1前言
根據(jù)國(guó)際電信聯(lián)盟的定義,物聯(lián)網(wǎng)主要解決物品到物品,人到物品,人到人之間的互聯(lián)問(wèn)題。目前,物聯(lián)網(wǎng)(IoT:theInternetofThings)成為學(xué)術(shù)界和工業(yè)界關(guān)注的熱點(diǎn),被稱(chēng)為繼計(jì)算機(jī)、互聯(lián)網(wǎng)之后,世界信息產(chǎn)業(yè)的第三次浪潮。物聯(lián)網(wǎng)被認(rèn)為是互聯(lián)網(wǎng)在物理世界的延伸,它通過(guò)各種信息傳感設(shè)備,如RFID(RadioFrequencyIDentification)、紅外感應(yīng)器、全球定位系統(tǒng)、激光掃描器等種種裝置與互聯(lián)網(wǎng)相結(jié)合[2],其目的是讓所有的物品都與網(wǎng)絡(luò)連接成為一個(gè)整體,系統(tǒng)可以自動(dòng)地、實(shí)時(shí)地對(duì)物體進(jìn)行識(shí)別、定位、追蹤、監(jiān)控并觸發(fā)相應(yīng)事件。
基于RFID的物聯(lián)網(wǎng)是指將現(xiàn)實(shí)世界中所有物品通無(wú)線射頻識(shí)別等傳感設(shè)備與互聯(lián)網(wǎng)連接起來(lái),實(shí)現(xiàn)對(duì)這些物品的智能化識(shí)別和管理。RFID是實(shí)現(xiàn)物聯(lián)網(wǎng)的核心技術(shù),因其特有的低成本和高可靠等優(yōu)點(diǎn)而被視為21世紀(jì)最重要、最有發(fā)展前途的信息技術(shù)之一。隨著國(guó)內(nèi)外RFID技術(shù)的不斷發(fā)展,RFID憑借其獨(dú)特的優(yōu)勢(shì)已經(jīng)逐漸在物品標(biāo)識(shí)、電子票證、商品防偽、身份識(shí)別、資產(chǎn)管理等各個(gè)領(lǐng)域獲得了廣泛應(yīng)用。
基于RFID的物聯(lián)網(wǎng)技術(shù)不斷的發(fā)展和基于RFID的物聯(lián)網(wǎng)系統(tǒng)的廣泛應(yīng)用,也為系統(tǒng)的運(yùn)營(yíng)者和使用者帶來(lái)了復(fù)雜的安全問(wèn)題。當(dāng)前由于對(duì)基于RFID的物聯(lián)網(wǎng)系統(tǒng)定義不明確,威脅模型不清晰,因而很難對(duì)基于RFID的物聯(lián)網(wǎng)安全需求進(jìn)行全面的分析。本文試圖建立基于RFID的物聯(lián)網(wǎng)系統(tǒng)抽象模型,并建立相應(yīng)的威脅模型,最終根據(jù)信息安全的最基本的四個(gè)維度(機(jī)密性、完整性、可用性、可審計(jì)性)給出基于RFID的物聯(lián)網(wǎng)系統(tǒng)的安全需求。
本文將通過(guò)研究基于RFID的物聯(lián)網(wǎng)的系統(tǒng)結(jié)構(gòu),分析其潛在的安全威脅,提出相應(yīng)的安全需求。第二節(jié)介紹物聯(lián)網(wǎng)安全的研究現(xiàn)狀;第三節(jié)介紹基于RFID的物聯(lián)網(wǎng)體系結(jié)構(gòu);第四節(jié)闡述基于RFID的物聯(lián)網(wǎng)系統(tǒng)潛在的威脅和攻擊;第五節(jié)針對(duì)第四節(jié)所描述的各種安全問(wèn)題提出基于RFID物聯(lián)網(wǎng)系統(tǒng)的安全需求;最后總結(jié)并展望全文。
2相關(guān)研究
目前,基于RFID的物聯(lián)網(wǎng)的安全性問(wèn)題得到了廣泛的關(guān)注,研究?jī)?nèi)容主要集中在以下兩個(gè)方面:RFID系統(tǒng)本身的安全問(wèn)題以及RFID相關(guān)信息在傳統(tǒng)互聯(lián)網(wǎng)中的安全問(wèn)題。
RFID系統(tǒng)本身包括標(biāo)簽、讀寫(xiě)器以及標(biāo)簽與讀寫(xiě)器之間的射頻通信信道。RFID系統(tǒng)容易遭受各種主動(dòng)和被動(dòng)攻擊的威脅:Mitrokotsa等人從物理層、網(wǎng)絡(luò)傳輸層、應(yīng)用層、策略層四個(gè)層次分析了RFID系統(tǒng)的攻擊和威脅,并總結(jié)了相應(yīng)的解決方法。Juels[3]認(rèn)為RFID系統(tǒng)本身的安全問(wèn)題可歸納為隱私和認(rèn)證兩個(gè)方面:在隱私方面主要是可追蹤性問(wèn)題,即如何防止攻擊者對(duì)RFID標(biāo)簽進(jìn)行任何形式的跟蹤;在認(rèn)證方面主要是要確保只有合法的閱讀器才能夠與標(biāo)簽進(jìn)行交互通信。當(dāng)前,保障RFID系統(tǒng)本身安全的方法主要有三大類(lèi):物理方法(Kill命令,靜電屏蔽,主動(dòng)干擾以及BlockerTag方法等),安全協(xié)議(哈希鎖,哈希鏈,挑戰(zhàn)響應(yīng)機(jī)制,重加密機(jī)制等),以及上述方法的結(jié)合。
由于RFID相關(guān)信息跟業(yè)務(wù)層的用戶隱私、商業(yè)機(jī)密相關(guān),因此RFID相關(guān)信息在互聯(lián)網(wǎng)中的安全傳輸和存儲(chǔ)問(wèn)題也值得研究和探討。與傳統(tǒng)互聯(lián)網(wǎng)中的安全傳輸問(wèn)題一致,可采用VPN(VirtualPrivateNetworks),TLS(TransportLayerSecurity)等安全技術(shù)來(lái)保障RFID相關(guān)信息在互聯(lián)網(wǎng)中的機(jī)密性和完整性。
3基于RFID的物聯(lián)網(wǎng)系統(tǒng)
基于RFID的物聯(lián)網(wǎng)系統(tǒng)從物理世界和邏輯空間兩個(gè)層面進(jìn)行分析。物聯(lián)網(wǎng)系統(tǒng)的物理世界由無(wú)數(shù)的商品、無(wú)線傳感設(shè)備等組成;在邏輯空間上,基于RFID的物聯(lián)網(wǎng)系統(tǒng)一般由標(biāo)簽層、射頻通信層、讀寫(xiě)器層、互聯(lián)網(wǎng)層和應(yīng)用系統(tǒng)層構(gòu)成。
圖1基于RFID的物聯(lián)網(wǎng)系統(tǒng)
圖1顯示了定義1中基于RFID的物聯(lián)網(wǎng)各個(gè)分量的內(nèi)容及其相互關(guān)系,具體描述如下:物理世界:物理世界是由各種實(shí)實(shí)在在的物體構(gòu)成的,包括物品、計(jì)算機(jī)、無(wú)線傳感器等,在物聯(lián)網(wǎng)中,這些物體都是物理上充分互聯(lián)的。
標(biāo)簽層:標(biāo)簽層由RFID標(biāo)簽和物品組成,RFID標(biāo)簽類(lèi)似物品包裝上的條形碼,記載貨物的信息,它一般是粘貼在物品上或者嵌在物品里面。根據(jù)其能量來(lái)源,RFID標(biāo)簽可分為被動(dòng)式,半被動(dòng)式和主動(dòng)式三大類(lèi)。
射頻通信層:RFID是一種非接觸式的自動(dòng)識(shí)別技術(shù),它通過(guò)射頻信號(hào)自動(dòng)識(shí)別目標(biāo)對(duì)象并獲取相關(guān)數(shù)據(jù)信息。讀寫(xiě)器通過(guò)發(fā)射天線發(fā)送一定頻率的射頻信號(hào),當(dāng)標(biāo)簽進(jìn)入發(fā)射天線工作區(qū)域時(shí)產(chǎn)生感應(yīng)電流,標(biāo)簽內(nèi)的芯片獲得能量被激活;標(biāo)簽將自身編碼等信息通過(guò)其內(nèi)置的發(fā)送天線發(fā)送出去;系統(tǒng)接收天線接收到從標(biāo)簽發(fā)送來(lái)的載波信號(hào),經(jīng)天線調(diào)節(jié)器傳送到讀寫(xiě)器。
讀寫(xiě)器層:RFID讀寫(xiě)器,實(shí)際上是一個(gè)帶有天線的無(wú)線發(fā)射與接收設(shè)備,它對(duì)RFID標(biāo)簽進(jìn)行讀/寫(xiě)操作的設(shè)備,主要包括射頻模塊和數(shù)字信號(hào)處理單元兩部分,具有較大的計(jì)算能力和存儲(chǔ)空間。讀寫(xiě)器對(duì)從標(biāo)簽層接收到的射頻信號(hào)進(jìn)行解調(diào)和解碼,然后通過(guò)互聯(lián)網(wǎng)發(fā)送到應(yīng)用系統(tǒng)進(jìn)行相關(guān)處理。互聯(lián)網(wǎng)層:在基于RFID的物聯(lián)網(wǎng)系統(tǒng)中,標(biāo)簽層與讀寫(xiě)器層之間是通過(guò)射頻信號(hào)進(jìn)行通信的,而讀寫(xiě)器層與應(yīng)用系統(tǒng)層之間是通過(guò)互聯(lián)網(wǎng)進(jìn)行通信的。
應(yīng)用系統(tǒng)層:應(yīng)用系統(tǒng)用于實(shí)現(xiàn)對(duì)RFID標(biāo)識(shí)物的有序管理,主要應(yīng)用于物品識(shí)別、電子票證、商品防偽、身份識(shí)別、資產(chǎn)管理等領(lǐng)域。應(yīng)用系統(tǒng)通常包括了后臺(tái)數(shù)據(jù)庫(kù)系統(tǒng),它可以是運(yùn)行于任何硬件平臺(tái)的數(shù)據(jù)庫(kù)系統(tǒng),可由用戶根據(jù)實(shí)際需要自行選擇,通常假設(shè)其計(jì)算能力和存儲(chǔ)能力強(qiáng)大,數(shù)據(jù)庫(kù)中存儲(chǔ)著RFID標(biāo)簽相關(guān)的信息。
4基于RFID的物聯(lián)網(wǎng)安全威脅
隨著RFID技術(shù)的快速推廣應(yīng)用,其數(shù)據(jù)安全問(wèn)題在某些領(lǐng)域甚至已經(jīng)超出了原有計(jì)算機(jī)信息系統(tǒng)的安全邊界,成為一個(gè)廣為關(guān)注的問(wèn)題。主要原因如下:
(1)標(biāo)簽計(jì)算能力弱:RFID標(biāo)簽在計(jì)算能力和功耗方面具有特有的局限性[7],RFID標(biāo)簽的存儲(chǔ)空間極其有限,如最便宜的標(biāo)簽只有64-128位的ROM,僅可容納惟一的標(biāo)識(shí)符。由于標(biāo)簽本身的成本所限,標(biāo)簽自身較難具備足夠的安全能力,極容易被攻擊者操控,惡意用戶可能利用合法的閱讀器或者自行構(gòu)造一個(gè)閱讀器,直接與標(biāo)簽進(jìn)行通信,讀取、篡改甚至刪除標(biāo)簽內(nèi)所存儲(chǔ)的數(shù)據(jù)。在沒(méi)有足夠可信任的安全機(jī)制的保護(hù)下,標(biāo)簽的安全性、有效性、完整性、可用性、真實(shí)性都得不到保障。
(2)無(wú)線網(wǎng)絡(luò)的脆弱性:標(biāo)簽層和讀寫(xiě)器層采用無(wú)線射頻信號(hào)進(jìn)行通信,在通信的過(guò)程中沒(méi)有任何物理或者可見(jiàn)的接觸(通過(guò)電磁波的形式進(jìn)行),而無(wú)線網(wǎng)絡(luò)固有的脆弱性使RFID系統(tǒng)很容易受到各種形式的攻擊。這在給應(yīng)用系統(tǒng)數(shù)據(jù)采集提供靈活性和方便性的同時(shí)也使傳遞的信息暴露于大庭廣眾之下。
(3)業(yè)務(wù)應(yīng)用的隱私安全:在傳統(tǒng)的網(wǎng)絡(luò)中,網(wǎng)絡(luò)層的安全和業(yè)務(wù)層的安全是相互獨(dú)立的,而物聯(lián)網(wǎng)中網(wǎng)絡(luò)連接和業(yè)務(wù)使用是緊密結(jié)合的,物聯(lián)網(wǎng)中傳輸信息的安全性和隱私性問(wèn)題也成為了制約物聯(lián)網(wǎng)進(jìn)一步發(fā)展的重要因素。
根據(jù)RFID的物聯(lián)網(wǎng)系統(tǒng)結(jié)構(gòu),我們把物聯(lián)網(wǎng)的威脅和攻擊分為兩類(lèi)(見(jiàn)表1):一類(lèi)是針對(duì)物聯(lián)網(wǎng)系統(tǒng)中實(shí)體的威脅,主要是針對(duì)標(biāo)簽層、讀寫(xiě)器層和應(yīng)用系統(tǒng)層的攻擊;一類(lèi)是針對(duì)物聯(lián)網(wǎng)中通信過(guò)程的威脅,包括射頻通信層以及互聯(lián)網(wǎng)層的通信威脅。
這類(lèi)攻擊與傳統(tǒng)意義上的互聯(lián)網(wǎng)中的攻擊基本一致,可以用現(xiàn)有成熟的安全技術(shù)和密碼機(jī)制來(lái)解決,此處不作詳細(xì)解釋。
5基于RFID的物聯(lián)網(wǎng)安全需求
基于以上對(duì)安全威脅的分析,我們確定基于RFID的物聯(lián)網(wǎng)中需要保護(hù)的對(duì)象有標(biāo)簽、讀寫(xiě)器、應(yīng)用系統(tǒng),以及射頻通信層、互聯(lián)網(wǎng)層的通信。因此,我們認(rèn)為構(gòu)建一個(gè)安全的物聯(lián)網(wǎng)系統(tǒng)還必須從信息安全的四大基本要求(機(jī)密性、可用性、完整性、可審計(jì)性)出發(fā),來(lái)綜合考慮物聯(lián)網(wǎng)系統(tǒng)中的實(shí)體安全和通信安全。
5.1標(biāo)簽層
標(biāo)簽中的被保護(hù)數(shù)據(jù)包括四種類(lèi)型:
(1)標(biāo)簽標(biāo)識(shí);
(2)用于認(rèn)證和控制標(biāo)簽內(nèi)數(shù)據(jù)訪問(wèn)的密鑰;
(3)標(biāo)簽內(nèi)的業(yè)務(wù)數(shù)據(jù);
(4)標(biāo)簽的執(zhí)行代碼。
機(jī)密性:是指標(biāo)簽內(nèi)的數(shù)據(jù)不能被未授權(quán)的用戶所訪問(wèn)。特別是標(biāo)簽標(biāo)識(shí),由于其相對(duì)固定并與物理世界中的物體,包括人,發(fā)生緊密關(guān)聯(lián),因此標(biāo)簽標(biāo)識(shí)的機(jī)密性作為隱私問(wèn)題而被特別關(guān)注。在保護(hù)標(biāo)簽機(jī)密性的時(shí)候,除了傳統(tǒng)安全領(lǐng)域的安全策略以外,在實(shí)現(xiàn)時(shí)又需要考慮標(biāo)簽的低成本、低性能特性。換句話說(shuō),由于標(biāo)簽往往非常小而且成本低廉,因此其計(jì)算能力非常重要,在考慮引入傳統(tǒng)的加密機(jī)制、認(rèn)證機(jī)制和訪問(wèn)控制的時(shí)候,必須充分考慮其實(shí)現(xiàn)時(shí)的計(jì)算能力問(wèn)題。
完整性:是指標(biāo)簽內(nèi)的數(shù)據(jù)不能被未授權(quán)的用戶所修改。這里完整性主要用于保護(hù)標(biāo)簽內(nèi)的業(yè)務(wù)數(shù)據(jù)不受惡意用戶修改,因?yàn)檫@些數(shù)據(jù)往往包括著大量業(yè)務(wù)相關(guān)的信息。尤其是當(dāng)標(biāo)簽用于金融支付系統(tǒng)中,這些數(shù)據(jù)往往有著直接的經(jīng)濟(jì)意義。而標(biāo)簽標(biāo)識(shí)、標(biāo)簽內(nèi)的密鑰、標(biāo)簽的執(zhí)行代碼的完整性保護(hù)由于可以采用一些常規(guī)硬件保護(hù)措施實(shí)現(xiàn)而沒(méi)有被重點(diǎn)研究。
可用性:是指標(biāo)簽內(nèi)的數(shù)據(jù)和功能可以進(jìn)行正常讀取和響應(yīng)。標(biāo)簽或粘貼在物品的表面或嵌在物品里面,粘貼在物品上的標(biāo)簽和標(biāo)簽的芯片很容易被毀壞。此外,EPCglobal規(guī)定標(biāo)簽中的KILL命令[20]可以刪除標(biāo)簽里部分或者全部數(shù)據(jù)使之永久失效,KILL命令是為了隱私的目的而制定的,攻擊者可以利用這一命令毀壞標(biāo)簽,甚至永久毀壞標(biāo)簽。所以要保證標(biāo)簽的可用性,使之能夠正常響應(yīng)閱讀器的請(qǐng)求。
可審計(jì)性:是指對(duì)標(biāo)簽的任何讀寫(xiě)操作都能被審計(jì)追蹤,保障標(biāo)簽的可審計(jì)性。
5.2讀寫(xiě)器層
讀寫(xiě)器中被保護(hù)的數(shù)據(jù)包括三種類(lèi)型:(1)與標(biāo)簽進(jìn)行相互認(rèn)證的密鑰;(2)與標(biāo)簽相關(guān)的數(shù)據(jù);(3)讀寫(xiě)器的執(zhí)行代碼。
機(jī)密性:是指讀寫(xiě)器內(nèi)的數(shù)據(jù)只能被授權(quán)用戶訪問(wèn)。尤其是與標(biāo)簽進(jìn)行相互認(rèn)證的密鑰,密鑰信息一旦泄露,攻擊者很可能假冒讀寫(xiě)器與標(biāo)簽進(jìn)行通信,因此必須保證讀寫(xiě)器內(nèi)密鑰的機(jī)密性。與標(biāo)簽不同的是,讀寫(xiě)器不需要嚴(yán)格考慮成本、性能問(wèn)題,因此可以通過(guò)傳統(tǒng)的加密機(jī)制來(lái)保護(hù)其機(jī)密性。
完整性:是指讀寫(xiě)器內(nèi)的數(shù)據(jù)只能被授權(quán)用戶修改。尤其要保護(hù)與標(biāo)簽相關(guān)的信息不被攻擊者修改,因?yàn)檫@些信息往往與業(yè)務(wù)相關(guān)。
可用性:是指讀寫(xiě)器可以正常發(fā)送請(qǐng)求并響應(yīng)標(biāo)簽的回復(fù)。攻擊者可能利用或毀壞讀寫(xiě)器,因此需要保障讀寫(xiě)器的可用性。
可審計(jì)性:是指讀寫(xiě)器對(duì)標(biāo)簽的任何操作,包括讀與寫(xiě)都可以被監(jiān)測(cè)、追蹤和審計(jì)。
5.3應(yīng)用系統(tǒng)層
應(yīng)用系統(tǒng)中與RFID相關(guān)的被保護(hù)數(shù)據(jù)包括三種類(lèi)型:
(1)與標(biāo)簽相關(guān)的數(shù)據(jù);
(2)與用戶相關(guān)的數(shù)據(jù);
(3)與業(yè)務(wù)應(yīng)用相關(guān)的數(shù)據(jù)(如購(gòu)物記錄、銀行交易等);
(4)代碼。
機(jī)密性:是指應(yīng)用系統(tǒng)中的數(shù)據(jù)不能被非授權(quán)用戶訪問(wèn)。特別是與標(biāo)簽相關(guān)和與用戶相關(guān)的信息,這些信息往往牽涉到用戶的隱私[8],一般存在后臺(tái)數(shù)據(jù)庫(kù)中,一旦被攻擊者獲取,使用者的隱私權(quán)將無(wú)法得到保障。另外,還必須保障與業(yè)務(wù)應(yīng)用相關(guān)的數(shù)據(jù)的機(jī)密性,因?yàn)楣粽吆芸赡芡ㄟ^(guò)分析這些數(shù)據(jù)來(lái)跟蹤用戶的行蹤、甚至分析用戶的消費(fèi)習(xí)慣。
完整性:是指應(yīng)用系統(tǒng)中的數(shù)據(jù)不能被非授權(quán)用戶修改。尤其是與用戶相關(guān)的數(shù)據(jù)和業(yè)務(wù)應(yīng)用數(shù)據(jù),一旦被攻擊者修改,可能造成很大的經(jīng)濟(jì)損失。
可用性:是指保證應(yīng)用系統(tǒng)正常運(yùn)轉(zhuǎn),滿足用戶的需求。
可審計(jì)性:是指保證應(yīng)用可被監(jiān)測(cè)、追蹤和審計(jì)。
5.4射頻通信層
射頻通信層被保護(hù)的對(duì)象包括:(1)通信數(shù)據(jù);(2)通信信道。
機(jī)密性:是指保護(hù)射頻通信層通信數(shù)據(jù)的機(jī)密性。射頻通信層是通過(guò)無(wú)線射頻信號(hào)進(jìn)行通信,攻擊者可以通過(guò)采用竊聽(tīng)技術(shù),分析微處理器正常工作過(guò)程中產(chǎn)生的各種電磁特征,來(lái)獲得標(biāo)簽和讀寫(xiě)器之間或其他RFID通信設(shè)備之間的通信數(shù)據(jù)。而且,由于從讀寫(xiě)器到標(biāo)簽的前向信道具有較大的覆蓋范圍,因而它比從標(biāo)簽到讀寫(xiě)器的后向信道更不安全。所以,射頻通信層的通信數(shù)據(jù)的機(jī)密性顯得尤為重要。
完整性:是指保護(hù)射頻通信層通信數(shù)據(jù)不能夠被非授權(quán)修改。攻擊者可利用射頻通信層無(wú)線網(wǎng)絡(luò)固有的脆弱性來(lái)篡改或重放消息,來(lái)破壞讀寫(xiě)器與標(biāo)簽之間的正常通信,因此需要采取加密、哈希或CRC校驗(yàn)碼等方式來(lái)保證通信數(shù)據(jù)的完整性。
可用性:是指保護(hù)通信信道能正常通信。射頻信號(hào)很容易受到干擾,惡意攻擊者可能通過(guò)干擾廣播、阻塞信道等方法來(lái)破壞射頻通信信道,因此需要保障射頻通信層的可用性。
5.5互聯(lián)網(wǎng)層
互聯(lián)網(wǎng)層在機(jī)密性、完整性和可用性方面的需求與傳統(tǒng)互聯(lián)網(wǎng)的需求基本一致,此處不再贅述。
6結(jié)論與展望
本文提出了基于RFID的物聯(lián)網(wǎng)的抽象模型,并對(duì)進(jìn)行了威脅建模,最后基于抽象模型和威脅模型,從信息安全的四個(gè)維度給出了基于RFID的物聯(lián)網(wǎng)的安全需求。
目前,安全問(wèn)題已經(jīng)成為了阻礙基于RFID的物聯(lián)網(wǎng)進(jìn)一步發(fā)展的重要因素,如果其安全性不能得到充分保證,那么物聯(lián)網(wǎng)系統(tǒng)中的個(gè)人信息、商業(yè)機(jī)密和軍事秘密,都可能被人盜竊或被不法分子利用,這必將嚴(yán)重影響經(jīng)濟(jì)安全、軍事安全和國(guó)家安全。但物聯(lián)網(wǎng)系統(tǒng)龐大復(fù)雜,涉及到嵌入式系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、控制系統(tǒng)、軟件系統(tǒng)、安全系統(tǒng)等多種技術(shù)體系,相信經(jīng)過(guò)長(zhǎng)期、深入、持續(xù)的研究,因此,本文安全需求的提出可以給現(xiàn)有的基于RFID的物聯(lián)網(wǎng)的發(fā)展在安全保障方便提供一定的借鑒意義。在接下去的研究中,我們將探索如何應(yīng)用相關(guān)的技術(shù)和管理手段,為基于RFID的物聯(lián)網(wǎng)系統(tǒng)設(shè)計(jì)一種完善的安全保障框架。