作者:王笑梅 张朝晖 来源:万方数据
摘要:本文对RFID网络的安全性风险做出检测和反应正成为信息安全研究的主要关注点。电子商务是RFD网络最主要的应用领域之一,网络的安全性将会影响RFID技术的应用。本文首先讨论RFID网络的架构,根据保密性、完整性、可用性对RFID网络中存在的风险进行了分析,对相应的对策的效果做了一个整体评估.如果不能对标签进行访问控制,查询服务不能很好地设计,将会导致大量风险。
随着经济全球化和电子商务的不断发展,企业越来越依赖于全球化的信息平台,希望可以利用一种可靠、安全的方式提供物品的信息。将RFID技术应用于现有的Internet中,可提供一个这样的服务平台:基于RFID技术的电子商务体系不仅实现产品在制造商、供应商、各级物流中心、零售商和顾客之间实现快速的流通,同时实现信息的共享,对物流信息的溯源。
随着RFID技术在信息共享中使用越来越普遍,RFID网络使用的不断扩展,网络中原本安全的信息将从相对封闭的供应链面向相对开放的环境,就像英特网从只是研究人员使用的网络发展成为开放的公共网络一样,在安全性上会存在很多风险。RFID网络系统的完善性将变得越来越重要。网络中存在的风险会造成信息的丢失,带来其他的重要问题以及供应链的延误。
1 国内外的相关研究
在RFID网络中存在的安全性问题在信息安全性研究中得到越来越多的关注。提出了相关分析、研究和解决方案。
射频技术在识别对象和物品上的应用已超过了60年,在现代应用中(供应链管理、医药卫生、动物识别等),为解决RFID的隐私与安全问题,国内外一些研究人员提出了一些技术方案。如Kill标签,这是一种最简单的解决非法跟踪问题的方法,但限制了标签的进一步利用;法拉第网罩通过阻止标签和阅读器之间的通信保护用户隐私,但不实用;主动干扰通过施放干扰信号防止非法读取信息等。这些方法都是基于物理机制的。
还有很多是利用多种加密技术进行访问控制来保护RFID网络中的信息,如讨论的建立一个安全的授权协议,利用密码技术确认读取信息的读写器是否经过授权。对I心D网络上的读写器和标签之间的信息交换时存在的风险做了评估。文讨论了现在无线网络应用中存在的风险和威胁。由于标签在存储空间和计算能力上都是不同的,基于RFD的安全机制对于那些低端的标签不够完善,现有的网络安全机制和加密算法不合适,一些加密算法并不能有效地防范攻击者带来的威胁。本文以基于保密性、完整性、可用性的原则对RFID网络中存在的安全性风险进行分析和评估,为以后的安全机制的研究提供优先性的依据。同时,对现有解决方案和对策所能解决的问题和存在的不足做出论证。
2 EPC网络体系结构
RFID是一种非接触式的自动识别技术,通过射频信号自动识别目标对象并获取相关数据信息。系统由标签和读写器构成。为了降低标签的成本,标签中通常只存储一个识别号,做为数据查询的键值,其他的相关信息存储在网络中的服务器上,这需要一个RFID信息交换平台来存储和分享商品流通的信息。RFID网络就是在现有的Intemet基础上利用RFID和数据通信技术构建的一个信息交换平台,该网络中的实体对象采用非人工干预的方式,实现信息的共享和交互。
目前最典型的RFID网络是EPCglobal提出的EPC(electronic product code)网络。在EPC网络,标签中写入的是EPC编码,并利用EPC编码检索商品信息。EPC编码长度有64bit、96bj石阳256bit 3种,编码由标头、厂商识别代码、对象分类代码、序列号等数据字段组成。如EPC编码SGTIN 9 101 003 003中,SGTIN表示编码标准,910 100表示公司编码,300表示产品编码,3表示序列号。
EPC标准代表一个数字化的框架,和具体的硬件特征是相互独立的,如与标签或射频的种类无关。EPC网络是一个大型的分布式数据库系统,由制造商、销售商、零售商或第三方来维护,该网络的架构由标准化组织EPCglobal设计和实施。本文首先以此网络为样本分析信息在传输和交互中存在的风险。EPC网络的功能架构如图1所示。
3 RFID网络风险分析
3.1 风险分析方法
在RFID网络环境中,所有有关商品的信息都以电子形式直接在网络中传递和交换,如EPC网络中的EPC编码,EPC中的公司编码和一些相关编码信息结合起来就可以提供足够的商品信息。所以,为了确保交易各方的权益和信息的安全性,网络必须具有完善的安全机制,满足以下信息安全性需求:
(1)机密-|生(confidentiality)-确保信息在存储。使用、传输过程中不会泄漏给非授权用户或实体,对数据和资源提供保护。(2)完整。]生(integrity):包括数据完整性和身份完整性,确保信息在存储、使用、传输过程中不会被非授权用户篡改,同时还要防止授权用户对系统及信息进行不恰当的篡改,保持信息内、外部表示的一致性。(3)可用性(availability):确保授权用户或实体对信息及资源的正常使用不会被异常拒绝,允许其可靠而及时地访问信息及资源。(4)不可否认性(non-repudiation)-确保用户无法否认对信息的操作。
除了以上几点外,信息安全还有一些其他原则,包括可追溯。l生(accoumability)、真实性(authenticity)、可控性(controllable)等,这些都是对以上原则的细化、补充或加强。与这些安全性相对应的就是存在的风险,如服务失效(拒绝服务)、信息窃听、未授权的篡改(信息修改、数据包重放)、欺骗等。这是信息安全中必须解决的问题。
3.2 识别系统风险
识别系统部件之间的通信信道,如RFID标签和读写器之间是不安全的无线信道。在该系统存在很多涉及安全性和隐私性的问题,一直是很多研究的关注点。
(1)欺骗攻击(spoofmg)。信息公开:(informationdisclosure)和提高权限(elevation of privilege)会给信息的机密性带来威胁。欺骗攻击是指攻击者向系统提供与有效信息相似的虚假信息,如在一个RFID系统中利用一个虚假的读写器读取标签,获取标签中的信息。欺骗攻击不仅会带来机密性风险还会导致完整性风险。信息公开也会给RFID系统带来风险,RFID系统中的标签数据可在一定距离中传输,且在读写器和标签中的通信信道是不安全的无线信道,容易被攻击者窃听,根据标签中的识别信息的唯一性,可以实施对携带该标签对象的克隆和跟踪。
(2)篡改数据(tampering with data)可以造成完整性风险。攻击者可以通过删除、添加、修改标签中的数据,或在标签和读写器通信之间篡改信息来实现对系统的破坏。
(3)拒绝服务攻击(denial of service),又称淹没攻击。当数据量超过服务器的处理能力导致信号淹没时,则会发生拒绝攻击。在RFID系统中还可以通过射频阻塞(RFjamming),即用噪声信号淹没射频信号导致系统失效。现在很多标签都有Kill指令,使标签可以被灭活,以保护私有信息的安全性,文献中就介绍了一种攻击方式,可以触发Kill指令,使标签失效。
3.3 查询服务中的风险
在RFID网络中,信息的交换依赖于信息查询服务,信息查询服务若存在风险会导致各种商务活动的风险。而查询服务的核心是信息服务器和物品名称解析服务系统(ONS)。当需要检索某个商品信息时,首先检索ONS,查询相关的信息服务器,再直接查询信息服务器获取相关信息。
和信息服务器的连接虽然使用了安全套接字层(SSL)/安全传输层(TLS),但在初始化ONS查询进程服务时是没有认证和加密措施的,部分编码主体是以明文方式在中间件和ONS之间传递,而这些编码会导致商业信息的泄漏,给信息的机密性带来风险。
一个攻击者如果控制了中间ONS或DNS服务器或者成功实现中间人通信攻击,就可以伪造返回的信息服务器的列表。攻击者利用名称链或缓存病毒入侵攻击,就会导致用户和非法的服务器交换信息,带来极大的风险,这些都会给信息的机密性和完整性带来风险。ONS提供的服务是整个RFID网络的关键,而面对拒绝服务攻击是很脆弱的,如果不能很好的解决拒绝服务攻击的问题,会对RFID网络的可用性带来很大的风险。
4 对策
下面讨论降低风险所采取的对策。在RFID网络安全机制中,解决风险性的问题有3种途径,身份认证、数据保护和访问控制。
身份认证是一个验证过程,确认网络中的对等实体的身份和所发信息的真实性。如果以风险发生的可能性和风险对系统的影响为主要因素来评估风险的威胁程度,则在D系统中欺骗和非法的信息公开是最危险的。由于篡改数据在技术实现上存在较大的困难,该威胁造成的风险可以暂时忽略。欺骗攻击产生的主要原因是缺乏必要的认证体系。现在的信息安全系统中已有身份验证方法,如利用PKI技术来分配和管理身份。PⅪ技术已十分成熟,现有的WEB安全协议也都支持以PKI为基础的身份认证,但在RFID网络中应用会存在成本和易用性的问题,能否将PKI技术应用于RFID网络中是值得探讨的。RFID的应用很大程度依赖于不太需要人为干预的数据收集,因此在RFID网络中身份认证的一个关键因素可以是实现RFID读写器的身份认证。
数据保护是确保数据在网络中传播或保留在存储媒介时不能被未授权的攻击者拦截或修改。数据保护通常利用加密机制来实现。现在的一些标签具有了更好的安全加密功能,保证了在读写器读取信息的过程中不会把数据扩散出去。如EPC Gen2标签在芯片中有96 B的存储空间,为了更好的保护存储在标签和相应数据库中的数据,在公开(unconceal)、解锁(unlock)和灭活(kill)指令中都设置了专门的口令,使得标签不能随意被公开、解锁和灭活【121。访问控制是确保那些敏感性数据只能被经过认证和授权的用户访问。由于RFID标签的计算和存储资源有限,已有的加密算法并不适合RFID网络,如Hash链协议需要后台进行大量的Hash运算,只适用于小规模应用。YA-TRAP协议不需要后台数据库计算,服务器负担小,但容易受到拒绝服务攻击。受限于RFID标签的物理特性,轻型算法和轻型协议将会是实现数据身份认证和数据保护的研究重点。
在查询服务中,欺骗、信息公开、篡改数据和拒绝服务带来的风险都是必须严肃对待的。现有的对策主要有虚拟专用网fVPN)、安全套接层协议(SSL)专用通道、DNS安全性扩展(DNSSEC)等。VPN或SSL专用通道利用VPN和sSL加密技术建立一个私有的RFID网络,可降低在进行查询时在机密性和完整性上存在的风险,但无法实现动态的全球化的信息平台共享。安全传输层协议(TLS)可以解决信息服务器的机密性和完整性问题,但会对ONS的查询过程带来问题。DNSSEC是一整套安全规则,用来确保域名系统内部信息的安全,在提供权限认证功能的同时保证信息的完整。如果DNSSECf张被广泛使用,就可以确保RFD网络中ONS信息的真实性,查询服务中存在的很多安全性问题将迎刃而解。
5 结论
随着RFID技术的不但发展,对RFID技术的安全性研究已成为信息安全研究的一个关注点。RFID网络的全球性、开放性和低成本性,将会给商业活动带来革命性的变革,但正由于它的开放性和高连接性,使网络具有高自由度,也面临来自不同源和不同方式攻击的威胁。本文对RFID网络的安全隐患和风险做了分析,对相应的对策做了介绍。到目前为止,由于RFID标签和后端系统之间的通信是非接触和无线的,很容易受到窃听;标签本身的计算能力和可编程性直接受到成本要求的限制;网络的设计特别是ONS固有的缺陷等都会给RFID网络带来风险。要想真正发挥RFID网络的作用,为顾客提供一个高速度、低成本的信息共享平台就必须在确定系统的风险和隐患后,采取有效措施来降低风险,寻找有效的手段和方法对系统进行安全防护,使系统遭受安全攻击的可能性最小化。未来的研究目标是轻型的低成本、高安全性的安全机制,以保证RFID网络上信息的机密性、完整性和可用性。