一種移動射頻識別系統(tǒng)模型設(shè)計與安全分析

劉 鵬，張昌宏，曹書豪

(海軍工程大學(xué) 信息安全系，武漢 430033)

隨著近年來無線電技術(shù)的發(fā)展和大規(guī)模集成電路的普及應(yīng)用，RFID 技術(shù)應(yīng)運而生。它是一種非接觸式的數(shù)據(jù)采集和自動識別技術(shù)。RFID 技術(shù)作為快速、實時、準(zhǔn)確采集和處理信息的高新技術(shù)與信息標(biāo)準(zhǔn)化的基礎(chǔ)，已經(jīng)被世界公認(rèn)為21 世紀(jì)十大重要技術(shù)之一［1］。但是隨著無線技術(shù)的進(jìn)一步發(fā)展和人們對RFID 技術(shù)的缺點的不滿，移動RFID 技術(shù)便應(yīng)運而生。設(shè)計了一種完全應(yīng)用無線傳輸?shù)囊苿由漕l識別工作模式，并對其安全問題進(jìn)行了一定的分析。

1 傳統(tǒng)RFID 介紹

傳統(tǒng)的RFID 系統(tǒng)由標(biāo)簽、讀寫器、后端服務(wù)器組成，其具體結(jié)構(gòu)如圖1 所示。

圖1 RFID 系統(tǒng)結(jié)構(gòu)

RFID 系統(tǒng)的工作原理:由讀寫器通過天線向外發(fā)射特定頻率的射頻信號，當(dāng)標(biāo)簽進(jìn)入有效工作范圍內(nèi)時產(chǎn)生感應(yīng)電流，從而獲得激活能量，使得標(biāo)簽將自身標(biāo)識信息通過內(nèi)置射頻天線發(fā)送出去;讀寫器的接收天線接收到從標(biāo)簽發(fā)送來的調(diào)制信號，經(jīng)解調(diào)后傳送到讀寫器讀寫模塊，經(jīng)解碼后將有效信息送至后端服務(wù)器進(jìn)行相關(guān)處理;后端服務(wù)器根據(jù)邏輯運算識別該標(biāo)簽的身份，針對不同的設(shè)定做出相應(yīng)的操作，最終發(fā)出指令信號控制讀寫器完成不同的讀寫操作［2］。

傳統(tǒng)RFID 系統(tǒng)的基本工作流程如下［3-4］:讀寫器通過天線發(fā)射射頻信號;當(dāng)標(biāo)簽進(jìn)入讀寫器的工作范圍內(nèi)時，接收到射頻信號，標(biāo)簽獲得能量，激活自己，并將自身的信息通過天線發(fā)送出去;當(dāng)讀寫器接收到標(biāo)簽發(fā)送的信息后，通過調(diào)制器與解碼器之后再將數(shù)據(jù)傳送給后端的服務(wù)器;服務(wù)器根據(jù)設(shè)定好的協(xié)議對通信實體的合法性進(jìn)行認(rèn)證，并完成一系列規(guī)定的動作;服務(wù)器按照協(xié)議把相應(yīng)的信息傳送給讀寫器，讀寫器再對標(biāo)簽進(jìn)行相應(yīng)的讀寫操作。

2 M-RFID 建模

隨著無線技術(shù)的進(jìn)步和移動客戶端的不斷發(fā)展該技術(shù)有了更為廣泛的應(yīng)用前景，RFID 技術(shù)在多個領(lǐng)域得到了更廣泛的應(yīng)用。通過對現(xiàn)有技術(shù)的改進(jìn)，提出了一種創(chuàng)新性的設(shè)計，將后端服務(wù)器與讀寫器通過無線連接，形成更加方便的移動無線射頻識別系統(tǒng)(M-RFID)，以適應(yīng)新的需求，其結(jié)構(gòu)如圖2 所示。與傳統(tǒng)的RFID 應(yīng)用系統(tǒng)相比，移動RFID 系統(tǒng)具有更加明顯的靈活性，更能突顯信息科技革命帶來的方便。

由于讀寫器與后端服務(wù)器通過無線網(wǎng)絡(luò)連接的原因，移動RFID 系統(tǒng)與傳統(tǒng)射頻識別系統(tǒng)的工作原理也有所不同。針對這一特點，設(shè)計了一種安全高效的M-RFID 系統(tǒng)工作模型，標(biāo)簽沒有復(fù)雜的運算，后端服務(wù)器將檢索到的標(biāo)簽信息傳輸給移動讀寫器供用戶使用，其具體步驟如下:

1)在初始狀態(tài)下標(biāo)簽沒有能量，處于“休眠”狀態(tài);

2)當(dāng)移動式RFID 讀寫器移動到適當(dāng)?shù)木嚯x，可以為標(biāo)簽提供能量時，標(biāo)簽處于“激活”狀態(tài)，按照通信協(xié)議，標(biāo)簽向讀寫器發(fā)送含有身份的相關(guān)信息;

3)讀寫器對數(shù)據(jù)進(jìn)行一定的處理并經(jīng)無線網(wǎng)絡(luò)向后端服務(wù)器發(fā)送驗證請求;

4)按照安全協(xié)議，后端服務(wù)器和標(biāo)簽進(jìn)行認(rèn)證等一系列操作;

5)經(jīng)過安全認(rèn)證的，后端服務(wù)器在數(shù)據(jù)庫中搜索相關(guān)標(biāo)簽的信息，經(jīng)加密后傳輸給移動RFID 系統(tǒng)的終端。

6)移動終端獲得標(biāo)簽的相關(guān)信息，并向其余兩者發(fā)送數(shù)據(jù)，完成密鑰更新、標(biāo)簽身份更新等一系列后續(xù)操作。

圖2 一種移動RFID 系統(tǒng)結(jié)構(gòu)圖

3 M-RFID 系統(tǒng)安全分析與攻擊模型的建立

影響RFID 系統(tǒng)大規(guī)模應(yīng)用的一個重要因素就是其安全性，由于通信實體都處在一個開放的網(wǎng)絡(luò)環(huán)境中，這就給不法分子提供了可乘之機(jī)，可以隨意的對系統(tǒng)實施竊聽、重放、假冒、篡改、非法跟蹤等攻擊。傳統(tǒng)RFID 系統(tǒng)的安全漏洞已經(jīng)給廣大用戶帶來很大不便，后端服務(wù)器與讀寫器分離的M-RFID 系統(tǒng)更存在極大的安全隱患。

針對傳統(tǒng)RFID 系統(tǒng)的攻擊有主動攻擊與被動攻擊兩種形式［5］，然而，無論是主動攻擊還是被動攻擊都對傳統(tǒng)RFID系統(tǒng)與M-RFID 系統(tǒng)的應(yīng)用安全產(chǎn)生了很大的威脅，這些攻擊手段可以獲取系統(tǒng)的秘密信息、跟蹤商品的物流、偽造數(shù)據(jù)等，使整個系統(tǒng)無法正常運行。常用的攻擊手段如下:

1)跟蹤。非法攻擊者通過向特定的通信實體發(fā)送信號，并接收其應(yīng)答信息，從而確定實體的位置。

2)竊聽。由于通信完全是經(jīng)過無線網(wǎng)絡(luò)進(jìn)行的，非法攻擊者可以在開放的環(huán)境中利用射頻設(shè)備對合法通信實體之間的通信數(shù)據(jù)進(jìn)行探測。

3)偽造。在M-RFID 系統(tǒng)中對各個通信實體進(jìn)行偽造，從而獲得相應(yīng)的服務(wù)。

4)非法訪問。主要是針對M-RFID 系統(tǒng)中標(biāo)簽與后端服務(wù)器進(jìn)行的攻擊，對其中的數(shù)據(jù)庫進(jìn)行非法的訪問。

5)篡改。主要是針對M-RFID 系統(tǒng)中的敏感信息進(jìn)行的惡意的修改。

6)重放攻擊。在M-RFID 系統(tǒng)中往往會存在一定的安全協(xié)議以保證通信過程不會受到非法攻擊，按照這些安全協(xié)議，合法實體間進(jìn)行通信時在數(shù)據(jù)中通常會包含認(rèn)證信息，攻擊者可以截獲這組數(shù)據(jù)并在以后的通信過程中重放這些具有認(rèn)證效力的數(shù)據(jù)，從而騙取合法的服務(wù)。

7)拒絕服務(wù)攻擊。攻擊者不需要對特定的標(biāo)簽進(jìn)行跟蹤，也不用利用復(fù)雜的手段對M-RFID 系統(tǒng)進(jìn)行非法訪問或者篡改其秘密信息，攻擊者僅僅需要向系統(tǒng)的實體發(fā)送干擾信號就可以造成對系統(tǒng)的拒絕服務(wù)攻擊。

針對各個部分的具體攻擊如下:

1)標(biāo)簽。對標(biāo)簽的攻擊一般有兩種，一是利用通信技術(shù)手段對標(biāo)簽進(jìn)行仿造或?qū)ζ渲写鎯Φ拿舾行畔⑦M(jìn)行非法讀取、篡改等;二是通過對得到的實體標(biāo)簽進(jìn)行物理手段的分析，得到其中存儲的秘密信息。

2)讀寫器。在移動射頻識別系統(tǒng)中，移動讀寫器實質(zhì)上是具有一定計算能力的小型計算機(jī)，在其數(shù)據(jù)處理過程中受到與其他計算機(jī)一樣的典型攻擊。

3)后端服務(wù)器。后端數(shù)據(jù)庫是整個系統(tǒng)所有敏感信息的儲存實體，很多攻擊者選擇利用網(wǎng)絡(luò)對數(shù)據(jù)庫的訪問控制權(quán)限等發(fā)起攻擊，在取得數(shù)據(jù)庫的控制權(quán)后對其進(jìn)行增加、刪除、修改、非法查詢等操作。

4)兩個無線信道。在移動射頻識別系統(tǒng)中不但標(biāo)簽與讀寫器的數(shù)據(jù)交換是通過無線信道進(jìn)行的，后端服務(wù)器與移動讀寫器之間的數(shù)據(jù)傳輸也是經(jīng)開放的無線信道完成的，這就給攻擊者造成了可乘之機(jī)。

根據(jù)M-RFID 系統(tǒng)工作于開放網(wǎng)絡(luò)環(huán)境的特點，結(jié)合攻擊者常用的幾種攻擊手段與系統(tǒng)中各部分容易受到的攻擊，提出了一種針對M-RFID 系統(tǒng)的攻擊模型，如圖3 所示。

圖3 攻擊者模型

攻擊者的能力是理想化的，具有以下特征［6］:能夠?qū)﹂_放網(wǎng)絡(luò)中傳遞的任何消息進(jìn)行屏蔽、延遲、重放、增加或刪除部分信息;仿照合法實體，可以在任意時刻利用事先規(guī)定好的協(xié)議發(fā)起通信實例;可以曾經(jīng)是M-RFID 網(wǎng)絡(luò)系統(tǒng)中的一個合法實體，掌握該實體以往身份信息等敏感數(shù)據(jù)。

仔細(xì)分析了理想攻擊者的攻擊手段與能力之后，發(fā)現(xiàn)攻擊者是無法完成以下任務(wù)的［7-8］:在不知道通信密鑰的情況下，攻擊者不能由密文推算出通信的明文內(nèi)容;不能由單向函數(shù)的結(jié)果反向推出原內(nèi)容;攻擊者不能猜測出合法實體下一步產(chǎn)生的隨機(jī)數(shù);對于相對成熟的對稱加密系統(tǒng)，攻擊者不能由明文構(gòu)造密文，也不能由密文來推測明文對于公鑰密碼體系，不能由公鑰推測出對應(yīng)的私鑰。

4 M-RFID 安全模型建立

考慮到系統(tǒng)工作的環(huán)境，為保證系統(tǒng)的正常運行，要保證系統(tǒng)與信息的完整性、機(jī)密性、可用性、隱私性和真實性，尤其是在信息的傳遞過程中要對數(shù)據(jù)的安全進(jìn)行保護(hù)。現(xiàn)建立一個安全模型，用于M-RFID 系統(tǒng)的防護(hù)。

在分析了M-RFID 系統(tǒng)的安全需求，了解制約系統(tǒng)安全運行的外在條件之后，結(jié)合上一節(jié)建立的攻擊模型，建立了一個適應(yīng)于M-RFID 系統(tǒng)的安全模型。在這個安全模型當(dāng)中，按照信息數(shù)據(jù)的流向，結(jié)合系統(tǒng)在運行過程中各個環(huán)節(jié)的工作情況，考慮系統(tǒng)與信息的完整性、機(jī)密性、可用性、隱私性和真實性。

詳細(xì)的保護(hù)措施及安全等級分類如下［9］:

1)標(biāo)簽。由于標(biāo)簽分布在裝備上，不易掌控，所以在標(biāo)簽中應(yīng)盡量少的用明文存儲信息，或者不存儲敏感信息;為了防止攻擊者的跟蹤行為，對于讀寫器的詢問，標(biāo)簽每次應(yīng)當(dāng)給予不同的回應(yīng);考慮到標(biāo)簽的計算能力，為了保證其可用性，每次標(biāo)簽的運算量必須盡量小，反應(yīng)速度要快;為了防止標(biāo)簽被非法偽造，每個標(biāo)簽應(yīng)該在后端服務(wù)器中有唯一備份的ID 號，并且能夠進(jìn)行更新。

A1:明文存儲信息、固定ID、對身份不存在驗證過程;A2:口令控制標(biāo)簽信息讀取、固定ID、對身份不存在驗證過程;A3:加密算法保護(hù)標(biāo)簽內(nèi)部信息、隨機(jī)ID 更新、對詢問方進(jìn)行身份認(rèn)證，具有防止跟蹤的能力。

從A1 到A3 保護(hù)的安全等級不斷加強(qiáng)，在安全的MRFID 系統(tǒng)中，標(biāo)簽的安全等級必須要達(dá)到A3 級。

2)信息傳遞。系統(tǒng)工作在開放的無線網(wǎng)絡(luò)當(dāng)中，必須要保證傳遞敏感信息不能泄露給攻擊者，因此必須采取一定的加密措施;為了保證消息的新鮮性，在每次發(fā)送信息的過程中必須有時間戳、隨機(jī)數(shù)等的保護(hù)。

B1:明文傳遞信息，不附帶輔助數(shù)據(jù);B2:明文傳遞信息，進(jìn)行循環(huán)冗余校驗，保證數(shù)據(jù)的完整性;B3:明文傳遞信息，循環(huán)冗余校驗，添加數(shù)據(jù)的時間戳等復(fù)雜的消息認(rèn)證碼，防止數(shù)據(jù)被篡改;B4:信息經(jīng)加密算法處理后再進(jìn)行傳遞，同時添加時間戳或者隨機(jī)數(shù)等進(jìn)行校驗。

在安全的M-RFID 系統(tǒng)中，考慮到其無線網(wǎng)絡(luò)的特點，要強(qiáng)制使系統(tǒng)的安全等級達(dá)到B4 的要求。

3)系統(tǒng)運行。管理主要針對后端數(shù)據(jù)庫與移動讀寫器的使用過程，必須在每次使用前對使用者的身份進(jìn)行驗證，對與之通信的實體進(jìn)行審核，并對該行為進(jìn)行審計。

C1:操作者直接進(jìn)入后端數(shù)據(jù)庫、使用合法移動讀寫器對標(biāo)簽內(nèi)容進(jìn)行讀寫。后端服務(wù)器與移動讀寫器接受任何參與者的服務(wù)請求，不進(jìn)行任何驗證。

C2:操作者在進(jìn)入操作系統(tǒng)前(包括數(shù)據(jù)庫與移動讀寫器)必須經(jīng)過系統(tǒng)的認(rèn)證，系統(tǒng)并對此次操作進(jìn)行記錄，開始工作時后端服務(wù)器與移動讀寫器對參與者的身份進(jìn)行單身認(rèn)證;

C3:操作者在進(jìn)入操作系統(tǒng)前(包括數(shù)據(jù)庫與移動讀寫器)必須經(jīng)過系統(tǒng)的認(rèn)證，系統(tǒng)并對此次操作進(jìn)行記錄，開始工作時后端服務(wù)器與移動讀寫器與參與者進(jìn)行雙向的身份認(rèn)證。

為了防止攻擊者的攻擊，必須保證在系統(tǒng)運行方面達(dá)到C3 的安全等級［10-12］。

5 結(jié)束語

本文主要在傳統(tǒng)RFID 系統(tǒng)的基礎(chǔ)上建立了一個更加靈活的M-RFID 系統(tǒng)模型，并詳細(xì)介紹了其結(jié)構(gòu)，在分析了此模型的安全問題后，建立了一個理想的攻擊模型，以此來模擬攻擊者可能對該系統(tǒng)進(jìn)行的攻擊。最后針對以上安全問題，設(shè)計了一個適用于M-RFID 系統(tǒng)的安全模型，為M-RFID系統(tǒng)設(shè)計安全協(xié)議提供了參考依據(jù)。

［1］喬強(qiáng).RFID 技術(shù)的應(yīng)用［J］. 現(xiàn)代情報，2005，4（4）:23-25.

［2］顏濤.RFID 技術(shù)研究及其在倉儲管理中的應(yīng)用［D］.西安:西安電子科技大學(xué)，2006.

［3］柴毅，陸亞軍.RFID 與條碼技術(shù)在軍事物流領(lǐng)域的聯(lián)合應(yīng)用［J］.四川兵工學(xué)報，2011，32（1）:49-53.

［4］劉增勇，陳祥斌，王鵬，等.RFID 技術(shù)在裝備物流領(lǐng)域的應(yīng)用［J］.四川兵工學(xué)報，2012，33（5）:101-104.

［5］胡嘯，陳星，吳志剛.無線射頻識別安全初探［J］.信息安全與保密通信，2005（6）:39-42.

［6］Dolev D，Yao A C.On the security of public key protocols［C］//In Proceedings of IEEE 22ndAnnual Symposium on Foundations of Computer Science，1981:350-357.

［7］張振宇.基于ECC 的RFID 通信協(xié)議研究［D］.天津:天津理工大學(xué)，2008.

［8］周光輝，王杰，韓占磊，等.基于RFID 的車間刀具自動識別技術(shù)與系統(tǒng)實現(xiàn)［J］.四川兵工學(xué)報，2011，32（3）:76-80.

［9］魏旻，王平，王泉.工業(yè)無線控制網(wǎng)絡(luò)安全方法的研究與實現(xiàn)［J］.儀器儀表學(xué)報，2009，30（4）:124-129.

［10］陳華智，張聞，張華磊.網(wǎng)絡(luò)安全等級保護(hù)實施方案的設(shè)計及應(yīng)用實踐［J］.浙江電力，2011，30（3）:104-108.

［11］溫華，王丹.一種網(wǎng)絡(luò)安全等級的計算模型設(shè)計［C］//四川省通信學(xué)會二〇〇三年學(xué)術(shù)年會.四川，2003.

［12］李恒金.網(wǎng)絡(luò)安全等級測評技術(shù)研究——路由器測評技術(shù)研究［D］.北京:中國礦業(yè)大學(xué)，2003.

［13］李南.基于自動識別技術(shù)在圖書館管理中的應(yīng)用［J］.激光雜志，2010（4）:57-58.