RFID的安全威脅有哪些?
根據計算能力,RFID可以分為三類:
1.普通標籤(tag)
2.使用對稱密鑰的標籤
3.使用非對稱密鑰的標籤
其中,普通標籤不做任何加密操作,很容易進行偽造。但普通標籤卻廣泛應用在物流管理和旅遊業中,攻擊者可以輕易將信息寫入一張空白的RFID標籤中或者修改一張現有的標籤,以獲取使用RFID標籤進行認證系統對應的訪問許可權。對於普通標籤攻擊者可以進行如下三件事:
1.修改現有標籤中的數據,使一張無效標籤變為有效的,或者相反,將有效的標籤變為無效。例如,可以通過修改商品的標籤內容,然後以一個較低的價格購買一件昂貴的商品。
2.同樣還是修改標籤,不過是將一個標籤內容修改為另一個標籤的內容,就是狸貓換太子。
3.根據獲取到的別人標籤內容來製造一張自己的標籤。
所以,當想在一些處理如身份證這種包含敏感信息的系統中使用RFID標籤時,一定要使用加密技術。但如果不得不使用普通標籤的話,一定要確保配有相應的安全規範、監控和審計程序,以檢測RFID系統中任何的異常行為。
2.RFID嗅探
RFID嗅探是RFID系統中一個主要的問題。RFID閱讀器總是向標籤發送請求認證的信息,當閱讀器收到標籤發送的認證信息時,它會利用後端資料庫驗證標籤認證信息的合法性。但不幸的是,大部分的RFID標籤並不認證RFID閱讀器的合法性。那麼攻擊者可以使用自己的閱讀器去套取標籤的內容。
3.跟蹤
通過讀取標籤上的內容,攻擊者可以跟蹤一個對象或人的運動軌跡。當一個標籤進入到了閱讀器可讀取的範圍內時,閱讀器可以識別標籤並記錄下標籤當前的位置。無論是否對標籤和閱讀器之間的通信進行了加密,都無法逃避標籤被追蹤的事實。攻擊者可以使用移動機器人來跟蹤標籤的位置。
4.拒絕服務
當閱讀器收到來自標籤的認證信息時,它會將認證信息與後端資料庫內的信息進行比對。閱讀器和後端資料庫都很容易遭受拒絕服務攻擊。當出現拒絕服務攻擊時,閱讀器將無法完成對標籤的認證,並導致其他相應服務的中斷。所以,必須確保閱讀器和後端資料庫之間有相應防範拒絕服務攻擊的機制。
5.欺騙
在欺騙攻擊中,攻擊中常常將自己偽造成為一個合法的用戶。有時,攻擊者會把自己偽造成後端資料庫的管理員,如果偽造成功,那麼攻擊者就可以隨心所欲的做任何事,例如:相應無效的請求,更改RFID標識,拒絕正常的服務或者乾脆直接在系統中植入惡意代碼。
6.否認
所謂否認就是當一個用戶在進行了某個操作後拒絕承認他曾做過,當否認發送時,系統沒有辦法能夠驗證該用戶究竟有沒有進行這項操作。在使用RFID中,存在兩種可能的否認:一種是發送者或接收者可能否認進行過一項操作,如發出一個RFID請求,此時我們沒任何證據可以證明發送者或接收者是否發出過RFID請求;另一種是資料庫的擁有者可能否認他們給予過某件物品或人任何標籤。
7.插入攻擊
在這種攻擊中,攻擊者試圖向RFID系統發送一段系統命令而不是原本正常的數據內容。一個最簡單的例子就是,攻擊者將攻擊命令插入到標籤存儲的正常數據中。
8.重傳攻擊
攻擊者通過截獲標籤與閱讀器之間的通信,記錄下標籤對閱讀器認證請求的回複信息,並在之後將這個信息重傳給閱讀器。重傳攻擊的一個例子就是,攻擊者記錄下標籤和閱讀器之間用於認證的信息。
9.物理攻擊
物理攻擊發送在攻擊者能夠在物理上接觸到標籤並篡改標籤的信息。物理攻擊有多種方式,例如:使用微探針讀取修改標籤內容,使用X射線或者其他射線去破壞標籤內容,使用電磁干擾破壞標籤與閱讀器之間的通信。
另外,任何人都可以輕易的使用小刀或其他工具人為的破壞標籤,這樣閱讀器就無法識別標籤了。
10.病毒
同其他信息系統一樣,RFID系統很容易遭受病毒的攻擊。多數情況下,病毒的目標都是後端資料庫。 RFID病毒可以破壞或泄露後端資料庫中存儲的標籤內容,拒絕或干擾閱讀器與後端資料庫之間的通信。為了保護後端資料庫,一定要及時修補資料庫漏洞和其他風險。雖然RFID系統常常成為被攻擊的目標,但是由於RFID系統低廉的成本,使得其在很多領域還是得到了廣泛的應用。所以當準備部署RFID系統時,一定要更多的關注其安全問題,特別是本文描述的前四種攻擊:偽造、嗅探、跟蹤和拒絕服務攻擊。
RFID的安全威脅有哪些?
推薦閱讀:
※如何權衡馬自達cx-5和昂科威的安全性?
※為什麼生物技術、生物工程專業的學生也懷疑轉基因食品的安全性?
※摩托車品牌中,寶馬的安全性更高嗎?