（管理科学与工程专业论文）电子标签在汽车质量跟踪中的安全性研究和应用.pdf

电子标签在汽车质量跟踪中的安全性研究和应用 摘要 数据采集是汽车质量跟踪的核心工作，无线射频识别( r f i d ，r a d i o f r e q u e n c yi d e n t i f i c a t i o n ) 技术运用到汽车行业，使得数据采集变得更 简单、高效。但由于汽车生产、质量数据属于动态信息，数据在被电子标 签采集时存在安全隐患，因此研究电子标签的安全性问题以提高电子标签 在汽车质量跟踪中的可靠性成为必要。 本文针对电子标签在汽车质量跟踪中的数据安全保密问题进行了研 究，通过分析电子标签引起的安全隐患，运用分级的思想，将隐私分级概 念运用到汽车电子标签的安全领域，设计了汽车生产和销售阶段的隐私等 级和接入控制等级。通过设置不同场合接入者的读取权限，减小了数据被 恶意攻击的范围，保护了数据信息的隐私安全。使用数据加密技术提高信 息安全性，采用a e s 加密算法对汽车质量跟踪采集数据进行加密，并提出 了改变相邻数据等安全方法。与以往电子标签单纯采取数据加密方式相 比，本文提出的综合解决方案更加安全，可为相关应用提供一定的参考。 关键词：无线射频识别电子标签安全性汽车质量跟踪 s e c u r i t ys t u d ya n da p p l i c a t i o n0 ut h ea u t o m o b i l e q u a l i t yt r a c ko fr f i d a b s t r a c t d a t a g a t h e r i n gi st h ec o r eo fa u t o m o b i l eq u a l i t yt r a c k ，a n di tb e c o m e s m o r ee a s i e ra n dm o r ee f f i c i e n ts i n c er f i dt e c h n o l o g yi su s e di nt h em o b i l e b u s i n e s s b u tt h ed a t ao fa u t o m o b i l em a n u f a c t u r i n ga n dq u a l i t yi sd y n a m i c a n di ti si n s e c u r ew h e nd a t ai sg a t h e r e d ，s oi tb e c o m e sn e c e s s a r yt or e s e a r c h t a g 。ss e c u r i t yt oi m p r o v ed e p e n d a b i l i t yo ft a g su s e di na u t o m o b i l eq u a l i t y t r a c k t h ed i s s e r t a t i o ns t u d i e sd a t a s s e c u r i t y a n dp r i v a c yo ft a g sa n du s e s c l a s s i f i c a t i o nt h i n k i n gi na u t o m o b i l eq u a l i t yt r a c kb ya n a l y z i n gt h es e c u r i t y h i d d e nt r o u b l e t h e nt h ed i s s e r t a t i o nd e s i g n sp r i v a c yl e v e la n da t t a c h e d c o n t r o ll e v e lo fa u t o m o b i l e sp r o d u c ta n dd i s t r i b u t i o n i tr e d u c e st h ed a t a s h o s t i l i t ya t t a c kr a n g eb ys e t t i n gt h eu s e r s d i f f e r e n c er i g h to fd i f f e r e n c e s i t u a t i o nt op r o t e c tt h ed a t a sp r i v a c ys e c u r i t y t h ed i s s e r t a t i o nu s e st h ed a t a e n c r y p t i o nt e c h n i q u e st op r o t e c ti n f o r m a t i o ns e c u r i t yb ya d o p t i n gt h ea e s a r i t h m e t i c ，t h e ni tp u t sf o r w a r dt h em e t h o do fe x c h a n g i n gt h ea d jo i n i n gd a t a t h ec o m p e t i t i v er e s o l v i n gi sm o r es e c u r et h a nt h eo n l yd a t ae n c r y p t i o n ，a n di t c a np r o v i d es o m er e f e r e n c ef o rr e l a t e da p p l i c a t i o n k e y w o r d s ：r f i d ；e l e c t r o n i ct a g ；s e c u r i t y ；a u t o m o b i l eq u a l i t yt r a c k 插图清单 图2 一lr f i d 应用系统工作原理图4 图3 - ir f i d 技术在系统应用中的漏洞1 0 图3 - 2 相互对称认证方法的认证过程1 5 图3 - 3 利用导出密钥鉴别的方法1 6 图4 - 1 系统信息分级保护构架2 3 图4 - 2 系统隐私保护机制2 5 图5 - 1 汽车质量跟踪系统加密结构图3 0 表格清单 表4 一l 零部件标签隐私等级设置2 3 表4 - 2 整车标签隐私等级设置2 4 表4 - 3 标签接入控制等级设置2 4 表4 4i s 接入控制等级设置2 4 表4 - 5 系统标签接入控制等级设置2 5 表4 - 6 车身标签存储数据2 6 表4 - 7g i d - 9 6 标签数据结构2 6 表4 8 隐私等级分级设置2 7 独创性声明 本人声明所t 交的学侥论文是本人住导师指导卜进行的研究i ：作及取得的研 究成果。据我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他 人已经发表或撰弓过的研究成果，也不包含为获得合肥l ：业人学或其他 教育机构的学位或证书而使用过的材料。与我一同i ：作的同志对本研究所做的任 f j 贡献均已在论文中作了明确的说明并表示嘲意。 学位做作者签名：桃骺) ) 签字日期册7 年帕夕日 学位论文版权使用授权书 本学位论文作者完全了解盒巴：! ：、业厶堂有关保留、使刚学位论文的规定， 有权保留并向国家有关部门或机构送交论文的复印仆平磁盘，允许论文被奄阅 和借阅。本人授权盒月墨：l ：些叁堂可以将学位论文的全部或部分内容编入有关 数据库进行检索，可以采j = j 影印、缩印或扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后适用本授权二b ) 学位敝作者虢向匕舅) 勺 签字日j 乳1 讪月日 学位论文作者毕业后玄向： ：i ：作单位： 通讯地址： 翮签名：翩仍沪 签字醐：巧年牛月日 电话： 邮编： 致谢 本文的研究工作是在我的导师俞家文老师的精心指导和悉心关怀下 完成的，另外，也要感谢学院的梁昌勇教授和蒋翠清教授等其他几位导师， 感谢他们在我的学业和论文研究工作中所倾注的无数汗水和心血，三年 来，导师们一直给予我无私关怀和深深的教诲，在此论文成文之际，谨向 各位恩师致以衷心的感谢和最深厚的敬意! 各位恩师严谨的治学态度、渊博的知识和无私的奉献精神使我深受启 迪，我不仅从各位导师们那儿学到开展科研工作的方法和思维方式，也学 习了更多做人的道理。在培养我的科研素质同时，老师们谦逊、宽容的为 人风范也为我树立了榜样，让我受益菲浅，并不断激励我去取得更大的成 绩。特再次向恩师们表示最诚挚的谢意! 在此，我还要特别感谢对论文提出宝贵意见的实验室强丽丽、翟宜群 等同学对我的极大帮助，感谢同项目组的李刚、徐彬等同学给予我的建议 与帮助，也感谢同系的各位同学日常的帮助，他们具体的名字在此就不一 一列举了。 同时，我要感谢我的家人和朋友，他们的理解和支持使我得以顺利完 成学业，感谢他们给予我的物质以及精神上的鼎力支持。 最后，衷心地感谢在百忙之中评阅论文和参加答辩的各位老师! 作者：姚莉莉 2 0 0 9 年4 月 第一章绪论 1 1 研究目的及意义 无线射频识别技术( r f i d ) 是自动识别技术的一种高级形式，近年来发展 迅速，它通过对被识别物体的无接触识别获取资料信息，具有数据容量大、无 接触识别、保存时间长、适应恶劣环境等特点，被广泛应用于各行业。与其他 行业相比，汽车行业面临的压力更大：一方面，他们需要不断降低成本扩大市 场；另一方面，他们还要保证自己的产品符合该行业尤为严格的质量标准，随 着中国汽车消费者的日益成熟，今后一个时期内汽车市场的竞争可以说是质量 和服务的竞争，但是随着关于汽车质量的投诉日益增多，汽车质量问题俨然成 了困扰汽车企业的难题。将r f i d 技术用于汽车生产物料与整车跟踪，将对汽车 整个行业的发展产生积极的影响，通过部署r f i d 系统，可以实现生产过程的可 视化管理和汽车质量的全程跟踪。 然而由于无线射频技术的无线通道是开放的，同时电子标签因为成本因素 的限制往往难以保护数据不被恶意读取和篡改，由此引起的安全隐患和隐私安 全等问题接踵而来1 ，如截获标签数据信息从而对r f i d 系统进行各种非授权使 用，或者破解r f i d 标签获取企业机密或个人隐私，再或复$ 1 j r f i d 标签达到盗用 和冒充的目的等。本文针对汽车质量跟踪中电子标签的安全性问题展开研究， 通过比较r f i d 技术的安全机制，分析现有的安全隐患解决方法和加密技术，提 出加强标签安全性的若干方案，以提高电子标签在汽车质量跟踪系统应用中的 安全性。 1 2 国内外研究现状 1 2 1 国外研究现状 国外对r f i d 技术的安全性研究近年来成倍数增加，研究热点主要集中在几 个方面：r f i d 系统的安全性研究、标签数据的安全、r f i d 通信协议的安全等。 在r f i d 系统的安全性研究上，多以采用加密技术保障数据安全为主。马德 里大学计算机科学部的p e d r op e r i s l o p e z 博士在“l i g h t w e i g h t c r y p t o g r a p h yi nr a d i 0f r e q u e n c yi d e n t i f i c a t i o n ( r f i d ) s y s t e m s 文中针 对低成本标签的安全性问题进行研究，他认为标准的加密技术如采用散列函数、 流密码和校验码等是数据加密的标准做法，但是这些技术对标签的尺寸、功耗 以及内存大小都有严格的要求，因此对于低成本标签来讲，采用轻量级的加密 技术成为迫切需求，由此针对低成本标签他提出了一种有效抵御被动攻击的新 协议，在这个协议中只需用读写器进行简单的运算；而对价格稍高点的标签他 也提出一种抵御被动攻击和主动攻击的协议，该协议采用了轻量级的哈希函数 ( t a r - 1 2 8 ) 和轻量级的伪随机数生成器( l a m e da n dl a m e d - e p c ) ，这种算法在 硬件环境下得到验证口1 。 国外大多数的研究集中在标签数据安全方面，如a k i r ay a m a m o t o 等人在文 章“at a m p e rd e t e c t i o nm e t h o df o rr f i dt a gd a t a ”中提出高容量标签的安 全保密方法，生产厂商一般采用细粒度锁进行加密，但是这样需要一个非标准 化的空中协议并需要修改读写器的版本，这就使得标签价格变得昂贵，失去实 用性。a k i r ay a m a m o t o 等人提出一种新的方法一使用日志机制和“标签内存伪 装 一来解决这个问题，在标签内部设置私有存储空间来保护日志，标签的私 有存储空间只能被外部设备如读写器只读而不能写，但是标签自身可以写入数 据。当任何入侵者向标签写入数据时，标签的私有存储空间就会记录写入的内 容变量和长度大小，用户通过检查日志的变化就可以得知标签数据是否被篡改。 这种方法由于不必建立新的空中通信协议，任何标准读写器都可以对标签进行 读写操作。 r f i d 协议安全也是国外研究的一个热点，p a r isk i t s o s ，y a nz h a n g 在 “r f i ds e c u r i t y ：t e c h n i q u e s ，p r o t o c o l sa n ds y s t e m o n c h i pd e s i g n 这 本书的第二部分就详细介绍了最先进的安全协议和技术，其中全面介绍了为保 护r f i d 和避免潜在的安全威胁和攻击所能采用的已有的协议和技术。另外该书 对加密技术和硬件运行也做了研究口1 。由于发达国家的r f i d 技术的发展起步早 于中国，欧美日等国不惜投入巨额研究和拓展r f i d 技术及其应用领域，所以国 外发达国家的r f i d 技术研究成果尤其在安全领域方面的研究领先于国内，这也 为国内r f i d 技术的安全应用提供了参考。 1 2 2 国内研究现状 r f i d 技术的应用给各行业带来革命性的变化，但同时出现的安全和隐私问 题却极大地限制了其使用的范围，针对r f i d 系统中保证系统安全、维护隐私成 为业界讨论的热点问题哺1 。国内r f i d 技术的安全性研究可以总结为两个方面： 即系统安全和隐私保护、标签数据信息加密。 目前r f i d 系统中安全和隐私保护方法可分为摘要锁方法、重加密方法和标 签阻塞方法三种，或者从另一个角度分为物理安全方法和密码安全方法。物理 安全方法通过物理丢弃或信号干扰来达到保护系统安全的目的；密码安全方法 则通过数据加密技术或需要访问密钥等方法来达到隐私保密。中科院软件所信 息安全重点实验室主任冯登国指出，要解决r f i d 可追踪性安全问题，必须针对 r f i d 各层来整体解决，任何一个单层面的解决方案都是不全面的，都有可能导 致r f i d 系统出现明显的安全弱点和漏洞口1 ，这指明了日后r f i d 系统安全的研究 方向。 用加密的方法来解决r f i d 安全性问题是普遍采用的办法，目前使用较多的 加密算法有高级加密标准a e s 、椭圆曲线加密算法e c c 等。不同的加密算法复 2 杂程度不同，对硬件性能的要求也不同。而采用不同的硬件，直接导致在保证 安全性的过程中成本投入的大小不同。在选择加密算法时，应综合r f i d 频率、 编码等各种因素，以整体的视野选择最合适的加密算法随1 。北京邮电大学教授 高泽华一言概之，加密手段为解决r f i d 安全性问题提供了一个看似传统却合情 合理的方向。 1 3 主要研究内容 国内外的研究表明，r f i d 技术的安全问题涉及的范围非常广泛，包括系统 安全、标签数据安全、通信协议的安全等。本文针对电子标签的安全性，并选 取汽车质量跟踪这一领域进行研究，所做的章节安排如下： 第一章分析了r f i d 技术安全问题的研究目的和意义，并总结出国内外r f i d 技术安全问题的研究现状。 第二章介绍了电子标签的工作原理，并简单介绍了r f i d 的技术标准和电子 标签相对于条形码的优势。 第三章讨论了信息安全和隐私对于r f i d 系统的重要性，对现有的物理和密 码安全机制进行比较，最后分析了系统数据安全加密的基本模式。 第四章分析了当前r f i d 所面临的安全问题，并总结了汽车质量跟踪系统的 数据特点，将分级的思想运用到汽车质量跟踪系统中，设计了汽车生产和销售 阶段的隐私等级和接入控制等级，并对隐私分级思想在汽车质量跟踪系统中的 运作过程做了详细的说明，使不同场合的访问者根据等级的不同拥有不同的访 问权限。 第五章研究了目前比较流行的几种数据加密方法，选择了将a e s 力h 密算法运 用到汽车质量跟踪系统中保护数据安全。针对汽车质量跟踪系统数据的特点， 提出了改变相邻数据等方法加强数据结构。 最后一章对全文做了总结，提出下一步研究工作。 第二章无线射频识别技术 2 1 基本工作原理 一套完整的r f i d 系统，是由读写器与电子标签也就是所谓的应答器及应 用软件系统三个部分所组成，其工作原理是电子标签进入读写器的射频磁场 后，由其天线获得的感应电流经升压电路作为芯片的电源，同时将带信息的感 应电流通过射频前端电路检得数字信号送入逻辑控制电路进行信息处理，所需 回复的信息则从存储器中获取经由逻辑控制电路送回射频前端电路，最后通过 天线发回给读写器。 r f i d 应用系统工作原理图如图2 - 1 所示阳】。 图2 - 1r f i d 应用系统工作原理图 以读写器及电子标签之间的通讯及能量感应方式来看大致上可以分成， 感应偶合( i n d u c t i v ec o u p l i n g ) 及后向散射偶合( b a c k s c a t t e rc o u p l i n g ) 两 种，一般低频的r f i d 大都采用第一种方式，而较高频的大多采用第二种方式 【l o 】 o 读写器根据使用的结构和技术不同可以是读或读写装置，是r f i d 系统信 息控制和处理中心。读写器通常由耦合模块、收发模块、控制模块和接口单元 组成。读写器和电子标签之间一般采用半双工通信方式进行信息交换，同时读 写器通过耦合给无源电子标签提供能量和时序。在实际应用中，可迸一步通过 e t h e r n e t 或w l a n 等实现对物体识别信息的采集、处理及远程传送等管理功能。 电子标签是r f i d 系统的信息载体，目前电子标签大多是由耦合原件( 线圈、微 带天线等) 和微芯片组成无源单元。 电子标签通常包含： l 、天线：用来接收由读写器送过来的信号，并把所要求的数据送回给读写 器。 2 、a c d c 电路：把由卡片读写器送过来的射频讯号转换成d c 电源，并经 4 大电容储存能量，再经稳压电路以提供稳定的电源。 3 、解调电路：把载波去除以取出真正的调制信号。 4 、逻辑控制电路：译码读写器所送过来的信号，并依其要求回送数据给读 写器。 5 、内存：做为系统运作及存放识别数据的位置。 6 、调制电路：逻辑控制电路所送出的数据经调制电路后加载到天线送给读 写器。 读写器通常包含： 1 、天线：用来发送无线信号给电子标签，并把由电子标签响应回来的数 据接收回来。 2 、系统频率产生器：产生系统的工作频率。 3 、相位锁位回路( p l l ) ：产生射频所需的载波信号。 4 、调制电路：把要送给电子标签的信号加载到载波并送给射频电路送出。 5 、微处理器：产生要送给电子标签信号给调制电路，同时译码电子标签回 送的信号，并把所得的数据回传给应用程序，若是加密的系统还必需做加解密 操作。 6 、存储器：存储用户程序和数据。 7 、解调电路：解调电子标签送过来的微弱信号，再送给微处理器处理。 8 、外设接口：用来和计算机联机。 应用软件系统通常包含： 1 、硬件驱动程序：连接、显示及处理卡片读写器操作。 2 、控制应用程序：控制卡片阅读机的运作，接收读卡所回传的数据，并作出 相对应的处理。 3 、数据库：储存所有电子标签相关的数据，供控制程序使用。 下面简单介绍电子标签的分类： l 、从应用概念来说，电子标签的工作频率也就是无线射频识别系统的工作 频率，是其最重要的特点之一。按其工作频率可分为低频、中高频、超高频和 微波四种方式m 3 ： 低频段电子标签，简称为低频标签，其工作频率范围为3 0 k h z 3 0 0 k h z 。 典型工作频率有：1 2 5 k h z ，1 3 3 k h z ( 也有接近的其他频率，如t i 使用1 3 4 2 k h z ) 。 低频标签一般为无源标签，其工作能量通过电感耦合方式从读写器耦合线圈的 辐射近场中获得。低频标签与读写器之间传送数据时，低频标签要位于读写器 天线辐射的近场区内。低频标签的读写距离一般情况下小于1 米。 中高频段电子标签，中高频段电子标签的工作频率一般为3 m h z 3 0 m h z 。 典型工作频率为：1 3 5 6 m h z 。高频电子标签一般也采用无源方式，其工作能量 同低频标签一样，也是通过电感( 磁) 耦合方式从读写器耦合线圈的辐射近场 中获得。标签与读写器进行数据交换时，标签必须位于读写器天线辐射的近场 区内。中频标签的读写距离一般情况下也小于1 米( 最大读取距离为1 5 米) 。 超高频与微波标签，超高频与微波频段的电子标签，简称为微波电子标签， 其典型工作频率为：4 3 3 9 2 m h z ，8 6 2 一- 9 2 8 m h z ，2 4 5 g h z ，5 8 g h z 。微波电子标 签可分为有源标签与无源标签两类。工作时，电子标签位于读写器天线辐射场 的远区场内，标签与读写器之间的耦合方式为电磁耦合方式。读写器天线辐射 场为无源标签提供射频能量，将标签唤醒n 羽。相应的无线射频识别系统读写距 离一般大于1 米，典型情况为4 7 米，最大可达1 0 米以上。读写器天线一般 均为定向天线，只有在读写器天线定向波束范围内的电子标签可被读写。 2 、按照工作方式分为主动式标签、被动式标签和半主动式标签三种n 引。 主动式标签就是利用自身的射频能量主动发射数据给读写器的电子标签， 它一般含有电源，和被动式标签相比，它的识别距离更远，价格也相对较高， 主要用于贵重物品远距离检测等方面。 被动式标签是在读写器发出查询信号触发后才进入通信状态的电子标签。 它使用调制散射方式发射数据，必须利用读写器的载波来调制自己的信号，由 于依靠外部的电磁感应供电，因而其电能比较弱，识别距离比较近，需要敏感 性比较高的信号接收器才能可靠识别。主要应用在门禁或交通中，被动式标签 既可以是有源标签，也可以是无源标签。 半主动式标签本身带有电池，但是它的电池只起到对标签内部数字电路供 电的作用，标签并不通过自身能量主动发送数据，只有被读写器的能量场“激 活”时，才能通过反向散射调制方式传送自身的数据。 3 、电子标签按照信息写入方式可以分为以下三种类型： 电子标签在出厂时，即已将完整的标签信息写入标签。这种情况下，应用 过程中，电子标签一般具有只读功能。只读标签信息的写入，在更多的情况下 是在电子标签芯片的生产过程中即将标签信息写入芯片，使得每一个电子标签 拥有一个唯一的标识u i d ( 如9 6b i t s ) 。应用中，需再建立标签唯一u i d 与待 识别物品的标识信息之间的对应关系( 如车牌号) 。只读标签信息的写入也有 在应用之前，由专用的初始化设备将完整的标签信息写入。 电子标签信息的写入采用有线接触方式实现，一般称这种标签信息写入装 置为编程器。这种接触式的电子标签信息写入方式通常具有多次改写的能力。 例如，目前在用的铁路货车电子标签信息的写入即为这种方式。标签在完成信 息注入后，通常需将写入口密闭起来，以满足应用中对其防潮、防水、防污等 要求。 电子标签在出厂后，允许用户通过专用设备以无接触的方式向电子标签中 写入数据信息。这种专用写入功能通常与电子标签读取功能结合在一起形成电 子标签读写器。具有无线写入功能的电子标签也具有其唯一的不可改写的u i d 。 6 这种功能的电子标签趋向于一种通用电子标签，应用中，可根据实际需要仅对 其u i d 进行识读或仅对指定的电子标签内存单元( 一次读写的最小单位) 进行 读写。 2 2r f i d 技术标准 r f i d 标准大致包含四类：技术标准( 如符号、射频识别技术、i c 卡标准等) ； 数据内容标准( 如编码格式、语法标准等) ；一致性标准( 如印刷质量、测试规 范等标准) ；应用标准( 如船运标签、产品包装标准等) 。其中编码标准和通 信协议( 通讯接口) 是争夺得比较激烈的部分，它们也构成了r f i d 标准的核 心。当前主要的r f i d 相关规范有欧美的e p c 规范、日本的u i d 规范和i s o l 8 0 0 0 系列标准三大系列标准。目前全球四分之一的贸易会由亚洲经转，而中国又是 亚洲的中心，这就使得中国成为r f i d 应用的一个关键地。中国一直在努力开发 自己的编码系统，即全国产品与服务统一代码( n p c ) ，它将同e p c g l o b a l 的电 子产品代码( e p c ) 展开竞争n 利。 在r f i d 标准方面，通过对国际r f i d 三大系列标准系统的分析研究，中国 标准化协会在国家1 2 个部委的支持下，完成了“我国r f i d 标准体系框架报告” 和“我国r f i d 标准体系表，这两份报告为制定具有我国自主知识产权的r f i d 标准，实现国家标准化战略具有重要意义和实际应用价值。 2 3 电子标签相对于条形码的优势 电子标签相对比条形码有七大特点： 1 、快速扫描。条形码一次只能扫描一个条形码， r f i d 读写器可同时识别 读取数个r f i d 标签。 2 、体积小型化、形状多样化。r f i d 在读取上并不受尺寸大小与形状限制， 不需为了读取精确度而配合纸张的固定尺寸和印刷品质。 3 、抗污染能力和耐久性。传统条形码的载体是纸张，因此容易受到污染， 且条形码是附于塑料袋或外包装纸箱上，故易受到折损；而r f i d 对水、油和化 学药品等物质具有很强抵抗性，由于r f i d 标签是将数据存在芯片中，因此可以 免受污损。 4 、可重复使用。条形码印刷之后便无法更改，r f i d 标签则可以重复地新 增、修改、删除卷标内储存的数据。 5 、穿透性和无屏障阅读。条形码必须在近距离且无物体阻挡时才能被扫描， 而电子标签在被覆盖的情况下，也能穿透纸张、木材和塑料等非金属或非透明 的材质，进行穿透性通信。 6 、数据的记忆容量大。一维条形码的容量是5 0 位，二维条形码最大的容 量可储存2 0 0 0 至3 0 0 0 字符，r f i d 最大的容量则有数m b 。随着记忆载体的 7 发展，数据容量也有不断扩大的趋势。 7 、安全性高。r f i d 承载的是电子信息，其数据内容可经密码保护，使其 内容不易被伪造及变造。 2 4 小结 本章主要介绍了无线射频识别技术的工作原理，并详细分析了无线射频识 别技术的三个组成部分即读写器、电子标签和应用软件系统的构成，紧接着简 单介绍了电子标签的分类以及技术标准，最后总结了电子标签相对于条形码的 优势。 8 第三章r f i d 系统的安全机制 3 1 安全问题 无线射频识别( r f i d ) 技术中的数据安全和个人隐私问题日益突出，成为 了阻碍r f i d 进一步发展的“瓶颈”。解决该问题需要有切实可行的综合技术解决 方案，可采取的技术解决方案包括：杀死标签、法拉第网罩、主动干扰、阻止 标签、哈希( h a s h ) 锁、随机h a s h 锁、h a s h 链、重加密等h5 1 。目前，找到一 个既能保护用户隐私和数据安全又能维持低成本的解决方案非常重要。 3 1 1 个人隐私的安全问题 在电子标签推广应用中与之相关的安全隐患也随之产生，越来越多的商家 和用户担, o r f i d 系统的安全和隐私保护问题，即在使用r f i d 系统过程中如何确 保其安全性和隐私性，不至于导致个人信息、业务信息和财产等丢失或被他人 盗用。目前r f i d 电子标签的安全问题集中在对个人用户的隐私和企业用户的商 业秘密保护、防范对r f i d 电子标签系统的攻击和应用r f i d 电子标签技术进行安 全防范等多个方面。 r f i d 面临的隐私威胁包括：标签信息泄漏和利用标签的唯一标识符进行的 恶意跟踪。信息泄露是指暴露标签发送的信息，该信息包括标签用户或者是识 别对象的相关信息。例如，当r f i d 标签应用于图书馆管理时，图书馆信息是公 开的，读者的读书信息任何其他人都可以获得。当r f i d 标签应用于医院处方药 物管理时，很可能暴露药物使用者的病理，隐私侵犯者可以通过扫描服用的药 物推断出某人的健康状况。当个人信息比如电子档案、生物特征添加至u r f i d 标 签里时，标签信息泄露问题便会极大地危害个人隐私，比如美国原计划2 0 0 5 年 8 月在入境护照上装备电子标签的计划因为考虑到信息泄露的安全问题而被 推迟1 引。 r f i d 系统后台服务器提供有数据库，标签一般不需包含和传输大量的信息。 通常情况下，标签只需要传输简单的标识符，然后，通过这个标识符访问数据 库获得目标对象的相关数据和信息。即便这样，依然可以通过标签固定的标识 符实施跟踪，即使标签进行加密后不知道标签的内容，仍然可以通过固定的加 密信息跟踪标签。也就是说，人们可以在不同的时间和不同的地点识别标签， 获取标签的位置信息。这样，攻击者可以通过标签的位置信息获取标签携带者 的行踪，比如得出他的工作地点，以及到达和离开工作地点的时间。 3 1 2r f i d 系统的安全问题 r f i d 应用广泛，可能引发各种各样的系统安全问题。在一些应用中，非法 用户可利用合法读写器或者自制一个读写器对标签实施非法接入，造成标签信 息的泄露。在一些金融和证件等重要应用中，攻击者可篡改标签内容，或复制 9 合法标签，以获取个人利益或进行非法活动。在药物和食品等应用中，伪造标 签，进行伪劣商品的生产和销售。 由于集成的r f i d 系统实际上是一个计算机网络应用系统，因此安全问题类 似于计算机和网络的安全问题，但它仍然有两个特殊的特点：首先，r f i d 标签 和后端系统之间的通信是非接触和无线的，使它们很容易受到窃听；其次，标 签本身的计算能力和可编程性，直接受到成本要求的限制。一般地，r f i d 的安 全威胁除了与计算机网络有相同之处外，还包括以下三种类型：一是标签中数 据的安全威胁，由于标签本身的成本所限，标签本身很难具备能够足以保证安 全的能力。这样，就面临了很大的问题，非法用户可以利用合法的读写器或者 自制一个读写器，直接与标签进行通信。这样，就可以很容易地获取标签内所 存数据；对于读写式标签，还面临数据被篡改的风险。二是通信链路上的安全 威胁，当标签传输数据给读写器，或者读写器读取标签的时候，其数据通信链 路是无线通信链路，无线信号本身是开放的，这就给非法用户的侦听带来了方 便。实现的常用方法包括：黑客非法截取通信数据、业务拒绝式攻击即非法用 户通过发射干扰信号来堵塞通信链路，使得读写器过载，无法接收正常的标签 数据、利用冒名顶替标签来向读写器发送数据，使得读写器处理的都是虚假的 数据，而真实的数据则被隐藏、通过发射特定电磁波破坏标签等。三是读写器 协议的安全威胁，r f i d 所遇到的安全问题，要比通常的计算机网络安全问题要 复杂的多。通过分析r f i d 系统的安全威胁，受到非授权攻击的数据可能存在 于标签中、读写器中或者当数据在各个组件之间传输之时，由此可见，r f i d 系 统比之网络系统的安全漏洞要复杂的多，这不仅表现在由于r f i d 产品的成本 限制了r f i d 的处理能力和安全加密措施，而且r f i d 技术本身就包含了比计算 机和网络更多和更容易泄密的不安全节点，如图3 - i 所示。 o o o 0 口 o o 图3 - ir f i d 技术在系统应用中的漏洞 1 0 封一 宁 由此可见，r f i d 系统应用中存在的信息安全问题可能出现在标签、网络和 数据这三个层面，下面就这三个方面对r f i d 的信息安全技术进行分析。 1 、标签安全技术 标签的体积虽小，但是其潜在的安全问题却不容忽视。对于刚刚使用r f i d 的企业，r f i d 标签很容易被黑客、商店扒手或不满的职员所操控。大多数支持 e p c g l o b a l 标准的无源标签只能写入一次，但是支持i s o 等其他标准的r f i d 标 签，就具备多次写入的功能。2 0 0 5 年春天，支持e p c g l o b a l 超频第二代协议的 r f i d 标签大量上市，这些标签也支持多次写入功能，由于没有写保护功能，这 些无源标签可以被更改或写入“好几千次 。 为了应对r f i d 标签的安全问题，很多建议、技术已经规范开始出现。新的 e p c g o l b a l 超频第二代协议标准增强了无源标签的安全性能，新标准不仅提供 了密码保护，而且能对数据从标签传输到读写器的过程进行加密，而不是对标 签上的数据进行加密。 隐私安全问题主要体现在r f i d 标签上。一种想法是“软屏蔽器 ( s o f t b l o c k e r ) 。它能加大对顾客的隐私偏好的保护，不过这是在商品已经购买之后。 在销售点，顾客会出示其会员卡，通过这张卡就能看到其隐私偏好的数据。软 屏蔽器可能是解决r f i d 标签隐私问题的一个好办法，在e p c g l o b a l 第二代标签 中就加入了这种功能n 8 1 。 2 、网络安全问题 在零售商店中，货物从一个地点运输到另一个地点的过程中，有很多机会 可以覆盖甚至修改r f i d 标签上的数据。这种漏洞在公司用来处理贴有r f i d 标 签的货箱、托盘或其他货物的网络上同样存在。这些网络分布在公司的配送中 心、仓库或商店的后台。未经安全处理的无线网络，给拦截数据带来了机会。 而在r f i d 读写器的后端是非常标准化的互联网基础设施，因此，r f i d 后端的 网络存在的安全问题及其机会和互联网是一样的。 在读写器后端的网络中，完全可以借鉴现有的互联网络的各种安全技术。 解决办法是，确保网络上的所有读写器在传送信息给中间件( 中间件再把信息 传送给企业系统) 之前都必须通过验证，并且确保读写器和后端系统之间的数 据流是加密的。部署r f i d 读写器时应采取一些非常切合实际的措施，确保验证 后方可连入企业网络，并且不会因为传输而被其他人窃取重要信息。 为了防止有人窃听r f i d 读写器发出的功率较高的信号，一个办法是采用名 为“无声爬树 的反窃听技术。r s a 实验室的首席科学家兼主任b u r rk a l i s k i 表示，在r f i d 无线接口的限制范围内，这种方法可确保读写器绝不重复发送标 签上的信息。r f i d 标签上的数字不是由读写器发送，而是被间接引用，接收端 中间件知道如何解释这些数字，而窃听者却不知道。 3 、数据安全问题 r f i d 技术的应用提高了整个供应链的透明度，但由此也引发了人们对数据 安全的担忧。企业对数据需要有很强的安全感，对于企业而言，他们的数据， 包括和他们业务相关的信息数据，不再仅仅是他们自己的数据，也是他们贸易 伙伴的数据。 3 2 安全机制 3 2 1r f i d 物理安全机制 k i l l 命令( k i l lc o m m a n d ) ：k i l l 命令是用来在需要的时候使标签失效 的命令。接收到这个命令之后，标签便终止其功能，无法再发射和接收数据， 这是一个不可逆操作。把电子标签杀死或在购买产品后将其丢弃并不能解决 r f i d 技术所有的隐私问题，更何况电子标签在出售后对消费者来说还有很多 用处，所以简单的执行k i l l 命令的方案并不可行u 引。 阻塞标签( b l o c k e rt a g ) ：基于二进制树型查询算法的阻塞标签，通过模 拟标签i d 来干扰算法的查询过程。阻塞标签方法的优点是r f i d 标签基本不需 要修改，也不必执行密码运算，减少了投入成本，并且阻塞标签本身非常便宜， 与普通标签价格相差不大，这使得阻塞标签可作为一种有效的隐私保护工具。 但阻塞标签也可能被用于进行恶意攻击：通过模拟标签i d ，恶意阻塞标签能阻 塞规定i d 隐私保护范围之外的标签，从而干扰正常的r f i d 应用。 夹子标签( c 1 i p p e dt a g ) ：夹子标签是i b m 公司针对r f i d 隐私问题开发 的新型标签。消费者能够将r f i d 天线扯掉或者刮除，缩小标签的可阅读范围， 使标签不能被随意读取。使用夹子标签技术，尽管天线不能再用，读写器仍然 能够近距离读取标签( 当消费者返回来退货时，可以从r f i d 标签中读出信息) 。 假名标签( t a gp s e u d o n y m s ) ：给每个标签一套假名p 1 ，p 2 ，p k ，在 每次阅读标签的时候循环使用这些假名，这就是假名标签。它实现了不给标签 写入密码，只简单改变他们的序号就可以保护消费者隐私的目的。但是，攻击 者可以反复扫描同一标签，从而迫使它循环使用所有可用的假名。 天线能量分析( a n t e n n a e n e r g ya n a l y s i s ) ：k e n n e t hf i s h k i n 和s u m i tr o y 提出了一个保护隐私的系统，该系统的前提是合法读写器可能会相当接近标签 ( 比如一个收款台) ，而恶意读写器可能离标签很远。由于信号的信噪比随距离 的增加迅速降低，所以读写器离标签越远，标签接收到的噪声信号越强。加上 一些附加电路，一个r f i d 标签就能粗略估计一个读写器的距离，并以此为依据 改变它的动作行为：标签只会给一个远处的读写器很少的信息，却告诉近处的 读写器自己唯一的i d 信息等。但是更狡猾、多层次的攻击方式也可能成功， 因为随着读写器离标签的距离的减小，标签会提供给读写器越来越多的信息。 3 2 2r f i d 密码安全机制 1 2 与基于物理方法的硬件安全机制相比，利用密码安全机制解决r f i d 的安 全问题更加灵活、便捷。目前，用密码安全机制解决r f i d 的安全问题已成为业 界研究的热点，其主要研究内容是利用各种成熟的密码方案和机制来设计和实 现符合r f i d 安全需求的密码协议。目前，已经提出了多种r f i d 安全协议，例 如h a s h - l o c k 协议、随机化h a s h - l o c k 协议、h a s h 链协议等。但遗憾的是， 现有的大多数r f i d 协议都存在着各种各样的缺陷。下面对其进行简单的介绍。 h a s h l o c k 协议：h a s h - l o c k 协议是由s a r m a 等人提出的。为了避免信息 泄漏和被追踪，它使用m e t a l d 来代替真实的标签i d 。该协议中没有i d 动态刷 新机制，并且m e t a l d 也保持不变，i d 是以明文的形式通过不安全的信道传送， 因此h a s k - l o c k 协议非常容易受到假冒攻击和重传攻击，攻击者也可以很容易 地对电子标签进行追踪。 随机化h a s h - l o c k 协议：随机化h a s h - l o c k 协议由w e i s 等人提出，它采 用了基于随机数的询问一应答机制。在该协议中，认证通过后的t a g 标识i d k 仍 以明文的形式通过不安全信道传送，因此攻击者可以对t a g 进行有效的追踪。 同时，一旦获得了t a g 的标识i d k ，攻击者就可以对t a g 进行假冒。该协议也 无法抵抗重传攻击。不仅如此，每一次t a g 认证时，后端数据库都需要将所有 t a g 的标识发送给读写器，二者之间的数据通信量很大。所以，该协议不仅不 安全，也不实用心引。 h a s h 链协议t 本质上，h a s h 链协议也是基于共享秘密的询问一应答协议。 但是，在h a s h 链协议中，当使用两个不同杂凑函数的读写器发起认证，t a g 总 是发送不同的应答。在该协议中，t a g 成为了一个具有自主i d 更新能力的主动 式t a g 。同时，h a s h 链协议是一个单向认证协议，只能对t a g 身份进行认证， 不能对读写器身份进行认证。h a s h 链协议非常容易受到重传和假冒攻击。此 外，每一次t a g 认证发生时，后端数据库都要对每一个t a g 进行j 次杂凑运算， 因此其计算载荷也很大。同时，该协议需要两个不同的杂凑函数，也增加了t a g 的制造成本。 基于杂凑的i d 变化协议：基于杂凑的i d 变化协议与h a s h 链协议相似， 每一次回话中的i d 交换信息都不相同。系统使用了一个随机数r 对t a g 标识 不断进行动态刷新，同时还对t i d ( 最后一次回话号) 和l s t ( 最后一次成功的 回话号) 信息进行更新，所以该协议可以抵抗重传攻击。但是，在t a g 更新其 i d 和l s t 信息之前，后端数据库已经成功地完成相关信息的更新。如果在这 个时间延迟内攻击者进行攻击( 例如，攻击者可以伪造一个假消息，或者干脆 实施干扰使t a g 无法接收到该消息) ，就会在后端数据库和t a g 之间出现严重 的数据不同步问题。这也就意味着合法的t a g 在以后的回话中将无法通过认 证。也就是说，该协议不适合于使用分布式数据库的普适计算环境，同时存在 数据库同步的潜在安全隐患。 d a v i d 的数字图书馆r e i d 协议：d a v i d 等提出的数字图书馆r e i d 协议使 用基于预共享