1前言
根据国际电信联盟的定义,物联网主要解决物品到物品,人到物品,人到人之间的互联问题。目前,物联网(IoT:theInternetofThings)成为学术界和工业界关注的热点,被称为继计算机、互联网之后,世界信息产业的第三次浪潮。物联网被认为是互联网在物理世界的延伸,它通过各种信息传感设备,如RFID(RadioFrequencyIDentification)、红外感应器、全球定位系统、激光扫描器等种种装置与互联网相结合[2],其目的是让所有的物品都与网络连接成为一个整体,系统可以自动地、实时地对物体进行识别、定位、追踪、监控并触发相应事件。
基于RFID的物联网是指将现实世界中所有物品通无线射频识别等传感设备与互联网连接起来,实现对这些物品的智能化识别和管理。RFID是实现物联网的核心技术,因其特有的低成本和高可靠等优点而被视为21世纪最重要、最有发展前途的信息技术之一。随着国内外RFID技术的不断发展,RFID凭借其独特的优势已经逐渐在物品标识、电子票证、商品防伪、身份识别、资产管理等各个领域获得了广泛应用。
基于RFID的物联网技术不断的发展和基于RFID的物联网系统的广泛应用,也为系统的运营者和使用者带来了复杂的安全问题。当前由于对基于RFID的物联网系统定义不明确,威胁模型不清晰,因而很难对基于RFID的物联网安全需求进行全面的分析。本文试图建立基于RFID的物联网系统抽象模型,并建立相应的威胁模型,最终根据信息安全的最基本的四个维度(机密性、完整性、可用性、可审计性)给出基于RFID的物联网系统的安全需求。
本文将通过研究基于RFID的物联网的系统结构,分析其潜在的安全威胁,提出相应的安全需求。第二节介绍物联网安全的研究现状;第三节介绍基于RFID的物联网体系结构;第四节阐述基于RFID的物联网系统潜在的威胁和攻击;第五节针对第四节所描述的各种安全问题提出基于RFID物联网系统的安全需求;最后总结并展望全文。
2相关研究
目前,基于RFID的物联网的安全性问题得到了广泛的关注,研究内容主要集中在以下两个方面:RFID系统本身的安全问题以及RFID相关信息在传统互联网中的安全问题。
RFID系统本身包括标签、读写器以及标签与读写器之间的射频通信信道。RFID系统容易遭受各种主动和被动攻击的威胁:Mitrokotsa等人从物理层、网络传输层、应用层、策略层四个层次分析了RFID系统的攻击和威胁,并总结了相应的解决方法。Juels[3]认为RFID系统本身的安全问题可归纳为隐私和认证两个方面:在隐私方面主要是可追踪性问题,即如何防止攻击者对RFID标签进行任何形式的跟踪;在认证方面主要是要确保只有合法的阅读器才能够与标签进行交互通信。当前,保障RFID系统本身安全的方法主要有三大类:物理方法(Kill命令,静电屏蔽,主动干扰以及BlockerTag方法等),安全协议(哈希锁,哈希链,挑战响应机制,重加密机制等),以及上述方法的结合。
由于RFID相关信息跟业务层的用户隐私、商业机密相关,因此RFID相关信息在互联网中的安全传输和存储问题也值得研究和探讨。与传统互联网中的安全传输问题一致,可采用VPN(VirtualPrivateNetworks),TLS(TransportLayerSecurity)等安全技术来保障RFID相关信息在互联网中的机密性和完整性。
3基于RFID的物联网系统
基于RFID的物联网系统从物理世界和逻辑空间两个层面进行分析。物联网系统的物理世界由无数的商品、无线传感设备等组成;在逻辑空间上,基于RFID的物联网系统一般由标签层、射频通信层、读写器层、互联网层和应用系统层构成。
显示了定义1中基于RFID的物联网各个分量的内容及其相互关系,具体描述如下:物理世界:物理世界是由各种实实在在的物体构成的,包括物品、计算机、无线传感器等,在物联网中,这些物体都是物理上充分互联的。
标签层:标签层由RFID标签和物品组成,RFID标签类似物品包装上的条形码,记载货物的信息,它一般是粘贴在物品上或者嵌在物品里面。根据其能量来源,RFID标签可分为被动式,半被动式和主动式三大类。
射频通信层:RFID是一种非接触式的自动识别技术,它通过射频信号自动识别目标对象并获取相关数据信息。读写器通过发射天线发送一定频率的射频信号,当标签进入发射天线工作区域时产生感应电流,标签内的芯片获得能量被激活;标签将自身编码等信息通过其内置的发送天线发送出去;系统接收天线接收到从标签发送来的载波信号,经天线调节器传送到读写器。
读写器层:RFID读写器,实际上是一个带有天线的无线发射与接收设备,它对RFID标签进行读/写操作的设备,主要包括射频模块和数字信号处理单元两部分,具有较大的计算能力和存储空间。读写器对从标签层接收到的射频信号进行解调和解码,然后通过互联网发送到应用系统进行相关处理。互联网层:在基于RFID的物联网系统中,标签层与读写器层之间是通过射频信号进行通信的,而读写器层与应用系统层之间是通过互联网进行通信的。
应用系统层:应用系统用于实现对RFID标识物的有序管理,主要应用于物品识别、电子票证、商品防伪、身份识别、资产管理等领域。应用系统通常包括了后台数据库系统,它可以是运行于任何硬件平台的数据库系统,可由用户根据实际需要自行选择,通常假设其计算能力和存储能力强大,数据库中存储着RFID标签相关的信息。
4基于RFID的物联网安全威胁
随着RFID技术的快速推广应用,其数据安全问题在某些领域甚至已经超出了原有计算机信息系统的安全边界,成为一个广为关注的问题。主要原因如下:
(1)标签计算能力弱:RFID标签在计算能力和功耗方面具有特有的局限性[7],RFID标签的存储空间极其有限,如最便宜的标签只有64-128位的ROM,仅可容纳惟一的标识符。由于标签本身的成本所限,标签自身较难具备足够的安全能力,极容易被攻击者操控,恶意用户可能利用合法的阅读器或者自行构造一个阅读器,直接与标签进行通信,读取、篡改甚至删除标签内所存储的数据。在没有足够可信任的安全机制的保护下,标签的安全性、有效性、完整性、可用性、真实性都得不到保障。
(2)无线网络的脆弱性:标签层和读写器层采用无线射频信号进行通信,在通信的过程中没有任何物理或者可见的接触(通过电磁波的形式进行),而无线网络固有的脆弱性使RFID系统很容易受到各种形式的攻击。这在给应用系统数据采集提供灵活性和方便性的同时也使传递的信息暴露于大庭广众之下。
(3)业务应用的隐私安全:在传统的网络中,网络层的安全和业务层的安全是相互独立的,而物联网中网络连接和业务使用是紧密结合的,物联网中传输信息的安全性和隐私性问题也成为了制约物联网进一步发展的重要因素。
根据RFID的物联网系统结构,我们把物联网的威胁和攻击分为两类(见表1):一类是针对物联网系统中实体的威胁,主要是针对标签层、读写器层和应用系统层的攻击;一类是针对物联网中通信过程的威胁,包括射频通信层以及互联网层的通信威胁。
这类攻击与传统意义上的互联网中的攻击基本一致,可以用现有成熟的安全技术和密码机制来解决,此处不作详细解释。
5基于RFID的物联网安全需求
基于以上对安全威胁的分析,我们确定基于RFID的物联网中需要保护的对象有标签、读写器、应用系统,以及射频通信层、互联网层的通信。因此,我们认为构建一个安全的物联网系统还必须从信息安全的四大基本要求(机密性、可用性、完整性、可审计性)出发,来综合考虑物联网系统中的实体安全和通信安全。
5.1标签层
标签中的被保护数据包括四种类型:
(1)标签标识;
(2)用于认证和控制标签内数据访问的密钥;
(3)标签内的业务数据;
(4)标签的执行代码。
机密性:是指标签内的数据不能被未授权的用户所访问。特别是标签标识,由于其相对固定并与物理世界中的物体,包括人,发生紧密关联,因此标签标识的机密性作为隐私问题而被特别关注。在保护标签机密性的时候,除了传统安全领域的安全策略以外,在实现时又需要考虑标签的低成本、低性能特性。换句话说,由于标签往往非常小而且成本低廉,因此其计算能力非常重要,在考虑引入传统的加密机制、认证机制和访问控制的时候,必须充分考虑其实现时的计算能力问题。
完整性:是指标签内的数据不能被未授权的用户所修改。这里完整性主要用于保护标签内的业务数据不受恶意用户修改,因为这些数据往往包括着大量业务相关的信息。尤其是当标签用于金融支付系统中,这些数据往往有着直接的经济意义。而标签标识、标签内的密钥、标签的执行代码的完整性保护由于可以采用一些常规硬件保护措施实现而没有被重点研究。
可用性:是指标签内的数据和功能可以进行正常读取和响应。标签或粘贴在物品的表面或嵌在物品里面,粘贴在物品上的标签和标签的芯片很容易被毁坏。此外,EPCglobal规定标签中的KILL命令[20]可以删除标签里部分或者全部数据使之永久失效,KILL命令是为了隐私的目的而制定的,攻击者可以利用这一命令毁坏标签,甚至永久毁坏标签。所以要保证标签的可用性,使之能够正常响应阅读器的请求。
可审计性:是指对标签的任何读写操作都能被审计追踪,保障标签的可审计性。
5.2读写器层
读写器中被保护的数据包括三种类型:(1)与标签进行相互认证的密钥;(2)与标签相关的数据;(3)读写器的执行代码。
机密性:是指读写器内的数据只能被授权用户访问。尤其是与标签进行相互认证的密钥,密钥信息一旦泄露,攻击者很可能假冒读写器与标签进行通信,因此必须保证读写器内密钥的机密性。与标签不同的是,读写器不需要严格考虑成本、性能问题,因此可以通过传统的加密机制来保护其机密性。
完整性:是指读写器内的数据只能被授权用户修改。尤其要保护与标签相关的信息不被攻击者修改,因为这些信息往往与业务相关。
可用性:是指读写器可以正常发送请求并响应标签的回复。攻击者可能利用或毁坏读写器,因此需要保障读写器的可用性。
可审计性:是指读写器对标签的任何操作,包括读与写都可以被监测、追踪和审计。
5.3应用系统层
应用系统中与RFID相关的被保护数据包括三种类型:
(1)与标签相关的数据;
(2)与用户相关的数据;
(3)与业务应用相关的数据(如购物记录、银行交易等);
(4)代码。
机密性:是指应用系统中的数据不能被非授权用户访问。特别是与标签相关和与用户相关的信息,这些信息往往牵涉到用户的隐私[8],一般存在后台数据库中,一旦被攻击者获取,使用者的隐私权将无法得到保障。另外,还必须保障与业务应用相关的数据的机密性,因为攻击者很可能通过分析这些数据来跟踪用户的行踪、甚至分析用户的消费习惯。
完整性:是指应用系统中的数据不能被非授权用户修改。尤其是与用户相关的数据和业务应用数据,一旦被攻击者修改,可能造成很大的经济损失。
可用性:是指保证应用系统正常运转,满足用户的需求。
可审计性:是指保证应用可被监测、追踪和审计。
5.4射频通信层
射频通信层被保护的对象包括:(1)通信数据;(2)通信信道。
机密性:是指保护射频通信层通信数据的机密性。射频通信层是通过无线射频信号进行通信,攻击者可以通过采用窃听技术,分析微处理器正常工作过程中产生的各种电磁特征,来获得标签和读写器之间或其他RFID通信设备之间的通信数据。而且,由于从读写器到标签的前向信道具有较大的覆盖范围,因而它比从标签到读写器的后向信道更不安全。所以,射频通信层的通信数据的机密性显得尤为重要。
完整性:是指保护射频通信层通信数据不能够被非授权修改。攻击者可利用射频通信层无线网络固有的脆弱性来篡改或重放消息,来破坏读写器与标签之间的正常通信,因此需要采取加密、哈希或CRC校验码等方式来保证通信数据的完整性。
可用性:是指保护通信信道能正常通信。射频信号很容易受到干扰,恶意攻击者可能通过干扰广播、阻塞信道等方法来破坏射频通信信道,因此需要保障射频通信层的可用性。
5.5互联网层
互联网层在机密性、完整性和可用性方面的需求与传统互联网的需求基本一致,此处不再赘述。
6结论与展望
本文提出了基于RFID的物联网的抽象模型,并对进行了威胁建模,最后基于抽象模型和威胁模型,从信息安全的四个维度给出了基于RFID的物联网的安全需求。
目前,安全问题已经成为了阻碍基于RFID的物联网进一步发展的重要因素,如果其安全性不能得到充分保证,那么物联网系统中的个人信息、商业机密和军事秘密,都可能被人盗窃或被不法分子利用,这必将严重影响经济安全、军事安全和国家安全。但物联网系统庞大复杂,涉及到嵌入式系统、网络系统、控制系统、软件系统、安全系统等多种技术体系,相信经过长期、深入、持续的研究,因此,本文安全需求的提出可以给现有的基于RFID的物联网的发展在安全保障方便提供一定的借鉴意义。在接下去的研究中,我们将探索如何应用相关的技术和管理手段,为基于RFID的物联网系统设计一种完善的安全保障框架。
作者简介:
复旦大学软件学院:彭朋(1987-),女,硕士研究生;韩伟力(1975-),男,副教授,博士;赵一鸣(1961-),男,副教授;周建锁(1973-),男,北京中电华大电子设计有限责任公司高级工程师,博士;董浩然(1964-),男,北京中电华大电子设计有限责任公司高级工程师。
技术中心
