肖 航，李 鵬，2，馬薈平，朱 楓，2

（1.南京郵電大學(xué)計(jì)算機(jī)學(xué)院，江蘇 南京 210023；2.南京郵電大學(xué)網(wǎng)絡(luò)安全和可信計(jì)算研究所，江蘇 南京 210023）

0 引 言

隨著現(xiàn)代物流和物聯(lián)網(wǎng)技術(shù)應(yīng)用的逐漸普及，RFID（Radio Frequency Identification）系統(tǒng)與人們衣食住行的聯(lián)系日益緊密，RFID 系統(tǒng)安全的重要性就日益凸顯。近年來，針對RFID 系統(tǒng)安全性的研究主要以基于多種算法的輕量級(jí)RFID 安全認(rèn)證協(xié)議［1-2］為主，相較而言，對攻擊者的行為建模并分析的卻不多。由于目前RFID 安全領(lǐng)域中評估類標(biāo)準(zhǔn)匱乏，現(xiàn)有的研究者很難對RFID系統(tǒng)實(shí)施較為全面的安全評估。為了解決上述研究困境，本文參照傳統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)中入侵者行為建模的方法［3-4］，本文針對RFID系統(tǒng)中特有的攻擊分析，建立RFID系統(tǒng)的攻擊者模型。

目前，在RFID攻擊建模方面，缺乏對并發(fā)性和協(xié)作性攻擊方式表達(dá)恰當(dāng)?shù)哪Ｐ停疚奶岢鲆环N基于層次廣義隨機(jī)Petri 網(wǎng)的攻擊模型HGSPN（Hierarchical Generalized Stochastic Petri Net）。該模型較為系統(tǒng)全面地表達(dá)了RFID 系統(tǒng)攻擊的原子性和宏觀性，對RFID 多種類并發(fā)協(xié)作攻擊行為進(jìn)行模擬，同時(shí)在模型狀態(tài)節(jié)點(diǎn)的數(shù)量爆炸問題上得以有效的緩解。本文模型相較于攻擊圖等模型具有以下優(yōu)點(diǎn)：

1）本文模型能準(zhǔn)確地描述攻擊過程和RFID系統(tǒng)狀態(tài)，可實(shí)現(xiàn)RFID系統(tǒng)協(xié)同攻擊建模，清晰地表達(dá)出復(fù)雜攻擊中系統(tǒng)脆弱點(diǎn)之間的利用邏輯和時(shí)序關(guān)系。

2）本文模型在一定程度上緩解了模型狀態(tài)規(guī)模隨節(jié)點(diǎn)的增加帶來的指數(shù)型上升的問題，在確保對RFID 系統(tǒng)安全狀態(tài)盡可能完整表達(dá)的基礎(chǔ)上，合理地規(guī)劃設(shè)計(jì)模型層級(jí)間的連接和構(gòu)造能對狀態(tài)規(guī)模進(jìn)行適當(dāng)?shù)募糁Α?/p>

3）本文模型中的狀態(tài)節(jié)點(diǎn)概率可以在短時(shí)間內(nèi)迅速收斂，同一般的Petri 網(wǎng)模型相比，該模型在多目標(biāo)攻擊的穩(wěn)態(tài)求解時(shí)間上快一個(gè)數(shù)量級(jí)。

1 相關(guān)工作

對RFID 攻擊進(jìn)行科學(xué)、有效的建模是維護(hù)RFID系統(tǒng)安全的重要措施。目前，李輝等人［5］針對給出的RFID 系統(tǒng)中防偽安全協(xié)議的復(fù)雜性提出了智能偽造攻擊模型，形式化分析了復(fù)雜防偽協(xié)議的設(shè)計(jì)。李俊霖等人［6］對物聯(lián)網(wǎng)安全協(xié)議攻擊者能力進(jìn)行了形式化構(gòu)建，分析了攻擊者模型的攻擊行為，但文中缺乏相應(yīng)的對比實(shí)驗(yàn)。黃義夫［7］提出了面向RFID 協(xié)議的安全檢測攻擊圖模型和基于層次分析法的RFID安全漏洞頂級(jí)策略，實(shí)現(xiàn)了對EPC C1 G2 標(biāo)準(zhǔn)協(xié)議的仿真、攻擊檢測、安全評估，但文中并未對RFID 非標(biāo)準(zhǔn)協(xié)議進(jìn)行仿真和攻擊檢測。楊曉明［8］提出了基于圖的RFID 攻擊模型，該模型能夠動(dòng)態(tài)地模擬攻擊者可能采取的攻擊步驟，直觀地體現(xiàn)了RFID 系統(tǒng)的安全狀態(tài)，但在RFID 攻擊規(guī)則方面還有待完善。Wang等人［9］針對RFID 的4 種攻擊方法，構(gòu)建了RFID 安全檢測模型，研究分析了RFID 系統(tǒng)的漏洞和可能的攻擊路徑。Ai等人［10］通過引入克隆標(biāo)簽的攻擊概率概念，提出了IPCA 協(xié)議，研究了大規(guī)模RFID 系統(tǒng)中克隆攻擊概率的識(shí)別問題。

Petri網(wǎng)是一種描述復(fù)雜系統(tǒng)（包括計(jì)算機(jī)網(wǎng)絡(luò)和協(xié)議）的有效工具，基于Petri 網(wǎng)所建立的模型既能表達(dá)出系統(tǒng)所處在的不同狀態(tài)，還能對系統(tǒng)或網(wǎng)絡(luò)中的攻擊行為進(jìn)行模擬。在近幾年的研究中，Chen 等人［11］提出了一種組合式Petri網(wǎng)的方法對大型網(wǎng)絡(luò)物理系統(tǒng)進(jìn)行攻擊建模，文中雖未提出精確的智能電網(wǎng)威脅模型，但是為復(fù)雜系統(tǒng)攻擊建模提供了相應(yīng)的思路。高翔等人［12］提出了一種基于廣義隨機(jī)著色Petri網(wǎng)的網(wǎng)絡(luò)攻擊組合模型，對攻擊行為之間的關(guān)聯(lián)關(guān)系進(jìn)行了清晰的表述，但文中僅根據(jù)時(shí)間代價(jià)對網(wǎng)絡(luò)系統(tǒng)的脆弱性進(jìn)行了分析，缺乏對攻擊概率的量化評估。Almutairi等人［13-14］提出了一種基于廣義隨機(jī)Petri網(wǎng)的軟件定義網(wǎng)絡(luò)（SDN）攻擊模型，評估了SDN多控制器的風(fēng)險(xiǎn)。毋澤南等人［15］提出了一種網(wǎng)絡(luò)系統(tǒng)評估模型NSA-SPN，對網(wǎng)絡(luò)安全相應(yīng)指標(biāo)進(jìn)行了合理評估，但模型的攻擊路徑較為單一，對惡意用戶針對系統(tǒng)的攻擊不能夠充分的表達(dá)。He等人［16］提出了基于GSPN 模型的網(wǎng)絡(luò)空間模擬DNS 抗攻擊模型并分析了其可靠性、可用性和抗攻擊性。

目前，利用Petri 網(wǎng)對系統(tǒng)進(jìn)行建模分析時(shí)，模型規(guī)模問題一直未能得到很好的解決，縮減模型的規(guī)模往往伴隨著狀態(tài)特征的丟失，而對模型的規(guī)模進(jìn)行適當(dāng)?shù)財(cái)U(kuò)充雖然保留了部分狀態(tài)特征，并在一定程度上降低了狀態(tài)轉(zhuǎn)移之間的耦合性，但是面對較為復(fù)雜的系統(tǒng)，攻擊規(guī)模也就隨之增大，模型的狀態(tài)數(shù)量呈指數(shù)級(jí)增長。同時(shí)，就RFID的安全性研究而言，現(xiàn)有的文獻(xiàn)大多是針對RFID 的安全隱私、協(xié)議認(rèn)證［17-19］方面進(jìn)行相關(guān)的研究，缺乏從RFID 攻擊者模型構(gòu)建方面來提高RFID 安全性的研究。針對這些問題，本文提出一種基于層次廣義隨機(jī)Petri 網(wǎng)的RFID 系統(tǒng)安全評估模型HGSPN-RFID，通過對RFID 攻擊的并發(fā)性、協(xié)作性、遞進(jìn)性過程進(jìn)行描述，發(fā)掘攻擊者意圖，評估RFID 系統(tǒng)風(fēng)險(xiǎn)。該模型從攻擊者角度出發(fā)，自頂向下從3 個(gè)層次對RFID 系統(tǒng)協(xié)作性、并發(fā)性攻擊進(jìn)行建模，對RFID 系統(tǒng)所處的攻擊狀態(tài)進(jìn)行準(zhǔn)確的表達(dá)，在時(shí)間和空間規(guī)模上性能也進(jìn)行了優(yōu)化。

2 基于層次廣義隨機(jī)Petri 網(wǎng)的RFID系統(tǒng)安全性分析模型

2.1 基本概念

廣義隨機(jī)Petri 網(wǎng)GSPN（Generalized Stochastic Petri Net）［20］是在隨機(jī)Petri 網(wǎng)的基礎(chǔ)上進(jìn)行的改進(jìn)，將變遷劃分為2 種，一種是表示耗時(shí)的事件的時(shí)間變遷；一種是表示邏輯選擇的瞬時(shí)變遷，對隨機(jī)Petri 網(wǎng)的狀態(tài)規(guī)模隨著求解問題節(jié)點(diǎn)數(shù)量增加而產(chǎn)生指數(shù)爆炸問題進(jìn)行有效地緩解，避免了同構(gòu)的馬爾可夫過程求解困難的問題。

廣義隨機(jī)Petri 網(wǎng)是對隨機(jī)Petri 網(wǎng)功能的改進(jìn)，相較于傳統(tǒng)隨機(jī)Petri 網(wǎng)，其針對實(shí)際場景中的邏輯關(guān)系表述的更為恰當(dāng)，對于和時(shí)間無關(guān)而在邏輯策略上具備選擇的事件，將其建模為瞬時(shí)變遷；針對在時(shí)間上具有連貫性和先后順序的事件，將其建模為時(shí)間變遷。

2.2 層次廣義隨機(jī)Petri網(wǎng)

首先給出層次廣義隨機(jī)Petri網(wǎng)的相關(guān)概念［21］。

定義1 頂層父Petri 網(wǎng)（FPN）。頂層父Petri 網(wǎng)由三元組FPN =(P，T，F(xiàn))構(gòu)成，其中：P={p1，p2，…，pn}代表關(guān)鍵位置集合；T={t1，t2，…，tn}代表摘要變遷集合；P∩T≠?且P∪T≠?，F(xiàn)?{P×T}∪{T×P}是弧的集合。

定 義2 權(quán) 限 子Petri 網(wǎng)（PASPN）。PASPN ={Pp，Tp，F(xiàn)p，M0，v}，其中是攻擊者具有的權(quán)限集合；代表變遷集合表示某一具體行為，πp表示權(quán)限轉(zhuǎn)移的概率，qp表示權(quán)限提升的概率；Fp是有向弧集合，PASPN 中由弧連接的起始位置到目標(biāo)的連通圖代表攻擊權(quán)限提升路徑；M0代表初始狀態(tài)；v代表變遷觸發(fā)速率，反映了攻擊者獲取權(quán)限的能力。

定義3 基于權(quán)限的攻擊子網(wǎng)（AASPN）。AASPN ={Pa，Ta，F(xiàn)a}，其 中：Pa是 攻 擊 集 合；代表變遷集合，代表某一攻擊行為，πa表示攻擊觸發(fā)的概率，qa表示攻擊成功的概率；Fa是有向弧集合，AASPN 中由弧連接的起始位置到目標(biāo)的連通圖代表攻擊路徑。

定義4 層次廣義隨機(jī)Petri 網(wǎng)模型（HGSPN）。HGSPN=，對于父Petri網(wǎng)FPN中的t∈{T、PASPN，AASPN}，通 過 細(xì) 化 組 合 操 作，得 到HGSPN，其中為t的前置集，t={y|(t，y) ∈F}為t的后置集和分別為PASPN 的入口和出口，和分別為AASPN 的入口和出口。

2.3 攻擊模型層次化結(jié)構(gòu)

RFID 系統(tǒng)主要由3 個(gè)物理實(shí)體（電子標(biāo)簽、閱讀器、后端數(shù)據(jù)庫）和2 種通信信道（無線通信信道、網(wǎng)絡(luò)通信信道）組成。不同于有線網(wǎng)絡(luò)中計(jì)算系統(tǒng)通常具備基于主機(jī)的集中式防御能力（防火墻），RFID 系統(tǒng)中閱讀器和標(biāo)簽都處于一個(gè)相對不夠穩(wěn)定且會(huì)被噪聲干擾的環(huán)境中運(yùn)行。攻擊者可從后端數(shù)據(jù)庫、網(wǎng)絡(luò)通信信道、閱讀器、前向通信信道、反向通信信道、標(biāo)簽等各方面對RFID系統(tǒng)進(jìn)行攻擊。目前在數(shù)據(jù)庫安全、網(wǎng)絡(luò)安全和計(jì)算機(jī)安全方面已經(jīng)具備較為成熟的安全防護(hù)手段。

如圖1 所示，將RFID 攻擊按照攻擊所屬范圍不同劃分成感知層、網(wǎng)絡(luò)傳輸層、應(yīng)用層和多層次攻擊［22］。

圖1 RFID攻擊的分類

一步構(gòu)建RFID攻擊模型會(huì)因規(guī)模龐大而難以實(shí)現(xiàn)，為此將描述RFID 攻擊系統(tǒng)的Petri 網(wǎng)進(jìn)行層次化擴(kuò)展，分別構(gòu)建頂層父Petri 網(wǎng)、中間層權(quán)限Petri 網(wǎng)和底層攻擊Petri 網(wǎng)。把表述RFID 系統(tǒng)攻擊的單一Petri 網(wǎng)拓展為多方面多層次Petri 網(wǎng)模型，從而縮減單一模型中的節(jié)點(diǎn)個(gè)數(shù)。將模型中的攻擊方式分為全局攻擊和原子攻擊，就整體而言分析不同攻擊間的聯(lián)系，建立攻擊間的連接，獲取總體攻擊路徑；就局部而言，分析每一個(gè)獨(dú)特節(jié)點(diǎn)的攻擊方式和危害系數(shù)。系統(tǒng)把控RFID攻擊間的緊密程度和不同攻擊所造成的危害程度，可以對RFID 系統(tǒng)中的脆弱性節(jié)點(diǎn)進(jìn)行分析掌控，并根據(jù)這些脆弱點(diǎn)信息求解攻擊路徑，為RFID 系統(tǒng)的安全性提供有力的保障。本文使用自頂層至權(quán)限層到攻擊層的建模思路，令頂層父Petri 網(wǎng)展現(xiàn)RFID 攻擊模型中各層次和系統(tǒng)安全之間的關(guān)系；中間層權(quán)限Petri 網(wǎng)展現(xiàn)RFID 系統(tǒng)中攻擊者在發(fā)起攻擊的過程中逐步利用當(dāng)前權(quán)限獲取更高級(jí)權(quán)限的提升關(guān)系；在攻擊Petri 網(wǎng)上，詳細(xì)描述攻擊者在利用權(quán)限層所獲取到的權(quán)限后所具體發(fā)起的攻擊形式。利用頂層網(wǎng)絡(luò)、權(quán)限網(wǎng)絡(luò)和攻擊子網(wǎng)，實(shí)現(xiàn)對RFID系統(tǒng)的全網(wǎng)攻擊描述。

2.4 攻擊權(quán)限

攻擊者發(fā)起攻擊時(shí)處于初始節(jié)點(diǎn)，在該節(jié)點(diǎn)上攻擊者只具有最低層次的系統(tǒng)權(quán)限。攻擊者發(fā)起攻擊并獲取到更高級(jí)別的權(quán)限，就把獲取后的權(quán)限當(dāng)作新的狀態(tài)點(diǎn)。

從攻擊者的角度出發(fā)建立攻擊者在不同層次上的權(quán)限模式。

分析現(xiàn)有的RFID攻擊形式，并將RFID系統(tǒng)脆弱性分析過程中所涉及的權(quán)限分為感知層權(quán)限、網(wǎng)絡(luò)傳輸層權(quán)限、應(yīng)用層權(quán)3類，如表1所示。

表1 RFID攻擊者權(quán)限

參考文獻(xiàn)［7-8］，并總結(jié)已有的RFID 攻擊方式，獲取不同攻擊的攻擊特征以及攻擊權(quán)限之間的聯(lián)系，根據(jù)RFID 攻擊者權(quán)限建立權(quán)限提升模式，如圖2 所示，同一個(gè)矩形中節(jié)點(diǎn)視為同一層次權(quán)限，沒有入度的節(jié)點(diǎn)視為初始節(jié)點(diǎn)。攻擊者最開始只具備初始節(jié)點(diǎn)的權(quán)限。然后攻擊者利用自己已有的權(quán)限對系統(tǒng)發(fā)起攻擊從而獲取更高級(jí)別的權(quán)限。該行為對應(yīng)到權(quán)限Petri上，即是權(quán)限提升變遷和權(quán)限庫所的生成。

圖2 RFID攻擊權(quán)限提升模式

2.5 目標(biāo)攻擊

目標(biāo)攻擊是攻擊者通過一系列攻擊所要達(dá)到的最終狀態(tài)。調(diào)研分析現(xiàn)階段主流的RFID系統(tǒng)攻擊方式，依據(jù)攻擊權(quán)限、區(qū)域等屬性的不同將其劃分為不同層次。根據(jù)圖1 對RFID 系統(tǒng)的攻擊按照攻擊目標(biāo)所處的不同層次可以分為3 個(gè)大類，即感知層、網(wǎng)絡(luò)傳輸層、應(yīng)用層，建立如表2～表5 所示的RFID 感知層、網(wǎng)絡(luò)傳輸層、應(yīng)用層和多層次原子攻擊規(guī)則庫。

表2 RFID感知層原子攻擊規(guī)則庫

表4 RFID應(yīng)用層原子攻擊規(guī)則庫

表5 RFID多層次原子攻擊規(guī)則庫

RFID 通信中的感知層由物理接口、使用的無線電信號(hào)和RFID 設(shè)備組成。在該層攻擊者利用了RFID 通信的無線特性、物理安全性差以及對物理操縱缺乏彈性對系統(tǒng)進(jìn)行攻擊，感知層攻擊并未獲取標(biāo)簽所包含的信息，卻對RFID 系統(tǒng)的日常運(yùn)行造成了危害。安全威脅主要包括永久禁用標(biāo)簽、暫時(shí)禁用標(biāo)簽和閱讀器的禁用等物理攻擊。

網(wǎng)絡(luò)傳輸層包括所有基于RFID系統(tǒng)通信方式和RFID 網(wǎng)絡(luò)實(shí)體（標(biāo)簽、讀卡器）之間數(shù)據(jù)傳輸方式的攻擊，該層攻擊主要是對信息在來回傳輸?shù)倪^程中造成破壞。安全威脅主要包括標(biāo)簽攻擊、讀卡器攻擊和中繼攻擊等對傳輸過程中信息的攻擊。

應(yīng)用層包括針對與應(yīng)用程序相關(guān)的信息以及用戶與RFID 標(biāo)簽之間綁定的所有攻擊。在該層，攻擊者利用未經(jīng)授權(quán)的標(biāo)簽讀取、修改標(biāo)簽數(shù)據(jù)以及應(yīng)用程序中間件來進(jìn)行攻擊。

然而，許多針對RFID 通信的攻擊并不局限于單一層。多層次攻擊包括影響RFID 感知層、網(wǎng)絡(luò)傳輸層、應(yīng)用程序?qū)拥亩嗑S攻擊。在該層包括隱蔽通道、拒絕服務(wù)、流量分析、加密、側(cè)通道攻擊和重放攻擊。

2.6 攻擊事件描述

攻擊事件的定義為：

Attack_event=（PN（Permission_name），PP（Pre_permission），NP（Next_permission），A（Attack））

在此定義下的符號(hào)含義為：

PN：針對RFID系統(tǒng)的攻擊權(quán)限名稱。

PP：獲取當(dāng)前權(quán)限的前提條件。

NP：基于當(dāng)前權(quán)限進(jìn)行攻擊可以獲取的下一個(gè)權(quán)限。

A：攻擊者基于當(dāng)前權(quán)限可以完成的原子攻擊。原子攻擊規(guī)則庫如表6所示。

表6 RFID原子攻擊規(guī)則庫

2.7 基于層次廣義隨機(jī)Petri網(wǎng)的RFID攻擊模型

RFID 攻擊Petri 網(wǎng)的構(gòu)造思想是自頂向下，逐步精細(xì)的過程。父Petri 網(wǎng)描述RFID 系統(tǒng)攻擊中層次之間的關(guān)系；權(quán)限Petri 網(wǎng)描述RFID 系統(tǒng)中的權(quán)限提升關(guān)系，把攻擊權(quán)限視為對象，那么權(quán)限Petri 網(wǎng)由攻擊權(quán)限和攻擊權(quán)限間的權(quán)限變遷生成；權(quán)限Petri 網(wǎng)上的對象可按攻擊權(quán)限規(guī)則庫擴(kuò)展為攻擊子網(wǎng)。對應(yīng)RFID 攻擊權(quán)限庫，可建立如圖2 所示的RFID 攻擊Petri網(wǎng)。

攻擊者從根節(jié)點(diǎn)出發(fā)，查詢已具備的起始權(quán)限，根據(jù)該權(quán)限查詢能發(fā)起的攻擊方式，生成狀態(tài)節(jié)點(diǎn)和攻擊節(jié)點(diǎn)，然后依次查詢每個(gè)攻擊對權(quán)限的提升關(guān)系，獲取進(jìn)一步的攻擊權(quán)限，重復(fù)上面的過程，直到?jīng)]有進(jìn)一步的權(quán)限可以獲取。

根據(jù)定義1～定義4，首先構(gòu)建頂層父Petri 網(wǎng)模型，如圖3 所示，攻擊者從感知層、網(wǎng)絡(luò)傳輸層、應(yīng)用層關(guān)鍵位置對RFID 系統(tǒng)進(jìn)行攻擊。其次，根據(jù)RFID攻擊者權(quán)限提升模式構(gòu)建權(quán)限子Petri網(wǎng)模型，如圖4所示，攻擊者在不同層次間可以獲取權(quán)限以此達(dá)到對RFID 系統(tǒng)進(jìn)一步攻擊的目的。最后，根據(jù)RFID 原子攻擊規(guī)則庫構(gòu)建基于權(quán)限的攻擊子Petri 網(wǎng)模型，每一個(gè)原子攻擊都是在攻擊者獲取了相應(yīng)的一個(gè)或多個(gè)攻擊權(quán)限的基礎(chǔ)上發(fā)起的。

圖3 頂層父Petri網(wǎng)模型FPN

圖4 權(quán)限子Petri網(wǎng)PASPN

基于層次廣義隨機(jī)Petri 網(wǎng)的RFID 攻擊模型通過建立RFID 不同層次段攻擊的Petri 網(wǎng)，拓展頂層Petri 網(wǎng)的內(nèi)容獲得基于RFID 攻擊權(quán)限的Petri 網(wǎng)，針對權(quán)限Petri 網(wǎng)建立攻擊子網(wǎng)并整合后，如圖5 所示，獲取較為綜合的RFID 安全分析模型。層次化Petri網(wǎng)模型有效地避免了Petri 網(wǎng)模型因整體節(jié)點(diǎn)過多而產(chǎn)生的組合爆炸問題。

圖5 基于權(quán)限的攻擊子網(wǎng)AASPN

在基于層次廣義隨機(jī)Petri 網(wǎng)的RFID 攻擊模型的構(gòu)建過程中，使用瞬時(shí)變遷來表示攻擊權(quán)限的獲取以及攻擊狀態(tài)的重置過程，使用延時(shí)變遷來表示攻擊者已經(jīng)獲取了部分攻擊權(quán)限，并根據(jù)權(quán)限發(fā)起相應(yīng)的攻擊，但如果攻擊者有機(jī)會(huì)獲取更高級(jí)別的權(quán)限，那么基于當(dāng)前權(quán)限的攻擊將不會(huì)被選擇，即該延時(shí)變遷不會(huì)觸發(fā)，進(jìn)而選擇更高級(jí)別的權(quán)限并在此基礎(chǔ)上選擇高級(jí)權(quán)限的攻擊。

攻擊者的攻擊具有遞進(jìn)性，攻擊者需要先獲取相應(yīng)的權(quán)限，基于權(quán)限來獲取更高級(jí)別的權(quán)限或者基于當(dāng)前權(quán)限發(fā)起對RFID系統(tǒng)的攻擊。攻擊者的攻擊具有并發(fā)性，攻擊者從初始節(jié)點(diǎn)開始，分別獲取感知層、網(wǎng)絡(luò)傳輸層和應(yīng)用層的相應(yīng)低級(jí)權(quán)限，攻擊者在每一層的攻擊都是時(shí)間上并行的。攻擊者的攻擊具有協(xié)作性，攻擊者基于所獲取的低級(jí)權(quán)限可以選擇進(jìn)行攻擊或者進(jìn)一步獲取高級(jí)權(quán)限，多種低級(jí)權(quán)限之間進(jìn)行相互協(xié)作，進(jìn)而獲取更為高級(jí)的權(quán)限，對系統(tǒng)發(fā)起更具威脅的攻擊。

在AASPN中，庫所描述如表7所示。

表7 AASPN中庫所說明

3 穩(wěn)態(tài)分析與仿真評估

研究Petri 網(wǎng)模型的性能一般包括可達(dá)樹［23］、可達(dá)標(biāo)識(shí)圖［24］、矩陣方程求解、分層或化簡等方法?？蛇_(dá)樹和可達(dá)標(biāo)識(shí)圖可簡潔直觀地分析系統(tǒng)的可達(dá)性、有界性、活性等各種動(dòng)態(tài)特性，并可以對Petri 網(wǎng)的大部分特性進(jìn)行驗(yàn)證。該方法通過分析層次廣義隨機(jī)Petri網(wǎng)模型的活性、有界性以及是否具有完全可達(dá)性來驗(yàn)證攻擊的正確性。

3.1 穩(wěn)態(tài)分析

根據(jù)文獻(xiàn)［25］，一個(gè)隨機(jī)Petri 網(wǎng)同構(gòu)于一個(gè)連續(xù)時(shí)間Markov 鏈，本文所建立的頂層父Petri網(wǎng)、權(quán)限子Petri 網(wǎng)、基于權(quán)限的攻擊子網(wǎng)也同構(gòu)于一個(gè)連續(xù)時(shí)間Markov鏈。與頂層父Petri網(wǎng)同構(gòu)的Markov鏈如圖6 所示。在圖中，S0、S2、S3、S4、S8、S9、S10、S14、S15 為消失狀態(tài)，因?yàn)樗P(guān)聯(lián)的庫所觸發(fā)瞬時(shí)變遷，不存在穩(wěn)態(tài)概率，其中S0 表示初始狀態(tài)；S1、S5、S6、S7、S11、S12、S13 為有形狀態(tài)，存在穩(wěn)態(tài)概率。根據(jù)同構(gòu)馬爾科夫鏈中有形狀態(tài)之間的轉(zhuǎn)換關(guān)系，可以得到頂層父Petri網(wǎng)穩(wěn)定狀態(tài)的可達(dá)標(biāo)識(shí)集，如表8所示。

表8 頂層父Petri網(wǎng)可達(dá)標(biāo)識(shí)集

圖6 頂層父Petri網(wǎng)可達(dá)標(biāo)識(shí)圖

對圖6進(jìn)行可達(dá)性、有界性及或許分析如下：

1）圖6 是一個(gè)全連通圖，該模型是完全可達(dá)的，該可達(dá)樹中的任一標(biāo)識(shí)都是從S0可達(dá)。

2）如表8 所示，每一個(gè)庫所的Token 數(shù)都未超過3，庫所的Token 數(shù)是動(dòng)態(tài)守恒的，不存在憑空產(chǎn)生的Token，也不存在憑空消失的Token，該模型是安全的，也是有界的。

3）圖6 中的每一個(gè)狀態(tài)節(jié)點(diǎn)，既有入度，也有出度，換言之，該模型不存在死鎖或結(jié)束狀態(tài)，該模型是活性的。

綜上所述，該評估模型是有效可行的。

對頂層父Petri 網(wǎng)、權(quán)限子Petri 網(wǎng)、基于權(quán)限的攻擊子網(wǎng)分別進(jìn)行可達(dá)圖構(gòu)建，結(jié)果如表9和圖7所示。

根據(jù)表9 和圖7 的結(jié)果可知，隨著由頂層父Petri網(wǎng)到權(quán)限子Petri 網(wǎng)再到基于權(quán)限的攻擊子網(wǎng)進(jìn)行層次擴(kuò)充的過程，模型的庫所數(shù)量呈較為穩(wěn)定的線性增長，狀態(tài)數(shù)量呈近似于3 的指數(shù)級(jí)增長，狀態(tài)間變遷數(shù)量呈近似于4 的指數(shù)級(jí)增長。通過逐層構(gòu)建RFID攻擊模型的過程，頂層父Petri 網(wǎng)模型的構(gòu)建很大程度上決定了權(quán)限子Petri 網(wǎng)和基于權(quán)限的攻擊子網(wǎng)的狀態(tài)數(shù)量，對頂層父Petri 網(wǎng)的精簡在一定程度上可以對狀態(tài)爆炸問題進(jìn)行適當(dāng)?shù)木徑狻?/p>

3.2 穩(wěn)態(tài)概率求解

隨著時(shí)間的推移，頂層父Petri 網(wǎng)馬爾科夫鏈的節(jié)點(diǎn)概率趨于穩(wěn)定，如圖8 所示，在初始時(shí)間點(diǎn)最上方的線條顯示了S1 狀態(tài)的概率變化趨勢，中間的線條顯示了狀態(tài)S5、S6、S7 的概率變化趨勢，最下方線條顯示了狀態(tài)S11、S12、S13的概率變化趨勢。

圖8 頂層父Petri網(wǎng)穩(wěn)態(tài)概率

其 中，“p1 p2 p3”表 示S1 狀 態(tài)，“p1 p3 p5”、“p1 p2 p5”、“p2 p3 p5”分別表示S5、S6、S7 狀態(tài)，“p1 p5 p5”、“p2 p5 p5”、“p3 p5 p5”分別表示S11、S12、S13狀態(tài)，其穩(wěn)態(tài)概率如表10所示。

表10 穩(wěn)態(tài)概率

權(quán)限子Petri網(wǎng)馬爾科夫鏈穩(wěn)態(tài)概率如圖9所示。

圖9 權(quán)限子Petri網(wǎng)穩(wěn)態(tài)概率

基于權(quán)限的攻擊子網(wǎng)馬爾科夫鏈穩(wěn)態(tài)概率如圖10 所示，其中由于狀態(tài)較多，篩選出初始概率大于0.1 或者穩(wěn)態(tài)概率大于0.15 的狀態(tài)。

圖10 基于權(quán)限的攻擊子網(wǎng)穩(wěn)態(tài)概率

根據(jù)圖10 結(jié)果可知，本文所構(gòu)建的頂層父Petri網(wǎng)、權(quán)限子Petri 網(wǎng)、基于權(quán)限的攻擊子網(wǎng)均可以在單位時(shí)間內(nèi)得到穩(wěn)態(tài)概率，其都相應(yīng)地同構(gòu)于一個(gè)馬爾可夫鏈，可以求得對應(yīng)的平穩(wěn)狀態(tài)概率。

3.3 模型的評估

引入3 個(gè)屬性來評估RFID 攻擊模型：攻擊成本c、技術(shù)難度d和發(fā)現(xiàn)幾率s。表11展示了相應(yīng)的等級(jí)標(biāo)準(zhǔn)［26］。根據(jù)以下規(guī)則為每一個(gè)變遷屬性賦值。

表11 等級(jí)標(biāo)準(zhǔn)

1）攻擊者可以對系統(tǒng)的任何節(jié)點(diǎn)發(fā)起攻擊，對攻擊者來說，在較高級(jí)別的節(jié)點(diǎn)上進(jìn)行攻擊比在較低級(jí)別的節(jié)點(diǎn)上進(jìn)行攻擊更為困難，而且攻擊的成本也會(huì)更高。

2）攻擊者應(yīng)該考慮變遷的前置狀態(tài)來發(fā)動(dòng)攻擊，所需狀態(tài)的數(shù)量和難度會(huì)給攻擊者后續(xù)的攻擊帶來更高的難度和成本。

使用多屬性效用理論將c、d、s屬性轉(zhuǎn)換成攻擊者的效用值P，計(jì)算公式如式（1）：

其中，u1（c）、u2（d）、u3（s）是變遷屬性的效用函數(shù)，它們的范圍在0～1之間。w1，w2，w3是變遷屬性的權(quán)重，其中w1+w2+w3=1。為了計(jì)算模型中每個(gè)轉(zhuǎn)換的總體效用，設(shè)置w1+w2+w3=1/3，效用函數(shù)u1（c）=u2（d）=u3（s）=u（cx）=c/x，其中c=0.2來確保效用值分布在0和1之間。

3.4 應(yīng)用實(shí)例和分析

下面以某圖書館RFID 門禁系統(tǒng)為目標(biāo)，應(yīng)用前文提到的模型和分析方法，在實(shí)驗(yàn)環(huán)境下進(jìn)行攻擊概率計(jì)算，RFID系統(tǒng)架構(gòu)如圖11所示。

圖11 RFID系統(tǒng)架構(gòu)

該門禁系統(tǒng)具體配置如下：

1）EPC 標(biāo)準(zhǔn)結(jié)構(gòu)采用96 位EPC 編碼，標(biāo)頭8 位，EPC管理者代碼28位，對象類別24位，系列號(hào)36位。

2）ISO15693標(biāo)準(zhǔn)，工作頻率為13.56 Mhz±7 KHz。

3）高頻閱讀器型號(hào)為C5000W-A/C5000W-I系列。

4）安全協(xié)議為隨機(jī)Hash Lock協(xié)議。

模型中部分過渡的發(fā)生概率如表12所示。

表12 變遷屬性值

在PIPE［27］中建立RFID 攻擊模型，如圖5 所示。接著，根據(jù)表9，為每個(gè)變遷分配權(quán)重。為部分變遷設(shè)置w=1。在這種情況下沒有時(shí)間轉(zhuǎn)換，可以獲得可達(dá)圖、穩(wěn)態(tài)分析和每個(gè)位置的平均令牌個(gè)數(shù)，此外，可達(dá)性圖顯示了該模型的無死鎖有界穩(wěn)態(tài)。

考慮到仿真時(shí)間和仿真結(jié)果的準(zhǔn)確性，所設(shè)計(jì)的RFID 攻擊GSPN 模型使用不同的初始隨機(jī)點(diǎn)火次數(shù)（100、300、500、700、1000 和1200）進(jìn)行了50 次模擬（一次點(diǎn)火過程表示模型中將有一個(gè)變遷滿足可實(shí)施條件，消耗輸入庫所的令牌，并為輸出庫所產(chǎn)生令牌），最終再求解每個(gè)攻擊的加權(quán)平均概率。

表13是仿真結(jié)果的一個(gè)示例。圖12是不同的攻擊概率在點(diǎn)火次數(shù)為100、300、500、700、1000和1200次時(shí)的仿真結(jié)果。其中，針對標(biāo)簽的攻擊，包括移除、破壞、KILL，仿真結(jié)果均為0，在結(jié)果圖中將不予顯示。根據(jù)實(shí)驗(yàn)結(jié)果，點(diǎn)火次數(shù)低于300 時(shí)的攻擊概率與高于300 時(shí)的攻擊概率有一定的出入。而普遍看來，欺騙攻擊和中間人攻擊這2 種攻擊的概率仍是最高的，均在4%～8%區(qū)間內(nèi)浮動(dòng)；DoS 攻擊的概率穩(wěn)定在4%～5%區(qū)間；而Reader 移除、銷毀、無源干擾、重放攻擊、加密攻擊的概率則以2%為中心，小幅度浮動(dòng)；有源干擾、流量分析、篡改攻擊、注入惡意代碼攻擊則低于1%的概率。

圖12 100、300、500、700、1000和1200次點(diǎn)火次數(shù)下的令牌分布圖

在第i次實(shí)驗(yàn)中，點(diǎn)火次數(shù)為fi，攻擊令牌x平均數(shù)量為ti（x），那么的加權(quán)概率如式（2）：

加權(quán)概率如圖13所示。

圖13 加權(quán)攻擊概率

根據(jù)仿真結(jié)果，對系統(tǒng)威脅最大的2 項(xiàng)攻擊為欺騙攻擊和中間人攻擊。根據(jù)圖12，當(dāng)仿真點(diǎn)火次數(shù)較少（100 次）時(shí)，加密攻擊和流量分析的概率明顯高于后續(xù)仿真點(diǎn)火次數(shù)較多的概率，說明點(diǎn)火次數(shù)較少的結(jié)果具有偶然性。使用加權(quán)概率進(jìn)行計(jì)算后，加密攻擊和流量分析的概率得到了明顯的修正，符合實(shí)驗(yàn)預(yù)期。

對文獻(xiàn)［12］中的基于廣義隨機(jī)著色Petri 網(wǎng)的網(wǎng)絡(luò)攻擊組合模型（GSCPN）進(jìn)行分析，結(jié)果如圖14 和表14所示。

表14 實(shí)驗(yàn)結(jié)果表

圖14 GSCPN模型穩(wěn)態(tài)概率

根據(jù)表14可知，本文所建立的模型雖然在庫所數(shù)量、狀態(tài)數(shù)量和狀態(tài)間變遷數(shù)量上明顯高于GSCPN模型，并且在穩(wěn)態(tài)概率求解上所花費(fèi)的時(shí)間明顯優(yōu)于GSCPN模型，其效率高于GSCPN模型一個(gè)數(shù)量級(jí)。根據(jù)圖14可知，GSCPN 模型在進(jìn)行穩(wěn)態(tài)概率求解時(shí)，不同狀態(tài)的概率隨時(shí)間呈上下波動(dòng)形變化，很大一部分時(shí)間耗費(fèi)在了對概率值進(jìn)行收斂的過程。實(shí)驗(yàn)結(jié)果表明，本文所建立的模型中不同狀態(tài)的概率值可以在短時(shí)間內(nèi)迅速達(dá)到收斂，時(shí)間效率上優(yōu)于GSCPN模型。

4 結(jié)束語

本文針對RFID 系統(tǒng)安全分析工作的需求，以攻擊者的視角分析并建立RFID攻擊模型。首先給出了隨機(jī)Petri 網(wǎng)的RFID 系統(tǒng)安全性分析模型的定義，主要包括3 個(gè)不同的層次：頂層父Petri 網(wǎng)、權(quán)限子網(wǎng)和基于權(quán)限的攻擊子網(wǎng)。然后研究分析了RFID不同的攻擊方式之間的關(guān)聯(lián)關(guān)系，根據(jù)這些關(guān)系提出了RFID 攻擊權(quán)限提升模式?；陔S機(jī)Petri 網(wǎng)的RFID系統(tǒng)安全性分析模型可以對RFID攻擊在邏輯層面的關(guān)聯(lián)性、協(xié)作性和在事件層面的并發(fā)性進(jìn)行很好表述。最后對模型的性能進(jìn)行了分析，通過多屬性效用理論分析RFID 攻擊中的風(fēng)險(xiǎn)分?jǐn)?shù)，將其轉(zhuǎn)換成概率設(shè)置為變遷參數(shù)，從建模分析的效果來看，本文所建立的模型中穩(wěn)態(tài)求解時(shí)間效率優(yōu)于一般的Petri 網(wǎng)模型一個(gè)數(shù)量級(jí)，本文提出的安全評估模型是有效可行的。下一步工作就是對本文所建立的模型參數(shù)進(jìn)行優(yōu)化，使其更具有準(zhǔn)確性和通用性。