RFID系統(tǒng)的通信模型和安全需求-基礎(chǔ)電子

精品文檔-下載后可編輯RFID系統(tǒng)的通信模型和安全需求-基礎(chǔ)電子RFID系統(tǒng)一般由3大部分構(gòu)成：標(biāo)簽、讀寫(xiě)器以及后臺(tái)數(shù)據(jù)庫(kù)，如圖1所示。

圖1RFID系統(tǒng)的基本構(gòu)成

標(biāo)簽是配備有天線的微型電路。標(biāo)簽通常沒(méi)有微處理器，僅由數(shù)千個(gè)邏輯門電路組成，因此要將加密或者簽名算法集成到這類設(shè)備中確實(shí)是一個(gè)不小的挑戰(zhàn)。標(biāo)簽和讀寫(xiě)器之間的通信距離受到多個(gè)參數(shù)的影響，特別是通信頻率的影響。讀寫(xiě)器實(shí)際是一個(gè)帶有天線的無(wú)線發(fā)射與接收設(shè)備，它的處理能力、存儲(chǔ)空間都比較大。后臺(tái)數(shù)據(jù)庫(kù)可以是運(yùn)行于任意硬件平臺(tái)的數(shù)據(jù)庫(kù)系統(tǒng)，可由用戶根據(jù)實(shí)際的需要自行選擇，通常假設(shè)其計(jì)算和存儲(chǔ)能力強(qiáng)大，時(shí)它包含所有標(biāo)簽的信息。

目前，主要有兩種通信頻率的RΠD系統(tǒng)共存：一種使用13.56MHz，一種使用860～960MHz（通信距離更長(zhǎng)）。

依據(jù)標(biāo)簽的能量，可以將標(biāo)簽分為3大類：被動(dòng)式標(biāo)簽、半被動(dòng)式標(biāo)簽以及主動(dòng)式標(biāo)簽，其特點(diǎn)見(jiàn)表1。

表1標(biāo)簽分類及其特點(diǎn)

依據(jù)其功能，可以將標(biāo)簽分為5大類：Class0、Class1、Class2、Class3和Class4，其功能增加，見(jiàn)表2。

表2標(biāo)簽分類及其功能

讀寫(xiě)器到標(biāo)簽之間的信道稱為“前向信道”（forwardchannel），而標(biāo)簽到讀寫(xiě)器的信道則稱為“反向信道”（backwardchannel）。讀寫(xiě)器與標(biāo)簽的無(wú)線功率差別很大，前向信道的通信范圍遠(yuǎn)遠(yuǎn)大于反向信道的通信范圍。這種固有的信道“非對(duì)稱性”自然會(huì)對(duì)RFID系統(tǒng)安全機(jī)制的設(shè)計(jì)和分析產(chǎn)生極大的影響。

一般而言，我們通常做如下基本假設(shè)：標(biāo)簽與讀寫(xiě)器之間的通信信道是不安全的，而讀寫(xiě)器與后臺(tái)數(shù)據(jù)庫(kù)之間的通信信道則是安全的。這也是出于對(duì)RFID系統(tǒng)設(shè)計(jì)、管理和分析方便的考慮。

1.通信模型

ISO／IEC18000標(biāo)準(zhǔn)定義了讀寫(xiě)器與標(biāo)簽之間的雙向通信協(xié)議，其基本的通信模型如圖2所示。

圖2RFID系統(tǒng)的通信模型

由圖2可以看出，REID系統(tǒng)的通信模型由3層組成，和應(yīng)用層。物理層主要關(guān)心的是電氣信號(hào)問(wèn)題，例如頻道分配、物理載波等，其中重要的一個(gè)問(wèn)題就是載波“切割”（Singulation）問(wèn)題。通信層定義了讀寫(xiě)器與標(biāo)簽之間雙向交換數(shù)據(jù)和指令的方式，其中重要的一個(gè)問(wèn)題是解決多個(gè)標(biāo)簽同時(shí)訪問(wèn)一個(gè)讀寫(xiě)器時(shí)的沖突問(wèn)題；應(yīng)用層用于解決和上層應(yīng)用直接相關(guān)的內(nèi)容，包括、識(shí)別以及應(yīng)用層數(shù)據(jù)的表示、處理邏輯等。通常情況下，我們所說(shuō)的RFID安全協(xié)議指的就是應(yīng)用層協(xié)議，本章所討論的所有REID協(xié)議都屬于這個(gè)范疇。

但是，也有學(xué)者認(rèn)為，可追蹤性問(wèn)題必須針對(duì)REID通信模型的各層來(lái)整體解決，任何一個(gè)單層面的解決方案都是不全面的，都有可能導(dǎo)致REID系統(tǒng)出現(xiàn)明顯的安全弱點(diǎn)和漏洞。實(shí)際上，這一觀點(diǎn)與信息安全中的“深度防御”策略不謀而合。除此之外，我們還認(rèn)為，在部署和實(shí)施RFID系統(tǒng)的安全方案時(shí)，同時(shí)還應(yīng)該綜合考慮其他多種因素，例如可擴(kuò)展性、系統(tǒng)開(kāi)銷、可管理性等。

2.安全需求

射頻識(shí)別技術(shù)在國(guó)內(nèi)外發(fā)展非常迅速，射頻識(shí)別產(chǎn)品種類繁多。在射頻識(shí)別系統(tǒng)中，與安全相關(guān)的應(yīng)用越來(lái)越多地被應(yīng)用到生活中，從而對(duì)安全功能提出了很高的要求。在與安全相關(guān)的應(yīng)用中，必須采取安全措施以防止“黑客”的蓄意攻擊，防止某些人試圖通過(guò)射頻識(shí)別系統(tǒng)來(lái)進(jìn)行非授權(quán)訪問(wèn)或騙取服務(wù)?，F(xiàn)代的鑒別協(xié)議同樣涉及對(duì)密鑰的檢測(cè)，可用適當(dāng)?shù)乃惴▉?lái)防止密碼被破解。

高度安全的射頻識(shí)別系統(tǒng)對(duì)下列單項(xiàng)攻擊應(yīng)該能夠予以防范。

①為了復(fù)制與／或改變數(shù)據(jù)，未經(jīng)授權(quán)地讀出數(shù)據(jù)載體。

②將外來(lái)的數(shù)據(jù)載體置入某個(gè)讀寫(xiě)器的詢問(wèn)范圍內(nèi)，企圖得到非授權(quán)出入建筑物或不付費(fèi)月艮務(wù)。

③為了假冒真正的數(shù)據(jù)載體，竊聽(tīng)無(wú)線電通信并重放數(shù)據(jù)。

在選擇射頻識(shí)別系統(tǒng)時(shí)，應(yīng)該特別重視其密碼功能。一些對(duì)安全功能沒(méi)有要求的應(yīng)用（例如工業(yè)自動(dòng)化裝置、工具識(shí)別等）會(huì)由于引入密碼過(guò)程，使費(fèi)用不必要地增加。與此相反，在安全性的應(yīng)用中，省略密碼過(guò)程，會(huì)由于使用假冒的電子標(biāo)簽來(lái)獲取未認(rèn)可的服務(wù)，引起很嚴(yán)重的疏漏。

射頻識(shí)別技術(shù)還有一些問(wèn)題存在，例如：標(biāo)簽資源和計(jì)算能力有限；標(biāo)簽的存儲(chǔ)空間極其有限（的標(biāo)簽只有64～128bit的ROM，僅可容納標(biāo)識(shí)符）；標(biāo)簽外形很小；標(biāo)簽電源供給有限；標(biāo)簽信息易被未授權(quán)讀寫(xiě)器訪問(wèn)等。所有這些特點(diǎn)和局限性都對(duì)RFID系統(tǒng)安全機(jī)制的設(shè)計(jì)帶來(lái)了特殊的要求，也使得設(shè)計(jì)者對(duì)密碼機(jī)制的選擇受到很多限制。RFID系統(tǒng)很容易受到各種攻擊，主要是由于它的通信過(guò)程中沒(méi)有任何物理或者可見(jiàn)的接觸（通過(guò)電磁波的形式進(jìn)行）。因此，RFID系統(tǒng)必須能夠抵抗各種形式的攻擊，如監(jiān)聽(tīng)、主動(dòng)攻擊、跟蹤以及拒絕服務(wù)等。

一般說(shuō)來(lái)，比較完善的RFID系統(tǒng)解決方案應(yīng)當(dāng)具備機(jī)密性、完整性、可用性、真實(shí)性和隱私性等基本特征。

（1）機(jī)密性

一個(gè)電子標(biāo)簽不應(yīng)當(dāng)向未授權(quán)讀寫(xiě)器泄漏任何敏感的信息，在許多應(yīng)用中，電子標(biāo)簽中所包含的信息關(guān)系到消費(fèi)者的隱私，這些數(shù)據(jù)一旦被攻擊者獲取，消費(fèi)者的隱私權(quán)將無(wú)法得到保障，因而一個(gè)完備的RFID安全方案必須能夠保證電子標(biāo)簽中所包含的信息僅能被授權(quán)讀寫(xiě)器訪問(wèn)。事實(shí)上，目前讀寫(xiě)器和標(biāo)簽之間的無(wú)線通信在多數(shù)情況下是不受保護(hù)的（除了采用ISO14443標(biāo)準(zhǔn)的高端系統(tǒng)），因而未采用安全機(jī)制的電子標(biāo)簽會(huì)向鄰近的讀寫(xiě)器泄漏標(biāo)簽內(nèi)容和一些敏感信息。由于缺乏支持點(diǎn)對(duì)點(diǎn)加密和PKI密鑰交換的功能，在RFID系統(tǒng)應(yīng)用過(guò)程中，攻擊者能夠獲取并利用電子標(biāo)簽上的內(nèi)容。比如商業(yè)間諜人員可以通過(guò)隱藏在附近的讀寫(xiě)器周期性地統(tǒng)計(jì)貨架上的商品來(lái)推斷銷售數(shù)據(jù)，搶劫犯能夠利用讀寫(xiě)器來(lái)確定貴重物品的數(shù)量及位置等。同時(shí)，由于從讀寫(xiě)器到電子標(biāo)簽的前向信道具有較大的覆蓋范圍，因而它比從電子標(biāo)簽到讀寫(xiě)器的后向信道更加不安全。攻擊者可以通過(guò)采用竊昕技術(shù)，分析微處理器正常工作過(guò)程中產(chǎn)生的各種電磁特征來(lái)獲得標(biāo)簽和讀寫(xiě)器之間或其他RFID通信設(shè)備之間的通信數(shù)據(jù)。

（2）完整性

在通信過(guò)程中，數(shù)據(jù)完整性能夠保證接收者收到的信息在傳輸過(guò)程中沒(méi)有被攻擊者篡改或替換。在基于公鑰的密碼體制中，數(shù)據(jù)完整性一般是通過(guò)數(shù)字簽名來(lái)完成的，但資源有限的RFID系統(tǒng)難以支持這種代價(jià)昂貴的密碼算法。在RFID系統(tǒng)中，通常使用消息碼來(lái)進(jìn)行數(shù)據(jù)完整性的檢驗(yàn)，使用的是一種帶有共享密鑰的散列算法，即將共享密鑰和待檢驗(yàn)的消息連接在一起進(jìn)行散列運(yùn)算，對(duì)數(shù)據(jù)的任何細(xì)微改動(dòng)都會(huì)對(duì)消息碼的值產(chǎn)生較大影響。事實(shí)上，除了采用ISO14443標(biāo)準(zhǔn)的高端系統(tǒng)（該系統(tǒng)使用了消息碼）外，在讀寫(xiě)器和電子標(biāo)簽的通信過(guò)程中，傳輸信息的完整性無(wú)法得到保障。如果不采用訪問(wèn)控制機(jī)制，可寫(xiě)的電子標(biāo)簽存儲(chǔ)器有可能被攻擊者控制，攻擊者通過(guò)軟件，利用微處理器的通用通信接口，通過(guò)掃描標(biāo)簽和響應(yīng)讀寫(xiě)器的查詢，尋求安全協(xié)議、加密算法及其實(shí)現(xiàn)機(jī)制上的漏洞，進(jìn)而刪除電子標(biāo)簽內(nèi)容或篡改可重寫(xiě)標(biāo)簽內(nèi)容。在通信接口處使用校驗(yàn)和的方法也僅僅能夠檢測(cè)隨機(jī)錯(cuò)誤的發(fā)生。

（3）可用性

RFID系統(tǒng)的安全解決方案所提供的各種服務(wù)能夠被授權(quán)用戶使用，并能夠有效防止非法攻擊者企圖中斷RΠD系統(tǒng)服務(wù)的惡意攻擊。一個(gè)合理的安全方案應(yīng)當(dāng)具有節(jié)能的特點(diǎn)，各種安全協(xié)議和算法的設(shè)計(jì)不應(yīng)當(dāng)太復(fù)雜，并盡可能地避開(kāi)公鑰運(yùn)算，計(jì)算開(kāi)銷、存儲(chǔ)容量和通信能力也應(yīng)當(dāng)充分考慮RFID系統(tǒng)資源有限的特點(diǎn)，從而使得能量消耗化。同時(shí)，安全性設(shè)計(jì)方案不應(yīng)當(dāng)限制R∏D系統(tǒng)的可用性，并能夠有效防止攻擊者對(duì)電子標(biāo)簽資源的惡意消耗。事實(shí)上，由于無(wú)線通信本身固有的脆弱性，多數(shù)REID系統(tǒng)極易受到攻擊者的破壞。攻擊者可以通過(guò)頻率干擾的手段，產(chǎn)生異常的應(yīng)用環(huán)境，使合法處理器產(chǎn)生故障，進(jìn)而在上層實(shí)現(xiàn)拒絕服務(wù)攻擊；也可以使用阻塞信道的方法來(lái)中斷讀寫(xiě)器與所有或特定標(biāo)簽的通信。

（4）真實(shí)性

電子標(biāo)簽的身份在REID系統(tǒng)的許多應(yīng)用中是非常重要的。攻擊者可以利用獲取的標(biāo)簽實(shí)體，通過(guò)物理手段在實(shí)驗(yàn)室環(huán)境中去除芯片封裝，使用微探針獲取敏感信息，進(jìn)而重構(gòu)標(biāo)簽，達(dá)到偽造電子標(biāo)簽的目的。攻擊者可以利用偽造電子標(biāo)簽代替實(shí)際物品，或通過(guò)重寫(xiě)合法的電子標(biāo)簽內(nèi)容，使用低價(jià)物品標(biāo)簽的內(nèi)容來(lái)替換高價(jià)物品標(biāo)簽的內(nèi)容從而獲取非法利益。同時(shí)，攻擊者也可以通過(guò)某種方式隱藏標(biāo)簽，使讀寫(xiě)器無(wú)法發(fā)現(xiàn)該標(biāo)簽，從而成功地實(shí)施物品轉(zhuǎn)移。讀寫(xiě)器只有通過(guò)身份才能確信消息是從正確的電子標(biāo)簽處發(fā)送過(guò)來(lái)的。在傳統(tǒng)的有線網(wǎng)絡(luò)中，通常使用數(shù)字簽名或數(shù)字證書(shū)來(lái)進(jìn)行身份，但這種公鑰算法不適用于通信能力、計(jì)算速度和存儲(chǔ)空間都相當(dāng)有限的電子標(biāo)簽。

（5）隱私性

一個(gè)安全的RFID系統(tǒng)應(yīng)當(dāng)能夠保護(hù)使用者的隱私信息或相關(guān)經(jīng)濟(jì)實(shí)體的商業(yè)利益。事實(shí)上，目前的RFID系統(tǒng)面臨著位置保密或?qū)崟r(shí)跟蹤的安全風(fēng)險(xiǎn)。同個(gè)人攜帶物品的商標(biāo)可能泄漏個(gè)人身份一樣，個(gè)人攜帶物品的標(biāo)簽也可能會(huì)泄漏個(gè)人身份，通過(guò)讀寫(xiě)器能夠跟蹤攜帶不安全標(biāo)簽的個(gè)人，并將這些信息