作者：王笑梅 張朝暉 來源：萬方數據 摘要：本文對RFID網絡的安全性風險做出檢測和反應正成為信息安全研究的主要關注點。電子商務是RFD網絡最主要的應用領域之一，網絡的安全性將會影響RFID技術的應用。本文首先討論RFID網絡的架構，根據保密性、完整性、可用性對RFID網絡中存在的風險進行了分析，對相應的對策的效果做了一個整體評估．如果不能對標簽進行訪問控制，查詢服務不能很好地設計，將會導致大量風險。 ?隨著經濟全球化和電子商務的不斷發展，企業越來越依賴于全球化的信息平臺，希望可以利用一種可靠、安全的方式提供物品的信息。將RFID技術應用于現有的Internet中，可提供一個這樣的服務平臺：基于RFID技術的電子商務體系不僅實現產品在制造商、供應商、各級物流中心、零售商和顧客之間實現快速的流通，同時實現信息的共享，對物流信息的溯源。 ??隨著RFID技術在信息共享中使用越來越普遍，RFID網絡使用的不斷擴展，網絡中原本安全的信息將從相對封閉的供應鏈面向相對開放的環境，就像英特網從只是研究人員使用的網絡發展成為開放的公共網絡一樣，在安全性上會存在很多風險。RFID網絡系統的完善性將變得越來越重要。網絡中存在的風險會造成信息的丟失，帶來其他的重要問題以及供應鏈的延誤。 ??1 國內外的相關研究 ??在RFID網絡中存在的安全性問題在信息安全性研究中得到越來越多的關注。提出了相關分析、研究和解決方案。 ??射頻技術在識別對象和物品上的應用已超過了60年，在現代應用中(供應鏈管理、醫藥衛生、動物識別等)，為解決RFID的隱私與安全問題，國內外一些研究人員提出了一些技術方案。如Kill標簽，這是一種最簡單的解決非法跟蹤問題的方法，但限制了標簽的進一步利用;法拉第網罩通過阻止標簽和閱讀器之間的通信保護用戶隱私，但不實用;主動干擾通過施放干擾信號防止非法讀取信息等。這些方法都是基于物理機制的。 ??還有很多是利用多種加密技術進行訪問控制來保護RFID網絡中的信息，如討論的建立一個安全的授權協議，利用密碼技術確認讀取信息的讀寫器是否經過授權。對I心D網絡上的讀寫器和標簽之間的信息交換時存在的風險做了評估。文討論了現在無線網絡應用中存在的風險和威脅。由于標簽在存儲空間和計算能力上都是不同的，基于RFD的安全機制對于那些低端的標簽不夠完善，現有的網絡安全機制和加密算法不合適，一些加密算法并不能有效地防范攻擊者帶來的威脅。本文以基于保密性、完整性、可用性的原則對RFID網絡中存在的安全性風險進行分析和評估，為以后的安全機制的研究提供優先性的依據。同時，對現有解決方案和對策所能解決的問題和存在的不足做出論證。 ??2 EPC網絡體系結構 ??RFID是一種非接觸式的自動識別技術，通過射頻信號自動識別目標對象并獲取相關數據信息。系統由標簽和讀寫器構成。為了降低標簽的成本，標簽中通常只存儲一個識別號，做為數據查詢的鍵值，其他的相關信息存儲在網絡中的服務器上，這需要一個RFID信息交換平臺來存儲和分享商品流通的信息。RFID網絡就是在現有的Intemet基礎上利用RFID和數據通信技術構建的一個信息交換平臺，該網絡中的實體對象采用非人工干預的方式，實現信息的共享和交互。 ??目前最典型的RFID網絡是EPCglobal提出的EPC(electronic product code)網絡。在EPC網絡，標簽中寫入的是EPC編碼，并利用EPC編碼檢索商品信息。EPC編碼長度有64bit、96bj石陽256bit 3種，編碼由標頭、廠商識別代碼、對象分類代碼、序列號等數據字段組成。如EPC編碼SGTIN 9 101 003 003中，SGTIN表示編碼標準，910 100表示公司編碼，300表示產品編碼，3表示序列號。 EPC標準代表一個數字化的框架，和具體的硬件特征是相互獨立的，如與標簽或射頻的種類無關。EPC網絡是一個大型的分布式數據庫系統，由制造商、銷售商、零售商或第三方來維護，該網絡的架構由標準化組織EPCglobal設計和實施。本文首先以此網絡為樣本分析信息在傳輸和交互中存在的風險。EPC網絡的功能架構如圖1所示。 ??3 RFID網絡風險分析 ??3.1 風險分析方法 ??在RFID網絡環境中，所有有關商品的信息都以電子形式直接在網絡中傳遞和交換，如EPC網絡中的EPC編碼，EPC中的公司編碼和一些相關編碼信息結合起來就可以提供足夠的商品信息。所以，為了確保交易各方的權益和信息的安全性，網絡必須具有完善的安全機制，滿足以下信息安全性需求： ??(1)機密-|生(confidentiality)-確保信息在存儲。使用、傳輸過程中不會泄漏給非授權用戶或實體，對數據和資源提供保護。(2)完整。]生(integrity)：包括數據完整性和身份完整性，確保信息在存儲、使用、傳輸過程中不會被非授權用戶篡改，同時還要防止授權用戶對系統及信息進行不恰當的篡改，保持信息內、外部表示的一致性。(3)可用性(availability)：確保授權用戶或實體對信息及資源的正常使用不會被異常拒絕，允許其可靠而及時地訪問信息及資源。(4)不可否認性(non-repudiation)-確保用戶無法否認對信息的操作。 ??除了以上幾點外，信息安全還有一些其他原則，包括可追溯。l生(accoumability)、真實性(authenticity)、可控性(controllable)等，這些都是對以上原則的細化、補充或加強。與這些安全性相對應的就是存在的風險，如服務失效(拒絕服務)、信息竊聽、未授權的篡改(信息修改、數據包重放)、欺騙等。這是信息安全中必須解決的問題。 ??3.2 識別系統風險 ??識別系統部件之間的通信信道，如RFID標簽和讀寫器之間是不安全的無線信道。在該系統存在很多涉及安全性和隱私性的問題，一直是很多研究的關注點。 ??(1)欺騙攻擊(spoofmg)。信息公開：(informationdisclosure)和提高權限(elevation of privilege)會給信息的機密性帶來威脅。欺騙攻擊是指攻擊者向系統提供與有效信息相似的虛假信息，如在一個RFID系統中利用一個虛假的讀寫器讀取標簽，獲取標簽中的信息。欺騙攻擊不僅會帶來機密性風險還會導致完整性風險。信息公開也會給RFID系統帶來風險，RFID系統中的標簽數據可在一定距離中傳輸，且在讀寫器和標簽中的通信信道是不安全的無線信道，容易被攻擊者竊聽，根據標簽中的識別信息的唯一性，可以實施對攜帶該標簽對象的克隆和跟蹤。 ??(2)篡改數據(tampering with data)可以造成完整性風險。攻擊者可以通過刪除、添加、修改標簽中的數據，或在標簽和讀寫器通信之間篡改信息來實現對系統的破壞。 ??(3)拒絕服務攻擊(denial of service)，又稱淹沒攻擊。當數據量超過服務器的處理能力導致信號淹沒時，則會發生拒絕攻擊。在RFID系統中還可以通過射頻阻塞(RFjamming)，即用噪聲信號淹沒射頻信號導致系統失效。現在很多標簽都有Kill指令，使標簽可以被滅活，以保護私有信息的安全性，文獻中就介紹了一種攻擊方式，可以觸發Kill指令，使標簽失效。 ??3.3 查詢服務中的風險 ??在RFID網絡中，信息的交換依賴于信息查詢服務，信息查詢服務若存在風險會導致各種商務活動的風險。而查詢服務的核心是信息服務器和物品名稱解析服務系統(ONS)。當需要檢索某個商品信息時，首先檢索ONS，查詢相關的信息服務器，再直接查詢信息服務器獲取相關信息。 ??和信息服務器的連接雖然使用了安全套接字層(SSL)/安全傳輸層(TLS)，但在初始化ONS查詢進程服務時是沒有認證和加密措施的，部分編碼主體是以明文方式在中間件和ONS之間傳遞，而這些編碼會導致商業信息的泄漏，給信息的機密性帶來風險。 ??一個攻擊者如果控制了中間ONS或DNS服務器或者成功實現中間人通信攻擊，就可以偽造返回的信息服務器的列表。攻擊者利用名稱鏈或緩存病毒入侵攻擊，就會導致用戶和非法的服務器交換信息，帶來極大的風險，這些都會給信息的機密性和完整性帶來風險。ONS提供的服務是整個RFID網絡的關鍵，而面對拒絕服務攻擊是很脆弱的，如果不能很好的解決拒絕服務攻擊的問題，會對RFID網絡的可用性帶來很大的風險。 ??4 對策 ??下面討論降低風險所采取的對策。在RFID網絡安全機制中，解決風險性的問題有3種途徑，身份認證、數據保護和訪問控制。 ??身份認證是一個驗證過程，確認網絡中的對等實體的身份和所發信息的真實性。如果以風險發生的可能性和風險對系統的影響為主要因素來評估風險的威脅程度，則在D系統中欺騙和非法的信息公開是最危險的。由于篡改數據在技術實現上存在較大的困難，該威脅造成的風險可以暫時忽略。欺騙攻擊產生的主要原因是缺乏必要的認證體系。現在的信息安全系統中已有身份驗證方法，如利用PKI技術來分配和管理身份。PⅪ技術已十分成熟，現有的WEB安全協議也都支持以PKI為基礎的身份認證，但在RFID網絡中應用會存在成本和易用性的問題，能否將PKI技術應用于RFID網絡中是值得探討的。RFID的應用很大程度依賴于不太需要人為干預的數據收集，因此在RFID網絡中身份認證的一個關鍵因素可以是實現RFID讀寫器的身份認證。 ??數據保護是確保數據在網絡中傳播或保留在存儲媒介時不能被未授權的攻擊者攔截或修改。數據保護通常利用加密機制來實現?，F在的一些標簽具有了更好的安全加密功能，保證了在讀寫器讀取信息的過程中不會把數據擴散出去。如EPC Gen2標簽在芯片中有96 B的存儲空間，為了更好的保護存儲在標簽和相應數據庫中的數據，在公開(unconceal)、解鎖(unlock)和滅活(kill)指令中都設置了專門的口令，使得標簽不能隨意被公開、解鎖和滅活【121。訪問控制是確保那些敏感性數據只能被??過認證和授權的用戶訪問。由于RFID標簽的計算和存儲資源有限，已有的加密算法并不適合RFID網絡，如Hash鏈協議需要后臺進行大量的Hash運算，只適用于小規模應用。YA-TRAP協議不需要后臺數據庫計算，服務器負擔小，但容易受到拒絕服務攻擊。受限于RFID標簽的物理特性，輕型算法和輕型協議將會是實現數據身份認證和數據保護的研究重點。 ??在查詢服務中，欺騙、信息公開、篡改數據和拒絕服務帶來的風險都是必須嚴肅對待的?，F有的對策主要有虛擬專用網fVPN)、安全套接層協議(SSL)專用通道、DNS安全性擴展(DNSSEC)等。VPN或SSL專用通道利用VPN和sSL加密技術建立一個私有的RFID網絡，可降低在進行查詢時在機密性和完整性上存在的風險，但無法實現動態的全球化的信息平臺共享。安全傳輸層協議(TLS)可以解決信息服務器的機密性和完整性問題，但會對ONS的查詢過程帶來問題。DNSSEC是一整套安全規則，用來確保域名系統內部信息的安全，在提供權限認證功能的同時保證信息的完整。如果DNSSECf張被廣泛使用，就可以確保RFD網絡中ONS信息的真實性，查詢服務中存在的很多安全性問題將迎刃而解。 ??5 結論 ??隨著RFID技術的不但發展，對RFID技術的安全性研究已成為信息安全研究的一個關注點。RFID網絡的全球性、開放性和低成本性，將會給商業活動帶來革命性的變革，但正由于它的開放性和高連接性，使網絡具有高自由度，也面臨來自不同源和不同方式攻擊的威脅。本文對RFID網絡的安全隱患和風險做了分析，對相應的對策做了介紹。到目前為止，由于RFID標簽和后端系統之間的通信是非接觸和無線的，很容易受到竊聽;標簽本身的計算能力和可編程性直接受到成本要求的限制;網絡的設計特別是ONS固有的缺陷等都會給RFID網絡帶來風險。要想真正發揮RFID網絡的作用，為顧客提供一個高速度、低成本的信息共享平臺就必須在確定系統的風險和隱患后，采取有效措施來降低風險，尋找有效的手段和方法對系統進行安全防護，使系統遭受安全攻擊的可能性最小化。未來的研究目標是輕型的低成本、高安全性的安全機制，以保證RFID網絡上信息的機密性、完整性和可用性。一 (mbbeetchina)