羅衡峰，黃律，楊曉明，李倩，劉志祥

（1.工業(yè)和信息化部電子第五研究所，廣東 廣州 5106102 .湖南省公安廳，湖南 長沙 410001）

1 引言

我們把基于射頻識別技術(shù) （RFID）的信息系統(tǒng)分為三個安全域：由標簽和閱讀器構(gòu)成的無線數(shù)據(jù)采集區(qū)域所組成的安全域，內(nèi)部系統(tǒng)如數(shù)據(jù)中心、管理平臺所構(gòu)成的安全域，信息系統(tǒng)和應(yīng)用平臺如電子商務(wù)服務(wù)平臺、電子口岸接口、電子政務(wù)服務(wù)平臺接口之間供數(shù)據(jù)交換和查詢網(wǎng)絡(luò)所構(gòu)成的安全區(qū)域。個人隱私威脅主要可能出現(xiàn)在第一個安全域，即標簽、空口無線傳輸和閱讀器之間，有可能導(dǎo)致個人信息泄露和被跟蹤等。另外，個人隱私威脅還可能出現(xiàn)在第三個安全域，如果管理不善，也可能導(dǎo)致個人隱私的非法訪問或濫用。安全與隱私威脅存在于如下各安全域[1]：

a）由標簽和閱讀器組成的無線數(shù)據(jù)采集區(qū)域所構(gòu)成的安全域

可能存在的安全威脅包括標簽的偽造，對標簽的非法接入和篡改，通過空中無線接口的竊聽，獲取標簽的有關(guān)信息以及對標簽進行跟蹤和監(jiān)控，從標簽和閱讀器的空中接口進行攻擊的技術(shù)有：欺騙（Spoofing）、 插入 （Insert）、 重播 （Replay） 和拒絕服務(wù) （Denial of DoS）。

b）內(nèi)部系統(tǒng)如數(shù)據(jù)中心、管理平臺所構(gòu)成的安全域

企業(yè)內(nèi)部系統(tǒng)構(gòu)成的安全域存在的安全威脅與現(xiàn)有的企業(yè)網(wǎng)一樣，在加強管理的同時，既要防止內(nèi)部人員的非法或越權(quán)訪問與使用，還要防止非法閱讀器接入內(nèi)部網(wǎng)絡(luò)。

c）系統(tǒng)與各應(yīng)用平臺如電子商務(wù)服務(wù)平臺、電子口岸接口、電子政務(wù)服務(wù)平臺接口之間供數(shù)據(jù)交換和查詢網(wǎng)絡(luò)所構(gòu)成的安全區(qū)域。

通過一種認證和授權(quán)機制，以及根據(jù)有關(guān)的隱私法規(guī)，保證采集的數(shù)據(jù)不被用于其它非正常目的的商業(yè)活動和泄露，并保證合法用戶對有關(guān)信息的查詢和監(jiān)控。

分析RFID系統(tǒng)的工作原理，RFID系統(tǒng)的安全隱患主要存在于三個方面：1）標簽本身；2）閱讀器與后臺數(shù)據(jù)庫之間進行信息處理的中間件；3）進后端數(shù)據(jù)處理系統(tǒng)的攻擊。下面詳細闡述各種攻擊方式。

2 對前端數(shù)據(jù)采集區(qū)的攻擊

2.1 標簽編碼攻擊

RFID芯片體積小且能耗低的特點使其具有較低的使用成本，但是，這也成為RFID安全的主要缺陷，標簽沒有足夠的計算能力去加密。系統(tǒng)的安全性是以某種加密算法為基礎(chǔ)的，在加密算法沒有被破解前，潛在的安全攻擊無法確認或克隆一個有效標簽的工作，當(dāng)攻擊者破解了加密算法，捕獲標簽的問訊與應(yīng)答信號就能得到攻擊者所需要的結(jié)果。

2.2 標簽應(yīng)用攻擊

a）中間人攻擊

中間人攻擊是在通信系統(tǒng)中能夠贏得雙方信任的角色然后在通信雙方來回傳送信息，使對方誤認為該角色是另一方的一種攻擊方式。

大多數(shù)RFID系統(tǒng)只能在距離閱讀器很近時準確地讀取信息。閱讀器讀取標簽信息時不需要用戶的任何中間環(huán)節(jié)干預(yù)。因此，當(dāng)能夠靠近帶有的FRID的標簽時，將閱讀器頻率調(diào)至此RFID標簽的頻率上，就可以讀取標簽的信息，也可以和標簽進行通信而模擬標簽事件。

b）芯片克隆

RFID技術(shù)是以非接觸卡的形式存在，RFID卡片是自己帶有能量的，當(dāng)然RFID卡片也可以通過閱讀器的射頻場來被動地獲取能量，而RFID采用射頻閱讀器也是非接觸式的，在標簽靠近閱讀器的時間，閱讀器就從后臺數(shù)據(jù)庫查詢和核對該標簽的信息，標簽向閱讀器傳送其ID號，在沒有認證的情況下，任何設(shè)備只要能夠向閱讀器發(fā)送正確的代碼，都能被允許進入系統(tǒng)。如果有人克隆了這張標簽，就可以獲得和原標簽一樣的權(quán)限，所以有很大的安全隱患。避免偷聽，限制應(yīng)用特權(quán)，檢查日志，對卡進行加密，這些都是保證系統(tǒng)安全性的方法。

3 攻擊中間件

RFID中間件主要存在數(shù)據(jù)傳輸、身份認證、授權(quán)管理三個方面的安全隱患，對中間件的攻擊可能發(fā)生在閱讀器到后臺數(shù)據(jù)處理系統(tǒng)的任何一個環(huán)節(jié)：

3.1 數(shù)據(jù)傳輸

RFID數(shù)據(jù)通過網(wǎng)絡(luò)在各層次間傳輸時，容易造成安全隱患，如非法入侵者對RFID標簽信息進行截獲、破解和篡改，以及業(yè)務(wù)拒絕式攻擊，即非法用戶通過發(fā)射干擾信號來堵塞通信鏈路，使得閱讀器過載，導(dǎo)致中間件無法正常接收標簽數(shù)據(jù)。

3.2 身份認證

有時非法用戶 （如同行業(yè)競爭者或黑客等）使用中間件獲取保密數(shù)據(jù)和商業(yè)機密，這將對合法用戶造成很大的傷害。同時攻擊者可利用冒名頂替的標簽來向閱讀器發(fā)送數(shù)據(jù)，使得閱讀器處理的都是虛假的數(shù)據(jù)，而真實的數(shù)據(jù)則被隱藏，因此有必要對標簽也進行認證。

3.3 授權(quán)管理

沒有授權(quán)的用戶可能嘗試使用受保護的RFID中間件服務(wù)，必須對用戶進行安全控制。根據(jù)用戶的不同需求，把用戶的使用權(quán)利限制在合法的范圍內(nèi)。比如不同行業(yè)用戶的業(yè)務(wù)需求是不同的，兩者使用中間件的功能也是不同的，他們彼此沒有權(quán)利去使用對方的業(yè)務(wù)功能。

4 攻擊后端系統(tǒng)

后端系統(tǒng)存在很多易被攻擊的地方。數(shù)據(jù)方面的問題，如后端系統(tǒng)被壞數(shù)據(jù)充溢，讀到虛假的數(shù)據(jù)，標簽被惡意地重復(fù)復(fù)制，這樣系統(tǒng)就會發(fā)生阻塞。

4.1 數(shù)據(jù)攻擊

RFID中間件采集RFID事件數(shù)據(jù)然后將它們傳輸?shù)胶蠖讼到y(tǒng)，傳送到后端系統(tǒng)的數(shù)據(jù)可能會對系統(tǒng)構(gòu)成一些安全威脅，包括數(shù)據(jù)溢出和虛假數(shù)據(jù)[2]。

數(shù)據(jù)溢出，如果在閱讀器前放置大批標簽，就會有非常大量的數(shù)據(jù)送到后端系統(tǒng)，就有可能產(chǎn)生數(shù)據(jù)溢出。

虛假數(shù)據(jù)，制造虛假標簽，這和偽造或者復(fù)制信息用卡在多個地方同時使用的情形是相似的。

4.2 緩沖區(qū)攻擊

一個標簽帶有一個唯一的ID，RFID閱讀器可以讀寫數(shù)據(jù)，這些數(shù)據(jù)隨后被系統(tǒng)中間件連接并用于進一步的處理，設(shè)計上存在問題的后端系統(tǒng)和錯誤的標簽數(shù)據(jù)可以導(dǎo)致安全問題。

中間件系統(tǒng)設(shè)計是用來接收確定大小的標簽數(shù)據(jù)，而存儲這個數(shù)據(jù)的緩沖區(qū)大小如果不夠大，當(dāng)攻擊者用一個超過緩沖區(qū)大小的標簽數(shù)據(jù)寫入時，就會導(dǎo)致后端系統(tǒng)發(fā)生緩沖區(qū)溢出問題，從而達到攻擊者的目的。

4.3 SQL注入攻擊

所謂SQL注入，就是通過把SQL命令插入到Web表單遞交或輸入域名或頁面請求的查詢字符串，最終達到欺騙服務(wù)器執(zhí)行惡意的SQL命令。當(dāng)應(yīng)用程序使用輸入內(nèi)容來構(gòu)造動態(tài)SQL語句以訪問數(shù)據(jù)庫時，會發(fā)生SQL注入攻擊。

如果代碼使用存儲過程，而這些存儲過程作為包含未篩選的用戶輸入的字符串來傳遞，也會發(fā)生SQL注入。SQL注入可能導(dǎo)致攻擊者使用應(yīng)用程序登陸在數(shù)據(jù)庫中執(zhí)行命令。如果應(yīng)用程序使用特權(quán)過高的帳戶連接到數(shù)據(jù)庫，這種問題就會變得很嚴重。在某些表單中，用戶輸入的內(nèi)容直接用來構(gòu)造 （或者影響）動態(tài)SQL命令，或者作為存儲過程的輸入?yún)?shù)，這些表單特別容易受到SQL注入的攻擊。而許多程序在編寫時，沒有對用戶輸入的合法性進行判斷或者程序中本身的變量處理不當(dāng)，使應(yīng)用程序存在安全隱患。這樣，用戶就可以提交一段數(shù)據(jù)庫查詢的代碼，根據(jù)程序返回的結(jié)果，獲得一些敏感的信息或者控制整個服務(wù)器，于是SQL注入就發(fā)生了。

SQL注入是從正常的WWW端口訪問，而且表面看起來跟一般的Web頁面訪問沒什么區(qū)別，所以目前市面的防火墻都不會對SQL注入發(fā)出警報，如果管理員沒有查看IIS日志的習(xí)慣，可能被入侵很長時間都不會發(fā)覺。SQL注入的手法相當(dāng)靈活，在注入的時候會碰到很多意外的情況。能不能根據(jù)具體的情況進行分析，構(gòu)造巧妙的SQL語句，從而成功地獲取想要的數(shù)據(jù)，

在RFID系統(tǒng)中，標簽可能包含利用后臺中間件數(shù)據(jù)庫的SQL植入攻擊數(shù)據(jù)。RFID標簽數(shù)據(jù)存儲限制并不能限制此種攻擊，因此很少的SQL語言就能造成很大的危害，如 “shutdown”命令可以瞬間關(guān)閉SQL服務(wù)器，只要數(shù)據(jù)庫在根目錄下運行，而存在SQL注入漏洞，標簽就能執(zhí)行攻擊整個RFID系統(tǒng)的命令。

4.4 后端通信攻擊

RFID系統(tǒng)一般使用JMSHTTP等協(xié)議來實現(xiàn)中間件與后端系統(tǒng)的通信，這里就可能發(fā)生中間人攻擊、應(yīng)用層攻擊和TCP重播攻擊。

a）中間人攻擊

在后端系統(tǒng)也會發(fā)生中間人攻擊，就是中間件和后端系統(tǒng)進行通信時，因為通信雙方無法確定對方是誰，攻擊者假冒一方的身份使數(shù)據(jù)交換進行，以此來獲取信息。因為在無線網(wǎng)絡(luò)中，系統(tǒng)采取的物理控制少，就更容易出現(xiàn)這種中間人攻擊。

b）應(yīng)用層攻擊

應(yīng)用層攻擊是通過引發(fā)服務(wù)器操作系統(tǒng)或應(yīng)用程序的錯誤來攻擊系統(tǒng)應(yīng)用層，從而使攻擊者獲得正常訪問控制系統(tǒng)的能力。攻擊者會利用層用系統(tǒng)的各種漏洞，獲取對層用程序、系統(tǒng)或網(wǎng)絡(luò)的控制權(quán)[3]。

c）TCP重播攻擊

TCP重播攻擊是攻擊者使用嗅探器從報文里獲取數(shù)據(jù)包后，從認證信息和密碼數(shù)據(jù)包中獲取信息后，再把這些數(shù)據(jù)包重新放回網(wǎng)絡(luò)中，或者重播[4]。

5 協(xié)同工作模型

圖1 RFID公共服務(wù)平臺安全與隱私防護協(xié)同工作模型框架圖

面對RFID系統(tǒng)面臨的安全威脅，為了解決RFID系統(tǒng)的安全和隱私問題，本文提出了安全與隱私防護協(xié)同工作模型，如圖1所示。在這個協(xié)同工作模型中，包括了防護、檢測、響應(yīng)恢復(fù)和反擊，把這四個過程有機地結(jié)合在一起，就構(gòu)成較為完整的協(xié)同安全防護工作模型。圖中，安全監(jiān)控包括檢測分析和監(jiān)視控制；調(diào)控包括學(xué)習(xí) (知識積累)、自動調(diào)整安全策略 (自適應(yīng))和安全管理。安全防護的作用是，通過各種安全機制、安全措施來阻止和延緩可能受到的攻擊；響應(yīng)和恢復(fù)是對攻擊做出的反應(yīng)，是使攻擊危害減至最低和實現(xiàn)對未來攻擊的防護；檢測是對攻擊的發(fā)現(xiàn)，正在發(fā)生和已經(jīng)發(fā)生攻擊行為的識別和分析；監(jiān)測是防護、響應(yīng)恢復(fù)和調(diào)控的基礎(chǔ)；調(diào)控是系統(tǒng)指揮、調(diào)度和監(jiān)管的中樞，是確保網(wǎng)絡(luò)安全、可靠運行的核心。

RFID安全與隱私防護體系的設(shè)計實際上不是一個簡單的技術(shù)問題，它涉及到組織結(jié)構(gòu)、安全機制、安全協(xié)議、安全防護技術(shù)以及災(zāi)難恢復(fù)等各個方面的內(nèi)容，任何一方面的不完善都會造成系統(tǒng)的安全問題。因此，對于RFID公共服務(wù)平臺的安全防護是一個系統(tǒng)工程，需要建立完善的保障體系，它是一個動態(tài)的、互相協(xié)同工作的過程。

6 結(jié)束語

本文首先把基于RFID技術(shù)的信息系統(tǒng)分為三個安全域，然后分別闡述發(fā)生在這幾個域的攻擊方式，包括對前端數(shù)據(jù)采集區(qū)的攻擊，對中間件的攻擊，以及對后端數(shù)據(jù)處理區(qū)的攻擊；并介紹了它們的攻擊方式。然后在這些分析的基礎(chǔ)上，提出一個協(xié)同工作模型對RFID系統(tǒng)的安全進行防護。

[1]J U EL S A.Minimalist cryptograp hy for RFID tags for lowcost RFID tags[M].Oxford， U K： Elsever， 2004.

[2]WEIS SA， SARMA S， RIVESL R， et al.Securiryand privacy aspeets of flow-cost radio frequency；identification systems[C]//Proceedings of the lsr International Conference on Seeurity in Pervasive Computing.2003.

[3]張宏壯.RFID中的安全隱私問題及策略分析 [J].微計算機信息，2008，24（6）：48-49.

[4]1Gwo-Ching Chang.A feasible seeurity mechanism for low cost RFID tags[C]//IEEE Proeeedings of the International Conference on Mobile Business(ICMB’05).2005.