EPC标准代表一个数字化的框架,和具体的硬件特征是相互独立的,如与标签或射频的种类无关。EPC网络是一个大型的分布式数据库系统,由制造商、销售商、零售商或第三方来维护,该网络的架构由标准化组织EPCglobal设计和实施。本文首先以此网络为样本分析信息在传输和交互中存在的风险。EPC网络的功能架构如图1所示。
3 RFID网络风险分析
3.1 风险分析方法
在RFID网络环境中,所有有关商品的信息都以电子形式直接在网络中传递和交换,如EPC网络中的EPC编码,EPC中的公司编码和一些相关编码信息结合起来就可以提供足够的商品信息。所以,为了确保交易各方的权益和信息的安全性,网络必须具有完善的安全机制,满足以下信息安全性需求:
(1)机密-|生(confidentiality)-确保信息在存储。使用、传输过程中不会泄漏给非授权用户或实体,对数据和资源提供保护。(2)完整。]生(integrity):包括数据完整性和身份完整性,确保信息在存储、使用、传输过程中不会被非授权用户篡改,同时还要防止授权用户对系统及信息进行不恰当的篡改,保持信息内、外部表示的一致性。(3)可用性(availability):确保授权用户或实体对信息及资源的正常使用不会被异常拒绝,允许其可靠而及时地访问信息及资源。(4)不可否认性(non-repudiation)-确保用户无法否认对信息的操作。
除了以上几点外,信息安全还有一些其他原则,包括可追溯。l生(accoumability)、真实性(authenticity)、可控性(controllable)等,这些都是对以上原则的细化、补充或加强。与这些安全性相对应的就是存在的风险,如服务失效(拒绝服务)、信息窃听、未授权的篡改(信息修改、数据包重放)、欺骗等。这是信息安全中必须解决的问题。
3.2 识别系统风险
识别系统部件之间的通信信道,如RFID标签和读写器之间是不安全的无线信道。在该系统存在很多涉及安全性和隐私性的问题,一直是很多研究的关注点。
(1)欺骗攻击(spoofmg)。信息公开:(informationdisclosure)和提高权限(elevation of privilege)会给信息的机密性带来威胁。欺骗攻击是指攻击者向系统提供与有效信息相似的虚假信息,如在一个RFID系统中利用一个虚假的读写器读取标签,获取标签中的信息。欺骗攻击不仅会带来机密性风险还会导致完整性风险。信息公开也会给RFID系统带来风险,RFID系统中的标签数据可在一定距离中传输,且在读写器和标签中的通信信道是不安全的无线信道,容易被攻击者窃听,根据标签中的识别信息的唯一性,可以实施对携带该标签对象的克隆和跟踪。
(2)篡改数据(tampering with data)可以造成完整性风险。攻击者可以通过删除、添加、修改标签中的数据,或在标签和读写器通信之间篡改信息来实现对系统的破坏。
(3)拒绝服务攻击(denial of service),又称淹没攻击。当数据量超过服务器的处理能力导致信号淹没时,则会发生拒绝攻击。在RFID系统中还可以通过射频阻塞(RFjamming),即用噪声信号淹没射频信号导致系统失效。现在很多标签都有Kill指令,使标签可以被灭活,以保护私有信息的安全性,文献中就介绍了一种攻击方式,可以触发Kill指令,使标签失效。