預防 RFID 暴力攻擊之研究 The study of preventing brutal attack of RFID

預防 RFID 暴力攻擊之研究

The study of preventing brutal attack of RFID 李烱三

,許碧珊

,范仁菘

Chiung-San Lee

, Bi-Shan- Hsu

, Ren-Song- Fan

a國立台北護理健康大學資訊管理研究所 

*

通訊作者：許碧珊， sane0711@hotmail.com

摘要 

目前是屬於資訊爆炸的時代，科技變化速度之 快 ， 而 無 線 射 頻 辨 識 系 統 (Radio Frequency Identification，RFID)也是最近發展迅速的科技 之一，由於 RFID 系統可以大大提升工作效率及方 便性，美國最大連鎖公司 Wal-Mart 也在 2003 年 6 月導入 RFID 系統後總獲益總額高達 83 億 5 仟萬美 金，因此 RFID 系統越來越受到企業界的重視。

目前 RFID 會遭受不合法使用者的暴力攻擊，

因此本研究提出一個 RFID 暴力攻擊模型並針對 ISO 14443A 驗 證 機 制 、 Hash Lock 及 Randomized Hash-Lock 提出修正達到預防暴力攻擊的目的，修 正方法主要是在電子標籤內加入休眠機制、flag 或 count 並利用 flag 及 count 的特性去判斷是否為暴 力攻擊，一但判斷為暴力攻擊後標籤會進入休眠狀 態，不再回應任何訊號給讀取器直到讀取器離開標 籤沒有電力後，所有設定會回復到預設狀況。

關鍵詞：無線射頻辨識系統、暴力攻擊 

Abstract

In an era of rapid transferring of information, many technologies are quickly evolving; amongst the many technologies is the Radio Frequency Identification, RFID technology. One of the milestone examples of utilizing the RFID technology is the success of Wal-Mart utilizing RFID in logistics in June of 2003; the result was an increase of the total revenue to 8.3 billion US dollars and RFID became one of the heavily reliant parts of the business community.

On top of establishing the RFID system, the addition of flag or count to the Hash Lock,

Randomized Hash-Lock and ISO 14443A assisted in prevention of brute-force attack. By the nature of flag or count; once brute-force attack is identified, the RFID tag will enter Sleeping Command until the tag is removed from the reader returning the tag to default.

1 緒論

RFID 的應用越來越廣泛，但是 RFID 的安全性 始終是大家抱持著遲疑的態度因為 RFID 在讀寫器 與電子標籤之間傳輸時易造成資料外洩，許多學者 為了保護資料在傳輸時不受到攻擊者的攻擊因此 提出一些安全保密方法，許多學者所提出的方法大 多都是在傳輸時將資料加密，這些方法雖然可以保 護資料傳輸的過程，但是沒有辦法去阻擋暴力攻擊，

因此攻擊者只需透過因此反覆的 try-error，就可 try 出正確的解密金鑰或是密碼，得知標籤內的資料。

因此本研究希望針對安全機制做簡單的修改及可 達到阻擋暴力攻擊的目的。

而本研究回顧安全機制文獻後，發現故許多學 者提出的安全保密方式，沒有辦法阻擋攻擊者利用 暴力攻擊的方式得到標籤金鑰或是密碼。主要是因 為 RFID 的資源不足，因此無法進行複雜的運算，

因此本研究主要是希望針對電子標籤加入某些簡 單的功能後讓電子標籤就可以自行判斷此次傳送 是否為暴力攻擊，一但電子標籤發現是攻擊者在嘗 試試出密碼時，電子標籤會進入休眠狀態，對於所 有的訊息皆不回應也不做任何運算或是判斷，進而 達到阻擋暴力攻擊的目的，確保電子標籤內的資訊 不會受到攻擊者的攻擊。

2 文獻探討

2.1 無線射頻辨識系統

最早提出 RFID 系統觀念是在第二次世界大戰 的時候，英國使用了不接觸追蹤技術，主要是用來 辨識我方或是敵方戰機。在 1948 年一位工程師 Harry Stockman 提出了”反射電波信號來辨識遠端 物體”(Communication by Means of Reflected Power) 主要的概念是一個傳輸器的電力可以藉由無線電 訊來提供，就是現在被動式 RFID 系統的觀念[1]。

接著在 1950 年代包括 F. L. Vernon 與 D.B. Harris 個 別 發 表 了 " Application of the microwave homodyne"[2]與" Radio transmission systems with modulatable passive responder"[8]，正式開啟了的 RFID 發展。

RFID 主要是由電子標籤、讀取器及後端資訊 系統共同組成如圖 1，當讀取器經由天線發送電波 時，當電子標籤進到感應範圍內會透過電波產生電 流，標籤透過此電流將電子標籤內部資料回傳給讀 取器，讀取器接收到回傳訊號時會自動解碼，並將 解碼後的資訊傳回到後端資訊系統進行相關處理 [3][4]。

圖 1 RFID 架構圖 2.2 無線射頻辨識系統攻擊方法

RFID目前有自己的保護機制，但是仍有許多攻 擊方法被提出，目前被提出的攻擊方法與實際的攻 擊方法約有下列幾種。攻擊的對象可能為標籤或是 讀取器，也可能攻擊後端軟體及伺服器，已有些攻 擊方法已經被證實可以成功的破解RFID系統的安 全性[5]：

1. 竊聽

由於RFID使用固定的頻率因此任何讀取器皆 能讀取，再加上無線電波傳送是沒有方向性的，因 此只要在發射範圍內就可以透過接收器接收到讀 取器或標籤發送出的電波，很容易被有意或無意的 攻擊者竊聽通訊過程。

2. 追蹤

在通訊過程中，只要讀取器可以讀取到標籤上 的UID，就很容易被攻擊者追蹤到位置。

3. 複製標籤

攻擊者透過讀取合法標籤，將合法標籤的資料 完整地寫入到不合法的標籤內，假裝不合法的標籤 是合法並完成驗證[5]。

4. 中間者攻擊／偽裝

攻擊者可以不被發現地攔截並修改無線電訊 號使讀取器和標籤之間無法直接通訊，同時偽裝成 任一方與另一方進行通訊[5]。

5. 重送攻擊

攻擊者攔截讀取器或標籤送出成功驗證的訊 號，並利用此訊號進行轉送或重複傳送，就可以讀 取或寫入標籤內容[5]。

6. 阻斷服務攻擊

攻擊者利用某種方法阻隔RFID標籤接收或送 出訊號，或是不斷傳送訊號給RFID 系統使其資料 量超過可負載能力，無法再為合法標籤提供服務 [5]。

7. 暴力攻擊法

測試所有可能的密碼組合，可對各種密碼加密 進行攻擊。美國約翰霍普金斯大學師生以暴力法推 導出德州儀器公司的DST 標籤所使用的加密演算 法，並成功欺騙使用該類標籤的Exxon Mobile Speed Pass 系 統 與 福 特 Escape SUV 車 款 的 RFID 鑰 匙 [5][11]。

2.3 ISO 14443A 驗證機制

由於本研究主要是針對Tag做修正，因此透過 ISO文件將讀取器與卡片溝通流程轉化為圖2所示:

圖 2 Reader 與 Tag 溝通過程 (資料來源:[6])

主要步驟如下(以 Tag 角度):

第七步:讀寫資料 第六步:TokenBA 第五步:TokenAB

第四步:RB 第三步:ATS 第二步:ATQA 第一步:REQA

Reader 

Tag 

第一步:收到REQA命令。

第二步:回傳ATQA命令給Reader並進入防碰撞機 制。

第三步:收到UID，回傳ATS(Tag的type)。

第四步:回傳亂數RB給Reader。

第五步:收到TokenAB，利用Key解密，然後檢查RB 是否與之前送出一致，以此驗證Reader。

第六步:傳送TokenBA給Reader，利用Key解密，然 後檢查RA是否一致，以此驗證Tag。

第七步: 資料被Reader讀寫。

☆ TokenAB= RB與Key、讀卡器序列號及隨機數RA 結合形成

☆ TokenBA= RA、RB、Key及UID相結合

2.4 Hash Lock

Hash Lock是由Weis等人在2003年所提出，主 要是透過雜湊函數去設定標籤鎖定或解除鎖定設 定。在這個安全機制中會在後端資料庫內會存放每 張Tag的金鑰k並且會對應到Tag所儲存的metaID，

透過metaID與key值做為判斷Tag鎖定及解鎖的依 據。其中Tag狀態為鎖定時表示Reader只能夠讀取到 Tag的部份資料，合法Reader就透過此部份資料去後 端資料庫找出解鎖的key，當Tag驗證解鎖key正確後 Tag的狀態會由鎖定轉為解除鎖定的狀態，此時 Reader才能讀取到Tag上所有資料[17]。傳輸過程如 圖3所示:

圖 3 Hash Lock (資料來源:[7])

這個方法可以提供較低成本的安全隱私控制，

只需要在Tag內加入加密雜湊函數及儲存metaID的 後端資料庫，以利資料比對。透過鎖定及開鎖方式，

可以解決遭受竊聽之威脅，且攻擊者可以藉由固定 metaID值進行Tag追蹤，不能預防偽冒攻擊及暴力 攻擊，也無法解決位置隱私及中間人攻擊。

2.5 Randomized Hash Lock

由於Hash Lock，仍然無法避免竊聽者竊聽重 要訊息，也無法保護Tag的行蹤隱私。為了避免Tag 被攻擊者透過metaID進行追蹤，因此W. Stcphcn等 學者在Tag內加上了亂數產生器讓每次傳送數值不 一樣且無規則，可以避免敵人竊聽，提供安全位置 隱私，改進後的方法為Randomized Hash Lock[7]。

傳輸過程如圖4所示:

圖 4 Randomized Hash Lock (資料來源:[7])

雖然此方法可以在低成本的情況下完成，但是 由於此法需要透過後端資料庫並利用暴力破解的 方法去比對 ID 值，才能找出相對應之Tag，再加 上讀取器需要蒐尋所有的Tag ID，並計算每一個雜 湊值的時間會很長且效率不高，故不適應用於大數 量之Tag環境。且低成本的被動式Tag要結合隨機產 生器到計算能力是有困難的。

2.6 暴力攻擊

暴力攻擊被稱為brute-force攻擊的方式是指不 合法使用者透過反覆的try-error，組合出正確的解密 金鑰或是密碼，只要有足夠多的嘗試機會且電腦運 算時間夠快，即使再複雜的密碼組合都有可能被破 解[8]。

密碼的複雜度並不能避免被破解，只能減緩破 解的速度，這種攻擊手法通常分為兩種，一種是使 用字典檔來進行破解，這總方式是將一堆密碼的集 合放在一個檔案中，這個檔案就叫字典檔[9]。破解 的時候就將字典檔中每個密碼都拿來逐一測試，如 果有符合的，就可以破解；另一種方法是透過程式 隨機去產生密碼，在程式內必須先將所有的英數字、

半形符號的字串陣列準備好，透過程式的撰寫，將 這些字串集合作隨機的組合，然後嘗試去破解密碼，

只要你的密碼是英數字、半形符號的的組合，在沒 有防護措施狀況下就會被破解。

在RFID系統中也面臨到暴力攻擊的威脅，因為 ID 

key  metaI

Query 

(key,ID)  metaID

Databas e 

Read er 

Ta g 

ID R, h(IDk||R) ID1,…IDn 

Get all IDs  Databas

e

Rea der 

Ta g 

目前RFID系統內並無阻擋暴力攻擊的機制，而許多 專家學者提出提高安全性的方式是在傳輸的過程 中對資料做加密的動作，雖然可以提昇安全性，但 是還是無法阻擋不合法的使用者去破解密碼。因此 要如何去阻擋不合法的使用者透過暴力攻擊的方 式獲得Tag內資料成為大家探討的議題之一[10]。

3 研究方法

3.1 RFID 暴力攻擊模型

本研究假設暴力攻擊方式有兩種，一種是是不 合法使用者在傳送攻擊後，經過一定的時間內沒有 收到回應，不合法的使用者會重新傳送前置作業給 Tag，再傳送攻擊2，直到接收到回應訊息為止。這 種攻擊方式本研究以A暴力攻擊模型表示；另一種 攻擊方式是不合法使用者在傳送攻擊1後，經過一 定的時間內沒有收到回應，不合法的使用者會重新 傳送攻擊2給Tag，直到接收到回應訊息為止，這種 攻擊方式本研究以B暴力攻擊模型表示。

本研究對於前置作業的定義為溝通流程第一 步開始直到攻擊前一個步驟，皆為前置作業，判斷 是否為合法使用者的步驟為攻擊。Reader與Tag相互 溝通之間會透過尋卡、防碰撞機制、選卡等機制後 才會進到判斷是否為合法之階段。在進到判斷階段 之前為前置作業，而判斷是否正確則為攻擊之步驟。

本 研 究 除 了 探 討 ISO 14443A 之 外 還 探 討 了 Hash-lock及Randomized Hash-lock兩種機制下的暴 力攻擊模型。

A暴力攻擊模型主要的流程為圖5所示:

圖 5 A暴力攻擊模型

B攻擊模式主要的流程為圖6所示:

圖 6 B暴力攻擊模型

4 結果

4.1 原有機制如何被暴力攻擊及修正方法 4.1.1 ISO 14443A

依據本研究的定義得知在ISO 14443A的流程 中TokenAB中的RB值為判斷是否為合法使讀取器 之步驟，因此定義為攻擊。而流程中REQA命令、

ATQA命令、回傳ATS及回傳亂數RB則定義為前置 作業，根據本研究所提出的方式對ISO 14443A做修 正。修正方式如表1所示：

表 1 Hash-lock對暴力攻擊修正模式 A暴力攻擊模型 B暴力攻擊模型 一

次

加入休眠機制。

若RB錯誤後直接進 入休眠。

加入休眠機制。

若RB錯誤後直接進 入休眠。

二 次

加 入 flag 及 休 眠 機 制；flag起始值為0。

若RB錯誤後判斷flag 是否等於1；如果不 等於1時，set flag為1 並 重 新 傳 送 前 置 作 業及攻擊2；如果等 於 1 ， 直 接 進 入 休 眠。

加 入 flag 及 休 眠 機 制；flag起始值為0。

若RB錯誤後判斷flag 是否等於1；如果不 等於1時，set flag為1 並重新發送攻擊2；

如果等於1，直接進 入休眠。

三 次

加 入 count 及 休 眠 機 制 ； count 起 始 值 為 0。

若 RB 錯 誤 後 判 斷 count 是 否 大 於 等 於 2；如果小於2，count 加1，並重新傳送前

加 入 count 及 休 眠 機 制 ； count 起 始 值 為 0。

若 RB 錯 誤 後 判 斷 count 是 否 大 於 等 於 2；如果小於2，count 加1，並重新傳送攻 前置作業

前置作業 ..  . 攻擊 3 攻擊 2 攻擊 1 前置作業

攻擊成功

Reader 

Tag

攻擊成功 .. 攻擊 3 攻擊 2 攻擊 1 前置作業

Reader 

Tag

置作業及攻擊2；如 果大於等於2，直接 進入休眠。

擊2；如果大於等於 2，直接進入休眠。

4.1.2 Hash-lock

依據本研究的定義得知Key值為判斷是否為合 法使使用者之步驟，因此定義為攻擊。而流程中 Query及metaID則定義為前置作業，根據本研究所 提出的方式對Hash-lock做修正。修正方式如表2所 示：

表 2 Hash-lock對暴力攻擊修正模式 A暴力攻擊模型 B暴力攻擊模型 一

次

加入休眠機制。

若key錯誤後直接進 入休眠。

加入休眠機制。

若key錯誤後直接 進入休眠。

二 次

加 入 flag 及 休 眠 機 制；flag起始值為0。

若 key 錯 誤 後 判 斷 flag是否等於1；如果 不等於1時，set flag 為1並重新傳送前置 作業及攻擊2；如果 等於1，直接進入休 眠。

加入flag及休眠機 制；flag起始值為 0。

若key錯誤後判斷 flag是否等於1；如 果不等於1時，set flag 為 1 並 重 新 發 送攻擊2；如果等 於1，直接進入休 眠。

三 次

加 入 count 及 休 眠 機 制 ； count 起 始 值 為 0。

若 key 錯 誤 後 判 斷 count 是 否 大 於 等 於 2；如果小於2，count 加1，並重新傳送前 置作業及攻擊2；如 果大於等於2，直接 進入休眠。

加入count及休眠 機制；count起始 值為0。

若key錯誤後判斷 count是否大於等 於2；如果小於2，

count加1，並重新 傳送攻擊2；如果 大於等於2，直接 進入休眠。

4.1.3 Randomized Hash-lock

依據本研究的定義得知IDK值為判斷是否為合 法使用者之步驟因此定義為攻擊，而流程中Query、

及 h(IDk||R)則為前置作業。根據本研究所提出的方

式對Randomized Hash-lock做修正。修正方式如表3 所示：

表 3 Randomized Hash-lock對暴力攻擊修正模式 A暴力攻擊模型 B暴力攻擊模型 一

次

加入休眠機制。

若ID_K錯誤後直接進 入休眠。

加入休眠機制。

若ID_K錯誤後直接進 入休眠。

二 次

加 入 flag 及 休 眠 機 制；flag起始值為0。

若 IDK錯 誤 後 判 斷 flag是否等於1，如果 不等於1，flag set並 重 新 傳 送 前 置 作 業 及攻擊2；如果等於 1，直接進入休眠。

加 入 flag 及 休 眠 機 制；flag起始值為0。

若 IDK錯 誤 後 判 斷 flag是否等於1，如果 不等於1，flag set並 重新發送攻擊2；如 果等於1，直接進入 休眠。

三 次

加 入 count 及 休 眠 機 制 ； count 起 始 值 為 0。

若 ID_K錯 誤 後 判 斷 count 是 否 大 於 等 於 2；如果小於2，count 加1，並重新傳送前 置作業及攻擊2；如 果大於等於2，直接 進入休眠。

加 入 count 及 休 眠 機 制 ； count 起 始 值 為 0。

若 ID_K錯 誤 後 判 斷 count 是 否 大 於 等 於 2；如果小於2，count 加1，並重新傳送攻 擊2；如果大於等於 2，直接進入休眠。

5 結論與討論

ISO 14443A的原有安全性已經很高，但是目前 的安全機制是無法阻擋不合法的使用者透過暴力 攻擊的方式去破解出Tag內的資料，為了能夠阻止 不合法的使用者透過暴力攻擊方式取得Tag內的資 料。本研究提出了幾個方式，這幾個方式只須對Tag 做小部分的修正，不需要花很多的成本且是可行 的。

本研究是在Tag內加入休眠、flag或count的概念 就可以達到預防暴力攻擊的目的，休眠主要是在 Tag判斷出是不合法使用者時，Tag不回應任何訊息 且不接收訊息。flag及count都是用來判斷攻擊次數，

透過攻擊次數來保護Tag的狀態。加入這些概念後

可以讓Tag的安全性提高，對內部資料的保護也可 以更加完整。

本研究所提出的暴力攻擊模型適用於任何一 種RFID標準，任何不合法的使用者所會使用的暴力 攻擊法之狀況皆在本研究內所提出，因此未來如果 要解決暴力攻擊法去竊取資料時可以考慮使用本 研究所提出的機制。或是未來如果有學者想要探討 如何防止暴力攻擊時，也可以針對本研究所提出的 機制作探討。

參考文獻 

[1] H Stockman, “Communication by Means of Reflected Power”, Proceedings of the IRE, 1948。

[2] Vernon, F. L. ,"Application of the microwave homodyne", IRE Trans, 1952, AP-4, pp 110-116 [3] 陳宏宇，RFID系統入門-無線射頻辨識系統，

文魁資訊，2004。

[4] 饒瑞佶，無線射頻辨識技術RFID資訊系統開 法與應用，碁峰資訊股份有限公司，2008。

[5] RM, "MIFARE 1 Card Product Specification Rev. 1.3", Philips,Electronics, Netherlands, 1996。

[6] 何宏榮、趙健明，非接觸性智慧卡語者驗證應 用系統之研究，國立成功大學工程科學研究所，

2001。

[7] S.A.Weis, S.E.Sarma, R.L.Riovest, and D.W.

Engels(2004),”Security and Privacy Aspect of Low-Cost Radio Frequency Identification Systems”,In First International Conference on Security in Pervasive Computing,2003。

[8] http://www.dotblogs.com.tw/jimmyyu/archive/2 009/10/10/10997.aspx

[9] http://etfamily.tp.edu.tw/chuang18/literacy?n=c onvew&i=347

[10] http://www.2cm.com.tw/coverstory_content.asp

?sn=0811040016

[11] http://www.infosec.gov.hk/english/glossary/files /ConsolatedGlossaryofTerms_eng.pdf