馬薈平,李 鵬,2,肖 航,朱 楓,2

(1.南京郵電大學 計算機學院,江蘇 南京 210023;2.江蘇省無線傳感網(wǎng)絡(luò)高技術(shù)研究重點實驗室,江蘇 南京 210023)

0 引 言

隨著信息化的發(fā)展,基于RFID的信息系統(tǒng)大量出現(xiàn),RFID技術(shù)開始應(yīng)用在社會的各行各業(yè)中。然而使用RFID技術(shù)給人們的生活帶來便利的同時,RFID系統(tǒng)內(nèi)存在的諸多安全問題和安全隱患也日益突出。如何解決RFID系統(tǒng)的安全隱患[1],已經(jīng)成為目前研究的熱點。

目前大多數(shù)有關(guān)RFID安全的研究均圍繞著安全認證協(xié)議這一領(lǐng)域進行[2],但是由于RFID標簽本身計算能力的限制,大多安全認證協(xié)議不能實現(xiàn)大規(guī)模應(yīng)用。不斷改進RFID的認證協(xié)議是從防守的角度解決問題。除此之外,還可以嘗試從攻擊者的角度解決問題[3]:基于攻擊模型對RFID系統(tǒng)進行安全性評估,通過主動地在威脅攻擊發(fā)生之前評估網(wǎng)絡(luò)或RFID信息系統(tǒng)中存在的安全隱患[4],提高RFID系統(tǒng)的安全性。例如,李景等[5]在文章中從標簽端、閱讀器、中間件以及后臺服務(wù)器四個方面歸納了RFID的潛在安全問題,提出一種基于攻擊樹的RFID系統(tǒng)安全策略。楊曉明等[6]針對不同RFID通信協(xié)議進行安全檢測,基于多決策樹構(gòu)建了RFID系統(tǒng)漏洞攻擊模型,依據(jù)發(fā)掘出的漏洞信息提出了多種RFID漏洞檢測算法。

同時,該文嘗試結(jié)合傳統(tǒng)計算機網(wǎng)絡(luò)中的安全評估方法,通過主動地在威脅攻擊發(fā)生之前評估RFID信息系統(tǒng)中存在的安全風險和安全隱患攻擊,建立面向RFID的安全評估模型[7-9]。在傳統(tǒng)網(wǎng)絡(luò)中基于攻擊圖模型的安全評估方法較為成熟,攻擊圖是一種由節(jié)點和有向邊組成的有向圖,可以從攻擊者的角度直觀地、圖形化地展示攻擊行為[10-13]。楊英杰等[14]基于屬性攻擊圖理論構(gòu)建了一種針對傳統(tǒng)計算機網(wǎng)絡(luò)的動態(tài)威脅風險分析模型,根據(jù)網(wǎng)絡(luò)中的漏洞信息和協(xié)議信息提出了動態(tài)威脅屬性攻擊圖生成算法,在復(fù)雜網(wǎng)絡(luò)中具有更好的適應(yīng)性。Wu Hua等[15]通過分析攻擊者的攻擊能力、網(wǎng)絡(luò)資源和脆弱性因素的相關(guān)性建立了貝葉斯攻擊圖,實現(xiàn)了對網(wǎng)絡(luò)攻擊有效性的評估和對后續(xù)攻擊路徑的推測。周余陽等[16]基于貝葉斯攻擊圖建立了一種動態(tài)網(wǎng)絡(luò)入侵意圖分析模型,用來應(yīng)對安全要素不斷變化的復(fù)雜網(wǎng)絡(luò),提高了風險評估的準確性。顧士星等[17]基于生成的貝葉斯攻擊圖模型,提出使用團樹的方式對貝葉斯網(wǎng)絡(luò)進行推理,降低了計算復(fù)雜度。

基于上述研究可以看出,目前針對RFID系統(tǒng)構(gòu)建的攻擊模型比較缺乏相應(yīng)的定量分析,也就是說不能較為明確和直觀地觀察系統(tǒng)脆弱性分析結(jié)果。同時部分研究中沒有體現(xiàn)出RFID系統(tǒng)中多種原子漏洞之間的因果聯(lián)系,忽視了漏洞攻擊事件對RFID系統(tǒng)安全狀態(tài)的動態(tài)影響。由于貝葉斯網(wǎng)絡(luò)結(jié)合了圖形結(jié)構(gòu)以及條件概率集合,因此使用該方法不僅能夠很好地描述RFID漏洞之間的依賴關(guān)系,同時也可以進行后續(xù)的概率量化評估。因此,該文提出了一種基于貝葉斯攻擊圖的RFID系統(tǒng)脆弱性評估模型,主要工作如下:

(1)基于RFID系統(tǒng)中存在的漏洞和脆弱因素構(gòu)建RFID原子攻擊庫,確定原子攻擊庫中各脆弱性漏洞的依賴關(guān)系,建立基于貝葉斯攻擊圖的RFID系統(tǒng)攻擊模型。

(2)基于CVSS評分系統(tǒng)提出了針對RFID系統(tǒng)的量化評估模型,對RFID原子攻擊概率進行估算,然后結(jié)合RFID系統(tǒng)攻擊模型計算屬性節(jié)點的可達概率,對RFID系統(tǒng)的風險狀況進行評估。

1 相關(guān)技術(shù)

1.1 貝葉斯攻擊圖

貝葉斯攻擊圖(Bayesian Attack Graph,BAG)是由節(jié)點和有向邊構(gòu)成的一個有向無環(huán)圖,可將貝葉斯攻擊圖表示為:BAG=(S,A,E,P)。其中S表示屬性節(jié)點集合,A表示原子攻擊集合,E表示攻擊圖的有向邊集合,P代表攻擊圖中各屬性節(jié)點的概率集合,具體定義如下:

(1)A={Ai|i=1,2,…,n}且A∈S×S,其中Ai代表攻擊者利用系統(tǒng)漏洞進行的一次攻擊,由此導(dǎo)致了屬性節(jié)點的轉(zhuǎn)換和遷移,因此有?a∈A,a=Spre(a)→Spost(a),其中Spre(a)代表原子攻擊a的起始節(jié)點,Spost(a)代表原子攻擊a的終止節(jié)點。

(2)S=Sstart∪Smid∪Sfinal,其中,Sstart代表攻擊者的初始狀態(tài)節(jié)點或是攻擊的起始節(jié)點,Smid代表攻擊者的中間狀態(tài)節(jié)點或是攻擊的中間過程節(jié)點,Sfinal代表攻擊者的目標狀態(tài)節(jié)點或是攻擊的終止節(jié)點。對于任意的屬性節(jié)點Si均包含Si=1或Si=0兩種狀態(tài),Si=1代表攻擊者已經(jīng)成功實施相應(yīng)的原子攻擊占用了當前屬性節(jié)點,Si=0代表該節(jié)點還未被攻擊者成功利用。

(3)E={Ei|i=1,2,…,n}為攻擊圖的有向邊集合,?Si∈Smid∪Sfinal,有Sk∈S滿足(Sk,Si)∈E,表示存在一條以Sk為起點,以Si為終點的有向邊。

(4)P代表攻擊圖中各屬性節(jié)點的可達概率集合,?Si∈S,P(Si)代表狀態(tài)節(jié)點Si=1時的可達概率。

1.2 貝葉斯攻擊圖結(jié)構(gòu)

貝葉斯攻擊圖的結(jié)構(gòu)類似于攻擊圖的結(jié)構(gòu),攻擊圖一般可以分為狀態(tài)攻擊圖和屬性攻擊圖。為避免了狀態(tài)攻擊圖狀態(tài)爆炸的問題,該文借鑒了屬性攻擊圖的結(jié)構(gòu)構(gòu)建貝葉斯攻擊圖。

屬性攻擊圖中通常包含兩種節(jié)點:第一種節(jié)點為屬性節(jié)點,代表系統(tǒng)中的具體資源屬性,在攻擊圖中表示為方形節(jié)點;第二種為攻擊節(jié)點,代表攻擊者的具體原子攻擊,在攻擊圖中用圓形節(jié)點。

1.3 RFID原子攻擊

為構(gòu)建針對RFID系統(tǒng)的貝葉斯攻擊圖,首先需調(diào)研現(xiàn)有的各種不同類型的RFID攻擊,構(gòu)建RFID系統(tǒng)的原子攻擊庫。該文總結(jié)各種RFID原子攻擊,包括竊聽、重放、鑒別數(shù)據(jù)包、克隆復(fù)制卡片、假冒攻擊、信息篡改、邊信道攻擊[18]。

在確定RFID系統(tǒng)中存在的各種攻擊手段后,可將單一的原子攻擊事件a∈A定義如下:

a=(Att_name,Att_pre,Att_next,Att_ability)

其中,Att_name代表該原子攻擊的名稱,Att_pre代表為實現(xiàn)該攻擊所需的前提條件或前序原子攻擊,Att_next代表只有在實現(xiàn)當前攻擊后才能進行的下一步攻擊,Att_ability代表攻擊者在成功實施該原子攻擊后所能達到的結(jié)果,可以視作該攻擊的結(jié)果屬性,即攻擊者在實現(xiàn)該原子攻擊后所獲得的新的攻擊能力。

基于RFID系統(tǒng)內(nèi)存在的各種攻擊手段和相關(guān)攻擊規(guī)則可構(gòu)建針對RFID系統(tǒng)的原子攻擊庫,根據(jù)攻擊庫中各攻擊之間的先后關(guān)系可以確定貝葉斯攻擊圖中原子攻擊節(jié)點和屬性節(jié)點之間的關(guān)系,從而確定貝葉斯攻擊圖的網(wǎng)絡(luò)結(jié)構(gòu)。

2 RFID安全評估模型

2.1 貝葉斯攻擊圖生成

假定攻擊者是聰明并且貪心的,因此攻擊者必然會利用目標RFID系統(tǒng)中存在的漏洞發(fā)起攻擊,且在攻擊成功后必然會獲得一定的系統(tǒng)資源有助于發(fā)起下一次的攻擊。

將起始點設(shè)置為攻擊者的初始狀態(tài),攻擊者在此狀態(tài)時所具有的攻擊能力是最低級的攻擊能力。每當攻擊者成功實施上述攻擊并獲得一定的計算資源提升其攻擊能力后,就把這個提升后的狀態(tài)看作新的狀態(tài)點?；谶@種攻擊者實施各種攻擊并且提升其攻擊能力直至達到目標的思想可以構(gòu)建出RFID系統(tǒng)的貝葉斯攻擊圖模型,攻擊者的狀態(tài)和攻擊行為構(gòu)成了貝葉斯攻擊圖模型中的節(jié)點,攻擊者每實施一次實例攻擊行為都導(dǎo)致了攻擊者狀態(tài)的變遷,對應(yīng)了貝葉斯攻擊圖模型中的邊關(guān)系。

貝葉斯攻擊圖的構(gòu)建流程如下:

(1)依據(jù)RFID攻擊庫中的信息,獲取目標RFID系統(tǒng)中的漏洞信息,初始攻擊者信息,將攻擊者可能的各種實例攻擊行為加入到攻擊隊列中;

(2)判斷攻擊隊列是否為空,若不空,則進行下一步;若為空,生成最終的貝葉斯攻擊圖,轉(zhuǎn)第6步;

(3)掃描攻擊隊列,查看攻擊隊列中各個實例攻擊行為的前置條件或是發(fā)起該攻擊行為所需的計算資源;

(4)查看是否存在攻擊前提已經(jīng)被滿足的實例攻擊行為,若存在,則進行下一步;若不存在則重新讀取RFID攻擊庫,更新攻擊隊列,轉(zhuǎn)第2步;

(5)攻擊者發(fā)起滿足條件的實例攻擊行為,將該實例攻擊行為作為新的原子攻擊節(jié)點,將相應(yīng)獲得的計算資源作為節(jié)點,將該攻擊事件作為邊更新;

(6)得出最終的貝葉斯攻擊圖。

2.2 RFID漏洞量化

2.2.1 原子攻擊節(jié)點概率

為利用貝葉斯攻擊圖實現(xiàn)對RFID系統(tǒng)的脆弱性評估,在構(gòu)建出針對RFID系統(tǒng)的貝葉斯攻擊圖的基礎(chǔ)上,需對貝葉斯攻擊圖中的各個原子攻擊進行分級評估并量化。在傳統(tǒng)網(wǎng)絡(luò)中,一般采用美國國家通用漏洞數(shù)據(jù)庫(National Vulnerability Database,NVD)提供的通用漏洞評分系統(tǒng)(Common Vulnerability Scoring System,CVSS)進行量化。CVSS能提供完整的評分參數(shù)和開放的評分框架,量化漏洞被利用的難易程度。該文借鑒CVSS評分系統(tǒng)的量化標準,在參考文獻[19]的基礎(chǔ)上結(jié)合RFID漏洞利用所需權(quán)限的思想,從利用難易度和影響程度對RFID系統(tǒng)中的漏洞進行量化。利用難易度可分為訪問途徑(AV)、訪問復(fù)雜度(AC)、權(quán)限(PR),影響度包括機密性(CI)、完整性(IN)和可用性(AI),如表1所示。

表1 指標描述

基于上述指標和評分計算漏洞價值的計算式如下所示:

BaseScore=min(Exp+Impact,10)

(1)

Impact=6.4×(1-(1-CI)×(1-IN)×(1-AI))

(2)

Exp=8.22×AC×AV×PR

(3)

漏洞價值表示攻擊者利用某一漏洞的可能性大小,即上述的BaseScore值,基于該值可計算出攻擊者利用某一屬性節(jié)點對其后續(xù)節(jié)點成功攻擊的概率,即某一原子攻擊節(jié)點的概率。由于按照上述評分系統(tǒng)計算出的值范圍是[0,10],為了后續(xù)的概率計算,需進行一定的縮放,因此原子攻擊節(jié)點ai∈A的概率計算式為:

(4)

2.2.2 屬性節(jié)點可達概率

貝葉斯攻擊圖一般都描述了攻擊者通過多步攻擊最終實現(xiàn)目標的攻擊行為,所以需要依據(jù)父節(jié)點與子節(jié)點之間的關(guān)系,計算某屬性節(jié)點在其父節(jié)點影響下被攻擊者成功利用的概率,即其對應(yīng)的條件概率,表示為P(Sj|Par(Sj))。由于子節(jié)點Sj與父節(jié)點Par(Sj)之間存在兩種關(guān)系:“或”關(guān)系和“與”關(guān)系,故分兩種情況討論。

(1)若為“或”關(guān)系,則有:

P(Sj|Par[Sj])=

(5)

(2)若為“與”關(guān)系,則有:

P(Sj|Par[Sj])=

(6)

依據(jù)父節(jié)點與子節(jié)點之間的關(guān)系,計算某屬性節(jié)點對應(yīng)的條件概率之后,就可得出該屬性節(jié)點的靜態(tài)可達概率,從該概率中可觀察到對應(yīng)RFID系統(tǒng)的靜態(tài)風險情況,具體計算式如下:

(7)

假設(shè)攻擊者已經(jīng)成功實現(xiàn)了某一原子攻擊,即對應(yīng)的屬性節(jié)點Sj=1,則利用后驗概率公式將屬性節(jié)點Si的動態(tài)到達概率表示為P(Si|Sj),計算式如下:

(8)

2.3 基于貝葉斯攻擊圖的RFID系統(tǒng)風險評估

基于2.2節(jié)計算出的RFID原子攻擊節(jié)點量化概率和屬性節(jié)點的可達概率,在無額外推理條件的情況下可進行靜態(tài)的RFID風險狀況評估,主要過程如下:

(1)基于表1量化原子攻擊漏洞。

(2)基于式5和式6結(jié)合攻擊模型計算條件概率表,然后依據(jù)式7更新圖中各屬性節(jié)點的可達概率。

(3)得出目標節(jié)點的可達概率,評估靜態(tài)狀況下的系統(tǒng)風險狀況。

但是RFID系統(tǒng)的風險狀態(tài)不會一直保持靜態(tài),當系統(tǒng)中的任何漏洞被攻擊者成功利用后都會影響到模型中各屬性節(jié)點的靜態(tài)可達概率,因此當管理員觀察到攻擊者的攻擊結(jié)果后需依據(jù)式8及時更新系統(tǒng)風險狀況。

3 模型驗證

3.1 實驗設(shè)置

為了建立基于貝葉斯攻擊圖的RFID風險評估模型,該文針對如圖1所示的某倉儲RFID信息管理系統(tǒng)進行分析。

圖1 實驗RFID系統(tǒng)結(jié)構(gòu)

3.2 貝葉斯攻擊圖生成

圖2為針對目標RFID系統(tǒng)安全評估建立的貝葉斯攻擊圖。

圖2 RFID貝葉斯攻擊模型

(1)攻擊者可以通過未經(jīng)授權(quán)的RFID閱讀器強行讀取標簽,造成標簽ID信息泄露,并復(fù)制克隆標簽隱私信息獲取目標系統(tǒng)的訪問權(quán)限發(fā)起假冒攻擊,篡改系統(tǒng)隱私數(shù)據(jù)。攻擊者同樣可以通過監(jiān)聽信道竊取到標簽的隱私信息,依據(jù)上述攻擊過程發(fā)起攻擊。

(2)若攻擊者可以監(jiān)聽信道,則可以通過竊聽標簽讀寫器發(fā)送的命令,獲取到RFID讀寫器發(fā)送的各種命令包,然后可以按照標準協(xié)議命令包頭定義的格式用來辨別命令包的類型,實現(xiàn)對敏感數(shù)據(jù)包的竊取或是發(fā)起重放攻擊。

(3)攻擊者可以發(fā)起DOS攻擊,通過一些射頻信號裝置短時間內(nèi)向閱讀器端發(fā)送大量非法標簽信息,導(dǎo)致RFID系統(tǒng)被大量信息淹沒,系統(tǒng)中的閱讀器無法與合法標簽進行正常讀寫操作,阻塞通信信道,破壞RFID系統(tǒng)的可用性。

3.3 風險計算

依據(jù)2.2節(jié)所述的評分標準,首先對上述RFID貝葉斯攻擊模型中的原子攻擊節(jié)點進行概率量化。

依據(jù)表2所述的對各種原子攻擊的分級標準可計算出各個原子攻擊的概率,如圖3所示。

圖3 原子攻擊概率

表2 RFID原子攻擊分級

根據(jù)表2所給定各攻擊節(jié)點的成功利用概率可以對屬性節(jié)點進行概率量化,首先計算攻擊者到某一屬性節(jié)點的靜態(tài)可達概率表,其中將外部屬性節(jié)點S1,S2,S3的靜態(tài)概率初始化為0.8。

基于圖2所示的圖形結(jié)構(gòu)和上述的可達概率計算過程,使用Netica工具集可構(gòu)建出如圖4所示的貝葉斯模型。

圖4 針對RFID系統(tǒng)的靜態(tài)貝葉斯評估模型

圖4可以直觀展示出在無額外推理條件的情況下,攻擊者可成功占用各個屬性節(jié)點的成功概率,即該系統(tǒng)的靜態(tài)風險狀況。其中目標節(jié)點為S10,S11,S12,攻擊者可以成功占領(lǐng)各目標節(jié)點的概率分別為18.2%,13.9%,74.3%,可以看出攻擊者到達S12節(jié)點的概率最高,即攻擊者更易實現(xiàn)的攻擊結(jié)果為通過DOS攻擊或者重放攻擊阻塞RFID系統(tǒng)的通信信道。

RFID系統(tǒng)的風險狀態(tài)不會一直保持靜態(tài),需要考慮到攻擊者的不同攻擊行為對RFID系統(tǒng)安全狀況造成的動態(tài)影響。在圖4所示推理模型的基礎(chǔ)上,若是系統(tǒng)管理員確認了攻擊者的攻擊目標或者觀測到系統(tǒng)中已經(jīng)發(fā)生的攻擊行為,可按照式8所述的后驗概率計算公式對部分屬性節(jié)點概率進行更新。結(jié)果如圖5所示。

圖5 基于攻擊者目標節(jié)點的動態(tài)概率評估

也可結(jié)合系統(tǒng)的實時安全事件對模型及節(jié)點可達概率進行動態(tài)更新,可以更好地反映RFID系統(tǒng)的風險狀況。例如若是管理員觀測到圖2中的攻擊事件A3,則將節(jié)點S5的概率置為1,同時更新其余節(jié)點的可達概率,結(jié)果如圖6所示。

圖6 基于系統(tǒng)安全事件的動態(tài)概率評估

在圖5所示的情況下,在已知攻擊者目標節(jié)點為S12時,可以看出屬性節(jié)點S3,S6,S9的攻擊者可達概率有明顯提升。在圖6所示的情況下,攻擊者已經(jīng)成功實施原子攻擊A3后,目標節(jié)點S11和S12的安全風險顯著增加,通過這種動態(tài)更新系統(tǒng)可達概率的方式,也可以為預(yù)測攻擊者的下一步攻擊或是攻擊目標提供依據(jù)。

3.4 方法對比

在基于貝葉斯攻擊圖的脆弱性評估方式中,模型中各屬性節(jié)點的可達概率是反映RFID系統(tǒng)風險的主要指標。為了驗證所提的RFID-BAG-ATT模型,在同樣的系統(tǒng)實驗環(huán)境下,給出了與文獻[20]所提出的DRABAG模型的實驗數(shù)據(jù)對比,如圖7所示。圖7給出了在圖1所示的RFID系統(tǒng)環(huán)境下,RFID-BAG-ATT模型和DRABAG模型對于貝葉斯攻擊圖中原子攻擊節(jié)點的量化結(jié)果。

圖7 原子攻擊概率量化對比

基于參考文獻所提出的DRABAG模型以及上述量化概率可以構(gòu)建出圖8所示的量化結(jié)果圖。

圖8 原子攻擊概率量化對比

對比圖4和圖8,觀察圖中所示的屬性節(jié)點可達概率,可以看出RFID-BAG-ATT模型優(yōu)于DRABAG模型,這是因為該模型在多個方面對原子攻擊概率進行量化,評估更加準確。

4 結(jié)束語

針對目前RFID系統(tǒng)面臨的諸多安全問題和安全隱患,嘗試從攻擊者的角度建立起針對RFID系統(tǒng)的貝葉斯攻擊圖模型。首先,歸納總結(jié)了RFID系統(tǒng)內(nèi)常見的各種攻擊手段,建立RFID攻擊庫。然后,重點介紹了RFID貝葉斯攻擊圖模型的建立,在得出攻擊圖模型的基礎(chǔ)上提出了針對RFID攻擊的分級量化標準,得到原子攻擊概率。通過原子攻擊概率計算出貝葉斯攻擊圖中屬性節(jié)點的靜態(tài)可達概率和動態(tài)可達概率,從而衡量出RFID系統(tǒng)的風險狀況。

在實際的RFID系統(tǒng)中,系統(tǒng)管理者也可能會根據(jù)攻擊者的攻擊進度選擇相應(yīng)的防御策略,所以如何優(yōu)化RFID系統(tǒng)風險評估模型使其可以在復(fù)雜的情況下準確地評估出系統(tǒng)的風險狀況將成為下一步的研究重點。