1前言
根據國際電信聯(lián)盟的定義,,物聯(lián)網主要解決物品到物品,人到物品,,人到人之間的互聯(lián)問題,。目前,物聯(lián)網(IoT:theInternetofThings)成為學術界和工業(yè)界關注的熱點,,被稱為繼計算機,、互聯(lián)網之后,世界信息產業(yè)的第三次浪潮,。物聯(lián)網被認為是互聯(lián)網在物理世界的延伸,,它通過各種信息傳感設備,如RFID(RadioFrequencyIDentification),、紅外感應器,、全球定位系統(tǒng),、激光掃描器等種種裝置與互聯(lián)網相結合[2],其目的是讓所有的物品都與網絡連接成為一個整體,,系統(tǒng)可以自動地,、實時地對物體進行識別、定位,、追蹤、監(jiān)控并觸發(fā)相應事件,。
基于RFID的物聯(lián)網是指將現(xiàn)實世界中所有物品通無線射頻識別等傳感設備與互聯(lián)網連接起來,,實現(xiàn)對這些物品的智能化識別和管理。RFID是實現(xiàn)物聯(lián)網的核心技術,,因其特有的低成本和高可靠等優(yōu)點而被視為21世紀最重要,、最有發(fā)展前途的信息技術之一。隨著國內外RFID技術的不斷發(fā)展,,RFID憑借其獨特的優(yōu)勢已經逐漸在物品標識,、電子票證、商品防偽,、身份識別,、資產管理等各個領域獲得了廣泛應用。
基于RFID的物聯(lián)網技術不斷的發(fā)展和基于RFID的物聯(lián)網系統(tǒng)的廣泛應用,,也為系統(tǒng)的運營者和使用者帶來了復雜的安全問題,。當前由于對基于RFID的物聯(lián)網系統(tǒng)定義不明確,威脅模型不清晰,,因而很難對基于RFID的物聯(lián)網安全需求進行全面的分析,。本文試圖建立基于RFID的物聯(lián)網系統(tǒng)抽象模型,并建立相應的威脅模型,,最終根據信息安全的最基本的四個維度(機密性,、完整性、可用性,、可審計性)給出基于RFID的物聯(lián)網系統(tǒng)的安全需求,。
本文將通過研究基于RFID的物聯(lián)網的系統(tǒng)結構,分析其潛在的安全威脅,,提出相應的安全需求,。第二節(jié)介紹物聯(lián)網安全的研究現(xiàn)狀;第三節(jié)介紹基于RFID的物聯(lián)網體系結構,;第四節(jié)闡述基于RFID的物聯(lián)網系統(tǒng)潛在的威脅和攻擊,;第五節(jié)針對第四節(jié)所描述的各種安全問題提出基于RFID物聯(lián)網系統(tǒng)的安全需求;最后總結并展望全文,。
2相關研究
目前,,基于RFID的物聯(lián)網的安全性問題得到了廣泛的關注,,研究內容主要集中在以下兩個方面:RFID系統(tǒng)本身的安全問題以及RFID相關信息在傳統(tǒng)互聯(lián)網中的安全問題。
RFID系統(tǒng)本身包括標簽,、讀寫器以及標簽與讀寫器之間的射頻通信信道,。RFID系統(tǒng)容易遭受各種主動和被動攻擊的威脅:Mitrokotsa等人從物理層、網絡傳輸層,、應用層,、策略層四個層次分析了RFID系統(tǒng)的攻擊和威脅,并總結了相應的解決方法,。Juels[3]認為RFID系統(tǒng)本身的安全問題可歸納為隱私和認證兩個方面:在隱私方面主要是可追蹤性問題,,即如何防止攻擊者對RFID標簽進行任何形式的跟蹤;在認證方面主要是要確保只有合法的閱讀器才能夠與標簽進行交互通信,。當前,,保障RFID系統(tǒng)本身安全的方法主要有三大類:物理方法(Kill命令,靜電屏蔽,,主動干擾以及BlockerTag方法等),,安全協(xié)議(哈希鎖,哈希鏈,,挑戰(zhàn)響應機制,,重加密機制等),以及上述方法的結合,。
由于RFID相關信息跟業(yè)務層的用戶隱私,、商業(yè)機密相關,因此RFID相關信息在互聯(lián)網中的安全傳輸和存儲問題也值得研究和探討,。與傳統(tǒng)互聯(lián)網中的安全傳輸問題一致,可采用VPN(VirtualPrivateNetworks),TLS(TransportLayerSecurity)等安全技術來保障RFID相關信息在互聯(lián)網中的機密性和完整性,。
3基于RFID的物聯(lián)網系統(tǒng)
基于RFID的物聯(lián)網系統(tǒng)從物理世界和邏輯空間兩個層面進行分析,。物聯(lián)網系統(tǒng)的物理世界由無數的商品、無線傳感設備等組成,;在邏輯空間上,,基于RFID的物聯(lián)網系統(tǒng)一般由標簽層、射頻通信層,、讀寫器層,、互聯(lián)網層和應用系統(tǒng)層構成。
圖1基于RFID的物聯(lián)網系統(tǒng)
圖1顯示了定義1中基于RFID的物聯(lián)網各個分量的內容及其相互關系,,具體描述如下:物理世界:物理世界是由各種實實在在的物體構成的,,包括物品、計算機,、無線傳感器等,,在物聯(lián)網中,,這些物體都是物理上充分互聯(lián)的。
標簽層:標簽層由RFID標簽和物品組成,,RFID標簽類似物品包裝上的條形碼,,記載貨物的信息,它一般是粘貼在物品上或者嵌在物品里面,。根據其能量來源,,RFID標簽可分為被動式,半被動式和主動式三大類,。
射頻通信層:RFID是一種非接觸式的自動識別技術,,它通過射頻信號自動識別目標對象并獲取相關數據信息。讀寫器通過發(fā)射天線發(fā)送一定頻率的射頻信號,,當標簽進入發(fā)射天線工作區(qū)域時產生感應電流,標簽內的芯片獲得能量被激活,;標簽將自身編碼等信息通過其內置的發(fā)送天線發(fā)送出去,;系統(tǒng)接收天線接收到從標簽發(fā)送來的載波信號,經天線調節(jié)器傳送到讀寫器,。
讀寫器層:RFID讀寫器,,實際上是一個帶有天線的無線發(fā)射與接收設備,它對RFID標簽進行讀/寫操作的設備,,主要包括射頻模塊和數字信號處理單元兩部分,,具有較大的計算能力和存儲空間。讀寫器對從標簽層接收到的射頻信號進行解調和解碼,,然后通過互聯(lián)網發(fā)送到應用系統(tǒng)進行相關處理,。互聯(lián)網層:在基于RFID的物聯(lián)網系統(tǒng)中,,標簽層與讀寫器層之間是通過射頻信號進行通信的,,而讀寫器層與應用系統(tǒng)層之間是通過互聯(lián)網進行通信的。
應用系統(tǒng)層:應用系統(tǒng)用于實現(xiàn)對RFID標識物的有序管理,,主要應用于物品識別,、電子票證、商品防偽,、身份識別,、資產管理等領域。應用系統(tǒng)通常包括了后臺數據庫系統(tǒng),,它可以是運行于任何硬件平臺的數據庫系統(tǒng),,可由用戶根據實際需要自行選擇,通常假設其計算能力和存儲能力強大,,數據庫中存儲著RFID標簽相關的信息,。
4基于RFID的物聯(lián)網安全威脅
隨著RFID技術的快速推廣應用,其數據安全問題在某些領域甚至已經超出了原有計算機信息系統(tǒng)的安全邊界,,成為一個廣為關注的問題,。主要原因如下:
(1)標簽計算能力弱:RFID標簽在計算能力和功耗方面具有特有的局限性[7],RFID標簽的存儲空間極其有限,,如最便宜的標簽只有64-128位的ROM,僅可容納惟一的標識符,。由于標簽本身的成本所限,,標簽自身較難具備足夠的安全能力,極容易被攻擊者操控,,惡意用戶可能利用合法的閱讀器或者自行構造一個閱讀器,,直接與標簽進行通信,讀取,、篡改甚至刪除標簽內所存儲的數據。在沒有足夠可信任的安全機制的保護下,,標簽的安全性,、有效性,、完整性,、可用性、真實性都得不到保障,。
(2)無線網絡的脆弱性:標簽層和讀寫器層采用無線射頻信號進行通信,,在通信的過程中沒有任何物理或者可見的接觸(通過電磁波的形式進行),,而無線網絡固有的脆弱性使RFID系統(tǒng)很容易受到各種形式的攻擊,。這在給應用系統(tǒng)數據采集提供靈活性和方便性的同時也使傳遞的信息暴露于大庭廣眾之下。
(3)業(yè)務應用的隱私安全:在傳統(tǒng)的網絡中,網絡層的安全和業(yè)務層的安全是相互獨立的,而物聯(lián)網中網絡連接和業(yè)務使用是緊密結合的,,物聯(lián)網中傳輸信息的安全性和隱私性問題也成為了制約物聯(lián)網進一步發(fā)展的重要因素。
根據RFID的物聯(lián)網系統(tǒng)結構,,我們把物聯(lián)網的威脅和攻擊分為兩類(見表1):一類是針對物聯(lián)網系統(tǒng)中實體的威脅,,主要是針對標簽層、讀寫器層和應用系統(tǒng)層的攻擊,;一類是針對物聯(lián)網中通信過程的威脅,,包括射頻通信層以及互聯(lián)網層的通信威脅。
這類攻擊與傳統(tǒng)意義上的互聯(lián)網中的攻擊基本一致,可以用現(xiàn)有成熟的安全技術和密碼機制來解決,,此處不作詳細解釋,。
5基于RFID的物聯(lián)網安全需求
基于以上對安全威脅的分析,我們確定基于RFID的物聯(lián)網中需要保護的對象有標簽,、讀寫器,、應用系統(tǒng),以及射頻通信層,、互聯(lián)網層的通信,。因此,我們認為構建一個安全的物聯(lián)網系統(tǒng)還必須從信息安全的四大基本要求(機密性,、可用性,、完整性、可審計性)出發(fā),,來綜合考慮物聯(lián)網系統(tǒng)中的實體安全和通信安全,。
5.1標簽層
標簽中的被保護數據包括四種類型:
(1)標簽標識;
(2)用于認證和控制標簽內數據訪問的密鑰,;
(3)標簽內的業(yè)務數據,;
(4)標簽的執(zhí)行代碼。
機密性:是指標簽內的數據不能被未授權的用戶所訪問,。特別是標簽標識,由于其相對固定并與物理世界中的物體,,包括人,,發(fā)生緊密關聯(lián),因此標簽標識的機密性作為隱私問題而被特別關注,。在保護標簽機密性的時候,,除了傳統(tǒng)安全領域的安全策略以外,在實現(xiàn)時又需要考慮標簽的低成本,、低性能特性,。換句話說,由于標簽往往非常小而且成本低廉,,因此其計算能力非常重要,在考慮引入傳統(tǒng)的加密機制,、認證機制和訪問控制的時候,,必須充分考慮其實現(xiàn)時的計算能力問題。
完整性:是指標簽內的數據不能被未授權的用戶所修改,。這里完整性主要用于保護標簽內的業(yè)務數據不受惡意用戶修改,,因為這些數據往往包括著大量業(yè)務相關的信息。尤其是當標簽用于金融支付系統(tǒng)中,這些數據往往有著直接的經濟意義,。而標簽標識,、標簽內的密鑰、標簽的執(zhí)行代碼的完整性保護由于可以采用一些常規(guī)硬件保護措施實現(xiàn)而沒有被重點研究,。
可用性:是指標簽內的數據和功能可以進行正常讀取和響應,。標簽或粘貼在物品的表面或嵌在物品里面,粘貼在物品上的標簽和標簽的芯片很容易被毀壞,。此外,,EPCglobal規(guī)定標簽中的KILL命令[20]可以刪除標簽里部分或者全部數據使之永久失效,KILL命令是為了隱私的目的而制定的,,攻擊者可以利用這一命令毀壞標簽,,甚至永久毀壞標簽。所以要保證標簽的可用性,,使之能夠正常響應閱讀器的請求,。
可審計性:是指對標簽的任何讀寫操作都能被審計追蹤,保障標簽的可審計性,。
5.2讀寫器層
讀寫器中被保護的數據包括三種類型:(1)與標簽進行相互認證的密鑰,;(2)與標簽相關的數據;(3)讀寫器的執(zhí)行代碼,。
機密性:是指讀寫器內的數據只能被授權用戶訪問,。尤其是與標簽進行相互認證的密鑰,密鑰信息一旦泄露,,攻擊者很可能假冒讀寫器與標簽進行通信,,因此必須保證讀寫器內密鑰的機密性。與標簽不同的是,,讀寫器不需要嚴格考慮成本,、性能問題,因此可以通過傳統(tǒng)的加密機制來保護其機密性,。
完整性:是指讀寫器內的數據只能被授權用戶修改,。尤其要保護與標簽相關的信息不被攻擊者修改,因為這些信息往往與業(yè)務相關,。
可用性:是指讀寫器可以正常發(fā)送請求并響應標簽的回復,。攻擊者可能利用或毀壞讀寫器,因此需要保障讀寫器的可用性,。
可審計性:是指讀寫器對標簽的任何操作,,包括讀與寫都可以被監(jiān)測、追蹤和審計,。
5.3應用系統(tǒng)層
應用系統(tǒng)中與RFID相關的被保護數據包括三種類型:
(1)與標簽相關的數據,;
(2)與用戶相關的數據;
(3)與業(yè)務應用相關的數據(如購物記錄、銀行交易等),;
(4)代碼,。
機密性:是指應用系統(tǒng)中的數據不能被非授權用戶訪問。特別是與標簽相關和與用戶相關的信息,,這些信息往往牽涉到用戶的隱私[8],,一般存在后臺數據庫中,一旦被攻擊者獲取,,使用者的隱私權將無法得到保障,。另外,還必須保障與業(yè)務應用相關的數據的機密性,,因為攻擊者很可能通過分析這些數據來跟蹤用戶的行蹤,、甚至分析用戶的消費習慣。
完整性:是指應用系統(tǒng)中的數據不能被非授權用戶修改,。尤其是與用戶相關的數據和業(yè)務應用數據,,一旦被攻擊者修改,可能造成很大的經濟損失,。
可用性:是指保證應用系統(tǒng)正常運轉,,滿足用戶的需求。
可審計性:是指保證應用可被監(jiān)測,、追蹤和審計,。
5.4射頻通信層
射頻通信層被保護的對象包括:(1)通信數據;(2)通信信道,。
機密性:是指保護射頻通信層通信數據的機密性,。射頻通信層是通過無線射頻信號進行通信,攻擊者可以通過采用竊聽技術,,分析微處理器正常工作過程中產生的各種電磁特征,來獲得標簽和讀寫器之間或其他RFID通信設備之間的通信數據,。而且,,由于從讀寫器到標簽的前向信道具有較大的覆蓋范圍,因而它比從標簽到讀寫器的后向信道更不安全,。所以,,射頻通信層的通信數據的機密性顯得尤為重要。
完整性:是指保護射頻通信層通信數據不能夠被非授權修改,。攻擊者可利用射頻通信層無線網絡固有的脆弱性來篡改或重放消息,,來破壞讀寫器與標簽之間的正常通信,因此需要采取加密,、哈?;駽RC校驗碼等方式來保證通信數據的完整性。
可用性:是指保護通信信道能正常通信。射頻信號很容易受到干擾,,惡意攻擊者可能通過干擾廣播,、阻塞信道等方法來破壞射頻通信信道,因此需要保障射頻通信層的可用性,。
5.5互聯(lián)網層
互聯(lián)網層在機密性,、完整性和可用性方面的需求與傳統(tǒng)互聯(lián)網的需求基本一致,此處不再贅述,。
6結論與展望
本文提出了基于RFID的物聯(lián)網的抽象模型,,并對進行了威脅建模,最后基于抽象模型和威脅模型,,從信息安全的四個維度給出了基于RFID的物聯(lián)網的安全需求,。
目前,安全問題已經成為了阻礙基于RFID的物聯(lián)網進一步發(fā)展的重要因素,,如果其安全性不能得到充分保證,,那么物聯(lián)網系統(tǒng)中的個人信息、商業(yè)機密和軍事秘密,,都可能被人盜竊或被不法分子利用,,這必將嚴重影響經濟安全、軍事安全和國家安全,。但物聯(lián)網系統(tǒng)龐大復雜,,涉及到嵌入式系統(tǒng)、網絡系統(tǒng),、控制系統(tǒng),、軟件系統(tǒng)、安全系統(tǒng)等多種技術體系,,相信經過長期,、深入、持續(xù)的研究,,因此,,本文安全需求的提出可以給現(xiàn)有的基于RFID的物聯(lián)網的發(fā)展在安全保障方便提供一定的借鑒意義。在接下去的研究中,,我們將探索如何應用相關的技術和管理手段,,為基于RFID的物聯(lián)網系統(tǒng)設計一種完善的安全保障框架。