一種移動射頻識別系統模型設計與安全分析

劉 鵬，張昌宏，曹書豪

(海軍工程大學 信息安全系，武漢 430033)

隨著近年來無線電技術的發展和大規模集成電路的普及應用，RFID 技術應運而生。它是一種非接觸式的數據采集和自動識別技術。RFID 技術作為快速、實時、準確采集和處理信息的高新技術與信息標準化的基礎，已經被世界公認為21 世紀十大重要技術之一［1］。但是隨著無線技術的進一步發展和人們對RFID 技術的缺點的不滿，移動RFID 技術便應運而生。設計了一種完全應用無線傳輸的移動射頻識別工作模式，并對其安全問題進行了一定的分析。

1 傳統RFID 介紹

傳統的RFID 系統由標簽、讀寫器、后端服務器組成，其具體結構如圖1 所示。

圖1 RFID 系統結構

RFID 系統的工作原理:由讀寫器通過天線向外發射特定頻率的射頻信號，當標簽進入有效工作范圍內時產生感應電流，從而獲得激活能量，使得標簽將自身標識信息通過內置射頻天線發送出去;讀寫器的接收天線接收到從標簽發送來的調制信號，經解調后傳送到讀寫器讀寫模塊，經解碼后將有效信息送至后端服務器進行相關處理;后端服務器根據邏輯運算識別該標簽的身份，針對不同的設定做出相應的操作，最終發出指令信號控制讀寫器完成不同的讀寫操作［2］。

傳統RFID 系統的基本工作流程如下［3-4］:讀寫器通過天線發射射頻信號;當標簽進入讀寫器的工作范圍內時，接收到射頻信號，標簽獲得能量，激活自己，并將自身的信息通過天線發送出去;當讀寫器接收到標簽發送的信息后，通過調制器與解碼器之后再將數據傳送給后端的服務器;服務器根據設定好的協議對通信實體的合法性進行認證，并完成一系列規定的動作;服務器按照協議把相應的信息傳送給讀寫器，讀寫器再對標簽進行相應的讀寫操作。

2 M-RFID 建模

隨著無線技術的進步和移動客戶端的不斷發展該技術有了更為廣泛的應用前景，RFID 技術在多個領域得到了更廣泛的應用。通過對現有技術的改進，提出了一種創新性的設計，將后端服務器與讀寫器通過無線連接，形成更加方便的移動無線射頻識別系統(M-RFID)，以適應新的需求，其結構如圖2 所示。與傳統的RFID 應用系統相比，移動RFID 系統具有更加明顯的靈活性，更能突顯信息科技革命帶來的方便。

由于讀寫器與后端服務器通過無線網絡連接的原因，移動RFID 系統與傳統射頻識別系統的工作原理也有所不同。針對這一特點，設計了一種安全高效的M-RFID 系統工作模型，標簽沒有復雜的運算，后端服務器將檢索到的標簽信息傳輸給移動讀寫器供用戶使用，其具體步驟如下:

1)在初始狀態下標簽沒有能量，處于“休眠”狀態;

2)當移動式RFID 讀寫器移動到適當的距離，可以為標簽提供能量時，標簽處于“激活”狀態，按照通信協議，標簽向讀寫器發送含有身份的相關信息;

3)讀寫器對數據進行一定的處理并經無線網絡向后端服務器發送驗證請求;

4)按照安全協議，后端服務器和標簽進行認證等一系列操作;

5)經過安全認證的，后端服務器在數據庫中搜索相關標簽的信息，經加密后傳輸給移動RFID 系統的終端。

6)移動終端獲得標簽的相關信息，并向其余兩者發送數據，完成密鑰更新、標簽身份更新等一系列后續操作。

圖2 一種移動RFID 系統結構圖

3 M-RFID 系統安全分析與攻擊模型的建立

影響RFID 系統大規模應用的一個重要因素就是其安全性，由于通信實體都處在一個開放的網絡環境中，這就給不法分子提供了可乘之機，可以隨意的對系統實施竊聽、重放、假冒、篡改、非法跟蹤等攻擊。傳統RFID 系統的安全漏洞已經給廣大用戶帶來很大不便，后端服務器與讀寫器分離的M-RFID 系統更存在極大的安全隱患。

針對傳統RFID 系統的攻擊有主動攻擊與被動攻擊兩種形式［5］，然而，無論是主動攻擊還是被動攻擊都對傳統RFID系統與M-RFID 系統的應用安全產生了很大的威脅，這些攻擊手段可以獲取系統的秘密信息、跟蹤商品的物流、偽造數據等，使整個系統無法正常運行。常用的攻擊手段如下:

1)跟蹤。非法攻擊者通過向特定的通信實體發送信號，并接收其應答信息，從而確定實體的位置。

2)竊聽。由于通信完全是經過無線網絡進行的，非法攻擊者可以在開放的環境中利用射頻設備對合法通信實體之間的通信數據進行探測。

3)偽造。在M-RFID 系統中對各個通信實體進行偽造，從而獲得相應的服務。

4)非法訪問。主要是針對M-RFID 系統中標簽與后端服務器進行的攻擊，對其中的數據庫進行非法的訪問。

5)篡改。主要是針對M-RFID 系統中的敏感信息進行的惡意的修改。

6)重放攻擊。在M-RFID 系統中往往會存在一定的安全協議以保證通信過程不會受到非法攻擊，按照這些安全協議，合法實體間進行通信時在數據中通常會包含認證信息，攻擊者可以截獲這組數據并在以后的通信過程中重放這些具有認證效力的數據，從而騙取合法的服務。

7)拒絕服務攻擊。攻擊者不需要對特定的標簽進行跟蹤，也不用利用復雜的手段對M-RFID 系統進行非法訪問或者篡改其秘密信息，攻擊者僅僅需要向系統的實體發送干擾信號就可以造成對系統的拒絕服務攻擊。

針對各個部分的具體攻擊如下:

1)標簽。對標簽的攻擊一般有兩種，一是利用通信技術手段對標簽進行仿造或對其中存儲的敏感信息進行非法讀取、篡改等;二是通過對得到的實體標簽進行物理手段的分析，得到其中存儲的秘密信息。

2)讀寫器。在移動射頻識別系統中，移動讀寫器實質上是具有一定計算能力的小型計算機，在其數據處理過程中受到與其他計算機一樣的典型攻擊。

3)后端服務器。后端數據庫是整個系統所有敏感信息的儲存實體，很多攻擊者選擇利用網絡對數據庫的訪問控制權限等發起攻擊，在取得數據庫的控制權后對其進行增加、刪除、修改、非法查詢等操作。

4)兩個無線信道。在移動射頻識別系統中不但標簽與讀寫器的數據交換是通過無線信道進行的，后端服務器與移動讀寫器之間的數據傳輸也是經開放的無線信道完成的，這就給攻擊者造成了可乘之機。

根據M-RFID 系統工作于開放網絡環境的特點，結合攻擊者常用的幾種攻擊手段與系統中各部分容易受到的攻擊，提出了一種針對M-RFID 系統的攻擊模型，如圖3 所示。

圖3 攻擊者模型

攻擊者的能力是理想化的，具有以下特征［6］:能夠對開放網絡中傳遞的任何消息進行屏蔽、延遲、重放、增加或刪除部分信息;仿照合法實體，可以在任意時刻利用事先規定好的協議發起通信實例;可以曾經是M-RFID 網絡系統中的一個合法實體，掌握該實體以往身份信息等敏感數據。

仔細分析了理想攻擊者的攻擊手段與能力之后，發現攻擊者是無法完成以下任務的［7-8］:在不知道通信密鑰的情況下，攻擊者不能由密文推算出通信的明文內容;不能由單向函數的結果反向推出原內容;攻擊者不能猜測出合法實體下一步產生的隨機數;對于相對成熟的對稱加密系統，攻擊者不能由明文構造密文，也不能由密文來推測明文對于公鑰密碼體系，不能由公鑰推測出對應的私鑰。

4 M-RFID 安全模型建立

考慮到系統工作的環境，為保證系統的正常運行，要保證系統與信息的完整性、機密性、可用性、隱私性和真實性，尤其是在信息的傳遞過程中要對數據的安全進行保護。現建立一個安全模型，用于M-RFID 系統的防護。

在分析了M-RFID 系統的安全需求，了解制約系統安全運行的外在條件之后，結合上一節建立的攻擊模型，建立了一個適應于M-RFID 系統的安全模型。在這個安全模型當中，按照信息數據的流向，結合系統在運行過程中各個環節的工作情況，考慮系統與信息的完整性、機密性、可用性、隱私性和真實性。

詳細的保護措施及安全等級分類如下［9］:

1)標簽。由于標簽分布在裝備上，不易掌控，所以在標簽中應盡量少的用明文存儲信息，或者不存儲敏感信息;為了防止攻擊者的跟蹤行為，對于讀寫器的詢問，標簽每次應當給予不同的回應;考慮到標簽的計算能力，為了保證其可用性，每次標簽的運算量必須盡量小，反應速度要快;為了防止標簽被非法偽造，每個標簽應該在后端服務器中有唯一備份的ID 號，并且能夠進行更新。

A1:明文存儲信息、固定ID、對身份不存在驗證過程;A2:口令控制標簽信息讀取、固定ID、對身份不存在驗證過程;A3:加密算法保護標簽內部信息、隨機ID 更新、對詢問方進行身份認證，具有防止跟蹤的能力。

從A1 到A3 保護的安全等級不斷加強，在安全的MRFID 系統中，標簽的安全等級必須要達到A3 級。

2)信息傳遞。系統工作在開放的無線網絡當中，必須要保證傳遞敏感信息不能泄露給攻擊者，因此必須采取一定的加密措施;為了保證消息的新鮮性，在每次發送信息的過程中必須有時間戳、隨機數等的保護。

B1:明文傳遞信息，不附帶輔助數據;B2:明文傳遞信息，進行循環冗余校驗，保證數據的完整性;B3:明文傳遞信息，循環冗余校驗，添加數據的時間戳等復雜的消息認證碼，防止數據被篡改;B4:信息經加密算法處理后再進行傳遞，同時添加時間戳或者隨機數等進行校驗。

在安全的M-RFID 系統中，考慮到其無線網絡的特點，要強制使系統的安全等級達到B4 的要求。

3)系統運行。管理主要針對后端數據庫與移動讀寫器的使用過程，必須在每次使用前對使用者的身份進行驗證，對與之通信的實體進行審核，并對該行為進行審計。

C1:操作者直接進入后端數據庫、使用合法移動讀寫器對標簽內容進行讀寫。后端服務器與移動讀寫器接受任何參與者的服務請求，不進行任何驗證。

C2:操作者在進入操作系統前(包括數據庫與移動讀寫器)必須經過系統的認證，系統并對此次操作進行記錄，開始工作時后端服務器與移動讀寫器對參與者的身份進行單身認證;

C3:操作者在進入操作系統前(包括數據庫與移動讀寫器)必須經過系統的認證，系統并對此次操作進行記錄，開始工作時后端服務器與移動讀寫器與參與者進行雙向的身份認證。

為了防止攻擊者的攻擊，必須保證在系統運行方面達到C3 的安全等級［10-12］。

5 結束語

本文主要在傳統RFID 系統的基礎上建立了一個更加靈活的M-RFID 系統模型，并詳細介紹了其結構，在分析了此模型的安全問題后，建立了一個理想的攻擊模型，以此來模擬攻擊者可能對該系統進行的攻擊。最后針對以上安全問題，設計了一個適用于M-RFID 系統的安全模型，為M-RFID系統設計安全協議提供了參考依據。

［1］喬強.RFID 技術的應用［J］. 現代情報，2005，4（4）:23-25.

［2］顏濤.RFID 技術研究及其在倉儲管理中的應用［D］.西安:西安電子科技大學，2006.

［3］柴毅，陸亞軍.RFID 與條碼技術在軍事物流領域的聯合應用［J］.四川兵工學報，2011，32（1）:49-53.

［4］劉增勇，陳祥斌，王鵬，等.RFID 技術在裝備物流領域的應用［J］.四川兵工學報，2012，33（5）:101-104.

［5］胡嘯，陳星，吳志剛.無線射頻識別安全初探［J］.信息安全與保密通信，2005（6）:39-42.

［6］Dolev D，Yao A C.On the security of public key protocols［C］//In Proceedings of IEEE 22ndAnnual Symposium on Foundations of Computer Science，1981:350-357.

［7］張振宇.基于ECC 的RFID 通信協議研究［D］.天津:天津理工大學，2008.

［8］周光輝，王杰，韓占磊，等.基于RFID 的車間刀具自動識別技術與系統實現［J］.四川兵工學報，2011，32（3）:76-80.

［9］魏旻，王平，王泉.工業無線控制網絡安全方法的研究與實現［J］.儀器儀表學報，2009，30（4）:124-129.

［10］陳華智，張聞，張華磊.網絡安全等級保護實施方案的設計及應用實踐［J］.浙江電力，2011，30（3）:104-108.

［11］溫華，王丹.一種網絡安全等級的計算模型設計［C］//四川省通信學會二〇〇三年學術年會.四川，2003.

［12］李恒金.網絡安全等級測評技術研究——路由器測評技術研究［D］.北京:中國礦業大學，2003.

［13］李南.基于自動識別技術在圖書館管理中的應用［J］.激光雜志，2010（4）:57-58.