【正文】 A G 4R F I D T A G 5RFID應用的隱私泄露問題 因此，如何實現(xiàn) RFID系統(tǒng)的安全并保護電子標簽持有人隱私將是目前和今后發(fā)展 RFID技術十分關注的課題?？蓞⒖加嬎銠C或網(wǎng)絡安全 方面相關的文獻資料。標簽用戶可以通 過一個設備主動廣播無線電信號用于阻止或破壞附近的讀寫器的操 作。 鎖定標簽： 對于唯一標志號為 ID的標簽，首先閱讀器隨機產(chǎn)生該標簽的 Key，計算 metaID=Hash(Key)，將metaID發(fā)送給標簽；標簽將 metaID存儲下來，進入鎖定狀態(tài)。 （ 2）隨機 Hash鎖僅解決了標簽位置隱私問題，一旦標簽的秘密信息 被截獲，隱私侵犯者可以獲得訪問控制權，通過信息回溯得到標簽 歷史記錄，推斷標簽持有者隱私。并且，該方案的實施前提是讀 寫器與后臺服務器的通信建立在可信任的通道上。試圖冒充別 的合法用戶進入系統(tǒng)，對系統(tǒng)進行實質上未經(jīng)授權的訪問。攻擊者只需具備智能卡、讀寫器和 PC即可；其另一優(yōu)點在于非入侵式的攻擊模式以及可輕松地復制。 44 例如： Mifare卡，采用三次認證協(xié)議，其密鑰為 6字節(jié)，即 48位，一次典型的驗證需要 6ms，如果外部使用暴力破解的話，需要的時間為一個非常大的數(shù)字，常規(guī)破解手段將無能為力。 初始置換 IP ② 3重 DES 3DES是 DES加密數(shù)據(jù)的一種模式，它使用 3條 56位的密鑰對數(shù)據(jù)進行三次加密。 ? 密鑰長度應該介于 1024bit到 2048bit之間 ? RSA129歷時 8個月被于 1996年 4月被成功分解 ， RSA－130于 1996年 4月被成功分解 ， RSA140于 1999年 2月被成功分解 ， RSA155于 1999年 8月被成功分解 。 智能卡作為一種應用最為廣泛的電子標簽，其安全性備受關 注。 對存儲區(qū)的訪問控制，本書已經(jīng)介紹了一個具體的實例（ Mifare S50卡的存儲區(qū)訪問控制），可作為本部分的參考。 ④ RSA算法 ? MIT三位年青數(shù)學家 ， ， 稱作 MIT體制 ， 后來被廣泛稱之為 RSA體制 。 ? 綜合運用了置換、代替、代數(shù)等多種密碼技術。 42 電 子 標 簽讀 寫 器接 受 認 證 請求 發(fā) 送 隨 記數(shù) 據(jù) B解 密 數(shù) 據(jù) B加 密 數(shù) 據(jù) A加 密 數(shù) 據(jù) B發(fā) 送 隨 機 數(shù) 據(jù) A認 證 請 求隨 機 數(shù) 據(jù) B加 密 數(shù) 據(jù) B 隨 機 數(shù) 據(jù) A加 密 數(shù) 據(jù) A解 密 數(shù) 據(jù) A ? 射頻識別中的認證技術 ? 三次認證過程 ? 閱讀器發(fā)送查詢口令的命令給應答器，應答器作為應答響應傳送所產(chǎn)生的一個隨機數(shù) RB給閱讀器。 （ 4）在智能卡的內(nèi)部安裝監(jiān)控程序，以防止外界對處理器 /存儲器 數(shù)據(jù)總線及地址總線的截聽。 智能卡的安全問題 ? 影響智能卡安全的基本問題 根據(jù)各種對智能卡攻擊所采用的手段和攻擊對象的不同，一般 可以歸納為以下三種方式 : （ 1） 使用偽造的智能卡，以期進入某一系統(tǒng) 。 RFID系統(tǒng)安全解決方案 4．匿名 ID方案 匿名 ID方案 采用匿名 ID，在消息傳輸過程中，隱私侵犯者即使 截獲標簽信息也不能獲得標簽的真實 ID。標簽再發(fā)送數(shù)據(jù)給請求的閱讀器，同時讀寫器發(fā)送給后臺服務器數(shù)據(jù)庫，后臺服務器數(shù)據(jù)庫窮舉搜索所有標簽 ID和 r的 Hash值，判斷是否為對應標簽 ID，標簽接收到讀寫器發(fā)送的 ID后解鎖。 ③ 閱讀器 R 將 metalID 傳送給后臺數(shù)據(jù)庫 B，數(shù)據(jù)庫查詢是否存在相等的 metalID 值，若匹配則發(fā)送相應的標簽信息 (key, ID)給閱讀器 R。另外，若 Kill識別序列號（ PIN）一旦泄漏，可能導致 惡意者對商品的偷盜。 （ 3）偽造標簽發(fā)送數(shù)據(jù)：偽造的標簽向讀寫器提供虛假數(shù)據(jù)，欺 騙 RFID系統(tǒng)接收、處理以及執(zhí)行錯誤的電子標簽數(shù)據(jù)。他們成功的完全復制了 DST，這意味著他們破解了含有 DST 的汽車鑰匙，并且使用它執(zhí)行了相同的功能。為了防止某些試圖侵入RFID系統(tǒng)而進行的非授權訪問，或者防止跟蹤、竊取甚至惡意篡改電子標簽信息，必須采取措施來保證數(shù)據(jù)的有效性和隱私性，確保數(shù)據(jù)安全性。 存在這么幾個問題 RFID為什么會泄露個人隱私的 ？ RFID的安全漏洞在哪 ,有哪些攻擊方式？ RFID有哪些安全解決方案 ？ 問題探究 RFID系統(tǒng)面臨的安全攻擊 ?RFID系統(tǒng)中的傳輸是基于 無線通信 方式的，使得傳輸?shù)臄?shù)據(jù) 容易被“偷聽” ； ?在 RFID系統(tǒng)中，特別是對于電子標簽，計算能力和可編程能力都被標簽本身的成本所約束，在一個特定的應用中，標簽的成本越低，其 計算能力也就越弱 ，在安全方面可防止被威脅的能力也就越弱。 RFID系統(tǒng)面臨的安全攻擊 由于目前 RFID的主要應用領域對隱私性的要求不高，因此對于安全、隱私問題的注意力還比較少。但這種方法可能導致非法干擾，使附近其他合法的 RFID系統(tǒng)受 到干擾，嚴重時可能阻斷附近其他無線系統(tǒng)。閱讀器將 (metaID， Key， ID)存儲到后臺數(shù)據(jù)庫中，并以 metaID 為索引。 （ 3）后臺服務器數(shù)據(jù)庫的解碼操作通過窮舉搜索，標簽數(shù)目很多 時，系統(tǒng)延時會很長，效率并不高。 RFID系統(tǒng)安全解決方案 重加密方案 采用公鑰加密。 （ 3） 主動攻擊方式。 智能卡的邏輯安全主要由下列的途徑實現(xiàn)。 智能卡的安全問題 核實 是通過用戶向智能卡出示僅有他本人知道的通行字，并由 智能卡對該通行字的正確性進行判斷來達到驗證的目的。 解 密 過 程D E S 加 密 D E S 解 密 D E S 加 密D E S 解 密 D E S 加 密 D E S 解 密6 4 位 明 文 6 4 位 密 文K 1K 2 K 3加 密 過 程 ③ 高級加密標準（ Advanced Encryption Standard， AES） ? 高級加密標準由美國國家標準與技術研究院 （ NIST）于 2023年 11月 26日發(fā)布于 FIPS PUB 197，并在 2023年 5月 26日成為有效的標準。 ? DES和 RSA兩種算法各有優(yōu)缺點： DES算法處理速度快 ，而 RSA算法速度慢很多； DES密鑰分配困難 ， 而 RSA簡單； DES適合用于加密信息內(nèi)容比較長的場合 ， 而 RSA適合用于信息保密非常重要的場合 。攻擊者可利用物理的方法竊取智能卡芯片中的數(shù)據(jù)，但是難得 很大。通過對存儲區(qū)域的劃分，普通 數(shù)據(jù)和重要數(shù)據(jù)被有效地分離，各自接受不同程度的條件保護，相 應地提高了邏輯安全的強度。該算法是迄今為止已知的最低成本的AES方案。 ? 加密和解密共用同一算法，使工程實現(xiàn)的工作量減半。由于同一應用的所有標簽都使用唯一的加密密鑰，所有三次認證協(xié)議具有安全隱患。選用一定的特殊材料 防止非法對存儲器內(nèi)容進行直接分析。本書附有大量的研發(fā)實例。 RFID系統(tǒng)安全解決方案 3． Hash鏈優(yōu)缺點分析 ? 在 Hash鏈協(xié)議中，標簽是一個具有自主 ID更新能力的標簽，這使得 ? 前向安全性問題得到了解決； ? Hash鏈協(xié)議只能對標簽身份進行認證； ? 容易受到重傳和假冒攻擊； ? 標簽每次認證后，后臺數(shù)據(jù)庫都要對每一個標簽進行 i次雜湊運算； ? 該協(xié)議需要兩個不同的 hash函數(shù)，增加了標簽的制造成本。讀寫器請求訪問標簽，標簽接收到訪問請求后，由 Hash函數(shù) 計算標簽 ID與隨機數(shù) r