王笑梅，張朝暉WANG Xiao-mei,ZHANG Zhao-hui

（1.上海師范大學(xué) 信息與機電工程學(xué)院，上海 200234；2.東華大學(xué) 旭日工商管理學(xué)院，上海 200051）

(1.Shanghai Normal University College of Information,Mechanical and Electrical Engineering,Shanghai 200234,China;2.Donghua University Glorious Sun School of Business and Management,Shanghai 200051,China)

隨著市場全球化和競爭的日益加劇，企業(yè)利潤的實現(xiàn)方式也正發(fā)生變化，生產(chǎn)領(lǐng)域成本降低的潛力正逐步消弱，但隨著信息技術(shù)的不斷發(fā)展，供應(yīng)鏈領(lǐng)域中存在降低成本的大量機會。供應(yīng)鏈管理是圍繞核心企業(yè)對信息流、物流、資金流進行協(xié)調(diào)和控制，形成一個整體的功能網(wǎng)絡(luò)結(jié)構(gòu)模式。在供應(yīng)鏈系統(tǒng)中，信息共享起著關(guān)鍵作用，信息共享可以弱化供應(yīng)鏈上不可避免的信息扭曲現(xiàn)象，改善由于信息不對稱導(dǎo)致的供應(yīng)鏈失調(diào)，從而減弱牛鞭效應(yīng)對供應(yīng)鏈的負面影響。將射頻技術(shù)和Inetrnet技術(shù)結(jié)合可以提供一個信息共享和溯源的服務(wù)平臺?，F(xiàn)有的RFID技術(shù)多用于相對封閉的企業(yè)內(nèi)部，要在基于RFID的供應(yīng)鏈系統(tǒng)中實現(xiàn)信息的共享和溯源，必須將原本安全的信息從相對封閉的供應(yīng)鏈面向相對開放的環(huán)境，這在安全性上會存在很多風(fēng)險，如何在不明顯增加成本的前提下降低風(fēng)險，提高系統(tǒng)的安全性，是基于RFID的供應(yīng)鏈系統(tǒng)研究的方向之一。

1 RFID和供應(yīng)鏈的關(guān)系

供應(yīng)鏈管理是一個復(fù)雜的系統(tǒng)，其中的種種難題幾乎都跟供應(yīng)鏈系統(tǒng)的復(fù)雜性和不確定性特征息息相關(guān)，而RFID在提高供應(yīng)鏈可視化程度、庫存準確性、對需求預(yù)測的準確度、供應(yīng)鏈中各節(jié)點企業(yè)的協(xié)同性、供應(yīng)鏈快速反應(yīng)能力上都有很大的作用。原因如下[1]：

（1）可以更有效地利用資源。RFID不需要人工去識別標簽，讀卡器直接從射頻標簽中讀出商品相關(guān)數(shù)據(jù)。一些讀卡器可以每秒讀取上百個標簽的數(shù)據(jù)，節(jié)省大量的勞動力資源。

（2）有效地促成供應(yīng)鏈結(jié)構(gòu)的優(yōu)化。通過跨組織實施RFID技術(shù)，上游的供應(yīng)商和制造商，下游的分銷和零售商，都可以跟蹤供應(yīng)鏈中的產(chǎn)品，降低存貨量以減少流動資金的占用，更精確高效地存儲產(chǎn)品并增加銷售。

（3）真正做到實時供應(yīng)鏈管理。RFID在自動采集數(shù)據(jù)技術(shù)當中具有非常大的優(yōu)勢，通過RFID網(wǎng)絡(luò)提供的信息平臺，庫存或運輸途中的貨物都能清晰準確的表現(xiàn)出來，各供應(yīng)鏈成員可以了解整個供應(yīng)鏈的銷售、供應(yīng)狀態(tài)。整個供應(yīng)鏈的反應(yīng)速度、準確性提高，從而減少了反向物流。

供應(yīng)鏈中包含的不同企業(yè)具有不同的運營目標，會出現(xiàn)供應(yīng)鏈協(xié)調(diào)問題，要想解決這個問題就要實現(xiàn)供應(yīng)鏈當中的信息共享。基于RFID的供應(yīng)鏈系統(tǒng)可以很好地解決信息共享問題。目前最成功的RFID供應(yīng)鏈的信息模型是Auto-ID中心提出的EPCglobal網(wǎng)絡(luò)，該網(wǎng)絡(luò)通過提高供應(yīng)鏈上貿(mào)易單元信息的透明度和可視性，提高供應(yīng)鏈的運作效率。下面將以此信息模型為樣本分析基于RFID的供應(yīng)鏈在信息共享中存在的安全隱患。

2 EPC網(wǎng)絡(luò)體系結(jié)構(gòu)

RFID是一種非接觸式的自動識別技術(shù)，通過射頻信號自動識別目標對象并獲取相關(guān)數(shù)據(jù)信息。為了降低標簽的成本，標簽中通常只存儲一個識別號，作為查詢數(shù)據(jù)的鍵值，其它的相關(guān)信息存儲在網(wǎng)絡(luò)中的服務(wù)器中，這就需要一個RFID信息交換平臺來存儲和分享商品流通的信息。EPC（Electronic Product Code）網(wǎng)絡(luò)就是在現(xiàn)有的Internet基礎(chǔ)上利用RFID和數(shù)據(jù)通信技術(shù)構(gòu)建的一個 “物聯(lián)網(wǎng)”，該網(wǎng)絡(luò)中的實體對象采用非人工干預(yù)的方式，以Internet為平臺實現(xiàn)信息的共享和交互。EPC網(wǎng)絡(luò)的運作方式，如圖1所示[3]。

（1）首先制造商將寫有EPC碼的RFID標簽貼在產(chǎn)品上。（2）制造商在EPCIS（Information Service）中記錄產(chǎn)品資料 （如制造日期、制造地點等）。（3）EPCIS將EPC資料動態(tài)登陸于EPC Discovery Server（DS）上。（4）制造商將商品運送到經(jīng)銷商。（5）經(jīng)銷商將產(chǎn)品收貨記錄記錄于EPCIS中。（6）經(jīng)銷商的EPC IS將EPC資料動態(tài)登陸于EPCDS上。

EPC碼是在供應(yīng)鏈中唯一標識商品的編碼，用于識別運動中的物品并通過Internet提供相關(guān)物品的信息。EPCIS提供以EPC碼為索引值，有此EPC碼的產(chǎn)品的基本屬性資料和相關(guān)動態(tài)資料。EPCDS提供以EPC碼為索引值，有此EPC碼所經(jīng)過供應(yīng)鏈成員所屬的IS的URL。EPC網(wǎng)絡(luò)還提供了一個查詢系統(tǒng)滿足信息查詢的要求，該查詢系統(tǒng)包括EPCONS（Object Name Service），提供以EPC碼為索引值，有此EPC碼的IS的URL，如果需要查詢某個商品的信息，首先查詢記錄Root ONS，根據(jù)EPC中的公司代碼找出對應(yīng)的Local ONS地址，根據(jù)EPC中商品的代碼找出對應(yīng)的EPCDS，EPCDS告知相關(guān)的產(chǎn)品信息。EPC網(wǎng)絡(luò)允許所有相關(guān)的單位 （制造商、供應(yīng)商、銷售商等）動態(tài)的檢索EPC信息，可以通過整個供應(yīng)鏈對貨品進行實時跟蹤，信息共享。

圖1 EPC網(wǎng)絡(luò)運作方式

3 基于RFID的供應(yīng)鏈系統(tǒng)的風(fēng)險分析

供應(yīng)鏈中共享信息的重要性和敏感性決定了在開展RFID技術(shù)時必須嚴肅對待數(shù)據(jù)的安全性。下面首先對基于RFID供應(yīng)鏈系統(tǒng)的安全造成威脅的風(fēng)險進行分析，以便采用適當對策降低風(fēng)險。

RFID供應(yīng)鏈中信息的共享由以下三個階段構(gòu)成： （1）RFID標簽的讀取和內(nèi)部網(wǎng)絡(luò)通信。RFID讀寫器通過無線射頻讀取標簽中的信息，并提交給中間件以完成進一步的處理。（2）查詢服務(wù)。根據(jù)標簽中的代碼信息，查詢ONS，找出對應(yīng)商品的EPCIS。（3）信息訪問。從對應(yīng)商品的EPCIS中查詢目標商品的信息。

根據(jù)這個過程的不同階段，可以將對整個網(wǎng)絡(luò)的風(fēng)險分析分為兩個部分來討論： （1）識別系統(tǒng)的風(fēng)險，對應(yīng)的是第一個階段，指RFID標簽和讀寫器之間利用無線射頻傳遞信息時存在的風(fēng)險。（2）查詢服務(wù)存在的風(fēng)險，對應(yīng)的是第二、三階段，指在信息查詢時存在風(fēng)險。

3.1 風(fēng)險分析方法

信息安全中有 “三大原則”[3]。即隱秘性 （Confidentiality）、完整性 （Integrity）和可用性 （Availability）（CIA），這三個信息安全準則被認為是信息系統(tǒng)安全防護的基礎(chǔ)。

隱秘性：是確保信息在存儲、使用、傳輸過程中不會泄漏給非授權(quán)用戶或?qū)嶓w，是對數(shù)據(jù)和資源的保護。存儲在RFID標簽中的信息有些是敏感信息，這類信息包含兩類隱私，位置隱私和信息隱私，如果被破壞會導(dǎo)致商業(yè)情報被竊取和非法跟蹤。

完整性：包括數(shù)據(jù)完整性和身份完整性。確保信息在存儲、使用、傳輸過程中不會被非授權(quán)用戶篡改，同時還要防止授權(quán)用戶對系統(tǒng)及信息進行不恰當?shù)拇鄹?，保持信息的一致性。如果不能保證網(wǎng)絡(luò)和服務(wù)器接收的是完整而正確的信息，則他們提供的服務(wù)是危險的。破壞完整性的一種攻擊方式是數(shù)據(jù)欺騙，數(shù)據(jù)欺騙是攻擊者試圖證明自己身份的合法性，攻擊成功就可以和所欺騙的資源通信，對合法用戶的正常資源造成影響和破壞。

可用性：確保授權(quán)用戶或?qū)嶓w對信息及資源的正常使用不會被異常拒絕，允許其可靠而及時地訪問信息及資源。

除了CIA，信息安全還有一些其他原則，包括可追溯性 （Accountability）、不可抵賴性 （Non-repudiation）、真實性 （Authenticity）、可控性 （Controllable）等，這些都是對CIA原則的細化、補充或加強。與CIA三元組相反的有一個DAD概念，即泄漏 （Disclosure）、篡改 （Alteration）和破壞 （Destruction），實際上DAD就是信息安全面臨的最普遍的三類風(fēng)險。下面從這CIA出發(fā)來分析威脅RFID網(wǎng)絡(luò)系統(tǒng)安全性的因素。

3.2 識別系統(tǒng)風(fēng)險

識別系統(tǒng)部件間的通信信道，如標簽和讀寫器之間是不安全的無線信道，在該系統(tǒng)存在很多涉及安全性的問題，也一直是很多研究的關(guān)注點[4-5]。

隱秘性風(fēng)險：隱秘性風(fēng)險主要來自欺騙，信息公開和提高權(quán)限[5]。欺騙攻擊是指攻擊者向系統(tǒng)提供與有效信息相似的虛假信息，如在一個RFID系統(tǒng)中利用一個虛假的讀寫器讀取標簽，獲取標簽中的信息。欺騙攻擊不僅可以帶來隱秘性風(fēng)險還可以導(dǎo)致完整性風(fēng)險。信息公開也會給RFID系統(tǒng)帶來隱秘性風(fēng)險，RFID系統(tǒng)中的標簽數(shù)據(jù)可在一定距離中傳輸，且在讀寫器和標簽中的通信信道是不安全的無線信道，容易被攻擊者竊聽，根據(jù)標簽中的識別信息的唯一性，可以實施對攜帶該標簽對象的克隆和跟蹤。如利用一個便攜式讀寫器掃描一個合法的帶有標簽的行李，就能得到標簽所存儲的信息，通過使用這些信息，可以復(fù)制出相同的標簽并貼到非法行李中。歐洲央行試圖將RFID技術(shù)應(yīng)用到歐元上以防止假幣，如果一個小偷攜帶一個RFID讀寫器來掃描潛在的對象，就會識別哪些目標帶有大量現(xiàn)金[6]。

完整性風(fēng)險：欺騙和篡改數(shù)據(jù)可以造成完整性風(fēng)險。攻擊者可以通過刪除、添加、修改標簽中的數(shù)據(jù)，或在標簽和讀寫器通信之間篡改信息來實現(xiàn)對系統(tǒng)的破壞。

可用性風(fēng)險：拒絕服務(wù)攻擊又稱淹沒攻擊，當數(shù)據(jù)量超過服務(wù)器的處理能力導(dǎo)致信號淹沒時，則會發(fā)生拒絕攻擊。在RFID系統(tǒng)中還可以通過射頻阻塞，即用噪聲信號淹沒射頻信號導(dǎo)致系統(tǒng)失效?，F(xiàn)在很多標簽都有Kill指令，使標簽可以被滅活，以保護私有信息的安全性，文獻[8]中就介紹了一種攻擊方式，可以觸發(fā)Kill指令，使標簽失效。

3.3 查詢服務(wù)中的風(fēng)險

ONS解決方案本身會導(dǎo)致安全性上的很多問題。ONS是域名服務(wù)器 （DNS）的子集，即利用已存的DNS的處理過程和工具來實現(xiàn)EPC的域名管理，所以DNS上存在的安全性問題同樣會影響ONS服務(wù)，遺憾的是DNS在設(shè)計之初并沒有考慮其安全性問題，既沒有在DNS內(nèi)部對其數(shù)據(jù)提供認證和安全性檢查，也沒有對DNS服務(wù)進行訪問控制，存在較多漏洞，在文獻[7]中對現(xiàn)有DNS存在的缺陷做了詳細的分析。

ONS服務(wù)的特點是，對于每個指定的EPC標簽，根據(jù)EPC編碼值進行查詢，返回和該EPC編碼相關(guān)的EPCIS的信息。ONS中不包含任何與EPC相關(guān)的數(shù)據(jù)，只是實際數(shù)據(jù)的網(wǎng)絡(luò)服務(wù)地址。

對EPCIS服務(wù)器的連接雖然使用了安全套接字層 （SSL）/安全傳輸層 （TLS），但在初始化ONS查詢進程服務(wù)時是沒有認證和加密措施的，部分編碼主體是以明文方式在中間件和ONS之間傳遞[3]，而這些編碼會導(dǎo)致商業(yè)信息的泄漏，帶來隱秘性上的風(fēng)險。在EPC網(wǎng)絡(luò)中完整性包括返回的ONS信息的正確性和完整性，特別是相關(guān)的EPCIS的地址和信息自身。一個攻擊者如果控制了中間ONS或DNS服務(wù)器，或者成功實現(xiàn)中間人通信攻擊，就可以偽造返回的EPCIS表。例如攻擊者攔截了來自外部應(yīng)用到某公司ONS查詢，并返回了一個虛假的URLs的應(yīng)答，攻擊者就可能將錯誤的信息傳遞給對方，這會導(dǎo)致完整性風(fēng)險。若攻擊者利用名稱鏈或緩存病毒入侵攻擊，會導(dǎo)致用戶和非法的服務(wù)器交換信息，帶來極大的威脅。ONS提供的服務(wù)是整個RFID網(wǎng)絡(luò)的關(guān)鍵，而DNS面對拒絕服務(wù) （DoS）攻擊是很脆弱的[7]，由于ONS對DNS的依賴性，如果不能很好的解決拒絕服務(wù)攻擊的問題，對RFID網(wǎng)絡(luò)的可用性會帶來很大的風(fēng)險。

4 解決方案

如果以風(fēng)險發(fā)生的可能性和風(fēng)險對系統(tǒng)的影響為主要因素來評估風(fēng)險的威脅程度，則在識別系統(tǒng)中欺騙和非法的信息公開是最危險的。篡改數(shù)據(jù)在技術(shù)上存在較大的困難，首先攻擊者要能克服欺騙攻擊時的技術(shù)問題，同時在修改標簽內(nèi)部數(shù)據(jù)時又必須克服32位的PIN，如果試圖修改標簽和讀寫器間傳遞的信息，則既要準確的抓住合適的時機，又要克服和其他合法標簽發(fā)送的信息之間的沖突，所以對該威脅造成的風(fēng)險可以暫時忽略。

欺騙攻擊產(chǎn)生的主要原因缺乏必要的認證體系。RFID標簽的計算資源和存儲資源都十分有限，缺乏有效的密碼機制支持，限制了在標簽和讀寫器之間的安全認證體制?，F(xiàn)有的一些解決方案都存在一些問題，Hash-Lock方案無法動態(tài)刷新ID，攻擊者可以跟蹤標簽并利用重放進行攻擊。隨機化的Hash-Lock方案可以解決標簽跟蹤問題，但不能抵抗重放攻擊。Hash鏈協(xié)議也只能實現(xiàn)對標簽身份的單向認證，不能抵抗重放攻擊[12]，從而導(dǎo)致欺騙攻擊在技術(shù)上是可以實現(xiàn)的，也是最危險的。鑒于標簽的物理特性，標簽的存儲空間和計算能力都是有限的，使用輕量級協(xié)議提供安全保障是目前以及未來的研究重點，所謂輕量級算法僅具有很少的一些規(guī)則，或者說，這些規(guī)則遵守起來很容易。但是目前還沒有完善的方案可以提供足夠的安全保證，這是我們未來研究的方向。

現(xiàn)在的一些標簽也具有了更好的安全加密功能，保證了在讀寫器讀取信息的過程中不會把數(shù)據(jù)擴散出去。如EPC Gen2標簽在芯片中有96字節(jié)的存儲空間，為了更好的保護存儲在標簽和相應(yīng)數(shù)據(jù)庫中的數(shù)據(jù)，在Unconceal（公開）、Unlock（解鎖）和Kill（滅活）指令中都設(shè)置了專門的口令，使得標簽不能隨意被公開、解鎖和滅活。

在查詢過程中，欺騙、信息公開、篡改數(shù)據(jù)和拒絕服務(wù)帶來的風(fēng)險也都是必須嚴肅對待的?，F(xiàn)有的對策主要有VPN或SSL專用通道、DNS安全性擴展 （DNSSEC）[9]等。VPN或SSL專用通道利用VPN和SSL加密技術(shù)建立一個私有的RFID網(wǎng)絡(luò)，可以降低在隱秘性和完整性上存在的風(fēng)險，但是無法實現(xiàn)動態(tài)的全球化的信息平臺共享。DNSSEC是一整套安全規(guī)則，用來確保域名系統(tǒng)內(nèi)部信息的安全，在提供權(quán)限認證功能的同時保證信息的完整，同時使用了非對稱與對稱式的加密模式對資源記錄和區(qū)域傳輸模式分別進行了處理。如果DNSSEC能被廣泛使用，則基于ONS方案導(dǎo)致的安全性問題就會迎刃而解。

5 結(jié) 論

RFID在我國的應(yīng)用和國際應(yīng)用幾乎是同步進行的，在供應(yīng)鏈系統(tǒng)上已有成功的應(yīng)用，如某集團在棉花物流系統(tǒng)中采用RFID，從棉花收購開始，在棉包里放置RFID，應(yīng)用于收購、質(zhì)檢、物流、倉儲等環(huán)節(jié)的信息共享。但現(xiàn)在的應(yīng)用通常集中在某個系統(tǒng)中，相對封閉，自成體系，一旦真正用于供應(yīng)鏈中，首先面臨安全性風(fēng)險問題。要想真正發(fā)揮RFID在供應(yīng)鏈領(lǐng)域中的作用，就必須采取有效措施來降低風(fēng)險，使系統(tǒng)遭受安全攻擊的可能性最小化。本文對基于RFID的供應(yīng)鏈系統(tǒng)的安全做了分析，對相應(yīng)解決方案做了評估。RFID標簽和后端系統(tǒng)之間的通信是非接觸和無線的，很容易受到竊聽；標簽本身的計算能力和可編程性，直接受到成本要求的限制；網(wǎng)絡(luò)的設(shè)計特別是ONS固有的缺陷等，都會給RFID網(wǎng)絡(luò)帶來風(fēng)險。但是一些機制，如輕量型RFID協(xié)議，DNSSEC等可以解決這些風(fēng)險。我們未來工作的目標是設(shè)計有效的輕型RFID協(xié)議，在不明顯增加成本的前提下實現(xiàn)RFID在供應(yīng)鏈系統(tǒng)的應(yīng)用，提供一個安全可靠的物聯(lián)網(wǎng)。

[1]呂強.RFID重塑集成供應(yīng)鏈[EB/OL].(2007-11-21)[2009-07-15].http：//www.china-b.com/jyzy/qygl/20090317/934273_1.html.

[2]Roberti,M.5-Cent Breakthrough[EB/OL].(2006-05-01)[2009-09-15].http：//www.rfidjournal.com/article/articleview/2295/1/128/.

[3]EPCglobal.The EPCglobal Architecture Framework[EB/OL].(2005-07-10)[2007-09-15].http：//www.epcglobalinc.org/standards/.

[4]Günther.O,Spiekermann.S.RFID and the Perception of Control[J].The Consumer's View.Commun.ACM,2005,48(9)：73-76.

[5]Thompson,D R,N Chaudhry,C W Thompson.RFID security threat model[C]//Conference on Applied Research in Information Technology.Conway,Arkansas,2006.

[6]Alfaro,J G,Barbeau,M,Kranakis E.Security threats on EPC based RFID systems[C]//5th International Conference on Information Technology：New Generations.Information Security and Privacy track,IEEE Computer Society,2008.

[7]EPCglobal.EPCglobal Standards Overview[EB/OL].(2008-03-15)[2009-09-15].http：//www.epcglobalinc.org/standards/.

[8]Y.Oren,A.Shamir.Power analysis of RFID tags[C]//Rump session of Advances in Cryptology,CRYPTO'2006[2009-07-15].http：//www.wisdom.weizmann.ac.il/_yossio/rfid/.

[9]Kaminsky,D.Explorations in Namespace：White-hat Hacking across the Domain Name System.Commun[J].ACM,2006,49(6)：62-69.

[10]Dingledine R,Mathewson N,Syverson P.The Second Generation Onion Router[Z].13th USENIX Security Symposium In Proceedings of the 13th USENIX Security Symposium,2004：303-320.

[11]Juels,A.RFID security and privacy：a research survey[J].IEEE Journal on Selected Areas in Communications,2006,24(2)：381-394.

[12]張帆，孫璇，馬建峰,等.供應(yīng)鏈環(huán)境下通用可組合安全的RFID通訊協(xié)議[J].計算機學(xué)報，2008(10)：1754-1767.