基于RFID的物聯(lián)網(wǎng)安全需求研究

　　1前言

　　根據(jù)國際電信聯(lián)盟的定義，物聯(lián)網(wǎng)主要解決物品到物品，人到物品，人到人之間的互聯(lián)問題。目前，物聯(lián)網(wǎng)(IoT:theInternetofThings)成為學(xué)術(shù)界和工業(yè)界關(guān)注的熱點，被稱為繼計算機、互聯(lián)網(wǎng)之后，世界信息產(chǎn)業(yè)的第三次浪潮。物聯(lián)網(wǎng)被認為是互聯(lián)網(wǎng)在物理世界的延伸，它通過各種信息傳感設(shè)備，如RFID（RadioFrequencyIDentification）、紅外感應(yīng)器、全球定位系統(tǒng)、激光掃描器等種種裝置與互聯(lián)網(wǎng)相結(jié)合[2]，其目的是讓所有的物品都與網(wǎng)絡(luò)連接成為一個整體，系統(tǒng)可以自動地、實時地對物體進行識別、定位、追蹤、監(jiān)控并觸發(fā)相應(yīng)事件。

　　基于RFID的物聯(lián)網(wǎng)是指將現(xiàn)實世界中所有物品通無線射頻識別等傳感設(shè)備與互聯(lián)網(wǎng)連接起來，實現(xiàn)對這些物品的智能化識別和管理。RFID是實現(xiàn)物聯(lián)網(wǎng)的核心技術(shù)，因其特有的低成本和高可靠等優(yōu)點而被視為21世紀最重要、最有發(fā)展前途的信息技術(shù)之一。隨著國內(nèi)外RFID技術(shù)的不斷發(fā)展，RFID憑借其獨特的優(yōu)勢已經(jīng)逐漸在物品標識、電子票證、商品防偽、身份識別、資產(chǎn)管理等各個領(lǐng)域獲得了廣泛應(yīng)用。

　　基于RFID的物聯(lián)網(wǎng)技術(shù)不斷的發(fā)展和基于RFID的物聯(lián)網(wǎng)系統(tǒng)的廣泛應(yīng)用，也為系統(tǒng)的運營者和使用者帶來了復(fù)雜的安全問題。當前由于對基于RFID的物聯(lián)網(wǎng)系統(tǒng)定義不明確，威脅模型不清晰，因而很難對基于RFID的物聯(lián)網(wǎng)安全需求進行全面的分析。本文試圖建立基于RFID的物聯(lián)網(wǎng)系統(tǒng)抽象模型，并建立相應(yīng)的威脅模型，最終根據(jù)信息安全的最基本的四個維度（機密性、完整性、可用性、可審計性）給出基于RFID的物聯(lián)網(wǎng)系統(tǒng)的安全需求。

　　本文將通過研究基于RFID的物聯(lián)網(wǎng)的系統(tǒng)結(jié)構(gòu)，分析其潛在的安全威脅，提出相應(yīng)的安全需求。第二節(jié)介紹物聯(lián)網(wǎng)安全的研究現(xiàn)狀；第三節(jié)介紹基于RFID的物聯(lián)網(wǎng)體系結(jié)構(gòu)；第四節(jié)闡述基于RFID的物聯(lián)網(wǎng)系統(tǒng)潛在的威脅和攻擊；第五節(jié)針對第四節(jié)所描述的各種安全問題提出基于RFID物聯(lián)網(wǎng)系統(tǒng)的安全需求；最后總結(jié)并展望全文。

　　2相關(guān)研究

　　目前，基于RFID的物聯(lián)網(wǎng)的安全性問題得到了廣泛的關(guān)注，研究內(nèi)容主要集中在以下兩個方面：RFID系統(tǒng)本身的安全問題以及RFID相關(guān)信息在傳統(tǒng)互聯(lián)網(wǎng)中的安全問題。

　　RFID系統(tǒng)本身包括標簽、讀寫器以及標簽與讀寫器之間的射頻通信信道。RFID系統(tǒng)容易遭受各種主動和被動攻擊的威脅：Mitrokotsa等人從物理層、網(wǎng)絡(luò)傳輸層、應(yīng)用層、策略層四個層次分析了RFID系統(tǒng)的攻擊和威脅，并總結(jié)了相應(yīng)的解決方法。Juels[3]認為RFID系統(tǒng)本身的安全問題可歸納為隱私和認證兩個方面：在隱私方面主要是可追蹤性問題，即如何防止攻擊者對RFID標簽進行任何形式的跟蹤；在認證方面主要是要確保只有合法的閱讀器才能夠與標簽進行交互通信。當前，保障RFID系統(tǒng)本身安全的方法主要有三大類：物理方法（Kill命令，靜電屏蔽，主動干擾以及BlockerTag方法等），安全協(xié)議（哈希鎖，哈希鏈，挑戰(zhàn)響應(yīng)機制，重加密機制等），以及上述方法的結(jié)合。

　　由于RFID相關(guān)信息跟業(yè)務(wù)層的用戶隱私、商業(yè)機密相關(guān)，因此RFID相關(guān)信息在互聯(lián)網(wǎng)中的安全傳輸和存儲問題也值得研究和探討。與傳統(tǒng)互聯(lián)網(wǎng)中的安全傳輸問題一致，可采用VPN（VirtualPrivateNetworks）,TLS（TransportLayerSecurity）等安全技術(shù)來保障RFID相關(guān)信息在互聯(lián)網(wǎng)中的機密性和完整性。

　　3基于RFID的物聯(lián)網(wǎng)系統(tǒng)

　　基于RFID的物聯(lián)網(wǎng)系統(tǒng)從物理世界和邏輯空間兩個層面進行分析。物聯(lián)網(wǎng)系統(tǒng)的物理世界由無數(shù)的商品、無線傳感設(shè)備等組成；在邏輯空間上，基于RFID的物聯(lián)網(wǎng)系統(tǒng)一般由標簽層、射頻通信層、讀寫器層、互聯(lián)網(wǎng)層和應(yīng)用系統(tǒng)層構(gòu)成。

圖1基于RFID的物聯(lián)網(wǎng)系統(tǒng)

　　圖1顯示了定義1中基于RFID的物聯(lián)網(wǎng)各個分量的內(nèi)容及其相互關(guān)系，具體描述如下：物理世界：物理世界是由各種實實在在的物體構(gòu)成的，包括物品、計算機、無線傳感器等，在物聯(lián)網(wǎng)中，這些物體都是物理上充分互聯(lián)的。

　　標簽層：標簽層由RFID標簽和物品組成，RFID標簽類似物品包裝上的條形碼，記載貨物的信息，它一般是粘貼在物品上或者嵌在物品里面。根據(jù)其能量來源，RFID標簽可分為被動式，半被動式和主動式三大類。

　　射頻通信層：RFID是一種非接觸式的自動識別技術(shù)，它通過射頻信號自動識別目標對象并獲取相關(guān)數(shù)據(jù)信息。讀寫器通過發(fā)射天線發(fā)送一定頻率的射頻信號，當標簽進入發(fā)射天線工作區(qū)域時產(chǎn)生感應(yīng)電流，標簽內(nèi)的芯片獲得能量被激活；標簽將自身編碼等信息通過其內(nèi)置的發(fā)送天線發(fā)送出去；系統(tǒng)接收天線接收到從標簽發(fā)送來的載波信號，經(jīng)天線調(diào)節(jié)器傳送到讀寫器。

　　讀寫器層：RFID讀寫器，實際上是一個帶有天線的無線發(fā)射與接收設(shè)備，它對RFID標簽進行讀/寫操作的設(shè)備，主要包括射頻模塊和數(shù)字信號處理單元兩部分，具有較大的計算能力和存儲空間。讀寫器對從標簽層接收到的射頻信號進行解調(diào)和解碼，然后通過互聯(lián)網(wǎng)發(fā)送到應(yīng)用系統(tǒng)進行相關(guān)處理?；ヂ?lián)網(wǎng)層：在基于RFID的物聯(lián)網(wǎng)系統(tǒng)中，標簽層與讀寫器層之間是通過射頻信號進行通信的，而讀寫器層與應(yīng)用系統(tǒng)層之間是通過互聯(lián)網(wǎng)進行通信的。

　　應(yīng)用系統(tǒng)層：應(yīng)用系統(tǒng)用于實現(xiàn)對RFID標識物的有序管理，主要應(yīng)用于物品識別、電子票證、商品防偽、身份識別、資產(chǎn)管理等領(lǐng)域。應(yīng)用系統(tǒng)通常包括了后臺數(shù)據(jù)庫系統(tǒng)，它可以是運行于任何硬件平臺的數(shù)據(jù)庫系統(tǒng)，可由用戶根據(jù)實際需要自行選擇，通常假設(shè)其計算能力和存儲能力強大，數(shù)據(jù)庫中存儲著RFID標簽相關(guān)的信息。

　　4基于RFID的物聯(lián)網(wǎng)安全威脅

　　隨著RFID技術(shù)的快速推廣應(yīng)用，其數(shù)據(jù)安全問題在某些領(lǐng)域甚至已經(jīng)超出了原有計算機信息系統(tǒng)的安全邊界，成為一個廣為關(guān)注的問題。主要原因如下：

　　(1)標簽計算能力弱：RFID標簽在計算能力和功耗方面具有特有的局限性[7]，RFID標簽的存儲空間極其有限，如最便宜的標簽只有64-128位的ROM，僅可容納惟一的標識符。由于標簽本身的成本所限，標簽自身較難具備足夠的安全能力，極容易被攻擊者操控，惡意用戶可能利用合法的閱讀器或者自行構(gòu)造一個閱讀器，直接與標簽進行通信，讀取、篡改甚至刪除標簽內(nèi)所存儲的數(shù)據(jù)。在沒有足夠可信任的安全機制的保護下，標簽的安全性、有效性、完整性、可用性、真實性都得不到保障。

　　(2)無線網(wǎng)絡(luò)的脆弱性：標簽層和讀寫器層采用無線射頻信號進行通信，在通信的過程中沒有任何物理或者可見的接觸（通過電磁波的形式進行），而無線網(wǎng)絡(luò)固有的脆弱性使RFID系統(tǒng)很容易受到各種形式的攻擊。這在給應(yīng)用系統(tǒng)數(shù)據(jù)采集提供靈活性和方便性的同時也使傳遞的信息暴露于大庭廣眾之下。

　　(3)業(yè)務(wù)應(yīng)用的隱私安全：在傳統(tǒng)的網(wǎng)絡(luò)中,網(wǎng)絡(luò)層的安全和業(yè)務(wù)層的安全是相互獨立的,而物聯(lián)網(wǎng)中網(wǎng)絡(luò)連接和業(yè)務(wù)使用是緊密結(jié)合的，物聯(lián)網(wǎng)中傳輸信息的安全性和隱私性問題也成為了制約物聯(lián)網(wǎng)進一步發(fā)展的重要因素。

{$page$}

　　根據(jù)RFID的物聯(lián)網(wǎng)系統(tǒng)結(jié)構(gòu)，我們把物聯(lián)網(wǎng)的威脅和攻擊分為兩類(見表1)：一類是針對物聯(lián)網(wǎng)系統(tǒng)中實體的威脅，主要是針對標簽層、讀寫器層和應(yīng)用系統(tǒng)層的攻擊；一類是針對物聯(lián)網(wǎng)中通信過程的威脅，包括射頻通信層以及互聯(lián)網(wǎng)層的通信威脅。

　　這類攻擊與傳統(tǒng)意義上的互聯(lián)網(wǎng)中的攻擊基本一致，可以用現(xiàn)有成熟的安全技術(shù)和密碼機制來解決，此處不作詳細解釋。

　　5基于RFID的物聯(lián)網(wǎng)安全需求

　　基于以上對安全威脅的分析，我們確定基于RFID的物聯(lián)網(wǎng)中需要保護的對象有標簽、讀寫器、應(yīng)用系統(tǒng)，以及射頻通信層、互聯(lián)網(wǎng)層的通信。因此，我們認為構(gòu)建一個安全的物聯(lián)網(wǎng)系統(tǒng)還必須從信息安全的四大基本要求（機密性、可用性、完整性、可審計性）出發(fā)，來綜合考慮物聯(lián)網(wǎng)系統(tǒng)中的實體安全和通信安全。

　　5.1標簽層

　　標簽中的被保護數(shù)據(jù)包括四種類型：
　　(1)標簽標識；
　　(2)用于認證和控制標簽內(nèi)數(shù)據(jù)訪問的密鑰；
　　(3)標簽內(nèi)的業(yè)務(wù)數(shù)據(jù)；
　　(4)標簽的執(zhí)行代碼。

　　機密性：是指標簽內(nèi)的數(shù)據(jù)不能被未授權(quán)的用戶所訪問。特別是標簽標識，由于其相對固定并與物理世界中的物體，包括人，發(fā)生緊密關(guān)聯(lián)，因此標簽標識的機密性作為隱私問題而被特別關(guān)注。在保護標簽機密性的時候，除了傳統(tǒng)安全領(lǐng)域的安全策略以外，在實現(xiàn)時又需要考慮標簽的低成本、低性能特性。換句話說，由于標簽往往非常小而且成本低廉，因此其計算能力非常重要，在考慮引入傳統(tǒng)的加密機制、認證機制和訪問控制的時候，必須充分考慮其實現(xiàn)時的計算能力問題。

　　完整性：是指標簽內(nèi)的數(shù)據(jù)不能被未授權(quán)的用戶所修改。這里完整性主要用于保護標簽內(nèi)的業(yè)務(wù)數(shù)據(jù)不受惡意用戶修改，因為這些數(shù)據(jù)往往包括著大量業(yè)務(wù)相關(guān)的信息。尤其是當標簽用于金融支付系統(tǒng)中，這些數(shù)據(jù)往往有著直接的經(jīng)濟意義。而標簽標識、標簽內(nèi)的密鑰、標簽的執(zhí)行代碼的完整性保護由于可以采用一些常規(guī)硬件保護措施實現(xiàn)而沒有被重點研究。

　　可用性：是指標簽內(nèi)的數(shù)據(jù)和功能可以進行正常讀取和響應(yīng)。標簽或粘貼在物品的表面或嵌在物品里面，粘貼在物品上的標簽和標簽的芯片很容易被毀壞。此外，EPCglobal規(guī)定標簽中的KILL命令[20]可以刪除標簽里部分或者全部數(shù)據(jù)使之永久失效，KILL命令是為了隱私的目的而制定的，攻擊者可以利用這一命令毀壞標簽，甚至永久毀壞標簽。所以要保證標簽的可用性，使之能夠正常響應(yīng)閱讀器的請求。

　　可審計性：是指對標簽的任何讀寫操作都能被審計追蹤，保障標簽的可審計性。

　　5.2讀寫器層

　　讀寫器中被保護的數(shù)據(jù)包括三種類型：(1)與標簽進行相互認證的密鑰；(2)與標簽相關(guān)的數(shù)據(jù)；(3)讀寫器的執(zhí)行代碼。

　　機密性：是指讀寫器內(nèi)的數(shù)據(jù)只能被授權(quán)用戶訪問。尤其是與標簽進行相互認證的密鑰，密鑰信息一旦泄露，攻擊者很可能假冒讀寫器與標簽進行通信，因此必須保證讀寫器內(nèi)密鑰的機密性。與標簽不同的是，讀寫器不需要嚴格考慮成本、性能問題，因此可以通過傳統(tǒng)的加密機制來保護其機密性。

　　完整性：是指讀寫器內(nèi)的數(shù)據(jù)只能被授權(quán)用戶修改。尤其要保護與標簽相關(guān)的信息不被攻擊者修改，因為這些信息往往與業(yè)務(wù)相關(guān)。

　　可用性：是指讀寫器可以正常發(fā)送請求并響應(yīng)標簽的回復(fù)。攻擊者可能利用或毀壞讀寫器，因此需要保障讀寫器的可用性。

　　可審計性：是指讀寫器對標簽的任何操作，包括讀與寫都可以被監(jiān)測、追蹤和審計。

　　5.3應(yīng)用系統(tǒng)層

　　應(yīng)用系統(tǒng)中與RFID相關(guān)的被保護數(shù)據(jù)包括三種類型：
　　(1)與標簽相關(guān)的數(shù)據(jù)；
　　(2)與用戶相關(guān)的數(shù)據(jù)；
　　(3)與業(yè)務(wù)應(yīng)用相關(guān)的數(shù)據(jù)（如購物記錄、銀行交易等）；
　　(4)代碼。

　　機密性：是指應(yīng)用系統(tǒng)中的數(shù)據(jù)不能被非授權(quán)用戶訪問。特別是與標簽相關(guān)和與用戶相關(guān)的信息，這些信息往往牽涉到用戶的隱私[8]，一般存在后臺數(shù)據(jù)庫中，一旦被攻擊者獲取，使用者的隱私權(quán)將無法得到保障。另外，還必須保障與業(yè)務(wù)應(yīng)用相關(guān)的數(shù)據(jù)的機密性，因為攻擊者很可能通過分析這些數(shù)據(jù)來跟蹤用戶的行蹤、甚至分析用戶的消費習(xí)慣。

　　完整性：是指應(yīng)用系統(tǒng)中的數(shù)據(jù)不能被非授權(quán)用戶修改。尤其是與用戶相關(guān)的數(shù)據(jù)和業(yè)務(wù)應(yīng)用數(shù)據(jù)，一旦被攻擊者修改，可能造成很大的經(jīng)濟損失。
可用性：是指保證應(yīng)用系統(tǒng)正常運轉(zhuǎn)，滿足用戶的需求。

　　可審計性：是指保證應(yīng)用可被監(jiān)測、追蹤和審計。

　　5.4射頻通信層

　　射頻通信層被保護的對象包括：(1)通信數(shù)據(jù)；(2)通信信道。

　　機密性：是指保護射頻通信層通信數(shù)據(jù)的機密性。射頻通信層是通過無線射頻信號進行通信，攻擊者可以通過采用竊聽技術(shù)，分析微處理器正常工作過程中產(chǎn)生的各種電磁特征，來獲得標簽和讀寫器之間或其他RFID通信設(shè)備之間的通信數(shù)據(jù)。而且，由于從讀寫器到標簽的前向信道具有較大的覆蓋范圍，因而它比從標簽到讀寫器的后向信道更不安全。所以，射頻通信層的通信數(shù)據(jù)的機密性顯得尤為重要。

　　完整性：是指保護射頻通信層通信數(shù)據(jù)不能夠被非授權(quán)修改。攻擊者可利用射頻通信層無線網(wǎng)絡(luò)固有的脆弱性來篡改或重放消息，來破壞讀寫器與標簽之間的正常通信，因此需要采取加密、哈?；駽RC校驗碼等方式來保證通信數(shù)據(jù)的完整性。

　　可用性：是指保護通信信道能正常通信。射頻信號很容易受到干擾，惡意攻擊者可能通過干擾廣播、阻塞信道等方法來破壞射頻通信信道，因此需要保障射頻通信層的可用性。

　　5.5互聯(lián)網(wǎng)層

　　互聯(lián)網(wǎng)層在機密性、完整性和可用性方面的需求與傳統(tǒng)互聯(lián)網(wǎng)的需求基本一致，此處不再贅述。

　　6結(jié)論與展望

　　本文提出了基于RFID的物聯(lián)網(wǎng)的抽象模型，并對進行了威脅建模，最后基于抽象模型和威脅模型，從信息安全的四個維度給出了基于RFID的物聯(lián)網(wǎng)的安全需求。

　　目前，安全問題已經(jīng)成為了阻礙基于RFID的物聯(lián)網(wǎng)進一步發(fā)展的重要因素，如果其安全性不能得到充分保證，那么物聯(lián)網(wǎng)系統(tǒng)中的個人信息、商業(yè)機密和軍事秘密，都可能被人盜竊或被不法分子利用，這必將嚴重影響經(jīng)濟安全、軍事安全和國家安全。但物聯(lián)網(wǎng)系統(tǒng)龐大復(fù)雜，涉及到嵌入式系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、控制系統(tǒng)、軟件系統(tǒng)、安全系統(tǒng)等多種技術(shù)體系，相信經(jīng)過長期、深入、持續(xù)的研究，因此，本文安全需求的提出可以給現(xiàn)有的基于RFID的物聯(lián)網(wǎng)的發(fā)展在安全保障方便提供一定的借鑒意義。在接下去的研究中，我們將探索如何應(yīng)用相關(guān)的技術(shù)和管理手段，為基于RFID的物聯(lián)網(wǎng)系統(tǒng)設(shè)計一種完善的安全保障框架。