RFID網(wǎng)絡(luò)的架構(gòu)及風(fēng)險分析資料下載

作者：王笑梅 張朝暉 來源：萬方數(shù)據(jù) 摘要：本文對RFID網(wǎng)絡(luò)的安全性風(fēng)險做出檢測和反應(yīng)正成為信息安全研究的主要關(guān)注點。電子商務(wù)是RFD網(wǎng)絡(luò)最主要的應(yīng)用領(lǐng)域之一，網(wǎng)絡(luò)的安全性將會影響RFID技術(shù)的應(yīng)用。本文首先討論RFID網(wǎng)絡(luò)的架構(gòu)，根據(jù)保密性、完整性、可用性對RFID網(wǎng)絡(luò)中存在的風(fēng)險進(jìn)行了分析，對相應(yīng)的對策的效果做了一個整體評估．如果不能對標(biāo)簽進(jìn)行訪問控制，查詢服務(wù)不能很好地設(shè)計，將會導(dǎo)致大量風(fēng)險。 ?隨著經(jīng)濟全球化和電子商務(wù)的不斷發(fā)展，企業(yè)越來越依賴于全球化的信息平臺，希望可以利用一種可靠、安全的方式提供物品的信息。將RFID技術(shù)應(yīng)用于現(xiàn)有的Internet中，可提供一個這樣的服務(wù)平臺：基于RFID技術(shù)的電子商務(wù)體系不僅實現(xiàn)產(chǎn)品在制造商、供應(yīng)商、各級物流中心、零售商和顧客之間實現(xiàn)快速的流通，同時實現(xiàn)信息的共享，對物流信息的溯源。 ??隨著RFID技術(shù)在信息共享中使用越來越普遍，RFID網(wǎng)絡(luò)使用的不斷擴展，網(wǎng)絡(luò)中原本安全的信息將從相對封閉的供應(yīng)鏈面向相對開放的環(huán)境，就像英特網(wǎng)從只是研究人員使用的網(wǎng)絡(luò)發(fā)展成為開放的公共網(wǎng)絡(luò)一樣，在安全性上會存在很多風(fēng)險。RFID網(wǎng)絡(luò)系統(tǒng)的完善性將變得越來越重要。網(wǎng)絡(luò)中存在的風(fēng)險會造成信息的丟失，帶來其他的重要問題以及供應(yīng)鏈的延誤。 ??1 國內(nèi)外的相關(guān)研究 ??在RFID網(wǎng)絡(luò)中存在的安全性問題在信息安全性研究中得到越來越多的關(guān)注。提出了相關(guān)分析、研究和解決方案。 ??射頻技術(shù)在識別對象和物品上的應(yīng)用已超過了60年，在現(xiàn)代應(yīng)用中(供應(yīng)鏈管理、醫(yī)藥衛(wèi)生、動物識別等)，為解決RFID的隱私與安全問題，國內(nèi)外一些研究人員提出了一些技術(shù)方案。如Kill標(biāo)簽，這是一種最簡單的解決非法跟蹤問題的方法，但限制了標(biāo)簽的進(jìn)一步利用;法拉第網(wǎng)罩通過阻止標(biāo)簽和閱讀器之間的通信保護用戶隱私，但不實用;主動干擾通過施放干擾信號防止非法讀取信息等。這些方法都是基于物理機制的。 ??還有很多是利用多種加密技術(shù)進(jìn)行訪問控制來保護RFID網(wǎng)絡(luò)中的信息，如討論的建立一個安全的授權(quán)協(xié)議，利用密碼技術(shù)確認(rèn)讀取信息的讀寫器是否經(jīng)過授權(quán)。對I心D網(wǎng)絡(luò)上的讀寫器和標(biāo)簽之間的信息交換時存在的風(fēng)險做了評估。文討論了現(xiàn)在無線網(wǎng)絡(luò)應(yīng)用中存在的風(fēng)險和威脅。由于標(biāo)簽在存儲空間和計算能力上都是不同的，基于RFD的安全機制對于那些低端的標(biāo)簽不夠完善，現(xiàn)有的網(wǎng)絡(luò)安全機制和加密算法不合適，一些加密算法并不能有效地防范攻擊者帶來的威脅。本文以基于保密性、完整性、可用性的原則對RFID網(wǎng)絡(luò)中存在的安全性風(fēng)險進(jìn)行分析和評估，為以后的安全機制的研究提供優(yōu)先性的依據(jù)。同時，對現(xiàn)有解決方案和對策所能解決的問題和存在的不足做出論證。 ??2 EPC網(wǎng)絡(luò)體系結(jié)構(gòu) ??RFID是一種非接觸式的自動識別技術(shù)，通過射頻信號自動識別目標(biāo)對象并獲取相關(guān)數(shù)據(jù)信息。系統(tǒng)由標(biāo)簽和讀寫器構(gòu)成。為了降低標(biāo)簽的成本，標(biāo)簽中通常只存儲一個識別號，做為數(shù)據(jù)查詢的鍵值，其他的相關(guān)信息存儲在網(wǎng)絡(luò)中的服務(wù)器上，這需要一個RFID信息交換平臺來存儲和分享商品流通的信息。RFID網(wǎng)絡(luò)就是在現(xiàn)有的Intemet基礎(chǔ)上利用RFID和數(shù)據(jù)通信技術(shù)構(gòu)建的一個信息交換平臺，該網(wǎng)絡(luò)中的實體對象采用非人工干預(yù)的方式，實現(xiàn)信息的共享和交互。 ??目前最典型的RFID網(wǎng)絡(luò)是EPCglobal提出的EPC(electronic product code)網(wǎng)絡(luò)。在EPC網(wǎng)絡(luò)，標(biāo)簽中寫入的是EPC編碼，并利用EPC編碼檢索商品信息。EPC編碼長度有64bit、96bj石陽256bit 3種，編碼由標(biāo)頭、廠商識別代碼、對象分類代碼、序列號等數(shù)據(jù)字段組成。如EPC編碼SGTIN 9 101 003 003中，SGTIN表示編碼標(biāo)準(zhǔn)，910 100表示公司編碼，300表示產(chǎn)品編碼，3表示序列號。 EPC標(biāo)準(zhǔn)代表一個數(shù)字化的框架，和具體的硬件特征是相互獨立的，如與標(biāo)簽或射頻的種類無關(guān)。EPC網(wǎng)絡(luò)是一個大型的分布式數(shù)據(jù)庫系統(tǒng)，由制造商、銷售商、零售商或第三方來維護，該網(wǎng)絡(luò)的架構(gòu)由標(biāo)準(zhǔn)化組織EPCglobal設(shè)計和實施。本文首先以此網(wǎng)絡(luò)為樣本分析信息在傳輸和交互中存在的風(fēng)險。EPC網(wǎng)絡(luò)的功能架構(gòu)如圖1所示。 ??3 RFID網(wǎng)絡(luò)風(fēng)險分析 ??3.1 風(fēng)險分析方法 ??在RFID網(wǎng)絡(luò)環(huán)境中，所有有關(guān)商品的信息都以電子形式直接在網(wǎng)絡(luò)中傳遞和交換，如EPC網(wǎng)絡(luò)中的EPC編碼，EPC中的公司編碼和一些相關(guān)編碼信息結(jié)合起來就可以提供足夠的商品信息。所以，為了確保交易各方的權(quán)益和信息的安全性，網(wǎng)絡(luò)必須具有完善的安全機制，滿足以下信息安全性需求： ??(1)機密-|生(confidentiality)-確保信息在存儲。使用、傳輸過程中不會泄漏給非授權(quán)用戶或?qū)嶓w，對數(shù)據(jù)和資源提供保護。(2)完整。]生(integrity)：包括數(shù)據(jù)完整性和身份完整性，確保信息在存儲、使用、傳輸過程中不會被非授權(quán)用戶篡改，同時還要防止授權(quán)用戶對系統(tǒng)及信息進(jìn)行不恰當(dāng)?shù)拇鄹?，保持信息?nèi)、外部表示的一致性。(3)可用性(availability)：確保授權(quán)用戶或?qū)嶓w對信息及資源的正常使用不會被異常拒絕，允許其可靠而及時地訪問信息及資源。(4)不可否認(rèn)性(non-repudiation)-確保用戶無法否認(rèn)對信息的操作。 ??除了以上幾點外，信息安全還有一些其他原則，包括可追溯。l生(accoumability)、真實性(authenticity)、可控性(controllable)等，這些都是對以上原則的細(xì)化、補充或加強。與這些安全性相對應(yīng)的就是存在的風(fēng)險，如服務(wù)失效(拒絕服務(wù))、信息竊聽、未授權(quán)的篡改(信息修改、數(shù)據(jù)包重放)、欺騙等。這是信息安全中必須解決的問題。 ??3.2 識別系統(tǒng)風(fēng)險 ??識別系統(tǒng)部件之間的通信信道，如RFID標(biāo)簽和讀寫器之間是不安全的無線信道。在該系統(tǒng)存在很多涉及安全性和隱私性的問題，一直是很多研究的關(guān)注點。 ??(1)欺騙攻擊(spoofmg)。信息公開：(informationdisclosure)和提高權(quán)限(elevation of privilege)會給信息的機密性帶來威脅。欺騙攻擊是指攻擊者向系統(tǒng)提供與有效信息相似的虛假信息，如在一個RFID系統(tǒng)中利用一個虛假的讀寫器讀取標(biāo)簽，獲取標(biāo)簽中的信息。欺騙攻擊不僅會帶來機密性風(fēng)險還會導(dǎo)致完整性風(fēng)險。信息公開也會給RFID系統(tǒng)帶來風(fēng)險，RFID系統(tǒng)中的標(biāo)簽數(shù)據(jù)可在一定距離中傳輸，且在讀寫器和標(biāo)簽中的通信信道是不安全的無線信道，容易被攻擊者竊聽，根據(jù)標(biāo)簽中的識別信息的唯一性，可以實施對攜帶該標(biāo)簽對象的克隆和跟蹤。 ??(2)篡改數(shù)據(jù)(tampering with data)可以造成完整性風(fēng)險。攻擊者可以通過刪除、添加、修改標(biāo)簽中的數(shù)據(jù)，或在標(biāo)簽和讀寫器通信之間篡改信息來實現(xiàn)對系統(tǒng)的破壞。 ??(3)拒絕服務(wù)攻擊(denial of service)，又稱淹沒攻擊。當(dāng)數(shù)據(jù)量超過服務(wù)器的處理能力導(dǎo)致信號淹沒時，則會發(fā)生拒絕攻擊。在RFID系統(tǒng)中還可以通過射頻阻塞(RFjamming)，即用噪聲信號淹沒射頻信號導(dǎo)致系統(tǒng)失效。現(xiàn)在很多標(biāo)簽都有Kill指令，使標(biāo)簽可以被滅活，以保護私有信息的安全性，文獻(xiàn)中就介紹了一種攻擊方式，可以觸發(fā)Kill指令，使標(biāo)簽失效。 ??3.3 查詢服務(wù)中的風(fēng)險 ??在RFID網(wǎng)絡(luò)中，信息的交換依賴于信息查詢服務(wù)，信息查詢服務(wù)若存在風(fēng)險會導(dǎo)致各種商務(wù)活動的風(fēng)險。而查詢服務(wù)的核心是信息服務(wù)器和物品名稱解析服務(wù)系統(tǒng)(ONS)。當(dāng)需要檢索某個商品信息時，首先檢索ONS，查詢相關(guān)的信息服務(wù)器，再直接查詢信息服務(wù)器獲取相關(guān)信息。 ??和信息服務(wù)器的連接雖然使用了安全套接字層(SSL)/安全傳輸層(TLS)，但在初始化ONS查詢進(jìn)程服務(wù)時是沒有認(rèn)證和加密措施的，部分編碼主體是以明文方式在中間件和ONS之間傳遞，而這些編碼會導(dǎo)致商業(yè)信息的泄漏，給信息的機密性帶來風(fēng)險。 ??一個攻擊者如果控制了中間ONS或DNS服務(wù)器或者成功實現(xiàn)中間人通信攻擊，就可以偽造返回的信息服務(wù)器的列表。攻擊者利用名稱鏈或緩存病毒入侵攻擊，就會導(dǎo)致用戶和非法的服務(wù)器交換信息，帶來極大的風(fēng)險，這些都會給信息的機密性和完整性帶來風(fēng)險。ONS提供的服務(wù)是整個RFID網(wǎng)絡(luò)的關(guān)鍵，而面對拒絕服務(wù)攻擊是很脆弱的，如果不能很好的解決拒絕服務(wù)攻擊的問題，會對RFID網(wǎng)絡(luò)的可用性帶來很大的風(fēng)險。 ??4 對策 ??下面討論降低風(fēng)險所采取的對策。在RFID網(wǎng)絡(luò)安全機制中，解決風(fēng)險性的問題有3種途徑，身份認(rèn)證、數(shù)據(jù)保護和訪問控制。 ??身份認(rèn)證是一個驗證過程，確認(rèn)網(wǎng)絡(luò)中的對等實體的身份和所發(fā)信息的真實性。如果以風(fēng)險發(fā)生的可能性和風(fēng)險對系統(tǒng)的影響為主要因素來評估風(fēng)險的威脅程度，則在D系統(tǒng)中欺騙和非法的信息公開是最危險的。由于篡改數(shù)據(jù)在技術(shù)實現(xiàn)上存在較大的困難，該威脅造成的風(fēng)險可以暫時忽略。欺騙攻擊產(chǎn)生的主要原因是缺乏必要的認(rèn)證體系?，F(xiàn)在的信息安全系統(tǒng)中已有身份驗證方法，如利用PKI技術(shù)來分配和管理身份。PⅪ技術(shù)已十分成熟，現(xiàn)有的WEB安全協(xié)議也都支持以PKI為基礎(chǔ)的身份認(rèn)證，但在RFID網(wǎng)絡(luò)中應(yīng)用會存在成本和易用性的問題，能否將PKI技術(shù)應(yīng)用于RFID網(wǎng)絡(luò)中是值得探討的。RFID的應(yīng)用很大程度依賴于不太需要人為干預(yù)的數(shù)據(jù)收集，因此在RFID網(wǎng)絡(luò)中身份認(rèn)證的一個關(guān)鍵因素可以是實現(xiàn)RFID讀寫器的身份認(rèn)證。 ??數(shù)據(jù)保護是確保數(shù)據(jù)在網(wǎng)絡(luò)中傳播或保留在存儲媒介時不能被未授權(quán)的攻擊者攔截或修改。數(shù)據(jù)保護通常利用加密機制來實現(xiàn)?，F(xiàn)在的一些標(biāo)簽具有了更好的安全加密功能，保證了在讀寫器讀取信息的過程中不會把數(shù)據(jù)擴散出去。如EPC Gen2標(biāo)簽在芯片中有96 B的存儲空間，為了更好的保護存儲在標(biāo)簽和相應(yīng)數(shù)據(jù)庫中的數(shù)據(jù)，在公開(unconceal)、解鎖(unlock)和滅活(kill)指令中都設(shè)置了專門的口令，使得標(biāo)簽不能隨意被公開、解鎖和滅活【121。訪問控制是確保那些敏感性數(shù)據(jù)只能被??過認(rèn)證和授權(quán)的用戶訪問。由于RFID標(biāo)簽的計算和存儲資源有限，已有的加密算法并不適合RFID網(wǎng)絡(luò)，如Hash鏈協(xié)議需要后臺進(jìn)行大量的Hash運算，只適用于小規(guī)模應(yīng)用。YA-TRAP協(xié)議不需要后臺數(shù)據(jù)庫計算，服務(wù)器負(fù)擔(dān)小，但容易受到拒絕服務(wù)攻擊。受限于RFID標(biāo)簽的物理特性，輕型算法和輕型協(xié)議將會是實現(xiàn)數(shù)據(jù)身份認(rèn)證和數(shù)據(jù)保護的研究重點。 ??在查詢服務(wù)中，欺騙、信息公開、篡改數(shù)據(jù)和拒絕服務(wù)帶來的風(fēng)險都是必須嚴(yán)肅對待的。現(xiàn)有的對策主要有虛擬專用網(wǎng)fVPN)、安全套接層協(xié)議(SSL)專用通道、DNS安全性擴展(DNSSEC)等。VPN或SSL專用通道利用VPN和sSL加密技術(shù)建立一個私有的RFID網(wǎng)絡(luò)，可降低在進(jìn)行查詢時在機密性和完整性上存在的風(fēng)險，但無法實現(xiàn)動態(tài)的全球化的信息平臺共享。安全傳輸層協(xié)議(TLS)可以解決信息服務(wù)器的機密性和完整性問題，但會對ONS的查詢過程帶來問題。DNSSEC是一整套安全規(guī)則，用來確保域名系統(tǒng)內(nèi)部信息的安全，在提供權(quán)限認(rèn)證功能的同時保證信息的完整。如果DNSSECf張被廣泛使用，就可以確保RFD網(wǎng)絡(luò)中ONS信息的真實性，查詢服務(wù)中存在的很多安全性問題將迎刃而解。 ??5 結(jié)論 ??隨著RFID技術(shù)的不但發(fā)展，對RFID技術(shù)的安全性研究已成為信息安全研究的一個關(guān)注點。RFID網(wǎng)絡(luò)的全球性、開放性和低成本性，將會給商業(yè)活動帶來革命性的變革，但正由于它的開放性和高連接性，使網(wǎng)絡(luò)具有高自由度，也面臨來自不同源和不同方式攻擊的威脅。本文對RFID網(wǎng)絡(luò)的安全隱患和風(fēng)險做了分析，對相應(yīng)的對策做了介紹。到目前為止，由于RFID標(biāo)簽和后端系統(tǒng)之間的通信是非接觸和無線的，很容易受到竊聽;標(biāo)簽本身的計算能力和可編程性直接受到成本要求的限制;網(wǎng)絡(luò)的設(shè)計特別是ONS固有的缺陷等都會給RFID網(wǎng)絡(luò)帶來風(fēng)險。要想真正發(fā)揮RFID網(wǎng)絡(luò)的作用，為顧客提供一個高速度、低成本的信息共享平臺就必須在確定系統(tǒng)的風(fēng)險和隱患后，采取有效措施來降低風(fēng)險，尋找有效的手段和方法對系統(tǒng)進(jìn)行安全防護，使系統(tǒng)遭受安全攻擊的可能性最小化。未來的研究目標(biāo)是輕型的低成本、高安全性的安全機制，以保證RFID網(wǎng)絡(luò)上信息的機密性、完整性和可用性。一 (mbbeetchina)