 |  |  |
   |
2.2 跟踪问题的层次划分
RFID系统根据分层模型可划分为3层:应用层、通信层和物理层,如图2所示。
图2 RFID的通信层次模型
恶意跟踪可分别在此3个层次内进行。
(1) 应用层
处理用户定义的信息,如标识符。为了保护标识符,可在传输前变换该数据,或仅在满足一定条件时传送该信息。标签识别、认证等协议在该层定义。
通过标签标识符进行跟踪是目前的主要手段。因此,解决方案要求每次识别时改变由标签发送到阅读器的信息,此信息或者是标签标识符,或者是它的加密值。
(2) 通信层
定义阅读器和标签之间的通信方式。防碰撞协议和特定标签标识符的选择机制在该层定义。该层的跟踪问题来源于两个方面:一是基于未完成的单一化(Singulation)会话攻击,二是基于缺乏随机性的攻击。
防碰撞协议分为两类:确定性协议和概率性协议。确定性防碰撞协议基于标签唯一的静态标识符,对手可以轻易地追踪标签。为了避免跟踪,标识符需要是动态的。然而,如果标识符在单一化过程中被修改,便会破坏标签单一化。因此,标识符在单一化会话期间不能改变。为了阻止被跟踪,每次会话时应使用不同的标识符。但是,恶意的阅读器可让标签的一次会话处于开放状态,使标签标识符不改变,从而进行跟踪。概率性防碰撞协议也存在这样的跟踪问题。另外,概率性防碰撞协议,如Aloha协议,不仅要求每次改变标签标识符,而且,要求是完美的随机化,以防止恶意阅读器的跟踪。
(3) 物理层
定义物理空中接口,包括频率、传输调制、数据编码、定时等。在阅读器和标签之间交换的物理信号使对手在不理解所交换的信息的情况下也能区别标签或标签集。
无线传输参数遵循已知标准,使用同一标准的标签发送非常类似的信号,使用不同标准的标签发送的信号很容易区分。可以想象,几年后,我们可能携带嵌有标签的许多物品在大街上行走,如果使用几个标准,每个人可能带有特定标准组合的标签,这类标准组合使对人的跟踪成为可能。该方法特别地利于跟踪某些类型的人,如军人或安全保安人员。
类似地,不同无线指纹的标签组合,也会使跟踪成为可能。
2.3 RFID的安全威胁
RFID应用广泛,可能引发各种各样的安全问题。在一些应用中,非法用户可利用合法阅读器或者自构一个阅读器对标签实施非法接入,造成标签信息的泄露。在一些金融和证件等重要应用中,攻击者可篡改标签内容,或复制合法标签,以获取个人利益或进行非法活动。在药物和食品等应用中,伪造标签,进行伪劣商品的生产和销售。实际中,应针对特定的RFID应用和安全问题,分别采取相应的安全措施。
下面,根据EPCglobal标准组织定义的EPCglobal系统架构和一条完整的供应链,纵向和横向分别描述RFID面临的安全威胁和隐私威胁。
2.4 EPCglobal系统的纵向安全和隐私威胁分析
EPCglobal系统架构和所面临的安全威胁如图3所示。主要由标签、阅读器、电子物品编码(EPC)中间件、电子物品编码信息系统(EPCIS)、物品域名服务(ONS)以及企业的其他内部系统组成。其中EPC中间件主要负责从一个或多个阅读器接收原始标签数据,过滤重复等冗余数据;EPCIS主要保存有一个或多个EPCIS级别的事件数据;ONS主要负责提供一种机制,允许内部、外部应用查找EPC相关EPCIS数据。
图3 EPCglobal整体系统架构和面临的安全威胁与隐私威胁
从下到上,可将EPCglobal整体系统划分为3个安全域:标签和阅读器构成的无线数据采集区域构成的安全域、企业内部系统构成的安全域、企业之间和企业与公共用户之间供数据交换和查询网络构成的安全区域。个人隐私威胁主要可能出现在第一个安全域,即标签、空口无线传输和阅读器之间,有可导致个人信息泄露和被跟踪等。另外,个人隐私威胁还可能出现在第三个安全域,如果ONS的管理不善,也可能导致个人隐私的非法访问或滥用。安全与隐私威胁存在于如下各安全域:
(1) 标签和阅读器构成的无线数据采集区域构成的安全域。可能存在的安全威胁包括标签的伪造、对标签的非法接入和篡改、通过空中无线接口的窃听、获取标签的有关信息以及对标签进行跟踪和监控。
(2) 企业内部系统构成的安全域。企业内部系统构成的安全域存在的安全威胁与现有企业网一样,在加强管理的同时,要防止内部人员的非法或越权访问与使用,还要防止非法阅读器接入企业内部网络。
(3) 企业之间和企业与公共用户之间供数据交换和查询网络构成的安全区域。ONS通过一种认证和授权机制,以及根据有关的隐私法规,保证采集的数据不被用于其他非正常目的的商业应用和泄露,并保证合法用户对有关信息的查询和监控。
2.5 供应链的横向安全和隐私威胁分析
