0 引 言

　　物聯(lián)網(wǎng)這一概念由美國在20 世紀(jì)90 年代提出，其認為物聯(lián)網(wǎng)通過將全球萬事萬物的實物聯(lián)網(wǎng)，最終達到“以物控物”的目的。物聯(lián)網(wǎng)是以互聯(lián)網(wǎng)為通信基礎(chǔ)，利用電子產(chǎn)品碼EPC、RFID 等技術(shù)建立的實物互聯(lián)網(wǎng)。在物聯(lián)網(wǎng)中將電子產(chǎn)品碼存入芯片做成電子標(biāo)簽粘附在被標(biāo)識物體，通過識別設(shè)備讀取標(biāo)簽內(nèi)的物體信息，從而惟一地識別一個物體，并將獲取的物體信息在互聯(lián)網(wǎng)上傳遞，以此給人們工作生活帶來便利的服務(wù)。對于獲取標(biāo)簽內(nèi)信息，RFID 是一種有效的技術(shù)，這種技術(shù)在過去的一段時間發(fā)展迅速。RFID 在不需要操作人員的情況下，就可以同時識別多個物體。RFID 在帶來高效、低成本服務(wù)的同時，在識別過程中也存在安全威脅和隱私泄露等問題，因此，安全問題已成為制約RFID 系統(tǒng)發(fā)展的主要因素。如何構(gòu)建高安全性的RFID系統(tǒng)是目前研究的一個熱點，也是未來物聯(lián)網(wǎng)技術(shù)發(fā)展的關(guān)鍵因素。

　　1 RFID 攻擊模型

　　RFID 系統(tǒng)一般由電子標(biāo)簽、閱讀器和后臺應(yīng)用系統(tǒng)三個實體部分以及后端網(wǎng)絡(luò)通信信道和無線通信信道組成。在整個系統(tǒng)中，任何組成部分都可能成為攻擊者攻擊的對象。攻擊模型可用圖1 表示[1]。

　　圖1 RFID系統(tǒng)的攻擊模型

　　在圖1 中可以看出，攻擊者可以采用對常規(guī)信息系統(tǒng)攻擊相同的被動攻擊、主動攻擊、物理攻擊等攻擊手段對RFID 系統(tǒng)中部分或全部進行攻擊。對于攻擊者來說，其攻擊RFID 系統(tǒng)的目的也與對其他信息系統(tǒng)攻擊的目的相同，主要為了非法獲取信息、非法訪問、篡改信息和擾亂系統(tǒng)正常運行等。

　　1.1 非法獲取信息

　　攻擊者通過攻擊手段非法獲取RFID 系統(tǒng)中非公開的機密信息或內(nèi)部信息，攻擊者獲取這些信息之后，可以自己利用這些信息，可以通過出售信息謀利，可以為了使對方陷于被動而公開這些信息，也可以保存信息以便將來使用。

　　1.2 非法訪問

　　攻擊者通過竊取合法用戶密碼或通過其它非法手段獲得對RFID 系統(tǒng)的訪問權(quán)限，攻擊者在進入系統(tǒng)后就可以訪問系統(tǒng)，偷取系統(tǒng)內(nèi)信息或?qū)ο到y(tǒng)的正常運行進行破壞。攻擊者也可能在非法進入系統(tǒng)后，將一些病毒、木馬植入系統(tǒng)中，為將來再次入侵留下后門。

　　1.3 篡改信息

　　對于RFID 系統(tǒng)，攻擊者即可以篡改RFID 空中接口數(shù)據(jù)，也能夠?qū)?biāo)簽信息進行篡改。對于電子標(biāo)簽，只讀卡內(nèi)信息不容易被篡改，但對于空中接口數(shù)據(jù)就相對容易被篡改。攻擊者通過對系統(tǒng)中的數(shù)據(jù)進行篡改，就可以冒充合法用戶，對系統(tǒng)進行“合法”訪問。攻擊者也可能會偽造合法數(shù)據(jù)或?qū)戏〝?shù)據(jù)進行篡改，依此欺騙通信雙方，甚至導(dǎo)致系統(tǒng)運行進入混亂狀態(tài)。

　　1.4 擾亂系統(tǒng)的正常運行

　　攻擊者為了商業(yè)競爭需要，對對方系統(tǒng)進行擾亂后，使對方系統(tǒng)陷入混亂狀態(tài)，導(dǎo)致對方系統(tǒng)無法正常運行，使得對方正常業(yè)務(wù)無法開展。在RFID 系統(tǒng)中前端通信是通過無線

　　信息進行，因此，攻擊者若采用無線電干擾，就會很容易導(dǎo)致通信系統(tǒng)癱瘓而無法正常工作。

　　2 RFID 安全關(guān)鍵問題

　　由于RFID 系統(tǒng)的便攜性、移動性等特點，限制了電子標(biāo)簽中本身存儲的內(nèi)部資源和能量不能很多，同時還要能夠?qū)﹄娮訕?biāo)簽進行快速靈活的讀取，這些因素對增加RFID 系統(tǒng)安全性形成了一定的限制。因此，為了能夠?qū)崿F(xiàn)符合RFID 系統(tǒng)的安全協(xié)議和機制，在考慮其可行性的基礎(chǔ)上，還應(yīng)該重點考慮下面幾個方面的問題。

　　2.1 算法復(fù)雜度

　　由于電子標(biāo)簽內(nèi)部時鐘頻率較高，且具有快速讀取等特點，因此在加密算法設(shè)計的過程中，要求算法的計算周期盡量短。但是，高強度的加密算法在使用較多計算周期的同時還需要占用大量的系統(tǒng)存儲資源，特別對RFID 電子標(biāo)簽這種存儲資源缺乏的對象表現(xiàn)地更為突出。因此在算法設(shè)計時就需要解決如何能在使用高強度加密算法的同時盡量減少資源需求并且使計算周期變短的問題。

　　2.2 認證流程

　　對于電子標(biāo)簽的識別設(shè)備來說，針對不同的應(yīng)用系統(tǒng)采用不同的讀取方式，在一些超市系統(tǒng)等應(yīng)用中，識別設(shè)備一次只需讀取一個電子標(biāo)簽，而在物流管理等應(yīng)用中，一次需要讀取多個電子標(biāo)簽。對于前一種讀取方式，認證流程占用的時間長一些并不會影響到系統(tǒng)的正常使用，而在后一種讀取方式中，認證時間需要嚴格控制，否則會導(dǎo)致因單個電子標(biāo)簽認證流程時間過長而影響到其它電子標(biāo)簽不能被完全讀取。

　　2.3 密鑰管理

　　由于物聯(lián)網(wǎng)需將所有物體聯(lián)網(wǎng)，而每一個聯(lián)網(wǎng)物體都需要電子標(biāo)簽進行身份識別，因此在RFID 系統(tǒng)中，電子標(biāo)簽的數(shù)量非常龐大。如果對于每一個電子標(biāo)簽都設(shè)置一個惟一的密鑰，那么如何有效的管理這些龐大的密鑰將是一件非常困難的事。若對同一類物品設(shè)置統(tǒng)一的密鑰，可以減少密鑰的數(shù)量，但是，一旦其中一個物體密鑰被破解或泄露，那兒其它同類物品將會受到安全威脅。

　　對于RFID系統(tǒng)安全問題，除了前面這三個方面外，還需要考慮傳感器、電子標(biāo)簽和識別設(shè)備等感知硬件的物理保護，同時考慮是否針對不同的應(yīng)用使用不同的安全等級等保護措施。

　　3 基于Hash 的ID 協(xié)議變化認證算法

　　基于Hash 的ID 協(xié)議變化認證算法采用每次改變認證過程中各設(shè)備間的交換信息，然后將改變信息與設(shè)備自身保存的信息做比較，如果相同則通過認證，否則認證失敗。這樣就可以防止信息在設(shè)備本身內(nèi)或信道上被篡改，從而有效保護RFID 系統(tǒng)的可靠性和安全性。基于HASH 的ID 協(xié)議變化認證算法如下：

　　該算法的核心在于每次會話都會改變TID，使得每次的Hash 值也會改變，以此避免被跟蹤。且后端數(shù)據(jù)庫和電子標(biāo)簽中的TID 不一定相等，只有在LST 認證成功后才會更新TID 的值，在傳輸?shù)倪^程中也只是傳輸TID 與LST 的差值，這樣就可以有效保證LST 的機密性。在認證通過后，還需要再次刷新ID 的值，用來避免攻擊者通過H(ID) 跟蹤標(biāo)簽。

　　4 總 結(jié)

　　本文在分析了針對RFID 系統(tǒng)的攻擊模型和RFID 系統(tǒng)安全關(guān)鍵問題的基礎(chǔ)上，提出了一種基于Hash 的ID 協(xié)議變化認證算法。該認證算法雖然可以有效解決RFID 系統(tǒng)中認證過程的安全性，但是也存在一些缺陷，在認證過程中，可能會因環(huán)境的變化，識別讀寫器不能成功將信息發(fā)送給電子標(biāo)簽，此時，后端數(shù)據(jù)庫信息已更新，而電子標(biāo)簽信息還保留原信息，導(dǎo)致此標(biāo)簽將再不會被識別;攻擊者也可以通過將非法獲得的電子標(biāo)簽信息重放給識別讀寫器，而更新后端數(shù)據(jù)庫，造成電子標(biāo)簽與后端數(shù)據(jù)庫信息不一致;攻擊者還可能會非法獲取H(ID)，由于該數(shù)據(jù)在兩次識別過程中并不會發(fā)生改變，從而造成攻擊者可以很輕易地跟蹤電子標(biāo)簽等。這一系列的缺陷還需要在以后的研究中予以解決，這樣才能真正提高RFID 系統(tǒng)的安全性，并將其應(yīng)用到實際中。