RFID的应用与安全需求在物流领域

RFID在零售、物流业中的应用前景毋庸置疑，在这两个领域，RFID能做的不仅仅是取代条码，而且能深刻地改变其中的安全业务流程，并使这两个领域的商业模式和运营效率与安全监控发生翻天覆地的变化。

（一）物联网安全威胁

随着RFID技术的快速推广应用，其数据安全问题在某些领域甚至已经超出了原有计算机信息系统的安全边界，成为一个广为关注的问题，主要原因如下：

1.标签计算能力弱

RFID标签在计算能力和功耗方面具有特有的局限性，RFID标签的存储空间极其有限，如最便宜的标签只有64～128位的ROM，仅可容纳唯一的标识符。由于标签本身的成本所限，标签自身较难具备足够的安全能力，极容易被攻击者操控，恶意用户可能利用合法的阅读器或者自行构造一个阅读器，直接与标签进行通信，读取、篡改甚至删除标签内所存储的数据。在没有足够可信任的安全机制的保护下，标签的安全性、有效性、完整性、可用性、真实性都得不到保障。

2.无线网络的脆弱性

标签层和读写器层采用无线射频信号进行通信，在通信的过程中没有任何物理或者可见的接触（通过电磁波的形式进行），而无线网络固有的脆弱性使RFID系统很容易受到各种形式的攻击。这在给应用系统数据采集提供灵活性和方便性的同时，也使传递的信息暴露于大庭广众之下。

3.业务应用的隐私安全

在传统的网络中，网络层的安全和业务层的安全是相互独立的，而物联网中网络连接和业务使用是紧密结合的，物联网中传输信息的安全性和隐私性问题也成为制约物联网进一步发展的重要因素。

根据RFID的物联网系统结构，把物联网的威胁和攻击分为两类：一类是针对物联网系统中实体的威胁，主要是针对标签层、读写器层和应用系统层的攻击；另一类是针对物联网中通信过程的威胁，包括射频通信层以及互联网层的通信威胁。

这类攻击与传统意义上的互联网中的攻击基本一致，可以用现有成熟的安全技术和密码机制来解决，此处不作详细解释。

（二）物联网安全需求

基于以上对安全威胁的分析，可以确定基于RFID的物联网中需要保护的对象有标签、读写器、应用系统，以及射频通信层、互联网层的通信。因此，可以认为构建一个安全的物联网系统还必须从信息安全的四大基本要求（机密性、可用性、完整性、可审计性）出发，来综合考虑物联网系统中的实体安全和通信安全。

1.标签层

标签中的被保护数据包括四种类型：标签标识、用于认证和控制标签内数据访问的密钥、标签内的业务数据和标签的执行代码。

（1）机密性

机密性是指标签内的数据不能被未授权的用户所访问。特别是标签标识，由于其相对固定并与物理世界中的物体（包括人）发生紧密关联，因此标签标识的机密性作为隐私问题而被特别关注。在保护标签机密性的时候，除了传统安全领域的安全策略以外，在实现时又需要考虑标签的低成本、低性能特性。换句话说，由于标签往往非常小而且成本低廉，因此其计算能力非常重要，在考虑引入传统的加密机制、认证机制和访问控制的时候，必须充分考虑其实现时的计算能力问题。

（2）完整性

完整性是指标签内的数据不能被未授权的用户所修改。这里完整性主要用于保护标签内的业务数据不受恶意用户修改，因为这些数据往往包括大量业务相关的信息。尤其是当标签用于金融支付系统中，这些数据往往有着直接的经济意义。而标签标识、标签内的密钥、标签执行代码的完整性保护由于可以采用一些常规硬件保护措施实现而没有被重点研究。

（3）可用性

可用性是指标签内的数据和功能可以进行正常读取和响应。标签或粘贴在物品的表面，或嵌在物品里面，粘贴在物品上的标签和标签的芯片很容易被毁坏。此外，EPCglobal规定标签中的kill命令可以删除标签里部分或者全部数据使之永久失效，kill命令是为了隐私的目的而制定的，攻击者可以利用这一命令毁坏标签，甚至永久毁坏标签。所以要保证标签的可用性，使之能够正常响应阅读器的请求。

（4）可审计性

可审计性是指对标签的任何读写操作都能被审计追踪，保障标签的可审计性。

2.读写器层

读写器中被保护的数据包括三种类型：与标签进行相互认证的密钥、与标签相关的数据和读写器的执行代码。

（1）机密性

机密性是指读写器内的数据只能被授权用户访问。尤其是与标签进行相互认证的密钥，密钥信息一旦泄露，攻击者很可能假冒读写器与标签进行通信，因此必须保证读写器内密钥的机密性。与标签不同的是，读写器不需要严格考虑成本、性能问题，因此可以通过传统的加密机制来保护其机密性。(www.xing528.com)

（2）完整性

完整性是指读写器内的数据只能被授权用户修改。尤其要保护与标签相关的信息不被攻击者修改，因为这些信息往往与业务相关。

（3）可用性

可用性是指读写器可以正常发送请求并响应标签的回复。攻击者可能利用或毁坏读写器，因此需要保障读写器的可用性。

（4）可审计性

可审计性是指读写器对标签的任何操作，包括读与写都可以被监测、追踪和审计。

3.应用系统层

应用系统中与RFID相关的被保护数据包括3种类型：与标签相关的数据、与用户相关的数据和与业务应用相关的数据（如购物记录、银行交易等）。

（1）机密性

机密性是指应用系统中的数据不能被非授权用户访问。特别是与标签相关和与用户相关的信息，这些信息往往牵涉到用户的隐私，一般存在后台数据库中，一旦被攻击者获取，用户的隐私权将无法得到保障。另外，还必须保障与业务应用相关的数据的机密性，因为攻击者很可能通过分析这些数据来跟踪用户的行踪，甚至分析用户的消费习惯。

（2）完整性

完整性是指应用系统中的数据不能被非授权用户修改。尤其是与用户相关的数据和业务应用数据，一旦被攻击者修改，可能会造成很大的经济损失。

（3）可用性

可用性是指保证应用系统正常运转，满足用户的需求。

（4）可审计性

可审计性是指保证应用可被监测、追踪和审计。

4.射频通信层

射频通信层被保护的对象包括通信数据和通信信道。

（1）机密性

机密性是指保护射频通信层通信数据的机密性。射频通信层是通过无线射频信号进行通信，攻击者可以通过采用窃听技术，分析微处理器正常工作过程中产生的各种电磁特征，来获得标签和读写器之间或其他RFID通信设备之间的通信数据。而且，由于从读写器到标签的前向信道具有较大的覆盖范围，因而它比从标签到读写器的后向信道更不安全。所以，射频通信层的通信数据的机密性显得尤为重要。

（2）完整性

完整性是指保护射频通信层通信数据不被非授权修改。攻击者可利用射频通信层无线网络固有的脆弱性来篡改或重放消息，来破坏读写器与标签之间的正常通信，因此需要采取加密、哈希或CRC校验码等方式来保证通信数据的完整性。

（3）可用性

可用性是指保护通信信道能正常通信。射频信号很容易受到干扰，恶意攻击者可能通过干扰广播、阻塞信道等方法来破坏射频通信信道，因此需要保障射频通信层的可用性。

5.互联网层

互联网层在机密性、完整性和可用性方面的需求与传统互联网的需求基本一致，此处不再赘述。