1 引言
    無線射頻識別(Radio Frequency Identification RFID)系統(tǒng)是利用RFID技術對物體對象進行非接觸式、即時自動識別的信息系統(tǒng)[l]。由于RFID系統(tǒng)具有可實現(xiàn)移動物體識別、多目標識別、非接觸式識別以及抗干擾能力強等優(yōu)點．已經(jīng)被廣泛應用到零售行業(yè)、物流供應鏈管理、圖書館管理和交通等領域。并視為實現(xiàn)普適計算環(huán)境的有效技術之一。然而。由于RFID系統(tǒng)涉及到標簽、讀寫器、互聯(lián)網(wǎng)、數(shù)據(jù)庫系統(tǒng)等多個對象．其安全性問題也顯得較為復雜，包括標簽安全、網(wǎng)絡安全、數(shù)據(jù)安全和保護隱私等方面。目前。RFID系統(tǒng)的安全問題已成為制約RFID技術推廣應用的主要因素之一。
2 RFID系統(tǒng)安全與隱私
    RFID系統(tǒng)包括RFID標簽、RFID讀寫器和RFID數(shù)據(jù)處理系統(tǒng)三部分[2] RFID系統(tǒng)中安全和隱私問題存在于信息傳輸?shù)母鱾€環(huán)節(jié)。目前RFID系統(tǒng)的安全隱私問題主要集中在RFID標簽與讀寫器之間電子標簽比傳統(tǒng)條形碼來說安全性有了很大提高。但是RFID電子標簽也面臨著一些安全威脅。主要表現(xiàn)為標簽信息的非法讀取和標簽數(shù)據(jù)的惡意篡改。
    電子標簽所攜帶的標簽信息也會涉及到物品所有者的隱私信息。電子標簽的隱私威脅主要有跟蹤隱私和信息隱私[3]。
    
    RFID系統(tǒng)的數(shù)據(jù)安全威脅主要指在RFID標簽數(shù)據(jù)在傳遞過程中受到攻擊。被非法讀取、克隆、篡改和破壞。這些將給RFID系統(tǒng)帶來嚴重影響[2]。RFID與網(wǎng)絡的結(jié)合是RFID技術發(fā)展的必然趨勢。將現(xiàn)有的RFID技術與互聯(lián)網(wǎng)融合。推動RFID技術在物流等領域的更廣闊的應用。但隨著RFID與網(wǎng)絡的融合。網(wǎng)絡中常見的信息截取和攻擊手段都會給RFID系統(tǒng)帶來潛在的安全威脅[4]。保障RFID系統(tǒng)安全需要有較為完備的RFID系統(tǒng)安全機制做支撐?，F(xiàn)有RFID系統(tǒng)安全機制所采用的方法主要有三大類：物理安全機制、密碼機制、物理安全機制與密碼機制相結(jié)合。物理機制主要依靠外加設備或硬件功能解決RFID系統(tǒng)安全問題．而密碼機制則是通過各種加密協(xié)議從軟件方面解決RFID系統(tǒng)安全問題。

 3 一種基于攻擊樹的RFID系統(tǒng)安全策略
   
    RFID系統(tǒng)的物理安全機制和密碼安全機制往往偏重于某個特定的場景或者特定的安全問題．并不能夠有效地保證一個實際的RFID系統(tǒng)安全．在解決具體問題上也缺乏系統(tǒng)性的描述．為此，提出一種基于攻擊樹的復合型安全策略。該策略通過分析RFID系統(tǒng)安全隱患．以攻擊者的角度模擬各種攻擊過程．并用攻擊樹的形式加以表現(xiàn)．針對不同的攻擊隱患制定不同的安全策略．并最終形成一套復合型的安全策略。
   
    復合型安全策略的基礎是RFID系統(tǒng)安全隱私攻擊模型．該模型能夠?qū)φ麄€的攻擊過程進行結(jié)構(gòu)化和形式化的描述．有助于深入分析和研究各種可能的攻擊行為．并提出相應的解決策略．進一步提高系統(tǒng)的安全性攻擊模型的研究是一門前沿學科．目前大都處于理論研究階段．主要有適于安全知識共享的模型和適于攻擊檢測和安全預警的模型兩種這里提出的RFID系統(tǒng)安全攻擊模型是一種基于攻擊樹的RFID標簽信息竊取攻擊模型。
3．1 RFID系統(tǒng)安全策略
    (1)攻擊樹模型構(gòu)建
    攻擊樹模型[5]是由Bruce Scheier提出的一種使用樹型結(jié)構(gòu)模擬攻擊方法和攻擊實例表示整個攻擊過程的方法。該模型使用樹來表示攻擊行為及步驟之間的相互依賴關系．每個節(jié)點代表一個攻擊行為或子目標．根節(jié)點表示攻擊的最終目標模型中用“與分解”和“或分解”表示兩種不同的樹結(jié)構(gòu)。“與分解”樹表示所有子目標實現(xiàn)父目標才能實現(xiàn)。“或分解”樹表示子目標中任一目標的實現(xiàn)父目標就可實現(xiàn)。
   
    根據(jù)RFID系統(tǒng)的實際需要．以攻擊者的角度模擬所有可能的攻擊路徑和方法．使用“與分解”和“或分解”描述全部攻擊行為或子目標．并使用深度優(yōu)先方式從攻擊樹中推導出實現(xiàn)最終目標的攻擊路徑。一般可以先采用原語描述整個攻擊過程，在原語描述中AND和OR分別表示“與分解”樹和“或分解”樹，G表示攻擊目標．通過原語的描述最終推導出攻擊樹模型。
    (2)安全策略選擇
   
    在RFID攻擊樹模型中．由于中間節(jié)點可以由其子節(jié)點描述(即父目標需要子目標實現(xiàn)才能實現(xiàn))，因此攻擊路徑不含有中間節(jié)點．而只含有各層的葉子節(jié)點．不同的攻擊路徑對應著不同的子目標或攻擊方式。目前RFID系統(tǒng)安全策略主要有物理安全機制和密碼安全機制兩大類．兩類安全機制從不同的方面解決現(xiàn)有的RFID系統(tǒng)安全隱私問題．有針對性地選擇不同的安全策略有助于更好地維護整個RFID系統(tǒng)安全。
    (3)復合安全策略構(gòu)成
    RFID系統(tǒng)復合安全策略應該根據(jù)標簽的性能和應用場合靈活選擇．一般由物理安全機制和密碼安全機制整合而成對于不同的安全級別所需要的復合安全策略是不同的．一種攻擊模型可能存在多種不同的復合安全策略．因此應該根據(jù)RFID系統(tǒng)實際要求選擇最合適的復合安全策略。此外．在構(gòu)成安全策略時應該考慮各安全機制之間兼容性問題，如靜電屏蔽和阻塞標簽．保證各安全機制能夠正常執(zhí)行。

3．2 標簽信息竊取的攻擊樹模型及策略
   
    假定標簽信息竊取的攻擊樹模型場景：非授權讀寫器讀取RFID標簽或監(jiān)聽授權讀寫器與標簽通信．其中標簽與讀寫器通過一定的安全協(xié)議來保證傳輸過程中的安全。根據(jù)攻擊者要獲取標簽信息和需要采取的各種可能攻擊行為構(gòu)建的攻擊模型的原語描述。

    達到目標必須經(jīng)由4個分Go支，而每個分支都有各自的子分支該攻擊樹模型將標簽信息竊取中的攻擊行為具體和實例化．使得復雜的攻擊行為分解成許多攻擊分支。這樣．研究安全攻擊行為時只需要尋找一條可行的到達根節(jié)點路徑即可。
    由以上攻擊模型可以得出．取得竊取RFID標簽信息的最終目標可以由以下幾種攻擊路徑達到：
    <G11，G21，G31，G32，G33，G41，G42>，<G11，G22，G31，G32，G33，G41，G42>
，<G12，G21，G3l，G32，G33，G41，G42>，<G12，G22，G31，G32，G33，G4l，G42>o
    針對各種攻擊子目標的RFID系統(tǒng)安全機制如下：
    (1)G11 防止標簽頻率檢測，如法拉第容器、主動干擾、頻率更改：
    (2)G21：防止標簽識讀范圍和能量檢測，如讀寫距離控制、頻率更改；
   
    (3)G31，G32，G33：防止安全協(xié)議的檢測以及相關認證key的竊取，可采用ID可變．認證嚴謹?shù)陌踩珔f(xié)議，如隨機化Hash—Lock協(xié)議、基于雜湊的ID變更協(xié)議、分布式RFID詢問一應答認證協(xié)議：

    (4)G41：防止RFID讀寫器頻率檢測，如頻率更改：
    (5)G42：防止RFID讀寫器與后端系統(tǒng)接口假冒．主要是通過安全協(xié)議和網(wǎng)絡部分的安全策略來解決．可采用認證等方式解決。
   
    通過對上述系統(tǒng)攻擊模型的研究和安全機制的選擇．法拉第容器由于自身的屏蔽效應不能很好的和其他安全機制兼容．而主動干擾機制容易對正常的讀寫工作產(chǎn)生干擾．因此可以考慮使用頻率更改機制預防G11對于G21，使用讀寫距離控制和頻率更改機制可以共同提高安全性能．但此處應該注意頻率和讀寫距離之間的關系；而對于G31，G32，G33可以根據(jù)實際的RFID系統(tǒng)要求選擇相應級別的安全協(xié)議。

    綜上所述．RFID系統(tǒng)標簽信息竊取的復合安全策略如下：
    (1)頻率更改、讀寫距離控制、隨機化Hash—Lock協(xié)議． 由于在最后的認證通過時采用明文形式．仍然存在不安全問題，主要適用于安全級別較低的情況：
    (2)頻率更改、讀寫距離控制、基于雜湊的ID變更協(xié)議，由于協(xié)議的性能，不適合于分布式數(shù)據(jù)庫的普適計算環(huán)境，存在數(shù)據(jù)同步安全隱患；
    (3)頻率更改、讀寫距離控制、分布式RFID詢問一應答認證協(xié)議，沒有明顯安全漏洞，僅適合高保密性能的高成本標簽。
    4 結(jié)束語
   
    隨著RFID技術在公共安全、生產(chǎn)管理與控制、現(xiàn)代物流與供應鏈管理、交通管理、軍事應用等領域中優(yōu)先投入應用．必將對RFID系統(tǒng)的安全在標簽安全、數(shù)據(jù)安全和網(wǎng)絡安全等方面提出更高的要求。文中在分析RFID系統(tǒng)中現(xiàn)存的安全隱私威脅的基礎上．列舉了針對不同安全問題的RFID安全機制和安全協(xié)議．并提出基于攻擊樹的RFID系統(tǒng)攻擊模型及復合安全策略．以攻擊者的角度分析系統(tǒng)中存在的信息竊取隱患．對于深入研究更加合理的RFID安全機制和安全協(xié)議具有重要的現(xiàn)實意義。