劉 鵬，張昌宏，曹書豪

(海軍工程大學 信息安全系，武漢 430033)

隨著近年來無線電技術(shù)的發(fā)展和大規(guī)模集成電路的普及應用，RFID 技術(shù)應運而生。它是一種非接觸式的數(shù)據(jù)采集和自動識別技術(shù)。RFID 技術(shù)作為快速、實時、準確采集和處理信息的高新技術(shù)與信息標準化的基礎(chǔ)，已經(jīng)被世界公認為21 世紀十大重要技術(shù)之一［1］。但是隨著無線技術(shù)的進一步發(fā)展和人們對RFID 技術(shù)的缺點的不滿，移動RFID 技術(shù)便應運而生。設計了一種完全應用無線傳輸?shù)囊苿由漕l識別工作模式，并對其安全問題進行了一定的分析。

1 傳統(tǒng)RFID 介紹

傳統(tǒng)的RFID 系統(tǒng)由標簽、讀寫器、后端服務器組成，其具體結(jié)構(gòu)如圖1 所示。

圖1 RFID 系統(tǒng)結(jié)構(gòu)

RFID 系統(tǒng)的工作原理:由讀寫器通過天線向外發(fā)射特定頻率的射頻信號，當標簽進入有效工作范圍內(nèi)時產(chǎn)生感應電流，從而獲得激活能量，使得標簽將自身標識信息通過內(nèi)置射頻天線發(fā)送出去;讀寫器的接收天線接收到從標簽發(fā)送來的調(diào)制信號，經(jīng)解調(diào)后傳送到讀寫器讀寫模塊，經(jīng)解碼后將有效信息送至后端服務器進行相關(guān)處理;后端服務器根據(jù)邏輯運算識別該標簽的身份，針對不同的設定做出相應的操作，最終發(fā)出指令信號控制讀寫器完成不同的讀寫操作［2］。

傳統(tǒng)RFID 系統(tǒng)的基本工作流程如下［3-4］:讀寫器通過天線發(fā)射射頻信號;當標簽進入讀寫器的工作范圍內(nèi)時，接收到射頻信號，標簽獲得能量，激活自己，并將自身的信息通過天線發(fā)送出去;當讀寫器接收到標簽發(fā)送的信息后，通過調(diào)制器與解碼器之后再將數(shù)據(jù)傳送給后端的服務器;服務器根據(jù)設定好的協(xié)議對通信實體的合法性進行認證，并完成一系列規(guī)定的動作;服務器按照協(xié)議把相應的信息傳送給讀寫器，讀寫器再對標簽進行相應的讀寫操作。

2 M-RFID 建模

隨著無線技術(shù)的進步和移動客戶端的不斷發(fā)展該技術(shù)有了更為廣泛的應用前景，RFID 技術(shù)在多個領(lǐng)域得到了更廣泛的應用。通過對現(xiàn)有技術(shù)的改進，提出了一種創(chuàng)新性的設計，將后端服務器與讀寫器通過無線連接，形成更加方便的移動無線射頻識別系統(tǒng)(M-RFID)，以適應新的需求，其結(jié)構(gòu)如圖2 所示。與傳統(tǒng)的RFID 應用系統(tǒng)相比，移動RFID 系統(tǒng)具有更加明顯的靈活性，更能突顯信息科技革命帶來的方便。

由于讀寫器與后端服務器通過無線網(wǎng)絡連接的原因，移動RFID 系統(tǒng)與傳統(tǒng)射頻識別系統(tǒng)的工作原理也有所不同。針對這一特點，設計了一種安全高效的M-RFID 系統(tǒng)工作模型，標簽沒有復雜的運算，后端服務器將檢索到的標簽信息傳輸給移動讀寫器供用戶使用，其具體步驟如下:

1)在初始狀態(tài)下標簽沒有能量，處于“休眠”狀態(tài);

2)當移動式RFID 讀寫器移動到適當?shù)木嚯x，可以為標簽提供能量時，標簽處于“激活”狀態(tài)，按照通信協(xié)議，標簽向讀寫器發(fā)送含有身份的相關(guān)信息;

3)讀寫器對數(shù)據(jù)進行一定的處理并經(jīng)無線網(wǎng)絡向后端服務器發(fā)送驗證請求;

4)按照安全協(xié)議，后端服務器和標簽進行認證等一系列操作;

5)經(jīng)過安全認證的，后端服務器在數(shù)據(jù)庫中搜索相關(guān)標簽的信息，經(jīng)加密后傳輸給移動RFID 系統(tǒng)的終端。

6)移動終端獲得標簽的相關(guān)信息，并向其余兩者發(fā)送數(shù)據(jù)，完成密鑰更新、標簽身份更新等一系列后續(xù)操作。

圖2 一種移動RFID 系統(tǒng)結(jié)構(gòu)圖

3 M-RFID 系統(tǒng)安全分析與攻擊模型的建立

影響RFID 系統(tǒng)大規(guī)模應用的一個重要因素就是其安全性，由于通信實體都處在一個開放的網(wǎng)絡環(huán)境中，這就給不法分子提供了可乘之機，可以隨意的對系統(tǒng)實施竊聽、重放、假冒、篡改、非法跟蹤等攻擊。傳統(tǒng)RFID 系統(tǒng)的安全漏洞已經(jīng)給廣大用戶帶來很大不便，后端服務器與讀寫器分離的M-RFID 系統(tǒng)更存在極大的安全隱患。

針對傳統(tǒng)RFID 系統(tǒng)的攻擊有主動攻擊與被動攻擊兩種形式［5］，然而，無論是主動攻擊還是被動攻擊都對傳統(tǒng)RFID系統(tǒng)與M-RFID 系統(tǒng)的應用安全產(chǎn)生了很大的威脅，這些攻擊手段可以獲取系統(tǒng)的秘密信息、跟蹤商品的物流、偽造數(shù)據(jù)等，使整個系統(tǒng)無法正常運行。常用的攻擊手段如下:

1)跟蹤。非法攻擊者通過向特定的通信實體發(fā)送信號，并接收其應答信息，從而確定實體的位置。

2)竊聽。由于通信完全是經(jīng)過無線網(wǎng)絡進行的，非法攻擊者可以在開放的環(huán)境中利用射頻設備對合法通信實體之間的通信數(shù)據(jù)進行探測。

3)偽造。在M-RFID 系統(tǒng)中對各個通信實體進行偽造，從而獲得相應的服務。

4)非法訪問。主要是針對M-RFID 系統(tǒng)中標簽與后端服務器進行的攻擊，對其中的數(shù)據(jù)庫進行非法的訪問。

5)篡改。主要是針對M-RFID 系統(tǒng)中的敏感信息進行的惡意的修改。

6)重放攻擊。在M-RFID 系統(tǒng)中往往會存在一定的安全協(xié)議以保證通信過程不會受到非法攻擊，按照這些安全協(xié)議，合法實體間進行通信時在數(shù)據(jù)中通常會包含認證信息，攻擊者可以截獲這組數(shù)據(jù)并在以后的通信過程中重放這些具有認證效力的數(shù)據(jù)，從而騙取合法的服務。

7)拒絕服務攻擊。攻擊者不需要對特定的標簽進行跟蹤，也不用利用復雜的手段對M-RFID 系統(tǒng)進行非法訪問或者篡改其秘密信息，攻擊者僅僅需要向系統(tǒng)的實體發(fā)送干擾信號就可以造成對系統(tǒng)的拒絕服務攻擊。

針對各個部分的具體攻擊如下:

1)標簽。對標簽的攻擊一般有兩種，一是利用通信技術(shù)手段對標簽進行仿造或?qū)ζ渲写鎯Φ拿舾行畔⑦M行非法讀取、篡改等;二是通過對得到的實體標簽進行物理手段的分析，得到其中存儲的秘密信息。

2)讀寫器。在移動射頻識別系統(tǒng)中，移動讀寫器實質(zhì)上是具有一定計算能力的小型計算機，在其數(shù)據(jù)處理過程中受到與其他計算機一樣的典型攻擊。

3)后端服務器。后端數(shù)據(jù)庫是整個系統(tǒng)所有敏感信息的儲存實體，很多攻擊者選擇利用網(wǎng)絡對數(shù)據(jù)庫的訪問控制權(quán)限等發(fā)起攻擊，在取得數(shù)據(jù)庫的控制權(quán)后對其進行增加、刪除、修改、非法查詢等操作。

4)兩個無線信道。在移動射頻識別系統(tǒng)中不但標簽與讀寫器的數(shù)據(jù)交換是通過無線信道進行的，后端服務器與移動讀寫器之間的數(shù)據(jù)傳輸也是經(jīng)開放的無線信道完成的，這就給攻擊者造成了可乘之機。

根據(jù)M-RFID 系統(tǒng)工作于開放網(wǎng)絡環(huán)境的特點，結(jié)合攻擊者常用的幾種攻擊手段與系統(tǒng)中各部分容易受到的攻擊，提出了一種針對M-RFID 系統(tǒng)的攻擊模型，如圖3 所示。

圖3 攻擊者模型

攻擊者的能力是理想化的，具有以下特征［6］:能夠?qū)﹂_放網(wǎng)絡中傳遞的任何消息進行屏蔽、延遲、重放、增加或刪除部分信息;仿照合法實體，可以在任意時刻利用事先規(guī)定好的協(xié)議發(fā)起通信實例;可以曾經(jīng)是M-RFID 網(wǎng)絡系統(tǒng)中的一個合法實體，掌握該實體以往身份信息等敏感數(shù)據(jù)。

仔細分析了理想攻擊者的攻擊手段與能力之后，發(fā)現(xiàn)攻擊者是無法完成以下任務的［7-8］:在不知道通信密鑰的情況下，攻擊者不能由密文推算出通信的明文內(nèi)容;不能由單向函數(shù)的結(jié)果反向推出原內(nèi)容;攻擊者不能猜測出合法實體下一步產(chǎn)生的隨機數(shù);對于相對成熟的對稱加密系統(tǒng)，攻擊者不能由明文構(gòu)造密文，也不能由密文來推測明文對于公鑰密碼體系，不能由公鑰推測出對應的私鑰。

4 M-RFID 安全模型建立

考慮到系統(tǒng)工作的環(huán)境，為保證系統(tǒng)的正常運行，要保證系統(tǒng)與信息的完整性、機密性、可用性、隱私性和真實性，尤其是在信息的傳遞過程中要對數(shù)據(jù)的安全進行保護?，F(xiàn)建立一個安全模型，用于M-RFID 系統(tǒng)的防護。

在分析了M-RFID 系統(tǒng)的安全需求，了解制約系統(tǒng)安全運行的外在條件之后，結(jié)合上一節(jié)建立的攻擊模型，建立了一個適應于M-RFID 系統(tǒng)的安全模型。在這個安全模型當中，按照信息數(shù)據(jù)的流向，結(jié)合系統(tǒng)在運行過程中各個環(huán)節(jié)的工作情況，考慮系統(tǒng)與信息的完整性、機密性、可用性、隱私性和真實性。

詳細的保護措施及安全等級分類如下［9］:

1)標簽。由于標簽分布在裝備上，不易掌控，所以在標簽中應盡量少的用明文存儲信息，或者不存儲敏感信息;為了防止攻擊者的跟蹤行為，對于讀寫器的詢問，標簽每次應當給予不同的回應;考慮到標簽的計算能力，為了保證其可用性，每次標簽的運算量必須盡量小，反應速度要快;為了防止標簽被非法偽造，每個標簽應該在后端服務器中有唯一備份的ID 號，并且能夠進行更新。

A1:明文存儲信息、固定ID、對身份不存在驗證過程;A2:口令控制標簽信息讀取、固定ID、對身份不存在驗證過程;A3:加密算法保護標簽內(nèi)部信息、隨機ID 更新、對詢問方進行身份認證，具有防止跟蹤的能力。

從A1 到A3 保護的安全等級不斷加強，在安全的MRFID 系統(tǒng)中，標簽的安全等級必須要達到A3 級。

2)信息傳遞。系統(tǒng)工作在開放的無線網(wǎng)絡當中，必須要保證傳遞敏感信息不能泄露給攻擊者，因此必須采取一定的加密措施;為了保證消息的新鮮性，在每次發(fā)送信息的過程中必須有時間戳、隨機數(shù)等的保護。

B1:明文傳遞信息，不附帶輔助數(shù)據(jù);B2:明文傳遞信息，進行循環(huán)冗余校驗，保證數(shù)據(jù)的完整性;B3:明文傳遞信息，循環(huán)冗余校驗，添加數(shù)據(jù)的時間戳等復雜的消息認證碼，防止數(shù)據(jù)被篡改;B4:信息經(jīng)加密算法處理后再進行傳遞，同時添加時間戳或者隨機數(shù)等進行校驗。

在安全的M-RFID 系統(tǒng)中，考慮到其無線網(wǎng)絡的特點，要強制使系統(tǒng)的安全等級達到B4 的要求。

3)系統(tǒng)運行。管理主要針對后端數(shù)據(jù)庫與移動讀寫器的使用過程，必須在每次使用前對使用者的身份進行驗證，對與之通信的實體進行審核，并對該行為進行審計。

C1:操作者直接進入后端數(shù)據(jù)庫、使用合法移動讀寫器對標簽內(nèi)容進行讀寫。后端服務器與移動讀寫器接受任何參與者的服務請求，不進行任何驗證。

C2:操作者在進入操作系統(tǒng)前(包括數(shù)據(jù)庫與移動讀寫器)必須經(jīng)過系統(tǒng)的認證，系統(tǒng)并對此次操作進行記錄，開始工作時后端服務器與移動讀寫器對參與者的身份進行單身認證;

C3:操作者在進入操作系統(tǒng)前(包括數(shù)據(jù)庫與移動讀寫器)必須經(jīng)過系統(tǒng)的認證，系統(tǒng)并對此次操作進行記錄，開始工作時后端服務器與移動讀寫器與參與者進行雙向的身份認證。

為了防止攻擊者的攻擊，必須保證在系統(tǒng)運行方面達到C3 的安全等級［10-12］。

5 結(jié)束語

本文主要在傳統(tǒng)RFID 系統(tǒng)的基礎(chǔ)上建立了一個更加靈活的M-RFID 系統(tǒng)模型，并詳細介紹了其結(jié)構(gòu)，在分析了此模型的安全問題后，建立了一個理想的攻擊模型，以此來模擬攻擊者可能對該系統(tǒng)進行的攻擊。最后針對以上安全問題，設計了一個適用于M-RFID 系統(tǒng)的安全模型，為M-RFID系統(tǒng)設計安全協(xié)議提供了參考依據(jù)。

［1］喬強.RFID 技術(shù)的應用［J］. 現(xiàn)代情報，2005，4（4）:23-25.

［2］顏濤.RFID 技術(shù)研究及其在倉儲管理中的應用［D］.西安:西安電子科技大學，2006.

［3］柴毅，陸亞軍.RFID 與條碼技術(shù)在軍事物流領(lǐng)域的聯(lián)合應用［J］.四川兵工學報，2011，32（1）:49-53.

［4］劉增勇，陳祥斌，王鵬，等.RFID 技術(shù)在裝備物流領(lǐng)域的應用［J］.四川兵工學報，2012，33（5）:101-104.

［5］胡嘯，陳星，吳志剛.無線射頻識別安全初探［J］.信息安全與保密通信，2005（6）:39-42.

［6］Dolev D，Yao A C.On the security of public key protocols［C］//In Proceedings of IEEE 22ndAnnual Symposium on Foundations of Computer Science，1981:350-357.

［7］張振宇.基于ECC 的RFID 通信協(xié)議研究［D］.天津:天津理工大學，2008.

［8］周光輝，王杰，韓占磊，等.基于RFID 的車間刀具自動識別技術(shù)與系統(tǒng)實現(xiàn)［J］.四川兵工學報，2011，32（3）:76-80.

［9］魏旻，王平，王泉.工業(yè)無線控制網(wǎng)絡安全方法的研究與實現(xiàn)［J］.儀器儀表學報，2009，30（4）:124-129.

［10］陳華智，張聞，張華磊.網(wǎng)絡安全等級保護實施方案的設計及應用實踐［J］.浙江電力，2011，30（3）:104-108.

［11］溫華，王丹.一種網(wǎng)絡安全等級的計算模型設計［C］//四川省通信學會二〇〇三年學術(shù)年會.四川，2003.

［12］李恒金.網(wǎng)絡安全等級測評技術(shù)研究——路由器測評技術(shù)研究［D］.北京:中國礦業(yè)大學，2003.

［13］李南.基于自動識別技術(shù)在圖書館管理中的應用［J］.激光雜志，2010（4）:57-58.