RFID射频识别系统的隐私和安全研究

张剑锋

（福建师范大学闽南科技学院，福建 泉州 362332）

摘 要：RFID射频识别是一项非接触式的自动识别技术，在无线传感网络中处于核心地位，它通过射频信号自动识别目标对象并获取相关数据，可快速自动识别高速运动物体并同时识别多个标签，识别工作无须人工干预.但RFID在获得广泛应用的同时，也面临着信息安全和隐私保护方面的问题和考验.本文主要针对射频识别系统的风险、安全需求、可能遭受的攻击类型、安全机制和策略等几个方面展开讨论和研究，旨在从技术层面分析和解决射频识别系统的隐私和安全问题，减少因隐私和安全问题给射频识别系统带来的影响.

教育期刊网 http://www.jyqkw.com
关键词 ：RFID；射频识别系统；隐私；安全

中图分类号：TP311文献标识码：A文章编号：1673-260X（2015）01-0062-03

1 引言

作为一项非接触式自动识别技术和下一代物联网的关键技术支撑之一，RFID技术通过射频信号的收发来自动识别目标对象并获取相关信息.目前RFID技术已被广泛应用于安防系统、高速公路自动收费系统、物流仓储管理、智能家居等各个领域.但由于RFID早期“开放系统”的设计思想以及降低成本、提高效率的应用思路，RFID标签设备简单，安全措施较少地被应用在RFID中.如果再加之RFID芯片设计不良或受保护力度低，芯片结构和其中的数据就很容易被非法获取.因此，单纯依靠RFID本身的技术特性无法满足和保障RFID系统的安全需求，RFID系统所面临的安全威胁越发严重.

2 RFID系统的安全与隐私问题

2.1 完整性问题

在整个的数据通信链条中，数据完整性保障接收方在不被攻击者篡改信息的情况下接收数据，一般采用基于公钥的密码体制的数字签名技术来实现.RFID系统中，一般采用一种包含共享密钥的Hash算法的消息认证码来进行数据完整性的检验，把待检测信息和共享密钥连接后进行Hash运算.但多数中低端RFID系统传输信息的完整性无法得到保障，如果不采用数据完整性控制机制，可写的标签存储器可能受到攻击.

2.2 隐匿性问题

RFID标签应该对任何未经授权的阅读器屏蔽一切敏感消息，经过严密组织的RFID安全方案应当能够保证标签中所含的信息只会被授权的阅读器读取和识别.但是在大多数廉价的阅读器和与之通信的标签之间由于缺乏支持点对点加密和PKI密钥交换功能，导致未采用安全机制的RFID标签会向邻近的阅读器泄露标签内容和信息.

2.3 真实性问题

攻击者可以通过重构RFID标签或伪造标签的方式，窃取标签与阅读器间通信数据中的敏感信息，或通过某种方式隐藏标签，是阅读器无法发现标签，从而实现物品转移.

2.4 隐私泄露问题

RFID中往往包含重要的个人、商业和军事隐私信息，这些信息的泄露可能给标签拥有者带来严重后果，RFID通常面临的隐私泄露威胁包括：①身份隐私威胁，攻击者可根据标签信息推测参与通信节点的身份；②内容隐私威胁，攻击者可获取通信交换信息的内容;③位置隐私威胁，攻击者可通过通信实体的物理位置估算实体的位置和相对距离.

3 针对RFID系统可能的攻击形式

3.1 窃听方式

RFID技术的频谱范围在正常的无线电工作范围内，其通信内容可以被窃听.窃听属于纯被动过程，可远程实施，不会发出任何信号，难以被监测和发现.如采用安装在RFID读卡器附近的接收天线就可以捕获到标签和阅读器间通信的信号.尤其当窃听天线工作于恶意扫描范围（Malicious Scanning）且在不严苛的通信设备管制情况下，阅读器和标签之间的消息通信比直接通信被窃听的可能性更大，更具威胁.

3.2 重放方式

当RFID标签接近阅读器时，标签以自动方式被激活并开始进行验证和数据传输，在不知晓标签拥有者的情况下，攻击者也可以与标签进行通信.正是由于消息只是通过快速通信信道进行的重放，重放内容在通信前无须预先知道，因此，重放攻击形式对加密通信也存在威胁.

3.3 略读方式

在未得到标签拥有者许可或不知情的情况下超权限非法获取RFID上存储数据的攻击方式，略读方式通过未经授权的阅读器与标签通信来得到数据.电子护照是略读攻击最典型的攻击对象，由于电子护照中包含大量用户的敏感信息，它被要求使用数字签名进行强制被动认证机制，然而，数字签名并未与护照的特定数据关联，这样阅读器不被认证，标签会不加选择地进行回答.

3.4 失效方式

采用某些方式使标签失效以使它们不可读，如在大功率射频场的作用下能够感应出足以烧毁天线脆弱部分的电流，切断芯片和天线间的连接部分，导致设备失效，读取失败.

4 RFID的安全控制机制

针对RFID可能受到的攻击及其自身的脆弱性，在一个高度安全的RFID系统中必须对以下攻击形式能够进行防范：

（1）为了复制或改变数据，未经授权读取数据和信息；

（2）外来的数据载体进入某个读写器的侦讯范围内，企图得到非授权出入和拒绝付费的服务；

（3）为假冒真正的数据载体而窃听无线电通信并重放数据.

以下提出针对几种实现RFID安全机制所采用的方法进行讨论.

4.1 物理安全机制

4.1.1 杀死标签（Kill）机制

杀死标签（Kill）机制是物理销毁RFID标签的一种方法，当标签被施以kill操作后，原标签上的一切功能将关闭或不可再用.物理销毁后的标签失去了原本对阅读器询问和相关命令进行应答和执行操作的功能，起到了保护标签拥有者个人隐私的目的，但这种方法也破坏了标签本身，成本较大.

4.1.2 电磁屏蔽机制

采用法拉第网罩原理，将RFID标签置于金属网制成的容器内，利用电磁波屏蔽原理阻隔电波的通过，使之不能接受来自任何阅读器的信号.消费者可以将私人物品和需保密的物品放在具有屏蔽功能的袋子中起到防止泄密的功能.

4.1.3 主动干扰机制

与其他非主动干扰机制相比，主动干扰方式使用一个设备不间断地发送干扰信号，以干扰任何靠近标签的阅读器所发出的信号.

4.2 基于密码技术的安全机制

基于密码技术的安全机制结合现有较成熟的密码编码方法来设计实现符合RFID安全需求的密码协议，与网络安全类似，RFID系统的访问认证策略也是基于密码认证的方法，对阅读器访问RFID标签进行认证控制.

4.2.1 三通互相鉴别协议

三通互相鉴别协议（ISO9797-2）是一种基于对称加密算法的协议，阅读器和标签在通信过程中进行双向认证，交互识别对方经过密钥保护的ID，如图1所示，执行过程如下：