1 引言
    無線射頻識(shí)別(Radio Frequency Identification RFID)系統(tǒng)是利用RFID技術(shù)對(duì)物體對(duì)象進(jìn)行非接觸式、即時(shí)自動(dòng)識(shí)別的信息系統(tǒng)[l]。由于RFID系統(tǒng)具有可實(shí)現(xiàn)移動(dòng)物體識(shí)別、多目標(biāo)識(shí)別、非接觸式識(shí)別以及抗干擾能力強(qiáng)等優(yōu)點(diǎn)．已經(jīng)被廣泛應(yīng)用到零售行業(yè)、物流供應(yīng)鏈管理、圖書館管理和交通等領(lǐng)域。并視為實(shí)現(xiàn)普適計(jì)算環(huán)境的有效技術(shù)之一。然而。由于RFID系統(tǒng)涉及到標(biāo)簽、讀寫器、互聯(lián)網(wǎng)、數(shù)據(jù)庫系統(tǒng)等多個(gè)對(duì)象．其安全性問題也顯得較為復(fù)雜，包括標(biāo)簽安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全和保護(hù)隱私等方面。目前。RFID系統(tǒng)的安全問題已成為制約RFID技術(shù)推廣應(yīng)用的主要因素之一。
2 RFID系統(tǒng)安全與隱私
    RFID系統(tǒng)包括RFID標(biāo)簽、RFID讀寫器和RFID數(shù)據(jù)處理系統(tǒng)三部分[2] RFID系統(tǒng)中安全和隱私問題存在于信息傳輸?shù)母鱾€(gè)環(huán)節(jié)。目前RFID系統(tǒng)的安全隱私問題主要集中在RFID標(biāo)簽與讀寫器之間電子標(biāo)簽比傳統(tǒng)條形碼來說安全性有了很大提高。但是RFID電子標(biāo)簽也面臨著一些安全威脅。主要表現(xiàn)為標(biāo)簽信息的非法讀取和標(biāo)簽數(shù)據(jù)的惡意篡改。
    電子標(biāo)簽所攜帶的標(biāo)簽信息也會(huì)涉及到物品所有者的隱私信息。電子標(biāo)簽的隱私威脅主要有跟蹤隱私和信息隱私[3]。
    
    RFID系統(tǒng)的數(shù)據(jù)安全威脅主要指在RFID標(biāo)簽數(shù)據(jù)在傳遞過程中受到攻擊。被非法讀取、克隆、篡改和破壞。這些將給RFID系統(tǒng)帶來嚴(yán)重影響[2]。RFID與網(wǎng)絡(luò)的結(jié)合是RFID技術(shù)發(fā)展的必然趨勢(shì)。將現(xiàn)有的RFID技術(shù)與互聯(lián)網(wǎng)融合。推動(dòng)RFID技術(shù)在物流等領(lǐng)域的更廣闊的應(yīng)用。但隨著RFID與網(wǎng)絡(luò)的融合。網(wǎng)絡(luò)中常見的信息截取和攻擊手段都會(huì)給RFID系統(tǒng)帶來潛在的安全威脅[4]。保障RFID系統(tǒng)安全需要有較為完備的RFID系統(tǒng)安全機(jī)制做支撐。現(xiàn)有RFID系統(tǒng)安全機(jī)制所采用的方法主要有三大類：物理安全機(jī)制、密碼機(jī)制、物理安全機(jī)制與密碼機(jī)制相結(jié)合。物理機(jī)制主要依靠外加設(shè)備或硬件功能解決RFID系統(tǒng)安全問題．而密碼機(jī)制則是通過各種加密協(xié)議從軟件方面解決RFID系統(tǒng)安全問題。

 3 一種基于攻擊樹的RFID系統(tǒng)安全策略
   
    RFID系統(tǒng)的物理安全機(jī)制和密碼安全機(jī)制往往偏重于某個(gè)特定的場(chǎng)景或者特定的安全問題．并不能夠有效地保證一個(gè)實(shí)際的RFID系統(tǒng)安全．在解決具體問題上也缺乏系統(tǒng)性的描述．為此，提出一種基于攻擊樹的復(fù)合型安全策略。該策略通過分析RFID系統(tǒng)安全隱患．以攻擊者的角度模擬各種攻擊過程．并用攻擊樹的形式加以表現(xiàn)．針對(duì)不同的攻擊隱患制定不同的安全策略．并最終形成一套復(fù)合型的安全策略。
   
    復(fù)合型安全策略的基礎(chǔ)是RFID系統(tǒng)安全隱私攻擊模型．該模型能夠?qū)φ麄€(gè)的攻擊過程進(jìn)行結(jié)構(gòu)化和形式化的描述．有助于深入分析和研究各種可能的攻擊行為．并提出相應(yīng)的解決策略．進(jìn)一步提高系統(tǒng)的安全性攻擊模型的研究是一門前沿學(xué)科．目前大都處于理論研究階段．主要有適于安全知識(shí)共享的模型和適于攻擊檢測(cè)和安全預(yù)警的模型兩種這里提出的RFID系統(tǒng)安全攻擊模型是一種基于攻擊樹的RFID標(biāo)簽信息竊取攻擊模型。
3．1 RFID系統(tǒng)安全策略
    (1)攻擊樹模型構(gòu)建
    攻擊樹模型[5]是由Bruce Scheier提出的一種使用樹型結(jié)構(gòu)模擬攻擊方法和攻擊實(shí)例表示整個(gè)攻擊過程的方法。該模型使用樹來表示攻擊行為及步驟之間的相互依賴關(guān)系．每個(gè)節(jié)點(diǎn)代表一個(gè)攻擊行為或子目標(biāo)．根節(jié)點(diǎn)表示攻擊的最終目標(biāo)模型中用“與分解”和“或分解”表示兩種不同的樹結(jié)構(gòu)。“與分解”樹表示所有子目標(biāo)實(shí)現(xiàn)父目標(biāo)才能實(shí)現(xiàn)。“或分解”樹表示子目標(biāo)中任一目標(biāo)的實(shí)現(xiàn)父目標(biāo)就可實(shí)現(xiàn)。
   
    根據(jù)RFID系統(tǒng)的實(shí)際需要．以攻擊者的角度模擬所有可能的攻擊路徑和方法．使用“與分解”和“或分解”描述全部攻擊行為或子目標(biāo)．并使用深度優(yōu)先方式從攻擊樹中推導(dǎo)出實(shí)現(xiàn)最終目標(biāo)的攻擊路徑。一般可以先采用原語描述整個(gè)攻擊過程，在原語描述中AND和OR分別表示“與分解”樹和“或分解”樹，G表示攻擊目標(biāo)．通過原語的描述最終推導(dǎo)出攻擊樹模型。
    (2)安全策略選擇
   
    在RFID攻擊樹模型中．由于中間節(jié)點(diǎn)可以由其子節(jié)點(diǎn)描述(即父目標(biāo)需要子目標(biāo)實(shí)現(xiàn)才能實(shí)現(xiàn))，因此攻擊路徑不含有中間節(jié)點(diǎn)．而只含有各層的葉子節(jié)點(diǎn)．不同的攻擊路徑對(duì)應(yīng)著不同的子目標(biāo)或攻擊方式。目前RFID系統(tǒng)安全策略主要有物理安全機(jī)制和密碼安全機(jī)制兩大類．兩類安全機(jī)制從不同的方面解決現(xiàn)有的RFID系統(tǒng)安全隱私問題．有針對(duì)性地選擇不同的安全策略有助于更好地維護(hù)整個(gè)RFID系統(tǒng)安全。
    (3)復(fù)合安全策略構(gòu)成
    RFID系統(tǒng)復(fù)合安全策略應(yīng)該根據(jù)標(biāo)簽的性能和應(yīng)用場(chǎng)合靈活選擇．一般由物理安全機(jī)制和密碼安全機(jī)制整合而成對(duì)于不同的安全級(jí)別所需要的復(fù)合安全策略是不同的．一種攻擊模型可能存在多種不同的復(fù)合安全策略．因此應(yīng)該根據(jù)RFID系統(tǒng)實(shí)際要求選擇最合適的復(fù)合安全策略。此外．在構(gòu)成安全策略時(shí)應(yīng)該考慮各安全機(jī)制之間兼容性問題，如靜電屏蔽和阻塞標(biāo)簽．保證各安全機(jī)制能夠正常執(zhí)行。

3．2 標(biāo)簽信息竊取的攻擊樹模型及策略
   
    假定標(biāo)簽信息竊取的攻擊樹模型場(chǎng)景：非授權(quán)讀寫器讀取RFID標(biāo)簽或監(jiān)聽授權(quán)讀寫器與標(biāo)簽通信．其中標(biāo)簽與讀寫器通過一定的安全協(xié)議來保證傳輸過程中的安全。根據(jù)攻擊者要獲取標(biāo)簽信息和需要采取的各種可能攻擊行為構(gòu)建的攻擊模型的原語描述。

    達(dá)到目標(biāo)必須經(jīng)由4個(gè)分Go支，而每個(gè)分支都有各自的子分支該攻擊樹模型將標(biāo)簽信息竊取中的攻擊行為具體和實(shí)例化．使得復(fù)雜的攻擊行為分解成許多攻擊分支。這樣．研究安全攻擊行為時(shí)只需要尋找一條可行的到達(dá)根節(jié)點(diǎn)路徑即可。
    由以上攻擊模型可以得出．取得竊取RFID標(biāo)簽信息的最終目標(biāo)可以由以下幾種攻擊路徑達(dá)到：
    <G11，G21，G31，G32，G33，G41，G42>，<G11，G22，G31，G32，G33，G41，G42>
，<G12，G21，G3l，G32，G33，G41，G42>，<G12，G22，G31，G32，G33，G4l，G42>o
    針對(duì)各種攻擊子目標(biāo)的RFID系統(tǒng)安全機(jī)制如下：
    (1)G11 防止標(biāo)簽頻率檢測(cè)，如法拉第容器、主動(dòng)干擾、頻率更改：
    (2)G21：防止標(biāo)簽識(shí)讀范圍和能量檢測(cè)，如讀寫距離控制、頻率更改；
   
    (3)G31，G32，G33：防止安全協(xié)議的檢測(cè)以及相關(guān)認(rèn)證key的竊取，可采用ID可變．認(rèn)證嚴(yán)謹(jǐn)?shù)陌踩珔f(xié)議，如隨機(jī)化Hash—Lock協(xié)議、基于雜湊的ID變更協(xié)議、分布式RFID詢問一應(yīng)答認(rèn)證協(xié)議：

    (4)G41：防止RFID讀寫器頻率檢測(cè)，如頻率更改：
    (5)G42：防止RFID讀寫器與后端系統(tǒng)接口假冒．主要是通過安全協(xié)議和網(wǎng)絡(luò)部分的安全策略來解決．可采用認(rèn)證等方式解決。
   
    通過對(duì)上述系統(tǒng)攻擊模型的研究和安全機(jī)制的選擇．法拉第容器由于自身的屏蔽效應(yīng)不能很好的和其他安全機(jī)制兼容．而主動(dòng)干擾機(jī)制容易對(duì)正常的讀寫工作產(chǎn)生干擾．因此可以考慮使用頻率更改機(jī)制預(yù)防G11對(duì)于G21，使用讀寫距離控制和頻率更改機(jī)制可以共同提高安全性能．但此處應(yīng)該注意頻率和讀寫距離之間的關(guān)系；而對(duì)于G31，G32，G33可以根據(jù)實(shí)際的RFID系統(tǒng)要求選擇相應(yīng)級(jí)別的安全協(xié)議。

    綜上所述．RFID系統(tǒng)標(biāo)簽信息竊取的復(fù)合安全策略如下：
    (1)頻率更改、讀寫距離控制、隨機(jī)化Hash—Lock協(xié)議． 由于在最后的認(rèn)證通過時(shí)采用明文形式．仍然存在不安全問題，主要適用于安全級(jí)別較低的情況：
    (2)頻率更改、讀寫距離控制、基于雜湊的ID變更協(xié)議，由于協(xié)議的性能，不適合于分布式數(shù)據(jù)庫的普適計(jì)算環(huán)境，存在數(shù)據(jù)同步安全隱患；
    (3)頻率更改、讀寫距離控制、分布式RFID詢問一應(yīng)答認(rèn)證協(xié)議，沒有明顯安全漏洞，僅適合高保密性能的高成本標(biāo)簽。
    4 結(jié)束語
   
    隨著RFID技術(shù)在公共安全、生產(chǎn)管理與控制、現(xiàn)代物流與供應(yīng)鏈管理、交通管理、軍事應(yīng)用等領(lǐng)域中優(yōu)先投入應(yīng)用．必將對(duì)RFID系統(tǒng)的安全在標(biāo)簽安全、數(shù)據(jù)安全和網(wǎng)絡(luò)安全等方面提出更高的要求。文中在分析RFID系統(tǒng)中現(xiàn)存的安全隱私威脅的基礎(chǔ)上．列舉了針對(duì)不同安全問題的RFID安全機(jī)制和安全協(xié)議．并提出基于攻擊樹的RFID系統(tǒng)攻擊模型及復(fù)合安全策略．以攻擊者的角度分析系統(tǒng)中存在的信息竊取隱患．對(duì)于深入研究更加合理的RFID安全機(jī)制和安全協(xié)議具有重要的現(xiàn)實(shí)意義。