专门保障RFID网络安全的防火墙问世
作者:EPCglobal China
日期:2008-05-09 18:22:59
摘要:美国加州的NeoCatena是一家新生的公司,目前正在致力于解决被认为是阻碍RFID技术在终端用户中推广的主要因素之一的系统安全问题。NeoCatena已经开发了一款安全产品,专门在RFID识读器和中间件软件间用作防火墙。
美国加州的NeoCatena是一家新生的公司,目前正在致力于解决被认为是阻碍RFID技术在终端用户中推广的主要因素之一的系统安全问题。NeoCatena已经开发了一款安全产品,专门在RFID识读器和中间件软件间用作防火墙。
公司联合创始人Boris Wolf和 Lukas Grunwald介绍,此产品的名称是RF-Wall,加载NeoCatena开发的软件来保护RFID网络不受伪造RFID标签的影响,阻止带有恶意软件的标签把病毒带给后台系统,并弥补重要数据的安全漏洞。
虽然还没有公开披露涉及RFID网络的攻击和伪造RFID标签的事件,Wolf和Grunwald仍认为危险会变为现实,Grunwald在2004年的一项试验就可以证明这种事是可能的。在那一年的数据安全论坛上,Grunwald介绍了他开发的一个称为RFDump的软件,它读取RFID标签并显示了除标签ID之外的可读写用户数据,以及其他由标签生产商写入的只读数据,这些数据都可以借助十六进制或ASCII编辑器修改。
Grunwald使用RFDump改变了与麦德龙未来超市所用一样的标签中的数据。他声称,在将来犯罪分子可以应用读写器来改变应用RFID标签的消费品的产品数据,包括价格。此外,Grunwald克隆了一个RFID访问控制卡和电子护照。
尽管RFID行业中的一些人认为Grunwald的有关RFID标签面临严峻安全危机的断言是牵强的。但仍有一些终端用户愿对NeoCatena的产品感兴趣。
Wolf说其公司当前正为两家财富500强企业进行RF-Wall产品的beta测试。其中一家是美国境外的医药公司,另一家是亚太地区的一家供应链企业。
Wolf and Grunwald认为可能给后台系统带来危险的RFID标签类型是那些带有用户内存的标签,用户内存的数据块带有对标签ID补充的信息,此结论的根据是此处正是犯罪分子使用SQL注入等已知数据攻击手段的地方。
在多个行业被广泛生产和使用了许多年的被动高频标签比EPC超高频标签拥有更多的用户内存。然而,超高频标签生产商正在增加用户内存的容量。标签生产商的目标是在一些应用中使用大用户内存标签,例如在医药控制中,药品供应链的伙伴们可以在药品包装标签上存储链上保管信息。
NeoCatena认为RFID网络可以表现为两个主要的业务危机,第一个是标签的用户数据可能用作传递恶意软件和病毒到后台系统,则中断业务流程或暴露敏感数据;第二个是RFID标签可能被克隆,或其数据被修改,用来欺骗基于RFID的业务。后一种情况的例子可能是某人修改RFID交通卡的数据来人工增加标签数据中的储值,即可使用这张卡非法地使用交通工具。
为了解决交通卡篡改标签数据的问题,RF-Wall程序会应用数字签名技术来辨别RFID标签中的信息是否在其最后一次读取后被篡改。Grunwald说:“软件会在交通卡售出时计算签名,当它被读取时再次计算,如果数据不是有效的,签名就不会匹配。”
大多数用于交通卡的RFID标签含有NXP生产的Mifare Classic芯片。然而Mifare协议使用私有数据加密方法来保护标签数据,已经有两个研究小组宣称破解了此加密算法。
如果RF-Wall软件辨别到病毒和恶意软件的特征,或者如果标签数字签名不是所期望的,业务程序就不会接收标签的数据。此外,软件中的规则引擎会向管理员发送相应的告警。
Wolf说NeoCatena正在使RF-Wall更具有灵活性、可扩展性,以适应多个识读器。设备当前支持大多数通用识读器协议,包括EPCglobal ALE协议。此外,NeoCatena提供名为RF-Manager的软件产品,可以运行在服务器上以管理分布式RF-Wall应用程序组。公司也通过安装RF-Wall应用的附加软件模块提供一个RFID安全监视服务。此监视软件作为早期预警系统可以探知威胁后台数据安全和正常业务程序的破坏性标签数据。此监视服务也可以帮助用户符合各国(地区)有关RFID安全应用的法律法规要求。
公司联合创始人Boris Wolf和 Lukas Grunwald介绍,此产品的名称是RF-Wall,加载NeoCatena开发的软件来保护RFID网络不受伪造RFID标签的影响,阻止带有恶意软件的标签把病毒带给后台系统,并弥补重要数据的安全漏洞。
虽然还没有公开披露涉及RFID网络的攻击和伪造RFID标签的事件,Wolf和Grunwald仍认为危险会变为现实,Grunwald在2004年的一项试验就可以证明这种事是可能的。在那一年的数据安全论坛上,Grunwald介绍了他开发的一个称为RFDump的软件,它读取RFID标签并显示了除标签ID之外的可读写用户数据,以及其他由标签生产商写入的只读数据,这些数据都可以借助十六进制或ASCII编辑器修改。
Grunwald使用RFDump改变了与麦德龙未来超市所用一样的标签中的数据。他声称,在将来犯罪分子可以应用读写器来改变应用RFID标签的消费品的产品数据,包括价格。此外,Grunwald克隆了一个RFID访问控制卡和电子护照。
尽管RFID行业中的一些人认为Grunwald的有关RFID标签面临严峻安全危机的断言是牵强的。但仍有一些终端用户愿对NeoCatena的产品感兴趣。
Wolf说其公司当前正为两家财富500强企业进行RF-Wall产品的beta测试。其中一家是美国境外的医药公司,另一家是亚太地区的一家供应链企业。
Wolf and Grunwald认为可能给后台系统带来危险的RFID标签类型是那些带有用户内存的标签,用户内存的数据块带有对标签ID补充的信息,此结论的根据是此处正是犯罪分子使用SQL注入等已知数据攻击手段的地方。
在多个行业被广泛生产和使用了许多年的被动高频标签比EPC超高频标签拥有更多的用户内存。然而,超高频标签生产商正在增加用户内存的容量。标签生产商的目标是在一些应用中使用大用户内存标签,例如在医药控制中,药品供应链的伙伴们可以在药品包装标签上存储链上保管信息。
NeoCatena认为RFID网络可以表现为两个主要的业务危机,第一个是标签的用户数据可能用作传递恶意软件和病毒到后台系统,则中断业务流程或暴露敏感数据;第二个是RFID标签可能被克隆,或其数据被修改,用来欺骗基于RFID的业务。后一种情况的例子可能是某人修改RFID交通卡的数据来人工增加标签数据中的储值,即可使用这张卡非法地使用交通工具。
为了解决交通卡篡改标签数据的问题,RF-Wall程序会应用数字签名技术来辨别RFID标签中的信息是否在其最后一次读取后被篡改。Grunwald说:“软件会在交通卡售出时计算签名,当它被读取时再次计算,如果数据不是有效的,签名就不会匹配。”
大多数用于交通卡的RFID标签含有NXP生产的Mifare Classic芯片。然而Mifare协议使用私有数据加密方法来保护标签数据,已经有两个研究小组宣称破解了此加密算法。
如果RF-Wall软件辨别到病毒和恶意软件的特征,或者如果标签数字签名不是所期望的,业务程序就不会接收标签的数据。此外,软件中的规则引擎会向管理员发送相应的告警。
Wolf说NeoCatena正在使RF-Wall更具有灵活性、可扩展性,以适应多个识读器。设备当前支持大多数通用识读器协议,包括EPCglobal ALE协议。此外,NeoCatena提供名为RF-Manager的软件产品,可以运行在服务器上以管理分布式RF-Wall应用程序组。公司也通过安装RF-Wall应用的附加软件模块提供一个RFID安全监视服务。此监视软件作为早期预警系统可以探知威胁后台数据安全和正常业务程序的破坏性标签数据。此监视服务也可以帮助用户符合各国(地区)有关RFID安全应用的法律法规要求。