孔春明，黃茗涵，徐 鶴

(1.南京郵電大學(xué) 貝爾英才學(xué)院，江蘇 南京 210023；2.南京郵電大學(xué) 計算機學(xué)院、軟件學(xué)院、網(wǎng)絡(luò)空間安全學(xué)院，江蘇 南京 210023)

0 引 言

隨著物聯(lián)網(wǎng)的發(fā)展，無線射頻識別技術(shù)(radio frequency identification，RFID)在生活中的應(yīng)用也越發(fā)廣泛，其被認(rèn)為是21世紀(jì)最具發(fā)展?jié)摿Φ男畔⒓夹g(shù)之一。與原有的條形碼、IC識別等自動識別技術(shù)相比，RFID技術(shù)由于其識別距離長、信息儲量大、可同時識別多個目標(biāo)、抗干擾能力強等優(yōu)點得以快速發(fā)展與廣泛應(yīng)用。

一般的RFID系統(tǒng)有三個基本的組成部分，即RFID電子標(biāo)簽(Labels)、RFID讀寫器(Reader)以及后端數(shù)據(jù)庫服務(wù)器(Database)，如圖1所示。

圖1 RFID系統(tǒng)構(gòu)成

盡管RFID技術(shù)的發(fā)展?jié)摿薮?，但是RFID帶來的安全問題也不容忽視，其中針對RFID系統(tǒng)的標(biāo)簽克隆攻擊是當(dāng)前研究的一個熱點?？寺」羰侵笇FID電子標(biāo)簽或智能卡的信息復(fù)制到克隆標(biāo)簽中，使克隆標(biāo)簽具有與原標(biāo)簽相同的特性，可以進(jìn)行替換?？寺」羰褂眯崽?、竊聽、物理篡改等手段獲取原始標(biāo)簽的所有數(shù)據(jù)，包括編碼和用戶數(shù)據(jù)，將所有信息寫入一個可以寫入整個區(qū)域的RFID標(biāo)簽，并復(fù)制標(biāo)簽[1]。這里需要特別提一下，克隆標(biāo)簽不等同于偽造標(biāo)簽，Bu等人的文章中[2]也特別指出了這一混淆，克隆標(biāo)簽的定義比偽造標(biāo)簽更嚴(yán)格，也可以理解為偽造標(biāo)簽可能存在某些與真正的標(biāo)簽不一致的秘密，但是克隆標(biāo)簽是與真正標(biāo)簽完全一致的。目前，處理標(biāo)簽克隆主要有兩種方法：預(yù)防和檢測。預(yù)防方法通過對標(biāo)簽采用加密技術(shù)、物理抗克隆函數(shù)、安全認(rèn)證協(xié)議等方式[3-5]來防止標(biāo)簽克隆。然而，還沒有一種方法宣稱能完全抵御克隆攻擊。此外，由于存儲和計算能力的限制，一些預(yù)防方法無法在供應(yīng)鏈?zhǔn)褂玫牡统杀緲?biāo)簽中實現(xiàn)。因此，檢測方法是處理低成本標(biāo)簽克隆問題的合適方法[6]。

該文主要的研究內(nèi)容為標(biāo)簽克隆攻擊的檢測方法，即在克隆攻擊已經(jīng)發(fā)生的情況下，通過一定的手段識別出克隆標(biāo)簽并做出相應(yīng)的響應(yīng)。目前主流的檢測克隆攻擊的方法大致可以分為四大類：射頻指紋(radio frequency fingerprints)、同步秘密(synchronized secret)、軌跡分析(trajectory analysis)和碰撞檢測(collision detection)，該文對這些基本的方法與具體的技術(shù)進(jìn)行了研究，并做了橫向與縱向的對比。

1 相關(guān)方法

1.1 射頻指紋

射頻指紋是指由于射頻設(shè)備電子元器件的個體差異,導(dǎo)致其發(fā)射出的電磁波包含設(shè)備的獨特特征,人們形象化地將這種與具體設(shè)備相關(guān)聯(lián)的物理層上的模擬和數(shù)字信號特征稱為“射頻指紋”。由于設(shè)備制造過程的差異性,沒有兩個設(shè)備是完全相同的,它們發(fā)射出的射頻信號的特征也不完全相同,因此可以通過“射頻指紋”對設(shè)備進(jìn)行識別和認(rèn)證。由于射頻指紋的特征與設(shè)備的物理層硬件特征緊密相關(guān)且不可人為控制,從而可以據(jù)此檢測克隆行為的發(fā)生。

文獻(xiàn)[7]中指出像電子產(chǎn)品代碼(EPC)、標(biāo)識符(ID)等應(yīng)用層信息容易被攻擊者克隆，但是對射頻信號的物理層信息卻很難去克隆，這是因為射頻信號很容易受到環(huán)境因素和硬件條件的影響，其值難以預(yù)料。作者針對靜態(tài)場景和動態(tài)場景分別使用基于聚類和基于鄰居的方法進(jìn)行克隆檢測，檢測效果較好。此方法不需要任何軟件重新設(shè)計和硬件擴充，只需要基于現(xiàn)有的COTS RFID設(shè)備即可，但是此方法似乎只能檢測到克隆攻擊發(fā)生并統(tǒng)計出克隆標(biāo)簽的數(shù)量，無法具體區(qū)分出哪些標(biāo)簽是克隆標(biāo)簽。

同時發(fā)明專利中[8]使用的是RFID相位指紋進(jìn)行RFID標(biāo)簽克隆檢測，方法就是使用RFID相位提取工具對所有RFID標(biāo)簽進(jìn)行相位采集處理，通過最小二乘法進(jìn)行減噪操作，繼而建立優(yōu)化指紋庫，然后檢測時只需要將測量到的標(biāo)簽指紋與指紋庫中的指紋進(jìn)行比對即可準(zhǔn)確識別克隆標(biāo)簽。專利中沒有提到該方法的實際效果，但筆者認(rèn)為這種方法的準(zhǔn)確率可能不高，而且對于相位提取工具和后續(xù)減噪優(yōu)化操作的要求會比較高。而Zhang等人的論文中[9]則具體地介紹了一種基于物理層特性地射頻指紋識別方法“牽星法”，使高頻RFID卡與其唯一且不可克隆地射頻特征緊密綁定。該方法在初始化階段首先將所有的RFID卡分為星卡和發(fā)行卡兩類并建立關(guān)系對，然后通過線性判別式分析(LDA)算法對n個關(guān)系對進(jìn)行訓(xùn)練。在檢測階段，只需要將待檢測標(biāo)簽與n個參考對象進(jìn)行多次兩兩識別，大幅降低了識別難度。同時該識別系統(tǒng)僅由一個天線、一個讀卡器和一個示波器組成，結(jié)構(gòu)簡單。

1.2 同步秘密

Mikko Lehtonen 等人的文章中[10]首次討論和評估了將同步秘密(synchronized secrets)應(yīng)用到標(biāo)簽克隆檢測領(lǐng)域。所謂同步秘密，其實就是一個偽隨機數(shù)，也可以理解成一個一次性密碼。這種方法理解起來很簡單，在標(biāo)簽的可重寫內(nèi)存中寫入一個隨機數(shù)，每次讀取標(biāo)簽時都會更改該數(shù)，同時要注意后端不會擦除舊的秘密，這樣做是為了檢查標(biāo)記是否因為被克隆或僅僅因為同步錯誤而無法通過。一個集中的后端系統(tǒng)發(fā)布這些隨機數(shù)并跟蹤哪個隨機數(shù)寫在哪個標(biāo)簽上以檢測同步錯誤。每次讀取標(biāo)簽時，后端首先驗證標(biāo)簽的靜態(tài)標(biāo)識符(UID)。如果此數(shù)字有效，后端會將標(biāo)簽的同步秘密與為該特定標(biāo)簽存儲的秘密進(jìn)行比較。如果這些數(shù)字匹配，則 標(biāo)簽通過檢查——否則會觸發(fā)警報。檢查后，后端生成一個新的同步秘密，讀取器設(shè)備將其寫入標(biāo)簽。

這種檢測方法存在一個比較嚴(yán)重的問題：過時的同步秘密并不完全意味著克隆已經(jīng)發(fā)生。前面提到在更新隨機數(shù)時，原來舊的隨機數(shù)并不會擦除，而是會留在后端中。所以如果標(biāo)簽具有過時的同步秘密，則標(biāo)簽是真實的但尚未正確更新(去同步)，或者有人故意獲取舊秘密并將其寫入正版標(biāo)簽(復(fù)雜的故意破壞，Mikko Lehtonen稱這種破壞形式在當(dāng)今的商業(yè)RFID應(yīng)用中顯得有些不切實際)，或者正版標(biāo)簽已被克隆并且克隆的標(biāo)簽已被掃描。針對去同步錯誤，Obinna Stanley Okpara所寫的文章中[11]嘗試引入ACK消息來進(jìn)行解決：在驗證之后，標(biāo)簽向讀卡器發(fā)送一個ACK，表明它已經(jīng)同步并擁有新的秘密。作為響應(yīng)，讀取器向后端發(fā)送一個ACK，表明它從標(biāo)記中獲得了ACK消息。最后，后端向讀取器發(fā)送其ACK消息，以確認(rèn)整個確認(rèn)過程已成功完成。這有點類似于傳輸控制協(xié)議(TCP)三次握手。不過雖然引入了ACK消息，但是仍不能確保在最短時間內(nèi)收到ACK，讀卡器和后端之間的距離、電磁干擾(EMI)的存在等因素會影響ACK傳輸時間，這將導(dǎo)致需要在短時間內(nèi)對大量標(biāo)簽進(jìn)行身份驗證的RFID系統(tǒng)會有明顯的延遲。同時，同步秘密這一方法還存在一些其他的缺陷，比如它要求標(biāo)簽擁有可重寫的內(nèi)存空間，而且這種檢測方法只能定位具有相同標(biāo)識符的對象，但仍需要與人工檢查一起使用以確定哪些對象不是真品。Obinna Stanley Okpara在文章的最后也寫道“本質(zhì)上，同步秘密在RFID應(yīng)用中不是一種有效的方法?！?/p>

使用ACK消息標(biāo)記同步秘密更新如圖2所示。

圖2 使用ACK消息標(biāo)記同步秘密更新

1.3 軌跡分析

根據(jù)標(biāo)簽軌跡的時空相關(guān)性分析，Huang等人提出了一種基于Floyd-Warshall算法和時空碰撞的自適應(yīng)克隆檢測方法(ACD)[1]。所謂時空碰撞，簡單來說就是短時間內(nèi)同一個標(biāo)簽出現(xiàn)在兩個相距很遠(yuǎn)的地方。該方法首先通過統(tǒng)計方法獲得相鄰節(jié)點之間的時空關(guān)系，然后基于最短路徑算法Floyd-Warshall計算得到任意節(jié)點之間的時空關(guān)系。接著對所有節(jié)點進(jìn)行綜合，得到相鄰節(jié)點之間的最短時間矩陣。將實時數(shù)據(jù)與最短時間矩陣dis數(shù)據(jù)進(jìn)行比較，可以實現(xiàn)對克隆標(biāo)簽的檢測。在實時采集的日志中，當(dāng)兩條相鄰的ID相同的記錄之間的時間間隔小于dis的時間間隔時，系統(tǒng)認(rèn)為存在異常，并觸發(fā)警報。管理員將知道克隆標(biāo)記的位置和ID。這種方法可以直觀、準(zhǔn)確地實時顯示異常標(biāo)簽的位置。它使用商用現(xiàn)貨RFID設(shè)備，不需要額外的硬件資源。當(dāng)然，這個方法也存在一些問題，比如忽略了數(shù)據(jù)冗余、沒有考慮實際環(huán)境的復(fù)雜性等。

后面Huang等人的團隊針對這些問題又對ACD方法進(jìn)行了改進(jìn)，提出了一種名為DeClone的基于軌跡的概率檢測方法[12]。DeClone增加了數(shù)據(jù)預(yù)處理環(huán)節(jié)，使用有限狀態(tài)機去清理冗余的數(shù)據(jù)。然后數(shù)據(jù)跟蹤將原始RFID數(shù)據(jù)流轉(zhuǎn)換為軌跡數(shù)據(jù)。DeClone方法采用的時空關(guān)系建模也與ACD方法不太一樣，研究者對不同時間段的實時軌跡進(jìn)行了建模，將一個長時間幀分割成多個小時間窗口，對每個時間窗口中相鄰節(jié)點之間的可達(dá)時間進(jìn)行g(shù)amma分布擬合，并通過置信區(qū)間的下界確定相鄰節(jié)點之間的最短可達(dá)時間，這比ACD的可到達(dá)時間的最小值作為固定閾值更準(zhǔn)確一些。檢測階段研究者將實時軌跡劃分為多段。然后，將一段軌跡與相應(yīng)的最短可達(dá)時間進(jìn)行比較，以檢測異常。另外，累計異常閾值的提出使得該方法在不同場景下的適用性提高，根據(jù)不同場景下精度和召回率的要求不同選擇適當(dāng)?shù)拈撝悼梢暂^好地達(dá)到預(yù)期要求。不過，DeClone在某些方面仍有一些局限性。首先，該方法設(shè)想的應(yīng)用場景是展覽會等克隆標(biāo)簽與真實標(biāo)簽同時同地出現(xiàn)的應(yīng)用場景，但是成功克隆標(biāo)簽后，克隆標(biāo)簽和真實標(biāo)簽可能不會在RFID系統(tǒng)中共存。其次，DeClone檢測到克隆標(biāo)簽后，無法準(zhǔn)確區(qū)分真實標(biāo)簽和克隆標(biāo)簽。

以上兩種方法所用到的軌跡都是基于某一場景的，Luo等人提出了一種針對物流供應(yīng)鏈的標(biāo)簽克隆檢測方法[13-14]。文章針對現(xiàn)有分析模型存在的分析維度單一、數(shù)據(jù)量不足、無法區(qū)分異常等缺陷，從歷史來源、規(guī)模數(shù)量、位置變化、庫存時間等方面提出一種多維RFID供應(yīng)鏈異常檢測模型。同時對供應(yīng)鏈上貨物規(guī)模數(shù)量的一致性、邏輯的一致性進(jìn)行檢測(包括前后站點一致性、局部路徑的一致性和停留時間的一致性)，使RFID克隆標(biāo)簽檢測具備區(qū)分異常類型的能力，相較于現(xiàn)有的檢測模型，提高了異常檢測的準(zhǔn)確率。

Luo所提出的基于供應(yīng)鏈的檢測方法需要從物流公司或者物流站點獲取樣本的數(shù)據(jù)，對于產(chǎn)品信息流的要求比較高，而Li等人提出的雙軌跡克隆檢測法則顯得更加地簡單[15]，該方法不依賴于任何預(yù)先定義的供應(yīng)鏈結(jié)構(gòu)或正確的產(chǎn)品信息流，使得其面對供應(yīng)鏈的動態(tài)變化具有靈活性，便于普遍部署。所謂“雙軌跡”，第一條軌跡是由驗證序列構(gòu)成的，該方法通過在標(biāo)簽中寫入驗證序列，使得隨著標(biāo)簽隨產(chǎn)品在供應(yīng)鏈中流動，正版標(biāo)簽和克隆標(biāo)簽因驗證序列的不斷更新而出現(xiàn)不同，而且標(biāo)簽中的驗證序列隨時間變化會呈現(xiàn)一定的規(guī)律，于是形成一條序列軌跡；第二條軌跡是結(jié)合標(biāo)簽事件信息中業(yè)務(wù)動作(如接收或者運輸)的一致性形成的軌跡。該方案通過評估2條軌跡的正確性來發(fā)現(xiàn)克隆，在評估克隆存在時充分考慮了標(biāo)簽誤讀、誤寫、事件丟失以及錯誤運輸。

1.4 碰撞檢測

克隆標(biāo)簽是對合法標(biāo)簽的完全復(fù)制，它具有合法標(biāo)簽的全部信息，包括全球唯一號，所以當(dāng)接收到閱讀器發(fā)出的命令時，克隆標(biāo)簽和合法標(biāo)簽會得到相同的值，也就是說它們會在同一個時隙中進(jìn)行回復(fù)，這種沖突不能通過選擇不同的隨機種子來解決?；谶@一事實，可以為每個合法標(biāo)簽分配一個單一時隙，在閱讀器端，如果這一單一時隙變成了沖突時隙，那么就可以確定在該時隙回復(fù)的合法標(biāo)簽受到了克隆攻擊[16]。

Bu的團隊在碰撞檢測方面做了許多的研究與嘗試，起初，他們的想法是利用廣播和沖突來識別克隆標(biāo)簽[17-18]。其基本的思路為當(dāng)讀卡器廣播只指定一個標(biāo)簽來發(fā)送響應(yīng)的查詢消息時，如果讀卡器接收到多個響應(yīng)的沖突，就可以認(rèn)為克隆的標(biāo)記存在?？紤]到廣播ID很耗時間而且不利于隱私的保護，于是Bu的團隊采用時隙 Aloha(SLOTTED-ALOHA)來指定標(biāo)簽以在不廣播其ID的情況下進(jìn)行響應(yīng)。每個標(biāo)簽根據(jù)閱讀器廣播的參數(shù)信息以及自己的ID進(jìn)行哈希運算選擇其應(yīng)答的時隙,閱讀器根據(jù)標(biāo)簽的實際應(yīng)答情況，組建一個實際時隙狀態(tài)向量(0或1),通過時隙狀態(tài)向量的值就可以判別是否存在克隆標(biāo)簽。該協(xié)議通過多輪的執(zhí)行，直至RFID系統(tǒng)中所有標(biāo)簽被識別。

然而，上述克隆標(biāo)簽識別方法的前提是克隆標(biāo)簽百分百回復(fù)閱讀器即攻擊概率為100%。當(dāng)克隆標(biāo)簽以一定的概率發(fā)起攻擊時，該方法就會出現(xiàn)大量的誤判，導(dǎo)致識別精度快速地下降，識別效率低。針對這一缺陷，Chen等人的發(fā)明專利中[19]為克隆標(biāo)簽引入了攻擊概率的概念，提出了一種更具有實際性的概率性克隆攻擊模型。閱讀器采用多種子和幀時隙Aloha結(jié)合的方式提高了幀中單時隙的比例，只有當(dāng)真實標(biāo)簽在期望幀中選中單時隙時，才能根據(jù)該單時隙在實際幀中的狀態(tài)對真實標(biāo)簽是否被克隆做出判斷。這種基于多種子技術(shù)對克隆標(biāo)簽進(jìn)行識別，不僅可以識別概率性的克隆攻擊，也適用于每個克隆標(biāo)簽都具有100%攻擊概率的情形，更具有普適性。

后面Bu的團隊又研究了匿名RFID系統(tǒng)的確定性克隆檢測問題[20]，提出了BASE、DeClone和DeClone+等快速確定性克隆檢測協(xié)議。BASE利用克隆標(biāo)簽會使標(biāo)簽基數(shù)超過ID基數(shù)的這一性質(zhì)來檢測克隆標(biāo)簽的存在。DeClone主要設(shè)計方法為將slotted Aloha協(xié)議和tree traversal協(xié)議結(jié)合起來檢測由克隆標(biāo)簽導(dǎo)致的不可調(diào)和的信息沖突，它強制在每個插槽中進(jìn)行克隆檢測，以提高大型系統(tǒng)的克隆檢測速度。DeClone+為DeClone的優(yōu)化版本，其設(shè)計的動機是更多的克隆導(dǎo)致更容易檢測。它所做出的改進(jìn)是可以根據(jù)給定的ID基數(shù)n和克隆ID基數(shù)m通過公式計算出一個最小的幀大小來滿足所需的檢測精度，而不是像之前的方法中直接設(shè)置默認(rèn)幀大小。對于克隆標(biāo)簽較多的場景具有更快的檢測速度。

Bu的團隊的方法中采用的大多是時隙Aloha防碰撞協(xié)議，Guo的文章中[21]指出采用Aloha防碰撞算法檢測克隆標(biāo)簽很難保證真實標(biāo)簽和對應(yīng)的克隆標(biāo)簽每次同時出現(xiàn)在一個時隙，所以采用基于Aloha防碰撞協(xié)議就有可能存在漏檢問題。而如果采用基于樹的防碰撞協(xié)議，若存在兩個一樣ID的標(biāo)簽，它們永遠(yuǎn)同時響應(yīng)，即出現(xiàn)不可調(diào)解的碰撞。Guo采用基于多叉樹防碰撞算法的克隆檢測方法，提出了一個快速RFID克隆攻擊檢測方法MT-CAI。其使用自適應(yīng)四叉剪枝查詢樹防碰撞協(xié)議(A4PQT)自適應(yīng)地剪去四叉樹的空閑時隙，使之分裂叉數(shù)趨近于3。當(dāng)產(chǎn)生碰撞時隙時，MT-CAI會檢測曼徹斯特編碼的跳變情況。如果在某些位出現(xiàn)無狀態(tài)跳變，則說明是可調(diào)解的碰撞，此時閱讀器根據(jù)剪枝原則更新查詢前綴，繼續(xù)下一輪的查詢;如果發(fā)生碰撞，曼徹斯特編碼的跳變依舊是正常的，則說明出現(xiàn)不可調(diào)解的碰撞，這就表明存在克隆標(biāo)簽。

以上方法雖然都聲稱適用于大型RFID系統(tǒng)，但是似乎都沒有提到在多個閱讀器并存的情況下如何快速查找待檢測閱讀器覆蓋范圍內(nèi)的所有標(biāo)簽。Feng的文章[16]中提出了一種大規(guī)模系統(tǒng)中快速識別克隆標(biāo)簽算法CAIP，他提出利用布魯姆過濾器快速查找待檢測閱讀器覆蓋范圍內(nèi)的所有標(biāo)簽，然后利用多個Hash函數(shù)為每個標(biāo)簽分配一個單一時隙，閱讀器通過檢測各時隙的狀態(tài)來判斷標(biāo)簽是否受到克隆攻擊。

HazalilaKamaludin等人提出了一種基于雙哈希沖突的一致性和改進(jìn)的Count-Min Sketch向量的克隆標(biāo)簽識別方法[22]，使用散列將流數(shù)據(jù)中的項目映射到一個小空間草圖向量上，該向量可以輕松更新和查詢。該方法依賴于不同Count-Min Sketch向量中兩個哈希函數(shù)的哈希沖突的一致性來揭示克隆的存在。作者認(rèn)為，攻擊者在真標(biāo)簽準(zhǔn)備就緒后創(chuàng)建克隆標(biāo)簽，因此，克隆標(biāo)簽的標(biāo)簽讀取頻率合理地低于真標(biāo)簽。所以，如果發(fā)生散列沖突并且在兩個Count-Min Sketch向量處存在相同的EPC，則不斷更新讀取頻率可以精確地確定克隆標(biāo)簽存在于哪個讀取器，這是之前的方法中未提及的。

2 對比分析

為了對所讀文獻(xiàn)中采用的不同方法進(jìn)行比較和評價，選用了五個指標(biāo)進(jìn)行具體地評估與分析，如表1所示。這五個指標(biāo)分別為安全性、是否為輕量級、集中式/分布式、算法復(fù)雜度、能否區(qū)分真實標(biāo)簽和克隆標(biāo)簽。其中，安全性又分為可抵御的攻擊類型、準(zhǔn)確性和隱私性三個方面，這里的隱私性主要是對RFID系統(tǒng)是可識別系統(tǒng)和匿名系統(tǒng)做出區(qū)分；是否為輕量級主要是從對軟硬件設(shè)備、供應(yīng)鏈結(jié)構(gòu)、數(shù)據(jù)信息等環(huán)境因素的依賴程度角度進(jìn)行評判；集中式和分布式的區(qū)別來自于克隆標(biāo)簽和它對應(yīng)的真實標(biāo)簽是否應(yīng)該在同一系統(tǒng)中被檢測，集中式即服務(wù)器收集全局標(biāo)簽數(shù)據(jù)用于克隆檢測，而分布式即閱讀器可以基于標(biāo)簽中的某些共享秘密獨立檢測克隆標(biāo)簽，無需求助于所有標(biāo)簽的全局知識；能否區(qū)分真實標(biāo)簽和克隆標(biāo)簽即部分方法只能用于檢測系統(tǒng)中是否存在克隆標(biāo)簽，無法區(qū)分真實標(biāo)簽和克隆標(biāo)簽，而另一部分方法卻可以做到。

表1 各方法對比

對表1進(jìn)行分析可以發(fā)現(xiàn)，現(xiàn)有的克隆標(biāo)簽檢測方法大多具有以下兩個特點：(1)基于可識別RFID系統(tǒng)；(2)采用集中式檢測。

可識別RFID系統(tǒng)允許使用標(biāo)簽ID進(jìn)行克隆檢測，即在檢測前相關(guān)的標(biāo)簽ID信息(包括ID基數(shù))是能夠被獲取到的。但是基于可識別RFID系統(tǒng)不利于隱私保護，后端服務(wù)器與讀寫器之間或讀寫器與標(biāo)簽之間的標(biāo)簽ID通信存在ID泄露的風(fēng)險。例如，考慮一個軍事射頻識別系統(tǒng)[23]，標(biāo)簽ID可以顯示武器的類別，而ID基數(shù)可以確切地顯示武器的數(shù)量。如果采用可識別RFID系統(tǒng)，則可能通過標(biāo)簽ID和ID基數(shù)暴露軍事實力。而匿名RFID系統(tǒng)就像一個“黑盒”，閱讀器無法從標(biāo)簽或后端服務(wù)器查詢標(biāo)簽ID，同時匿名RFID系統(tǒng)也對隱私敏感的應(yīng)用程序進(jìn)行了保護。所以，考慮到對于隱私的保護，研究匿名RFID系統(tǒng)很有必要。

然而，這樣嚴(yán)格的要求使得像文獻(xiàn)[1，12-15]這樣依賴ID的軌跡分析方法不再適用于匿名RFID系統(tǒng)，這些方法需要從供應(yīng)鏈或者生產(chǎn)商那里收集ID信息，并在一個ID同時出現(xiàn)在不同地方時檢測到克隆攻擊。

此外，表格中的方法幾乎都是集中式檢測，克隆標(biāo)簽和它對應(yīng)的真實標(biāo)簽要求在同一系統(tǒng)中被檢測，有的甚至要求克隆標(biāo)簽與真實標(biāo)簽必須出現(xiàn)在同一時間同一地點，這就使得這種方法的應(yīng)用場景較為單一，適用于類似于展覽會這樣克隆標(biāo)簽與真實標(biāo)簽共存且標(biāo)簽經(jīng)常被讀取的場景，而分布式即閱讀器可以基于標(biāo)簽中的某些共享秘密獨立檢測克隆標(biāo)簽，無需求助于所有標(biāo)簽的全局知識。

因而，為了兼顧隱私性和適用性，研究匿名RFID系統(tǒng)的克隆標(biāo)簽檢測是必須的，而分布式檢測方法是值得去努力的。當(dāng)然，這是一個富有挑戰(zhàn)的事。根據(jù)前面的分析來看，想要實現(xiàn)匿名RFID系統(tǒng)克隆標(biāo)簽的分布式檢測，像軌跡分析這類方法似乎不太可行了，很難應(yīng)用到匿名RFID系統(tǒng)中去。而通過文獻(xiàn)[16，19-22]可以發(fā)現(xiàn)碰撞檢測既適用于可識別RFID系統(tǒng)又適用于匿名RFID系統(tǒng)，所以后續(xù)對于匿名RFID系統(tǒng)克隆標(biāo)簽的分布式檢測研究，可以重點去研究碰撞檢測這一類方法。

同時需要注意的是，RFID系統(tǒng)克隆標(biāo)簽的分布式檢測或許無法通過碰撞檢測這一類方法完美地解決，因為就目前的方法來看，針對匿名RFID系統(tǒng)還只能檢測到存在克隆標(biāo)簽，而無法區(qū)分克隆標(biāo)簽與真實標(biāo)簽，可能需要后續(xù)通過人工干預(yù)的方法，或與其他技術(shù)相結(jié)合，如先進(jìn)的外觀防偽和射頻指紋識別技術(shù)來進(jìn)行辨別。

3 結(jié)束語

對RFID克隆標(biāo)簽檢測領(lǐng)域的一些方法進(jìn)行了研究，并將現(xiàn)有檢測方法分為了射頻指紋、同步秘密、軌跡分析和碰撞檢測四大類。就目前的研究成果而言，以上四類檢測方法均存在不足之處。基于物理層的射頻指紋需要借助其他設(shè)備進(jìn)行信息采集，以獲取RFID標(biāo)簽的物理層射頻信息，無法實時檢測。同步秘密和碰撞檢測方法需要修改mac層協(xié)議或重新設(shè)計軟件，并且碰撞檢測要求克隆標(biāo)簽與正版標(biāo)簽出現(xiàn)在同一時空。而基于軌跡的檢測方法則可能受到數(shù)據(jù)的限制，供應(yīng)鏈合作伙伴可能出于隱私考慮而不共享數(shù)據(jù)跟蹤，缺乏完整的數(shù)據(jù)追蹤將會阻礙克隆檢測。相較于可識別RFID系統(tǒng)，匿名RFID系統(tǒng)有更好的隱私性。但是經(jīng)過對比分析發(fā)現(xiàn)像軌跡分析這類依賴標(biāo)簽ID的方法很難應(yīng)用于匿名RFID系統(tǒng)，而像碰撞檢測這類方法則既適用可識別RFID系統(tǒng)又適用于匿名RFID系統(tǒng)。故碰撞檢測方法可能會成為今后研究的一個熱點。另外，考慮到集中式檢測對于檢測條件有諸多限制，而分布式則適用性更好。故在之后的研究中匿名RFID系統(tǒng)克隆標(biāo)簽的分布式檢測是需要努力的一個方向。