RFID系统的安全技术概论(-64张)课件.ppt

1、1 1、RFIDRFID的安全漏洞在哪的安全漏洞在哪,有哪些攻击方式？有哪些攻击方式？2、RFIDRFID有哪些安全解决方案有哪些安全解决方案？问题探究问题探究1第九章 RFID系统的安全 RFID RFID系统是一个开放的无线系统，其安全问题日系统是一个开放的无线系统，其安全问题日渐显著。读写器、电子标签和网络等各个环节数据都渐显著。读写器、电子标签和网络等各个环节数据都存在安全隐患，安全与隐私问题已经成为制约存在安全隐患，安全与隐私问题已经成为制约RFIDRFID技技术的主要因素之一。为了防止某些试图侵入术的主要因素之一。为了防止某些试图侵入RFIDRFID系统系统而进行的非授权访问，或者

2、防止跟踪、窃取甚至恶意而进行的非授权访问，或者防止跟踪、窃取甚至恶意篡改电子标签信息，必须采取措施来保证数据的有效篡改电子标签信息，必须采取措施来保证数据的有效性和隐私性，确保数据安全性。性和隐私性，确保数据安全性。场景场景 一一(1)超市已构建RFID系统并实现仓储管理、出售商品的自动化收费等功能，超市管理者使用的阅读器可以读写商品标签数据(写标签数据时需要接人密钥)，考虑到价格调整等因素，标签数据必须能够多次读写。(2)移动RFID用户自身携带有嵌入在手机或PDA中的阅读器，该阅读器可以扫描超市中商品的标签以获得产品的制造商、生产日期和价格等详细信息。RFID智智能收货能收货RFID智智能

3、购物车能购物车RFID智智能结算能结算未来商店未来商店3(3)通过信道监听信息截获、暴力破解(利用定向天线和数字示波器监控标签被读取时的功率消耗，确定标签何时接受了正确的密码位)或其他人为因素，攻击者得到写标签数据所需的接人密钥。(4)利用标签的接人密钥，攻击者随意修改标签数据，更改商品价格，甚至“kill”标签导致超市的商品管理和收费系统陷入混乱以谋取个人私利。4德州仪器（TI）公司制造了一种称为数字签名收发器（Digital Signature Transponder，DTS）的内置加密功能的低频 RFID 设备。DST 现已配备在数以百万计的汽车上，其功能主要是用于防止车辆被盗。DST

4、同时也被 SpeedPass 无线付费系统所采用，该系统现用在北美的成千上万的ExxonMobil 加油站内。DST 执行了一个简单的询问/应答（challenge-response）协议来进行工作.阅读器的询问数据 C 长度为 40bits，芯片产生的回应数据 R 长度为 24bits，而芯片中的密钥长度亦为 40bits。密码破译者都知道，40bits 的密钥长度对于现在的标准而言太短了，这个长度对于暴力攻击法毫无免疫力。2004 年末，一队来自约翰霍普津斯大学和 RSA 实验室的研究人员示范了对 DST 安全弱点的攻击。他们成功的完全复制了 DST，这意味着他们破解了含有 DST 的汽车

5、钥匙，并且使用它执行了相同的功能。场景场景 二二5在2006年意大利举行的一次学术会议上，就有研究者提出病毒可能感染RFID芯片，通过伪造沃尔玛、家乐福这样的超级市场里的RFID电子标签，将正常的电子标签替换成恶意标签，即可进入他们的数据库及IT系统中发动攻击。2011年9月，北京公交一卡通被黑客破解，从而敲响了整个RFID行业的警钟。黑客通过破解公交一卡通，给自己的一卡通非法充值，获取非法利益2200元 2011年3月，业内某安全专家破解了一张英国发行的、利用RFID来存储个人信息的新型生物科技护照。2007年RSA安全大会上，一家名为IOActive的公司展示了一款RFID克隆器，这款设备

6、可以通过复制信用卡来窃取密码 场景场景 三三 6 因此，如何实现因此，如何实现RFID系统的安全并保护电子标签持有人系统的安全并保护电子标签持有人隐私将是目前和今后发展隐私将是目前和今后发展RFID技术十分关注的课题。技术十分关注的课题。71 1、RFIDRFID为什么会泄露个人隐私的为什么会泄露个人隐私的？2 2、RFIDRFID的安全漏洞在哪的安全漏洞在哪,有哪些攻击方式？有哪些攻击方式？3、RFIDRFID有哪些安全解决方案有哪些安全解决方案？问题探究问题探究89.1 RFID系统面临的安全攻击n RFIDRFID系统中的传输是基于系统中的传输是基于无线通信无线通信方式的，使方式的，使得

7、传输的数据得传输的数据容易被容易被“偷听偷听”；n 在在RFIDRFID系统中，特别是对于电子标签，计算能系统中，特别是对于电子标签，计算能力和可编程能力都被标签本身的成本所约束，力和可编程能力都被标签本身的成本所约束，在一个特定的应用中，标签的成本越低，其在一个特定的应用中，标签的成本越低，其计计算能力也就越弱算能力也就越弱，在安全方面可防止被威胁的，在安全方面可防止被威胁的能力也就越弱。能力也就越弱。9109.1 RFID系统面临的安全攻击n常见安全攻击类型1电子标签数据的获取攻击 由于标签本身的成本所限制，标签本身很难具备保证安全的能力，因此会面临着许多问题。电子标签通常包含一个带内存的

8、微芯片，电子标签上数据的安全和计算机中数据的安全都同样会受到威胁。非法用户可以利用合法的读写器或者自构一个读写器与电子标签进行通信，可以很容易地获取标签所存储的数据。这种情况下，未经授权使用者可以像一个合法的读写器一样去读取电子标签上的数据。在可写标签上，数据甚至可能被非法使用者修改甚至删除。119.1 RFID系统面临的安全攻击2电子标签和读写器之间的通信侵入 当电子标签向读写器传输数据，或者读写器从电子标签上查询数据时，数据是通过无线电波在空中传播的。在这个通信过程中，数据容易受到攻击。这类无线通信易受攻击的特性包括以下几个方面：（1）非法读写器截获数据：非法读写器截取标签传输的数据。（2

9、）第三方堵塞数据传输：非法用户可以利用某种方式去阻塞数据在电子标签和读写器之间的正常传输。最常用的方法是欺骗，通过很多假的标签响应让读写器不能分辨正确的标签响应，使得读写器过载，无法接收正常标签数据，这种方法也叫做拒绝服务攻击。（3）伪造标签发送数据：伪造的标签向读写器提供虚假数据，欺骗RFID系统接收、处理以及执行错误的电子标签数据。129.1 RFID系统面临的安全攻击3侵犯读写器内部的数据 在读写器发送数据、清空数据或是将数据发送给主机系统之前，都会先将信息存储在内存中，并用它来执行某些功能。在这些处理过程中，读写器就像其他计算机系统一样存在安全侵入问题。4主机系统侵入 电子标签传出的数

10、据，经过读写器到达主机系统后，将面临现存主机系统的RFID数据的安全侵入问题。可参考计算机或网络安全方面相关的文献资料。139.1 RFID系统面临的安全攻击 由于目前RFID的主要应用领域对隐私性的要求不高，因此对于安全、隐私问题的注意力还比较少。然而，RFID这种应用面很广的技术，具有巨大的潜在破坏能力，如果不能很好地解决RFID系统的安全问题，随着物联网应用的扩展，未来遍布全球各地的RFID系统安全可能会像现在的网络安全难题一样考验人们的智慧。149.2 RFID系统安全解决方案 RFID RFID的安全和隐私保护与成本之间是相互制约的。例如，根据的安全和隐私保护与成本之间是相互制约的。

11、例如，根据自动识别（自动识别（Auto-IDAuto-ID）中心的试验数据，在设计）中心的试验数据，在设计5 5美分标签时，集成美分标签时，集成电路芯片的成本不应该超过电路芯片的成本不应该超过2 2美分，这使集成电路门电路数量只能限美分，这使集成电路门电路数量只能限制在制在7.5k7.5k15k15k范围内。一个范围内。一个9696bitsbits的的EPCEPC芯片需要芯片需要5k5k10k10k的门电的门电路，因此用于安全和隐私保护的门电路数量不能超过路，因此用于安全和隐私保护的门电路数量不能超过2.52.5k k5 5k k，这样的限制使得现有密码技术难以应用。这样的限制使得现有密码技术

12、难以应用。优秀的优秀的RFIDRFID安全技术解决方案应该是平衡安全、隐私保护与成本安全技术解决方案应该是平衡安全、隐私保护与成本的最佳方案。的最佳方案。现有的现有的RFIDRFID系统安全技术可以分为两大类：系统安全技术可以分为两大类：（1 1）一类是通过物理方法阻止标签与读写器之间通信；）一类是通过物理方法阻止标签与读写器之间通信；（2 2）一类是通过逻辑方法增加标签安全机制。）一类是通过逻辑方法增加标签安全机制。159.2 RFID系统安全解决方案n物理方法 RFIDRFID安全的物理方法有杀死（安全的物理方法有杀死（KillKill）标签、法拉第网罩、）标签、法拉第网罩、主动干扰、阻止

13、标签等。主动干扰、阻止标签等。杀死（杀死（KillKill）标签）标签的原理是使标签丧失功能，从而阻止对标签的原理是使标签丧失功能，从而阻止对标签及其携带物的跟踪。如及其携带物的跟踪。如EPC Class 1 Gen 2EPC Class 1 Gen 2标签。但是，标签。但是，KillKill命令使命令使标签失去了本身应有的优点，如商品在卖出后，标签上的信息将不标签失去了本身应有的优点，如商品在卖出后，标签上的信息将不再可用，但这样不便于之后用户对产品信息的进一步了解以及相应再可用，但这样不便于之后用户对产品信息的进一步了解以及相应的售后服务。另外，若的售后服务。另外，若KillKill识别序

14、列号（识别序列号（PINPIN）一旦泄漏，可能导致）一旦泄漏，可能导致恶意者对商品的偷盗。恶意者对商品的偷盗。法拉第网罩（法拉第网罩（Faraday CageFaraday Cage）的原理是根据电磁场理论，由传的原理是根据电磁场理论，由传导材料构成的容器如法拉第网罩可以屏蔽无线电波，使得外部的无导材料构成的容器如法拉第网罩可以屏蔽无线电波，使得外部的无线电信号不能进入法拉第网罩，反之亦然。把标签放进由传导材料线电信号不能进入法拉第网罩，反之亦然。把标签放进由传导材料构成的容器可以阻止标签被扫描，即被动标签接收不到信号。构成的容器可以阻止标签被扫描，即被动标签接收不到信号。169.2 RFID

15、系统安全解决方案n物理方法 主动干扰主动干扰无线电信号是另一种屏蔽标签的方法。标签用户可以通无线电信号是另一种屏蔽标签的方法。标签用户可以通过一个设备主动广播无线电信号用于阻止或破坏附近的读写器的操过一个设备主动广播无线电信号用于阻止或破坏附近的读写器的操作。但这种方法可能导致非法干扰，使附近其他合法的作。但这种方法可能导致非法干扰，使附近其他合法的RFIDRFID系统受系统受到干扰，严重时可能阻断附近其他无线系统。到干扰，严重时可能阻断附近其他无线系统。阻止标签阻止标签的原理是通过采用一个特殊的阻止标签干扰的防碰撞算的原理是通过采用一个特殊的阻止标签干扰的防碰撞算法来实现的，读写器读取命令每

16、次总获得相同的应答数据，从而保法来实现的，读写器读取命令每次总获得相同的应答数据，从而保护标签。护标签。17 综上，物理安全机制存在很大的局限性，往往需要附加额外的辅助设备，这不但增加了额外的成本，还存在其他缺陷。如Kill命令对标签的破坏性是不可逆的；某些有RFID标签的物品不便置于法拉第笼中等。9.2 RFID系统安全解决方案189.2 RFID系统安全解决方案n逻辑方法 在在RFIDRFID安全技术中，常用逻辑方法有安全技术中，常用逻辑方法有n 哈希（哈希（HashHash）锁方案）锁方案n 随机随机HashHash锁方案锁方案n HashHash链方案链方案n 匿名匿名IDID方案方案

17、n 重加密方案重加密方案n 在诸多的基于密码技术的安全机制中，基于hash函数的RFID安全协议的设计备受关注。因为，无论是从安全需求来讲，还是从低成本的RFID标签的硬件执行上来讲，hash函数都是最适合于RFID认证协议的。19哈希(Hash)锁 Hash锁是一种更完善的抵制标签未授权访问的安全与隐私技术。整个方案只需要采用Hash函数，因此成本很低。Hash函数的特点：给定x，计算h(x)容易，但给定h(x)，求x计算上不可行；对于任意x，找到一个y，且yx使得h(x)=h(y)，计算上是不可行的；同时，发现一对(x，y)使得h(x)=h(y)，计算上也是不可行的。给定函数h及安全参数k

18、，输入为任意长度二进制串，输出为k位二进制串，记为knh1,01,0:9.2 RFID系统安全解决方案20安全协议执行步骤：标签 T 进入阅读器 R 的有效范围，接收到阅读器 R 发出的仲裁命令 Query。标签 T 通过反向信道发送 metalID 作为回复。阅读器 R 将 metalID 传送给后台数据库 B，数据库查询是否存在相等的metalID 值，若匹配则发送相应的标签信息(key,ID)给阅读器 R。阅读器仅将其中的 key发送给标签。标签验证 key是否等于 key。若 keykey 则标签将其 ID 发送给阅读器。21 锁定标签：锁定标签：对于唯一标志号为ID的标签，首先阅读器

19、随机产生该标签的Key，计算metaID=Hash(Key)，将metaID发送给标签；标签将metaID存储下来，进入锁定状态。阅读器将(metaID，Key，ID)存储到后台数据库中，并以metaID 为索引。9.2 RFID系统安全解决方案22 解锁标签：解锁标签：n阅读器询问标签时，标签回答metaID；n阅读器查询后台数据库，找到对应的(metaID，Key，ID)记录，然后将该Key值发送给标签；标签收到Key值后，计算Hash(Key)值，并与自身存储的metaID值比较，若Hash(Key)=metaID，标签将其ID发送给阅读器，这时标签进入已解锁状态，并为附近的阅读器开放所

20、有的功能。23n方法的优点：方法的优点：解密单向Hash函数是较困难的，因此该方法可以阻止未授权的阅读器读取标签信息数据，在一定程度上为标签提供隐私保护；该方法只需在标签上实现一个Hash函数的计算，以及增加存储metaID值，因此在低成本的标签上容易容易实现实现。n方法的缺陷：方法的缺陷：由于每次询问时标签回答的数据是特定的，因此其不能防止位置跟踪攻击；阅读器和标签问传输的数据未经加密，窃听者可以轻易地获得标签Key和ID值。9.2 RFID系统安全解决方案24注：常用的Hash算法硬件开销是比较大的，例如SHA-1算法大概需要20000个等效门电路来实现，完全不适用于低成本的RFID标签。

21、但是Yksel提出了一个低成本的64位Hash函数，只需要1700个等效门便可实现。9.2 RFID系统安全解决方案259.2 RFID系统安全解决方案2随机Hash锁 作为作为HashHash锁的扩展，随机锁的扩展，随机HashHash锁解决了标签位置隐私问题。采锁解决了标签位置隐私问题。采用随机用随机HashHash锁方案，读写器每次访问标签的输出信息不同。锁方案，读写器每次访问标签的输出信息不同。随机随机HashHash锁原理锁原理是标签包含是标签包含HashHash函数和随机数发生器，后台服函数和随机数发生器，后台服务器数据库存储所有标签务器数据库存储所有标签IDID。读写器请求访问标

22、签，标签接收到。读写器请求访问标签，标签接收到访问请求后，由访问请求后，由HashHash函数函数计算标签计算标签IDID与随机数与随机数r r的的HashHash值值。标签。标签再发送数据给请求的阅读器，同时读写器发送给后台服务器数据再发送数据给请求的阅读器，同时读写器发送给后台服务器数据库，后台服务器数据库穷举搜索所有标签库，后台服务器数据库穷举搜索所有标签IDID和和r r的的HashHash值，判断值，判断是否为对应标签是否为对应标签IDID，标签接收到读写器发送的，标签接收到读写器发送的IDID后解锁。后解锁。262随机Hash锁 锁定标签锁定标签：向未锁定标签发送锁定指令，即可锁定

23、该标签。：向未锁定标签发送锁定指令，即可锁定该标签。解锁标签解锁标签：读写器向标签：读写器向标签IDID发出询问，标签产生一个随机数发出询问，标签产生一个随机数R R，计算，计算HashHash（ID|ID|R R），并将（），并将（R R，Hash(ID|Hash(ID|R R)）数据传输给读写器；读写器收）数据传输给读写器；读写器收到数据后，从后台数据库取得所有的标签到数据后，从后台数据库取得所有的标签IDID值，分别计算各个值，分别计算各个HashHash（ID|ID|R R）值，并与收到的）值，并与收到的HashHash（ID|ID|R R）比较，若）比较，若HashHash（IDID

24、k k|R R）=HashHash（ID|ID|R R），则向标签发送），则向标签发送IDIDk k；若标签收到；若标签收到IDIDk k=ID=ID，此时标签解锁。，此时标签解锁。279.2 RFID系统安全解决方案随机随机HashHash锁方案的缺点：锁方案的缺点：（1 1）尽管）尽管HashHash函数可以在低成本情况下完成，但要集成随机数发生函数可以在低成本情况下完成，但要集成随机数发生器到计算能力有限的低成本被动标签上却很困难。器到计算能力有限的低成本被动标签上却很困难。（2 2）随机）随机HashHash锁仅解决了标签位置隐私问题，一旦标签的秘密信息锁仅解决了标签位置隐私问题，一旦

25、标签的秘密信息被截获，隐私侵犯者可以获得访问控制权，通过信息回溯得到标签被截获，隐私侵犯者可以获得访问控制权，通过信息回溯得到标签历史记录，推断标签持有者隐私。历史记录，推断标签持有者隐私。（3 3）后台服务器数据库的解码操作通过穷举搜索，标签数目很多）后台服务器数据库的解码操作通过穷举搜索，标签数目很多时，系统延时会很长，效率并不高。时，系统延时会很长，效率并不高。289.2 RFID系统安全解决方案3Hash链 为了解决可跟踪性，标签使用了为了解决可跟踪性，标签使用了HashHash函数在每次读写器访问后函数在每次读写器访问后自动更新标识符的方案，实现前向安全性。自动更新标识符的方案，实现

26、前向安全性。HashHash链原理链原理是标签在存储器中设置一个随机的初始化标识符是标签在存储器中设置一个随机的初始化标识符S S1 1，这个标识符也存储到后台数据库。标签包含两个，这个标识符也存储到后台数据库。标签包含两个HashHash函数函数G G和和H H。当读写器请求访问标签时，标签返回当前标签标识符。当读写器请求访问标签时，标签返回当前标签标识符akak=G G(SkSk)给读写器，标签从电磁场获得能量时自动更新标识符给读写器，标签从电磁场获得能量时自动更新标识符SkSk+1=+1=H H(SkSk)。HashHash链工作机制如图所示。链工作机制如图所示。299.2 RFID系统

27、安全解决方案3Hash链 锁定标签锁定标签：对于标签：对于标签IDID，读写器随机选取一个数，读写器随机选取一个数S S1 1发送给标发送给标签，并将（签，并将（IDID，S S1 1）存储到后台数据库中，标签存储接收到）存储到后台数据库中，标签存储接收到S S1 1后便后便进入锁定状态。进入锁定状态。解锁标签解锁标签：在第：在第i i次事务交换中，读写器向标签发出询问消息，次事务交换中，读写器向标签发出询问消息，标签输出标签输出aiai=GiGi，并更新，并更新SiSi+1=+1=H H(SiSi)，其中，其中G G和和H H为单向为单向HashHash函数。读函数。读写器收到写器收到aia

28、i后，搜索数据库中所有的（后，搜索数据库中所有的（IDID，S S1 1）数据对，并为每个）数据对，并为每个标签递归计算标签递归计算aiai=G G(H H(SiSi1)1)，比较是否等于，比较是否等于aiai，若相等，则返回相，若相等，则返回相应的应的IDID。该方法使得隐私侵犯者无法获得标签活动的历史信息，但。该方法使得隐私侵犯者无法获得标签活动的历史信息，但不适合标签数目较多的情况。不适合标签数目较多的情况。309.2 RFID系统安全解决方案3 3HashHash链优缺点分析链优缺点分析n 在在HashHash链协议中，标签是一个具有自主链协议中，标签是一个具有自主IDID更新能力的更

29、新能力的标签，这使得标签，这使得n 前向安全性问题得到了解决；前向安全性问题得到了解决；n HashHash链协议只能对标签身份进行认证；链协议只能对标签身份进行认证；n 容易受到重传和假冒攻击；容易受到重传和假冒攻击；n 标签每次认证后，后台数据库都要对每一个标签进行标签每次认证后，后台数据库都要对每一个标签进行i i次杂凑运算；次杂凑运算；n 该协议需要两个不同的该协议需要两个不同的hashhash函数，增加了标签的制造函数，增加了标签的制造成本。成本。319.2 RFID系统安全解决方案4匿名ID方案 匿名匿名IDID方案方案采用匿名采用匿名IDID，在消息传输过程中，隐私侵犯者即使，在

30、消息传输过程中，隐私侵犯者即使截获标签信息也不能获得标签的真实截获标签信息也不能获得标签的真实IDID。该方案采用公钥加密、私。该方案采用公钥加密、私钥加密或者添加随机数生成匿名标签钥加密或者添加随机数生成匿名标签IDID。虽然标签信息只需要采用随机读取存储器（虽然标签信息只需要采用随机读取存储器（RAMRAM）存储，成本较）存储，成本较低，但数据加密装置与高级加密算法都将导致系统的成本增加。低，但数据加密装置与高级加密算法都将导致系统的成本增加。因为标签因为标签IDID加密以后仍具有固定输出，因此，使得标签的跟踪加密以后仍具有固定输出，因此，使得标签的跟踪成为可能，存在标签位置隐私问题。并且

31、，该方案的实施前提是读成为可能，存在标签位置隐私问题。并且，该方案的实施前提是读写器与后台服务器的通信建立在可信任的通道上。写器与后台服务器的通信建立在可信任的通道上。329.2 RFID系统安全解决方案5.重加密方案 重加密方案重加密方案采用公钥加密。标签可以在用户请求下采用公钥加密。标签可以在用户请求下通过第三方通过第三方数据加密装置定期对标签数据进行重写数据加密装置定期对标签数据进行重写。因为采用公钥加密，大量。因为采用公钥加密，大量的计算负载将超出标签的能力，因此这个过程通常由读写器处理。的计算负载将超出标签的能力，因此这个过程通常由读写器处理。该方案存在的最大缺陷是标签的数据必须经常

32、重写，否则，即使加该方案存在的最大缺陷是标签的数据必须经常重写，否则，即使加密标签密标签IDID固定的输出也将导致标签定位隐私泄漏。固定的输出也将导致标签定位隐私泄漏。与匿名与匿名IDID方案相似，标签数据加密装置与公钥加密将导致系统成方案相似，标签数据加密装置与公钥加密将导致系统成本的增加，使得大规模的应用受到限制，且经常重复加密操作也给本的增加，使得大规模的应用受到限制，且经常重复加密操作也给实际操作带来困难。实际操作带来困难。33 没有任何一种单一的手段可以彻底保证RFID系统的应用安全。实际上往往需要采用综合性的解决方案。当然，安全又是相对的，不存在绝对安全的标签，安全措施的级别(破解

33、的难易程度、随时间地点的变化等)会视应用不同而改变。在实施和部署RFID应用系统之前，有必要进行充分的业务安全评估和风险分析，综合的解决方案需要考虑成本和收益之间的关系。9.2 RFID系统安全解决方案34 9.3 智能卡的安全问题本书深入介绍智能卡原理的基础上，着眼于智能卡安全内容，逐层描述了安全攻击、安全目标、安全算法、安全机制和安全规范等内容；然后介绍智能卡系统设计，包括低层设计、应用设计等内容；最后给出了智能卡未来发展的趋势。本书附有大量的研发实例。35 9.3 智能卡的安全问题n影响智能卡安全的基本问题 根据各种对智能卡攻击所采用的手段和攻击对象的不同，一般根据各种对智能卡攻击所采用

34、的手段和攻击对象的不同，一般可以归纳为以下三种方式可以归纳为以下三种方式:（1 1）使用伪造的智能卡，以期进入某一系统使用伪造的智能卡，以期进入某一系统。模拟智能卡与接口。模拟智能卡与接口设备之间的信息，使接口设备无法判断出是合法的还是伪造的智能设备之间的信息，使接口设备无法判断出是合法的还是伪造的智能卡。例如，像制造伪钞那样直接制造伪卡；对智能卡的个人化过程卡。例如，像制造伪钞那样直接制造伪卡；对智能卡的个人化过程进行攻击；在交易过程中替换智能卡等。进行攻击；在交易过程中替换智能卡等。（2 2）冒用他人遗失的，或是使用盗窃所得的智能卡冒用他人遗失的，或是使用盗窃所得的智能卡。试图冒充别。试图

35、冒充别的合法用户进入系统，对系统进行实质上未经授权的访问。的合法用户进入系统，对系统进行实质上未经授权的访问。（3 3）主动攻击方式。主动攻击方式。直接对智能卡与外部通信时所交换的信息流直接对智能卡与外部通信时所交换的信息流（包括数据和控制信息）进行截听、修改等非法攻击，以谋取非法（包括数据和控制信息）进行截听、修改等非法攻击，以谋取非法利益或破坏系统。利益或破坏系统。36 9.3 智能卡的安全问题n物理安全用于实施物理攻击的主要方法包括以下三种用于实施物理攻击的主要方法包括以下三种:（1 1）微探针技术微探针技术：攻击者通常使用专业手段去除芯片的各层金：攻击者通常使用专业手段去除芯片的各层金

36、属，在去除芯片封装后，通过使用亚微米级微探针获取感兴趣的信属，在去除芯片封装后，通过使用亚微米级微探针获取感兴趣的信号，从而分析出智能卡的有关设计信息和存储结构，甚至直接读取号，从而分析出智能卡的有关设计信息和存储结构，甚至直接读取出存储器的信息进行分析。出存储器的信息进行分析。（2 2）版图重构版图重构：利用特制显微镜研究电路的连接模式，跟踪金属：利用特制显微镜研究电路的连接模式，跟踪金属连线穿越可见模块（如连线穿越可见模块（如ROMROM、RAMRAM等）的边界，可以迅速识别芯片上等）的边界，可以迅速识别芯片上的一些基本结构，如数据线和地址线。的一些基本结构，如数据线和地址线。（3 3）聚

37、离子束（聚离子束（FIBFIB）技术）技术：采用镓粒子束攻击芯片表面，在不：采用镓粒子束攻击芯片表面，在不破坏芯片表面电路结构的情况下，用含有不同气体的粒子束，可在破坏芯片表面电路结构的情况下，用含有不同气体的粒子束，可在芯片上沉积出导线、绝缘体甚至半导体。这种方法可重新连接测试芯片上沉积出导线、绝缘体甚至半导体。这种方法可重新连接测试电路的熔断丝，或将多层芯片中深藏内部的信号连到芯片的表面，电路的熔断丝，或将多层芯片中深藏内部的信号连到芯片的表面，或加粗加强无法置放探针的导线，从而形成一个或加粗加强无法置放探针的导线，从而形成一个“探针台探针台”。37 9.3 智能卡的安全问题 物理攻击是实

38、现成功探测的强有力手段，但其缺点在于入侵式物理攻击是实现成功探测的强有力手段，但其缺点在于入侵式的攻击模式，智能卡在物理安全方面一些措施如下：的攻击模式，智能卡在物理安全方面一些措施如下：（1 1）在制造过程中使用特定的复杂昂贵的生产设备，同时制造人）在制造过程中使用特定的复杂昂贵的生产设备，同时制造人员需具备专业知识技能，以增加伪造的难度，甚至使之不能实现。员需具备专业知识技能，以增加伪造的难度，甚至使之不能实现。（2 2）对智能卡在制造和发行过程中所使用的一切参数严格保密。）对智能卡在制造和发行过程中所使用的一切参数严格保密。（3 3）增强智能卡在包装上的完整性。给存储器加上若干保护层，）

39、增强智能卡在包装上的完整性。给存储器加上若干保护层，把处理器和存储器做在智能卡内部的芯片上。选用一定的特殊材料把处理器和存储器做在智能卡内部的芯片上。选用一定的特殊材料防止非法对存储器内容进行直接分析。防止非法对存储器内容进行直接分析。（4 4）在智能卡的内部安装监控程序，以防止外界对处理器）在智能卡的内部安装监控程序，以防止外界对处理器/存储器存储器数据总线及地址总线的截听。数据总线及地址总线的截听。（5 5）对智能卡的制造和发行的整个工序加以分析。确保没人能完）对智能卡的制造和发行的整个工序加以分析。确保没人能完整地掌握智能卡的制造和发行过程，在一定程度上防止内部职员的整地掌握智能卡的制造

40、和发行过程，在一定程度上防止内部职员的非法行为。非法行为。38 9.3 智能卡的安全问题n逻辑安全 逻辑攻击者在软件的执行过程中插入窃听程逻辑攻击者在软件的执行过程中插入窃听程序，利用这些缺陷诱骗智能卡泄漏机密数据或序，利用这些缺陷诱骗智能卡泄漏机密数据或允许非期望的数据修改。攻击者只需具备智能允许非期望的数据修改。攻击者只需具备智能卡、读写器和卡、读写器和PCPC即可；其另一优点在于非入侵即可；其另一优点在于非入侵式的攻击模式以及可轻松地复制。式的攻击模式以及可轻松地复制。智能卡的逻辑安全主要由下列的途径实现。智能卡的逻辑安全主要由下列的途径实现。39 9.3 智能卡的安全问题1鉴别与核实

41、鉴别与核实：鉴别与核实其实是两个不同的概念，但是它们二者鉴别与核实：鉴别与核实其实是两个不同的概念，但是它们二者在所实现的功能十分相似在所实现的功能十分相似.鉴别鉴别（AuthenticationAuthentication）是对智能卡（或者是读写设备）是对智能卡（或者是读写设备）的合法性的验证，的合法性的验证，即如何判定一张智能卡（或读写设备）不是伪造即如何判定一张智能卡（或读写设备）不是伪造的卡（或读写设备）的问题的卡（或读写设备）的问题；核实核实（VerifyVerify）是指对智能卡的持有者的合法性进行验证，）是指对智能卡的持有者的合法性进行验证，也也就是如何判定一个持卡人是否经过了合

42、法的授权的问题。就是如何判定一个持卡人是否经过了合法的授权的问题。由此可见，二者实质都是对合法性的一种验证，但是，在具体的由此可见，二者实质都是对合法性的一种验证，但是，在具体的实现方式上，由于二者所要验证的对象的不同，所采用的手段也就实现方式上，由于二者所要验证的对象的不同，所采用的手段也就不尽相同。不尽相同。409.3 智能卡的安全问题 鉴别鉴别是通过智能卡和读写设备双方同时对任意一个相同的随机数进是通过智能卡和读写设备双方同时对任意一个相同的随机数进行某种相同的加密运算（目前常用行某种相同的加密运算（目前常用DESDES算法），然后判断双方运算结果算法），然后判断双方运算结果的一致性来达

43、到验证的目的。的一致性来达到验证的目的。以智能卡作为参照点，分为外部鉴别和内部鉴别。以智能卡作为参照点，分为外部鉴别和内部鉴别。外部鉴别外部鉴别就是智能卡对读写设备的合法性进行的验证。先由读写器就是智能卡对读写设备的合法性进行的验证。先由读写器向智能卡发一串口令（产生随机数）命令，智能卡产生一个随机数，然向智能卡发一串口令（产生随机数）命令，智能卡产生一个随机数，然后由读写器对随机数加密成密文，密钥预先存放在读写器和后由读写器对随机数加密成密文，密钥预先存放在读写器和ICIC卡中，密卡中，密钥的层次则要按需要设定。读写器将密文与外部鉴别命令发送给钥的层次则要按需要设定。读写器将密文与外部鉴别命

44、令发送给ICIC卡，卡，卡执行命令时将密文解密成明文，并将明文和原随机数相比较，若相同卡执行命令时将密文解密成明文，并将明文和原随机数相比较，若相同则卡承认读写器是真的，否则卡认为读写器是伪造的。则卡承认读写器是真的，否则卡认为读写器是伪造的。内部鉴别内部鉴别就是读写设备对智能卡的合法性进行的验证，原理与就是读写设备对智能卡的合法性进行的验证，原理与ICIC卡卡鉴别读写器的真伪相似，但使用内部鉴别命令，解密后的结果与随机数鉴别读写器的真伪相似，但使用内部鉴别命令，解密后的结果与随机数进行比较的操作应在读写器中进行，而不是由进行比较的操作应在读写器中进行，而不是由ICIC卡来鉴别真伪。卡来鉴别真

45、伪。41三次认证过程外部鉴别外部鉴别注：该协议在认证过程中，属于同一应用的所有标签和阅读器共享同一的加密密钥。由于同一应用的所有标签都使用唯一的加密密钥，所有三次认证协议具有安全隐患。4243n射频识别中的认证技术 n三次认证过程n阅读器发送查询口令的命令给应答器，应答器作为应答响应传送所产生的一个随机数RB给阅读器。n阅读器产生一个随机数RA，使用共享的密钥K和共同的加密算法EK，算出加密数据块TOKEN AB，并将TOKEN AB传送给应答器。TOKEN ABEK(RA,RB)n应答器接受到TOKEN AB后，进行解密，将取得的随机数与原先发送的随机数RB进行比较，若一致，则阅读器获得了应

46、答器的确认。n应答器发送另一个加密数据块TOKEN BA给阅读器，TOKEN BA为TOKEN BAEK(RB1,RA)n阅读器接收到TOKEN BA并对其解密，若收到的随机数与原先发送的随机数RA相同，则完成了阅读器对应答器的认证。44 例如：Mifare卡，采用三次认证协议，其密钥为6字节，即48位，一次典型的验证需要6ms，如果外部使用暴力破解的话，需要的时间为一个非常大的数字，常规破解手段将无能为力。45 9.3 智能卡的安全问题 核实核实是通过用户向智能卡出示仅有他本人知道的通行字，并由是通过用户向智能卡出示仅有他本人知道的通行字，并由智能卡对该通行字的正确性进行判断来达到验证的目的

47、。在通行字智能卡对该通行字的正确性进行判断来达到验证的目的。在通行字的传输过程中，有时还可对要传输的信息进行加的传输过程中，有时还可对要传输的信息进行加/解密运算，这一过解密运算，这一过程通常也称为通行字鉴别。用得最多的是通过验证用户个人识别号程通常也称为通行字鉴别。用得最多的是通过验证用户个人识别号（PINPIN）来确认使用卡的用户是不是合法持卡人。验证过程如图所）来确认使用卡的用户是不是合法持卡人。验证过程如图所示，持卡人利用读写设备向智能卡提供示，持卡人利用读写设备向智能卡提供PINPIN，智能卡把它和事先存储，智能卡把它和事先存储在卡内的在卡内的PINPIN相比较，比较结果在以后访问存

48、储器和执行指令时可相比较，比较结果在以后访问存储器和执行指令时可作为参考，用来判断是否可以访问或者执行。作为参考，用来判断是否可以访问或者执行。46 9.3 智能卡的安全问题2.智能卡的通信安全与保密 智能卡通过鉴别与核实可防止伪卡的使用，防止非法用户的入智能卡通过鉴别与核实可防止伪卡的使用，防止非法用户的入侵，但无法防止在信息交换过程中发生的窃听。侵，但无法防止在信息交换过程中发生的窃听。在通信方面对信息的修改主要包括：对信息内容进行更改、删在通信方面对信息的修改主要包括：对信息内容进行更改、删除及添加、改变信息的源点或目的点、改变信息组除及添加、改变信息的源点或目的点、改变信息组/项的顺序

49、等。项的顺序等。保密性保密性主要是利用密码技术对信息进行加密处理，以掩盖真实主要是利用密码技术对信息进行加密处理，以掩盖真实信息，使之变得不可理解，达到保密的目的。信息，使之变得不可理解，达到保密的目的。智能卡系统中常用的两种密码算法：对称密钥密码算法或数据智能卡系统中常用的两种密码算法：对称密钥密码算法或数据加密算法（加密算法（DESDES）和非对称密钥密码算法或公共密钥密码算法（）和非对称密钥密码算法或公共密钥密码算法（RSARSA）。）。智能卡经常采用智能卡经常采用DESDES算法算法,因为该算法已被证明十分成功，且运算复因为该算法已被证明十分成功，且运算复杂度相对也较小杂度相对也较小.

50、47数据加密标准（Data Encryption Standard，DES）nDES由IBM公司1975年研究成功并发表，1977年被美国定为联邦信息标准。nDES 使用一个 56 位的密钥以及附加的 8 位奇偶校验位，将64位的明文经加密算法变换为64位的密文。n加密和解密共用同一算法，使工程实现的工作量减半。n综合运用了置换、代替、代数等多种密码技术。48DES加密算法 Li=Ri-1 RiLi-1 f(Ri-1,Ki)从左图可知 i=1,2,3,1649矩阵矩阵 58 50 42 34 26 18 10 260 52 44 36 28 20 12 4 62 54 46 38 30 22