（管理科学与工程专业论文）基于RFID技术的现代物流信息系统安全性研究.pdf

基于r f id 技术的现代物流信息系统安全性研究 摘要 r f i d 技术被认为2 1 世纪最有影响力的信息技术之一，其在现代 物流领域的应用给物流行业带来了前所未有的发展，包括增强供应链 的可视性，降低库存水平，加快企业信息化进程，提高客户服务水平 等。但是由于r f i d 技术当初应用时是完全开放的，数据的传输通过 无线通信信道进行，这就给攻击者提供了机会，从而埋下了安全隐患。 安全问题已经成为制约r f i d 技术应用的重要因素，因此必须采用相 应的安全机制来解决系统面临的安全问题。 本文的研究正是基于这样的实际背景和需求提出的，全文的主要 工作包括以下几点： 1 在研究r f i d 技术以及其在现代物流各个环节的应用的基础上， 分析了系统存在的安全隐患以及攻击者可能采用的各种攻击手 段，建立了一个攻击模型。 2 利用各种安全机制设计了一个基于r f i d 技术的现代物流信息 系统安全架构，包括读写器和标签在发生数据传输前验证双方 身份合法性的对称认证协议、r f i d 中间件对读写器身份的认 证、数据传输时的加密、数据处理时的基于r f i d 中间件的安 全策略。 3 设计了基于共享密钥的对称认证协议，从而有效防范了r f i d 系统中存在的跟踪、窃听、欺骗、重播等攻击。通过与现有认 证协议的比较，说明其在效率和安全性方面的优势。 4 在基于共享密钥的对称认证协议的基础上，考虑减轻标签和读 写器的计算量，充分发挥r f i d 中间件的作用，改进了协议， 设计了基于共享密钥的多方认证协议，最终实现系统的安全。 关键字：r f i d ；现代物流；供应链；认证协议；攻击 i l t h er e s e a r c ho ns e c u i u t yo fm o d e r nl o g i s t i c s i n f o r m a t i o ns y s t e mb a s e do nr f i d a b s t r a c t r f i dt e c h n o l o g yi sc o n s i d e r e da so n eo ft h em o s ti n f l u e n t i a l i n f o r m a t i o nt e c h n o l o g i e si n21s tc e n t u r y , t h e a p p l i c a t i o no fr f i d t e c h n o l o g yi nm o d e ml o g i s t i c sh a sb r o u g h tu n p r e c e d e n t e do p p o r t u n i t y f o ri t ，t h ev i s u a l i z a t i o no ft h es u p p l yc h a i ni s i m p r o v e d ，i n v e n t o r yi s r e d u c e d ，t h ep r o c e s so fe n t e r p r i s e si n f o r m a t i z a t i o ni ss p e e du pa n d c u s t o m e rs e r v i c ei si m p r o v e d b u ts i n c et h et r a n s m i s s i o no fd a t ai s c o m p l e t e l yo p e n e dt h r o u g hw i r e l e s sc h a n n e l ，t h i sh a sp o t e n t i a lr i s k sa n d p r o v i d e da l lo p p o r t u n i t yf o rt h e a t t a c k e r t h e r e f o r ew em u s ta d o p t a p p r o p r i a t es e c u r i t ym e c h a n i s m st os o l v et h ep r o b l e m s t h er e s e a r c ho ft h i sp a p e ri sb a s e do nt h eb a c k g r o u n da n dt h ea c t u a l d e m a n dm e n t i o n e di nt h ef i r s tp a r a g r a p h ，t h em a i nw o r ko ft h i sp a p e ri sa s f o l l o w s ： 1 o nt h eb a s i so ft h es t u d yo fr f i dt e c h n o l o g yi nm o d e ml o g i s t i c s a sw e l la sa l la s p e c t so ft h ea p p l i c a t i o n ，w ea n a l y s i st h es y s t e m s h i d d e nd a n g e ra sw e l la sa l lo fm e a n so fa t t a c k st h ea t t a c k e rm a y i i i u s e ，t h e ne s t a b l i s ham o d e lo ft h ea t t a c k 2 d e s i g n a na r c h i t e c t u r eo ft h e s e c u r i t y o fm o d e ml o g i s t i c s i n f o r m a t i o ns y s t e mb a s e do nr f i db yav a r i e t yo fs e c u r i t y m e c h a n i s m s ，i n c l u d i n gt h es y m m e t r i c a ls e c u r i t ya u t h e n t i c a t i o n p r o t o c o lb e t w e e nt h er e a d e ra n dt a gw h i c hi st ov e r i f yt h ei d e n t i t y o ft h e l e g i t i m a c yb e f o r ed a t at r a n s m i s s i o n ，t h er e a d e r si d e n t i t y a u t h e n t i c a t i o n b y r f i dm i d d l e w a r e ，d a t a e n c r y p t i o n w h e n d a t a - - p r o c e s s i n g a sw e l la sr f i d - - b a s e dm i d d l e w a r e s e c u r i t y m e c h a n i s m 3 d e s i g nas y m m e t r i ca u t h e n t i c a t i o np r o t o c o lb a s e do nas h a r e dk e y s oa st op r e v e n tt h ea t t a c k sa si l l e g a lr e a d i n g ，e a v e s d r o p ，s p o o f i n g a n dr e p l a yw h i c he x i s ti nr f i ds y s t e m p r o v ei t s a d v a n t a g e s c o m p a r e d w i t ht h ee x i s t i n gs e c u r i t ya u t h e n t i c a t i o np r o t o c 0 1 4 i m p r o v et h ef o r m e rp r o t o c o la n dd e s i g na l lm u l t ia u t h e n t i c a t i o n p r o t o c o lb a s e do nas h a r e dk e y , s oa st or e d u c et h ec a l c u l a t i o no f t a ga n dt h er e a d e r , g i v ef u l lp l a yt ot h er o l eo fr f i dm i d d l e w a r e a n du l t i m a t e l ya c h i e v es y s t e m ss e c u r i t y k e y w o r d s ：r f i d ；m o d e ml o g i s t i c s ；s u p p l yc h a i n ； a u t h e n t i c a t i o np r o t o c o l ；a t t a c k i v 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工 作及取得的研究成果。尽我所知，除了文中特别加以标注和致谢的地 方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含 本人为获得浙江工商大学或其它教育机构的学位或证书而使用过的 材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作 了明确的说明并表示谢意 签名：扛 日期2 叩年月- 日 关于论文使用授权的说明 本学位论文作者完全了解浙江工商大学有关保留、使用学位论文 的规定：浙江工商大学有权保留并向国家有关部门或机构送交论文的 复印件和磁盘，允许论文被查阅和借阅，可以将学位论文的全部或部 分内容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制 手段保存、汇编学位论文，并且本人电子文档的内容和纸质论文的内 容相一致。 保密的学位论文在解密后也遵守此规定。 二 签名： l 型 导师签名： i 醐。刁引肌日 1 1 研究背景及选题意义 第1 章引言 r f i d 是r a d i of r e q u e n c yi d e n t i f i c a t i o n 的缩写，即射频识别【lj 。射频识别技术 是一种利用射频通信实现的非接触式的自动识别技术。由于标签具有体积小、容 量大、寿命长、可重复使用等特点，可支持快速读写、非接触识别、高速移动识 别、多目标识别、定位及长期跟踪管理。 r f i d 技术应用于物流、制造、公共信息服务等行业，可大幅提高管理和运 作效率，降低成本。r f i d 技术与互联网、通讯等技术相结合，可实现全球范围 内物品跟踪和信息共享。随着成本的下降和标准化的实施，相关技术的不断完善 和成熟，r f i d 技术显示出巨大的发展潜力与应用空间，其全面推广和普遍应用 将是不可逆转的趋势，r f i d 产业将成为一个新兴的高技术产业群，成为国民经 济新的增长点，研究r f i d 技术，发展r f i d 产业对提升社会信息化水平、促进经 济可持续发展、提高人们生活质量、增强公共安全与国防安全等方面产生深远影 响，具有战略性的重大意义。 但是由于当初基于r f i d 技术的应用设计是完全开放的，在r f i d 系统的开发 过程中，没有考虑安全问题，导致安全问题日益凸显，这已成为制约应用的重要 因素。2 0 0 5 年1 月【2 】，埃克森美孚石油公司的速结卡( s p e e dp a s s ) 系统和r f i dp o s 系统被约翰霍普金森大学进行教学实践的一组学生攻破，2 0 0 6 年2 月，以色列威 兹曼大学的计算机科学教授a d is h a m i r 宣布可以对r f i d 的散列加密算法l 进行攻 击，而这种算法在某些r f i d 系统中是经常使用的。按照s h a m i r 教授的研究成果， 普通的移动电话就会对特定应用场合的r f i d 系统导致安全危险。荷兰阿姆斯特 丹自由大学的一个研究小组研究成功了一种称为概念验证的r f i d 蠕虫病毒，通 过在r f i d 芯片的可写内存中注入了这种病毒程序，当芯片被读写器唤醒并进行 通信时，病毒通过芯片最后到达数据库，而感染病毒的后台数据库又可以感染更 多的标签。2 0 0 4 年，美国食品与药品管理部批准了一种可移植电脑芯片 v e r i c h i p 3 1 ，它可以记录病人的诊疗史，便于医生快速了解病人的资料，但是在 短短的几天内，由于微芯片应用到人体内，从而引发公众对r f i d 技术对人们隐 私问题的影响的争论。 由此可见，如果没有可靠的信息安全机制，就无法有效保护标签中的数据， 如果标签中的信息被窃取甚至恶意更改，将可能给用户带来巨大损失。另外，没 有可靠信息安全机制的标签，还容易向邻近的读写器泄漏一些敏感信息，易被干 扰、易被跟踪。由于r f i d 系统的安全隐患，可能还会影响到相关应用系统的安 全性，如果安全性不能得到充分保证，系统中的信息被不法分子利用，系统中的 个人信息、商业机密和军事秘密，都可能被人盗窃，这必将严重影响经济安全、 军事安全和国家安全。因此研究r f i d 系统的安全机制和实现技术已成为r f i d 安 全技术研究的基本任务，也成为推广和应用r f i d 技术的关键问题之一。 1 2r f i d 技术国内外发展状况 r f i d 技术最早起源于第二次世界大战中对敌机和友机的识别，但是由于技 术和成本原因，一直没有得到广泛应用。近年来，随着大规模集成电路、网络通 信、信息安全等技术的发展，r f i d 技术进入商业化应用阶段。 r f i d 技术的大致发展阶段如表1 1 所示【4 】： 表1 1r f i d 技术的发展进程 时间阶段 1 9 4 1 1 9 5 0雷达的改进和应用催生r f i d 技术，1 9 4 8 年奠定了r f i d 技术的 理论基础 1 9 5 l 一1 9 6 0早期r f i d 技术的探索阶段，主要处于实验室实验研究 1 9 6 1 - - 1 9 7 0 r f i d 技术的理论得到了发展，开始了一些应用尝试 1 9 7 1 1 9 8 0r f i d 技术于产品研发处于一个大发展时期，各种r f i d 技术的 到了加速发展 1 9 8 l 1 9 9 0r f i d 技术及产品进入商业应用阶段，各种封闭系统应用开始出 现 19 9 1 2 0 0 0 r f i d 技术标准化问题日趋得到重视，r f i d 产品得到了广泛采用 2 0 0 1 至今标准化问题、安全问题日趋为人们所重视，r f i d 产品种类更加 丰富，有源标签、无源标签及半无源标签得到发展，标签成本不 断降低。 2 1 2 1 国外发展状况 美国，日本以及欧洲的一些国家和地区在r f i d 技术的各个标准制定和应用 方面处于相对领先的位置，在过去十几年的时间内，共产生了数千项的r f i d 技 术的专利。从全球的范围来看，美国已经在标准的建立、相关软硬件技术的开发 和应用领域走在世界的前列。欧洲标准追随美国主导的标准。在封闭系统应用方 面，欧洲与美国基本处在同一阶段。同本虽然已经提出标准，但主要得到的是本 国厂商的支持，如要成为国际标准还有很长的路要走。 在基于r f i d 技术的软硬件方面【5 1 ，随着e p c g l o b a l 推出第2 代超高频( u h f ) 标签标准( e p c g 2 ) 作为欧美地区的新标准，各大供应商的e p c g 2 芯片纷纷亮 相：飞利浦公司推出u c o d e e p c g 2 芯片；i m p i n j 公司推出m o n a 芯片和读取 器平台；t i 也推出e p c g 2 产品，并且实现量产。许多高科技公司，包括英特尔、 微软、s a p 、甲骨文和s u n 等，正在开发支持r f i d 射频识别标签专用的软件 和硬件。 在应用方面，美国己有多家企业承诺支持r f i d 应用，这其中包括零售商沃 尔玛、制造商吉列、强生、宝洁物流行业的联合包裹服务公司以及政府方面的物 流应用。其中沃尔玛和美国国防部这两大商品采购巨头的措施产生了多米诺骨牌 效应，美国的t a r g e t ，英国的t e s e o ，德国的麦德龙纷纷采用这项新技术。在日 本，日本经济产业省选择了七大产业做的r f i d 应用试验，包括消费电子、书籍、 服装、音乐、建筑机械、制药和物流。从近来日本领域的动态来看，与行业应用 相结合的基于技术的产品和解决方案开始集中出现，这为年在日本应用的推广， 特别是在物流等非制造领域，奠定了坚实的基础。 在安全性方面【6 , 7 , 8 , 9 】，s a r m a 等指出可以采用在标签使用后注销的方法来实现 标签的访问控制，但是这种安全机制使得标签的使用环境类似于条形码，r f i d 系统的优势无法充分发挥出来。j u e l s 等通过引入r f i d 阻塞标签来解决消费者隐 私性保护问题，该标签使用标签隔离( 抗碰撞) 机制来中断读写器与全部或指定 标签的通信，但是，阻塞标签也有可能被攻击者滥用来实施拒绝服务攻击，同时， j u e l s 又提出了采用多个标签假名的方法来保护消费者隐私。i s h i k a w a 等提出采 用标签发送匿名电子产品代码( e p c ) 的方法来保护消费者的隐私。w e i s 等提出 一种基于散列函数的访问控制协议。e n g b e r g 等指出隐私性保护和安全方案应当 与标签的生命周期匹配，并设计了一种基于共享密钥并使用散列运算和异或运算 的零知识认证协议来解决r f i d 系统的隐私性问题。a v o i n e 等分层描述了r f i d 系统的隐私问题，指出仅仅在应用层方面来保护消费者的隐私是不够的，也应当 考虑在底层保护消费者的隐私。 1 2 2 国内发展状况 我国r f i d 技术的起步相对比较晚，1 9 9 3 年我国政府制定了金卡工程实施计 划及全国范围的金融卡网络系统的1 0 年规划，金卡工程奠定了r f i d 的产业基 础【1 0 】，特别是自2 0 0 4 国家金卡工程将r f i d 应用试点列为重点工作后，我国r f i d 产业与应用的发展深受关注。2 0 0 6 年集成电路卡模块技术规范、建设事业 i c 卡应用技术等应用标准出台。2 0 0 6 年1 2 月，关于r f i d 动物应用的推荐性 国家标准动物射频识别代码结构正式实施。2 0 0 6 年9 月科技部、发改委、 信产部、商务部等十多个部委共同拟定中国射频识别( r f i d ) 技术政策白皮 书，白皮书就r f i d 技术、标准、产品研发与产业化、应用开拓与试点工程示 范等。2 0 0 7 年4 月信息产业部发布了关于发布8 0 0 9 0 0 m h z 频段射频识别 ( i u i d ) 技术应用试行规定的通知，中国超高频r f i d 频段已被正式批准并公 布意味着频率方面的障碍已经得到扫除，我国向r f i d 源标签计划( s o u r c e t a g g i n g ，即商品标签一体化) 打开了大门。 随时r f i d 技术在我国的应用发展，其已在我国第二代居民身份证、城市公 共交通“一卡通”、电子证照与商品防伪、特种设备强检、安全管理、动植物电子 标识、以及物流管理等领域启动了应用试点，我国r f i d 产业在芯片设计与制造、 标签封装、各类读写器的研制以及应用软件开发和整体解决方案提供等方面取得 实际进展。其中中国第二代居民身份证项目是全球迄今为止最大的r f i d 应用项 目【1 1 1 ，仅2 0 0 6 年就使用了两亿七千五百万张i d 卡。这一项目价值占到当年全 球r f i d 市场价值总额( 1 3 3 5 亿) 的2 5 。在刚刚结束的2 0 0 8 北京奥运会上， r f i d 的应用随处可见，北京奥运会在食品安全保障体系、门票管理、奥运宾馆、 比赛场地、安全防卫、防伪打假、车辆快检、制造商、运动员跟踪物流中心和医 院的个人安全监控。预计到2 0 1 1 年中国r f i d 市场规模将达到6 5 3 l 亿元，从 2 0 0 7 年到2 0 11 年的市场规模年均复合增长率为1 7 8 3 。 4 在r f i d 安全性方面，国内学者朗为名曾就r f i d 安全机制进行研究，提出 了一系列的r f i d 认证方案和r f i d 加密方案，学者周永彬在r f i d 安全协议的 设计方面提出了一个r f i d 协议的安全模型，并证明了其安全性。当然相对与国 外学者在r f i d 安全性方面的研究上取得的进展，国内还处于起步阶段，很多方 面还有待进一步的突破。 国内r f i d 研发主要集中在北京和上海等大城市。在芯片设计与制造技术、 天线设计与制造技术、芯片封装技术、读写设备开发与生产技术、系统集成和数 据管理软件平台、应用系统开发几个方面的研究都有一定进展【5 1 。在芯片设计与 制造方面，上海华虹、上海复旦微电子、上海贝岭、北京华大、大唐微电子等企 业已涉足；在天线设计与制造方面，中国电子科技集团第五十研究所等专业院所 正在对不同频段的天线进行研究：在读写设备方面，上海华申智能、深圳远望谷 等，已经开发出9 0 0 m h z 标签超高频的读写器；在系统集成和数据管理软件平台 方面，上海交通大学和a u t o i d 中国实验室已和s a p 合作，正在进行标签、 r f i d 中间件的开发；在应用系统开发方面，行业内的应用占绝大多数，涉足的 厂商众多，主要厂商集中于北京、上海、广东三地，其中，上海发展最快，整个 r f i d 产业链已经初步形成，中国首个为制造商、分销商、零售商等整个供应链 提供应用的上海标签演示中心建成揭幕，这预示着中国标签产业发展又向前迈出 了一步。 1 3r f i d 技术面临的问题 虽然r f i d 技术在各个国家的诸多领域发展迅速，但并没有预先设想的那么 顺利，还有许多技术难点尚待突破。r f i d 技术面临的问题有很多，主要涉及到 标准、防冲突、成本和安全等几个方面 1 2 , 1 3 , 1 4 。 首先在技术层面，涉及到的问题有标准的缺位，各国使用的频率不统一，编 码方式不统一等。现在全球范围内没有一个统一的标准，虽然已有欧美标准 e p c g i o b a l 、日本标准u i d 在使用，但它们都还处在初级阶段，各标准间互不兼 容，我国在标准的制定过程中，存在着一个既要保护国家和企业安全的利益问题， 也要考虑到于国际标准接轨的问题。 其次，一次性读取防冲突问题及在快速移动物体上的标签读取准确性问题， 5 还没有很好解决。在读取的准确度上，尤其是对靠近液体和金属等特殊介质材料 的超高频标签的读取差错率还比较高。 另外，r f i d 技术受阻，原因是要大规模应用，成本是关键之一，而成本牵 涉到利益，目前r f i d 的应用几乎都是上游投资、下游受益。零售商希望借r f i d 降低成本、提高效率，而采用r f i d 的成本却要由制造商和物流商来承担。这也 是现在r f i d 没有办法全面取代条形码一个很重要的原因。 最后，在安全隐私方面，和其他无线通信产品一样，由于数据是通过无线方 式进行传输的，这就无法避免安全问题，对于安全问题比较理想的方法是在r f i d 系统中加入加解密算法和认证协议，但是由于涉及到成本的问题，r f i d 应用系 统还比较少采用复杂的加密、解密等的算法，所以目前国内外在r f i d 技术的应 用上也没有一个比较完善的低成本、高安全性的方案，还处于探索优化的解决方 案阶段。 1 4 论文的创新性及主要内容 1 4 1 论文的创新性 ( 1 ) 从多角度提出了解决基于r f i d 技术的现代物流系统安全问题的方法。 着重通过设计认证协议的方法来解决系统面临的问题，综合考虑成本和安全性 两方面来进行设计。 ( 2 ) 提出了利用r f i d 中间件解决安全问题的思路，有效解决了标签和读写 器运算和存储能力相对弱的问题，充分发挥了r f i d 中间件的作用。 1 4 2 论文的主要内容 本论文共分6 章，其中第3 章至第5 章是本文的重点，内容安排如下： 第l 章简要介绍本课题的研究背景及选题意义，介绍了目前国内外r f i d 系统发展的现状和目前r f i d 产业在发展过程中出现的问题，并对论文的结构安 排进行说明。 第2 章主要介绍r f i d 系统的基础理论，包括r f i d 系统的组成、分类和工 作原理和安全需求等内容。 6 第3 章先分析了r f i d 应用系统的脆弱性以及面临的攻击，然后设计了攻 击者的模型，接下来介绍了现有的各种安全机制，主要介绍了物理安全机制和逻 辑安全机制等。 第4 章先提出了基于r f i d 技术的现代物流应用框架，在这个框架的基础 上，分析现代物流系统面临的多种威胁，然后提出基于r f i d 技术的现代物流信 息系统安全架构设计，主要包括数据加密传输、设计认证协议、r f i d 中间件安 全策略等，主要对后两种安全措施进行了分析。 第5 章本章的重点是完成第4 章中关于认证协议设计部分的内容，设计了基 于共享密钥的对称认证协议以及基于共享密钥的多方认证协议。分析了协议的运 行过程，所能抵御的攻击等，并与现有认证协议进行了比较。 第6 章总结本文所做的工作、创新点以及后续工作展望。 7 第2 章r f id 技术理论基础 2 1r f i d 系统组成 r f i d 系统一般由标签( t a g ) 、读写器( r e a d e r ) 、r f i d 中间件、数据库等 构成。如图2 1 所示 1 5 , 1 6 j 。 德燃数掂、一一 执行结聚 能缝 数攒输入 时序 泼写器 中嘲份 数嘏输出 数据库摭籀 数绷输入 数铡输 醚後命令 1 、_ 一一 读巧命令 图2 - 1r f i d 系统缀成图 ( 1 ) 标签 标签由天线以及微电子芯片( 包含调制器、编码发生器、时钟及存储器) 组 成，通过电感耦合或电磁反向散射原理与读写器进行通信，当标签进入读写器的 作用区域后，可根据通信协议从存储器中读写信息，微电子芯片中还可以加入诸 如密码或者防碰撞算法等复杂功能，某些有源的标签中还集成了m e m s ( 微电 机系统) 传感器等扩展单元。 标签中储存一个编码，类似于条形码，也就是标签的电子编码，每个标签具 有唯一的电子编码。标签一般放置在要识别的物体上，具有智能读写及加密通信 的能力，是r f i d 系统真正的数据载体。 ( 2 ) 读写器 读写器是一个无线发射与接收设备，包括天线、编码和解码电路、通信控制 电路和通信接口的等。可以内置天线，也可以是天线分离式的，具有一定的计算 和存储能力。 最为数据采集的终端，读写器还需要和中间件进行数据交换。在很多读写器 的微处理器中集成了嵌入式系统，因此r f i d 中间件的一部分功能，例如信号状 态控制、奇偶位错误校验与修正等功能已经可以由嵌入式系统在读写器中完成。 ( 3 ) r f i d 中间件 r f i d 中间件是连接r f i d 设备和企业应用程序的纽带，也是r f i d 应用系统 的核心。r f i d 中间件将基于不同平台、不同需求的应用环境与r f i d 物理设备 连接起来，并提供合适的接口使之能够进行数据交换。 r f i d 中间件可以是在读写器中集成也可以是独立于读写器，它负责管理读 写器和数据库之间的信息流。主要作用是标签数据进行过滤、分组和计数，以减 少发往信息网络系统的数据量，并防止错误识读、漏读和多读信息，实现对数据 的捕获、监控和传送，将处理以后的数据传送到后台的数据库系统，同时也负责 对读写器进行集成和控制管理。 ( 4 ) 数据库 数据库根据用户的实际情况有所不同，但通常有强大的储存和计算能力。同 时，为了减轻标签和读写器的负担，一般所有标签和读写器的信息都置于数据库 中，以便应用系统获取其需要的数据。 2 2r f i d 系统分类 根据r f i d 系统的系统特征，可以将r f i d 系统进行多种分类。 ( 1 ) 按照工作方式 根据r f i d 系统的基本工作方式，可以将r f i d 系统分为全双工系统、半双 工系统和时序系统。在全双工系统中，数据在读写器和标签之间的双向传输是同 时进行的，在半双工系统中数据传输是交替进行的，而在时序系统中，从标签到 读写器的数据传输是在标签的能量供应间歇时进行的，而从读写器到标签的能量 传输总是在有限定的时间间隔内进行。时序系统的缺点是在读写器发送间歇时， 电子标签的能量供应中断，这就要求系统必须有足够大容量的辅助电容器或辅助 电池对电子标签进行能量补偿。 ( 2 ) 按照数据载体 按照可否修改标签里面的数据可以分为只读系统和可读写系统。只读系统中 9 读写器只能读取标签内的数据，不能将数据写入到标签中，可读写系统中，读写 器可以改写标签内存储的信息，也可以将数据动态写入到标签内。 ( 3 ) 按照能量供应方式 按照能量供应方式可分为无源系统和有源系统。在无源系统内，无源标签没 有电源，其工作所需要的能量主要从读写器发出的射频波束中获取。在有源系统 内，标签通常都内装有电池，为标签的工作提供全部或部分能量。无源标签成本 低，不需要维护，使用寿命长。但是读写器要发射更大的射频功率，识别距离相 对较近。与之相反，有源标签识别距离相对较远，但是成本高，电池使用寿命有 限。 ( 4 ) 按照工作频率 按照系统的工作频率可分为低频系统、中高频系统、超高频系统和微波系统。 低频系统的工作频率一般在3 0 3 0 0 k h z ，典型的工作频率为1 2 5 k h z 和1 3 3 k h z ，基于这个频点的射频系统一般都有相应的国际标准。其基本特点是标签成 本较低，标签内保存的数据量较少、阅读距离较短、阅读天线方向性不强。 中高频系统的工作频率一般为3 - 3 0 m h z ，典型的工作频率为1 3 5 6 m h z 。中 高频系统在这些频段上也有众多的国际标准予以支持。中高频系统的基本特点是 标签及读写器成本较高，标签内保存的数据量较大，阅读距离较远，阅读天线和 标签的天线均有较强的方向性。 超高频系统和微波系统简称为微波系统，工作频率大于3 0 0 m h z ，典型的工 作频率为4 3 3 m h z 、9 0 2 9 2 8 m h z 、2 4 5 g h z 和5 8 g h z 。 2 3r f i d 系统工作原理 r f i d 是一种非接触式的自动识别技术，它通过射频信号自动识别目标对象 并获取相关数据信息【1 6 1 。当系统需要读取标签数据时，读写器通过发射天线发 送一定频率的射频信号，当标签进入发射天线工作区域时产生感应电流，标签内 的芯片获得能量被激活；标签将自身编码等信息通过其内置的发送天线发送出 去；系统接收天线接收到从标签发送来的载波信号，经天线调节器传送到读写器， 读写器对接收的信号进行解调和解码，数据送到r f i d 中间件，r f i d 中间件将 数据进行基础过滤等处理，然后将处理后的数据传送到后台主系统进行相关处 l o 理，主系统根据逻辑运算判断标签和读写器的合法性，针对不同的设定做出相应 的处理和控制，发出指令信号控制执行机构动作。 其中，在标签和读写器之间的通信信道之间存在着三种事件模型：以能量提 供为基础的事件模型，以时序方式实现数据交换的实现形式事件模型，以数据交 换为目的的事件模型【4 1 。 ( 1 ) 以能量提供为基础的事件模型 读写器向标签供给工作能量。对于无源标签来说，当标签离开读写器的工作 范围后，标签由于没有能量的激活而处于休眠状态，当标签进入读写器的工作范 围时，读写器发出来的能量激活标签电路，标签通过整流的方法将接收的能量转 换为电能存储在标签中的电容器里，从而为标签的工作提供能量。对于有源标签 而言，始终处于激活状态，不依赖读写器发出的能量，和读写器发出的电磁波相 互作用，读写器可以以较小的发射能量取得较远的通信距离。 ( 2 ) 以时序方式实现数据交换的事件模型 时序是指读写器与标签之间通信的工作次序。通常有两种工作时序，一种是 读写器先发言( r t f ，r e a d e rt a l kf i r s t ) ；另一种是标签先发言( t t f ，t a gt a l k f i r s t ) ，这是读写器的防冲突协议方式。 在一般状态下，标签处于“等待”或者“休眠”工作状态，当标签进入读写器的 作用范围时，检测到一定特征的射频信号，便从“休眠”状态转到“接收”状态，接 收读写器发出的命令后，进行相应的处理，并将结果返回给读写器。这类标签只 有接收到读写器命令以后才发送数据的工作时序被称为r t f ；与此相反，进入读 写器的能量场后主动发送自身数据的工作时序被称为r r f 。 ( 3 ) 以数据交换为目的的事件模型 读写器和标签之间的数据通信包括读写器向标签的数据通信和标签向读写 器的数据通信。 在读写器向标签的数据通信中又包括离线数据写入和在线数据写入。在标签 向读写器的数据通信中，工作方式包括以下两种：标签被激活以后，向读写器发 送标签内存储的数据；标签被激活以后，根据读写器的指令，进入数据发送状态 或者休眠状态。 标签和读写器之间的数据通信是为应用服务的，读写器和应用系统之间通常 有多种接口，接口具有以下功能：应用系统根据需要发出读写器配置命令；读写 器向应用系统返回所有可能的读写器的当前配置状态；应用系统向读写器发送各 种命令；读写器向应用系统返回所以可能命令的执行结果。 2 4r f i d 应用系统安全需求 一种比较完善的r f i d 应用系统解决方案应当具备机密性、完整性、可用性、 真实性和隐私性等基本特征 1 7 , 1 8 , 19 】。 ( 1 ) 机密性 一个r f i d 标签不应当向未授权读写器泄漏任何敏感的信息，在许多应用中， r f i d 标签中所包含的信息关系到消费者的隐私，这些数据一旦被攻击者获取， 消费者的隐私权将无法得到保障，因而一个完备的r f i d 安全方案必须能够保证 标签中所包含的信息仅能被授权读写器访问。 ( 2 ) 完整性 在通信过程中，数据完整性能够保证接收者收到的信息在传输过程中没有被 攻击者篡改或替换。在r f i d 系统中，通常使用消息认证码来进行数据完整性的 检验，它使用的是一种带有共享密钥的散列算法，即将共享密钥和待检验的消息 连接在一起进行散列运算，对数据的任何细微改动都会对消息认证码的值产生较 大影响。 ( 3 ) 可用性 r f i d 系统的安全解决方案所提供的各种服务能够被授权用户使用，并能够 有效防止非法攻击者企图中断r f i d 系统服务的恶意攻击。一个合理的安全方案 应当具有节能的特点，各种认证协议和算法的设计应当不太复杂，并尽可能地避 开公钥运算，计算开销、存储容量和通信能力也应当充分考虑r f i d 系统资源有 限的特点，从而使得能量消耗最小化。同时，安全性设计方案不应当限制r f i d 系统的可用性，并能够有效防止攻击者对标签资源的恶意消耗。 ( 4 ) 真实性 标签的身份认证在r f i d 系统的许多应用中是非常重要的。攻击者可以伪造 标签，也可以通过某种方式隐藏标签，使读写器无法发现该标签，从而成功地实 施物品转移，读写器只有通过身份认证才能确信消息是从正确的标签处发送过来 1 2 的。 ( 5 ) 隐私性 一个安全的r f i d 系统应当能够保护使用者的隐私信息或相关经济实体的商 业利益。同个人携带物品的商标可能泄漏个人身份一样，个人携带物品的标签也 可能会泄漏个人身份，通过读写器能够跟踪携带系列不安全标签的个人，并将这 些信息进行综合和分析，就可以获取使用者个人喜好和行踪等隐私信息。 2 5 本章小结 本章是整篇论文的理论基础，主要介绍了r f i d 系统的每个组成成分，包括 标签、读写器、r f i d 中间件、数据库等，同时从多个角度对r f i d 系统进行了 分类。接下来介绍了r f i d 系统的工作原理，在介绍工作原理的同时分析了标签 和读写器之间的通信信道之间存在的三种事件模型。最后提出，一个完善的r f i d 应用系统应该具备机密性、完整性、可用性、真实性和隐私性等基本特征。为下 章分析r f i d 应用系统存在的安全威胁和采用的安全机制打下理论基础。 第3 章r f ld 应用系统安全性分析 在第2 章中分析到，一种比较完善的r f i d 系统解决方案应当具备机密性、 完整性、可用性、真实性和隐私性等基本特征。但是由于r f i d 应用系统当初设 计时是基于完全开放的思想，而这种设计思想是导致系统出现安全隐患的最根本 原因。由于r f i d 系统本身的脆弱性，难免会遭受到攻击者的攻击，对r f i d 应 用系统造成威胁。由此，安全问题会出现在标签、读写器、r f i d 中问件、传输 网络和数据存储等众多环节中。 3 1r f i d 应用系统脆弱性分析 ( 1 ) 标签 对于标签，由于一般的应用系统对于标签的成本有较为严格的控制，标签开 发所采用的工艺、设计方法受一定条件限制，相应的标签功率和电路复杂度受到 一定限制，所以如果在标签上执行复杂的加解密运算，会给轻便、廉价、成本可 控的r f i d 标签增加额外的开销，所以在r f i d 标签的硬件设计过程中要嵌入复 杂的安全工具遇到一些阻碍，这就埋下了安全隐患，而这实际上就是给携带标签 的物品埋下了安全隐患。 ( 2 ) 标签与读写器通信信道 在标签与读写器两者之间的通信过程中2 0 j ，一般读写器到标签之间的信道 称为“前向信道”( f o r w a r dc h a n n e l ) ，而标签到读写器之间的信道则称作“后向信 道”( b a c k w a r dc h a n n e l ) 。由于读写器与标签的无线功率差别很大，前向信道的 通信范围远远大于反向信道的通信范围，这种信道的“非对称”性就造成标签与读 写器之间通信信道的不安全。 在通信信道范围中，攻击者通过攻击，可接收读写器和标签的信息，也可向 读写器和标签发送信息，存在的攻击有：窃听读写器、窃听标签、跟踪标签、非 法标签骗取读写器信息、非法读写器读取或者更改标签内容等，这会给应用系统 带来重大损失。 ( 3 ) r f i d 中间件 就r f i d 中间件安全而言，针对中间件攻击可以发生在读写器到数据库的任 1 4 何一个环节，由于r f i d 中间件在与读写器进行通信的过程中，读写器可能使用 专用线路接入终端，终端再通过有线或无线局域网同r f i d 中间件相连；读写器 也可能直接通过局域网接口与r f i d 中间件通信。 无论采用上述哪种方式，都存在中间件数据的安全问题，再加上r f i d 数据 向上层应用分发也存在的安全威胁，因为r f i d 中间件所服务的上层应用的用户 可能不只一个，这样就有了用户非法访问其授权以外的数据的危险。 ( 4 ) 后端数据库和传输网络 在后端数据库和传输网络安全方面，多年来学术界对此有较为深入的关注， 在这一领域具有比较强的安全基础，有很多手段来保证这一范畴的安全。比如防 火墙和其他接入管理技术都能用来保护后端数据的安全，并确保只有被授权者才 能够接触到这些数据，所以与其它几个环节在安全方面的脆弱性比较，这个领域 的安全措施相对比较完善。 3 2r f i d 系统面临的攻击者模型及攻击类型 通过以上对r f i d 应用系统各个环节的脆弱性分析可知，正如r f i d 应用系 统是由标签、读写器、r f i d 中间件、数据库等几个部分构成一样，相应的针对 r f i d 系统攻击也集中在r f i d 系统的组成成员以及他们之间的通信信道上，由 此可以得出攻击者的模型，如图3 1 所示。 1 5 对 的 埘标签垮读读q 器麓中数据捧与中 圈3 1r f i d 攻击摸燮 在上述模型中，攻击者可能针对标签、读写器、标签和读写器之间的通信信 道、r f i d 中间件、r f i d 中间件和读写器之间的通信信道、后端数据管理系统、 中间件和后端数据管理系统之间的网络通信道这七个方面对系统进行攻击。 针对r f i d 系统的不同组成部分，相应的攻击也有几种不同方法刚7 】。每种 r f i d 系统安全攻击方法都指向r f i d 系统的某一部分或者几个部分。这些攻击 方法包括空甲攻击( o n - t h e - a i r a t t a c k s ) 、篡改标签数据( m a n i p u l a t i n gd a t ao nt h e t a g ) 和攻击后台数据( a t t a c k i n gt h ed a t aa tt h eb a e k e n d ) 等等。 ( 1 ) 空中攻击( o n t h e - a i r a t t a c k s ) 空中攻击主要是指攻击者对标签、读写器以及它们之间的空中接口进行的攻 击，攻击的技术方法主要有以下几种：非法读取( i l l e g a lr e a d i n g ) 、窃听 ( e a v e s d r o p ) 、欺骗( s p o o f i n g ) 、重播( r e p l a y ) 、拒绝服务( d e n i a lo f s e r v i c e ， d o s ) o 非法读取( i l l e g a lr e a d i n g ) 攻击者通过未授权的读写器等窃听设备扫描标 签，读取标签数据，获取相关信息，依据标签的特定输出可对携带标签的对象进 行跟踪定位。 窃听( e a v e s d r o p ) ：因r f i d 系统在前向信道的信号传输距离较远，窃听者 可轻易窃取读写器发出的信号数据；通过窃听技术分析微处理器正常工作过程中 1 6 所产生的各种电磁特征，从而获得射频标签和读写器之间或其他r f i d 通信设备 之间的通信数据。 欺骗( s p o o f i n g ) ：欺骗攻击指的是，系统攻击者向