射頻識別技術RFID（Radio　Frequency　Identification）是一種利用射頻通信實現的非接觸式通信技術，利用此項技術可以實現對目標對象的自動識別，并讀取相關數據的目的。RFID技術具有操作快捷、精度高、非可視識別、適應環境能力強、抗干擾性強等多方面的條形碼技術不具備的優點。但隨著RFID技術被廣泛的應用，它所帶來的信息安全和隱私問題也越來越顯現出來。

1　RFID系統的組成

如圖1所示，RFID系統一般由標簽、讀寫器和后端數據庫三大基本部分構成。

RFID標簽又被稱為應答器，它和傳統的條形碼一樣，被固定在貨物上以記載信息;讀寫器又被稱為收發器，具有向RFID標簽讀取和寫入信息的能力;后端數據庫是管理和記錄系統內RFID標簽相關信息的數據庫系統，通常具有強大的數據分析、計算、存儲能力。此外，系統中還配備有與之配套的用于完成RFID標簽數據信息的收集的應用接口或中間件，采用多種傳輸方式實現數據傳送。

1.1　電子標簽

電子標簽（Tag）一般直接附著在物體上，具有唯一的序列號以定義物體的屬性。它和條碼技術中條碼符號的作用相似，存儲了所附著物體所具有的身份信息。所以，它是系統中信息的真正載體。典型的電子標簽包含了存儲有數據信息的電子芯片以及一系列耦合元件，例如盤繞著的天線，以用于射頻通信或從外界磁場獲取能量。

標簽按照供能方式又分為主動式（有源）、半被動式（有源）和被動式（無源）三種。主動式和半被動式標簽自己攜帶了電池等供能裝置，通過電池給標簽提供工作所需的能量，可以主動或被動的發射和接收射頻信號，而且通信距離通常能達到100—1000米。被動標簽本身是不帶供能裝置的，它通過耦合天線接收讀寫器發出的詢問信號，根據電感耦合原理或電磁反向散射耦合原理，使在芯片通路中形成微弱的電流，當標簽芯片中的能量達到了最小門限電壓值時，標簽就被激活，讀寫器就可以對標簽進行讀寫操作了。由于缺少內置電池，被動式標簽的通信范圍通常僅在10米以內。

標簽按照所具備的功能來看，又可分為三種：只讀標簽、可讀寫標簽和具有密碼功能的標簽。只讀標簽僅僅包含一個在芯片生產過程中由廠家置入的唯一的簡單序列號以表明標簽的身份。由于標簽不具有改寫功能，所以該序列號一旦被置入就無法改變，該芯片也不能再被寫入任何數據。同時其通信方式也僅僅是標簽向讀寫器的單向傳送。可讀寫標簽內的信息可以被反復讀寫，寫入的字節從一個到數千不等。它不但可以向讀寫器傳送數據，而且其存儲的數據還可以被讀寫器修改。具有密碼功能的標簽具有防止標簽被未經許可的訪問這一功能，可以避免標簽內存儲的信息泄露。

按照載波頻率可以把標簽分為低頻、中頻和高頻標簽。低頻標簽主要有125kHz和134.2kHz兩種，中頻主要為13.56MHz，高頻主要為433MHz、915MHz、2.45GHz、5.8GHz等。其中以低頻的125kHz和中頻的13.56MHz兩個頻段的標簽是主流產品。低頻系統主要用于城市一卡通、校園卡、貨物跟蹤、停車場收費系統等低成本的應用。中頻系統多用于門禁控制以及在通信中數據量較大的應用系統;高頻系統因其成本較高并且天線發射出的波束具有較強的定向性的特點，因此通常被應用在列車監控、電子不停車收費ETC（Electronic　Toll　Collection）等需要較長的讀寫距離和高讀寫速度的場合。

1.2　讀寫器

按照通信方式，可以把讀寫器分為讀寫器優先RTF　（Reader　Talks　First）和標簽優先TTF　（Tag　Talks　First）兩種。讀寫器優先是指標簽不會主動向讀寫器發送射頻信號，只有在被讀寫器發送的射頻信號激活且收到完整的讀寫器指令后，才會返回相應的數據信息以響應讀寫器的命令。標簽優先是指對于被動式標簽系統，讀寫器只發送等幅的、不帶任何控制命令和信息的射頻能量以激活標簽。標簽被激活后才能向讀寫器發送相應的數據信息。在讀寫器和標簽互相傳送信息時，也分為全雙工和半雙工兩種方式進行。

按照應用模式，可以把讀寫器分為固定式讀寫器、便攜式讀寫器和一體式讀寫器。固定式讀寫器是指后端服務器、讀寫器和天線分別被固定安裝在不同的位置，同時讀寫器可以擁有多個天線接口和多種輸入輸出設備接口便于通信;便攜式讀寫器是指后端服務器、讀寫器和天線集成在一起，且體積較小，便于攜帶和移動;一體式讀寫器是指天線被集成在讀寫器的機殼內，同時讀寫器被安裝在固定的地點，后端數據庫則另選位置進行安裝。

按照載波頻率，也可以把讀寫器分為低頻、中頻和高頻三類。分別對應于標簽的相應頻段。

1.3　后端數據庫

后端數據庫（Back-end　Database）是可以運行在任何硬件平臺的數據庫系統，包括系統中間件、系統應用軟件和數據庫。主要完成對數據信息的存儲及處理，通過控制讀寫器對標簽進行讀寫操作。它配合中間件接收可信的讀寫器獲取的標簽發送來的數據信息，進行相關的運算，同時提供被訪問標簽的相關數據。另外，它也為標簽和讀寫器之間的相互認證過程提供進一步的服務。

2　RFID系統的安全問題

“系統開放”的設計思想導致了RFID系統的安全風險。此外，RFID設計和應用的目的就是了為降低成本，提高效率，所以要求被大規模使用的電子標簽具有低廉的價格和簡單的元件，從而導致其不能實現復雜的密碼算法。這些局限使RFID系統面臨的安全威脅更加嚴重，也對RFID系統的安全機制的設計帶來了特殊的要求。如圖4所示，讀寫器發送至標簽的射頻信號的通信信道被稱為“前向信道”，標簽發送至讀寫器的射頻信號的通信信道則稱為“反向信道”。由于在應用中大部分標簽屬于被動式標簽，讀寫器承擔著為標簽提供能量的任務，所以它的無線功率往往會大大超過標簽，這也就導致了系統的前向信道的覆蓋范圍遠大于反向信道。同時，標簽和讀寫器之間的通信也會受到噪聲、通信頻率、障礙物等許多因素的影響。對于RFID系統，我們通常做如下基本假設：標簽與讀寫器之間的通信信道是不安全的;而讀寫器與后端數據庫之間的通信信道是安全的。

2.1　數據完整性問題

數據完整性是指在通信過程中接收者收到的數據與發送者發出的數據是一致的，沒有被篡改或替換。這一性質也說明了數據是準確和可靠的。通信過程中倘若不能保證數據的完整性，也就意味著數據可能已經被篡改或者丟失，導致其包含的信息不完整甚至無效。

在基于公鑰的密碼體制中，一般是采取消息摘要或數字簽名的方式來保證數據的完整性。而在RFID系統中，為了保證數據完整性，通常會采用消息認證碼來進行校驗。它使用的是一種帶有共享密鑰或者不帶密鑰的Hash算法，其實質是將后端數據庫和標簽所共享的秘密與待檢驗的消息連接在一起，或者單獨對消息進行Hash運算。由于Hash函數的性質，攻擊者對待檢驗消息的任何細微改動都會產生雪崩效應，造成消息認證碼的較大改變。事實上，在讀寫器和標簽的通信過程中，除了采用ISO　14443標準并使用了消息認證碼的高端系統外，傳輸信息的完整性無法得到保障。但如果在具有可讀寫標簽的系統中不采用數據完整性控制機制，那么攻擊者就可利用計算機的通信接口，掃描到在讀寫器發出查詢請求后RFID標簽所作出的響應，并由此尋找到系統所使用的加密算法、安全協議以及實現機制上的漏洞，然后就可以對標簽中的數據進行篡改或刪除。

2.2　身份真實性問題

對于RF1D系統的許多應用來說，對認證標簽身份的真實性是非常重要的環節。標簽和讀寫器只有相互確認合法之后，才能輸出自身信息和控制命令。由于標簽和讀寫器之間的信息是通過無線射頻信號的方式在不安全信道上傳播，攻擊者可以很容易的從竊聽到的通信數據中獲得敏感信息，并以此偽造系統中標簽，從而達到欺騙讀寫器的目的。舉例來說，攻擊者可以通過將截取的合法標簽的信息進行重放，或利用偽造的標簽代替實際物品，或把高價物品標簽的內容用低價物品標簽來替換從而獲取非法利益。同時，為了將物品成功轉移，攻擊者也可以通過技術手段將合法的標簽屏蔽掉，以此來躲避讀寫器的跟蹤;反之，也可以偽裝成一個合法的讀寫器向標簽發出控制命令，來修改標簽內的數據。因此，為了保護數據的真實性，讀寫器只有確認了標簽的合法身份之后才能確信所接收消息的真實性;標簽也只能在確認了讀寫器的合法身份之后才能向其傳送自身的數據。

2.3　數據隱匿性問題

標簽內的信息僅能被合法的讀寫器識別，這是一個安全的RFID系統必須提供的保障。要保證RFID系統的信息安全，標簽就不應當向任何非法的讀寫器泄漏自身的數據。未采用任何安全機制的標簽，其數據在通信時不會受到任何保護，可能會通過并不能保證安全的無線信道向其它不合法的讀寫器泄漏標簽內的敏感信息。受到成本的限制，大多數標簽的計算能力和存儲空間相當有限，缺乏對P-to-P（Point-to-Point）加密以及公鑰基礎設施PKI（Public　Key　Infrastructure　）密鑰交換等功能的支持，因此在RFID系統讀寫器與標簽的信息交換過程中，攻擊者獲取并利用標簽上的信息是很容易的事。

同時，由于從讀寫器發送往標簽的射頻信號具有較強的覆蓋范圍，它的信號更容易被攻擊者所截獲，因此它和反向信道上的信號相比更加的不安全。攻擊者可以很輕易的竊聽到前向信道中傳送的數據，甚至可以通過采用邊信道攻擊的方法，分析在通信過程中產生的時間消耗、功率消耗和各種電磁輻射的規律性來獲得標簽和讀寫器之間的通信數據。

2.4　用戶隱私侵犯問題

在RFID系統的許多應用中，標簽中所包含的信息主要受到位置隱私和信息隱私兩個方面的侵犯。

位置隱私含有高度的個人特征。攻擊者可以通過讀寫器跟蹤到RFID標簽的行蹤，從而很輕易的探知到標簽持有者的活動軌跡。信息隱私主要包括標簽自身所包含的敏感信息，這些信息一旦被泄露，標簽持有者的隱私信息往往無法得到保障。舉例來說，大型超市可以在提供給顧客的購物籃、手推車上安裝RFID標簽，以跟蹤進店消費者的購物路線以及統計在某個片區的停滯的時間。同樣也可以為每一類商品安裝上區分于其它商品的唯一標簽。這樣，不僅可以統計出商品的銷售情況，甚至還可以根據統計商品的被移動次數來推斷顧客的喜好情況。利用這樣的信息，超市就能判斷出消費者的消費習慣，從而采取相應的營銷策略。

3　RFID系統的安全需求

一套完善安全的RFID系統解決方案，必然有其在安全性和隱私性兩方面的要求。應該具備前向安全性、不可分辨性、訪問控制、抗通信量分析、抗重放攻擊等基本特征。

1）前向安全性。指攻擊者不能從獲得的當前數據以及歷史數據中分析出標簽包含的隱私信息，也不能從獲得的當前數據回溯出歷史數據。

2）不可分辨性。指攻擊者無法把截獲的來自不同標簽的多個輸出數據與發送它們的標簽一一對應起來;攻擊者無法通過截獲的來自同一標簽的多個輸出數據區分出這個標簽的輸出。

3）訪問控制。指攻擊者即使偽裝成合法的讀寫器對標簽進行未授權的掃描，標簽也能成功識別并拒絕;同時，合法的讀寫器能夠順利經過標簽的認證而讀取標簽中的信息。

4）抗通信量分析。指攻擊者即使截獲了大量的通信數據樣本，也無法通過分析這些樣本而得出通信過程中存在的一定規律，從而破解通信協議。

5）抗重放攻擊。指攻擊者無法通過重放之前截取的讀寫器發往標簽的詢問信息而冒充讀寫器通過標簽的認證;也無法通過重放之前截取的標簽發往讀寫器的應答信息而冒充標簽通過讀寫器的認證。

4　總結

本文首先詳細介紹了典型RFID系統的三大基本組成及其特點，然后指出了現行的RFID系統在實際運用中存在的安全問題，最后分析得出一個完備的RFID系統所必須滿足的安全需求。我們在設計RFID系統時，充分分析其安全需求、盡可能的保證系統安全是至關重要的。

責任編輯：Ct