本期我们将详细介绍关于RFID的安全知识。DHS4300A–Q4(RFID安全)于2014年8月5日发布,此文档提出了与RFID相关的要求及与RFID有关的对DHS无线安全策略实现的指导建议,以辅助国土安全部各部门对RFID系统的信息保障项目的开发和实现。
图1DHS4300A敏感系统手册
RFID技术
RFID是一种能够通过电磁信号与无线设备(标签)进行远程通信的技术,可以通过电磁信号识别和跟踪他们所依附的对象。RFID系统包括标签、读写器、本地计算机主机、后端应用程序和数据库,标签上的数据被读写器扫描并发送到后端服务器,整个过程可以自动同步和远程完成。图2描述了一个被动式的RFID系统。
图2被动式的RFID系统
RFID系统中有些标签只存储简单的识别码,有些标签则可以存储更多的信息,比如生物识别数据、位置、温度和湿度等,这取决于标签的硬件和附加的外围设备。例如,一种使用标准企业无线网络并结合位置和ID信息实时对资产和人员进行定位的标签,可以利用该标签在医院里实施动态跟踪。
RFID标签由微芯片和天线组成,使用不同的电磁频率如低频、高频、超高频、无线网络、红外线和超声波进行通信。一般包括有源和无源两种类型的RFID标签:
(1)无源的和半无源的标签本身没有内部能量来源,通常利用来自外部的(如读写器等)射频设备发射信号的能量。
(2)有源和半有源标签有内部能源,可以自动将射频信号发送给读写器。
RFID系统中存在的安全问题及建议措施
有源标签
有源标签周期性地发出射频信号与读写器进行通信,根据频率和传输功率大小,信号可以穿透墙壁等物体,有些标签甚至可以在几百米的开阔空间和几十米的室内区域中进行通信。
目前,大多数有源标签不支持身份验证或加密功能,很容易通过使用兼容的读写器窃取传输的数据,因此有源标签应该在安全的操作环境中使用。对于采用RFID的组织来说,了解有源标签的运作机制,评估业务和操作中的风险和漏洞,做出明智决策、平衡操作和安全考虑,是非常重要的。
图3有源标签
无源标签
现在,大多数的无源标签都符合EPCClass1Gen2标准。这个标准是受美国国防部和沃尔玛委托建立的,并已被各行业和政府机构广泛地采用。然而,EPCClass1Gen2标准只提供了非常有限的安全特性:
用于双向握手和数据屏蔽的16位随机数生成器用来锁定一个给定的标签和读写器会话,以避免多个标签或读写器存在时发生冲突;它生成的数值也被用作一个对密码进行简单加密的关键值和执行写命令时读写器向标签中写的内容,但是它不用于对从标签到读写器的识别数据的加密。
执行禁用标签的kill命令需要一个32的密码。
采用16位循环冗余校验(CRC)进行错误检测。
访问标签某些部分需要一个32位的密码(如用于“写”操作的密码位),但此密码不用于标记标签ID数据访问验证。
由于可以进行加密的位数很少,所有这些特征被认为安全性很弱。因此部署这类标签时必须考虑如下安全问题:
EPC标签响应任何兼容的读写器时不会先进行认证;
用于灭活和访问控制的是短而静态的密码,并且它们只提供读写器到标签的单向认证,因此可能会被攻击者破解;
EPC标准没有数据加密要求,无论是在标签上或是在传输中;
EPC密码的加密能力很弱。
读写器向标签发送的用来进行数据屏蔽的关键值在最开始标签向读写器发送过程中可以被拦截。
图4无源标签
智能卡
智能卡通过直接物理接触(接触卡,遵循ISO/IEC7816标准)或远程的非接触射频接口(非接触式卡,遵循ISO/IEC14443标准)与读写器进行通信。智能卡中有一个用于数据存储和计算的嵌入式集成电路(IC),凭借其内置的集成电路和相关的微控制器,能够存储大量的数据并执行复杂的操作。智能卡包括一些强大的安全功能,如加密和数字签名,并可以与外部RFID系统智能交互。例如,一些非接触式的卡可以通过高级加密标准(AES)算法加密数据,并可以根据公钥基础设施(PKI)使用秘密内置的唯一密钥进行相互认证。
智能卡和RFID系统应该提供一个在通信建立前和周期性通信时进行批次验证的机制,从而减少智能卡被攻击。数字证书经常用于此,共享密钥也是另一种选择。
图5智能卡
近场通信(NFC)
近场通信(NFC)是一种无线技术,旨在在两个设备非常靠近时(几厘米)进行通信,其工作频率、功耗、硬件和软件设计决定了通信距离的局限性。NFC允许两个设备建立一个通信信道,这符合ISO/IEC18092和21481标准的。例如,两个NFC智能手机用户可以通过相互靠近手机来分享照片。
NFC通信时不需要进行身份验证或加密,但需要两个设备非常接近,这也使它不容易受到如窃听、数据修改、中间人攻击等威胁,但不是无懈可击。除特定的需要或业务考虑,默认情况下,设备上的NFC功能应该被禁用,由用户手动启用,以尽量减少潜在的数据泄漏。
后端系统
RFID后端系统是由网络组件、中间件和处理ID信息的业务应用程序组成。这个系统和其他企业系统(如供应链应用)共享ID信息,因此,后端系统应部署在值得信赖的企业边界内。
在这个边界内部署的是美国国土安全部认可的信息系统和组件,其中国土安全部通常直接掌握应用程序及其效果评估。为确保RFID后端系统的有效保护,强大的周界深度防御战略是必要的。防火墙、代理和内容过滤是保障企业边界安全的一些有效工具和方法。此外,应编写和实施用于安全修补、更新的操作系统和与后端系统相关的应用程序的标准操作规程。
标签数据安全
标签上的数据很容易受到各种攻击,特别是数据能力较差、没有强大安全功能的标签。例如,通过EPCGen2无源标签跟踪笔记本电脑。可以使用非描述性的和随机的独特数字来代表敏感的识别信息,而不是直接将组织机构代码、员工标签号码、产品序列号等敏感数据存储在标签上,进而使用更安全的RFID后端系统进行映射识别。使用这种方式,即使标签数据被未经授权的读写器捕获,标签数据也不会透露任何敏感的信息。
射频泄漏
根据射频带和设备的功率,从标签和读写器发出的射频信号可以在几厘米到几百米的范围内被捕获和解码,需要对此加以防范。
提高RFID技术安全性的指导意见
物理访问控制
RFID信号能够穿越使用区域的墙壁并在区域外围传播,通用物理访问控制限制人员进出办公大楼、数据中心和包含IT设备的房间,可以防范物理环境威胁。RFID系统所有者通过该控制需措施,限制对手物理接触RFID系统部件。
考虑到某些特殊对手的能力,还应确保与RFID系统相关的数据的恰当使用。这意味着,还要防止人员的无意识非正确操作,即使这些人员并不是对手。隐私规范文档中必须要考虑RFID系统和数据的潜在误用(包括非故意使用),并根据识别到的新用法和风险持续更新文档。
安全处理标签
在完成预期任务之后,RFID标签应该被安全地处理掉。标签可以通过物理或电子方式销毁、停用。
物理销毁包括焚烧、强制撕裂或粉碎,粉碎和撕裂能够导致集成电路与天线分离(这使得标签的读取变得更加困难,但并非不可能),也会损坏或消除集成电路。电子破坏包括使用标签的杀死功能或利用强电磁场向电路输送强电流使标签的电路不可再操作。尽管该数据恢复方法实用性差,但通过电子方式永久禁用标签仍然有可能恢复标签内容(如使用扫描电子显微镜)。因此,如果要保证标签的可读性为零,必须在物理破坏或电子破坏后进行焚化。
职责分离
强制要求将每个安全任务分配给不同的人员,单人不能承担整个任务。要对敏感信息系统进行适当的内部控制,就必须使用这种方式进行分离。它还能确保没有人能够单独完全控制系统的安全机制。
配置管理
通过配置管理控制对RFID系统的更改,以确保更改与组织的任务一致。配置管理通常使技术支持人员能够快速识别操作问题的根源,并允许安全人员和审计人员发现不当行为和其他违反策略的行为。
安全应急响应
安全控制旨在保护组织免受安全威胁,但不管这些控制有多有效,一些安全事件是不可避免的。在发生此类事件之前,组织需要有效的响应能力。
总结
RFID技术是无线网络通信的一个重要组成部分,RFID系统的安全也关系着多个重要部门的资产安全,因此需要使用部门加以重视。本期我们介绍了DHS4300A系列手册中关于RFID的安全,供采用RFID系统的部门参考。