李磊 陳靜

鄭州大學(xué)信息工程學(xué)院 河南 450001

0 引言

物聯(lián)網(wǎng)是在計(jì)算機(jī)互聯(lián)網(wǎng)的基礎(chǔ)上，利用射頻識(shí)別(Radio Frequency Identification，RFID)、二維碼、無(wú)線數(shù)據(jù)通信等技術(shù)，構(gòu)造一個(gè)覆蓋世界上萬(wàn)事萬(wàn)物的“Internet of Things”。其實(shí)質(zhì)是利用 RFID等技術(shù)，通過(guò)互聯(lián)網(wǎng)實(shí)現(xiàn)物品的自動(dòng)識(shí)別和信息的互聯(lián)與共享。物聯(lián)網(wǎng)具有全面感知、可靠傳遞、智能處理等特點(diǎn)，是當(dāng)今網(wǎng)絡(luò)的發(fā)展趨向。

物聯(lián)網(wǎng)可分為三層：感知層、網(wǎng)絡(luò)層和應(yīng)用層。感知層相當(dāng)于人體的皮膚和五官，網(wǎng)絡(luò)層相當(dāng)于人體的神經(jīng)中樞和大腦，應(yīng)用層相當(dāng)于人的社會(huì)分工。

本文分析RFID系統(tǒng)的攻擊者模型，提出一種RFID系統(tǒng)安全解決方案。

1 RFID系統(tǒng)的構(gòu)成

一套完整的RFID系統(tǒng)，是由電子標(biāo)簽、閱讀器、應(yīng)用程序以及通信信道共同構(gòu)成。其工作原理是閱讀器發(fā)射特定頻率的無(wú)線電波能量給電子標(biāo)簽，用以驅(qū)動(dòng)電子標(biāo)簽電路將內(nèi)部的數(shù)據(jù)送出，然后閱讀器依序接收解讀數(shù)據(jù)，送給應(yīng)用程序做相應(yīng)的處理，如圖1所示。

電子標(biāo)簽由耦合元件及芯片組成，其中包含帶加密邏輯、串行EEPROM、微處理器以及射頻收發(fā)相關(guān)電路。電子標(biāo)簽具有智能讀寫(xiě)和加密通信的功能，它通過(guò)無(wú)線電波與讀寫(xiě)設(shè)備進(jìn)行數(shù)據(jù)交換。讀寫(xiě)器有時(shí)也被稱為識(shí)讀器，主要由無(wú)線收發(fā)模塊、內(nèi)/外置天線、控制模塊及接口電路等組成。讀寫(xiě)器可以將應(yīng)用程序的讀寫(xiě)命令傳送到電子標(biāo)簽，可以將應(yīng)用程序發(fā)往電子標(biāo)簽的數(shù)據(jù)加密，也可以將電子標(biāo)簽返回的數(shù)據(jù)解密后送到應(yīng)用程序。應(yīng)用程序主要完成數(shù)據(jù)信息的存儲(chǔ)及管理、對(duì)標(biāo)簽的讀寫(xiě)控制等。

圖1 RFID系統(tǒng)構(gòu)成圖

2 RFID系統(tǒng)攻擊者模型

RFID系統(tǒng)實(shí)際上是一個(gè)集無(wú)線和有線形式與一體的綜合應(yīng)用系統(tǒng)，它的安全問(wèn)題存在于系統(tǒng)的各個(gè)層次，標(biāo)簽上的數(shù)據(jù)安全、標(biāo)簽和閱讀器之間的射頻通信安全、閱讀器和數(shù)據(jù)庫(kù)之間的網(wǎng)絡(luò)通信安全、后端應(yīng)用程序及數(shù)據(jù)安全等等。

RFID系統(tǒng)的通信信道由兩部分組成，它們分別是：有線通信信道與無(wú)線通信信道。在無(wú)線通信信道中，根據(jù)不同的方向性，又可分為前向信道和反向信道。其中，閱讀器到標(biāo)簽方向的信道稱為“前向信道”；標(biāo)簽到閱讀器方向的信道則稱為“反向信道”。

RFID系統(tǒng)特殊的應(yīng)用環(huán)境使其具有比Internet更多的安全隱患。RFID系統(tǒng)面臨的攻擊手段主要包括：竊聽(tīng)、跟蹤、數(shù)據(jù)演繹、偽造、非法訪問(wèn)、篡改、重放、物理攻擊和拒絕服務(wù)攻擊等。

根據(jù)對(duì)RFID系統(tǒng)的安全風(fēng)險(xiǎn)分析，可以建立RFID系統(tǒng)的攻擊者模型，如圖2所示。

圖2 RFID攻擊者模型

在模型中，攻擊者可以從應(yīng)用程序及后臺(tái)數(shù)據(jù)庫(kù)、有線通信信道、閱讀器、前向信道、反向信道以及標(biāo)簽這六個(gè)方面對(duì)系統(tǒng)進(jìn)行攻擊，即系統(tǒng)的各個(gè)部分都有遭遇攻擊的可能性。其中，對(duì)于應(yīng)用程序及后臺(tái)數(shù)據(jù)庫(kù)，攻擊者可能通過(guò)對(duì)目標(biāo)系統(tǒng)進(jìn)行非法訪問(wèn)以獲取敏感信息。對(duì)于有線通信信道，攻擊者可能竊聽(tīng)、篡改數(shù)據(jù)和干擾目標(biāo)系統(tǒng)的正常通信。對(duì)于閱讀器，攻擊者可能通過(guò)竊聽(tīng)、頻率分析等手段獲取敏感信息或干擾目標(biāo)系統(tǒng)的正常通信。對(duì)于前向信道，攻擊者的主要的攻擊手段是竊聽(tīng)。而對(duì)于反向信道，攻擊者可能采用拒絕服務(wù)攻擊、跟蹤、哄騙、重放及竊聽(tīng)等多種攻擊手段。最后，對(duì)于標(biāo)簽，攻擊者可能通過(guò)版圖重構(gòu)、探測(cè)攻擊、故障攻擊及電流分析攻擊等手段非法訪問(wèn)系統(tǒng)或篡改重要數(shù)據(jù)。

3 RFID系統(tǒng)安全解決方案

構(gòu)建RFID系統(tǒng)安全解決方案，需要綜合分析RFID攻擊者模型，針對(duì)所有易受攻擊的層次，分別提出合適的安全機(jī)制，共同構(gòu)成RFID系統(tǒng)安全解決方案。

3.1 訪問(wèn)控制方案

根據(jù)RFID攻擊者模型的分析，后臺(tái)應(yīng)用程序和數(shù)據(jù)庫(kù)面臨的安全威脅主要來(lái)自于非法訪問(wèn)，因此，需要采用安全有效的訪問(wèn)控制方案。

訪問(wèn)控制模型是從訪問(wèn)控制的角度描述安全系統(tǒng)，主要針對(duì)系統(tǒng)中主體對(duì)客體的訪問(wèn)及其安全控制。目前主要的訪問(wèn)控制模型有BLP模型、DTE模型和RBAC模型。其中BLP模型是多級(jí)安全模型，保護(hù)信息的機(jī)密性；DTE模型是多域模型，保護(hù)信息的完整性；RBAC模型是基于角色的訪問(wèn)控制模型，是授權(quán)模型。

RFID系統(tǒng)安全解決方案的訪問(wèn)控制方案遵循 BLP模型、DTE模型以及RBAC模型來(lái)實(shí)現(xiàn)系統(tǒng)的安全策略。通過(guò)三種模型的相互作用和制約，保證系統(tǒng)中的信息以及系統(tǒng)自身的安全性。

授權(quán)策略RBAC是整個(gè)系統(tǒng)的基礎(chǔ)，它通過(guò)為用戶設(shè)置特定角色，影響特權(quán)控制、多域訪問(wèn)控制和強(qiáng)制訪問(wèn)控制等基本功能，控制系統(tǒng)中用戶或?qū)ο蟮脑L問(wèn)。而多域策略DTE和多級(jí)安全策略BLP是在授權(quán)策略授權(quán)的基礎(chǔ)上，調(diào)用多域訪問(wèn)控制和強(qiáng)制訪問(wèn)控制功能，實(shí)現(xiàn)對(duì)用戶或?qū)ο笮畔⒌耐暾院蜋C(jī)密性保護(hù)。

3.2 基于IPSec的安全信道

有線通信信道的安全通信主要有兩種方法：在傳輸層利用SSL協(xié)議構(gòu)建安全信道；在網(wǎng)際層利用IPSec協(xié)議組構(gòu)建安全信道。根據(jù) RFID系統(tǒng)的特點(diǎn)，本解決方案采用 IPSec協(xié)議組構(gòu)建RFID系統(tǒng)中的安全通信信道。

IPSec協(xié)議組提供兩種安全機(jī)制：認(rèn)證和加密。認(rèn)證機(jī)制使IP通信的數(shù)據(jù)接收方能夠確認(rèn)數(shù)據(jù)發(fā)送方的真實(shí)身份。加密機(jī)制通過(guò)對(duì)數(shù)據(jù)進(jìn)行編碼來(lái)保證數(shù)據(jù)的機(jī)密性，以防數(shù)據(jù)在傳輸過(guò)程中被竊聽(tīng)和篡改。

IPSec協(xié)議組包含 Authentication Header(AH)協(xié)議、Encapsulating Security Payload(ESP)協(xié)議和 Internet Key Exchange(IKE)協(xié)議。其中AH協(xié)議可以提供數(shù)據(jù)完整性確認(rèn)、數(shù)據(jù)來(lái)源確認(rèn)、防重放等安全特性，它能保護(hù)通信免受篡改，但不能防止竊聽(tīng)，適合用于傳輸非機(jī)密數(shù)據(jù)。ESP協(xié)議定義了加密和可選認(rèn)證的應(yīng)用方法，提供數(shù)據(jù)完整性確認(rèn)、數(shù)據(jù)加密、防重放等安全特性，適合于傳輸機(jī)密數(shù)據(jù)。實(shí)際應(yīng)用中可根據(jù)需要同時(shí)使用這兩種協(xié)議或選擇使用其中的一種。IKE協(xié)議用于密鑰協(xié)商，可用于VPN，也可用于遠(yuǎn)程用戶訪問(wèn)安全主機(jī)或網(wǎng)絡(luò)。

IPSec支持兩種封裝模式：傳輸模式和隧道模式。在傳輸模式中，封裝前后AH頭和ESP頭保持不變，而在隧道模式中，整個(gè)原數(shù)據(jù)包被當(dāng)作有效載荷進(jìn)行了封裝。

由于采用AH協(xié)議的方案不能支持NAT穿越，不適用于復(fù)雜的網(wǎng)絡(luò)環(huán)境，RFID系統(tǒng)安全解決方案的安全信道采用ESP協(xié)議進(jìn)行認(rèn)證和加密。此外，為適應(yīng)各種不同的應(yīng)用需求，本解決方案支持傳輸模式和隧道模式。

3.3 無(wú)線信道認(rèn)證方案

RFID系統(tǒng)中閱讀器、標(biāo)簽以及它們之間的無(wú)線信道的安全問(wèn)題是RFID系統(tǒng)安全中最受關(guān)注的問(wèn)題，依靠雙向認(rèn)證協(xié)議可以提供安全的無(wú)線信道并保護(hù)閱讀器和標(biāo)簽不受非法訪問(wèn)。目前提出的認(rèn)證方案主要有四類：基于 H ash函數(shù)的認(rèn)證方案；基于對(duì)稱密鑰的認(rèn)證方案；基于公鑰的認(rèn)證方案和基于偽隨機(jī)函數(shù)的認(rèn)證方案。

基于Hash函數(shù)的方案包括Hash Locking協(xié)議、隨機(jī)Hash Locking協(xié)議和Hash鏈協(xié)議等，只能提供認(rèn)證功能，不提供加密功能?；趯?duì)稱密鑰的方案采用相同的密鑰進(jìn)行加密和解密操作，但在密鑰交換的操作上比較困難，因此一旦發(fā)生密鑰泄露，所有的標(biāo)簽就會(huì)被很容易讀取及更改，有較大的安全隱患?；诠€的方案雖然很容易解決密鑰交換的問(wèn)題，但基于公鑰的加解密運(yùn)算所需要的門(mén)電路比較多、功耗較大，在標(biāo)簽訪問(wèn)中應(yīng)用比較困難。偽隨機(jī)函數(shù)電路實(shí)現(xiàn)成本低，在低成本RFID標(biāo)簽中運(yùn)行流暢且僅占用很小的芯片面積，因此研究者提出了多種基于偽隨機(jī)函數(shù)的雙向認(rèn)證協(xié)議。

RFID系統(tǒng)安全解決方案中的無(wú)線信道認(rèn)證方案采用Mahajivana提出的基于偽隨機(jī)函數(shù)的雙向認(rèn)證協(xié)議。該協(xié)議使用了共享秘密s和一個(gè)偽隨機(jī)函數(shù)以保護(hù)標(biāo)簽和閱讀器之間的消息交互。協(xié)議包括三次消息交互。首先，閱讀器發(fā)送hello消息，其中包含一個(gè)隨機(jī)數(shù)r1。然后，標(biāo)簽回復(fù)隨機(jī)數(shù)r2和σ=ID⊕fs( 0 ,r1,r2)。最后閱讀器識(shí)別該ID后，發(fā)送τ=ID⊕fs( 1 ,r1,r2)，供標(biāo)簽對(duì)閱讀器進(jìn)行認(rèn)證。

3.4 物理安全方案

RFID標(biāo)簽遠(yuǎn)離系統(tǒng)，容易受到物理攻擊。RFID系統(tǒng)安全解決方案提供的物理安全方案包括增強(qiáng)RFID標(biāo)簽自身功能和控制標(biāo)簽讀寫(xiě)環(huán)境兩個(gè)方面。

RFID系統(tǒng)物理安全方案要求 RFID標(biāo)簽支持 Kill和Blocker命令。Kill命令可以在標(biāo)簽終止使用后，通過(guò)執(zhí)行該命令在物理上將標(biāo)簽毀壞，毀壞的標(biāo)簽無(wú)法再使用。Blocker命令可以在暫時(shí)不需要使用標(biāo)簽時(shí)，將標(biāo)簽設(shè)定為“隱私保護(hù)”狀態(tài)，在“隱私保護(hù)”狀態(tài)的標(biāo)簽禁止任何閱讀器進(jìn)行讀寫(xiě)。當(dāng)需要重新啟用標(biāo)簽時(shí)，再取消標(biāo)簽的“隱私保護(hù)”狀態(tài)。

RFID系統(tǒng)安全解決方案提供專用的電磁屏蔽網(wǎng)，當(dāng)不希望標(biāo)簽被讀寫(xiě)時(shí)，可將標(biāo)簽放入電磁屏蔽網(wǎng)中，使標(biāo)簽無(wú)法接收到讀寫(xiě)器的信號(hào)，讀寫(xiě)器也無(wú)法接收到標(biāo)簽的信號(hào)。

4 結(jié)論

RFID系統(tǒng)是物聯(lián)網(wǎng)感知層中的關(guān)鍵技術(shù)。通過(guò)對(duì)RFID系統(tǒng)攻擊者模型的分析，并綜合考慮RFID系統(tǒng)中易受攻擊的所有層次，本文提出了一種由訪問(wèn)控制方案、IPSec安全信道、偽隨機(jī)函數(shù)雙向認(rèn)證協(xié)議和物理安全方案共同構(gòu)成的RFID系統(tǒng)安全解決方案，該方案可以對(duì)RFID系統(tǒng)提供全方位的安全防護(hù)。

[1]Jeremy Landt.The history of RFID.IEEE.Volume:24 Issue:4.8-11.2005.

[2]Ari Juels.RFID Security and Privacy-A Research Survey,IEEE,Volume:24 Issue:2,381-394.2005.

[3]Karygiannis.Guidelines for securing radio frequency identification(RFID)systems.NIST Special Public,43-48,2007.

[4]Singlelee.Location verification using secure distance bounding protocols.MASS,7pp.-840,2005.

[5]Hancke and Kuhn.An RFID distance bounding protocol.SecureComm.67-73.2005.