RFID应用及原理-第八章-射频数据的安全性课件.ppt

1、射频识别技术RFID Technology第7章 射频数据的安全性7.1、射频识别系统的安全分析7.2、密码学技术原理7.3、射频识别系统的加密机制7.4、RFID芯片的攻击技术分析及安全设计策略第7章 射频数据的安全性第7章 射频数据的安全性7.1、射频识别系统的安全分析 RFID的全称是非接触式的无线射频识别技术。由于它快速、实时、准确采集、精确处理对象物的ID信息，世界已将RFID公认为本世纪十大技术之一。但随着RFID技术的进一步推广，一些问题也相应出现，这些问题制约着它的发展。其中最为显著的是数据安全问题。由于最初的RFID开发设计者和应用人员并没有考虑其相应的安全问题，因此安全问题

2、成了制约RFID发展的瓶颈问题。随着RFID系统应用范围的不断扩大，其数据安全问题也日益受到重视。7.1、射频识别系统的安全分析 数据安全主要解决数据保密和认证的问题。数据保密就是采取复杂多样的措施对数据加以保护，防止数据被有意或无意地泄露给无关人员，造成危害。认证分为信息认证和用户认证两个方面:信息认证是指信息从发送到接收整个通路中没有被第三者修改和伪造；用户认证是指用户双方都能证实对方是这次通信的合法用户。第7章 射频数据的安全性7.1、射频识别系统的安全分析 高度安全的RFID系统对于以下单项攻击能够予以预防：为了复制或改变数据，未经授权的读取数据载体；将外来的数据载体置入某个读写器的询

3、问范围内；假冒真正的数据载体，窃听无线电通信并重放数据。对于前两种情况，可以采用电子标签和阅读器互相认证的措施来预防。互相认证即是在交易前，读写器和电子标签首先要确认对方身份的合法性，然后才能进一步操作。对于后一种情况则需要对传输的数据进行加密。第7章 射频数据的安全性7.1、射频识别系统的安全分析 RFID信息系统可能受到的威胁有两类：一类是物理环境如电磁干扰、断电、设备故障等威胁；一类是人员威胁，主要由以下几种：管理者攻击、用户攻击、前管理者的攻击、前用户攻击、外部人员攻击。对于第一类威胁，可以通过系统远离电磁干扰源，加不间断电源，及时维修故障设备等方法来解决。而人员对系统的攻击主要有伪造

4、攻击、假冒攻击、复制攻击和重放攻击。第7章 射频数据的安全性7.1、射频识别系统的安全分析 RFID系统面临的攻击手段有主动攻击和被动攻击两种。（1）主动攻击：1.获得RFID标签的实体，通过物理手段在实验室环境中去除芯片封装、使用微探针获取敏感信号、进行目标标签的重构。2.通过专门的软件，利用微处理器的通用接口，扫描RFID标签和响应阅读器的探寻，寻求安全协议加密算法及其实现弱点，从而删除或篡改标签内容。3.通过干扰广播、阻塞信道或其他手段，产生异常的应用环境，使合法处理器产生故障，拒绝服务器攻击等。第7章 射频数据的安全性7.1、射频识别系统的安全分析（2）被动攻击 采用窃听技术，分析微处

5、理器正常工作过程中产生的各种电磁特征，获得RFID标签和阅读器之间的通信数据。美国某大学教授和学生利用定向天线和数字示波器监控RFID标签被读取时的功率消耗，通过监控标签的能耗过程从而推导出了密码。根据功率消耗模式可以确定何时标签接收到了正确或者不正确的密码位。主动攻击和被动攻击都会使RFID应用系统承受巨大的安全风险。第7章 射频数据的安全性7.2、密码学技术原理 消息被称为明文；用某种方法伪装消息以隐藏它的内容的过程称为加密；加了密的消息称为密文；把密文转变为明文的过程称为解密；密码算法也叫密钥，是用于加密和解密的数学函数；第7章 射频数据的安全性7.2、密码学技术原理 加密和解密变换的关

6、系式：其中密钥K是加密密钥，K是解密密钥。K和K可以相同，也可以不同。密钥K的可能值的范围叫做密钥空间。加密通信系统模型如下图所示：第7章 射频数据的安全性c=EK(m)m=DK(c)=DK(EK(m)7.2、密码学技术原理 常见的密码算法体制有对称密码体制和非对称密码体制两种。对称密码体制是一种常规密钥算法体制，也称为单钥密码体制或私钥密码体制。对称密钥要求通信双方都拥有一个相同的保密的密钥来进行加密、解密，所以称为对称密钥。即使二者不同，也能够由其中一个很容易的推导出另外一个。而在非对称密码体制中，加密时所采用的密钥与解密时所采用的密钥是不同的，其加密解密中的一个密钥可以公开，所以也称非对

7、称密码体制。第7章 射频数据的安全性7.2、密码学技术原理 对称密码体制从得到的密文序列的结构来划分，有序列密码和分组密码两种不同的密码体制。序列密码是将明文m看成是连续的比特流（或字符流）m1m2，并且用密钥序列K=K1K2中的第i个元素Ki对明文中的mi进行加密，因此也称为流密码。分组密码是将明文划分为固定的n比特的数据组，然后以组为单位，在密钥的控制下进行一系列的线性或非线性的变化而得到密文。分组密码算法的加解密过程如下：第7章 射频数据的安全性 将明文比特流X分成定长的分组：X1,X2,Xn。设：则令 设分组密码算法为E，则普通的分组密码加密过程如下：第7章 射频数据的安全性12nXx

8、,x,.x,1122122LLLLXx,x,.x,Xx,x,.x,.11122212212LLLLYE(Y,X)yy.yYE(Y,X)yy.y.YY,Y,.7.2、密码学技术原理 最著名的分组密码算法是DES（Data Encryption Standard）加密标准。DES由IBM公司1975年研究成功并发表，1977年被美国定为联邦信息标准。DES的分组长度为64位，密钥长度为56位，将64位的明文经加密算法变换为64位的密文。还有一种高级加密标准AES（Advanced Encryption Standard）它是一种新的加密标准，也是分组加密算法，分组长度为128位，密钥长度有128位

9、、192位、256位三种，分别称为AES-128，AES-192，AES-256。第7章 射频数据的安全性7.2、密码学技术原理 序列密码体制与分组加密体制的区别在于明文序列的各个字符是相继受密钥序列的相应字符逐一的加密；它所产生的密文序列的特点是加密后相互独立，也称为流密码算法。同时序列密码具有加密解密算法速度快，计算复杂度低，采用流密码的方式便于软硬件的实现等特点，从而在数据加密通信中得到了广泛的应用。第7章 射频数据的安全性7.2、密码学技术原理 在非对称密码体制中，加密和解密分别通过两个不同的密钥实现，而且从其中的一个密钥推导出另外一个密钥是非常困难的。采用非对称密码体制的每个用户都有

10、一对选定的密码，其中一个是公开密钥，另外一个是私人密钥。非对称密码体制中最著名的是RSA算法。密钥获取的步骤如下：选择两个不相等的大素数p和q；计算n=pq和欧拉函数(n)=(p-1)(q-1)；选择一个和(n)互质的数，令其为d，且1d(n)；选择一个e，使其能满足ed=1(mod(n)，则公开密钥由（e，n）组成，私人密钥由（d，n）组成。第7章 射频数据的安全性RSA算法的加解密方法是：对数据块M进行加密，计算C=Me(mod n)，C即为M的密文。对C进行解密时的计算为M=Cd(mod n)。取p=3，q=11，n=pq=311=33，(n)=(p-1)(q-1)=210=20；由于7

11、和20没有公因子，因此可取d=7；解方程7e=1(mod 20)，得到e=3；公开密钥为（3，33），私人密钥为（7，33）。假设要加密的明文M4，则密文CMe(mod n)=43(mod 33)=31，接收方解密时计算MCd(mod n)=317(mod 33)=4，即可恢复出原文。第7章 射频数据的安全性7.3、射频识别系统的加密机制 在射频识别应用系统上主要采用三种传输信息保护方式，即认证传输方式（Authentic Transmit Mode）、加密传输方式(Encipher Transmit Mode)和混合传输方式(Mixed Transmit Mode)。认证传输方式就是将在接口

12、设备和电子标签之间传输的信息加上相应的认证信息，它不具有保密性，但具有检错纠错等功能。加密传输方式使用一定的加密算法对信息加密后进行传输，具有保密性，但不具有检错纠错等功能。混合方式为前两者的结合，在先认证后再加密。第7章 射频数据的安全性7.3、射频识别系统的加密机制 射频识别系统中的认证技术主要是一个互相鉴别的过程。首先读写器发送一个查询口令给电子标签；电子标签产生一随机数RA，并回送给读写器；读写器则产生一个随机数RB，使用共同的密钥K和共同的密码算法EK，读写器算出一个加密数据块（权标Token1），并将此数据块发送给电子标签；Token1=EK（RA,RB）电子标签将收到的Token

13、1译码，并将从明码报文中取得的随机数RA与原先发送的RA相比较，如果一致，标签另行产生一个随机数RA2，用RA2算出一加密的数据块（权标Token2），并将此数据块发送给读写器；Token2=EK（RA2,RB）；第7章 射频数据的安全性第7章 射频数据的安全性7.3、射频识别系统的加密机制5、读写器将Token2译码，检查原先发送的RB与刚收到的RB是否一致。如果一致，则电子标签和读写器双方都已查实属于共同的系统，双方更进一步的通信是合法的。7.3、射频识别系统的加密机制 上面介绍的鉴别方法有一个缺点：所有属于同一应用的电子标签都使用相同的密钥来保护。当电子标签数量很大时，这是一种潜在的危险

14、。因为电子标签的密钥可能以小概率被揭露。因此对上述鉴别过程的主要改进是：每个电子标签用不同的密钥来保护。为此在电子标签生产过程中读出它的序列号，用加密算法和主控密钥计算导出密钥，而电子标签就这样被初始化了。每个电子标签都有一个与自己的序列号和主控密钥相关联的密钥。第7章 射频数据的安全性7.3、射频识别系统的加密机制 射频识别系统中的加密数据传输主要采取对称密码体制中的序列密码体制即流密码体制。流密码是将明文划分为字符（如单个字母），或其编码的基本单元（如0、1数字），字符分别与密钥流作用进行加密，解密时以同步产生的同样的密钥流实现。流密码技术的理想实现方法是所谓的“一次插入法”，其核心问题是

15、密钥流生成器的设计。保持收发两端密钥流的精确同步是实现可靠解密的关键技术。第7章 射频数据的安全性7.3、射频识别系统的加密机制 密钥管理（1）应答器中的密钥 为了阻止对应答器的未经认可的访问，采用了各种方法。最简单的方法是口令的匹配检查，应答器将收到的口令与存储的基准口令相比较，如果一致，就允许访问数据存储器。（2）分级密钥 密钥A仅可读取存储区中的数据，而密钥B对数据区可以读写。如果阅读器A只有密钥A，则在认证后它仅可读取应答器中的数据，但不能写入。而阅读器B如果具有密钥B，则认证后可以对存储区进行读写。第7章 射频数据的安全性7.3、射频识别系统的加密机制 密钥管理 初级密钥用来保护数据

16、，即对数据进行加密和解密；二级密钥是用于加密保护初级密钥的密钥；主密钥则用于保护二级密钥。这种方法对系统的所有秘密的保护转化为对主密钥的保护。主密钥永远不可能脱离和以明码文的形式出现在存储设备之外。第7章 射频数据的安全性7.4、RFID芯片的攻击技术分析及安全设计策略 根据是否破坏智能卡芯片的物理封装可以将智能卡的攻击技术分为破坏性攻击和非破坏性攻击两类。破坏性攻击：初期与芯片反向工程一致，使用发烟硝酸去除包裹裸片的环氧树脂、用丙酮/去离子水/异丙醇清洗、氢氟酸超声浴进一步去除芯片的各层金属。去除封装后，通过金丝键合恢复芯片功能焊盘与外界的电器连接，最后手动微探针获取感兴趣的信号。第7章 射

17、频数据的安全性7.4、RFID芯片的攻击技术分析及安全设计策略 非破坏性攻击：针对于具有微处理器的产品，手段有软件攻击、窃听技术和故障产生技术。软件攻击使用微处理器的通信接口，寻求安全协议、加密算法及其物理实现弱点；窃听技术采用高时域精度的方法分析电源接口在微处理器正常工作中产生的各种电磁辐射的模拟特征；故障产生技术通过产生异常的应用环境条件，使处理器发生故障从而获得额外的访问路径。第7章 射频数据的安全性7.4、RFID芯片的攻击技术分析及安全设计策略（1）破坏性攻击及防范 版图重构：通过研究连接模式和跟踪金属连线穿越可见模块，如ROM、RAM、EEPROM、指令译码器的边界，可以迅速识别芯

18、片上的一些基本结构如数据线和地址线。版图重构技术也可以获得只读型ROM的内容。ROM的位模式存储在扩散层中，用氢氟酸去除芯片各覆盖层后，根据扩散层的边缘易辨认出ROM的内容。在基于微处理器的RFID设计中，ROM可能不包含任何加密的密钥信息，但包含足够的I/O、存取控制、加密程序等信息。因此推荐使用FLASH或EEPROM等非易失性存储器存放程序。第7章 射频数据的安全性7.4、RFID芯片的攻击技术分析及安全设计策略（1）破坏性攻击及防范 存储器读出技术：在安全认证过程中，对于非易失性存储器至少访问一次数据区，因此可以使用微探针监听总线上的信号获取重要数据。为了保证存储器数据的完整性，需要在

19、每次芯片复位后计算并检验一下存储器的校验结果，这样提供了快速访问全部存储器的攻击手段。第7章 射频数据的安全性7.4、RFID芯片的攻击技术分析及安全设计策略（2）非破坏性攻击及其防范 微处理器本质上是成百上千个触发器、寄存器、锁存器和SRAM单元的集合，这些器件定义了处理器的当前状态，结合组合逻辑即可知道下一时钟的状态。许多类似系统的模拟效应可用于非侵入式的攻击：1.每个晶体管和连线都具有电阻电容特性，其温度、电压等特性决定了信号的传输延时。2.触发器在很短时间间隔内采样并和阈值电压比较。3.触发器仅在组合逻辑稳定后的前一状态上建立新的稳态。4.在CMOS门的每次翻转变化中,P管和N管都会开启一个短暂的时间，从而在电源上造成一次短路。5.输出改变时，电源电流会根据负载电容充放电而变化。第7章 射频数据的安全性