作为物联网技术的重要组成部分,射频认证(RFID)技术具有功耗低、尺寸小、认证快,甚至无需电池的诸多优点。同时也带来了巨大的经济效益。据统计,2017年全球射频认证市场的总值为112亿美元。而2016年为105.2亿美元,2015年为99.5亿美元。IDTechEx预测到2022年该总值将会增长到149亿美元。射频认证卡作为一种产品形式,广泛应用于人们的日常生活中,给我们带来了方便。主要应用有门禁、消费储值卡、公共交通卡等。
现在的射频卡普通支持“一卡通”模式(亦称“多用途”或“多应用”)。即在一定的区域内(如校园或工厂),可以通过一张卡实现多个射频认证服务。“一卡通”模式的主要优点是减少了卡片的数量,从而节省了成本。而对于持卡人来说则降低了携带的成本。但是,这种一卡多用的模式也存在着潜在的安全风险:可能被用来构建突破物理隔离网络的隐蔽通道。
实验演示视频:
近日,中国科学技术大学的研究人员对此类风险进行了分析。发现了问题的症结在于现行的射频卡对读卡器的认证并不充分。即射频卡只通过访问密钥来验证读卡器。因此,当两个服务提供商相互串通时,访问密钥被共享,射频卡就无法判断读写操作的合理性了。
对此,研究人员基于“一卡通”模式下存在发卡管理者这一事实,设计了由“发卡管理方”、“射频卡”、“读卡器”和“服务提供商”四方参与的新的认证协议。在射频卡上构建了由发卡管理方控制的白名单对读卡器进行识别。同时将射频卡设计为每次充电后只进行一次认证操作。这样,攻击者就无法在用户一次刷卡的时间内,利用同一个读卡器实现两次不同ID的身份认证。从而,消除了多用途的射频卡被用于构建隐蔽通道的风险。(周正)
声明:本文来自USTC未名课题组,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
