RFID系統(tǒng)及其安全性問題研究

　　射頻識別技術(shù)RFID(Radio　Frequency　Identification)是一種利用射頻通信實現(xiàn)的非接觸式通信技術(shù)，利用此項技術(shù)可以實現(xiàn)對目標(biāo)對象的自動識別，并讀取相關(guān)數(shù)據(jù)的目的。RFID技術(shù)具有操作快捷、精度高、非可視識別、適應(yīng)環(huán)境能力強(qiáng)、抗干擾性強(qiáng)等多方面的條形碼技術(shù)不具備的優(yōu)點。但隨著RFID技術(shù)被廣泛的應(yīng)用，它所帶來的信息安全和隱私問題也越來越顯現(xiàn)出來。

　　1　RFID系統(tǒng)的組成

　　如圖1所示，RFID系統(tǒng)一般由標(biāo)簽、讀寫器和后端數(shù)據(jù)庫三大基本部分構(gòu)成。

　　RFID標(biāo)簽又被稱為應(yīng)答器，它和傳統(tǒng)的條形碼一樣，被固定在貨物上以記載信息;讀寫器又被稱為收發(fā)器，具有向RFID標(biāo)簽讀取和寫入信息的能力;后端數(shù)據(jù)庫是管理和記錄系統(tǒng)內(nèi)RFID標(biāo)簽相關(guān)信息的數(shù)據(jù)庫系統(tǒng)，通常具有強(qiáng)大的數(shù)據(jù)分析、計算、存儲能力。此外，系統(tǒng)中還配備有與之配套的用于完成RFID標(biāo)簽數(shù)據(jù)信息的收集的應(yīng)用接口或中間件，采用多種傳輸方式實現(xiàn)數(shù)據(jù)傳送。

　　1.1　電子標(biāo)簽

　　電子標(biāo)簽(Tag)一般直接附著在物體上，具有唯一的序列號以定義物體的屬性。它和條碼技術(shù)中條碼符號的作用相似，存儲了所附著物體所具有的身份信息。所以，它是系統(tǒng)中信息的真正載體。典型的電子標(biāo)簽包含了存儲有數(shù)據(jù)信息的電子芯片以及一系列耦合元件，例如盤繞著的天線，以用于射頻通信或從外界磁場獲取能量。

　　標(biāo)簽按照供能方式又分為主動式(有源)、半被動式(有源)和被動式(無源)三種。主動式和半被動式標(biāo)簽自己攜帶了電池等供能裝置，通過電池給標(biāo)簽提供工作所需的能量，可以主動或被動的發(fā)射和接收射頻信號，而且通信距離通常能達(dá)到100—1000米。被動標(biāo)簽本身是不帶供能裝置的，它通過耦合天線接收讀寫器發(fā)出的詢問信號，根據(jù)電感耦合原理或電磁反向散射耦合原理，使在芯片通路中形成微弱的電流，當(dāng)標(biāo)簽芯片中的能量達(dá)到了最小門限電壓值時，標(biāo)簽就被激活，讀寫器就可以對標(biāo)簽進(jìn)行讀寫操作了。由于缺少內(nèi)置電池，被動式標(biāo)簽的通信范圍通常僅在10米以內(nèi)。

　　標(biāo)簽按照所具備的功能來看，又可分為三種：只讀標(biāo)簽、可讀寫標(biāo)簽和具有密碼功能的標(biāo)簽。只讀標(biāo)簽僅僅包含一個在芯片生產(chǎn)過程中由廠家置入的唯一的簡單序列號以表明標(biāo)簽的身份。由于標(biāo)簽不具有改寫功能，所以該序列號一旦被置入就無法改變，該芯片也不能再被寫入任何數(shù)據(jù)。同時其通信方式也僅僅是標(biāo)簽向讀寫器的單向傳送?？勺x寫標(biāo)簽內(nèi)的信息可以被反復(fù)讀寫，寫入的字節(jié)從一個到數(shù)千不等。它不但可以向讀寫器傳送數(shù)據(jù)，而且其存儲的數(shù)據(jù)還可以被讀寫器修改。具有密碼功能的標(biāo)簽具有防止標(biāo)簽被未經(jīng)許可的訪問這一功能，可以避免標(biāo)簽內(nèi)存儲的信息泄露。

　　按照載波頻率可以把標(biāo)簽分為低頻、中頻和高頻標(biāo)簽。低頻標(biāo)簽主要有125kHz和134.2kHz兩種，中頻主要為13.56MHz，高頻主要為433MHz、915MHz、2.45GHz、5.8GHz等。其中以低頻的125kHz和中頻的13.56MHz兩個頻段的標(biāo)簽是主流產(chǎn)品。低頻系統(tǒng)主要用于城市一卡通、校園卡、貨物跟蹤、停車場收費系統(tǒng)等低成本的應(yīng)用。中頻系統(tǒng)多用于門禁控制以及在通信中數(shù)據(jù)量較大的應(yīng)用系統(tǒng);高頻系統(tǒng)因其成本較高并且天線發(fā)射出的波束具有較強(qiáng)的定向性的特點，因此通常被應(yīng)用在列車監(jiān)控、電子不停車收費ETC(Electronic　Toll　Collection)等需要較長的讀寫距離和高讀寫速度的場合。

　　1.2　讀寫器

　　按照通信方式，可以把讀寫器分為讀寫器優(yōu)先RTF　(Reader　Talks　First)和標(biāo)簽優(yōu)先TTF　(Tag　Talks　First)兩種。讀寫器優(yōu)先是指標(biāo)簽不會主動向讀寫器發(fā)送射頻信號，只有在被讀寫器發(fā)送的射頻信號激活且收到完整的讀寫器指令后，才會返回相應(yīng)的數(shù)據(jù)信息以響應(yīng)讀寫器的命令。標(biāo)簽優(yōu)先是指對于被動式標(biāo)簽系統(tǒng)，讀寫器只發(fā)送等幅的、不帶任何控制命令和信息的射頻能量以激活標(biāo)簽。標(biāo)簽被激活后才能向讀寫器發(fā)送相應(yīng)的數(shù)據(jù)信息。在讀寫器和標(biāo)簽互相傳送信息時，也分為全雙工和半雙工兩種方式進(jìn)行。

　　按照應(yīng)用模式，可以把讀寫器分為固定式讀寫器、便攜式讀寫器和一體式讀寫器。固定式讀寫器是指后端服務(wù)器、讀寫器和天線分別被固定安裝在不同的位置，同時讀寫器可以擁有多個天線接口和多種輸入輸出設(shè)備接口便于通信;便攜式讀寫器是指后端服務(wù)器、讀寫器和天線集成在一起，且體積較小，便于攜帶和移動;一體式讀寫器是指天線被集成在讀寫器的機(jī)殼內(nèi)，同時讀寫器被安裝在固定的地點，后端數(shù)據(jù)庫則另選位置進(jìn)行安裝。

　　按照載波頻率，也可以把讀寫器分為低頻、中頻和高頻三類。分別對應(yīng)于標(biāo)簽的相應(yīng)頻段。

　　1.3　后端數(shù)據(jù)庫

　　后端數(shù)據(jù)庫(Back-end　Database)是可以運行在任何硬件平臺的數(shù)據(jù)庫系統(tǒng)，包括系統(tǒng)中間件、系統(tǒng)應(yīng)用軟件和數(shù)據(jù)庫。主要完成對數(shù)據(jù)信息的存儲及處理，通過控制讀寫器對標(biāo)簽進(jìn)行讀寫操作。它配合中間件接收可信的讀寫器獲取的標(biāo)簽發(fā)送來的數(shù)據(jù)信息，進(jìn)行相關(guān)的運算，同時提供被訪問標(biāo)簽的相關(guān)數(shù)據(jù)。另外，它也為標(biāo)簽和讀寫器之間的相互認(rèn)證過程提供進(jìn)一步的服務(wù)。

　　2　RFID系統(tǒng)的安全問題

　　“系統(tǒng)開放”的設(shè)計思想導(dǎo)致了RFID系統(tǒng)的安全風(fēng)險。此外，RFID設(shè)計和應(yīng)用的目的就是了為降低成本，提高效率，所以要求被大規(guī)模使用的電子標(biāo)簽具有低廉的價格和簡單的元件，從而導(dǎo)致其不能實現(xiàn)復(fù)雜的密碼算法。這些局限使RFID系統(tǒng)面臨的安全威脅更加嚴(yán)重，也對RFID系統(tǒng)的安全機(jī)制的設(shè)計帶來了特殊的要求。如圖4所示，讀寫器發(fā)送至標(biāo)簽的射頻信號的通信信道被稱為“前向信道”，標(biāo)簽發(fā)送至讀寫器的射頻信號的通信信道則稱為“反向信道”。由于在應(yīng)用中大部分標(biāo)簽屬于被動式標(biāo)簽，讀寫器承擔(dān)著為標(biāo)簽提供能量的任務(wù)，所以它的無線功率往往會大大超過標(biāo)簽，這也就導(dǎo)致了系統(tǒng)的前向信道的覆蓋范圍遠(yuǎn)大于反向信道。同時，標(biāo)簽和讀寫器之間的通信也會受到噪聲、通信頻率、障礙物等許多因素的影響。對于RFID系統(tǒng)，我們通常做如下基本假設(shè)：標(biāo)簽與讀寫器之間的通信信道是不安全的;而讀寫器與后端數(shù)據(jù)庫之間的通信信道是安全的。

　　2.1　數(shù)據(jù)完整性問題

　　數(shù)據(jù)完整性是指在通信過程中接收者收到的數(shù)據(jù)與發(fā)送者發(fā)出的數(shù)據(jù)是一致的，沒有被篡改或替換。這一性質(zhì)也說明了數(shù)據(jù)是準(zhǔn)確和可靠的。通信過程中倘若不能保證數(shù)據(jù)的完整性，也就意味著數(shù)據(jù)可能已經(jīng)被篡改或者丟失，導(dǎo)致其包含的信息不完整甚至無效。

　　在基于公鑰的密碼體制中，一般是采取消息摘要或數(shù)字簽名的方式來保證數(shù)據(jù)的完整性。而在RFID系統(tǒng)中，為了保證數(shù)據(jù)完整性，通常會采用消息認(rèn)證碼來進(jìn)行校驗。它使用的是一種帶有共享密鑰或者不帶密鑰的Hash算法，其實質(zhì)是將后端數(shù)據(jù)庫和標(biāo)簽所共享的秘密與待檢驗的消息連接在一起，或者單獨對消息進(jìn)行Hash運算。由于Hash函數(shù)的性質(zhì)，攻擊者對待檢驗消息的任何細(xì)微改動都會產(chǎn)生雪崩效應(yīng)，造成消息認(rèn)證碼的較大改變。事實上，在讀寫器和標(biāo)簽的通信過程中，除了采用ISO　14443標(biāo)準(zhǔn)并使用了消息認(rèn)證碼的高端系統(tǒng)外，傳輸信息的完整性無法得到保障。但如果在具有可讀寫標(biāo)簽的系統(tǒng)中不采用數(shù)據(jù)完整性控制機(jī)制，那么攻擊者就可利用計算機(jī)的通信接口，掃描到在讀寫器發(fā)出查詢請求后RFID標(biāo)簽所作出的響應(yīng)，并由此尋找到系統(tǒng)所使用的加密算法、安全協(xié)議以及實現(xiàn)機(jī)制上的漏洞，然后就可以對標(biāo)簽中的數(shù)據(jù)進(jìn)行篡改或刪除。

　　2.2　身份真實性問題

　　對于RF1D系統(tǒng)的許多應(yīng)用來說，對認(rèn)證標(biāo)簽身份的真實性是非常重要的環(huán)節(jié)。標(biāo)簽和讀寫器只有相互確認(rèn)合法之后，才能輸出自身信息和控制命令。由于標(biāo)簽和讀寫器之間的信息是通過無線射頻信號的方式在不安全信道上傳播，攻擊者可以很容易的從竊聽到的通信數(shù)據(jù)中獲得敏感信息，并以此偽造系統(tǒng)中標(biāo)簽，從而達(dá)到欺騙讀寫器的目的。舉例來說，攻擊者可以通過將截取的合法標(biāo)簽的信息進(jìn)行重放，或利用偽造的標(biāo)簽代替實際物品，或把高價物品標(biāo)簽的內(nèi)容用低價物品標(biāo)簽來替換從而獲取非法利益。同時，為了將物品成功轉(zhuǎn)移，攻擊者也可以通過技術(shù)手段將合法的標(biāo)簽屏蔽掉，以此來躲避讀寫器的跟蹤;反之，也可以偽裝成一個合法的讀寫器向標(biāo)簽發(fā)出控制命令，來修改標(biāo)簽內(nèi)的數(shù)據(jù)。因此，為了保護(hù)數(shù)據(jù)的真實性，讀寫器只有確認(rèn)了標(biāo)簽的合法身份之后才能確信所接收消息的真實性;標(biāo)簽也只能在確認(rèn)了讀寫器的合法身份之后才能向其傳送自身的數(shù)據(jù)。

　　2.3　數(shù)據(jù)隱匿性問題

　　標(biāo)簽內(nèi)的信息僅能被合法的讀寫器識別，這是一個安全的RFID系統(tǒng)必須提供的保障。要保證RFID系統(tǒng)的信息安全，標(biāo)簽就不應(yīng)當(dāng)向任何非法的讀寫器泄漏自身的數(shù)據(jù)。未采用任何安全機(jī)制的標(biāo)簽，其數(shù)據(jù)在通信時不會受到任何保護(hù)，可能會通過并不能保證安全的無線信道向其它不合法的讀寫器泄漏標(biāo)簽內(nèi)的敏感信息。受到成本的限制，大多數(shù)標(biāo)簽的計算能力和存儲空間相當(dāng)有限，缺乏對P-to-P(Point-to-Point)加密以及公鑰基礎(chǔ)設(shè)施PKI(Public　Key　Infrastructure　)密鑰交換等功能的支持，因此在RFID系統(tǒng)讀寫器與標(biāo)簽的信息交換過程中，攻擊者獲取并利用標(biāo)簽上的信息是很容易的事。

　　同時，由于從讀寫器發(fā)送往標(biāo)簽的射頻信號具有較強(qiáng)的覆蓋范圍，它的信號更容易被攻擊者所截獲，因此它和反向信道上的信號相比更加的不安全。攻擊者可以很輕易的竊聽到前向信道中傳送的數(shù)據(jù)，甚至可以通過采用邊信道攻擊的方法，分析在通信過程中產(chǎn)生的時間消耗、功率消耗和各種電磁輻射的規(guī)律性來獲得標(biāo)簽和讀寫器之間的通信數(shù)據(jù)。

　　2.4　用戶隱私侵犯問題

　　在RFID系統(tǒng)的許多應(yīng)用中，標(biāo)簽中所包含的信息主要受到位置隱私和信息隱私兩個方面的侵犯。

　　位置隱私含有高度的個人特征。攻擊者可以通過讀寫器跟蹤到RFID標(biāo)簽的行蹤，從而很輕易的探知到標(biāo)簽持有者的活動軌跡。信息隱私主要包括標(biāo)簽自身所包含的敏感信息，這些信息一旦被泄露，標(biāo)簽持有者的隱私信息往往無法得到保障。舉例來說，大型超市可以在提供給顧客的購物籃、手推車上安裝RFID標(biāo)簽，以跟蹤進(jìn)店消費者的購物路線以及統(tǒng)計在某個片區(qū)的停滯的時間。同樣也可以為每一類商品安裝上區(qū)分于其它商品的唯一標(biāo)簽。這樣，不僅可以統(tǒng)計出商品的銷售情況，甚至還可以根據(jù)統(tǒng)計商品的被移動次數(shù)來推斷顧客的喜好情況。利用這樣的信息，超市就能判斷出消費者的消費習(xí)慣，從而采取相應(yīng)的營銷策略。

　　3　RFID系統(tǒng)的安全需求

　　一套完善安全的RFID系統(tǒng)解決方案，必然有其在安全性和隱私性兩方面的要求。應(yīng)該具備前向安全性、不可分辨性、訪問控制、抗通信量分析、抗重放攻擊等基本特征。

　　1)前向安全性。指攻擊者不能從獲得的當(dāng)前數(shù)據(jù)以及歷史數(shù)據(jù)中分析出標(biāo)簽包含的隱私信息，也不能從獲得的當(dāng)前數(shù)據(jù)回溯出歷史數(shù)據(jù)。

　　2)不可分辨性。指攻擊者無法把截獲的來自不同標(biāo)簽的多個輸出數(shù)據(jù)與發(fā)送它們的標(biāo)簽一一對應(yīng)起來;攻擊者無法通過截獲的來自同一標(biāo)簽的多個輸出數(shù)據(jù)區(qū)分出這個標(biāo)簽的輸出。

　　3)訪問控制。指攻擊者即使偽裝成合法的讀寫器對標(biāo)簽進(jìn)行未授權(quán)的掃描，標(biāo)簽也能成功識別并拒絕;同時，合法的讀寫器能夠順利經(jīng)過標(biāo)簽的認(rèn)證而讀取標(biāo)簽中的信息。

　　4)抗通信量分析。指攻擊者即使截獲了大量的通信數(shù)據(jù)樣本，也無法通過分析這些樣本而得出通信過程中存在的一定規(guī)律，從而破解通信協(xié)議。

　　5)抗重放攻擊。指攻擊者無法通過重放之前截取的讀寫器發(fā)往標(biāo)簽的詢問信息而冒充讀寫器通過標(biāo)簽的認(rèn)證;也無法通過重放之前截取的標(biāo)簽發(fā)往讀寫器的應(yīng)答信息而冒充標(biāo)簽通過讀寫器的認(rèn)證。

　　4　總結(jié)

　　本文首先詳細(xì)介紹了典型RFID系統(tǒng)的三大基本組成及其特點，然后指出了現(xiàn)行的RFID系統(tǒng)在實際運用中存在的安全問題，最后分析得出一個完備的RFID系統(tǒng)所必須滿足的安全需求。我們在設(shè)計RFID系統(tǒng)時，充分分析其安全需求、盡可能的保證系統(tǒng)安全是至關(guān)重要的。