RFID系統安全分析

　　無(wú)線(xiàn)射頻識別（RFID）技術(shù)與條形碼技術(shù)等識別技術(shù)相比，具有防水防磁、讀取距離遠、存儲數據多、數據可加密等優(yōu)點(diǎn)，目前己被廣泛應用于交通、物流、醫療、食品安全等領(lǐng)域。但作為物聯(lián)網(wǎng)重要的感知設備因其缺乏有效的安全機制，影響到物聯(lián)網(wǎng)的應用與推廣。從物理安全、通信安全和信息安全三個(gè)角度分析 RFID系統安全問(wèn)題及其解決方法。

　　0 引言

　　目前，物聯(lián)網(wǎng)逐步被人們廣泛地應用，它可以將人們和身邊無(wú)數物品聯(lián)系起來(lái)，使物品成為網(wǎng)絡(luò )中用戶(hù)的一分子，并給人們帶來(lái)諸多便利。但是，在享受物聯(lián)網(wǎng)帶給人類(lèi)便利的同時(shí)，物聯(lián)網(wǎng)在信息安全方面也亟待解決，因為實(shí)現信息安全和網(wǎng)絡(luò )安全是物聯(lián)網(wǎng)大規模應用的必要條件，也是物聯(lián)網(wǎng)應用系統成熟的重要標志［1］。

　　作為物聯(lián)網(wǎng)感知層重要設備之一的RFID技術(shù)因其具有防水防磁、讀取距離遠、讀取速度快、存儲容量大且數據可加密、搞污染能力和耐久性、可重復使用等優(yōu)點(diǎn)，已被廣泛應用于交通、物流、醫療、食品安全、零售、制造、海關(guān)、安檢、機場(chǎng)等應用領(lǐng)域，可見(jiàn)，RFID系統安全直接關(guān)系到物聯(lián)網(wǎng)安全和應用的推廣。另外標簽信息泄露，如護照、身份證、處方等都會(huì )侵犯個(gè)人隱私，因此，RFID系統的安全一直是研究的熱點(diǎn)問(wèn)題。

　　最基本的RFID 系統主要由下面三部分組成：

　?。?）標簽：又稱(chēng)電子標簽、智能卡、識別卡或標識卡，由嵌入式微處理器及其軟件、卡內發(fā)射與接收天線(xiàn)、收發(fā)電路組成。標簽為信息載體，含有內置天線(xiàn)，用于和射頻天線(xiàn)間進(jìn)行通信。

　?。?）閱讀器：讀?。瘜?xiě)入標簽信息的設備。

　?。?）后臺數據庫：用于存儲標簽標識所對應的相關(guān)數據

　　一般情況下，閱讀器和后臺數據庫之間的通信可以認為是安全可靠的。關(guān)鍵是標簽、讀寫(xiě)器安全，因此，我們把RFID系統安全問(wèn)題主要分為：物理安全、通信安全、信息安全三個(gè)方面。

　　1 RFID物理安全

　　RFID讀寫(xiě)器偽造是RFID系統面臨的一大威脅。RFID讀寫(xiě)器與主機之間的通信可以采用傳統的攻擊方法截獲， RFID讀寫(xiě)器自然也是攻擊者要攻擊的對象。

　　電子標簽偽造是RFID系統面臨的另一大威脅。如果不法分子能夠輕易地偽造電子標簽就意味著(zhù)能夠篡改商品或人員的身份，輕而易舉地破壞RFID系統的信用。比如在RFID的商品防偽應用領(lǐng)域，能夠非法偽造RFID意味著(zhù)防偽系統的失敗，目前防止偽造的主要對策是通過(guò)ID加密、特殊加工等方法提高偽造的成本。另外，為防止RFID的重復利用，采用特殊工藝把RFID牢固地固定在物品的開(kāi)啟之處，一旦物品開(kāi)啟標簽就損壞，不能再利用。比如酒的防偽應用中，RFID內嵌在木塞里，只要開(kāi)啟木塞，里面的RFID就遭破壞，無(wú)法再利用。

　　RFID碰撞影響RFID系統正常運行。隨著(zhù)RFID技術(shù)的應用越來(lái)越廣泛，多個(gè)標簽進(jìn)入識別區域和信號互相干擾在很多情況是不可避免，RFID沖突問(wèn)題也越發(fā)突出。RFID系統沖突主要有標簽沖突和讀寫(xiě)器沖突。

　?。?）標簽沖突。在RFID系統中，當多個(gè)標簽進(jìn)入到一個(gè)讀寫(xiě)器的讀寫(xiě)區域時(shí)就會(huì )產(chǎn)生沖突，沖突會(huì )導致誤讀、漏讀。如圖1所示，沖突還會(huì )導致讀寫(xiě)器讀取數據效率大大的降低，最后導致一些標簽在讀寫(xiě)器區域無(wú)法被識別。

　?。?）讀寫(xiě)器與讀寫(xiě)器間沖突。當兩個(gè)或多個(gè)讀寫(xiě)器距離很近時(shí)，一個(gè)讀寫(xiě)器會(huì )受到另外一個(gè)讀寫(xiě)器的信號干擾。當其中一個(gè)讀寫(xiě)器被其他讀寫(xiě)器干擾時(shí)，讀寫(xiě)器讀取數據的效率會(huì )降低，或者出現誤讀，如圖2所示。

　?。?）讀寫(xiě)器與標簽沖突。在讀寫(xiě)器網(wǎng)絡(luò )中，當一個(gè)或多個(gè)標簽同時(shí)處于兩個(gè)或多個(gè)讀寫(xiě)器的讀取范圍內的話(huà)，也會(huì )出現讀寫(xiě)器沖突的情況。如圖3所示有一個(gè)標簽在讀寫(xiě)器1與讀寫(xiě)器2都可以讀取的區域內，該標簽會(huì )被讀寫(xiě)器1和讀寫(xiě)器2重復讀取，或者標簽無(wú)法決定發(fā)送信號給哪個(gè)讀寫(xiě)器，從而導致讀寫(xiě)器效率的降低，讀取數據混亂。

　　目前，多讀寫(xiě)器對標簽的干擾問(wèn)題主要由標簽自身的抗干擾能力來(lái)解決。對讀寫(xiě)器碰撞問(wèn)題，人們首先考慮在工程安裝時(shí)按讀寫(xiě)器可識讀范圍不重疊的原則來(lái)安裝，但因RFID讀寫(xiě)器具有很高的靈敏度，它甚至可以接受空間里的1個(gè)納瓦的能量，因此讀寫(xiě)范圍不重疊的相距較遠的讀寫(xiě)器之間也會(huì )發(fā)生讀寫(xiě)器碰撞的問(wèn)題。目前，針對多讀寫(xiě)器碰撞問(wèn)題的解決方法有時(shí)隙分配、信道分配、載波偵聽(tīng)、功率控制等方法。

　　2 RFID通信安全

　　RFID使用的是無(wú)線(xiàn)通信信道，這就給非法用戶(hù)的攻擊帶來(lái)了方便。攻擊者可以非法截取通信數據；可以通過(guò)發(fā)射干擾信號來(lái)堵塞通信鏈路，使得讀寫(xiě)器過(guò)載，無(wú)法接收正常的標簽數據，制造DoS攻擊；可以冒名頂替向RFID發(fā)送數據，篡改或偽造數據。

　?。?）使用加密手段保證數據安全。由于RFID標簽的使用數量大、范圍廣，必須將其造價(jià)控制在比較低廉的水平，這使得RFID標簽通常只能擁有大約 5 000－10 000個(gè)邏輯門(mén)，而且這些邏輯門(mén)主要用于實(shí)現一些最基本的標簽功能，僅剩少許可用于實(shí)現安全功能。但AES（advanced encryption standard）算法需要大約20 000個(gè)-30 000個(gè)邏輯門(mén)，RSA、橢圓曲線(xiàn)密碼等公鑰密碼算法則需要更多的邏輯門(mén)。因此，文獻［4］提出了在RFID標簽芯片計算資源有限的情況下解決這些問(wèn)題的一個(gè)安全通信協(xié)議。該協(xié)議利用Hash函數技術(shù)實(shí)現了防止消息泄漏、偽裝、定位跟蹤等安全攻擊，因在目前已有的技術(shù)和芯片制造水平，在tag標簽芯片中實(shí)現SHA－l等成熟Hash算法大約需要3 000個(gè)-4 000個(gè)邏輯門(mén)，基于Hash函數的安全通信協(xié)議，用于保證tag和reader之間數據傳輸的安全性，同時(shí)防止在傳輸時(shí)泄漏tag所攜帶的個(gè)人信息和位置信息。

　?。?）Gen-2認證協(xié)議提高安全性。針對RFID系統的Gen-2類(lèi)標簽容量有限，僅支持單片16 bit偽隨機數發(fā)成器（PRNG）和用于數據傳輸過(guò)程中探測錯誤的循環(huán)冗余碼（CRC）校驗的特點(diǎn)，難以實(shí)現復雜的安全算法，文獻［5］克服使用Hash 函數增加標簽設計成本的弱點(diǎn)，提出了一種基于Gen-2標簽的RFID認證協(xié)議，選擇基于異或的方法，將標簽32位ID號分為低16位和高16位，利用標簽的CRC-16位生成相應校驗碼作為密文傳輸。該協(xié)議解決了已有協(xié)議在信息保密性、不可跟蹤性、前向安全性、Tag反克隆性、不可重放性五個(gè)方面安全性的問(wèn)題，提高了數據庫查詢(xún)速度、降低了RFID標簽的設計成本。

　?。?）非法截取讀寫(xiě)器的無(wú)線(xiàn)信號。讀寫(xiě)器的輸出功率要遠遠大于無(wú)源電子標簽，因此讀寫(xiě)器的電波傳送距離要比無(wú)源電子標簽遠得多，比如超高頻的讀寫(xiě)器和無(wú)源電子標簽的最大通信距離大約是5米，這主要是受電子標簽的功率和天線(xiàn)尺寸的限制，而讀寫(xiě)器本身的電波可以傳播到很遠的地方。如果有人在離讀寫(xiě)器較遠的地方架設天線(xiàn)截取讀寫(xiě)器的電波信號，就很難被人察覺(jué)。通過(guò)截收讀寫(xiě)器發(fā)射的電波來(lái)獲取信息是一件非常專(zhuān)業(yè)的工作，需要非常大的成本投入，一般的RFID 系統并沒(méi)有必要考慮這種信息泄露風(fēng)險，但對一些機密性非常大的信息需要考慮防范措施，比如用吸波材料封閉讀寫(xiě)器作業(yè)空間，適當調小讀寫(xiě)器的輸出功率。

　　3 RFID數據安全

　　RFID系統中最主要的安全風(fēng)險是“數據保密性”。信息泄露是指暴露標簽發(fā)送信息，這個(gè)信息包括標簽用戶(hù)或識別對象的相關(guān)信息。如RFID設備管理信息是公開(kāi)的，但當電子標簽應用于藥品時(shí)，很可能暴露藥物使用者的病理。當個(gè)人信息如電子檔案、生物特征添加到電子標簽中時(shí)，標簽信息泄露問(wèn)題便極大地危害了個(gè)人隱私。美國于2005年8月在入境護照裝備電子標簽的計劃因考慮到信息泄露的安全問(wèn)題已經(jīng)被推遲。

　?。?）竊取電子標簽數據。電子標簽可能含有企業(yè)關(guān)鍵信息或個(gè)人隱私信息，比如產(chǎn)品的生產(chǎn)批次、生產(chǎn)數量、個(gè)人身份、購物習慣等，如果這些電子標簽被盜，意味著(zhù)企業(yè)內部信息或個(gè)人隱私信息被泄露。為了防止數據的被竊，可采用以下兩種方法：（1）數據加密。（2）電子標簽不存敏感數據，只存無(wú)特殊意義的 ID信息，關(guān)鍵數據分散在各個(gè)服務(wù)器中。

　?。?）篡改電子標簽數據。如果巧妙地篡改電子標簽的數據，可能造成非法物品或數據容易混入整體業(yè)務(wù)系統，最終破壞業(yè)務(wù)的運行。防止數據被篡改的主要方法有：（1）限制存儲器的寫(xiě)入次數。如果標簽在業(yè)務(wù)整體流程中數據不需要改變，就可以采用只讀標簽或一次性讀寫(xiě)標簽。切斷了篡改數據的物理手段。（2） 限制存儲器的可寫(xiě)區域。提前把存儲器的區域分割成可寫(xiě)區域和不可寫(xiě)區域，把關(guān)鍵數據（如標簽ID）放進(jìn)不可寫(xiě)區域，可以防止關(guān)鍵數據的篡改。（3）密碼保護。預先設定密碼來(lái)保護數據，每個(gè)標簽的密碼不一樣，需要增加密碼管理成本。（4）變更存儲器區域讀寫(xiě)屬性。對關(guān)鍵數據區域或全體區域設置只讀屬性就可以防止篡改。四個(gè)措施可以根據成本要求單獨使用，也可以復合使用。

　?。?）往電子標簽植入病毒。電子標簽由于存儲量很小，且存儲的是數據而不是執行代碼、很難把病毒本身寫(xiě)進(jìn)標簽本體中，但是篡改存儲器中的參數變量（比如數據長(cháng)度等）擾亂系統處理的可能性大，如果在中間件、服務(wù)器軟件方面進(jìn)行嚴格的排錯處理，可以保證系統的正常運行。目前還沒(méi)有有關(guān)電子標簽內植入病毒，引起系統崩潰的實(shí)際案例的報道，成品電子標簽也沒(méi)有防病毒的措施，但隨著(zhù)電子標簽的大容量、高智能化的發(fā)展，今后需要研究病毒的寄生機制和防范措施。

　?。?）泄露電子標簽數據格式。電子標簽數據格式需要對外保密，如果這些數據被泄露，不法分子就很容易進(jìn)行標簽的偽造和篡改。有些重要的數據要進(jìn)行分散管理，即不能把所有數據集中到一個(gè)人身上，以防一旦那個(gè)人出事，所有的數據暴露無(wú)遺。要對標簽的制作進(jìn)行嚴格的管理，比如設門(mén)禁系統，安裝計算機操作記錄追查系統等。

　　針對用戶(hù)個(gè)人信息和隱私問(wèn)題日益突出，考慮到基于公鑰加密的RFID認證協(xié)議相對基于哈希函數和基于對稱(chēng)密鑰加密的RFID認證協(xié)議，有較好的安全性，文獻［6］借助效率較高的公鑰加密算法NTRU （Number Theory Research Unit），開(kāi)發(fā)出一種新的RFID協(xié)議，為RFID系統提供更好的安全性，能為用戶(hù)提供更好的隱私保護，表1顯示出文獻［6］比文獻［7-9］的性能要好。

　　表1 RFID認證協(xié)議的安全性對比表

　　文獻［11］利用混沌系統產(chǎn)生的混沌序列對RFID系統中閱讀器與標簽之間傳輸的數據進(jìn)行了加密，并建立了一個(gè)基于混沌加密技術(shù)的RFID系統安全模型。

　　為了解決克隆攻擊、重傳攻擊、標簽跟蹤等幾種常見(jiàn)的RFID安全問(wèn)題，文獻［12］在分析單證明者交互模型的基礎上，提出了一種改進(jìn)的、安全性更好的、適用于RFID的多證明者交互證明模型，并在此模型的基礎上進(jìn)一步提出了一個(gè)適用于分布式RFID環(huán)境的基于橢圓曲線(xiàn)門(mén)限秘密共享方案的RFID安全協(xié)議。

　　由于碼分多址技術(shù)具有很好的保密性、抗干擾性和多址通信能力，文獻［13］運用認證密鑰和Hash函數，設計了一種基于碼分多址技術(shù)的RFID系統安全認證協(xié)議，不僅能有效地解決標簽的碰撞問(wèn)題，而且可抵抗包括重傳、跟蹤、阻斷和篡改在內的多種攻擊手段。

　　4 結論

　　由于RFID技術(shù)進(jìn)步和成本的迅速下降，RFID系統已被各領(lǐng)域廣泛應用，但RFID日益突出的安全問(wèn)題影響到RFID的進(jìn)一步應用。為此，本文分析了 RFID系統安全存在的問(wèn)題和解決對策，我們有理由相信，從RFID技術(shù)、RFID系統設計、加密技術(shù)和安全意識、安全管理等多種手段入手，RFID安全問(wèn)題一定能得到解決。