RFID系统安全问题

RFID系统安全问题（精选8篇）

RFID系统安全问题 第1篇

1 RFID预付费智能电表系统

基于RFID的预付费电能表管理系统属于由上位机 (预付费电能表管理系统) 和下位机 (基于RFID的单相电能表) 构成的主从式结构。管理系统采用微机对上传的数据进行显示、分析和管理, 电能表采用单片机系统对现场数据进行采集、计量和对用户负载进行监控, 用RFID射频卡作为二者之间进行信息交换的载体。基于RFID的预付费售电系统主要由3个部分构成:基于RFID的单相电能表、智能读卡器和预付费电能表管理系统[1]。

RFID电能表通过电能测量集成电路对电压和电流的取样信号进行处理, 并输出与有功功率成正比的频率信号;微处理器通过对脉冲计数来计算所消耗的电量。首先在销售管理系统中建立用户基本档案信息, 发行管理卡并充值, 用户将已充值的管理卡放在RFID电能表感应区内, 电能表读取卡中数据, 解密并判断数据有效性。若数据有效则开启电能表继电器, 允许用户用电。同时, 电能表会自动把标记的当前工作状态、运行状态等数据写入用户卡中。当用户持卡再次充值时, 管理部门能够记录用户表的运行信息, 以便监测用户使用情况。当用户剩余电量用尽时, RFID预付费电能表将自动跳开继电器, 切断电源, 直到用户持卡充值并重新刷卡后才能继续恢复使用。射频卡式预付费电能表管理系统通过信息载体射频卡, 实现信息双向传递, 电能表用户与预付费管理系统之间通过射频卡建立联系, 实现电能使用的预付费管理。预付费电能表通过继电器的开关动作, 达到管理用户预付费用电的目的。

射频卡具有以下优点: (1) 可靠性高。卡与读写器之间无机械接触, 避免了由于接触读写而产生的各种故障。 (2) 卡表面无裸露的芯片, 无须担心芯片脱落、静电击穿、弯曲损坏等问题。 (3) 操作方便、快捷。由于非接触通信, 读写器在一定非接触范围内就可以对卡片操作, 所以不必像IC卡那样进行插拔工作;同时射频卡使用时没有方向性, 卡片可以任意方向掠过读写器表面, 可大大提高每次使用的速度。 (4) 防冲突。射频卡中有快速完备的防冲突机制, 能防止卡片之间出现数据干扰, 因此读写器可以“同时”处理多张非接触式射频卡。 (5) 应用范围广。射频卡的存储器结构特点使它一卡多用, 可应用于不同的系统, 用户根据不同的应用设定不同的密码和访问条件, 方便智能电网电力用户侧管理。 (6) 安全性能好。射频卡的序列号是唯一的, 制造厂家在产品出厂前已将此序列号固化, 不可再更改。射频卡与读写器之间采用密码体制的双向验证机制和加密功能, 可以防止各种主动和被动攻击[2]。

使用RFID射频卡的智能电表具有以上所述的各种优势, 但同时在RFID智能电表的应用中也面临不可忽视的安全问题。射频卡上的RFID标签、RFID读写器所采集到的数据、数据的传输网络等各个环节都存在安全隐患。

2 RFID智能电表面临的安全攻击

2.1 RFID标签本身的访问缺陷

基于RFID的智能电表系统中RFID标签自身具备足够的安全能力受存储芯片面积及成本限制, 因此极容易被攻击者操控, 任何用户 (合法用户和非法用户) 都可以利用合法的阅读器或自构阅读器, 直接与标签进行通信, 读取、篡改甚至删除标签内所存储的数据。智能电表RFID标签能够多次写入 (或可重编程) 。多次写入功能在给RFID智能电表应用带来便捷的同时, 也带来了更大的安全隐患。在没有足够可信任的安全策略的保护下, 标签数据的安全性、有效性、完整性、可用性、真实性都得不到保障。为了保证可重写入标签内存储的数据的有效性, 可以用保存在数据库中的数据进行验证, 对标签数据进行复查。

2.2 通信链路上的安全问题

RFID智能电表系统中标签与阅读器间的数据通信链路是无线通信链路, 无线传输的信号本身是开放的, 这就给非法用户的侦听带来方便。通过链路上的安全攻击包括[3]: (1) 黑客非法窃听、截取通信数据。通过采用窃听技术, 分析微处理器正常运作过程中产生的各种电磁特征, 来获得RFID标签和阅读器间或其他RFID通信设备间的通信数据; (2) 拒绝服务攻击。非法用户通过发射干扰信号堵塞智能电表阅读器与标签间的通信链路, 使阅读器过载, 无法接收正常的标签数据; (3) 利用假冒标签向阅读器发送数据, 使阅读器处理的都是虚假的数据, 而真实的数据则被隐藏。

2.3 其他的安全风险

在智能电表RFID阅读器中, 中间件被用来完成数据的遴选、时间过滤和管理, 但是它只能业务接口, 而不能提供能够让用户自行提升安全性能的接口。RFID阅读器与后台应用系统间的通信属于传统信息安全的范畴。在本文的讨论中, 我们认为该通信信道是安全的。由此可见, RFID所面临的安全问题主要是标签的安全缺陷和无线通信链路的安全风险。RFID系统实质上是一个计算机网络应用系统, 因此RFID系统安全问题类似了网络和计算机安全, 其主要目的是保证数据存储和数据传输的安全。一种比较完善的RFID系统安全解决方案应当具备机密性、完整性、可用性、真实性和隐私性等基本特征。

3 RFID智能电表系统安全防护措施

对于RFID智能电表系统的安全问题, 总体上可以从3个层次的安全保障环节组成。 (1) 智能电表RFID射频卡制造的安全技术; (2) RFID射频卡内CPU芯片的安全技术, 如防非法读写技术; (3) RFID智能电表系统的通信安全技术。如身份识别技术、加密签名算法、Hash摘要算法等。这3个方面共同形成卡的安全体系, 保证RFID射频卡从生产到使用的安全。但在实际应用中, 三者之间没有明显的界限, 如带AES、ECC协处理器的RFID射频卡, 它利用软硬件一起来保障系统的安全[4]。

当前, 针对RFID的安全攻击和安全风险所采取的安全性机制所采用的方法主要有:物理方法、密码机制以及二者的结合。

使用物理方法来保护RFID安全性的方法主要有如下几类:Kill命令机制、静电屏蔽、主动干扰以及阻止标签法等。这些方法主要用于一些低成本的RFID标签中。之所以如此, 主要是因为这类标签有严格的成本限制, 因此难以采用复杂的密码机制来实现标签读写器之间的安全通信。

与基于物理方法的硬件安全机制相比, 基于密码技术的软件安全机制受到人们更多的青睐。其主要研究内容则是利用各种成熟的密码方案和机制来设计、实现符合RFID安全需求的密码协议。由于射频识别没有裸露的电气接口, 数据交换以无线模式进行, 因此具有很大的灵活性和通用性。在给用户带来方便的同时, 由于射频识别卡的无线接口对于可识别范围内的所有用户都是开放的, 并且在射频卡持有者不知情的情况下对其他识别设备进行访问, 由此给非法攻击者以可乘之机。因此射频卡上应该具有先进的数据通信加密和双向验证密码系统功能, 以保障系统中的数据传输安全。因此系统需要使用密码机制来保障系统安全, 包括安全的认证通信协议和加密签名技术等。

如果希望RFID智能电表系统获得更高的安全性, 在生产成本允许的条件下, 可以采用带CPU的RFID射频卡。卡内的CPU在操作时, 不仅对读写设备的身份进行识别和验证, 而且可以对经无限传输的数据进行加密和信道编码, 从而保证了整个操作过程具有很高的安全性和可靠性。此类安全芯片模块, 目前应用比较广泛的是ESAM嵌入式安全模块。通过将智能电表内置ESAM, 可以使智能电表系统支持密钥管理系统。在密钥管理系统的支持下, 智能表使用的密钥, 能够被安全的产生、传输和使用。在ART-ESAM模块安全认证功能的保护下, 用户卡和ART-ESAM模块之间, ART-ESAM模块和智能表之间可以安全的传递数据信息和进行交易。

4 RFID智能电表中的隐私问题

隐私问题, 不仅仅是RFID智能电表系统所要面对的问题, 也是整个智能电表系统建设过程中不可回避的问题[5]。理论上说, 无论是对电力生产者还是电力消费者, 智能电表都存在相当大的吸引力。电力生产者能够通过电表收集的信息预测能源消耗, 以便适当调整生产力 (因为电力不能被储存) 。因此, 这些信息对于生产者非常有用既节约能源又减少污染。另外, 智能电表对消费者而言也是好处多多。通过收集个人化、具体化的信息, 电力公司能够按需提供服务, 电力公司不再只是向顾客开具账单了, 他们还能向消费者提供最为合适的消费方式。此外, 智能电表还能协助部分远程操作, 减少外派工程师的数量。

但智能电表的实际试用情况令人感到非常担心。尽管智能电表的优点不胜枚举, 但是在个人信息安全方面存在着重大的隐患。由于电力企业与用户之间需要实时交换, 因此智能电表系统频繁 (大约每隔10～30 min) 便向应用系统后端数据库发送一次数据信息, 但这也同时将有关用户个人生活的所有信息都传送了出去, 侵害了用户的隐私。此外, 智能电表可能导致用户失去对电器设备的控制。它能直接作用于电器, 改变用户的预订功率, 甚至通过网络远程切断电源。因此如果没有足够的监督或者技术解决方案, 可能导致对电力消费者造成前所未有的隐私的侵犯。

5 结语

一方面RFID智能电表系统的应用具有无限的魅力, 另一方面也要注意在系统应用中所产生的安全和隐私问题。如何保护智能电表系统的数据通信安全和电力消费者的隐私安全是在我国建设智能电网的过程中应该着重考虑的问题。

参考文献

[1]黄彬.RFID智能电表技术方案与质量评估.电气时代, 2009 (11) :82～84

[2]游战清, 李苏剑.无线射频识别技术 (RFID) 理论及应用.电子工业出版社, 2004

[3]杨海东, 杨春.RFID安全问题研究[J].微计算机信息, 2008

[4]张伟.基于ARM的数据加密算法实现[D].南京:南京理工大学, 2006

RFID系统安全问题 第2篇

关键词：溯源系统；RFID；种子质量

中图分类号：S126；TP391.45 文献标志码：A

文章编号：1002-1302（2014）08-0397-03

粮食是关系国家安全的战略性资源，种子是粮食安全的关键。种子居于农业生产链条的最上源，始终是农业发展的核心推动力，也是人类生存和发展的基础，优良种子对增加农作物产量和改善农作物品质起着至关重要的作用^[1]。但近年来种子质量问题日益凸显，不断出现的种子质量问题已经成为我国农业发展道路上的一大障碍。建立种子质量安全溯源系统可以强化种子管理，规范种子市场，最终实现“源头能控制，过程可追溯，质量有保证”的目标^[2]。这对于保护生产经营者和消费者的利益、保证粮食生产、促进农业生产发展以及维护农村社会稳定有着重大意义。目前，我国种子质量安全溯源系统的建设已经处于快速发展阶段，很多省市提出要逐步实现种子质量安全溯源^[3]。2009年年底温州市对农资产品实行溯源管理，种子、化肥都有了唯一的“身份证”；2010年辽宁省农业科学院创新中心孟未来采用先进的射频识别（radio frequency identification，RFID）技术，对种子质量安全溯源管理系统进行了研究；2012年年底种子质量全程跟踪与追溯系统经过实地使用和专家测评后在甘肃省通过验收鉴定；2013年年初山东省蓬莱市在玉米种子管理方面推出了溯源经营管理方法，给种子也设置了溯源条形码。本研究以如何实现棉种编码标志与全程档案数字化为切入点，进行各大功能模块设计。以棉种为例，采用先进的RFID技术，设计基于RFID种子质量安全溯源系统，实现棉花种子质量安全信息的快速追溯。棉花种子跟踪与溯源模型图如图1所示。

1 材料与方法

1.1 试验材料

棉花种子取自于新疆惠远种业股份有限公司的“惠远12号”品种；系统在ASP.NET 平台下采用B/S 体系结构进行设计，采用 C++ 进行编制；数据库选用SQLServer2005，通过ADO技术访问数据库，所需数据主要来自于“惠远12号”育种到播种各个环节的记录信息。

开发溯系统所用设备：VD-65 UHF发卡器、VF-642N UHF读写器、VA-991RFID天线、VH-70B手持式阅读器、 KSR195射频电缆和VT-86B电子标签。

1.2 试验方法

以RFID技术与种子质量控制点为核心，以溯源码技术为载体，采用固定读写器和便携式（手持式）读写器对数据进行自动化采集（数据采集采用B/S 模式实现通信连接），然后通过WiFi或GPRS 网络及时将数据传递到信息管理中心，从而建立棉花种子生产、加工、运输、销售数据化档案系统，实现从育种基地环境、生产管理档案、生产资料使用、种子认证、质检、贮藏、加工包装、运输、销售等环节的全程质量监控与查询。

该溯源系统主要用于新疆维吾尔自治区棉种企业，对棉种从试验田-生产加工-物流供应-农户播种的管理，在各个阶段建立相应档案，详细记录棉种生产基地、制造企业、生产日期以及棉种加工的主要技术指标。最后消费者可以凭借农产品外包装上的RFID电子标签，通过手机软件、查询终端或因特网来查询棉种的所有信息。

1.3 系统体系模型

棉花种子质量安全溯源系统所要实现的功能是“顺向可追踪，逆向可查询”，一方面管理者可以通过管理系统查询种子在加工、运输、销售环节的详细信息；另一方面消费者也可以根据棉花种植产地的研究报告，追溯到种子的生产厂家以及种子的各种技术参数。根据棉种质量安全溯源系统方案，构建基于RFID的系统模型，如图2所示。

在种子的跟踪方面，每个环节都会从伴随物流而来的RFID标签中获取上游的信息，并写入新的信息，一旦某环节出现了问题，造成了信息的缺失或错误，就会马上被下游的环节发现；而在溯源方面，通过RFID标签，各个节点的信息都是环环相扣的，只要凭RFID标签上的唯一标志，就可以逐级向上进行追查，直至找到目标^[5]。这样就实现了棉花种子在整个流通过程中信息的无缝连接。

3 结论与讨论

本研究主要結合RFID技术提出了一种基于RFID技术的棉种质量安全溯源系统设计方案，搭建了一个企业、社会、消费者三者的共赢平台，实现静态信息与动态信息有机结合，为相关企业管理、物流防伪、经销商、消费者，甚至政府监督职能部门提供更多的防伪物流与数字化监管的功能^[6]。对于企业来说，可追溯的产品自然更容易得到市场的认可，能够提升企业的品牌形象和价值；对于社会来说，由于RFID电子标签仿制、复制的成本和难度极高，这在一定程度上打击了假冒伪劣产品，净化了市场，利于营造和谐的社会环境；对于消费者来说，能保证购买到放心种子。

3.1 溯源系统的实用性讨论

该系统在种子流通过程中建立了详细的种子数据档案，并且赋予种子企业最高的用户管理权限，管理者可以实时把握种子销售情况，一旦发生种子质量问题，可以用信息手段追溯种子的根源，包括产地、企业、种子形状、中间经过的经销商等等。消费者可通过查询功能了解所购买种子的全部信息，打消消费者的疑虑，大大提升棉种市场竞争力。

3.2 溯源系统的可靠性讨论

该系统采用先进的RFID技术，具有以下优点：（1）每个标签都有1个全球唯一的ID 号码——UID，UID 是在制作芯片的时候放在ROM 中的，无法修改和仿造；（2）无机械磨损，防污损；（3）读写器具有不直接对最终用户开放的物理接口，保证其自身的安全性；（4）数据安全方面除标签的密码保护外，数据部分可用一些算法实现安全管理；（5）读写器与标签之间存在相互认证的过程；（6）数据存储量大、内容可多次擦写，不仅可以记录产品的品种信息、生产信息、序列号、销售信息等，还可以详细记录商品的销售区域、销售负责人、关键配件序列号等数据和信息，从而为商品添加了1个唯一、完整、保密、可追溯的身份和属性标志符^[7]。由此可以看出，利用RFID建立的种子质量安全溯源系统具有很强的安全性和稳定性。

3.3 溯源系统的经济性讨论

一方面是种子质量的提高直接带来的经济效益。种子质量的提高直接带来销售增长，利润会随着销售量一起增长；另一方面是节省生产成本间接带来的经济效益。运用种子质量安全溯源系统能打破部门条块分割，实现信息共享，完善监控手段，减少隐性成本^[8]。对于种子企业来说，从长期来看采用种子质量安全溯源系统能够带来较好的收益。首先，严厉打击了假冒伪劣种子，为企业挽回一部分损失；其次，提高了供应链效率，改善企业整体的生产效益；最后，提高了企业形象，增强了品牌价值。

参考文献：

[1]卜 祥，降蕴彰. 打造种业“航母”[J]. 农村经济，2009（12）：18-29.

[2]柳 萌. 蜂产品质量安全追溯系统设计与实现研究[J]. 安徽农业科学，2013，41（7）：3211-3214，3240.

[3]张土前，蒋平安，邹 鹏. 基于RFID与WebGIS的阿克苏苹果质量安全溯源系统[J]. 新疆农业科学，2012，49（8）：1519-1524.

[4]陈琴刚，李锋霞，马本学，等. 基于RFID技术的棉种溯源系统构建[J]. 江苏农业科学，2013，41（7）：388-390.

[5]张 奎，王 超，汤 璐. RFID在种子溯源管理中的应用[J]. 科技致富向导，2011（27）：17，50.

[6]田利梅. RFID在防偽技术上的应用[J]. 中国防伪报道，2006（10）：24-26.

[7]祝胜林，黄显会，张守全. 大型猪场基于RFID的信息平台研究与应用[J]. 广东农业科学，2007（3）：63-65.

RFID系统安全概述 第3篇

射频识别 (RFID) 技术[1]是一种非接触自动识别技术。随着RFID技术被广泛的应用于各个领域, 并在各个领域的发展中占据重要地位, RFID安全问题也日益突出。若无线射频信号传输中包含的标签信息被窃取甚至恶意修改, 将会给标签的合法拥有者带来不可估计的损失。因此, 如何保护电子标签持有者的隐私安全将是今后RFID技术发展的主要研究内容之一。

1 RFID 安全需求

1.1 信息隐私

面对未来无处不在的电子标签我们首先要解决的问题就是信息隐私安全。在日常生活中发生的信息泄漏是一个很常见的问题。当我们用一个不安全的标签存储一些重要的个人信息内容, 只要有任意阅读器进行查询, 标签不经认证不分青红皂白地就回答存储内容, 这样就轻易的泄露了隐私。

1.2 位置隐私

事实上, 位置隐私可以看作一种特殊的隐私信息。位置信息是指一组数据描述在一段时间内一个人的位置。它记录位置信息的原理:电子标签持有者经过阅读器时会发送信息, 其信息中包含一个特定的标识符。这个标识符用作在数据库中查询并获取相关的所有信息, 并标记。大多数情况下, 标签提供的标识符是相同的, 因此数据库可以通过特定的标识符记录当前的位置信息。例如, 攻击者可能通过RFID技术的安全漏洞知道用户现在所处的公共场所或者位置信息 (办公室、电影院、商店、酒吧等) , 对用户的所有的行为动作进行追踪。

2 RFID 的主要安全威胁和解决方案

2.1 窃听

RFID技术是通过无线电[2]进行信息沟通, 所以攻击者可以通过分析微处理器正常工作过程中产生的各种电磁特征, 从而获取标签与阅读器之间的通信数据。同时在不同距离下攻击者可以窃听到不同的内容 (见图2.1) 。

转发信道窃听范围:只要阅读器与标签之间有一个强烈的信号, 攻击者就可以在很远的地方进行窃听;反向信道窃听范围:阅读器与标签之间传输信号是相对较弱的, 因此可能只有靠近标签才能实现窃听;恶意扫描范围:攻击者可以在此阅读范围内构建一个阅读器进行长时间信息收集并存储。

由上述可看出, 攻击者可以在较远的距离外就可以实现窃听, 因此针对窃听威胁在距离上防范是不可行的, 最有效的防范手段是使用信息加密技术。目前世界上比较常用的有分组加密算法。

2.2 重放攻击

重放攻击又称重播攻击, 是攻击者比较常用的攻击方式之一, 是指利用窃听或其他方式获取身一个已经被阅读器接收过的信息包, 并再次发送给阅读器, 从而实现欺骗的目的。它主要用于身份验证过程, 破坏验证的真实性。这种攻击会可以从发起者端发出, 也可以由攻击者在通信过程中拦截获得数据再发出。从以上攻击过程可以知道, 加密可以有效防止信息窃取, 但是却防止不了重放攻击。因此为了防止重放攻击, 专门在交换的信息中设置一个时变参数, 如时间戳或者使用一个挑战响应, 即使上个身份认证信息被攻击者成功实现窃取, 但是当进行重播攻击时旧的认证信息也会认证无效。

2.3 中继攻击

中继攻击是指攻击者在阅读器的工作范围内通过转发它与标签之间交互的信息来实现的攻击方式。对于中继攻击, 在特殊的情况下是可能实现的。假设A为合法用户、D为合法阅读器。攻击者持有两个额外的设备, 分别为中继器B和不合法标签C, 在这个过程中合法的阅读器标签之间的信息传递是通过中继器和不合法标签传递的:

(1) 合法的阅读器D发送一条消息给不合法标签C。

(2) 不合法用户收到信息, 将此消息通过快速通信通道转发给中继器B。

(3) 中继器B伪装成合法阅读器的身份, 给合法标签A发送消息。

(4) 合法的标签A计算一个新消息并将其传输给中继器B。

(5) 中继器B把接受到的新消息通过快速的通信通道发送给不合法标签C。

(6) 不合法标签C把新消息转发给真正的阅读器D。

从上述中继攻击过程知道攻击者不需要知道发送内容, 只需要通过快速通信通道传递消息就可以实现攻击。因此针对此攻击降低可能性的最好方法就是使用距离约束协议。距离约束协议主要是从限制交互时间来实现对中继攻击的约束。

2.4 标签克隆

通常, 每个标签都有一个惟一的标识符 (ID) , 阅读器通过对这个唯一的标识符识别最终确认其标签。因此, 攻击者通过复制或篡改标签里这个唯一的标识符, 从而达到标签克隆。防止标签克隆有两种有效手段, 一是标签在制造时都会注入一个程序, 实现锁的功能。显然抵制攻击主要在于这个程度锁。大多数情况下, 在不使用专业侵入性技术的情况下这个锁是不可能被打开的。二是标签制造时除必要外尽量减少标识符的注入, 因为空白标签的未利用率越高被假冒的可能性就越小。尽管标签克隆比较困难, 但是在某些情况下还是有可能实现的。

3 RFID 的安全趋势

近年来, RFID系统应用的领域更崭新更为复杂, 为了进一步提高系统的安全性, 全世界许多专家学者们[3]都纷纷提出自己的见解, 伴随着研究的深入, 最后普遍认为针对提高信息的保密性应该主要致力于加密算法创新和改进的研究内容上。因此, 当前针对RFID安全研究比较热门的算法有混沌算法。

4 结束语

总之, 虽然如今有一些RFID开发商、安全部门都在全面投入研究, 并且取得了一定的成果, 但是仍存在一些安全技术问题, 对于低成本无源RFID系统尚无较可靠的安全机制, 难以对数据进行很好的保密。因此, 针对RFID技术的隐私安全问题能够寻找更有效更切实可行的解决方法是今后研究主要内容。

参考文献

[1]胡瑛.吕慧强.无线射频系统安全问题概述[J].浙江大学学报, 2006, 34 (3) 327-330.

[2]Klans F射频识别技术[M].3版.无晓峰, 陈大才, 译.北京电子工业出版社.2006:1-3.

RFID系统安全问题 第4篇

关键词：RFID,安全,协议,哈希,反跟踪

0 引 言

RFID是20世纪90年代兴起的一项非接触式的自动识别技术, 其无线通信方式和无可视性读写的要求, 为许多应用领域带来了极大方便, 也带来了很多安全问题。由于缺乏专门用于RFID系统的支持点对点加密和PKI密钥交换的功能 (用ISO14443/DESFire等现有标准可以实现点对点加密) , RFID标签存在安全漏洞[1]。例如在安全保密领域, 需要防范不法分子使用RFID阅读器确定哪些物资或材料值得窃取。RFID的主要好处之一是增加了供应链的透明度, 但这给数据安全带来了新的隐患。惠普实验室负责RFID技术的首席技术官Salil Pradhan做了一个形象的比喻:“使用条形码好比行驶在城市街道上, 就算撞上了人, 危害也很有限。但使用RFID好比行驶在高速公路上, 你离不开这个系统, 万一系统被攻击, 后果不堪设想”。

RFID技术受到各界广泛高度关注, 虽然目前还没有人抱怨过与部署RFID相关的安全问题, 但企业和厂商都承认:虽然眼下人们关注的焦点都集中在RFID将带来怎样经济效益和投资汇报上, 但未来RFID技术能否被广泛采用, 安全问题将会是遇到的主要问题。针对RFID 的安全隐私问题, 目前国内外开展了很多加强RFID 安全隐私保护的研究, 并提出了一系列方法, 如Hash锁、随机Hash锁和Hash链, 但这些方法存在安全性不高或效率低等缺陷[2]。

本文提出一种简单的协议 (称为UNTRACE) , 能够以较低的代价实现RFID标签识别的不可追踪。不可追踪意味着推算标签信息的计算是相当困难的, 推算的方式可能是通过与有关标签身份的信息交互, 或通过对同一标签多次链接时行为表现的分析。UNTRACE协议代价不高, 在标签上仅需轻量加密操作, 只需要存储一个密钥, 尤其适合批量标签识别, 同时引入预先计算技术使得服务器端的实时计算代价很小。

1 相关工作

RFID 系统主要由阅读器、标签及后端数据库组成, 如图1所示。目前RFID 技术已经吸引了工业和学术界越来越多的关注, 并已广泛地应用于供应链管理、门禁控制、电子钱包等各种场合。然而RFID 技术属于非接触式自动识别技术, 其面临的安全隐私威胁主要有:非法读取 (Man-in-the-middle (MIM) ) 、位置跟踪 (Tracking) 、窃听 (Eavesdropping) 、拒绝服务 (DoS) 、哄骗 (Spoofing) 、重放 (Replay) 。本文重点解决标签数据的非法读取和窃听的问题。

典型的加强RFID 安全隐私保护的访问控制方法主要是基于单向Hash函数实现的[3,4,5,6]。其中Hash锁采用Hash 锁方法控制标签的读取访问, 其工作机制如下:对于唯一标志号为ID的标签, 首先阅读器随机产生该标签的Key, 计算metaID=Hash (Key) , 将metaID发送给标签;标签将metaID 存储下来, 进入锁定状态。阅读器将 (metaID, Key, ID) 存储到后台数据库中, 并以metaID 为索引。当阅读器询问标签时, 标签回答metaID;阅读器查询后台数据库, 找到对应的 (metaID, Key, ID) 记录, 然后将该Key 值发送给标签;标签收到Key 值后, 计算Hash (Key) 值, 并与自身存储的metaID 值比较, 若Hash (Key) =metaID, 标签将其ID 发送给阅读器, 这时标签进入已解锁状态, 并为附近的阅读器开放所有的功能。Hash锁方法的优点:解密单向Hash 函数是较困难的, 因此该方法可以阻止未授权的阅读器读取标签信息数据, 在一定程度上为标签提供隐私保护;该方法只需在标签上实现一个Hash函数的计算, 以及增加存储metaID 值, 因此在低成本的标签上容易实现。此方法的缺陷是:由于每次询问时标签回答的数据是特定的, 因此其不能防止位置跟踪攻击;阅读器和标签间传输的数据未经加密, 窃听者可以轻易地获得标签密钥和ID值。为弥补这种缺陷, 本文提出基于Hash锁的改进安全通信协议。

2 UNTRACE通信协议的环境与模式

2.1 操作环境

要普及RFID技术, 必须保证RFID 标签的低成本实现。由于标准的安全机制要求的计算比较复杂, 如SHA-1约需12K个门, 这在低成本标签上无法实现, 因此采用低成本的单向Hash 函数进行加密。安全的RFID 系统应能抵御各种攻击, 且考虑到较坏的情况, 即使外人获得了标签内部的秘密数据, 也应保证其无法追踪到跟标签有关的历史活动信息, 即保证前向安全性。

UNTRACE通信协议涉及的实体包括:标签, 阅读器与服务器。阅读器是一种查询标签身份信息的设备, 服务器是维护有关标签的key等所有信息的可信实体, 通常假设服务器是物理安全的不可攻击的。一台服务器可连接多个阅读器, 假设服务器与阅读器之间通过私密可信的信道通信, 使用宽松的同步时钟, 阅读器和服务器拥有充足的存储计算和通信能力。假定标签没有时钟只有少量的ROM和非易失RAM, 由阅读器提供计算和通信的电能, 标签可以执行适度的计算, 在非易失RAM中维护必要的具有常数大小的状态信息。下文中攻击可以是被动或主动的, 假定攻击设计的目标是跟踪RFID标签。

为描述方便, 依惯例简化协议工作环境, UNTRACE通信协议涉及标签上的非易失RAM、标签上的ROM (包括代码和数据) 、标签上的计算、阅读器和标签交互的消息和回合、阅读器和标签之间交互消息的尺寸、服务器实时计算和服务器存储等。

2.2 操作模式

标签识别的设计分为两种模式:实时模式和批处理模式。实时模式是文献中提及的典型模式, 为快速验证需要识别的标签, 实时模式应用于大众零售业或图书馆门禁检查等领域, 要求阅读器和服务器之间在线联系, 立即得到标签的反馈。而对于另外一些应用背景, 比如库存控制, 阅读器是移动的, 装备了RFID标签的商品是静止的, 适合采用批处理模式。阅读器能够同时扫描多个标签, 允许延迟一段时间批量地进行识别。批量模式一般适用于不考虑伪造标签存在的场景, 而重点防止伪造阅读器的存在。当服务器由于不可访问或过载等原因而失效, 或者移动阅读器需要节省电力能量时, 批处理模式就显得更有吸引力。本协议支持上述两种模式。

2.3 标签的参数设置

每个RFIDi标签使用以下几个参数初始化:Ki, T0, Tmax。

Ki是一个指定的标签值, 用作标签的标识和密钥。它的大小应大于需要识别标签的数据量, 即根据标签的总数而确定。为计算消息授权代码 (MAC) 需要足够强壮的密钥, 160bits的Ki可满足要求。将T0初始化为标签的时间戳 (也可以手工设置) , 每个标签的T0不必唯一, 可以用同一个时间戳为一批标签初始化。T0的大小由需要的时间粒度和可以授权的时间量决定。Tmax是时间戳的最大值, Tmax也可以由多个标签共享。

每个标签需要具备产生位随机数发生器 (PRNG) 的唯一种子的能力, 可以使用迭带keyed hash函数 (如HMAC) 来创建, 开始随机选择私密种子和Ki的键值, 对于标签RFIDi, PRNGij表示第j次调用PRNG值, 给定某个PRNGij值, 不存在能够恢复Ki或有关识别RFIDi信息的实体, 这种实体可能是服务器。给定两个值PRNGij、PRNGjk, 对任何实体来说, 确定i是否等于j的计算是非常困难的。

3 UNTRACE通信协议的描述

UNTRACE的主要思想是使用单调增加的时间戳提供可以反跟踪的标签授权。

使用时间戳的动机来自于Herzberg的成果[7]:在GSM蜂窝网络或有线Kerberos安全交互网中, 为了对在不同区域移动的用户进行匿名授权, 远程用户借助一个临时的userid在实现在本地主机的识别, 临时用户id使用当前时间和一个私密持久id由可防止碰撞的单向hash函数计算。用户本地域中的可信服务器维护hash表, 周期性地更新此表, 表中每行对应一个漫游的用户, 此表可以预先计算或者在需要的时候计算。每行包含持久用户id和相应的临时用户id。当外部代理发出的识别请求到来时, 本地域服务器在当前hash表中查找临时用户id, 对hash表的查找代价为常数。如果待授权的漫游用户使用的时间戳足够精确, 可以保证成功地查找hash表。这种方式可以防止外部代理或域对漫游用户授权过程的跟踪。

此方法的优点之一是本地域服务器不需要任何按需计算, 服务器可以预先计算hash表, 作为每个请求处理的一部分, 等待请求的到达。随着时间的流逝, 临时用户id表自然过期, 被新的表格替换掉。在随机应答的方式下, 服务器需要动态计算整个表来识别漫游的用户。因此以查找表的方式处理请求比随机响应请求处理方式的代价低得多。UNTRACE协议中对标签的授权借鉴上述方法。

上述技术可以很好地应用于漫游和移动用户, 但不能应用于RFID环境。首先, 移动用户可以装备可信的个人时间装置, 简单的如腕表复杂的如PDA, 即使没有任何可信设备, 人类用户也可以大致估算当前时间。而RFID标签一般没有装备这样的设备, 无法分辨合法的和粗略不精确的时间戳。

在标签上保存其收到的最近时间戳 (设此时间戳是合法的) , 它就能够分辨未来有效的和过去的无效时间戳。在识别标签协议的开始, 观察阅读器, 推测有效的时间戳, 用标签存储的时间戳和阅读器时间戳比较, 如果前者小于后者, 标签就认为这个新的时间戳是有效的, 计算由持久密钥和新时间戳产生的响应, 这样就能保证标签不会收到比自己存储的时间戳还早的时间戳。为防止攻击, 即使由阅读器提供先于标签存储的时间戳, 标签也需要应答与正常应答不同的一个值, 这个值可以是一个没有意义的随机数。

协议形式化描述如下:

协议的1-3步包含两个回合和两条消息, 第一条消息的尺寸由Tr决定, 第二条消息的尺寸由Pr决定, 两者都小于160bits。由于假定阅读器和服务器之间是私有可信的信道, 服务器仅与没有恶意的阅读器通信, 第5.3步的代价依赖于应用需求。如果应用允许阅读器识别有效的标签, 服务器将返回一个标签的元标记号, 由H (Ks) 产生, H (.) 为合适的加密hash函数, 同时服务器通知阅读器请求的标签是有效的。对于批处理模式, 阅读器询问多个标签, 收集它们的响应, 在晚些时候将Tr发送至服务器, 接着由服务器识别标签。

目前较先进的高效协议MSW[5]在服务器端, 需要O (logn) 的复杂度计算伪随机函数来识别一个标签, 识别n个标签代价为O (nlogn) 。而本协议执行相同的任务只需要O (n) 的代价, 等于查询整个hash表的代价, 每次查找需要常数时间。

4 协议性能分析

本文提出的协议具有较高效率。当接到合法的Tr时, 标签的计算代价只是计算一个hash函数 (例如HMAC) , 需要产生伪随机数值 (使用PRNG) ;UNTRACE协议中由于阅读器既不产生数据也不检测数据, 所以没有计算任务;服务器的计算负担也不大, 只进行简单的表查找而无需根据请求计算, 可以在任意时间预先计算临时表, 预计算的代价与有效的存储和其他因素有关。

比较实验证明了本协议的效率, 阅读器发送一个随机请求Rr到标签, 标签用阅读器Pt和标签自己的随机的Rt的计算密钥hash函数, 阅读器接着将Pt, Rr和Rt传送给服务器。为识别标签, 服务器需要O (n) 的代价执行在线密钥hash函数的计算 (其中n为标签的总个数) , 平均识别一个标签服务器只需执行n/2个操作, 临时表在本协议中可用于多个协议会话。

然而, 本协议可能会受到拒绝服务攻击, 攻击者可以发送不正确的时间戳Tr, 使标签完全或临时失效, 尽管防止DoS攻击不是本协议的设计目标, 但它的确是重要问题。目前在不增加标签的计算能力和额外的通信带宽的条件下, 尚没有简单的方法解决DoS攻击的问题。

另外本协议假定在同一次间隔中标签不会被授权两次以上。当选择不同间隔时的情况会有所不同, 以秒为单位的短间隔比较常见, 然而这会为服务器带来沉重负担, 需要频繁地计算临时表。较长的间隔会降低服务器的负担, 但是它会令我们的假定出问题, 因为在每个间隔中可能需要不止一次询问标签, 解决此问题的方法是牺牲一些不可追踪性, 以固定的次数k允许标签接受同样的时间值, 这将在标签处增加存储和计数负担, 一旦同一个时间Tt的计数达到了k, 标签就拒绝接受等于Tr的时间戳, 开始用协议中步骤2.2描述的随机值相应。这使得协议变成k可追踪的, 攻击者可以使用相同的Tr值使用至多k次会话跟踪到标签。攻击者可以通过询问标签主动跟踪, 或通过窃听标签与有效阅读器的交互进行被动跟踪。

5 结 论

近期工作中的MSW协议的提出是有效的, 但代价较高, 要求标签存储O (logn) 个密钥, 执行O (logn) 次伪随机函数计算, 而UNTRACE只需一个密钥和一次伪随机函数计算。在成本方面, 非易失RAM的引入使标签的成本有所提高, 但其价格仍然在可以普及的范围之内。上述分析证明, 本文提出的UNTRACE协议是一种简单而安全的方法, 可以实现标签识别的不可跟踪, 可以广泛地应用于被动式低成本标签的RFID识别系统。

参考文献

[1]Ferguson R B.RFID:Locked and Loaded for NATO.eWeek, February20, 2006, [Online].http://www.eweek.com/article2/0, 1895, 1926586, 00.asp.

[2]周永彬, 冯登国.RFID安全协议的设计与分析期[J].计算机学报, 2006, 29 (4) :581-589.

[3]曾丽华, 熊璋, 张挺.Key值更新随机Hash锁对RFID安全隐私的加强[J].计算机工程, 2007, 33 (3) :151-154.

[4]Gardner C.DoD:Radio Frequency Identification.AIAG s third annualRFID Summit, November 2, 2006, [online].https://mows.aiag.org/scriptcontent/event_presentations/Files/E6RFID01SP/DOD_final.pdf.

[5]Molnar D, Soppera A, Wagner D, et al.Delegatable Pseudonym ProtocolEnabling Ownership Transfer of RFID Tags.Workshop in Selected Are-as in Cryptography, August 2005.

[6]Avoine G, Oechslin P.A Scalable and Provably Secure Hash-BasedRFID Protocol.IEEE PerSec Workshop, March 2005.

轻量级RFID系统安全模型的设计 第5篇

在RFID系统安全机制中, 由于标签低廉的造价和系统运行成本的影响, 目前大多数标签计算能力弱、存储空间小, 导致传统成熟的加密算法和安全机制在被动标签上的实现十分困难。因此, 安全有效的轻量级或超轻量级安全认证机制对于防护数据传输链路的安全性和隐私性具有重要意义。

1 UMAP协议族

UMAP协议族是最早提出的一类超轻量级RFID认证协议, 其中包括M2AP (Minimalist Mutual Authentication Protocol) 协议、EMAP (Effi cient Mutual Authentication Protocol) 协议、LMAP (Lightweight Mutual Authentication Protocol) 协议。UMAP协议族使用了动态假名机制来保证匿名性等安全需求。同时, 在互认证过程中, 子密钥在标签和读写器两端共享, 公开传输的数据中会使用到这些密钥信息, 使用的位运算和模运算。

UMAP协议族都包括三个阶段:标签认证阶段, 互认证阶段, 更新阶段。在标签认证阶段, 读写器发送请求信息, 标签回应其假名信息;在互认证阶段, 实现对标签和读写器的互认证, 同时将标签的唯一标识信息安全地进行传输;在更新阶段, 对假名和密钥信息进行更新。

在RFID认证协议中UMAP协议族中使用的随机数据进行位与和位或运算方法对结果容易产生不均衡性;同时, 在UMAP协议族中双方认证完成后, 各自进行的更新操作存在安全隐患, 攻击者经过篡改或者截获认证过程最后一次传输的数据后, 会造成读写器和标签只有一端更新的情况, 从而造成非同步攻击。

2 轻量级RFID系统安全模型

对UMAP协议出现的问题, 从通信层引入信息位量, 在认证框架设计上进行改进, 将信息位量值作为安全协议运算的值降低轻量加密的不均衡型, 同时在安全认证中也可有效避免非同步攻击。

轻量级安全模型在安全认证协议中利用标签信息产生密钥, 使标签在认证阶段的信息能够得到, 同时在认证阶段实行双向的认证模式, 避免非同步化攻击的问题。

安全模型的体系涉及通信层和应用层两个层次, 认证过程分为四个阶段构成:初始化阶段、标签识别阶段、双向认证阶段、更新阶段。安全模型的基本架构, 在通信层对标签节点设计特别的信息位, 并将这个位信息作为引用层安全认证的信息。在应用层则使用双向的认证机制完成认证。

在安全模型架构下, 将通信层和应用层的认证结合起来, 通过将位信息参与到认证过程中, 将在防碰撞处理过程中的信息进行有效地获取, 结合到标签, 同时也传递给读写器。在识别认证过程中, 对有信息传递的量进一步组合成为新的校验数据序列。在每一个标签中, 位信息是独立的。在上行通信中, 标签这个信息可以传递给读写器, 便于标签的数据的识别, 在认证过程中, 信息同时作为认证信号。

3 安全模型的认证

R和T分别代表一对待认证的阅读器和标签。认证过程中分为四个阶段, 分别是初始化阶段、标签识别阶段、双向认证阶段、更新阶段, 通过四个阶段双向认证的方式确定安全型进而实现信息的认可和更新。

安全模型认证的四个阶段分别完成的操作如下:

(1) 初始化阶段:由读写器R向标签T发出信号;

(2) 标签识别阶段:标签T给出应答新号IDS;

(3) 双向认证阶段:读写器接受信号IDS后准备开始双向认证环节;

(4) 更新阶段:通过认证读写器与标签如果通过安全测试则开始更新, 否则此次认证失败。

在认证过程中, 由读写器向标签发出信息, 标签使用IDS进行响应。在双向认证阶段, 读写器给出认证的信息A, 便签使用之前约定的计算方法对信息进行验算, 同时抽取信息B, 便签将信息B发送给读写器后, 读写器通过计算得到信息C, 最后由信息C在便签端完成最后一次识别, 若读写器和标签的信息都确认则进行到更新阶段, 否则认定没有通过安全检测。

根据安全模型的认证过程, 标签和读写器共同存放了消息验证的计算方法, 首次应答的信息可以使用通信层中标签存放的位信息量, 在经过双向三次信息的确认后, 结合首次应答的IDS以及最后一次的验证信息共同判别更新阶段的执行。对于验证在安全模型中将两个层级有效地进行的相关信息的融合, 在安全信息的认证中通过双向的认证, 大大提高到了非同步的非同步问题。

摘要：针对轻量级认证协议簇UMAP的认证过程中出现的加密不均匀以及安全认证现非同步攻击的问题, 提出了一种将通信层与应用层安全认证相结合的轻量级RFID系统安全模型。模型设计将通信层标签检测识别过程中生成的独立标签位信号量引入认证识别, 同时在识别过程中采用双向识别机制体实现安全性认证。通过模式分析表明, 安全模型的设计在引入通信层信号量的情况下使用双向认证机制能有效对独立标签进行信息安全认证。

关键词：安全模型,UMAP协议簇,认证机制,双向

参考文献

[1]黄玉兰.物联网射频识别 (RFID) 核心技术详解 (第二版) [M].北京:人民邮电出版社, 2012.

[2]程晨.EPCglobal协议安全性分析和验证系统搭建[D].北京:北京邮电大学, 2014.

[3]周艳聪, 董永峰, 张晶, 顾军华.基于哈希分组的动态帧时隙ALOHA防碰撞算法[J].计算机工程与设计, 2016, VOL37 (02) .

[4]肖锋, 周亚建, 周景贤等.标准模型下可证明安全的RFID双向认证协议[J].通信学报, 2013, 4 (34) .

RFID系统安全问题 第6篇

国内外畜食产品安全事故频繁发生,引起全社会对食品安全问题的关注[1]。猪肉作为餐桌上不可缺少的食物,其安全性越来越被重视,因此构建追溯系统是确保消费者吃到放心猪肉的关键技术。近年来,RFID技术的快速发展,使得广大顾客可以对所购买的猪肉信息进行查询成为可能[2]。现在RFID技术领域的研究主要集中在电子耳标的大小和形状会有所不同,因此电子耳标的天线设计就要根据动物的特点个性化设计;此外还有动物身体对RFID射频能量有吸收的问题以及解决方法[3]。本文是以STC89S52单片机为基础进行硬件设计,以SQL Server2005及ASP.NET为软件技术支撑来实现猪肉生产的信息存储,最终完成猪肉查询系统的设计。

1 总体框架原理

1.1 硬件模块

在实际应用中,电子标签附着在待识别物体的表面,电子标签中保存有约定格式的电子数据。读写器通过天线发送出一定频率的射频信号,当标签进入磁场时产生感应电流从而获得能量,发送出自身编码等信息,被读写器读取并解码后送至PC电脑进行相关处理[4],同时也可逆向对标签写入数据。RFID系统可分3个部分:电子标签、读写器和PC机。射频识别过程如图1所示。

1.2 原理

整体系统框图可划为5个部分:养殖场信息管理系统、屠宰信息记录系统、分割加工以及消费信息管理系统、质量安全查询追溯系统和猪肉生产质量安全追溯综合信息系统。以前4个环节系统为基础平台,猪肉生产质量安全追溯综合信息系统是将繁育场、养殖场、运输屠宰监控、分割加工以及消费、质量安全查询系统中产生的各种数据进行统一分析处理,相当于整套系统的中央处理器,它担负着整套系统的静态基础数据、动态记录的存储与处理,统计报表、实时数据调整与查校等功能。它的建立依赖于养殖场信息采集管理系统、屠宰厂信息追踪管理系统、超市及消费信息管理系统的成功建设,平台的工作要在一个相对较长的时间内进行逐步架构和完善。总体设计框架原理图如图2所示。

2 关键技术

2.1 RFID读写模块设计

STC89S52单片机,YHY502,MAX232通信接口和天线4个模块组成读写模块,框图如图3所示。

读写模块中YHY502是整个读写器的核心,它完成读写电子标签的所有必需功能。作为单片机与射频卡通讯的中介,YHY502与标签由射频场来建立无线链接并完成数据交换。MCU是通过对读写模块YHY502内核特殊的内存寄存器的读写来控制YHY502。YHY502射频模块的D0-D7(数据端口)和单片机数据端口P0口直接连接进行数据传送,单片机利用YHY502提供中断信息对其进行控制。

2.2 标签操作模块

单片机对电子标签操作的命令主要有空操作、装载密码、验证密码、读标签、写标签和停止。无论哪种操作都必须先把命令代码写入到命令寄存器中,比如执行验证密码则需要执行Write PWR(Reg Command,0x0c)命令。从操作流程上,可以把对标签的主要操作分为以下几项:寻标签、防冲突、选择标签、验证密码和读写操作,其流程图如图4所示。

2.3 应用软件模块的设计

2.3.1 接口通信原理

读写器与PC通信首先对YHY502进行初始化、接收上位计算机的指令、控制YHY502,并且把YHY502的状态信息反馈给计算机。此模块实为程序的主函数,把标签操作模块中的各命令写成子函数以供调用,标签操作模块执行图中相应命令过程,其流程图如图5所示。

因为要与计算机通讯,就需要SPI接口通讯协议,数据格式为:状态字+长度字+命令字+数据域+校验字,其中状态字为总线状态字,开始通信时发送一个状态字。表1和表2是状态字和命令字列表。

通讯方向:

以上只是计算机发出的命令及回答的一部分,其他的命令及回答的编写与此类似。

2.3.2 信息管理系统设计

本设计的信息管理系统用Visual C++来编写[4],以养殖信息管理系统中的生长信息为例介绍。其主框架为建立和管理数据库,可以管理和记录生猪的生长信息如图6所示。

再加入串口通信的模块,可以连接本设计所做的读写器,从标签中读出耳标号,再从数据库中查询即可查出该耳标号对应的猪肉产地等资料,在相应的栏中添加数据或更改数据,更新到数据库中,以备网络、短信等查询提供数据信息(若要实现农产品从产地到餐桌全过程的追溯,就要求供应和销售等商家信息共享,甚至通过互联网全球共享)。读取耳标号之前要进行串口配置,如图7所示。

3 终端查询系统设计

3.1 设计流程

终端查询全部应用程序采用Microsoft Visual Studio.NET2008面向对象编程技术以及C#语言开发,Web服务采用Windows IIS服务器和ASP.NET语言搭建[6]。对数据库更新采用了Web Service,XML文件包、Excel文件包等多种手段,以适应不同网络情况,达到方便、快捷和最优化使用。终端系统的整体设计流程如图8所示。

3.2 页面设计与结果

前台提供查询,布局为左右结构,点击左边的主题,在右边输入相应的查询关键字,查询结果显示在右边部分页面。后台管理,也设置为左右结构,左边包括了所有的管理模块。点击左边的模块,右边进入相应的管理页而。由于左边的管理模块内容多,设计为可以展开和收缩的类型。

管理页面主要是对数据库中的13张表进行添加、修改和删除等操作;但各张表内容不相同,页面设计的也不全相同。图9(a)为输入查询码即对数据库进行查询,结果便显示出来,如图9(b)所示。

4 结束语

基于RFID的生猪肉质量安全系统在生猪繁殖、饲养、疾病防治、繁育、饲养、疾病防治、屠宰分割、检验检疫和销售等整个猪肉安全生产的基础上,对猪肉生产每个环节信息详实地录入系统数据库,数据采集、录入分为养殖生产、屠宰加工和销售信息3个部分,每次数据的录入以猪的唯一耳标号为标识(销售管理时以零售代码为标识),形成承上启下的相互关系。消费者即可通过买到的猪肉的编号向上追溯到生猪的养殖、屠宰等信息;养殖场也可以通过猪的耳标号向下跟踪到猪的屠宰、销售信息,保证了消费者的合法权益,可以在最短的时间内找到出现问题的环节所在,给与及时的处理和解决。

参考文献

[1]夏守慧,林崇责.基于RFID技术的安全猪肉全程可追溯查询[J].电脑编程技巧与维护,2010(2):43-44.

[2]姜利红,晏绍庆.猪肉安全生产全程可追溯系统设计[J].食品工业科技,2008(6):265-268.

[3]文汉云,金升藻.基于RFID技术的动物识别与跟踪管理系统研究[J].计算机系统应用,2006(3):73-5.

[4]龚建伟,熊光明.Visual C++/Turbo C串口通信编程实践[M].北京:电子工业出版社,2004:16-45.

图书馆RFID安全隐私问题及对策 第7篇

和图书馆目前使用的条形码、磁条相比较, RFID具有批量读写、防水、防磁、耐高温、不易污损、环境适应能力强、可重复使用、存储数据量大等特点, 在图书馆中的使用日益广泛。但是由于RFID当初基于“系统开放”的设计理念, 目前常用的RFID系统计算能力有限, 没有有效的保护措施, 随着应用的加深和普及, RFID的安全问题日益凸显, 本文探讨了RFID技术的若干安全性问题, 介绍了现有的一些解决方法并作分析, 提出了用APF认证处理架构来加固RFID系统的安全。

RFID工作原理

对于在图书馆广泛使用的无源标签来说, 当其进入读写器的磁场范围后, 就会接收读写器发出的某一特定频率的射频信号, 通过感应偶合 (Inductive Coupling) 的方式从读写器获取能量将存储在芯片中的信息以电磁波的形式发送出去;读写器接收标签发出的信号并进行解码, 之后通过中间件ONS (Object Name Service) 送至应用软件系统 (图书馆自动化管理系统) 进行数据处理。此外, 部分阅读器具有读写功能, 能够将产品信息写入标签中, 同样是以射频信号的方式改变标签中存储的信息。

RFID使用中的安全隐患及隐私问题

RFID技术的应用提高了图书馆的工作效率和服务质量, 但是由于RFID的技术特点和“系统开放”的设计思想, 也使得图书馆RFID系统在安全及隐私方面都存在一些问题。

数据嗅探

通过监听读写器和电子标签之间的通信内容或者信号特性进而分析出通信内容就会产生数据被非法获取、电子标签被非法篡改等安全问题。数据窃听有以下方式。

欺骗、重放、克隆

欺骗攻击是指攻击者通常将自己伪造成为一个合法用户, 甚至是后端数据库管理员, 截获标签数据进行恶意修改并发送给读写器。

重放攻击是指攻击者通过截获标签与阅读器之间的认证信息, 然后在发送非法数据给读写器需要认证时就重复播放藉此欺骗读写器。

克隆攻击主要是指攻击者复制RFID标签内容形成标签副本。比如非法用户读取了合法用户的信息, 写入了一张新卡, 就能以合法用户的身份通过门禁系统或者进行其他非法违规操作等等。

中间人攻击

被动的RFID标签在收到读写器的查询指令后主动响应, 发送自身ID, 此时如果攻击者利用伪装读写器读取信息, 将信息处理后发送给阅读器就可以实现窃取。以色列的专家曾经构建了一个很简单的“扒手”系统, 可以悄无声息地盗用“受害人”的RFID卡进行消费。此种攻击具有成本低、效率高, 且与使用何种安全协议无关, 因此它是目前RFID安全面临的一大挑战。

RFID病毒

由于成本限制, RFID标签本身不具有对所存储的数据进行病毒或恶意代码检测的能力, 如果攻击者预先在标签中植入病毒或蠕虫代码, 这类标签被读写器读取后, 病毒或恶意代码就会侵入后台数据库, 给整个系统带来灾难。

另外通过能量分析以及物理手段都有可能造成数据的窃听或泄露问题, 从而导致文献的丢失和读者信息的泄露。

数据演绎

由于在图书馆使用的标签相对较廉价通常没有防破解机制, 容易被破解, 攻击者不仅能够通过上述数据嗅探方法突破标签的安全机制, 获取隐私信息, 还能使用推演算法对RFID系统发起两种更加复杂的攻击。一是从现有标签信息推测此标签以前存储过 (现在可能已经擦出) 的所有信息, 甚至破译出该标签曾经收发过的加密信息。二是对已获得的部分标签中的信息进行数据演绎, 进而推演出其他标签的信息, 最终获取整个图书馆的RFID的数据或者发起更广泛的攻击。

位置跟踪

非法读写器通过多种手段对图书中的电子标签进行跟踪, 从而窥取图书和读者的行踪路径, 进而推测读者的行为规律和喜好信息, 对读者隐私和安全造成威胁。随着技术的发展, 现在许多手机都具有读卡器的功能, 阅读器的移动性导致个人信息被无限制性的收集;携带阅读器的用户可以获取任何位置的标签信息。因此移动环境下的标签信息被恶意读取这个隐私问题日趋严重。

非法获取读者本人和阅读倾向等隐私信息

RFID读者卡或者包含读者借阅信息的电子标签如果被非法读写器读取, 就会造成读者和阅读倾向信息的泄露。

其他方法

攻击者用电子设备干扰或者机械拆除方法, 未经授权的破坏或屏蔽一个标签, 破坏标签的正常访问, 导致数据被无法读取, 在图书馆RFID系统的表现就是图书丢失。

安全的图书馆RFID系统设计要求

根据目前RFID系统在图书馆使用中暴露出的安全及隐私问题, 我们认为一个安全的RFID系统应具有机密性、完整性、可用性、真实性和隐私性。

机密性:现时的RFID系统, 读写器和标签之间的通讯一般是通过电磁波进行, 必须使用可靠的安全机制确保标签不会向未经授权的读写器泄漏任何敏感信息。

完整性:安全的RFID系统能够确保授权的读写器接收到的信息没有在通讯过程中被攻击者篡改或替换。

可用性:针对图书馆RFID系统需要成本低廉的标签要求, 安全设计不仅要符合通用协议的原则, 而且不使用过于复杂的算法或过度的硬件开销, 但必须在一定程度上保证标签信息的安全, 能有效抵制非法入侵者的恶意攻击。

真实性:具备完善的读写器和电子标签的相互身份认证模块, 通过双重的身份认证杜绝伪造电子标签在系统中的出现, 确保物品安全和用户隐私。

隐私性:系统能够有效防范对标签携带者隐私造成的威胁。尤其是防范在移动RFID环境下, 非法阅读器的拥有着通过数据分析获得标签携带者的位置或行踪等私人信息而带来的安全威胁。

RFID安全及隐私问题目前研究现状

针对RFID可能受到的安全及隐私攻击, 安全专家们从物理层和软件协议层方面都给出了很多措施。

物理层方面

从物理层方面应对RFID的安全攻击主要有Kill标签、法拉第网罩屏蔽标签、阻塞标签法以及夹子标签等。

采用Kill标签

使用Kill指令使标签无法产生调制信号激活射频场导致标签永久作废, 读写器无法使用kill指令后的标签进行读取, 用标签的“自灭”换取数据安全和个人隐私。但是Kill标签使用8bit密码机制, 恶意攻击者可以凭借高性能计算机暴力获取标签访问权;入侵者也可能杀死标签, 带来财产损失;另外标签执行kill指令销毁后无法再重新使用, 因此它不合适在图书馆RFID系统中使用。

使用法拉第网罩 (Faraday Cage) 屏蔽标签

用金属网罩或金属箔片包裹电子标签, 阻止标签被扫描, 这种方法需要添加一个额外的物理设备, 增加了成本, 不适合也不方便在图书馆使用。

阻塞标签法 (Blockers Tag)

Blockers Tag发出干扰信号, 阻止它保护范围内的读写器无法读取标签数据, 保护读者隐私。但是使用Blockers Tag会提高使用成本;其次Blockers Tag的滥用可能会导致拒绝服务攻击, 影响到正常标签的读写;再次, 超出Blockers Tag的保护范围的标签也无法得到保护, 因此Blockers Tag也不适用于图书馆RFID系统。

夹子标签

这是一种由IBM公司开发出来的标签技术, 使用该技术的电子标签存在一个能被去掉的RFID天线, 从而降低电子标签被读写的范围。和Kill标签类似, 它也不适用于图书馆。

软件协议层方面

不同于物理层面的方法技术, 从软件层面来实现安全功能是一种更为便捷和有效的机制手段, 目前提出的安全协议主要有Hash - Lock协议、Random Hash -Lock协议、Hash - Chain协议、分布式RFID询问-应答协议、数字图书馆RFID协议以及LCAP协议等等。

Hash - Lock协议

由Sarma等人提出的一种使用Meta ID来代替真实标签ID的协议。通过使用Meta ID来避免信息被窃取。但是协议中Meta ID没有刷新机制, 标签容易被跟踪;且Meta ID通过明文传递, 因此信息容易被泄露。

Random Hash - Lock协议

由Weis等人提出的。该协议使用随机数来实现应答机制, 但是双方的ID依然使用明文传递, 不能确保传递的安全性, 另外每次查询ID都需要读写器访问全部数据库ID列表, 双方之间的数据传输量大, 系统资源开销巨大, 因此该协议也不适用于图书馆RFID系统。

Hash - Chain协议

哈希链协议, 由NTT实验室提出, 是一种基于密钥共享的询问-应答模式的安全协议。在哈希链协议中, 标签ID主动更新, 避免了标签ID的定位隐私泄露, 由于Hash函数的单向性使得该协议能够抵抗重放攻击和标签伪装等安全威胁。但是哈希链协议也有不足之处, 首先, 为了降低标签成本, 哈希链协议降低了标签的存储空间和计算能力, 标签始终没有对读写器的合法性进行认证;其次, 哈希链协议非常容易受到假冒攻击。现在经过改进后哈希链协议安全性提高了很多, 但是却带来了巨量的查询。

数字图书馆RFID协议

该协议由David等人提出, 使用预先共享的伪随机数生成函数来实现认证, 是一种安全有效的协议, 但是该协议的实现需要预先在电子标签中设置随机数生成和安全伪随机数等一系列电子模块, 使得电子标签的造价十分昂贵, 因此不适用于成本低廉的RFID标签系统。

上述各类安全协议, 到目前为止, 无论是基于物理方法还是采用基于密钥技术, 我们发现很难找到一个合适图书馆使用的既能兼顾系统安全又能兼顾成本的安全方案。采用物理防范技术的标签中KILL标签和夹子标签无法重复使用, 高成本的法拉第笼标签和阻塞标签也不能满足图书馆使用要求;采用单密钥的哈希链协议安全性较低, 而采用双向认证机制的Hash - Chain协议, 提供较高的安全性, 但是结构复杂, 不适合图书馆大规模应用及低成本的需要;数字图书馆协议亦是如此。

APF架构, 为RFID的安全加一个砝码

在RFID系统架构中使用一个认证处理框架 (Authentication processing framework, 简称APF) 来避免未经认证的阅读器读取或更改标签上的数据, 从而解决RFID系统的隐私泄露的隐患。。APF强制阅读器在APF数据库中获得认证后, 才能访问同样在数据库中注册过的标签。另外, 此框架还具备程序性访问控制, 杜绝非法访问标签上的内存段。

APF的工作机制

RFID系统一般是电子标签和读写器之间直接利用射频信号进行数据通讯, 而APF框架通过在APF和读写器及标签之间设置一个双向认证系统来避免未经授权的读写器读取或更改标签数据以及非法标签进入系统, 从而解决RFID系统中的安全问题及隐私泄露隐患。

在APF框架中, 读写器以及标签的内存段都会在APF数据库中进行注册认证, 获得一个唯一的ID, 标签的内存段还会额外取得一个访问密钥, 读写器读取数据时, APF首先根据读写器的ID来认证其合法性, 然后释放给读写器一个解密密钥, 读写器此时才能读取标签上的加密数据。只有经过注册认证的读写器才能读写标签数据, 未经认证或者没有解密密钥的读卡器均无法访问标签。

APF的安全性分析

APF是双向认证架构, 同时认证读写器和标签, 对非法读写器进行读取限制, 确认标签的合法性, 规避非法读卡器和非法标签给RFID系统带来的危害。

APF架构能够确保数据安全, 防止隐私泄露。一般RFID采用无线射频进行通信, 数据被窃取容易发生在读写器和标签之间, 在APF架构中, 在读写器和标签之间传输的数据是经过加密的, 只有通过APF的解密密钥才能解码, 因此即便有未经APF认证的读写器能够读取到标签数据, 但是没有解密密钥, 也不容易获取标签内存数据。

不可否认, 采用APF框架的RFID系统还是存在安全风险, 首先是APF数据库的安全, 这个是属于计算机和网络安全研究的内容, 我们这里默认它是安全的, 其实安全问题是存在的;其次是标签内容字段中的密码安全, 由于低成本标签的内存容量及计算能力的限制, 密码不可能过于复杂, 通过暴力破解, 密码还是有可能被破获。

APF框架在不增加现有硬件成本的情况下, 能够避免非法读写器和非法标签侵入RFID系统, 保证了数据传送的安全, 避免了标签内容的隐私泄露, 目前来看, APF框架能为RFID系统的安全增加一个砝码。当然, 针对RFID系统的威胁与攻击层出不穷, 随着RFID应用的推广, 新技术的涌现, 新的攻击手段也会出现。即便采用的方案目前是比较安全的, 但随着时间的推移就会遇到新的挑战, 出现新的安全问题, 因此对RFID系统安全研究任重而道远, 且用且提高。

RFID的应用让图书馆在互联网+ 时代焕发了新的活力, 同时也带来了一些安全隐患, 在低成本的约束下, 如何平衡安全、隐私和系统可用性, 是所有使用RFID系统的图书馆都必须要考虑的问题。

RFID系统安全问题 第8篇

关键词：物联网,射频识别技术,校车安全,智能监控

1 引言

校车是用于运送学生往返学校的交通工具, 与学生的安全息息相关。近年来, 国内校车的安全事故频发, 如校车坠江重大事故、幼儿遗忘在校车被闷死事故等, 校车安全事故造成的学生重大伤亡事件给家庭和社会带来了巨大的不良影响。校车事故频发, 引发了社会各界对“校车安全”的广泛关注。

通过对近年来的校车事故分析发现, 我国校车事故发生的原因主要有两点:一是对校车缺乏有效的监管, 导致超载超速及违章行驶事件频繁发生;二是缺乏有效的技术手段对校车的运行安全进行监控, 从而造成事故的发生。2012年4月5日, 国务院正式发布《校车安全管理条例》, 该条例对校车的安全管理做出了具体规定, 也让社会对校车的安全状况有了更好的期待。然而规则制度属于“软约束”, 人执行时容易违背。而在科技飞跃发展的今天, 还应采用先进的技术手段等“硬约束”为校车的安全管理提供强有力的保障。

本文介绍的基于射频识别和物联网技术的校车安全监管系统架构, 就是基于这种“硬约束”的一种技术手段。

2 射频识别技术概述

2.1 概述

射频识别 (RFID, Radio Frequency Identification) 又称电子标签、无线射频识别, 是一种新型的通信技术, 即通过无线射频信号来识别特定目标的信息并可对其读取和写入数据, 而在读取与写入数据的过程中都是通过无线射频信号来实现, 无需机械或光学连接。其基本的工作原理是利用无线射频信号在空间中耦合传输的特性, 从而实现目标被自动识别的目的, 其工作原理如图1所示。

RFID无线射频应用系统的组成主要包括电子标签 (Tag) 、天线 (Antenna) 、读写器 (Reader) 等。其中, 由电磁耦合元件及内置芯片组成电子标签, 每个对应的电子标签都具有唯一指定的编码, 以标识和区别对应的目标对象。天线是用来传输目标物体上的电子标签和读写器之间的无线射频信号, 其通过无线射频信号的耦合特性能实现阅读器与一个或多个电子标签同时进行通信而不至于发生错误。电子标签中的内置信息是通过读写器来读取或写入, 有的阅读器需要外置天线, 也可以内置天线, 一般一个读写器可与两个或多个天线连接以实现快速读写数据。

2.2 工作原理

电子标签安装在需要被识别的目标对象上, 当电子标签进入无线射频读写器的工作范围时, 读写器与电子标签之间通过无线射频信号建立通信链路, 电子标签收到来自阅读器天线发射出来的无线射频信号, 电子标签内的线圈会产生感应电流获得的能量, 从而可以发送出存储在电子标签芯片中的识别码等数据信息, 读写器在接收到电子标签发送过来的数据信息后并对其这些信息进行解码并转换为标准的数据格式, 然后这些数据通过串口或网口传送至后台计算机系统进行处理, 从而可以完成整个信息的处理。射频识别技术工作原理如图2所示。

3 校车安全监管系统架构方案

3.1 物联网架构

3.1.1 物联网概念

物联网 (The Internet of Things, IOT) 技术是指将所有物体通过射频识别 (RFID) 技术、红外线感应技术以及全球定位系统 (GPS) 等信息传感设备, 以约定的通信协议, 通过互联网技术相互联系起来, 从而可以实现对所有物体的智能识别、跟踪、定位、监控和管理的新一代信息网络。也就是说, 物联网技术是通过各类传感器和现有的互联网相互衔接的一个新技术。在这个网络中物品之间能够进行交流, 无须人为干预传递信息。

3.1.2 物联网架构

物联网架构包含三个功能层级, 即感知层、传输层、处理层, 各类应用都是基于这个架构构建的。物联网架构如图3所示。

第一层:感知层。以无线射频技术、传感器技术为基础, 主要负责物体的标识以及信息的采集功能, 感知层是物联网三层构架中的核心层。

第二层:传输层。以现有的移动通信网络为基础, 利用互联网络、通信网以及各种接入网和专用网, 实现数据的传输与计算, 是进行信息交换、传递的数据通路。

第三层:处理层。以计算机、手机等终端设备为基础, 主要承担对感知信息的处理和控制功能, 完成生产和社会层面决策的应用。

本文所构建的校车安全监管系统就是依据此构架设计的。

3.2 系统总体架构

校车安全监管系统主要由车载监控装置、无线移动网络和GPS、监控平台三大部分组成, 分别对应于物联网的三层架构, 即感知层、传输层和处理层。校车安全监管系统总体架构如图4所示。

3.2.1 感知层

感知层主要包括RFID读写器、RFID电子标签、车载GPS、视频与音频监控设备等。在校车上安装车载GPS定位系统, 就可以实时获取校车的位置和速度等信息, 同时乘坐校车的学生持有RFID电子标签, RFID读写器安装在校车车门处。

(1) RFID无线射频装置:包括RFID无线射频读写器以及RFID无线射频电子标签。电子标签在校车监控系统中用于学生的身份识别、使用权限的配置、持卡人信息的读取等, 电子标签根据使用者身份分为学生电子标签、学生家长电子标签、校车教员电子标签和校车司机电子标签等四类。RFID无线射频读写器能够通过学生上下车时随身携带的的电子标签获取上下校车学生的基本信息;也可以获取校车司机以及和随车老师的身份信息。学生家长在接送学生的时候, RFID读写器可以获取家长携带的RFID电子识别标签中的信息, 然后通过语音播报等方式让司机、随车老师核对学生家长信息, 从而防止学生被人错领或者冒领。通过RFID读取器获取的信息, 校车内的实际学生人数通过显示屏显示出来, 这样可以防止发生个别学生被遗留在校车内的情况。

(2) 车载GPS:车载GPS可以把校车运行的空间位置信息及运行速度实时提供给校车监控平台, 并通过无线网络传送到后台监控管理平台进行运算与处理。

(3) 视音监控装置:在校车内各关键位置上安装多个摄像头和拾音器, 通过摄像头和拾音器来获取校车内视音频信息的采集、处理和存储, 并可以利用无线通信网络将视音频信息传输到校车安全监控管理平台。

3.2.2 传输层

传输层主要通过GPS卫星、无线通信网络及互联网, GPS卫星为车载GPS定位, 提供位置信息服务, 无线通信网络可以将校车监控终端中的所需要的数据信息传送给校车安全监控管理平台。

GPS定位系统的主要功能是提供实时获取校车运行的空间位置和速度信息, 并把这些信息传送给后台监控系统进行运算和处理。无线移动通信网络可以是GPRS网络也可以是最新的3G通信网络, 其传输容量大, 同时结合现有的GPS和GIS技术, 可以在后台监控管理系统中实现校车运行地理位置信息的获取、存储、查询、分析以及实时显示, 从而可以对校车进行实时远程监控。

3.2.3 处理层

处理层主要是校车安全监控管理平台, 利用该管理监控平台可以利用校车监控装置传送过来的数据信息来实现对校车的运行状态的实时监控, 并通过传输相关消息或警告信息给管理人员对校车进行监管。

校车安全监控管理平台是利用互联网络或无线移动通信网络, 监测和控制有关现场设备, 把监测数据存入数据库, 并根据数据库存储的人员和车辆信息制定合理的控制决策。

处理层主要完成以下三项功能。

(1) 监控违章。一是利用车载GPS和校车安全监控管理平台, 实时监控校车的运行速度和运行线路, 当校车在行驶过程中出现设定的速度时或者偏离规定的校车行驶线路的情况下, 安全监控管理平台可以及时发出警告信息。二是通过学生携带的RFID电子标签, 校车监控装置通过读取的电子标签的信息, 确认上下车学生的身份和人数, 当上车人员超过校车的核定允许的人数时, 校车监控管理平台会及时发出警告并反馈到监管机构。学生下车时通过通过RFID读取器获取的信息, 校车内的实际学生人数通过显示屏显示出来, 这样可以防止发生个别学生被遗留在校车内的情况。

(2) 甄别人员。通过校车司机与随车工作人员随身携带的电子标签, 校车监控装置可以实时获取校车的人员信息, 用以确认校车司机及随车工作人员的身份, 同时通过这些信息可以确定工作人员是否及时到位, 从而可以实现电子考勤和日后的绩效评估。

(3) 报送信息。主要有学生家长信息报送机制、学校领导信息报送机制和管理部门信息报送机制三种。家长信息报送主要是报送驾驶员和护送人员的基本信息、学生上下车信息和进出校园信息以及危机情况下的信息报送。学校领导信息报送包括驾驶员和护送人员的基本信息和上岗时间、每日第一节课之前入校学生人数以及危机情况下的信息报送。管理部门信息报送主要是进行危机情况下的信息报送, 例如校车驾驶员和护送人员上岗缺失或者人员不符、校车超载超员运送学生、校车行驶违章超速等。

4 结束语

射频识别 (RFID) 技术和物联网技术在交通运输、公共交通以及校车运营相近的领域有成熟的应用经验, 因此基于RFID/物联网技术的校车安全管理系统的开发应用具有现实意义和可行性。本文介绍了射频识别技术和物联网技术, 论述了基于RFID/物联网技术的校车安全管理系统的架构方案, 该架构基本实现了校车定位、身份识别、人员清点、违章监控、信息报送等功能。

参考文献

[1]赵晓军, 申军涛, 温丁一, 等.基于RFID/GPRS校车远程监控系统的研究[J].电视技术, 2014, 38 (1) :160-163.

[2]周庆飞, 李窍盛, 张琪, 等.基于RFID技术的智能交通监管系统的架构[J].交通标准化, 2011, z (2) :84-87.

[3]曾庆勇.基于物联网技术的校车安全管理系统[J].计算机系统应用, 2012, 21 (8) :35-38.