射频识别技术RFID(Radio Frequency Identification)是一种利用射频通信实现的非接触式通信技术,利用此项技术可以实现对目标对象的自动识别,并读取相关数据的目的。RFID技术具有操作快捷、精度高、非可视识别、适应环境能力强、抗干扰性强等多方面的条形码技术不具备的优点。但随着RFID技术被广泛的应用,它所带来的信息安全和隐私问题也越来越显现出来。
1 RFID系统的组成
如图1所示,RFID系统一般由标签、读写器和后端数据库三大基本部分构成。
RFID标签又被称为应答器,它和传统的条形码一样,被固定在货物上以记载信息;读写器又被称为收发器,具有向RFID标签读取和写入信息的能力;后端数据库是管理和记录系统内RFID标签相关信息的数据库系统,通常具有强大的数据分析、计算、存储能力。此外,系统中还配备有与之配套的用于完成RFID标签数据信息的收集的应用接口或中间件,采用多种传输方式实现数据传送。
1.1 电子标签
电子标签(Tag)一般直接附着在物体上,具有唯一的序列号以定义物体的属性。它和条码技术中条码符号的作用相似,存储了所附着物体所具有的身份信息。所以,它是系统中信息的真正载体。典型的电子标签包含了存储有数据信息的电子芯片以及一系列耦合元件,例如盘绕着的天线,以用于射频通信或从外界磁场获取能量。
标签按照供能方式又分为主动式(有源)、半被动式(有源)和被动式(无源)三种。主动式和半被动式标签自己携带了电池等供能装置,通过电池给标签提供工作所需的能量,可以主动或被动的发射和接收射频信号,而且通信距离通常能达到100—1000米。被动标签本身是不带供能装置的,它通过耦合天线接收读写器发出的询问信号,根据电感耦合原理或电磁反向散射耦合原理,使在芯片通路中形成微弱的电流,当标签芯片中的能量达到了最小门限电压值时,标签就被激活,读写器就可以对标签进行读写操作了。由于缺少内置电池,被动式标签的通信范围通常仅在10米以内。
标签按照所具备的功能来看,又可分为三种:只读标签、可读写标签和具有密码功能的标签。只读标签仅仅包含一个在芯片生产过程中由厂家置入的唯一的简单序列号以表明标签的身份。由于标签不具有改写功能,所以该序列号一旦被置入就无法改变,该芯片也不能再被写入任何数据。同时其通信方式也仅仅是标签向读写器的单向传送。可读写标签内的信息可以被反复读写,写入的字节从一个到数千不等。它不但可以向读写器传送数据,而且其存储的数据还可以被读写器修改。具有密码功能的标签具有防止标签被未经许可的访问这一功能,可以避免标签内存储的信息泄露。
按照载波频率可以把标签分为低频、中频和高频标签。低频标签主要有125kHz和134.2kHz两种,中频主要为13.56MHz,高频主要为433MHz、915MHz、2.45GHz、5.8GHz等。其中以低频的125kHz和中频的13.56MHz两个频段的标签是主流产品。低频系统主要用于城市一卡通、校园卡、货物跟踪、停车场收费系统等低成本的应用。中频系统多用于门禁控制以及在通信中数据量较大的应用系统;高频系统因其成本较高并且天线发射出的波束具有较强的定向性的特点,因此通常被应用在列车监控、电子不停车收费ETC(Electronic Toll Collection)等需要较长的读写距离和高读写速度的场合。
1.2 读写器
按照通信方式,可以把读写器分为读写器优先RTF (Reader Talks First)和标签优先TTF (Tag Talks First)两种。读写器优先是指标签不会主动向读写器发送射频信号,只有在被读写器发送的射频信号激活且收到完整的读写器指令后,才会返回相应的数据信息以响应读写器的命令。标签优先是指对于被动式标签系统,读写器只发送等幅的、不带任何控制命令和信息的射频能量以激活标签。标签被激活后才能向读写器发送相应的数据信息。在读写器和标签互相传送信息时,也分为全双工和半双工两种方式进行。
按照应用模式,可以把读写器分为固定式读写器、便携式读写器和一体式读写器。固定式读写器是指后端服务器、读写器和天线分别被固定安装在不同的位置,同时读写器可以拥有多个天线接口和多种输入输出设备接口便于通信;便携式读写器是指后端服务器、读写器和天线集成在一起,且体积较小,便于携带和移动;一体式读写器是指天线被集成在读写器的机壳内,同时读写器被安装在固定的地点,后端数据库则另选位置进行安装。
按照载波频率,也可以把读写器分为低频、中频和高频三类。分别对应于标签的相应频段。
1.3 后端数据库
后端数据库(Back-end Database)是可以运行在任何硬件平台的数据库系统,包括系统中间件、系统应用软件和数据库。主要完成对数据信息的存储及处理,通过控制读写器对标签进行读写操作。它配合中间件接收可信的读写器获取的标签发送来的数据信息,进行相关的运算,同时提供被访问标签的相关数据。另外,它也为标签和读写器之间的相互认证过程提供进一步的服务。
2 RFID系统的安全问题
“系统开放”的设计思想导致了RFID系统的安全风险。此外,RFID设计和应用的目的就是了为降低成本,提高效率,所以要求被大规模使用的电子标签具有低廉的价格和简单的元件,从而导致其不能实现复杂的密码算法。这些局限使RFID系统面临的安全威胁更加严重,也对RFID系统的安全机制的设计带来了特殊的要求。如图4所示,读写器发送至标签的射频信号的通信信道被称为“前向信道”,标签发送至读写器的射频信号的通信信道则称为“反向信道”。由于在应用中大部分标签属于被动式标签,读写器承担着为标签提供能量的任务,所以它的无线功率往往会大大超过标签,这也就导致了系统的前向信道的覆盖范围远大于反向信道。同时,标签和读写器之间的通信也会受到噪声、通信频率、障碍物等许多因素的影响。对于RFID系统,我们通常做如下基本假设:标签与读写器之间的通信信道是不安全的;而读写器与后端数据库之间的通信信道是安全的。
2.1 数据完整性问题
数据完整性是指在通信过程中接收者收到的数据与发送者发出的数据是一致的,没有被篡改或替换。这一性质也说明了数据是准确和可靠的。通信过程中倘若不能保证数据的完整性,也就意味着数据可能已经被篡改或者丢失,导致其包含的信息不完整甚至无效。
在基于公钥的密码体制中,一般是采取消息摘要或数字签名的方式来保证数据的完整性。而在RFID系统中,为了保证数据完整性,通常会采用消息认证码来进行校验。它使用的是一种带有共享密钥或者不带密钥的Hash算法,其实质是将后端数据库和标签所共享的秘密与待检验的消息连接在一起,或者单独对消息进行Hash运算。由于Hash函数的性质,攻击者对待检验消息的任何细微改动都会产生雪崩效应,造成消息认证码的较大改变。事实上,在读写器和标签的通信过程中,除了采用ISO 14443标准并使用了消息认证码的高端系统外,传输信息的完整性无法得到保障。但如果在具有可读写标签的系统中不采用数据完整性控制机制,那么攻击者就可利用计算机的通信接口,扫描到在读写器发出查询请求后RFID标签所作出的响应,并由此寻找到系统所使用的加密算法、安全协议以及实现机制上的漏洞,然后就可以对标签中的数据进行篡改或删除。
2.2 身份真实性问题
对于RF1D系统的许多应用来说,对认证标签身份的真实性是非常重要的环节。标签和读写器只有相互确认合法之后,才能输出自身信息和控制命令。由于标签和读写器之间的信息是通过无线射频信号的方式在不安全信道上传播,攻击者可以很容易的从窃听到的通信数据中获得敏感信息,并以此伪造系统中标签,从而达到欺骗读写器的目的。举例来说,攻击者可以通过将截取的合法标签的信息进行重放,或利用伪造的标签代替实际物品,或把高价物品标签的内容用低价物品标签来替换从而获取非法利益。同时,为了将物品成功转移,攻击者也可以通过技术手段将合法的标签屏蔽掉,以此来躲避读写器的跟踪;反之,也可以伪装成一个合法的读写器向标签发出控制命令,来修改标签内的数据。因此,为了保护数据的真实性,读写器只有确认了标签的合法身份之后才能确信所接收消息的真实性;标签也只能在确认了读写器的合法身份之后才能向其传送自身的数据。
2.3 数据隐匿性问题
标签内的信息仅能被合法的读写器识别,这是一个安全的RFID系统必须提供的保障。要保证RFID系统的信息安全,标签就不应当向任何非法的读写器泄漏自身的数据。未采用任何安全机制的标签,其数据在通信时不会受到任何保护,可能会通过并不能保证安全的无线信道向其它不合法的读写器泄漏标签内的敏感信息。受到成本的限制,大多数标签的计算能力和存储空间相当有限,缺乏对P-to-P(Point-to-Point)加密以及公钥基础设施PKI(Public Key Infrastructure )密钥交换等功能的支持,因此在RFID系统读写器与标签的信息交换过程中,攻击者获取并利用标签上的信息是很容易的事。
同时,由于从读写器发送往标签的射频信号具有较强的覆盖范围,它的信号更容易被攻击者所截获,因此它和反向信道上的信号相比更加的不安全。攻击者可以很轻易的窃听到前向信道中传送的数据,甚至可以通过采用边信道攻击的方法,分析在通信过程中产生的时间消耗、功率消耗和各种电磁辐射的规律性来获得标签和读写器之间的通信数据。
2.4 用户隐私侵犯问题
在RFID系统的许多应用中,标签中所包含的信息主要受到位置隐私和信息隐私两个方面的侵犯。
位置隐私含有高度的个人特征。攻击者可以通过读写器跟踪到RFID标签的行踪,从而很轻易的探知到标签持有者的活动轨迹。信息隐私主要包括标签自身所包含的敏感信息,这些信息一旦被泄露,标签持有者的隐私信息往往无法得到保障。举例来说,大型超市可以在提供给顾客的购物篮、手推车上安装RFID标签,以跟踪进店消费者的购物路线以及统计在某个片区的停滞的时间。同样也可以为每一类商品安装上区分于其它商品的唯一标签。这样,不仅可以统计出商品的销售情况,甚至还可以根据统计商品的被移动次数来推断顾客的喜好情况。利用这样的信息,超市就能判断出消费者的消费习惯,从而采取相应的营销策略。
3 RFID系统的安全需求
一套完善安全的RFID系统解决方案,必然有其在安全性和隐私性两方面的要求。应该具备前向安全性、不可分辨性、访问控制、抗通信量分析、抗重放攻击等基本特征。
1)前向安全性。指攻击者不能从获得的当前数据以及历史数据中分析出标签包含的隐私信息,也不能从获得的当前数据回溯出历史数据。
2)不可分辨性。指攻击者无法把截获的来自不同标签的多个输出数据与发送它们的标签一一对应起来;攻击者无法通过截获的来自同一标签的多个输出数据区分出这个标签的输出。
3)访问控制。指攻击者即使伪装成合法的读写器对标签进行未授权的扫描,标签也能成功识别并拒绝;同时,合法的读写器能够顺利经过标签的认证而读取标签中的信息。
4)抗通信量分析。指攻击者即使截获了大量的通信数据样本,也无法通过分析这些样本而得出通信过程中存在的一定规律,从而破解通信协议。
5)抗重放攻击。指攻击者无法通过重放之前截取的读写器发往标签的询问信息而冒充读写器通过标签的认证;也无法通过重放之前截取的标签发往读写器的应答信息而冒充标签通过读写器的认证。
4 总结
本文首先详细介绍了典型RFID系统的三大基本组成及其特点,然后指出了现行的RFID系统在实际运用中存在的安全问题,最后分析得出一个完备的RFID系统所必须满足的安全需求。我们在设计RFID系统时,充分分析其安全需求、尽可能的保证系统安全是至关重要的。
