1. RFID 安全特征与选型

射频识别（Radio Frequency Identification， RFID） 是一种利用无线电波与电子标签进行数据传输交换的技术。 其中， 电子标签可以附着在物品上， 识别电子标签的阅读器可以通过与电子标签的无线电数据交换来实现对物品的识别与跟踪。 阅读器可以识别几米以外不在视野范围内的电子标签。 同时， RFID 数据通信支持多标签同时读写， 即能够在很短的时间内批量读出标签数据。

1） RFID 系统的组成

RFID 系统主要包括RFID 阅读器、 电子标签及后台支撑系统。 RFID 阅读器的主要功能是质询电子标签和处理标签信息； 此外， RFID 阅读器还具备其他通信接口（如串口、 网口等）， 可以结合阅读器内部的嵌入式系统， 实现RFID 硬件设备与网络的连接。 网络上部署的服务器可以利用RFID 系统的设备驱动提供的软件接口来接收阅读器发送过来的电子标签数据， 处理数据并通过软件接口向RFID 阅读器发送指令。 电子标签的主要部件是存储部件、 逻辑处理电路、 RFID 收发器、 天线和基底。

2） RFID 的使用

RFID 在使用中一般经过4 个阶段， 即感应、 选中、 认证和应用， 每个阶段都存在相应的安全问题， 在进行RFID 系统安全设计时应统筹考虑。 一个安全良好的RFID 系统应具备3 个特征：

（1） 正确性特征， 即要求协议保证真实的标签被认可。

（2） 安全性特征， 即要求协议保证伪造的标签不被认可。

（3） 隐私性特征， 即要求协议保证未授权的标签不被识别或跟踪。

RFID 系统的隐私性特征比正确性特征、 安全性特征更难保证， 需要结合多个层次的协议来实现。 在多数情况下， 隐私性特征建立在正确性特征和安全性特征的基础上。

3） RFID 的分类

从硬件对安全性特征和隐私性特征的支持程度来看， RFID 可分为以下4 类。

（1） 超轻量级RFID。 此类RFID 成本最低， 只有非常简单的逻辑门电路， 实现小数据量的读（写）， 主要应用于对安全无特别要求的领域， 如使用范围受控的物流等。此类RFID 本身的安全性能几乎可以忽略不计， 所构建的系统一般会通过系统的方法加强安全性。

（2） 轻量级RFID。 此类RFID 在内部实现了循环冗余校验（CRC）， 可以在一定程度上实现对数据完整性的检查， 因此可应用于开放环境、 对安全性要求很低的领域。

（3） 简单RFID。 此类RFID 可与终端进行交互质询， 安全性大大提高， 可支持较复杂的协议。 轻量级RFID 也是目前市场占有量最大的。

（4） 全功能RFID。 此类RFID 的硬件支持公钥算法的可应用实现， 如RSA 和ECC， 安全强度最高， 可应用于PKI 体系， 也可应用于基于身份的加密或基于属性的加密， 同时成本也较高。 全功能RFID 可用于对安全要求很高的领域。

2. RFID 的物理攻击防护

针对标签和阅读器的攻击方法很多， 有破坏性的， 也有非破坏性的； 有针对物理芯片或系统结构的， 也有针对逻辑协议和通信协议的； 有针对密码和ID 的， 也有针对应用的。

1） 物理攻击的手段

攻击的手段主要包括软件技术、 窃听技术和故障产生技术。 软件技术使用RFID 的通信接口， 寻求安全协议、 加密算法及其物理实现的弱点； 窃听技术采用高时域精度的方法， 分析电源接口在微处理器正常工作过程中产生的各种电磁辐射的模拟特征； 故障产生技术通过产生异常的应用环境条件， 使处理器产生故障， 从而获得额外的访问途径。

2） 物理攻击的窃听范围

RFID 的通信内容可能会被窃听。 从攻击距离和相应技术上， 攻击者能够窃听的范围分为以下几类。

（1） 前向通道窃听范围： 在阅读器到标签的信道， 阅读器广播一个很强的信号， 可以在较远的距离监听到。

（2） 后向通道窃听范围： 从标签到阅读器传递的信号相对较弱， 只有在标签附近才可以监听到。

（3） 操作范围： 在该范围内， 通用阅读器可以对标签进行读取操作。(www.daowen.com)

（4） 恶意扫描范围： 攻击者建立一个较大的读取范围， 阅读器和标签之间的信息交换内容可以在比直接通信距离相关标准更远的范围被窃听到。

无线通信的窃听较难被侦测到。 因为窃听快速通信是一个被动的过程， 不会发出信号。例如， 当RFID 用于信用卡时， 信用卡与阅读器之间的无线电信号能被捕获并被解码， 攻击者可以得到持卡人的姓名、 完整的信用卡卡号、 信用卡到期时间、 信用卡类型及所支持的通信协议等信息， 可能造成持卡人的经济损失或隐私泄漏。

3） 略读

略读是指通过非法阅读器在标签所有者不知情或没有得到合法持有者同意的情况下读取存储在RFID 上的数据， 其原因是大多数标签会在无认证的情况下广播存储的内容。 略读攻击的典型应用是读取电子护照信息。 电子护照中的信息读取采用强制被动认证机制， 要求使用数字签名， 阅读器能够证实来自正确的护照发放机关的数据。 然而， 阅读器数字签名如果未与护照的特定数据相关联， 只支持被动认证， 那么标签会不加选择地进行回答， 配有阅读器的攻击者就能获取护照持有者的名字、 生日和照片等敏感信息。

4） 基于物理的反向工程攻击

基于物理的反向工程攻击是一种破坏性的物理攻击， 它的目标不仅是复制， 也可能是版图重构。 通过研究连接模式和跟踪金属连线穿越可见模块（如ROM、 RAM、 EEPROM、ALU 及指令译码器等） 的边界， 可以迅速识别标签芯片上的一些基本结构， 如数据线和地址线。

对于RFID 设计来说， 射频模拟前端需要采用全定制方式实现， 但是常采用HDL （硬件描述语言） 描述来实现包括认证算法在内的复杂控制逻辑， 采用标准单元库综合的实现方法会加速设计过程， 但是也给以反向工程为基础的破坏性攻击提供了极大的便利， 这种以标准单元库为基础的设计可以使用计算机自动实现版图重构。 因此， 采用全定制的方法来实现RFID 的芯片版图会在一定程度上加大版图重构的难度。

3. RFID 系统安全识别与认证

RFID 系统的核心安全在于识别与认证， 而其安全性取决于认证协议。 在进行RFID系统的设计时， 需要考虑采用合适的认证协议， 常用的认证协议有Hash 锁协议、 随机Hash 锁协议、 Hash 链协议等， 对于有多RFID 并发认证需求的系统， 还需考虑组认证协议。

1） Hash 锁协议的认证过程

在初始化阶段， 每个标签有ID 值， 并指定一个随机Key 值； 计算metaID=Hash（Key），把ID 和metaID 存储在标签（Tag） 中； 后端数据中心（DB） 存储每个标签的Key、 metaID及ID。

Hash 锁协议的优点是成本较低， 仅需一个Hash 方程和一个存储的metaID 值， 认证过程使用对真实ID 加密后的metaID； 缺点是对密钥进行明文传输， 且metaID 是固定不变的，因此不利于防御信息跟踪。

2） 随机Hash 锁协议的认证过程

射频标签在收到阅读器的读写请求后， 生成随机数R， 并计算H（ID‖R）， 其中‖表示将ID 和R 进行连接。 然后， 将（R，H（ID‖R）） 数据对送入后台数据库。 数据库查询满足H（ID′‖R） =H（ID‖R） 的记录， 若找到记录则将对应的ID′发往标签。 标签比较ID 与ID′是否相同， 以确定是否解锁。

虽然随机Hash 锁协议在认证过程中出现的随机信息避免了信息跟踪， 但仍需要ID 进行明文传输， 因此易遭到窃听。

3） Hash 链协议的认证过程

Hash 链协议是基于共享秘密的“询问-应答” 协议。 在Hash 链协议中， 标签在每次认证过程中的密钥值不断更新， 为避免跟踪， 此协议采用动态刷新机制， 实现方法主要是在标签中加入两个哈希函数模块。 在发放标签之前， 需要将标签的ID 和SL，1 （SL，1是标签初始密钥值， 每个标签的值都是不同的） 存于后端数据库， 并将SL，1存于标签随机存储器中； 后端数据库从阅读器处接收到标签输出的aL，j， 并且对数据库（ID；SL，1） 列表中的每个SL，1计算aL，j* ， 检查aL，j与aL，j* 是否相等； 如果相等， 则可以确定标签ID。 该方法具有不可分辨和前向的安全特性。 G 是单向方程， 攻击者即使能够获得标签输出aL，j， 也不能通过aL，j获得SL，1； G 输出的是随机值， 攻击者即使能够观测到标签输出， 也不能把aL，j和aL，j+1联系起来；另外， H 也是单向函数， 即使攻击者能够篡改标签并获得标签的秘密值， 也不能从SL，j+1中获得SL，j。 因此， Hash 链协议对跟踪与窃听攻击有较好的防御能力。

Hash 链协议的缺点是容易受到重传和假冒攻击， 且计算量大， 不适于标签数目较多的情况。

4. RFID 系统的安全设计原则

设计RFID 系统时， 应遵循以下基本原则：

（1） 根据RFID 系统的应用环境、 安全性需求， 选择相应功能和性能的RFID 标签与阅读器， 设计相应的安全协议。

（2） 在不能确知安全风险时， 尽量选择安全性高的标签、 阅读器及安全协议。

（3） 对于安全性敏感的应用， 应优先考虑安全性需求， 再进行相匹配的经费预算。