RFID設(shè)備作為潛力應(yīng)用的科技型產(chǎn)品�����,還處于一個(gè)發(fā)展中�����,逐漸走向成熟的階段����。其實(shí)和其它安全設(shè)備一樣,RFID設(shè)備的安全性也并不����。盡管RFID設(shè)備現(xiàn)在在很多領(lǐng)域都得到了廣泛的應(yīng)用,但其帶來的安全威脅需要我們?cè)谠O(shè)備部署前解決�。下面就跟艾特姆射頻小編一起來探討下RFID設(shè)備應(yīng)用可能遇到的一些相關(guān)的安全問題及隱患。
一���、.RFID偽造
根據(jù)計(jì)算能力���,RFID技術(shù)的應(yīng)用可以分為三類:
1.普通電子標(biāo)簽(tag)
2.使用對(duì)稱密鑰的標(biāo)簽
3.使用非對(duì)稱密鑰的標(biāo)簽
其中,普通標(biāo)簽不做任何加密操作�,很容易進(jìn)行偽造。但普通標(biāo)簽卻廣泛應(yīng)用在物流管理和旅游業(yè)中��,攻擊者可以輕易將信息寫入一張空白的RFID電子標(biāo)簽中或者修改一張現(xiàn)有的標(biāo)簽�����,以獲取使用RFID電子標(biāo)簽進(jìn)行認(rèn)證系統(tǒng)對(duì)應(yīng)的訪問權(quán)限��。對(duì)于普通標(biāo)簽攻擊者可以進(jìn)行如下三件事:
1.修改現(xiàn)有標(biāo)簽中的數(shù)據(jù)�,使一張無效標(biāo)簽變?yōu)橛行У模蛘呦喾?����,將有效的?biāo)簽變?yōu)闊o效����。例如����,可以通過修改商品的標(biāo)簽內(nèi)容���,然后以一個(gè)較低的價(jià)格購(gòu)買一件昂貴的商品����。
2.同樣還是修改標(biāo)簽�����,不過是將一個(gè)標(biāo)簽內(nèi)容修改為另一個(gè)標(biāo)簽的內(nèi)容��,就是貍貓換太子�����。
3.根據(jù)獲取到的別人標(biāo)簽內(nèi)容來制造一張自己的標(biāo)簽���。
所以��,當(dāng)想在一些處理如這種包含敏感信息的系統(tǒng)中使用RFID標(biāo)簽時(shí)���,一定要使用加密技術(shù)���。但如果不得不使用普通標(biāo)簽的話���,一定要確保配有相應(yīng)的安全規(guī)范��、監(jiān)控和審計(jì)程序�,以檢測(cè)RFID系統(tǒng)中任何的異常行為�。
二、RFID嗅探
RFID嗅探是RFID系統(tǒng)中一個(gè)主要的問題����。如超高頻閱讀器總是向標(biāo)簽發(fā)送請(qǐng)求認(rèn)證的信息,當(dāng)超高頻閱讀器收到標(biāo)簽發(fā)送的認(rèn)證信息時(shí)���,它會(huì)利用后端數(shù)據(jù)庫(kù)驗(yàn)證標(biāo)簽認(rèn)證信息的合法性��。但不幸的是�,大部分的RFID標(biāo)簽并不認(rèn)證RFID閱讀器的合法性�����。那么攻擊者可以使用自己的RFID閱讀器去套取標(biāo)簽的內(nèi)容。
三����、跟蹤
通過讀取標(biāo)簽上的內(nèi)容,攻擊者可以跟蹤一個(gè)對(duì)象或人的運(yùn)動(dòng)軌跡�。當(dāng)一個(gè)標(biāo)簽進(jìn)入到了RFID閱讀器可讀取的范圍內(nèi)時(shí),RFID閱讀器可以識(shí)別標(biāo)簽并記錄下標(biāo)簽當(dāng)前的位置��。無論是否對(duì)標(biāo)簽和RFID閱讀器之間的通信進(jìn)行了加密�,都無法逃避標(biāo)簽被追蹤的事實(shí)。攻擊者可以使用移動(dòng)機(jī)器人來跟蹤標(biāo)簽的位置���。
四�、拒絕服務(wù)
當(dāng)閱讀器收到來自標(biāo)簽的認(rèn)證信息時(shí)���,它會(huì)將認(rèn)證信息與后端數(shù)據(jù)庫(kù)內(nèi)的信息進(jìn)行比對(duì)����。RFID閱讀器和后端數(shù)據(jù)庫(kù)都很容易遭受拒絕服務(wù)攻擊��。當(dāng)出現(xiàn)拒絕服務(wù)攻擊時(shí)����,RFID閱讀器將無法完成對(duì)標(biāo)簽的認(rèn)證�����,并導(dǎo)致其他相應(yīng)服務(wù)的中斷�����。所以,必須確保RFID閱讀器和后端數(shù)據(jù)庫(kù)之間有相應(yīng)防范拒絕服務(wù)攻擊的機(jī)制�。
五、欺騙
在欺騙攻擊中��,攻擊中常常將自己偽造成為一個(gè)合法的用戶�����。有時(shí)����,攻擊者會(huì)把自己偽造成后端數(shù)據(jù)庫(kù)的管理員,如果偽造成功�,那么攻擊者就可以隨心所欲的做任何事,例如:相應(yīng)無效的請(qǐng)求�����,更改RFID標(biāo)識(shí),拒絕正常的服務(wù)或者干脆直接在系統(tǒng)中植入惡意代碼����。
六、否認(rèn)
所謂否認(rèn)就是當(dāng)一個(gè)用戶在進(jìn)行了某個(gè)操作后拒絕承認(rèn)他曾做過��,當(dāng)否認(rèn)發(fā)送時(shí)�����,系統(tǒng)沒有辦法能夠驗(yàn)證該用戶究竟有沒有進(jìn)行這項(xiàng)操作���。在 使用RFID中�����,存在兩種可能的否認(rèn):一種是發(fā)送者或接收者可能否認(rèn)進(jìn)行過一項(xiàng)操作��,如發(fā)出一個(gè)RFID請(qǐng)求�,此時(shí)我們沒任何證據(jù)可以證明發(fā)送者或接收者 是否發(fā)出過RFID請(qǐng)求;另一種是數(shù)據(jù)庫(kù)的擁有者可能否認(rèn)他們給予過某件物品或人任何標(biāo)簽�����。
七、插入攻擊
在這種攻擊中�����,攻擊者試圖向RFID系統(tǒng)發(fā)送一段系統(tǒng)命令而不是原本正常的數(shù)據(jù)內(nèi)容�。一個(gè)的例子就是,攻擊者將攻擊命令插入到標(biāo)簽存儲(chǔ)的正常數(shù)據(jù)中����。
八、重傳攻擊
攻擊者通過截獲標(biāo)簽與RFID讀寫器之間的通信��,記錄下標(biāo)簽對(duì)RFID閱讀器認(rèn)證請(qǐng)求的回復(fù)信息����,并在之后將這個(gè)信息重傳給讀寫器����。重傳攻擊的一個(gè)例子就是,攻擊者記錄下標(biāo)簽和RFID讀寫器之間用于認(rèn)證的信息����。
九、物理攻擊
物理攻擊發(fā)送在攻擊者能夠在物理上接觸到標(biāo)簽并篡改標(biāo)簽的信息���。物理攻擊有多種方式��,例如:使用微探針讀取修改標(biāo)簽內(nèi)容���,使用X射線或者其他射線去破壞標(biāo)簽內(nèi)容���,使用電磁干擾破壞標(biāo)簽與讀寫器之間的通信。
另外���,任何人都可以輕易的使用小刀或其他工具人為的破壞標(biāo)簽��,這樣RFID讀寫器就無法識(shí)別標(biāo)簽了���。
十、病毒
同其他信息系統(tǒng)一樣���,RFID系統(tǒng)很容易遭受病毒的攻擊���。多數(shù)情況下,病毒的目標(biāo)都是后端數(shù)據(jù)庫(kù)�。RFID病毒可以破壞或泄露后端數(shù)據(jù)庫(kù)中存儲(chǔ)的標(biāo)簽內(nèi)容,拒絕或干擾閱讀器與后端數(shù)據(jù)庫(kù)之間的通信�。為了保護(hù)后端數(shù)據(jù)庫(kù)�,一定要及時(shí)修補(bǔ)數(shù)據(jù)庫(kù)漏洞和其他風(fēng)險(xiǎn)����。
雖然RFID系統(tǒng)常常成為被攻擊的目標(biāo),但是由于RFID系統(tǒng)低廉的成本��,使得其在很多領(lǐng)域還是得到了廣泛的應(yīng)用�。所以當(dāng)準(zhǔn)備部署RFID系統(tǒng)時(shí),一定要更多的關(guān)注其安全問題����,特別是本文描述的前四種攻擊:偽造、嗅探����、跟蹤和拒絕服務(wù)攻擊。
