1 引言
    無線射頻識別(Radio Frequency Identification RFID)系統是利用RFID技術對物體對象進行非接觸式、即時自動識別的信息系統[l]。由于RFID系統具有可實現移動物體識別、多目標識別、非接觸式識別以及抗干擾能力強等優點．已經被廣泛應用到零售行業、物流供應鏈管理、圖書館管理和交通等領域。并視為實現普適計算環境的有效技術之一。然而。由于RFID系統涉及到標簽、讀寫器、互聯網、數據庫系統等多個對象．其安全性問題也顯得較為復雜，包括標簽安全、網絡安全、數據安全和保護隱私等方面。目前。RFID系統的安全問題已成為制約RFID技術推廣應用的主要因素之一。
2 RFID系統安全與隱私
    RFID系統包括RFID標簽、RFID讀寫器和RFID數據處理系統三部分[2] RFID系統中安全和隱私問題存在于信息傳輸的各個環節。目前RFID系統的安全隱私問題主要集中在RFID標簽與讀寫器之間電子標簽比傳統條形碼來說安全性有了很大提高。但是RFID電子標簽也面臨著一些安全威脅。主要表現為標簽信息的非法讀取和標簽數據的惡意篡改。
    電子標簽所攜帶的標簽信息也會涉及到物品所有者的隱私信息。電子標簽的隱私威脅主要有跟蹤隱私和信息隱私[3]。
    
    RFID系統的數據安全威脅主要指在RFID標簽數據在傳遞過程中受到攻擊。被非法讀取、克隆、篡改和破壞。這些將給RFID系統帶來嚴重影響[2]。RFID與網絡的結合是RFID技術發展的必然趨勢。將現有的RFID技術與互聯網融合。推動RFID技術在物流等領域的更廣闊的應用。但隨著RFID與網絡的融合。網絡中常見的信息截取和攻擊手段都會給RFID系統帶來潛在的安全威脅[4]。保障RFID系統安全需要有較為完備的RFID系統安全機制做支撐?，F有RFID系統安全機制所采用的方法主要有三大類：物理安全機制、密碼機制、物理安全機制與密碼機制相結合。物理機制主要依靠外加設備或硬件功能解決RFID系統安全問題．而密碼機制則是通過各種加密協議從軟件方面解決RFID系統安全問題。

 3 一種基于攻擊樹的RFID系統安全策略
   
    RFID系統的物理安全機制和密碼安全機制往往偏重于某個特定的場景或者特定的安全問題．并不能夠有效地保證一個實際的RFID系統安全．在解決具體問題上也缺乏系統性的描述．為此，提出一種基于攻擊樹的復合型安全策略。該策略通過分析RFID系統安全隱患．以攻擊者的角度模擬各種攻擊過程．并用攻擊樹的形式加以表現．針對不同的攻擊隱患制定不同的安全策略．并最終形成一套復合型的安全策略。
   
    復合型安全策略的基礎是RFID系統安全隱私攻擊模型．該模型能夠對整個的攻擊過程進行結構化和形式化的描述．有助于深入分析和研究各種可能的攻擊行為．并提出相應的解決策略．進一步提高系統的安全性攻擊模型的研究是一門前沿學科．目前大都處于理論研究階段．主要有適于安全知識共享的模型和適于攻擊檢測和安全預警的模型兩種這里提出的RFID系統安全攻擊模型是一種基于攻擊樹的RFID標簽信息竊取攻擊模型。
3．1 RFID系統安全策略
    (1)攻擊樹模型構建
    攻擊樹模型[5]是由Bruce Scheier提出的一種使用樹型結構模擬攻擊方法和攻擊實例表示整個攻擊過程的方法。該模型使用樹來表示攻擊行為及步驟之間的相互依賴關系．每個節點代表一個攻擊行為或子目標．根節點表示攻擊的最終目標模型中用“與分解”和“或分解”表示兩種不同的樹結構。“與分解”樹表示所有子目標實現父目標才能實現。“或分解”樹表示子目標中任一目標的實現父目標就可實現。
   
    根據RFID系統的實際需要．以攻擊者的角度模擬所有可能的攻擊路徑和方法．使用“與分解”和“或分解”描述全部攻擊行為或子目標．并使用深度優先方式從攻擊樹中推導出實現最終目標的攻擊路徑。一般可以先采用原語描述整個攻擊過程，在原語描述中AND和OR分別表示“與分解”樹和“或分解”樹，G表示攻擊目標．通過原語的描述最終推導出攻擊樹模型。
    (2)安全策略選擇
   
    在RFID攻擊樹模型中．由于中間節點可以由其子節點描述(即父目標需要子目標實現才能實現)，因此攻擊路徑不含有中間節點．而只含有各層的葉子節點．不同的攻擊路徑對應著不同的子目標或攻擊方式。目前RFID系統安全策略主要有物理安全機制和密碼安全機制兩大類．兩類安全機制從不同的方面解決現有的RFID系統安全隱私問題．有針對性地選擇不同的安全策略有助于更好地維護整個RFID系統安全。
    (3)復合安全策略構成
    RFID系統復合安全策略應該根據標簽的性能和應用場合靈活選擇．一般由物理安全機制和密碼安全機制整合而成對于不同的安全級別所需要的復合安全策略是不同的．一種攻擊模型可能存在多種不同的復合安全策略．因此應該根據RFID系統實際要求選擇最合適的復合安全策略。此外．在構成安全策略時應該考慮各安全機制之間兼容性問題，如靜電屏蔽和阻塞標簽．保證各安全機制能夠正常執行。

3．2 標簽信息竊取的攻擊樹模型及策略
   
    假定標簽信息竊取的攻擊樹模型場景：非授權讀寫器讀取RFID標簽或監聽授權讀寫器與標簽通信．其中標簽與讀寫器通過一定的安全協議來保證傳輸過程中的安全。根據攻擊者要獲取標簽信息和需要采取的各種可能攻擊行為構建的攻擊模型的原語描述。

    達到目標必須經由4個分Go支，而每個分支都有各自的子分支該攻擊樹模型將標簽信息竊取中的攻擊行為具體和實例化．使得復雜的攻擊行為分解成許多攻擊分支。這樣．研究安全攻擊行為時只需要尋找一條可行的到達根節點路徑即可。
    由以上攻擊模型可以得出．取得竊取RFID標簽信息的最終目標可以由以下幾種攻擊路徑達到：
    <G11，G21，G31，G32，G33，G41，G42>，<G11，G22，G31，G32，G33，G41，G42>
，<G12，G21，G3l，G32，G33，G41，G42>，<G12，G22，G31，G32，G33，G4l，G42>o
    針對各種攻擊子目標的RFID系統安全機制如下：
    (1)G11 防止標簽頻率檢測，如法拉第容器、主動干擾、頻率更改：
    (2)G21：防止標簽識讀范圍和能量檢測，如讀寫距離控制、頻率更改；
   
    (3)G31，G32，G33：防止安全協議的檢測以及相關認證key的竊取，可采用ID可變．認證嚴謹的安全協議，如隨機化Hash—Lock協議、基于雜湊的ID變更協議、分布式RFID詢問一應答認證協議：

    (4)G41：防止RFID讀寫器頻率檢測，如頻率更改：
    (5)G42：防止RFID讀寫器與后端系統接口假冒．主要是通過安全協議和網絡部分的安全策略來解決．可采用認證等方式解決。
   
    通過對上述系統攻擊模型的研究和安全機制的選擇．法拉第容器由于自身的屏蔽效應不能很好的和其他安全機制兼容．而主動干擾機制容易對正常的讀寫工作產生干擾．因此可以考慮使用頻率更改機制預防G11對于G21，使用讀寫距離控制和頻率更改機制可以共同提高安全性能．但此處應該注意頻率和讀寫距離之間的關系；而對于G31，G32，G33可以根據實際的RFID系統要求選擇相應級別的安全協議。

    綜上所述．RFID系統標簽信息竊取的復合安全策略如下：
    (1)頻率更改、讀寫距離控制、隨機化Hash—Lock協議． 由于在最后的認證通過時采用明文形式．仍然存在不安全問題，主要適用于安全級別較低的情況：
    (2)頻率更改、讀寫距離控制、基于雜湊的ID變更協議，由于協議的性能，不適合于分布式數據庫的普適計算環境，存在數據同步安全隱患；
    (3)頻率更改、讀寫距離控制、分布式RFID詢問一應答認證協議，沒有明顯安全漏洞，僅適合高保密性能的高成本標簽。
    4 結束語
   
    隨著RFID技術在公共安全、生產管理與控制、現代物流與供應鏈管理、交通管理、軍事應用等領域中優先投入應用．必將對RFID系統的安全在標簽安全、數據安全和網絡安全等方面提出更高的要求。文中在分析RFID系統中現存的安全隱私威脅的基礎上．列舉了針對不同安全問題的RFID安全機制和安全協議．并提出基于攻擊樹的RFID系統攻擊模型及復合安全策略．以攻擊者的角度分析系統中存在的信息竊取隱患．對于深入研究更加合理的RFID安全機制和安全協議具有重要的現實意義。