shí)間, 或標(biāo)簽到閱讀器的方位���。理想情況下, 應(yīng)該在要求時(shí)間內(nèi)盡可能快地制定協(xié)議, 標(biāo)簽應(yīng)盡可能快地給出反應(yīng)以減小欺騙空間�。基于以上原則的距離邊界協(xié)議用于防御中繼攻擊��。
3. 4 后端平臺(tái)
后端平臺(tái)由許多不同的部件組成, 同樣易受攻擊��。后端平臺(tái)一般由三部分組 成:“服務(wù)器”�����、“中間件設(shè)備”和“應(yīng)用軟件”�?����!胺?wù)器”負(fù)責(zé)收集閱讀器發(fā)出的射頻傳輸數(shù)據(jù), “中間件設(shè)備”負(fù)責(zé)將數(shù)據(jù)進(jìn)行轉(zhuǎn)換, 以便數(shù)據(jù)能被后端平臺(tái)中其他部件進(jìn)一步的處理, 諸如數(shù)據(jù)庫(kù)和特定業(yè)務(wù)的“應(yīng)用軟件”實(shí)現(xiàn)這進(jìn)一步的處理�。入侵者對(duì)后端平臺(tái)的攻擊會(huì)造成嚴(yán)重的后果。攻擊的切入點(diǎn)最可能是來自硬件邊緣和現(xiàn)有網(wǎng)絡(luò)的信息流��。
