基于射頻識(shí)別技術(shù)的物聯(lián)網(wǎng)安全有什么需求

1前言

根據(jù)國際電信聯(lián)盟的定義，物聯(lián)網(wǎng)主要解決物品到物品，人到物品，人到人之間的互聯(lián)問題。目前，物聯(lián)網(wǎng)（IoT:theInternetofThings）成為學(xué)術(shù)界和工業(yè)界關(guān)注的熱點(diǎn)，被稱為繼計(jì)算機(jī)、互聯(lián)網(wǎng)之后，世界信息產(chǎn)業(yè)的第三次浪潮。物聯(lián)網(wǎng)被認(rèn)為是互聯(lián)網(wǎng)在物理世界的延伸，它通過各種信息傳感設(shè)備，如RFID（RadioFrequencyIDentification）、紅外感應(yīng)器、全球定位系統(tǒng)、激光掃描器等種種裝置與互聯(lián)網(wǎng)相結(jié)合［2］，其目的是讓所有的物品都與網(wǎng)絡(luò)連接成為一個(gè)整體，系統(tǒng)可以自動(dòng)地、實(shí)時(shí)地對(duì)物體進(jìn)行識(shí)別、定位、追蹤、監(jiān)控并觸發(fā)相應(yīng)事件。

基于RFID的物聯(lián)網(wǎng)是指將現(xiàn)實(shí)世界中所有物品通無線射頻識(shí)別等傳感設(shè)備與互聯(lián)網(wǎng)連接起來，實(shí)現(xiàn)對(duì)這些物品的智能化識(shí)別和管理。RFID是實(shí)現(xiàn)物聯(lián)網(wǎng)的核心技術(shù)，因其特有的低成本和高可靠等優(yōu)點(diǎn)而被視為21世紀(jì)最重要、最有發(fā)展前途的信息技術(shù)之一。隨著國內(nèi)外RFID技術(shù)的不斷發(fā)展，RFID憑借其獨(dú)特的優(yōu)勢(shì)已經(jīng)逐漸在物品標(biāo)識(shí)、電子票證、商品防偽、身份識(shí)別、資產(chǎn)管理等各個(gè)領(lǐng)域獲得了廣泛應(yīng)用。

基于RFID的物聯(lián)網(wǎng)技術(shù)不斷的發(fā)展和基于RFID的物聯(lián)網(wǎng)系統(tǒng)的廣泛應(yīng)用，也為系統(tǒng)的運(yùn)營者和使用者帶來了復(fù)雜的安全問題。當(dāng)前由于對(duì)基于RFID的物聯(lián)網(wǎng)系統(tǒng)定義不明確，威脅模型不清晰，因而很難對(duì)基于RFID的物聯(lián)網(wǎng)安全需求進(jìn)行全面的分析。本文試圖建立基于RFID的物聯(lián)網(wǎng)系統(tǒng)抽象模型，并建立相應(yīng)的威脅模型，最終根據(jù)信息安全的最基本的四個(gè)維度（機(jī)密性、完整性、可用性、可審計(jì)性）給出基于RFID的物聯(lián)網(wǎng)系統(tǒng)的安全需求。

本文將通過研究基于RFID的物聯(lián)網(wǎng)的系統(tǒng)結(jié)構(gòu)，分析其潛在的安全威脅，提出相應(yīng)的安全需求。第二節(jié)介紹物聯(lián)網(wǎng)安全的研究現(xiàn)狀;第三節(jié)介紹基于RFID的物聯(lián)網(wǎng)體系結(jié)構(gòu);第四節(jié)闡述基于RFID的物聯(lián)網(wǎng)系統(tǒng)潛在的威脅和攻擊;第五節(jié)針對(duì)第四節(jié)所描述的各種安全問題提出基于RFID物聯(lián)網(wǎng)系統(tǒng)的安全需求;最后總結(jié)并展望全文。

2相關(guān)研究

目前，基于RFID的物聯(lián)網(wǎng)的安全性問題得到了廣泛的關(guān)注，研究?jī)?nèi)容主要集中在以下兩個(gè)方面：RFID系統(tǒng)本身的安全問題以及RFID相關(guān)信息在傳統(tǒng)互聯(lián)網(wǎng)中的安全問題。

RFID系統(tǒng)本身包括標(biāo)簽、讀寫器以及標(biāo)簽與讀寫器之間的射頻通信信道。RFID系統(tǒng)容易遭受各種主動(dòng)和被動(dòng)攻擊的威脅：Mitrokotsa等人從物理層、網(wǎng)絡(luò)傳輸層、應(yīng)用層、策略層四個(gè)層次分析了RFID系統(tǒng)的攻擊和威脅，并總結(jié)了相應(yīng)的解決方法。Juels［3］認(rèn)為RFID系統(tǒng)本身的安全問題可歸納為隱私和認(rèn)證兩個(gè)方面：在隱私方面主要是可追蹤性問題，即如何防止攻擊者對(duì)RFID標(biāo)簽進(jìn)行任何形式的跟蹤;在認(rèn)證方面主要是要確保只有合法的閱讀器才能夠與標(biāo)簽進(jìn)行交互通信。當(dāng)前，保障RFID系統(tǒng)本身安全的方法主要有三大類：物理方法（Kill命令，靜電屏蔽，主動(dòng)干擾以及BlockerTag方法等），安全協(xié)議（哈希鎖，哈希鏈，挑戰(zhàn)響應(yīng)機(jī)制，重加密機(jī)制等），以及上述方法的結(jié)合。

由于RFID相關(guān)信息跟業(yè)務(wù)層的用戶隱私、商業(yè)機(jī)密相關(guān)，因此RFID相關(guān)信息在互聯(lián)網(wǎng)中的安全傳輸和存儲(chǔ)問題也值得研究和探討。與傳統(tǒng)互聯(lián)網(wǎng)中的安全傳輸問題一致，可采用VPN（VirtualPrivateNetworks），TLS（TransportLayerSecurity）等安全技術(shù)來保障RFID相關(guān)信息在互聯(lián)網(wǎng)中的機(jī)密性和完整性。

3基于RFID的物聯(lián)網(wǎng)系統(tǒng)

基于RFID的物聯(lián)網(wǎng)系統(tǒng)從物理世界和邏輯空間兩個(gè)層面進(jìn)行分析。物聯(lián)網(wǎng)系統(tǒng)的物理世界由無數(shù)的商品、無線傳感設(shè)備等組成;在邏輯空間上，基于RFID的物聯(lián)網(wǎng)系統(tǒng)一般由標(biāo)簽層、射頻通信層、讀寫器層、互聯(lián)網(wǎng)層和應(yīng)用系統(tǒng)層構(gòu)成。

顯示了定義1中基于RFID的物聯(lián)網(wǎng)各個(gè)分量的內(nèi)容及其相互關(guān)系，具體描述如下：物理世界：物理世界是由各種實(shí)實(shí)在在的物體構(gòu)成的，包括物品、計(jì)算機(jī)、無線傳感器等，在物聯(lián)網(wǎng)中，這些物體都是物理上充分互聯(lián)的。

標(biāo)簽層：標(biāo)簽層由RFID標(biāo)簽和物品組成，RFID標(biāo)簽類似物品包裝上的條形碼，記載貨物的信息，它一般是粘貼在物品上或者嵌在物品里面。根據(jù)其能量來源，RFID標(biāo)簽可分為被動(dòng)式，半被動(dòng)式和主動(dòng)式三大類。

射頻通信層：RFID是一種非接觸式的自動(dòng)識(shí)別技術(shù)，它通過射頻信號(hào)自動(dòng)識(shí)別目標(biāo)對(duì)象并獲取相關(guān)數(shù)據(jù)信息。讀寫器通過發(fā)射天線發(fā)送一定頻率的射頻信號(hào)，當(dāng)標(biāo)簽進(jìn)入發(fā)射天線工作區(qū)域時(shí)產(chǎn)生感應(yīng)電流，標(biāo)簽內(nèi)的芯片獲得能量被激活;標(biāo)簽將自身編碼等信息通過其內(nèi)置的發(fā)送天線發(fā)送出去;系統(tǒng)接收天線接收到從標(biāo)簽發(fā)送來的載波信號(hào)，經(jīng)天線調(diào)節(jié)器傳送到讀寫器。

讀寫器層：RFID讀寫器，實(shí)際上是一個(gè)帶有天線的無線發(fā)射與接收設(shè)備，它對(duì)RFID標(biāo)簽進(jìn)行讀/寫操作的設(shè)備，主要包括射頻模塊和數(shù)字信號(hào)處理單元兩部分，具有較大的計(jì)算能力和存儲(chǔ)空間。讀寫器對(duì)從標(biāo)簽層接收到的射頻信號(hào)進(jìn)行解調(diào)和解碼，然后通過互聯(lián)網(wǎng)發(fā)送到應(yīng)用系統(tǒng)進(jìn)行相關(guān)處理?；ヂ?lián)網(wǎng)層：在基于RFID的物聯(lián)網(wǎng)系統(tǒng)中，標(biāo)簽層與讀寫器層之間是通過射頻信號(hào)進(jìn)行通信的，而讀寫器層與應(yīng)用系統(tǒng)層之間是通過互聯(lián)網(wǎng)進(jìn)行通信的。

應(yīng)用系統(tǒng)層：應(yīng)用系統(tǒng)用于實(shí)現(xiàn)對(duì)RFID標(biāo)識(shí)物的有序管理，主要應(yīng)用于物品識(shí)別、電子票證、商品防偽、身份識(shí)別、資產(chǎn)管理等領(lǐng)域。應(yīng)用系統(tǒng)通常包括了后臺(tái)數(shù)據(jù)庫系統(tǒng)，它可以是運(yùn)行于任何硬件平臺(tái)的數(shù)據(jù)庫系統(tǒng)，可由用戶根據(jù)實(shí)際需要自行選擇，通常假設(shè)其計(jì)算能力和存儲(chǔ)能力強(qiáng)大，數(shù)據(jù)庫中存儲(chǔ)著RFID標(biāo)簽相關(guān)的信息。

4基于RFID的物聯(lián)網(wǎng)安全威脅

隨著RFID技術(shù)的快速推廣應(yīng)用，其數(shù)據(jù)安全問題在某些領(lǐng)域甚至已經(jīng)超出了原有計(jì)算機(jī)信息系統(tǒng)的安全邊界，成為一個(gè)廣為關(guān)注的問題。主要原因如下：

（1）標(biāo)簽計(jì)算能力弱：RFID標(biāo)簽在計(jì)算能力和功耗方面具有特有的局限性［7］，RFID標(biāo)簽的存儲(chǔ)空間極其有限，如最便宜的標(biāo)簽只有64-128位的ROM，僅可容納惟一的標(biāo)識(shí)符。由于標(biāo)簽本身的成本所限，標(biāo)簽自身較難具備足夠的安全能力，極容易被攻擊者操控，惡意用戶可能利用合法的閱讀器或者自行構(gòu)造一個(gè)閱讀器，直接與標(biāo)簽進(jìn)行通信，讀取、篡改甚至刪除標(biāo)簽內(nèi)所存儲(chǔ)的數(shù)據(jù)。在沒有足夠可信任的安全機(jī)制的保護(hù)下，標(biāo)簽的安全性、有效性、完整性、可用性、真實(shí)性都得不到保障。

（2）無線網(wǎng)絡(luò)的脆弱性：標(biāo)簽層和讀寫器層采用無線射頻信號(hào)進(jìn)行通信，在通信的過程中沒有任何物理或者可見的接觸（通過電磁波的形式進(jìn)行），而無線網(wǎng)絡(luò)固有的脆弱性使RFID系統(tǒng)很容易受到各種形式的攻擊。這在給應(yīng)用系統(tǒng)數(shù)據(jù)采集提供靈活性和方便性的同時(shí)也使傳遞的信息暴露于大庭廣眾之下。

（3）業(yè)務(wù)應(yīng)用的隱私安全：在傳統(tǒng)的網(wǎng)絡(luò)中，網(wǎng)絡(luò)層的安全和業(yè)務(wù)層的安全是相互獨(dú)立的，而物聯(lián)網(wǎng)中網(wǎng)絡(luò)連接和業(yè)務(wù)使用是緊密結(jié)合的，物聯(lián)網(wǎng)中傳輸信息的安全性和隱私性問題也成為了制約物聯(lián)網(wǎng)進(jìn)一步發(fā)展的重要因素。

根據(jù)RFID的物聯(lián)網(wǎng)系統(tǒng)結(jié)構(gòu)，我們把物聯(lián)網(wǎng)的威脅和攻擊分為兩類（見表1）：一類是針對(duì)物聯(lián)網(wǎng)系統(tǒng)中實(shí)體的威脅，主要是針對(duì)標(biāo)簽層、讀寫器層和應(yīng)用系統(tǒng)層的攻擊;一類是針對(duì)物聯(lián)網(wǎng)中通信過程的威脅，包括射頻通信層以及互聯(lián)網(wǎng)層的通信威脅。

這類攻擊與傳統(tǒng)意義上的互聯(lián)網(wǎng)中的攻擊基本一致，可以用現(xiàn)有成熟的安全技術(shù)和密碼機(jī)制來解決，此處不作詳細(xì)解釋。

5基于RFID的物聯(lián)網(wǎng)安全需求

基于以上對(duì)安全威脅的分析，我們確定基于RFID的物聯(lián)網(wǎng)中需要保護(hù)的對(duì)象有標(biāo)簽、讀寫器、應(yīng)用系統(tǒng)，以及射頻通信層、互聯(lián)網(wǎng)層的通信。因此，我們認(rèn)為構(gòu)建一個(gè)安全的物聯(lián)網(wǎng)系統(tǒng)還必須從信息安全的四大基本要求（機(jī)密性、可用性、完整性、可審計(jì)性）出發(fā)，來綜合考慮物聯(lián)網(wǎng)系統(tǒng)中的實(shí)體安全和通信安全。

5.1標(biāo)簽層

標(biāo)簽中的被保護(hù)數(shù)據(jù)包括四種類型：

（1）標(biāo)簽標(biāo)識(shí);

（2）用于認(rèn)證和控制標(biāo)簽內(nèi)數(shù)據(jù)訪問的密鑰;

（3）標(biāo)簽內(nèi)的業(yè)務(wù)數(shù)據(jù);

（4）標(biāo)簽的執(zhí)行代碼。

機(jī)密性：是指標(biāo)簽內(nèi)的數(shù)據(jù)不能被未授權(quán)的用戶所訪問。特別是標(biāo)簽標(biāo)識(shí)，由于其相對(duì)固定并與物理世界中的物體，包括人，發(fā)生緊密關(guān)聯(lián)，因此標(biāo)簽標(biāo)識(shí)的機(jī)密性作為隱私問題而被特別關(guān)注。在保護(hù)標(biāo)簽機(jī)密性的時(shí)候，除了傳統(tǒng)安全領(lǐng)域的安全策略以外，在實(shí)現(xiàn)時(shí)又需要考慮標(biāo)簽的低成本、低性能特性。換句話說，由于標(biāo)簽往往非常小而且成本低廉，因此其計(jì)算能力非常重要，在考慮引入傳統(tǒng)的加密機(jī)制、認(rèn)證機(jī)制和訪問控制的時(shí)候，必須充分考慮其實(shí)現(xiàn)時(shí)的計(jì)算能力問題。

完整性：是指標(biāo)簽內(nèi)的數(shù)據(jù)不能被未授權(quán)的用戶所修改。這里完整性主要用于保護(hù)標(biāo)簽內(nèi)的業(yè)務(wù)數(shù)據(jù)不受惡意用戶修改，因?yàn)檫@些數(shù)據(jù)往往包括著大量業(yè)務(wù)相關(guān)的信息。尤其是當(dāng)標(biāo)簽用于金融支付系統(tǒng)中，這些數(shù)據(jù)往往有著直接的經(jīng)濟(jì)意義。而標(biāo)簽標(biāo)識(shí)、標(biāo)簽內(nèi)的密鑰、標(biāo)簽的執(zhí)行代碼的完整性保護(hù)由于可以采用一些常規(guī)硬件保護(hù)措施實(shí)現(xiàn)而沒有被重點(diǎn)研究。

可用性：是指標(biāo)簽內(nèi)的數(shù)據(jù)和功能可以進(jìn)行正常讀取和響應(yīng)。標(biāo)簽或粘貼在物品的表面或嵌在物品里面，粘貼在物品上的標(biāo)簽和標(biāo)簽的芯片很容易被毀壞。此外，EPCglobal規(guī)定標(biāo)簽中的KILL命令［20］可以刪除標(biāo)簽里部分或者全部數(shù)據(jù)使之永久失效，KILL命令是為了隱私的目的而制定的，攻擊者可以利用這一命令毀壞標(biāo)簽，甚至永久毀壞標(biāo)簽。所以要保證標(biāo)簽的可用性，使之能夠正常響應(yīng)閱讀器的請(qǐng)求。

可審計(jì)性：是指對(duì)標(biāo)簽的任何讀寫操作都能被審計(jì)追蹤，保障標(biāo)簽的可審計(jì)性。

5.2讀寫器層

讀寫器中被保護(hù)的數(shù)據(jù)包括三種類型：（1）與標(biāo)簽進(jìn)行相互認(rèn)證的密鑰;（2）與標(biāo)簽相關(guān)的數(shù)據(jù);（3）讀寫器的執(zhí)行代碼。

機(jī)密性：是指讀寫器內(nèi)的數(shù)據(jù)只能被授權(quán)用戶訪問。尤其是與標(biāo)簽進(jìn)行相互認(rèn)證的密鑰，密鑰信息一旦泄露，攻擊者很可能假冒讀寫器與標(biāo)簽進(jìn)行通信，因此必須保證讀寫器內(nèi)密鑰的機(jī)密性。與標(biāo)簽不同的是，讀寫器不需要嚴(yán)格考慮成本、性能問題，因此可以通過傳統(tǒng)的加密機(jī)制來保護(hù)其機(jī)密性。

完整性：是指讀寫器內(nèi)的數(shù)據(jù)只能被授權(quán)用戶修改。尤其要保護(hù)與標(biāo)簽相關(guān)的信息不被攻擊者修改，因?yàn)檫@些信息往往與業(yè)務(wù)相關(guān)。

可用性：是指讀寫器可以正常發(fā)送請(qǐng)求并響應(yīng)標(biāo)簽的回復(fù)。攻擊者可能利用或毀壞讀寫器，因此需要保障讀寫器的可用性。

可審計(jì)性：是指讀寫器對(duì)標(biāo)簽的任何操作，包括讀與寫都可以被監(jiān)測(cè)、追蹤和審計(jì)。

5.3應(yīng)用系統(tǒng)層

應(yīng)用系統(tǒng)中與RFID相關(guān)的被保護(hù)數(shù)據(jù)包括三種類型：

（1）與標(biāo)簽相關(guān)的數(shù)據(jù);

（2）與用戶相關(guān)的數(shù)據(jù);

（3）與業(yè)務(wù)應(yīng)用相關(guān)的數(shù)據(jù)（如購物記錄、銀行交易等）;

（4）代碼。

機(jī)密性：是指應(yīng)用系統(tǒng)中的數(shù)據(jù)不能被非授權(quán)用戶訪問。特別是與標(biāo)簽相關(guān)和與用戶相關(guān)的信息，這些信息往往牽涉到用戶的隱私［8］，一般存在后臺(tái)數(shù)據(jù)庫中，一旦被攻擊者獲取，使用者的隱私權(quán)將無法得到保障。另外，還必須保障與業(yè)務(wù)應(yīng)用相關(guān)的數(shù)據(jù)的機(jī)密性，因?yàn)楣粽吆芸赡芡ㄟ^分析這些數(shù)據(jù)來跟蹤用戶的行蹤、甚至分析用戶的消費(fèi)習(xí)慣。

完整性：是指應(yīng)用系統(tǒng)中的數(shù)據(jù)不能被非授權(quán)用戶修改。尤其是與用戶相關(guān)的數(shù)據(jù)和業(yè)務(wù)應(yīng)用數(shù)據(jù)，一旦被攻擊者修改，可能造成很大的經(jīng)濟(jì)損失。

可用性：是指保證應(yīng)用系統(tǒng)正常運(yùn)轉(zhuǎn)，滿足用戶的需求。

可審計(jì)性：是指保證應(yīng)用可被監(jiān)測(cè)、追蹤和審計(jì)。

5.4射頻通信層

射頻通信層被保護(hù)的對(duì)象包括：（1）通信數(shù)據(jù);（2）通信信道。

機(jī)密性：是指保護(hù)射頻通信層通信數(shù)據(jù)的機(jī)密性。射頻通信層是通過無線射頻信號(hào)進(jìn)行通信，攻擊者可以通過采用竊聽技術(shù)，分析微處理器正常工作過程中產(chǎn)生的各種電磁特征，來獲得標(biāo)簽和讀寫器之間或其他RFID通信設(shè)備之間的通信數(shù)據(jù)。而且，由于從讀寫器到標(biāo)簽的前向信道具有較大的覆蓋范圍，因而它比從標(biāo)簽到讀寫器的后向信道更不安全。所以，射頻通信層的通信數(shù)據(jù)的機(jī)密性顯得尤為重要。

完整性：是指保護(hù)射頻通信層通信數(shù)據(jù)不能夠被非授權(quán)修改。攻擊者可利用射頻通信層無線網(wǎng)絡(luò)固有的脆弱性來篡改或重放消息，來破壞讀寫器與標(biāo)簽之間的正常通信，因此需要采取加密、哈?；駽RC校驗(yàn)碼等方式來保證通信數(shù)據(jù)的完整性。

可用性：是指保護(hù)通信信道能正常通信。射頻信號(hào)很容易受到干擾，惡意攻擊者可能通過干擾廣播、阻塞信道等方法來破壞射頻通信信道，因此需要保障射頻通信層的可用性。

5.5互聯(lián)網(wǎng)層

互聯(lián)網(wǎng)層在機(jī)密性、完整性和可用性方面的需求與傳統(tǒng)互聯(lián)網(wǎng)的需求基本一致，此處不再贅述。

6結(jié)論與展望

本文提出了基于RFID的物聯(lián)網(wǎng)的抽象模型，并對(duì)進(jìn)行了威脅建模，最后基于抽象模型和威脅模型，從信息安全的四個(gè)維度給出了基于RFID的物聯(lián)網(wǎng)的安全需求。

目前，安全問題已經(jīng)成為了阻礙基于RFID的物聯(lián)網(wǎng)進(jìn)一步發(fā)展的重要因素，如果其安全性不能得到充分保證，那么物聯(lián)網(wǎng)系統(tǒng)中的個(gè)人信息、商業(yè)機(jī)密和軍事秘密，都可能被人盜竊或被不法分子利用，這必將嚴(yán)重影響經(jīng)濟(jì)安全、軍事安全和國家安全。但物聯(lián)網(wǎng)系統(tǒng)龐大復(fù)雜，涉及到嵌入式系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、控制系統(tǒng)、軟件系統(tǒng)、安全系統(tǒng)等多種技術(shù)體系，相信經(jīng)過長(zhǎng)期、深入、持續(xù)的研究，因此，本文安全需求的提出可以給現(xiàn)有的基于RFID的物聯(lián)網(wǎng)的發(fā)展在安全保障方便提供一定的借鑒意義。在接下去的研究中，我們將探索如何應(yīng)用相關(guān)的技術(shù)和管理手段，為基于RFID的物聯(lián)網(wǎng)系統(tǒng)設(shè)計(jì)一種完善的安全保障框架。