📡 第3.1章 RFID系统安全
重点章节,RFID安全密码协议必考
知识总览
一、 核心概念与背景
1. 物联网感知层安全概述
- 感知层任务:信息采集、捕获和物体识别(典型设备:RFID、传感器、摄像头、GPS等)。
- 物联网信息处理 :感知信息需传输到统一的云计算平台进行综合处理与共享。
- 感知层安全三大类:RFID系统安全、无线传感器网络安全、物联网终端系统安全。
- 安全三大维度 :
- 物理安全:防范干扰、屏蔽、电磁泄漏、信道攻击等。
- 运行安全:密码算法实现、密钥管理、接口管理(涉及节点、汇聚节点、数据中心)。
- 通信安全:传输防窃取、篡改、伪造。
2. RFID基本组成架构
- 三大组件:标签、读写器、后台数据库。
- 信道非对称性(重点) :
- 前向信道(读写器→标签):功率大,通信范围广。
- 反向信道(标签→读写器):功率小,通信范围小。
- 影响:这种非对称性极大影响了安全机制的设计。
- 基本安全假设 :标签与读写器之间信道不安全,读写器与后台数据库之间信道安全。
二、 安全威胁与安全需求
1. 三大安全威胁(为何RFID易受攻击?)
- 标签计算能力弱:成本低、存储极小(64-128位)、难以搭载复杂安全算法,易被操控或篡改数据。
- 无线网络脆弱性:无线射频通信无物理接触,信息暴露在环境中,易受攻击。
- 业务应用隐私安全:物联网中网络连接与业务使用紧密结合,隐私泄露成为制约发展的重要因素。
- 威胁分类:针对实体的威胁(标签/读写器/系统) & 针对通信过程的威胁(射频/互联网通信)。
2. 五大安全需求(CIA + 审计 + 隐私)
- 机密性:标签数据及通信数据不被非法获取或理解(如公交卡、电子钱包)。
- 完整性 :数据不被非法篡改,或篡改后能被检测(通常使用消息认证码MAC检验)。
- 可用性:合法用户随时可用,安全方案不能过于消耗标签资源(防DoS攻击、防物理破坏如屏蔽/撕毁)。
- 可审计性:读写器和标签真实可信,读取记录可追踪(防伪造标签、防隐藏标签)。
- 隐私性 :
- 信息隐私:非公开信息不被获取/推断。
- 位置隐私:用户不被跟踪定位。
- 交易隐私:交换数据、新增/失去标签时的信息不被获取。
三、 常见攻击方法
| 攻击类型 | 攻击原理与特点 |
|---|---|
| 窃听 | 远程隐藏截获无线信号(如截获信用卡号等),难发现,不产生信号。 |
| 中间人攻击 (MITM) | 拦截数据---修改数据---发送数据(会话劫持),伪装成对方进行通信。 |
| 欺骗 | 掌握标签数据后,向阅读器冒充合法标签。 |
| 重放 | 录制标签之前的合法回复,再次播放以通过认证。 |
| 克隆 | 伪造一个与原标签完全相同的副本。 |
| 拒绝服务 | 制造标签冲突、发起大量认证消耗计算资源、耗尽标签内部状态,使系统瘫痪。 |
| 物理破解 | 劫持标签样本→逆向工程破解→推测历史消息/推断其他标签秘密。 |
| 其他 | 篡改信息(非授权修改/擦除)、RFID病毒(标签携带恶意代码攻击后台)。 |
四、 RFID安全防护机制
防护机制分为物理机制 和密码机制两大类。物理机制多用于低成本标签。
1. 物理机制(8种)
| 机制 | 原理 | 优点 | 缺点 |
|---|---|---|---|
| 静电屏蔽 | 法拉第笼(金属网罩)阻断信号 | 物理隔离,保护绝对 | 成本高,使用不便,必须放入笼中 |
| 阻塞标签 | 发射假冒序列码连续频谱隐藏真码 | 无需改标签 | 需额外标签,分离后失效 |
| 主动干扰 | 主动发射无线电信号干扰阅读器 | 强制有效 | 容易影响其他合法通信系统 |
| 改变频率 | 阅读器/标签使用保留/任意频率通信 | 增加窃听难度 | 需复杂电路,成本过高 |
| Kill命令 | 物理销毁/禁用标签 | 简单直接 | 不可恢复,无法验证是否真被Kill |
| 休眠机制 | 标签休眠,需唤醒口令唤醒 | 标签可复用 | 需口令管理系统,休眠时无法空口关联,需条形码辅助 |
| 阻塞机制 | 隐私比特:0=公共扫描,1=私有 | 灵活控制状态 | 结账后需改写比特为1 |
2. 密码机制与认证协议(核心考点⚡)
标签计算能力分类:
- 基本标签(仅XOR和简单逻辑)
- 对称密码标签
- 公钥密码标签
静态ID vs 动态ID刷新:
- 静态ID:标签标识不变,易被追踪。
- 动态ID刷新:标识动态变化,防追踪,但存在数据同步问题(后台必须与标签同步刷新,否则合法标签无法认证)。
Hash锁协议
- 核心思想 :用 metaID=H(key)metaID=H(key)metaID=H(key) 替换真实ID
- 认证方向 :双向认证
- 缺点 :
- ID明文传送,容易受到假冒攻击和重传攻击
- ID不变,容易被追踪
随机化Hash锁协议
- 核心思想 :引入随机数R,计算H(IDk∣∣R)H(ID_k || R)H(IDk∣∣R) ,使其总是变化的
- 认证方向 :双向认证
- 缺点:
- 认证通过后的IDjID_jIDj 仍以明文传送,因此容易被追踪、伪造。
- 每一次认证,后端数据需要将所有标签标识发给读写器,数据通信量很大,效率低
Hash链协议
-
核心思想 :共享秘密值动态更新 at,j=G(st,j)a_{t, j}=G(s_t, j)at,j=G(st,j),st,j+1=H(st,j)s_{t, j+1}=H(s_{t,j})st,j+1=H(st,j)
-
认证方向:单向认证
-
优点:
- 不可追踪性 :G是单向函数 ,攻击者观察到的at,ja_{t, j}at,j 和at,j+1a_{t, j+1}at,j+1 是不可关联的
- 前向安全性 :即使攻击者从窃听的at,ja_{t,j}at,j来推算出了st,js_{t,j}st,j,也无法知道st,j−1s_{t,j-1}st,j−1等,从而无法知道at,j−1a_{t,j-1}at,j−1,还是无法进行追踪。
-
缺点:
- 容易收到重传和假冒攻击,只要截获某个at,ja_{t,j}at,j,就可以进行重传攻击
- 后台需对每个标签做j次Hash运算,计算量大
- 需两个Hash函数,增加电路成本
- Hash"链"的体现:每次更新当前秘密值S
David数字图书馆协议
- 核心思想 :预共享秘密s,使用伪随机函数fsf_sfs
- 认证方向:双向认证
- 优点:目前无明显安全漏洞
- 缺点 :标签需集成随机数生成器和安全伪随机函数,不适用于低成本标签
🌟 重点认证协议对比分析(必考重点)
| 协议名称 | 核心思想 | 认证方式 | 安全性分析 (优/缺) | 效率/成本问题 |
|---|---|---|---|---|
| Hash锁协议 | 用metaID=H(key)代替真实ID |
双向 | ❌无ID刷新,ID明文传输; ❌易受假冒、重放、追踪攻击 | / |
| 随机化Hash锁 | 引入随机数R,计算 H(IDk R) | 双向 | ❌认证后ID仍明文传输; ❌可被追踪、伪造 | ❌后台需发送所有ID给读写器,通信量极大 |
| Hash链协议 | 共享秘密值动态更新 at,j=G(st,j) st,j+1=H(st,j) |
单向(标->读) | ✅不可追踪性; ✅前向安全性; ❌仍易受重放和假冒攻击 | ❌后台需对每个标签做j次Hash运算,计算量大; ❌需两个Hash函数,增加电路成本 |
| Good Reader | 标签存读写器ID,验证读写器合法性 | 单向(读->标) | ✅防位置跟踪和假冒; ❌未认证标签(不安全) | ✅后台无需大量Hash运算; ❌标签需存ReaderID,增加存储成本 |
| David数字图书馆 | 预共享秘密s,使用伪随机函数fs |
双向 | ✅目前无明显安全漏洞 | ❌标签需集成随机数生成器和安全伪随机函数,不适用于低成本标签 |
💡 协议复习口诀:
- Hash锁:明文传ID,最不安全。
- 随机Hash锁:加了随机数,但最后还是明文传ID,且后台要传所有ID,效率低。
- Hash链:秘密值自己不断Hash更新,防追踪且前向安全,但怕重放,后台算到爆。
- Good Reader:只验读写器,标签成本高。
- David:最安全,但标签太贵用不起。
根据您提供的第3.1章(PPT标注为3.1,虽然您提及第2章,但我将基于您实际提供的RFID系统安全内容)的PPT文本,我为您精心编写了5道涵盖单选、判断和简答的复习题,并附带了详细的答案解析:
📝 一、 单项选择题
1. 在RFID系统的基本架构与安全假设中,关于通信信道的描述,下列说法正确的是( )
A. 前向信道(读写器到标签)的通信范围小于反向信道
B. 反向信道(标签到读写器)的通信范围大于前向信道
C. 通常假设标签与读写器之间的通信信道是不安全的
D. 通常假设读写器与后台数据库之间的通信信道是不安全的
【答案】C
【解析】:
- A、B错误:由于读写器与标签的无线功率差别很大,前向信道 (读写器→标签)的通信范围远远大于反向信道(标签→读写器),这种特性称为信道的"非对称性"。
- C正确:出于对RFID系统设计、管理和分析方便的考虑,通常的基本假设是:标签与读写器之间的通信信道是不安全的,而读写器与后台数据库之间的通信信道则是安全的。故D错误。
2. 下列RFID安全密码协议中,既实现了双向认证,又满足前向安全性(即当前秘密泄露不会暴露历史通信),但存在易受重放攻击且数据库计算量极大问题的是( )
A. Hash锁协议
B. 随机化Hash锁协议
C. Hash链协议
D. Good Reader协议
【答案】C
【解析】:
- A(Hash锁):双向认证,但ID无动态刷新,以明文传输,不满足前向安全性。
- B(随机化Hash锁):双向认证,引入了随机数,但认证后ID仍以明文传输,不满足前向安全性,且数据库需传输所有ID,效率极低。
- C(Hash链):满足不可追踪性和前向安全性,但只要截获某个at,j就能进行重传/假冒攻击;且数据库每次需对所有标签进行j次hash运算,计算量极大。
- D(Good Reader):仅是单向认证(只认证读写器合法性),不满足前向安全性。
📝 二、 判断题(2题)
3. 在RFID物理安全机制中,Kill命令机制和休眠机制都能使标签停止向外界发送信息,且一旦执行这两种操作,标签都将无法再次恢复使用。( )
【答案】错误(×)
【解析】 :Kill命令机制是从物理上毁坏标签,一旦实施便不可恢复 (禁用状态);而休眠机制是让标签处于睡眠状态,以后可以使用唤醒口令将其重新唤醒。两者在是否可恢复上有本质区别。
4. 采用动态ID刷新机制的RFID系统,必须解决"数据同步问题",即后端数据库中保存的标签标识必须与标签中的标识同步刷新,否则会导致合法标签无法通过认证。( )
【答案】正确(√)
【解析】:动态ID刷新机制的核心是标签标识随每次交互动态变化。如果后台数据库和标签的ID刷新不同步(例如标签刷新了但后台没刷新),下一次认证时合法标签的新ID就无法在数据库中找到匹配项,导致合法标签无法通过认证。这就是动态ID机制的"数据同步问题"。
📝 三、 简答题(1题)
5. 请简述随机化Hash锁协议相比于基本的Hash锁协议做了什么改进?为什么说它仍然是不安全的?
【参考答案】
- 改进点:随机化Hash锁协议在Hash锁协议的基础上引入了基于随机数的"挑战---应答"机制。标签生成随机数R,并计算H(IDk||R)发送给读写器,使得标签每次的应答输出是动态变化的,试图以此解决Hash锁协议中标签输出固定导致的易被追踪问题。
- 仍不安全的原因 :
- ID明文传输 :认证通过后,读写器仍然将标签的标识ID以明文形式在不安全信道上传送给标签,攻击者依然可以轻易窃取ID并进行有效追踪。
- 易被伪造:攻击者一旦获取了明文IDj,就可以利用它伪造标签。
- 效率极低:每次认证时,后端数据库都需要将所有标签的标识发送给读写器进行穷举匹配,通信量巨大。