RFID系统的安全.pptx

1、Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,存在这么几个问题,1、RFID安全漏洞在哪,有哪些攻击方式？,2,、,RFID有哪些安全处理方案,？,问题探究,第1页,第九章 RFID系统安全,RFID系统是一个开放无线系统

2、其安全问题日渐显著。读写器、电子标签和网络等各个步骤数据都存在安全隐患，安全与隐私问题已经成为制约RFID技术主要原因之一。为了预防一些试图侵入RFID系统而进行非授权访问，或者预防跟踪、窃取甚至恶意篡改电子标签信息，必须采取办法来确保数据有效性和隐私性，确保数据安全性。,第2页,场景 一,(1)超市已构建RFID系统并实现仓储管理、出售商品自动化收费等功效，超市管理者使用阅读器能够读写商品标签数据(写标签数据时需要接人密钥)，考虑到价格调整等原因，标签数据必须能够屡次读写。,(2)移动RFID用户本身携带有嵌入在手机或PDA中阅读器，该阅读器能够扫描超市中商品标签以取得产品制造商、生产日期

3、和价格等详细信息。,RFID智能收货,RFID智能购物车,RFID智能结算,未来商店,第3页,(3)经过信道监听信息截获、暴力破解(利用定向天线和数字示波器监控标签被读取时功率消耗，确定标签何时接收了正确密码位)或其它人为原因，攻击者得到写标签数据所需接人密钥。,(4)利用标签接人密钥，攻击者随意修改标签数据，更改商品价格，甚至“kill”标签造成超市商品管理和收费系统陷入混乱以谋取个人私利,。,第4页,德州仪器（TI）企业制造了一个称为数字署名收发器（Digital Signature Transponder，DTS）内置加密功效低频 RFID 设备。DST 现已配置在数以百万计汽车上，其功

4、效主要是用于预防车辆被盗。,DST 同时也被 SpeedPass 无线付费系统所采取，该系统现用在北美成千上万ExxonMobil 加油站内。,DST 执行了一个简单问询/应答（challenge-response）协议来进行工作.阅读器问询数据 C 长度为 40bits，芯片产生回应数据 R 长度为 24bits，而芯片中密钥长度亦为 40bits。,密码破译者都知道，40bits 密钥长度对于现在标准而言太短了，这个长度对于暴力攻击法毫无免疫力。,年末，一队来自约翰霍普津斯大学和 RSA 试验室研究人员示范了对 DST 安全弱点攻击。他们成功完全复制了 DST，这意味着他们破解了含有 DS

5、T 汽车钥匙，而且使用它执行了相同功效。,场景 二,第5页,在年意大利举行一次学术会议上，就有研究者提出病毒可能感染RFID芯片，经过伪造沃尔玛、家乐福这么超级市场里RFID电子标签，将正常电子标签替换成恶意标签，即可进入他们数据库及IT系统中发动攻击。,209月，北京公交一卡通被黑客破解，从而敲响了整个RFID行业警钟。黑客经过破解公交一卡通，给自己一卡通非法充值，获取非法利益2200元,203月，业内某安全教授破解了一张英国发行、利用RFID来存放个人信息新型生物科技护照。,20RSA安全大会上，一家名为IOActive企业展示了一款RFID克隆器，这款设备能够经过复制信用卡来窃取密码,场

6、景 三,第6页,RFID应用隐私泄露问题,所以，怎样实现RFID系统安全并保护电子标签持有些人隐私将是当前和今后发展RFID技术十分关注课题。,第7页,存在这么几个问题,1、RFID为何会泄露个人隐私,？,2、RFID安全漏洞在哪,有哪些攻击方式？,3,、,RFID有哪些安全处理方案,？,问题探究,第8页,9.1 RFID系统面临安全攻击,RFID系统中传输是基于,无线通信,方式，使得传输数据,轻易被“偷听”,；,在RFID系统中，尤其是对于电子标签，计算能力和可编程能力都被标签本身成本所约束，在一个特定应用中，标签成本越低，其,计算能力也就越弱,，在安全方面可预防被威胁能力也就越弱。,第9页

7、第10页,9.1 RFID系统面临安全攻击,常见安全攻击类型,1电子标签数据获取攻击,因为标签本身,成本所限制,，标签本身极难具备确保安全能,力，所以见面临着许多问题。,电子标签通常包含一个带内存微芯片，电子标签上数据安,全和计算机中数据安全都一样会受到威胁。非法用户能够利用合,法读写器或者自构一个读写器与电子标签进行通信，能够很轻易,地获取标签所存放数据。,这种情况下，未经授权使用者能够像一个正当读写器一样去,读取电子标签上数据。在可写标签上，数据甚至可能被非法使用,者修改甚至删除。,第11页,9.1 RFID系统面临安全攻击,2电子标签和读写器之间通信侵入,当电子标签向读写器传输数据，或

8、者读写器从电子标签上查询,数据时，数据是经过无线电波在空中传输。在这个通信过程中，,数据轻易受到攻击。,这类无线通信易受攻击特征包含以下几个方面：,（1）非法读写器截获数据：非法读写器截取标签传输数据。,（2）第三方堵塞数据传输：非法用户能够利用某种方式去阻塞数,据在电子标签和读写器之间正常传输。最惯用方法是坑骗，通,过很多假标签响应让读写器不能分辨正确标签响应，使得读写,器过载，无法接收正常标签数据，这种方法也叫做拒绝服务攻击。,（3）伪造标签发送数据：伪造标签向读写器提供虚假数据，欺,骗RFID系统接收、处理以及执行错误电子标签数据。,第12页,9.1 RFID系统面临安全攻击,3侵犯读写

9、器内部数据,在读写器发送数据、清空数据或是将数据发送给主机系统之,前，都会先将信息存放在内存中，并用它来执行一些功效。在这些,处理过程中，读写器就像其它计算机系统一样存在安全侵入问题。,4主机系统侵入,电子标签传出数据，经过读写器抵达主机系统后，将面临现,存主机系统RFID数据安全侵入问题。可参考计算机或网络安全,方面相关文件资料。,第13页,9.1 RFID系统面临安全攻击,因为当前RFID主要应用领域对隐私性要求不高，所以对于安全、隐私问题注意力还比较少。然而，RFID这种应用面很广技术，含有巨大潜在破坏能力，假如不能很好地处理RFID系统安全问题，伴随物联网应用扩展，未来遍布全球各地RF

10、ID系统安全可能会像现在网络安全难题一样考验人们智慧。,第14页,9.2 RFID系统安全处理方案,RFID安全和隐私保护与成本之间是相互制约。比如，依据,自动识别（Auto-ID）中心试验数据，在设计5美分标签时，集成,电路芯片成本不应该超出2美分，这使集成电路门电路数量只能限,制在7.5k15k范围内。一个96bitsEPC芯片需要5k10k门电,路，所以用于安全和隐私保护门电路数量不能超出2.5k5k，,这么限制使得现有密码技术难以应用。,优异RFID安全技术处理方案应该是平衡安全、隐私保护与成本,最正确方案。,现有RFID系统安全技术能够分为两大类：,（1）一类是经过物理方法阻止标签与

11、读写器之间通信；,（2）一类是经过逻辑方法增加标签安全机制。,第15页,9.2 RFID系统安全处理方案,物理方法,RFID安全物理方法有杀死（Kill）标签、法拉第网罩、,主动干扰、阻止标签等。,杀死（Kill）标签,原理是使标签丧失功效，从而阻止对标签,及其携带物跟踪。如EPC Class 1 Gen 2标签。不过，Kill命令使,标签失去了本身应有优点，如商品在卖出后，标签上信息将不,再可用，但这么不便于之后用户对产品信息深入了解以及对应,售后服务。另外，若Kill识别序列号（PIN）一旦泄漏，可能造成,恶意者对商品偷盗。,法拉第网罩（Faraday Cage）,原理是依据电磁场理论，由

12、传,导材料组成容器如法拉第网罩能够屏蔽无线电波，使得外部无,线电信号不能进入法拉第网罩，反之亦然。把标签放进由传导材料,组成容器能够阻止标签被扫描，即被动标签接收不到信号。,第16页,9.2 RFID系统安全处理方案,物理方法,主动干扰,无线电信号是另一个屏蔽标签方法。标签用户能够通,过一个设备主动广播无线电信号用于阻止或破坏附近读写器操,作。但这种方法可能造成非法干扰，使附近其它正当RFID系统受,到干扰，严重时可能阻断附近其它无线系统。,阻止标签,原理是经过采取一个特殊阻止标签干扰防碰撞算,法来实现，读写器读取命令每次总取得相同应答数据，从而保,护标签。,第17页,综上，物理安全机制存在很

13、大不足，往往需要附加额外辅助设备，这不但增加了额外成本，还存在其它缺点。如Kill命令对标签破坏性是不可逆；一些有RFID标签物品不便置于法拉第笼中等,。,9.2 RFID系统安全处理方案,第18页,9.2 RFID系统安全处理方案,逻辑方法,在RFID安全技术中，惯用逻辑方法有,哈希（Hash）锁方案,随机Hash锁方案,Hash链方案,匿名ID方案,重加密方案,在很多基于密码技术安全机制中，基于hash函数RFID安全协议设计备受关注。因为，不论是从安全需求来讲，还是从低成本RFID标签硬件执行上来讲，hash函数都是最适合于RFID认证协议。,第19页,哈希(Hash)锁,Hash锁是一

14、个更完善,抵制标签未授权访问安全与隐私技术,。整个方案只需要采取Hash函数，所以成本很低。,Hash函数特点：,给定x，计算h(x)轻易，但给定h(x)，求x计算上不可行；,对于任意x，找到一个y，且yx使得h(x)=h(y)，计算上是不可行；同时，发觉一对(x，y)使得h(x)=h(y)，计算上也是不可行。,给定函数h及安全参数k，输入为任意长度二进制串，输出为k位二进制串，记为,9.2 RFID系统安全处理方案,第20页,安全协议执行步骤：,标签 T 进入阅读器 R 有效范围，接收到阅读器 R 发出仲裁命令 Query。,标签 T 经过反向信道发送 metalID 作为回复。,阅读器 R

15、 将 metalID 传送给后台数据库 B，数据库查询是否存在相等,metalID 值，若匹配则发送对应标签信息(key,ID)给阅读器 R。,阅读器仅将其中 key发送给标签。标签验证 key是否等于 key。,若 keykey 则标签将其 ID 发送给阅读器。,第21页,锁定标签：,对于唯一标志号为ID标签，首先阅读器随机产生该标签Key，计算metaID=Hash(Key)，将metaID发送给标签；标签将metaID存放下来，进入锁定状态。阅读器将(metaID，Key，ID)存放到后台数据库中，并以metaID 为索引。,9.2 RFID系统安全处理方案,第22页,解锁标签：,阅读器

16、问询标签时，标签回答metaID；,阅读器查询后台数据库，找到对应(metaID，Key，ID)统计，然后将该Key值发送给标签；,标签收到Key值后，计算Hash(Key)值，并与本身存放metaID值比较，若Hash(Key)=metaID，标签将其ID发送给阅读器，这时标签进入已解锁状态，并为附近阅读器开放全部功效。,第23页,方法优点：,解密单向Hash函数是较困难，所以该方法能够阻止未授权阅读器读取标签信息数据，在一定程度上为标签提供隐私保护；该方法只需在标签上实现一个Hash函数计算，以及增加存放metaID值，所以在低成本标签上,轻易实现,。,方法缺点：,因为每次问询时标签回答数

17、据是特定，所以其不能预防位置跟踪攻击；阅读器和标签问传输数据未经加密，窃听者能够轻易地取得标签Key和ID值。,9.2 RFID系统安全处理方案,第24页,注：惯用,Hash算法,硬件开销是比较大，比如SHA-1算法大约需要0个等效门电路来实现，完全不适合用于低成本RFID标签。不过Yksel提出了一个低成本64位Hash函数，只需要1700个等效门便可实现。,9.2 RFID系统安全处理方案,第25页,9.2 RFID系统安全处理方案,2随机Hash锁,作为Hash锁扩展，随机Hash锁处理了标签位置隐私问题。采取随机Hash锁方案，读写器每次访问标签输出信息不一样。,随机Hash锁原理,是

18、标签包含Hash函数和随机数发生器，后台服务器数据库存放全部标签ID。读写器请求访问标签，标签接收到访问请求后，由Hash函数,计算标签ID与随机数,r,Hash值,。标签再发送数据给请求阅读器，同时读写器发送给后台服务器数据库，后台服务器数据库穷举搜索全部标签ID和,r,Hash值，判断是否为对应标签ID，标签接收到读写器发送ID后解锁。,第26页,2随机Hash锁,锁定标签,：向未锁定标签发送锁定指令，即可锁定该标签。,解锁标签,：读写器向标签ID发出问询，标签产生一个随机数,R,，计算Hash（ID|,R,），并将（,R,，Hash(ID|,R,)）数据传输给读写器；读写器收到数据后，从

19、后台数据库取得全部标签ID值，分别计算各个Hash（ID|,R,）值，并与收到Hash（ID|,R,）比较，若Hash（ID,k,|,R,）=Hash（ID|,R,），则向标签发送ID,k,；若标签收到ID,k,=ID，此时标签解锁。,第27页,9.2 RFID系统安全处理方案,随机Hash锁方案缺点：,（1）尽管Hash函数能够在低成本情况下完成，但要集成随机数发生,器到计算能力有限低成本被动标签上却很困难。,（2）随机Hash锁仅处理了标签位置隐私问题，一旦标签秘密信息,被截获，隐私侵犯者能够取得访问控制权，经过信息回溯得到标签,历史统计，推断标签持有者隐私。,（3）后台服务器数据库解码操

20、作经过穷举搜索，标签数目很多,时，系统延时会很长，效率并不高。,第28页,9.2 RFID系统安全处理方案,3Hash链,为了处理可跟踪性，标签使用了Hash函数在每次读写器访问后,自动更新标识符方案，实现前向安全性。,Hash链原理,是标签在存放器中设置一个随机初始化标识符,S,1，这个标识符也存放到后台数据库。标签包含两个Hash函数,G,和,H,。当读写器请求访问标签时，标签返回当前标签标识符,ak,=,G,(,Sk,),给读写器，标签从电磁场取得能量时自动更新标识符,Sk,+1=,H,(,Sk,)。,Hash链工作机制如图所表示。,第29页,9.2 RFID系统安全处理方案,3Hash

21、链,锁定标签,：对于标签ID，读写器随机选取一个数,S,1发送给标,签，并将（ID，,S,1）存放到后台数据库中，标签存放接收到,S,1后便,进入锁定状态。,解锁标签,：在第,i,次事务交换中，读写器向标签发出问询消息，,标签输出,ai,=,Gi,，并更新,Si,+1=,H,(,Si,)，其中,G,和,H,为单向Hash函数。读,写器收到,ai,后，搜索数据库中全部（ID，,S,1）数据对，并为每个,标签递归计算,ai,=,G,(,H,(,Si,1)，比较是否等于,ai,，若相等，则返回相,应ID。该方法使得隐私侵犯者无法取得标签活动历史信息，但,不适合标签数目较多情况。,第30页,9.2 R

22、FID系统安全处理方案,3Hash链优缺点分析,在Hash链协议中，标签是一个含有自主ID更新能力标签，这使得,前向安全性问题得到了处理；,Hash链协议只能对标签身份进行认证；,轻易受到重传和假冒攻击；,标签每次认证后，后台数据库都要对每一个标签进行i次杂凑运算；,该协议需要两个不一样hash函数，增加了标签制造成本。,第31页,9.2 RFID系统安全处理方案,4匿名ID方案,匿名ID方案,采取匿名ID，在消息传输过程中，隐私侵犯者即使,截获标签信息也不能取得标签真实ID。该方案采取公钥加密、私,钥加密或者添加随机数生成匿名标签ID。,即使标签信息只需要采取随机读取存放器（RAM）存放，成

23、本较,低，但数据加密装置与高级加密算法都将造成系统成本增加。,因为标签ID加密以后仍含有固定输出，所以，使得标签跟踪,成为可能，存在标签位置隐私问题。而且，该方案实施前提是读,写器与后台服务器通信建立在可信任通道上。,第32页,9.2 RFID系统安全处理方案,5.重加密方案,重加密方案,采取公钥加密。标签能够在用户请求下,经过第三方,数据加密装置定时对标签数据进行重写,。因为采取公钥加密，大量,计算负载将超出标签能力，所以这个过程通常由读写器处理。,该方案存在最大缺点是标签数据必须经常重写，不然，即使加,密标签ID固定输出也将造成标签定位隐私泄漏。,与匿名ID方案相同，标签数据加密装置与公钥

24、加密将造成系统成,本增加，使得大规模应用受到限制，且经常重复加密操作也给,实际操作带来困难。,第33页,没有任何一个单一伎俩能够彻底确保RFID系统应用安全。实际上往往需要采取综合性处理方案。当然，,安全又是相正确,，不存在绝对安全标签，安全办法级别(破解难易程度、随时间地点改变等)会视应用不一样而改变。在实施和布署RFID应用系统之前，有必要进行充分业务安全评定和风险分析，综合处理方案需要,考虑成本和收益之间,关系。,9.2 RFID系统安全处理方案,第34页,9.3 智能卡安全问题,本书深入介绍智能卡原理基础上，着眼于智能卡安全内容，逐层描述了安全攻击、安全目标、安全算法、安全机制和安全规

25、范等内容；然后介绍智能卡系统设计，包含低层设计、应用设计等内容；最终给出了智能卡未来发展趋势。本书附有大量研发实例。,第35页,9.3 智能卡安全问题,影响智能卡安全基本问题,依据各种对智能卡攻击所采取伎俩和攻击对象不一样，普通,能够归纳为以下三种方式:,（1）,使用伪造智能卡，以期进入某一系统,。模拟智能卡与接口,设备之间信息，使接口设备无法判断出是正当还是伪造智能,卡。比如，像制造伪钞那样直接制造伪卡；对智能卡个人化过程,进行攻击；在交易过程中替换智能卡等。,（2）,冒用他人遗失，或是使用偷窃所得智能卡,。试图冒充别,正当用户进入系统，对系统进行实质上未经授权访问。,（3）,主动攻击方式。

26、直接对智能卡与外部通信时所交换信息流,（包含数据和控制信息）进行截听、修改等非法攻击，以谋取非法,利益或破坏系统。,第36页,9.3 智能卡安全问题,物理安全,用于实施物理攻击主要方法包含以下三种:,（1）,微探针技术,：攻击者通常使用专业伎俩去除芯片各层金,属，在去除芯片封装后，经过使用亚微米级微探针获取感兴趣信,号，从而分析出智能卡相关设计信息和存放结构，甚至直接读取,出存放器信息进行分析。,（2）,版图重构,：利用特制显微镜研究电路连接模式，跟踪金属,连线穿越可见模块（如ROM、RAM等）边界，能够快速识别芯片上,一些基本结构，如数据线和地址线。,（3）,聚离子束（FIB）技术,：采取

27、镓粒子束攻击芯片表面，在不,破坏芯片表面电路结构情况下，用含有不一样气体粒子束，可在,芯片上沉积出导线、绝缘体甚至半导体。这种方法可重新连接测试,电路熔断丝，或将多层芯片中深藏内部信号连到芯片表面，,或加粗加强无法置放探针导线，从而形成一个“探针台”。,第37页,9.3 智能卡安全问题,物理攻击是实现成功探测强有力伎俩，但其缺点在于入侵式,攻击模式，智能卡在物理安全方面一些办法以下：,（1）在制造过程中使用特定复杂昂贵生产设备，同时制造人,员需具备专业知识技能，以增加伪造难度，甚至使之不能实现。,（2）对智能卡在制造和发行过程中所使用一切参数严格保密。,（3）增强智能卡在包装上完整性。给存放器

28、加上若干保护层，,把处理器和存放器做在智能卡内部芯片上。选取一定特殊材料,预防非法对存放器内容进行直接分析。,（4）在智能卡内部安装监控程序，以预防外界对处理器/存放器,数据总线及地址总线截听。,（5）对智能卡制造和发行整个工序加以分析。确保没人能完,整地掌握智能卡制造和发行过程，在一定程度上预防内部职员,非法行为。,第38页,9.3 智能卡安全问题,逻辑安全,逻辑攻击者在软件执行过程中插入窃听程序，利用这些缺点诱骗智能卡泄漏机密数据或允许非期望数据修改。攻击者只需具备智能卡、读写器和PC即可；其另一优点在于非入侵式攻击模式以及可轻松地复制。,智能卡逻辑安全主要由以下路径实现。,第39页,9.

29、3 智能卡安全问题,1判别与核实,判别与核实：判别与核实其实是两个不一样概念，不过它们二者,在所实现功效十分相同.,判别,（Authentication）是对智能卡（或者是读写设备）,正当性验证，,即怎样判定一张智能卡（或读写设备）不是伪造,卡（或读写设备）问题,；,核实,（Verify）是指对智能卡持有者正当性进行验证，,也,就是怎样判定一个持卡人是否经过了正当授权问题。,由此可见，二者实质都是对正当性一个验证，不过，在详细,实现方式上，因为二者所要验证对象不一样，所采取伎俩也就,不尽相同。,第40页,9.3 智能卡安全问题,判别,是经过智能卡和读写设备双方同时对任意一个相同随机数进行某种相

30、同加密运算（当前惯用DES算法），然后判断双方运算结果一致性来到达验证目标。,以智能卡作为参考点，分为外部判别和内部判别。,外部判别,就是智能卡对读写设备正当性进行验证。先由读写器向智能卡发一串口令（产生随机数）命令，智能卡产生一个随机数，然后由读写器对随机数加密成密文，密钥预先存放在读写器和IC卡中，密钥层次则要按需要设定。读写器将密文与外部判别命令发送给IC卡，卡执行命令时将密文解密成明文，并将明文和原随机数相比较，若相同则卡认可读写器是真，不然卡认为读写器是伪造。,内部判别,就是读写设备对智能卡正当性进行验证，原理与IC卡判别读写器真伪相同，但使用内部判别命令，解密后结果与随机数进行比较

31、操作应在读写器中进行，而不是由IC卡来判别真伪。,第41页,三次认证过程,外部判别,注：该协议在认证过程中，属于同一应用全部标签和阅读器共享同一加密密钥。因为同一应用全部标签都使用唯一加密密钥，全部三次认证协议含有安全隐患。,42,第42页,第43页,射频识别中认证技术,三次认证过程,阅读器发送查询口令命令给应答器，应答器作为应答响应传送所产生一个随机数,R,B给阅读器。,阅读器产生一个随机数,R,A，使用共享密钥,K,和共同加密算法,EK,，算出加密数据块TOKEN,AB,，并将TOKEN,AB,传送给应答器。,TOKEN,AB,EK,(,R,A,R,B),应答器接收到TOKEN,AB,后，

32、进行解密，将取得随机数与原先发送随机数,R,B进行比较，若一致，则阅读器取得了应答器确实认。,应答器发送另一个加密数据块TOKEN,BA,给阅读器，TOKEN,BA,为,TOKEN,BA,EK,(,R,B1,R,A),阅读器接收到TOKEN,BA,并对其解密，若收到随机数与原先发送随机数,R,A相同，则完成了阅读器对应答器认证。,44,第44页,比如：Mifare卡，采取三次认证协议，其密钥为6字节，即48位，一次经典验证需要6ms，假如外部使用暴力破解话，需要时间为一个非常大数字，常规破解伎俩将无能为力。,第45页,9.3 智能卡安全问题,核实,是经过用户向智能卡出示仅有他本人知道通行字，并

33、由,智能卡对该通行字正确性进行判断来到达验证目标。在通行字,传输过程中，有时还可对要传输信息进行加/解密运算，这一过,程通常也称为通行字判别。用得最多是经过验证用户个人识别号,（PIN）来确认使用卡用户是不是正当持卡人。验证过程如图所,示，持卡人利用读写设备向智能卡提供PIN，智能卡把它和事先存放,在卡内PIN相比较，比较结果在以后访问存放器和执行指令时可,作为参考，用来判断是否能够访问或者执行。,第46页,9.3 智能卡安全问题,2.智能卡通信安全与保密,智能卡经过判别与核实可预防伪卡使用，预防非法用户入,侵，但无法预防在信息交换过程中发生窃听。,在通信方面对信息修改主要包含：对信息内容进行

34、更改、删,除及添加、改变信息源点或目标点、改变信息组/项次序等。,保密性,主要是利用密码技术对信息进行加密处理，以掩盖真实,信息，使之变得不可了解，到达保密目标。,智能卡系统中惯用两种密码算法：对称密钥密码算法或数据,加密算法（,DES,）和非对称密钥密码算法或公共密钥密码算法（,RSA,）。,智能卡经常采取DES算法,因为该算法已被证实十分成功，且运算复,杂度相对也较小.,第47页,数据加密标准（Data Encryption Standard，DES）,DES由IBM企业1975年研究成功并发表，1977年被美国定为联邦信息标准。,DES 使用一个 56 位密钥以及附加 8 位奇偶校验位，

35、将64位明文经加密算法变换为64位密文。,加密和解密共用同一算法，使工程实现工作量减半。,综合利用了置换、代替、代数等各种密码技术。,48,第48页,DES加密算法,L,i,=,R,i-1,R,i,L,i-1,f,(,R,i-1,K,i,),从左图可知,i=,1,2,3,16,49,第49页,矩阵,58 50 42 34 26 18 10 2,60 52 44 36 28 20 12 4,62 54 46 38 30 22 14 6,64 56 48 40 32 24 16 8,57 49 41 33 25 17 9 1,59 51 43 35 27 19 11 3,61 53 45 37 2

36、9 21 13 5,63 55 47 39 31 23 15 7,作用:,把64位明文打乱重排。,左二分之一为L0(左32位)，,右二分之一为R0(右32位)。,例：把输入第,1,位置换到第,40,位，把输入第,58,位置换到第,1,位。,初始置换IP,第50页,3重DES,3DES是DES加密数据一个模式，它使用3条56位密钥对数据进行三次加密。,第51页,高级加密标准（Advanced Encryption Standard，AES）,高级加密标准由美国国家标准与技术研究院（NIST）于年11月26日公布于FIPS PUB 197，并在205月26日成为有效标准。20，高级加密标准已然成为

37、对称密钥加密中最流行算法之一。,AES是分组加密算法，分组长度为128位，密钥长度有128位、192位、256位三种，分别称为AES-128，AES-192，AES-256。,当前还未存在对AES完整攻击算法,52,第52页,AES,基本要求：,比3重DES快,最少与3重DES一样安全,数据长度为128bit,密钥长度为128/192/256bit,设计标准：,能抵抗全部已知攻击；,在各种平台上易于实现，速度快；,设计简单。,第53页,注1：国际上，世界领先嵌入式 RFID 阅读器供给商 SkyeTek，于 年初公布了高频和超高频 RFID 领域最先进保护数据完整性及私密性安全技术也即当前全球

38、各地政府，金融，互联网应用等领域证实，迄今为止前景最好密码技术由 NIST 提出 AES密码算法，SkyeTek 已于 年将这种安全技术引入嵌入式 RFID 阅读器。据最近科技查新汇报显示:在国内，还没有企业或是试验室将 AES 算法应用在射频识别系统中，而对于 AES 密码芯片研究很多也只是处于试验室研究阶段。,注2：在应用方面，尽管DES在安全上是脆弱，但因为快速DES芯片大量生产，使得DES仍能暂时继续使用，为提升安全强度，通常使用独立密钥三级DES。不过DES迟早要被AES代替。,AES,第54页,标准,高级加密算法(AES),大约需要0-30000个等效门电路来实现。但Feldhof

39、er等人提出了一个128位AES算法只需要3600个等效门（和256bitRAM）实现。该算法是迄今为止已知最低成本AES方案。,第55页,RSA算法,MIT三位年青数学家R.L.Rivest，A.Shamir和L.Adleman等发觉了一个用数论结构双钥方法，称作MIT体制，以后被广泛称之为RSA体制。,它既可用于加密、又可用于数字签字。,RSA算法安全性基于数论中大整数分解困难性。即要求得两个大素数乘积是轻易，但要分解一个合数为两个大素数乘积，则在计算上几乎是不可能。,密钥长度应该介于1024bit到2048bit之间,RSA-129历时8个月被于1996年4月被成功分解，RSA130于1

40、996年4月被成功分解，RSA-140于1999年2月被成功分解，RSA-155于1999年8月被成功分解。,DES和RSA两种算法各有优缺点：DES算法处理速度快，而RSA算法速度慢很多；DES密钥分配困难，而RSA简单；DES适适用于加密信息内容比较长场所，而RSA适适用于信息保密非常主要场所。,56,第56页,椭圆曲线密码体制（ECC）,椭圆曲线,Weierstrass方程,y,2+,a,1,xy,+,a,3,y,=,x,3+,a,2,x,2+,a,4,x,+,a,6,57,第57页,椭圆曲线基本ElGamal加解密方案,加密算法：首先把明文,m,表示为椭园曲线上一个点,M,，然后再加上

41、KQ进行加密，其中,K,是随机选择正整数，,Q,是接收者公钥。发方将密文,c,1=,KP,和,c,2=,M,+,KQ,发给接收方。,解密算法：接收方用自己私钥计算,dc,1,=,d,(,KP,)=,K,(,dP,)=,KQ,恢复出明文点,M,为,M,=,c,2,-,KQ,58,第58页,RSA算法特点之一是数学原理简单,，在工程应用中比较易于实现，但它单位安全强度相对较低，用当前最有效攻击方法去破译RSA算法，其破译或求解难度是亚指数级。,ECC算法数学理论深奥复杂，在工程应用中比较困难，但它安全强度比较高，其破译或求解难度基本上是指数级。这意味着对于到达期望安全强度，ECC能够使用较RSA更

42、短密钥长度。,ECC密钥尺寸和系统参数与RSA相比要小得多，所以,ECC在智能卡中已取得对应应用,，可不采取协处理器而在微控制器中实现，而在RFID中应用尚需时日。,59,第59页,9.3 智能卡安全问题,3存放区域保护,把智能卡数据存放器划分成若干个区，对每个区都设定各,自访问条件；只有在符合设定条件情况下，才允许对对应,数据存放区域进行访问。,下表为一金融智能卡存放区域保护办法。,存放区域,确认发行密码以后,确认PIN以后,确认PIN以前,存 放 数 据,读,写,读,写,读,写,条件1区,0,0,X,X,X,X,加密密钥,条件2区,X,X,O,O,X,X,交易数据,条件3区,O,O,O,X

43、X,X,户头名、存取权限,条件4区,O,O,O,X,O,X,用户姓名、住址,第60页,9.3 智能卡安全问题,3存放区域保护,如上表所表示，O为允许，X为不允许，发行密码用来验证发行者,身份，PIN用来验证持卡人身份。经过对存放区域划分，普通,数据和主要数据被有效地分离，各自接收不一样程度条件保护，相,应地提升了逻辑安全强度。,对存放区访问控制，本书已经介绍了一个详细实例（Mifare,S50卡存放区访问控制），可作为本部分参考。,第61页,9.4 本章小结,本章主要介绍了RFID系统中面临安全挑战。RFID安全技术,分为两类：物理方法和逻辑方法。,物理方法,有杀死标签、法拉第网,罩、主动干

44、扰、阻止标签等；,逻辑方法,包含Hash锁方案、随机Hash,锁、Hash链、匿名ID方案及重加密方案通用重加密。,智能卡作为一个应用最为广泛电子标签，其安全性备受关,注。攻击者可利用物理方法窃取智能卡芯片中数据，不过难得,很大。而智能卡逻辑安全伎俩则包含判别与核实、加密通信和存,储区域保护办法。,第62页,填空题,1、常见RFID系统面临安全攻击：,、,、,、,。,2、常见RFID安全物理方法有：,、,、,、,等。,3、在RFID安全技术中，常见逻辑方法有：,、,、,、,、,等,每种方法优缺点各是什么？,5、智能卡逻辑安全方法有：,、,、,等。,电子标签数据获取攻击,电子标签和读写器之间通信侵入,侵犯读写器内部数据,主机系统侵入,杀死（kill）标签,法拉第网罩,主动干扰,阻止标签,Hash锁方案,随机Hash锁方案,Hash链方案,匿名ID方案,重加密方案,判别与核实,智能卡通信安全与保密,存放区域保护,第63页,作业：,P143 1-5,第64页,