Security of NFC applications

Pham, Thi Van Anh

January 2013

Near Field Communication (NFC) refers to a communication technology that enables an effortless connection and data transfers between two devices by putting them in a close proximity. Besides contactless payment and ticketing applications, which were the original key drivers of this technology, a large number of novel use cases can benefit from this rapidly developing technology, as has been illustrated in various NFC-enabled application proposals and pilot trials. Typical NFC-enabled systems combine NFC tags, NFC-enabled mobile phones, and online servers. This thesis explores the trust relationships, security requirements, and security protocol design in these complex systems. We study how to apply the security features of different types of NFC tags to secure NFC applications. We first examine potential weaknesses and problems in some novel use cases where NFC can be employed. Thereafter, we analyze the requirements and propose our system design to secure each use case. In addition, we developed proof-of-concept implementations for two of our proposed protocols: an NFCenabled security-guard monitoring system and an NFC-enabled restaurant menu. For the former use case, we also formally verified our proposed security protocol.  Our analysis shows that among the discussed tags, the NFC tags based on secure memory cards have the least capability and flexibility. Their built-in three-pass mutual authentication can be used to prove the freshness of the event when the tag is tapped. The programmable contactless smart cards are more flexible because they can be programmed to implement new security protocols. In addition, they are able to keep track of a sequence number and can be used in systems that do not require application-specific software on the mobile phone. The sequence number enforces the order of events, thus providing a certain level of replay prevention. The most powerful type of tag is the emulated card since it provides a clock, greater computational capacity, and possibly its own Internet connection, naturally at higher cost of deployment. / Near Field Communication (NFC) hänvisar till en kommunikationsteknik som möjliggör en enkel anslutning och dataöverföring mellan två enheter genom att sätta dem i en närhet. Förutom kontaktlös betalning och biljetthantering ansökningar, vilket var den ursprungliga viktiga drivkrafter för denna teknik, kan ett stort antal nya användningsfall dra nytta av denna snabbt växande teknik, som har visats i olika NFC-aktiverade program förslag och pilotförsök. Typiska NFC-applikationer kombinerar NFC-taggar, NFC-kompatibla mobiltelefoner och online-servrar. Denna avhandling utforskar förtroenderelationer, säkerhetskrav och säkerhetsprotokoll utformning i dessa komplexa system. Vi studerar hur man kan tillämpa de säkerhetsfunktioner för olika typer av NFC-taggar för att säkra NFC-applikationer. Vi undersöker först potentiella svagheter och problem i vissa nya användningsfall där NFC kan användas.  Därefter analyserar vi de krav och föreslå vårt system design för att säkra varje användningsfall. Dessutom utvecklade vi proof-of-concept implementationer för två av våra föreslagna protokoll: en NFC-aktiverad säkerhet-guard övervakningssystem och en NFC-aktiverad restaurang meny. Dessutom, för fd bruk fallet, kontrollerade vi formellt vår föreslagna säkerhetsprotokoll. Vår analys visar att bland de diskuterade taggar, NFC taggar som baseras på säkra minneskort har minst kapacitet och dlexibilitet. Deras inbyggda trepass ömsesidig autentisering kan användas för att bevisa färskhet av händelsen när taggen tappas. De programmerbara beröringsfria smarta kort är mer flexibla eftersom de kan programmeras för att genomföra nya säkerhetsprotokoll.  Dessutom kan de hålla reda på ett löpnummer och kan användas i system som inte kräver ansökan-specik mjukvara på mobiltelefonen. Sekvensnumret framtvingar ordning av händelser, vilket ger en viss nivå av replay förebyggande. Den mest kraftfulla typen av taggen är den emulerade kortet eftersom det ger en klocka, större beräkningskapacitet, och möjligen sin egen Internet-anslutning, naturligtvis till högre kostnad för utplacering.

NFC

security protocol

DESFire

Java card

card emulation

restaurant

vending machine

class attendance

security guard

NFC

säkerhetsprotokoll

DESFire

Java kort

kort emulering

restaurang

varuautomat

säkerhetsvakt

Communication Systems

Kommunikationssystem

Implementering och riskhantering vid införande av IEC 62353 för testning av medicinteknisk utrustning / Implementation and Risk Management upon Introduction of IEC 62353for Testing Medical Equipment

Fayazi, Leo, Alagha, Ali

January 2022

IEC 60601 elsäkerhetstest används fortfarande på många medicintekniskaavdelningar på sjukhus för testning av utrustning i samband med ankomstkontrolloch reparation. Denna rapport utreder möjligheten att ta fram ett underlag för attbörja implementera IEC 62353 som elsäkerhetsteststandard istället för IEC 60601.Studien fokuserar på huruvida Karolinska Universitetssjukhuset bör tillämpa IEC62353 som sin elsäkerhetsteststandard. Vidare diskuteras även skillnaderna mellande två ovanstående standarderna. Detta görs genom att ta reda på hur KarolinskaUniversitetssjukhuset ställer sig i frågan och informationsinsamling, samt hur IEC62353 standarden tillämpas i industrin.Den information som framställs i resultatet efter kontakt med flera sjukhus visar tvåolika aspekter. Den ena är självständig tillämpning av IEC 62353 som enelsäkerhetsteststandard, den andra är att följa tillverkarens instruktioner. Framtidastudier som kan ge tydligare vägledning ur tillverkarens synvinkel föreslås. / IEC 60601 electrical safety tests are still used in many medical engineeringdepartments in hospitals for testing equipment in connection with arrival controland repair. This report investigates the possibility of producing a basis for starting toimplement IEC 62353 as an electrical safety test standard instead of IEC 60601.The study focuses on whether Karolinska University Hospital should apply IEC62353 as its electrical safety test standard. Furthermore, the differences between thetwo above standards are discussed. This is done by finding out how the KarolinskaUniversity Hospital responds to the question and the collection of information, aswell as how the IEC 62353 standard is applied in industry.The information presented in the results after contact with several hospitals showstwo different aspects. One is an independent application of IEC 62353 as an electricalsafety test standard, the other is to follow the manufacturer's instructions. Futurestudies that can provide clearer guidance from the manufacturer's point of view arerecommended.

Safety protocol

medical technology

IEC 62353

IEC 60601

electrical safety test

Säkerhetsprotokoll

medicinteknik

IEC 62353

IEC 60601

elsäkerhetstest

Other Medical Engineering

Annan medicinteknik