RFID的全稱是非接觸式的自動ID識別技術(shù)。這項技術(shù)是通過射頻信號對某個目標(biāo)的ID號自動識別以后得到這個對象的信息，并獲取相關(guān)數(shù)據(jù)。由于它快速、實時、準(zhǔn)確采集、精確處理對象物的ID信息，世界已將RFID公認(rèn)為本世紀(jì)十大技術(shù)之一。從某個角度上說，該技術(shù)可稱為條形碼無線識別的升級版。RFID具有條形碼所不具備的防水、防磁、耐高溫、使用壽命長、讀取距離大、標(biāo)簽上數(shù)據(jù)可以加密、存儲容量更大、存儲信息更改自如、可識別高速運動物體并可同時識別多個標(biāo)簽、操作方便快捷、可適用各種工作環(huán)境。介于上述的優(yōu)點，它在生產(chǎn)、零售、物流、交通等各個行業(yè)有著廣泛的應(yīng)用前景。

    但隨著RFID的進(jìn)一步推廣一些問題也相應(yīng)出現(xiàn)，這些問題制約著它的發(fā)展。其中最為顯著的是安全問題。由于最初的RFID開發(fā)設(shè)計者和應(yīng)用人員并沒有考慮其相應(yīng)的安全問題，因此安全問題成了制約RFID發(fā)展的瓶頸問題。假如沒有值得信賴的信息安全機制。RFID技術(shù)的普及就成為空談，試想一個信息被任意竊取甚至被惡意篡改的技術(shù)能有多大的生存空間，它只能成為類似紙上談兵的空話。另外，不具有可靠信息安全機制的射頻標(biāo)簽，還存在著易向鄰近的讀寫器泄漏敏感信息、易被干擾和易被跟蹤等安全隱患。如果RFID的安全性不能得到充分保證。RFID系統(tǒng)中的軍事秘密、商業(yè)機密和個人信息，都可能被盜竊和利用。這勢必會給國家、集體、個人帶來無法估量的損失。故RFID的安全問題已經(jīng)提到議事日程上來。

    1 RFID系統(tǒng)工作原理

    RFID系統(tǒng)的基本工作原理如圖1所示。閱讀器與標(biāo)簽之間通過無線信號建立雙方通信的通道．閱讀器通過天線發(fā)出電磁信號。電磁信號攜帶了閱讀器向標(biāo)簽的查詢指令。當(dāng)標(biāo)簽處于閱讀器工作范圍時。標(biāo)簽將從電磁信號中獲得指令數(shù)據(jù)和能量，并根據(jù)指令將標(biāo)簽標(biāo)識和數(shù)據(jù)以電磁信號的形式發(fā)送給閱讀器?；蚋鶕?jù)閱讀器的指令改寫存儲在RFID標(biāo)簽中的數(shù)據(jù)。閱讀器可接收RFID標(biāo)簽發(fā)送的數(shù)據(jù)或向標(biāo)簽發(fā)送數(shù)據(jù)，并能通過標(biāo)準(zhǔn)接口與后臺服務(wù)器通信網(wǎng)絡(luò)進(jìn)行對接，實現(xiàn)數(shù)據(jù)的通信傳輸。

    根據(jù)標(biāo)簽?zāi)芰揩@取方式，RFlD系統(tǒng)工作方式可分為：近距離的電感耦合方式和遠(yuǎn)距離的電磁耦合方式。

    2 RFID安全問題及解決策略

    經(jīng)過對工作原理的研究，RFID的安全隱患相對于閱讀器與后臺服務(wù)器重點是閱讀器與標(biāo)簽。要分析一個系統(tǒng)存在哪些安全問題最好的辦法是站在攻擊者的立場上分析即他們采用什么攻擊方式最為簡單、有效、隱蔽；能夠以最低成本找出這個系統(tǒng)中存在的漏洞。我們就將這些漏洞進(jìn)行修補，以達(dá)到提高系統(tǒng)安全性的目的。應(yīng)用RFID技術(shù)的系統(tǒng)也應(yīng)如此，假設(shè)一個攻擊者，攻擊應(yīng)用RFID技術(shù)的系統(tǒng)一般會從兩方面人手：一方面是閱讀器與后臺數(shù)據(jù)庫之間的信息傳遞，這與網(wǎng)絡(luò)上每臺電腦所遇到問題是一樣的；另一方面閱讀器與標(biāo)簽之間的無線通信及標(biāo)簽本身。后者是我們研究的重點，由于RFID技術(shù)要求硬件本身的成本要低，因此一些好的安全辦法是不能直接應(yīng)用在這項技術(shù)上的。這是造成目前為止RFID技術(shù)不能廣泛代替條碼標(biāo)簽的原因。假定第一方面安全的情況下，著重對第二方面進(jìn)行研究，第二方面又分以下兩個方面：①內(nèi)部人員泄露閱讀器與標(biāo)簽的機密；②外部攻擊即利用軟硬件對讀卡器和電子標(biāo)簽進(jìn)行攻擊來獲取有價值的信息。

    2．1 內(nèi)部人員泄露RFID的機密及解決策略

    內(nèi)部人員泄露RFID的機密有兩種途徑：一種竊取射頻標(biāo)簽實體提供給不法分子。然后不法分子通過物理手段在實驗室環(huán)境中去除芯片封裝，使用微探針獲取敏感信號。從而進(jìn)行射頻標(biāo)簽重構(gòu)的復(fù)雜攻擊；另一種將密鑰提供給不法分子。對于這種威脅的解決方法需要企業(yè)內(nèi)部加強管理及內(nèi)部人員提高安全隱患意識。

    2．2外部攻擊即利用軟硬件對讀卡器和電子標(biāo)簽進(jìn)行攻擊來獲取有價值的信息及解決策略

    假設(shè)內(nèi)部人員沒有泄密，那么來自攻擊者的外部攻擊就會成為影響RFID安全的主要因素，即利用軟硬件對讀卡器和電子標(biāo)簽進(jìn)行攻擊來獲取有價值的信息。這也是我們研究的重點和難點。就一般應(yīng)用RFID技術(shù)的所設(shè)計系統(tǒng)而言通常受到兩種外部攻擊：一種是主動攻擊(篡改信息、偽造信息、重放信息、中斷信息)；另一種是被動攻擊(跟蹤標(biāo)簽監(jiān)控貨物流通、干擾讀寫器及標(biāo)簽正常工作、截取標(biāo)簽數(shù)據(jù)傳遞信息)。這七種攻擊是RFID技術(shù)應(yīng)用在商業(yè)領(lǐng)域中所見到的最普通的攻擊。圖2列出這七種攻擊要想成功需要知道哪些信息(按需要條件個數(shù)排序)。那么知道了這些攻擊所需要的條件，這些條件又是由誰確定的呢?圖3給出答案。

    上面分析了完成七種攻擊所需要的全部信息，針對各種攻擊子目標(biāo)的RFID系統(tǒng)安全機制如下：

     ①防止標(biāo)簽頻率檢測，如殺死(Kill)標(biāo)簽原理是使標(biāo)簽喪失功能，從而阻止對標(biāo)簽及其攜帶物的跟蹤。法拉第網(wǎng)罩：根據(jù)電磁場理論，由傳導(dǎo)材料構(gòu)成的容器如法拉第網(wǎng)罩可以屏蔽無線電波。使得外部的無線電信號不能進(jìn)入法拉第網(wǎng)罩，反之亦然。把標(biāo)簽放進(jìn)由傳導(dǎo)材料構(gòu)成的容器可以阻止標(biāo)簽被掃描，即被動標(biāo)簽接收不到信號，不能獲得能量。主動標(biāo)簽發(fā)射的信號不能發(fā)出。因此，利用法拉第網(wǎng)罩可以阻止隱私侵犯者掃描標(biāo)簽獲取信息。主動干擾：主動干擾無線電信號是另一種屏蔽標(biāo)簽的方法。標(biāo)簽用戶可以通過一個設(shè)備主動廣播無線電信號用于阻止或破壞附近的RFID閱讀器的操作。阻止標(biāo)簽：阻止標(biāo)簽原理是通過采用一個特殊的阻止標(biāo)簽干擾防碰撞算法來實現(xiàn)，閱讀器讀取命令每次總是獲得相同的應(yīng)答數(shù)據(jù)。從而保護(hù)標(biāo)簽。

{$page$}

    ②防止標(biāo)簽識讀范圍和能量檢測，如夾子標(biāo)簽是IBM公司針對RFID隱私問題開發(fā)的新型標(biāo)簽。使用者能夠?qū)FID天線扯掉或者刮除，縮小標(biāo)簽的可閱讀范圍，使標(biāo)簽不能被隨意讀取。使用夾子標(biāo)簽技術(shù)，盡管天線不能再用，閱讀器仍然能夠近距離讀取標(biāo)簽(例如商品賣出后，當(dāng)使用者返回來退貨時，可以從RFID標(biāo)簽中讀出信息)。

    ③防止安全協(xié)議的檢測以及相關(guān)認(rèn)證密鑰的竊取。一是認(rèn)證嚴(yán)謹(jǐn)?shù)陌踩珔f(xié)議。如Hash—I。ock協(xié)議為了避免信息泄漏和被追蹤，它使用偽ID來代替真實的標(biāo)簽ID。隨機化Hash—Lock協(xié)議采用了基于隨機數(shù)的詢問一應(yīng)答機制。Hash鏈協(xié)議本質(zhì)上也是基于共享秘密的詢問一應(yīng)答協(xié)議。當(dāng)使用兩個不同雜湊函數(shù)的閱讀器發(fā)起認(rèn)證，標(biāo)簽總是發(fā)送不同的應(yīng)答。在該協(xié)議中，標(biāo)簽成為了一個具有自主ID更新能力的主動式標(biāo)簽?；陔s湊的ID變化協(xié)議與Hash鏈協(xié)議相似，每一次回話中的ID交換信息都不相同。系統(tǒng)使用了一個隨機數(shù)尺對標(biāo)簽標(biāo)識不斷進(jìn)行動態(tài)刷新，同時還對TID(最后一次回話號)和I。ST(最后一次成功的回話號)信息進(jìn)行更新，所以該協(xié)議可以抵抗重傳攻擊。David的數(shù)字圖書館RFID協(xié)議David等提出的數(shù)字圖書館RFID協(xié)議使用基于預(yù)共享秘密的偽隨機函數(shù)來實現(xiàn)認(rèn)證。分布式RFID詢問一應(yīng)答認(rèn)證協(xié)議是一種適用于分布式數(shù)據(jù)庫環(huán)境的RFID認(rèn)證協(xié)議，它是典型的詢問一應(yīng)答型雙向認(rèn)證協(xié)議。到目前為止，David的數(shù)字圖書館RFID協(xié)議和分布式RFID詢問一應(yīng)答認(rèn)證協(xié)議還沒有發(fā)現(xiàn)該協(xié)議有明顯的安全漏洞或缺陷。LCAP協(xié)議是詢問一應(yīng)答協(xié)議。但是與前面的同類其它協(xié)議不同，它每次執(zhí)行之后都要動態(tài)刷新標(biāo)簽的ID。再次加密機制(Re—encryption)RFID標(biāo)簽的計算資源和存儲資源都十分有限，因此極少有人設(shè)計使用公鑰密碼體制的RFID安全機制。二是相關(guān)認(rèn)證密鑰的保護(hù)，有Hash鎖，隨機Hash鎖。Hash鏈，Key值更新隨機Hash鎖。

    ④防止RFID讀寫器頻率檢測，如頻率更改；
    ⑤防止RFID讀寫器與后端系統(tǒng)接口假冒，主要是通過安全協(xié)議和網(wǎng)絡(luò)部分的安全策略來解決，可采用相互認(rèn)證等方式解決。
    ⑥監(jiān)視節(jié)點找出發(fā)送最多的。主要是通過分散發(fā)送數(shù)據(jù)包，不要集中在一兩個節(jié)點上，也可以用假的數(shù)據(jù)包和假的節(jié)點來迷惑攻擊者。

    3不安全隱患分析

    通過對上述系統(tǒng)攻擊模型的研究和安全機制的列舉，其中許多安全機制存在很多不安全隱患，進(jìn)行如下分析：

    3．1對于標(biāo)簽頻率的檢測

    Kill命令使標(biāo)簽失去了它本身應(yīng)有的優(yōu)點。如商品在賣出后，標(biāo)簽上的信息將不再可用，不便于日后的售后服務(wù)以及用戶對產(chǎn)品信息的進(jìn)一步了解。另外，若Kill識別序列號PIN一旦泄露，可能導(dǎo)致惡意者對商品的偷盜；法拉第容器由于自身的屏蔽效應(yīng)不能很好的和其他安全機制兼容；主動干擾這種方法可能導(dǎo)致非法干擾，使附近其他合法的RFlD系統(tǒng)受到f擾。嚴(yán)重的是，它叮能阻斷附近其他無線系統(tǒng)，因此可以考慮使用阻止標(biāo)簽機制預(yù)防標(biāo)簽頻率的檢測。

    3．2對于標(biāo)簽識讀范圍和能量檢測

    使用夾子標(biāo)簽和頻率更改機制可以共同提高安全性能，但此處應(yīng)該注意頻率和讀寫距離之間的關(guān)系。

    3．3對于安全協(xié)議的檢測

    ①Hash—Lock協(xié)議。該協(xié)議中沒有ID動態(tài)刷新機制，并且偽ID也保持不變，ID是以明文的形式通過不安全的信道傳送，因此Hash—I。ock協(xié)議非常容易受到假冒攻擊和重傳攻擊，攻擊者也可以很容易地對標(biāo)簽進(jìn)行追蹤。
    ②隨機化Hash—Lock協(xié)議，該協(xié)議中認(rèn)證通過后的標(biāo)簽的標(biāo)識ID仍以明文的形式通過不安全信道傳送，因此攻擊者可以對標(biāo)簽進(jìn)行有效的追蹤。同時，一旦獲得了標(biāo)簽的標(biāo)識ID，攻擊者就可以對標(biāo)簽進(jìn)行假冒。該協(xié)議也無法抵抗重傳攻擊。不僅如此，每一次標(biāo)簽認(rèn)證時，后端數(shù)據(jù)庫都需要將所有標(biāo)簽的標(biāo)識發(fā)送給閱讀器，二者之間的數(shù)據(jù)通信量很大。所以，該協(xié)議不僅不安全。也不實用。
    ③Hash鏈協(xié)議，是一個單向認(rèn)證協(xié)議，只能對Tag身份進(jìn)行認(rèn)證，不能對閱讀器身份進(jìn)行認(rèn)證。Hash鏈協(xié)議非常容易受到重傳和假冒攻擊。此外，每一次標(biāo)簽認(rèn)證發(fā)生時。后端數(shù)據(jù)庫都要對每一個標(biāo)簽進(jìn)行多次雜湊運算。因此其計算負(fù)荷也很大。同時，該協(xié)議需要兩個不同的雜湊函數(shù)，也增加了標(biāo)簽的制造成本，不適合應(yīng)用在普適計算中。
    ④基于雜湊的lD變化協(xié)議，該協(xié)議在標(biāo)簽更新其ID和LST信息之前，后端數(shù)據(jù)庫已經(jīng)成功地完成相關(guān)信息的更新。如果在這個時間延遲內(nèi)攻擊者進(jìn)行攻擊(例如，攻擊者可以偽造一個假消息，或者干脆實施干擾使標(biāo)簽無法接收到該消息)，就會在后端數(shù)據(jù)庫和標(biāo)簽之間出現(xiàn)嚴(yán)重的數(shù)據(jù)不同步問題。這也就意味著合法的標(biāo)簽在以后的回話中將無法通過認(rèn)證。也就是說，該協(xié)議不適合使用分布式數(shù)據(jù)庫的普適計算環(huán)境，同時存在數(shù)據(jù)庫同步的潛在安全隱患。
    ⑤David的數(shù)字圖書館RFID協(xié)議該協(xié)議必需在標(biāo)簽電路中包含實現(xiàn)隨機數(shù)生成以及安全偽隨機函數(shù)兩大功能模塊，故而該協(xié)議完全不適用于低成本的RFID系統(tǒng)。
    ⑥分布式RFID詢問一應(yīng)答認(rèn)證協(xié)議，該協(xié)議在方案中．執(zhí)行一次認(rèn)證協(xié)議需要標(biāo)簽進(jìn)行兩次雜湊運算。標(biāo)簽電路中自然也需要集成隨機數(shù)發(fā)生器和雜湊函數(shù)模塊。因此它也不適合于低成本RFID系統(tǒng)。
    ⑦LCAP協(xié)議該協(xié)議與基于雜湊的ID變化協(xié)議的情況類似．標(biāo)簽更新其ID之前。后端數(shù)據(jù)庫已經(jīng)成功完成相關(guān)ID的更新。因此，LCAP協(xié)議也不適合使用于分布式數(shù)據(jù)庫的普適計算環(huán)境，同時亦存在數(shù)據(jù)庫同步的潛在安全隱患。
    ⑧再次加密機制(Re—encryption)，RFID標(biāo)簽的計算資源和存儲資源都十分有限，因此極少有人設(shè)計使用公鑰密碼體制的RFID安全機制。

    3．4對于認(rèn)證的檢測

    ①Hash鎖，在該方法中由于每次詢問時標(biāo)簽回答的數(shù)據(jù)是特定的，因此其不能防止位置跟蹤攻擊；閱讀器和標(biāo)簽間傳輸?shù)臄?shù)據(jù)未經(jīng)加密，竊聽者可以輕易地獲得標(biāo)簽Key和ID值。
    ②隨機Hash鎖，在該方法中標(biāo)簽每次回答是隨機的，因此可以防止依據(jù)特定輸出而進(jìn)行的位置跟蹤攻擊。但是。該方法也有一定的缺陷：(1)閱讀器需要搜索所有標(biāo)簽ID，并為每一個標(biāo)簽計算，因此標(biāo)簽數(shù)目很多時．系統(tǒng)延時會很長，效率并不高；(2)隨機Hash鎖不具備前向安全性，若敵人獲得了標(biāo)簽ID值，則可根據(jù)R值計算出Hash(ID IR)值，因此可追蹤到標(biāo)簽歷史位置信息。
    ③Hash鏈，該方法具有不可分辨性，具有前向安全性兩個優(yōu)點，但也有缺點：需要為每一個標(biāo)簽計算一個值，假設(shè)數(shù)據(jù)庫中存儲的標(biāo)簽個數(shù)為人，則需進(jìn)行N個記錄搜索，2N個Hash函數(shù)計算．N次比較，計算和比較量較大，不適合標(biāo)簽數(shù)日較多的情況。
    ④Key值更新隨機Hash鎖，該方法特點一是簡單實用。將隨機數(shù)產(chǎn)生器等復(fù)雜的計算移到廠后臺數(shù)據(jù)庫中實現(xiàn)，降低了，標(biāo)簽的復(fù)雜性，標(biāo)簽只需要實現(xiàn)兩個Hash函數(shù)H和S，這在低成本的標(biāo)簽上較易實現(xiàn)。二是前向安全。因為標(biāo)簽的Key值在每次事務(wù)交換后被單向Hash函數(shù)5更新，外人即使獲取r當(dāng)前標(biāo)簽Key值，也無法推算出之前的Key值．所以無法獲得標(biāo)簽相關(guān)的歷史活動信息。第三機器運算負(fù)載小，效率高。在每次詢問過程中，設(shè)數(shù)據(jù)庫中存儲的標(biāo)簽個數(shù)為N，本方法中后臺數(shù)據(jù)庫需執(zhí)行2N個記錄搜索(因每個標(biāo)簽存在兩條記錄)，進(jìn)行3個Hash函數(shù)計算和1次值比較，以及產(chǎn)生1個隨機數(shù)R。相比于Hash鏈方法需計算2Ⅳ個Hash函數(shù)、N個記錄搜索和N個值比較，因為Hash函數(shù)的計算時延較長。資源消耗大，所以當(dāng)N很大時，這個方法系統(tǒng)的負(fù)載將要小得多。速度較快，延時較短，效率較高，但安全性更高。第四適應(yīng)標(biāo)簽數(shù)目較多的情況。第五實現(xiàn)了身份的雙向驗證。最后有效實現(xiàn)安全隱私保護(hù)。但它也有缺點，它不能防止攻擊者的流量分析。

    綜上所述．RFID系統(tǒng)標(biāo)簽信息竊取的復(fù)合安全策略如下：①夾子標(biāo)簽、Key值更新隨機Hash鎖，主要適用于安全級別較低且距離較近的情況．他們的聯(lián)合不能防止標(biāo)簽被跟蹤；②阻止標(biāo)簽、Key值更新隨機Hash鎖。主要是川于成本較低H．距離較遠(yuǎn)的情況，他們聯(lián)合不能防止標(biāo)簽被進(jìn)行流量分析；③阻止標(biāo)簽、分布式RFID詢問一應(yīng)答認(rèn)證協(xié)議。沒有明顯安全漏洞．儀適合高保密性能的高成本標(biāo)簽的RFID系統(tǒng)；④頻率更改、Key值更新隨機Hash鎖，可以用于安全級別較高。成本稍高的情況。

    4結(jié)束語

    RFID標(biāo)簽已逐步進(jìn)入我們的日常生產(chǎn)和生活當(dāng)中，同時，也給我們帶來了許多新的安全和隱私問題。由于對低成本、高安全性RFID標(biāo)簽的追求．使得現(xiàn)有的密碼技術(shù)難以應(yīng)用。如何根據(jù)RFID標(biāo)簽有限的資源，設(shè)計出安今有效的安全技術(shù)解決方案，仍然是一個具有相當(dāng)挑戰(zhàn)性的課題。為了有效地保護(hù)數(shù)據(jù)安全和個人隱私，引導(dǎo)RFIr)的合理應(yīng)用和健康發(fā)展，還需要建立和制訂完善的RFID安全與隱私保護(hù)法規(guī)、政策。