RFID 智能标签卡安全漏洞的解决方案

0AASRI Procedia 4年 (2013) 282 – 28702212-6716 ©2013作者。由ElsevierB.V.出版。根据美国应用科学研究所的责任进行选择和/或同行评审。doi：10.1016/j.aasri.2013.10.0420ScienceDirect02013年智能系统和控制AASRI会议0"RFID智能标记卡安全漏洞的解决方案"0"Avery Williamson Sr.，Li-Shiang Tsay，Ibraheem A. Kateeb，Larry Burton" *0"北卡罗来纳农工州立大学，1601 E. Market St. Greensboro NC 27406，美国"0摘要0射频识别（RFID）技术的使用在各个行业的所有领域都越来越多。公司和政府机构已经实施了RFID解决方案，使其库存控制系统更加高效。在医疗行业中，该技术被用于通过防止医疗误识别和错误治疗来挽救患者的生命，监测医疗设备资产以及追踪药物的管理。尽管RFID可以为行业提供诸多好处，但其使用也存在明显的安全问题。本文将识别RFID技术固有的安全风险，并提出一个框架，使用主动标签使智能标记卡更安全，以防止克隆标签或在标签和读卡器之间嗅探数据的能力。所提出的框架特定于标签和读卡器之间的通信层。©2013由ElsevierB.V.出版。根据美国应用科学研究所的责任进行选择和/或同行评审。关键词：RFID；安全；智能标签；生物识别01. 引言0RFID利用无线通信技术，提供了区分识别物体或人的能力。0使用名为标签的设备来识别人。该技术由三个基本部分组成：标签，读卡器和主机系统。RFID标签和读卡器在指定的无线电频率上进行通信。当具有一个0*通讯作者。电话：+1-336-451-0288电子邮件地址：anwillia@aggies.ncat.edu0在线访问www.sciencedirect.com0©2013作者。由Elsevier B.V.出版。根据美国应用。0开放获取，根据CC BY-NC-ND许可证。0开放获取，根据CC BY-NC-ND许可证。 0283 Avery Williamson Sr.等／AASRI Procedia 4年 (2013) 282 – 2870RFID标签放在读卡器的通信区域，读卡器告诉标签发送存储在其上的数据。读卡器从标签中收集数据后，通过网络连接（以太网，移动IP等）将数据发送到RFID控制器。控制器将根据接收到的数据类型使用它。数据可以存储在数据库中，也可以作为库存中的对象移动。与条形码技术相比，RFID技术一直是最热门的话题之一，因为它使跟踪和追踪过程自动化。与条形码技术相比，它提供了更高的数据完整性和准确性，实时反应能力以及端到端的可见性。它已经在各个领域使用，例如零售库存控制，供应链管理，防伪，建筑安全，图书馆系统，速度支付钥匙，收费，车辆识别，航空行李，寻找丢失的宠物，研究野生动物和跟踪牲畜。目前，越来越多的人对使用RFID技术来挽救生命，防止错误和降低成本产生了兴趣。医疗机构已经采用RFID标签来跟踪和管理医疗资产，以提高其利用率并减少未来重复购买设备的需求。为了提高患者的安全性和医疗服务，一些人正在使用RFID进行跟踪和追踪，与医疗监测设备集成，用于紧急警报，并确保在手术期间移除带有标记的外科设备。对于追踪人们携带物品的RFID标签可能对组织和个人都存在重大的安全和隐私风险。标签自然地回应读卡器，而无需所有者的批准，甚至无需所有者注意到。当RFID嵌入到患者的个人数据和医疗历史中时，必须确保标签的安全，以防止任何隐私敏感信息的泄漏。本研究检查了影响RFID标签和读卡器之间的空中接口的安全问题。图1显示了一个典型的RFID系统以及该系统中存在的安全和不安全接口。该系统可以由多个读卡器和一个控制器或主机工作站组成。读卡器有能力与多个标签进行通信，标签可以附着在几乎任何物体上（从货架产品，医疗ID手镯到托盘）。标签与读卡器之间的通信是RFID系统中安全性最薄弱的点。该接口通常不使用任何加密，特别是如果使用被动标签。读卡器与主机系统或主机网络之间的网络接口由企业网络的IT安全政策覆盖。0图1. 典型的RFID系统02. RFID隐私和安全问题0随着RFID技术的使用范围扩大，与其相关的隐私和安全问题越来越受关注。消费者反对超市侵犯隐私和编号（CASPIAN）小组在其研究中发现，零售商的忠诚卡中有RFID芯片，其中包含客户ID信息，而客户对此并不知情（Grover＆Berghel，2011）。此外，产品中的RFID标签在购买后仍可以传输数据，并且可以被任何读卡器读取。在RFID技术中的一个常见弱点是标签和读卡器之间的链接。通常，该通信链路的消息传输不使用任何加密。解决这个问题将需要更多的硬件，这将影响尺寸和成本。0284 Avery Williamson Sr.等/AASRI Procedia 4年 (2013) 282 – 2870对RFID技术的安全威胁可以分为几类：嗅探（或窃听），欺骗，克隆，重播，中继和拒绝服务攻击（Grover＆Berghel，2011）（Shih，Lin，＆Lin，2005）。对RFID网络的安全风险最高的是嗅探和窃听攻击。窃听/嗅探是对标签的未经授权访问。恶意读卡器可以读取标签并记录可能是敏感和机密的信息（Grover＆Berghel，2011）。欺骗攻击还涉及秘密扫描。它不仅记录合法标签的数据传输，还复制原始标签的ID并使自身看起来有效。重播攻击涉及使用标签对恶意读卡器的挑战进行响应，以冒充标签（Burmester＆Medeiros，2007）。中继攻击类似于重播攻击，但它延迟了有效标签对真实读卡器的响应。最后一种威胁类型是拒绝服务攻击。它针对RFID系统的可访问性，并且可能影响系统的任何部分（标签，读卡器和控制器 -后端计算机），例如在商品从商店结账之前从商品中移除RFID标签（Grimaila，2007），以及交换和放置成本较低的商品上的标签。所有这些攻击都会影响后端系统的数据库完整性，因为会导致库存不匹配。02.1. RFID安全威胁02.2. 安全对策0针对RFID技术所面临的安全威胁，有几种方法被用作对策。这些方法可以分为两组：非加密系统和加密算法(Shih, Lin, & Lin,2005)。为了降低成本，部署了非加密的安全对策。保护消费者隐私的最简单方法之一是标签使能(Shih, Lin, &Lin,2005)。此方法可以在销售点将RFID标签的功能禁用掉。销售点的RFID读卡器发送一个代码或PIN码来执行标签使能命令(Juels, Rivest, & Szydlo,2003)。利用标签的可写内存是另一种流行的非加密安全方法，它使用RFID标签的RAM中的秘密和临时ID码(半主动标签)，以及由制造商放入ROM的标签序列号。结果是，当标签在ROM模式下时，无限制地向任何需要信息的用户对象进行对象识别，而在RAM模式下，对象识别受到限制( Inoue & Yasuura,2003)。加密算法的实施成本更高，但可以提供更好的安全性和隐私保护，包括基于哈希的访问控制、极简主义、再加密方案和通用再加密以及高级半随机访问控制(A-SRAC)(Shamaili, Yeun, & Zemerly,2010)。基于哈希的访问控制使用哈希启用的标签，为临时metaID保留了一段内存。这使得标签可以在锁定或解锁状态下工作(Shih, Lin, & Lin,2005)。哈希算法用于生成一个随机的元ID的不可辨识密钥，读卡器检查本地数据库中与哈希键对应的哈希键，并将其发送给标签，标签接收哈希键并将其与metaID进行比较，如果相匹配，则标签解锁并允许读卡器完全检索数据(Shamaili, Yeun, & Zemerly,2010)。极简主义方法使用一组对应于存储在RFID标签中的密钥的伪名列表(Juels A.,2004)。读卡器在经过标签验证后进行验证，并通过发送一个认证密钥来验证标签。验证过程完成后，RFID标签将其数据释放给读卡器。0285  Avery Williamson Sr. et al. /  AASRI Procedia  4 ( 2013 )  282 – 2870然后读卡器更新标签中的信息并将信息转发给标签。标签验证信息，如果有效，则更新信息并将患者的健康数据从卡片释放给读卡器。03. 智能标签的安全框架0286     Avery Williamson Sr. et al. /  AASRI Procedia  4 ( 2013 )  282 – 28705. 读卡器向卡上的智能标签发送访问码以取消激活。  6.当患者接受治疗时，从标签转移的数据将通过相同的步骤1-5传输到嵌入式标签和读卡器的电子健康图表中。7. 医疗专业人员更新健康图表，一旦治疗完成，通过触摸组合激活卡，并经历步骤1-5。  8.健康图表中的读卡器更新PMC中的标签，更新医疗数据并发出访问码以取消激活卡，完成流程。1234465778 0图2. 智能标签保险的安全流程0该过程允许通过两个层面的安全性保护智能标签上的数据，一个是加密的，另一个是物理的。可能的弱点是通过电磁干扰丢失卡上的数据，并在后端具备足够的服务器资源来支持所提出的系统。04. 结论0由于RFID安全协议的进步，它正在成为用于日常应用的可行技术，如智能标签护照、保险卡和银行卡。A-SRAC等安全协议提供了双重认证过程，并且与睡眠命令等非加密方案相结合，为RFID技术的实际应用提供了安全框架。0参考资料0参考文献：[1] Burmester , M., & Medeiros, B. D. (2007). RFID Security: Attacks, Countermeasures and Challenges.  The 5th RFIDAcademic  Convocation, The RFID Journal Conference (2007).    [2] Grimaila, M. (2007).  RFID Security Concerns . Retrieved March2013, from Slideshare.net:  http://www.google.com/url?sa=t&rct=j&q=rfid securityissues&source=web&cd=10&cad=rja&sqi=2&ved=0CHAQFjAJ&url=http://www.slideshare.net/PeterSam67/rfid-security-  [3]Grover, A., & Berghel, H. (2011).  A Survey of RFID Deployment and Security Issues . Journal of Information Processing Systems,Vol.7, No.4, December 2011.  [4] Inoue , S., & Yasuura, H. (2003).  www.c.csce.kyushu-u.ac.jp.  Retrieved Feb 2013, from System LSILab:  http://www.c.csce.kyushu-u.ac.jp/lab_db/papers/paper/pdf/2003/sozo03_5.pdf  [5] Juels, A. (2004).  www.rsa.com/rsalabs.Retrieved Feb 2013, from RSA Laboratories:  http://www.rsa.com/rsalabs/staff/bios/ajuels/publications/minimalist/Minimalist.pdf0287  Avery Williamson Sr.等  /  AASRI Procedia  4 ( 2013 )  282 – 2870[6] Juels, A., Rivest, R., & Szydlo, M. (2003).  www.rsa.com/rsalabs.  2013年2月检索自RSA Laboratories:http://www.rsa.com/rsalabs/staff/bios/ajuels/publications/minimalist/Minimalist.pdf  [7] Lee, Y., & Verbauwhede, I. (2009).https://www.cosic.esat.kuleuven.be/index.html.  2013年2月检索自COmputer Security  and Industrial Cryptography:http://www.cosic.esat.kuleuven.be/publications/article-663.pdf  [8] Shamaili, M. B., Yeun, C. Y., & Zemerly, M. J. (2010). Smart RFIDSecurity, Privacy, and Authentication. 在M. B. Shamaili, C.  Y. Yeun, & M. J. Zemerly (Eds.),  Computational Intelligence and ModernHeuristics  (pp. 175-189). InTech.  [9] Shih, D., Lin, C., & Lin, B. (2005). RFID标签的隐私与安全性方面.  Soutwest Region DecisionSciences Institute.    [10] Tsay, L.-S., Williamson, A., & Im, S. (2012). 构建智能RFID系统的框架.  Technologies and Applications ofArtificial Intelligence (TAAI)  (pp. 109-112). TAAI.