rfid面临的安全攻击

本文格式为Word版，下载可任意编辑rfid面临的安全攻击 和其它平安设备一样，RFID设备的平安性并不完善。尽管RFID设备得到了广泛的应用，但其带来的平安威逼需要我们在设备部署前解决。本文将主要介绍几个RFID相关的平安问题。 和其它平安设备一样，RFID设备的平安性并不完善。尽管RFID设备得到了广泛的应用，但其带来的平安威逼需要我们在设备部署前解决。本文将主要介绍几个RFID相关的平安问题。 1.RFID伪造 依据计算力量，RFID可以分为三类： 1.一般标签(tag) 2.使用对称密钥的标签 3.使用非对称密钥的标签 其中，一般标签不做任何加密操作，很简单进行伪造。但一般标签却广泛应用在物流管理和旅游业中，攻击者可以轻易将信息写入一张空白的RFID标签中或者修改一张现有的标签，以猎取使用RFID标签进行认证系统对应的访问权限。对于一般标签攻击者可以进行如下三件事： 1.修改现有标签中的数据，使一张无效标签变为有效的，或者相反，将有效的标签变为无效。例如，可以通过修改商品的标签内容，然后以一个较低的价格购买一件昂贵的商品。 2.同样还是修改标签，不过是将一个标签内容修改为另一个标签的内容，就是狸猫换太子。 3.依据猎取到的别人标签内容来制造一张自己的标签。 所以，当想在一些处理如身份证这种包含敏感信息的系统中使用RFID标签时，肯定要使用加密技术。但假如不得不使用一般标签的话，肯定要确保配有相应的平安规范、监控和审计程序，以检测RFID系统中任何的特别行为。 2.RFID嗅探 RFID嗅探是RFID系统中一个主要的问题。RFID阅读器总是向标签发送恳求认证的信息，当阅读器收到标签发送的认证信息时，它会利用后端数据库验证标签认证信息的合法性。但不幸的是，大部分的RFID标签并不认证RFID阅读器的合法性。那么攻击者可以使用自己的阅读器去套取标签的内容。 3.跟踪 通过读取标签上的内容，攻击者可以跟踪一个对象或人的运动轨迹。当一个标签进入到了阅读器可读取的范围内时，阅读器可以识别标签并记录下标签当前的位置。无论是否对标签和阅读器之间的通信进行了加密，都无法躲避标签被追踪的事实。攻击者可以使用移动机器人来跟踪标签的位置。 4.拒绝服务 当阅读器收到来自标签的认证信息时，它会将认证信息与后端数据库内的信息进行比对。阅读器和后端数据库都很简单患病拒绝服务攻击。当消失拒绝服务攻击时，阅读器将无法完成对标签的认证，并导致其他相应服务的中断。所以，必需确保阅读器和后端数据库之间有相应防范拒绝服务攻击的机制。 5.哄骗 在哄骗攻击中，攻击中经常将自己伪造成为一个合法的用户。有时，攻击者会把自己伪造成后端数据库的管理员，假如伪造胜利，那么攻击者就可以随心所欲的做任何事，例如：相应无效的恳求，更改RFID标识，拒绝正常的服务或者干脆直接在系统中植入恶意代码。 6.否认 所谓否认就是当一个用户在进行了某个操作后拒绝承认他曾做过，当否认发送时，系统没有方法能够验证该用户毕竟有没有进行这项操作。在使用RFID中，存在两种可能的否认：一种是发送者或接收者可能否认进行过一项操作，如发出一个RFID恳求，此时我们没任何证据可以证明发送者或接收者是否发出过RFID恳求；另一种是数据库的拥有者可能否认他们赐予过某件物品或人任何标签。 7.插入攻击 在这种攻击中，攻击者试图向RFID系统发送一段系统命令而不是原本正常的数据内容。一个最简洁的例子就是，攻击者将攻击命令插入到标签存储的正常数据中。 8.重传攻击 攻击者通过截获标签与阅读器之间的通信，记录下标签对阅读器认证恳求的回复信息，并在之后将这个信息重传给阅读器。重传攻击的一个例子就是，攻击者记录下标签和阅读器之间用于认证的信息。 9.物理攻击 物理攻击发送在攻击者能够在物理上接触到标签并篡改标签的信息。物理攻击有多种方式，例如：使用微探针读取修改标签内容，使用X射线或者其他射线去破坏标签内容，使用电磁干扰破坏标签与阅读器之间的通信。 另外，任何人都可以轻易的使用小刀或其他工具人为的破坏标签，这样阅读器就无法识别标签了。 10.病毒 同其他信息系统一样，RFID系统很简单患病病毒的攻击。多数状况下，病毒的目标都是后端数据库。RFID病毒可以破坏或泄露后端数据库中存储的标签内容，拒绝或干扰阅读器与后端数据库之间的通信。为了爱护后端数据库，肯定要准时修补数据库漏洞和其他风险。 虽然RFID系统经常成为被攻击的目标，但是由于RFID系统低廉的成本，使得其在许多领域还是得到了广泛的应用。所以当预备部署RFID系统时，肯定要更多的关注其平安问题，特殊是本文描述的前四种攻击：伪造、嗅探、跟踪和拒绝服务攻击。 第 4 页 共 4 页