羅衡峰，譚金媛，陳鐵民

（1.工業(yè)和信息化部電子第五研究所，廣東 廣州 510610；2.湖南省隆回縣農(nóng)村信用聯(lián)社，湖南 邵陽 422200；3.湖南移動(dòng)有限公司永州分公司，湖南 永州 425000）

0 引言

通過大量的研究，射頻識(shí)別技術(shù)（RFID）系統(tǒng)存在的漏洞大致可以分為前端漏洞和后端漏洞，后端漏洞主要涉及到的是閱讀器與后端系統(tǒng)的交互以及后端數(shù)據(jù)庫的漏洞；前端系統(tǒng)漏洞主要是標(biāo)簽漏洞以及標(biāo)簽與閱讀器之間通信的漏洞。

筆者在本文提出的漏洞發(fā)現(xiàn)模型概括了RFID系統(tǒng)完整的組成部分，包括標(biāo)簽、閱讀器、中間件、后臺(tái)數(shù)據(jù)庫和EPCIS（EPC信息服務(wù)）網(wǎng)絡(luò)等關(guān)鍵組成部分的漏洞。基于此漏洞模型，就可以去挖掘RFID系統(tǒng)漏洞。

1 漏洞發(fā)現(xiàn)模型的提出

一個(gè)應(yīng)用系統(tǒng)的漏洞，特別是RFID系統(tǒng)的漏洞，一般不能通過人工觀測的方法去發(fā)現(xiàn)它的漏洞，只有通過一些攻擊的方法去攻擊系統(tǒng)，只要攻擊成功，則說明該系統(tǒng)存在相應(yīng)的漏洞[1-2]。在一個(gè)完整的RFID系統(tǒng)中，通過對系統(tǒng)實(shí)施一定的攻擊手段，去識(shí)破系統(tǒng)的漏洞，對于一個(gè)應(yīng)用型的RFID系統(tǒng)，要從哪些方面去實(shí)施攻擊從而發(fā)現(xiàn)系統(tǒng)的漏洞呢？基于這些問題，本文提出了一個(gè)RFID系統(tǒng)漏洞發(fā)現(xiàn)模型。因?yàn)槭怯霉舴椒ㄈグl(fā)現(xiàn)漏洞，所以想通過RFID系統(tǒng)的攻擊模型來映射RFID系統(tǒng)漏洞發(fā)現(xiàn)模型。最終，根據(jù)一個(gè)完整的RFID應(yīng)用系統(tǒng)，提出RFID系統(tǒng)漏洞發(fā)現(xiàn)模型圖如圖1所示。

圖1 RFID系統(tǒng)漏洞發(fā)現(xiàn)模型圖

圖1展示了一個(gè)完整RFID系統(tǒng)的攻擊模型，從這個(gè)攻擊模型可以看出，針對RFID系統(tǒng)的各個(gè)層面的設(shè)備，以及設(shè)備之間通信的信道，都可以實(shí)施一定的攻擊，只要攻擊成功，則證明系統(tǒng)該處是存在漏洞的，并且說明這樣的漏洞已經(jīng)暴露，可被攻擊，說明整個(gè)系統(tǒng)存在危險(xiǎn)。

2 漏洞發(fā)現(xiàn)模型分解

2.1 TR模型

在一個(gè)簡單的RFID系統(tǒng)中，用戶經(jīng)常用到的就是自己的標(biāo)簽（Tag）和閱讀器（Reader）之間的通信，稱之為前向通信[3-4]。這個(gè)通信過程是在一個(gè)開放的無線信道里面進(jìn)行，只要符合標(biāo)準(zhǔn)的閱讀器都可以對標(biāo)簽進(jìn)行讀寫操作，其安全性受到很大的威脅，攻擊者對這個(gè)信道實(shí)施相應(yīng)的攻擊，我們也可以從這個(gè)層面來發(fā)現(xiàn)RFID系統(tǒng)的漏洞，我們將其稱為TR模型。如圖2所示。

圖2 RFID漏洞發(fā)現(xiàn)TR模型

通過建立TR模型，可以從以下3個(gè)方面來分析RFID系統(tǒng)的漏洞：

a）首先在Tag端，Tag本身有自己的漏洞。比如，Tag的物理結(jié)構(gòu)設(shè)計(jì)不合理，不夠穩(wěn)定，易受攻擊；Tag存儲(chǔ)數(shù)據(jù)的安全等級不夠高，容易讓敵手獲取用戶數(shù)據(jù)，用戶隱私難以保護(hù)等威脅。

b）在Tag與Reader通信信道中的漏洞。這個(gè)信道是一個(gè)開放的無線信道，任何符合標(biāo)準(zhǔn)的設(shè)備都可以在這個(gè)信道中正常使用，由此在Tag與Reader通信過程中，敵手可以竊聽、利用中間人等方式實(shí)施攻擊獲取到Tag與Reader通信過程中相互認(rèn)證的消息，最終假冒身份以達(dá)到欺騙正常Reader的目的，這就引發(fā)了Tag與Reader通信信道的漏洞。

c）在Reader端，Reader是整個(gè)RFID系統(tǒng)中獲得Tag數(shù)據(jù)的工具，只要掌控了Reader，相應(yīng)地就可以獲取Tag的數(shù)據(jù)。對Reader的攻擊也是日益增多，包括對Reader物理結(jié)構(gòu)上的攻擊，一個(gè)簡單的拒絕服務(wù)攻擊就可以讓Reader讀寫Tag的能力受到很大的限制，所以在RFID前向通信的Reader端的漏洞還是要引起我們的重視。

2.2 TRB模型

TRB模型即Tag-Reader-Backend System模型。這樣一個(gè)模型實(shí)際上也展示了一個(gè)簡單的RFID系統(tǒng)模型，包括標(biāo)簽、閱讀器和后臺(tái)數(shù)據(jù)庫。TR模型已經(jīng)提到了Tag與Reader之間通信的漏洞，TRB模型的提出主要是為了分析及發(fā)現(xiàn)Reader與Backend system之間的漏洞。如圖3所示。

圖3 RFID漏洞發(fā)現(xiàn)TRB模型

在RFID系統(tǒng)工作的時(shí)候，Reader訪問標(biāo)簽的時(shí)候往往會(huì)訪問到后臺(tái)數(shù)據(jù)庫，比如說和數(shù)據(jù)庫中存放的標(biāo)簽信息與其讀到的信息比對驗(yàn)證身份之類的操作，只要有通信，就會(huì)有敵手來竊聽；同樣，在Reader與后臺(tái)數(shù)據(jù)庫系統(tǒng)交換信息的通道上可以實(shí)施攻擊來獲取有關(guān)標(biāo)簽的信息，因?yàn)檫@個(gè)通道大多數(shù)情況下是有線通道，PC上的數(shù)據(jù)庫通過USB或者串口直接和Reader通信，所以目前在這個(gè)通道上實(shí)施的攻擊或者說這個(gè)通道上的漏洞還不見得有很多，算是比較安全。而只考慮Backend system，敵手只需工具數(shù)據(jù)庫就可以完成對Tag的信息竊取。這樣一來就是關(guān)于數(shù)據(jù)庫的攻擊以及數(shù)據(jù)庫的漏洞的分析了，這方面的東西有很多了，攻擊手段以及防范措施較為成熟，但是，只要是認(rèn)為設(shè)計(jì)的東西，都有一定的漏洞。

2.3 TRMBE模型

TRMBE模型即Tag-Reader-Middleware-BackendSystem-EPCIS模型。這個(gè)模型是一個(gè)較復(fù)雜的RFID系統(tǒng)模型，它是在一個(gè)簡單的RFID系統(tǒng)模型的基礎(chǔ)上，在Reader與Backend system之間增加了RFID Middleware（RFID中間件），而后端也增加了Backend system與EPCIS之間的通信。如圖4所示。

TRMBE模型的建立，也為敵手提供了很多可攻擊的地方，而恰好這些可被攻擊的地方正是我們RFID系統(tǒng)存在漏洞的地方。

a）Attack the Middleware—EPCIS Channel

敵手在RFID中間件與EPCGlobal Network的通信信道上實(shí)施攻擊，獲取相應(yīng)的信息，由此就又產(chǎn)生了Middleware—EPCIS Channel漏洞。

圖4 RFID漏洞發(fā)現(xiàn)TRMBE模型

b）Attack the Backend—EPCIS Channel

敵手在后臺(tái)數(shù)據(jù)庫系統(tǒng)與EPCGlobal Network的通信信道上實(shí)施攻擊，從而竊取有關(guān)信息，由此就又產(chǎn)生了Backend—EPCIS Channel信道漏洞。

c）Attack the Reader—EPCIS Channel

在RFID系統(tǒng)中，Reader可以直接和EPCGlobal Network進(jìn)行數(shù)據(jù)交互，敵手通過監(jiān)聽這個(gè)信道來竊取消息，攻擊成功證明存在漏洞。

d）Attack the EPCGlobal Network

既然有這樣一個(gè)網(wǎng)絡(luò)存在，那就可以直接對這個(gè)網(wǎng)絡(luò)實(shí)施攻擊來獲取相應(yīng)的信息。EPCGlobal Network的存在，必須要加強(qiáng)對這個(gè)網(wǎng)絡(luò)的安全建設(shè)，否則它的存在會(huì)引發(fā)很多漏洞。

e）Attack the EPCIS

如果一些RFID的應(yīng)用系統(tǒng)要用到EPCIS，那就必須考慮到EPCIS的安全性問題，是否可以和這個(gè)服務(wù)器交換數(shù)據(jù)信息，或者說與EPCIS交互的過程是否安全，就要去分析這個(gè)服務(wù)器有沒有漏洞可以被敵手用來攻擊。

2.4 TRMBEC模型

TRMBEC模型是TRMBE模型的加強(qiáng)版，這個(gè)模型的提出是建立在兩個(gè)或者兩個(gè)以上的RFID應(yīng)用系統(tǒng)之間要進(jìn)行數(shù)據(jù)交互的前提下的。如圖5所示。

圖5 RFID漏洞發(fā)現(xiàn)TRBEC模型

在TRMBEC模型中，較之一個(gè)RFID應(yīng)用系統(tǒng)，增加了一些兩個(gè)系統(tǒng)之間的通信信道。它們是the Middleware—Middleware Channel，Backend—Backend Channel，and Backend—Middleware Channel。這3個(gè)信道都是建立在一個(gè)RFID系統(tǒng)和另一個(gè)RFID系統(tǒng)之間的，它們的通信信道大多數(shù)情況下都是通過有線的方式建立，通過PC來控制它們之間的數(shù)據(jù)交互，這樣一來，這些信道的漏洞就被劃分到了程序的漏洞和一些數(shù)據(jù)庫以及PC本身的漏洞了。

通過建立以上4個(gè)模型，實(shí)際上是4個(gè)RFID攻擊模型，通過這些攻擊我們才會(huì)去發(fā)現(xiàn)RFID系統(tǒng)的漏洞，從而也就是我們發(fā)現(xiàn)RFID系統(tǒng)的漏洞模型。到最后總體模型的建立，我們找到了一個(gè)很全面分析RFID系統(tǒng)漏洞的方法，該模型概括了整個(gè)RFID系統(tǒng)所設(shè)計(jì)的設(shè)備、信道以及數(shù)據(jù)庫的漏洞分析，通過對這些設(shè)備、信道以及數(shù)據(jù)庫的攻擊，我們就會(huì)找到RFID系統(tǒng)相對應(yīng)的漏洞。

3 漏洞發(fā)現(xiàn)模型的應(yīng)用

漏洞發(fā)現(xiàn)模型的提出，為我們發(fā)現(xiàn)RFID系統(tǒng)的漏洞指明了方向。根據(jù)不同的RFID應(yīng)用系統(tǒng)，即根據(jù)系統(tǒng)有沒有用到標(biāo)簽、閱讀器、中間件、后臺(tái)系統(tǒng)以及EPCIS等，用相對應(yīng)的模型去實(shí)施攻擊，攻擊成功從而發(fā)現(xiàn)漏洞。根據(jù)漏洞模型去分析漏洞，不僅使得攻擊者可以很有邏輯地采取攻擊，而且使RFID系統(tǒng)的使用者很快發(fā)現(xiàn)漏洞，及時(shí)采取防護(hù)措施，防止敵手針對漏洞實(shí)施攻擊。

除了TR模型以外的3個(gè)模型所對應(yīng)的RFID系統(tǒng)都不止是標(biāo)簽和閱讀器，還包括了中間件和后臺(tái)系統(tǒng)，這兩個(gè)設(shè)備的加入，使得RFID系統(tǒng)變得較為復(fù)雜，所涉及到的攻擊環(huán)節(jié)也變得有很多，攻擊的難度也有所增加。其實(shí)，當(dāng)大量的RFID應(yīng)用系統(tǒng)投入使用時(shí)，用戶最為關(guān)心的是自己持有的標(biāo)簽的安全性，自己的隱私有沒有得到安全的保護(hù)，而更多的攻擊者也是采用對標(biāo)簽的攻擊來實(shí)現(xiàn)對用戶信息的竊取，由此導(dǎo)致的對RFID系統(tǒng)前端系統(tǒng)（標(biāo)簽-閱讀器）的攻擊越來越多，從而發(fā)現(xiàn)RFID系統(tǒng)更多的漏洞。

4 結(jié)束語

總之，根據(jù)我們提出的漏洞發(fā)現(xiàn)模型，就可以很合理而且很清晰地去分析RFID系統(tǒng)的漏洞，以便找到漏洞，及時(shí)采取防護(hù)措施，保證系統(tǒng)安全、穩(wěn)定地運(yùn)行。

[1]BAS P，CHASSERY J M，MACQ B.Geometrically invariant watermarking using feature points[J].IEEE Trans.on Image Processing，2002，11（9）:1014-1028.

[2]LEE Hae-Yeoun，KIM Hyungshin，LEE Heung-Kyu.Robust image watermarking using local invariant features[J].Optical Engineering，2006，45（3）:91-110.

[3]李曉東.射頻識(shí)別技術(shù)中的隱私安全問題及策略 [J].微電子學(xué)與計(jì)算，2005，22（9）:137-140.

[4]徐良華，孫玉龍，高豐，等.基于逆向工程的軟件漏洞挖掘技術(shù) [J].微計(jì)算機(jī)信息，2006，22：8-3.