物聯網的RFID安全和隱私

許婷

【摘要】RFID是物聯網重要的信息獲取手段，再被廣泛應用的同時也，也為攻擊者提供了更多機會。本文主要介紹了RFID存在的安全隱患和隱私問題，使讀者更好地了解物聯網中面臨的信息安全問題。

【關鍵詞】RFID；安全隱患；隱私問題

隨著物聯網的發展，RFID（射頻識別）的安全也日益受到關注。近年來，不時爆出這樣的破解事件，“黑客”聲稱破解了一種或多種使用RFID技術的產品，從中竊取用戶的隱私，或者偽造RFID標簽。RFID標簽通常附著于物品，甚至嵌入人體，都儲存著大量的隱私信息。然而，RFID標簽受自身成本限制，不支持復雜的加密方法，因而容易遭受攻擊。

1.主要安全隱患

RFID標簽負責采集物理信息，并將這些信息通過無線方式傳輸到物聯網中。一個基本的RFID系統主要由3部分組成：標簽、移動手持式閱讀器、后臺處理系統包含一些服務器。一般來說，閱讀器和服務器之間的通信是安全的。這里所介紹的安全和隱私問題主要集中在標簽本身以及標簽和閱讀器之間。

（1）竊聽。

由于RFID標簽和閱讀器之間通過無線廣播的方式進行數據傳播，攻擊者有可能偷聽到傳輸的內容。這些內容沒有受到保護，則攻擊者很容易得到標簽和閱讀器之間傳輸的信息以及具體含義，從而進行身份欺騙或偷竊。對于一般通信距離較短價格低廉的超高頻RFID標簽，雖不易被直接竊聽，但可以通過中間人攻擊來竊聽。

（2）中間人攻擊。

被動的RFID標簽在收到閱讀器的查詢信息后主動響應，發送證明身份的信息，此時攻擊者偽裝成受自己控制的閱讀器讀取信息，將信息處理后發送給閱讀器實現竊取。以色列的專家曾經構建了一個簡單的“扒手”系統，可以神不知鬼不覺的使用消費者的RFID卡片來消費。由于中間人攻擊成本低廉，與使用的安全協議無關，是RFID面臨的重大挑戰之一。

（3）欺騙、重放、克隆。

欺騙是指攻擊者將獲取的標簽數據發送給閱讀器，以此來騙過閱讀器。重放是指將標簽回復記錄下來，然后在閱讀器詢問時播放以欺騙閱讀器?？寺≈饕侵笇⒁粋€RFID標簽中的內容記錄寫入另一個標簽，以形成原來標簽的副本。比如非法用戶讀取了合法用戶的信息，寫入了一張新卡，就能以合法用戶的身份通過門禁系統，等等。

（4）物理破解。

由于標簽相對較廉價通常沒有防破解機制，容易被破解，從而獲取其中的安全機制和所有隱私信息，并且發起兩種更復雜的攻擊。其一是試圖使用一個標簽現在使用的秘密推測之前使用的所有秘密，甚至破譯出該標簽之前發送過的加密信息。其二是通過已經獲得的部分標簽的秘密來推斷標簽的秘密，發起更廣泛的攻擊。

（5）篡改信息。

數據篡改是一種非授權性質的修改或者擦除RFID標簽上的數據。攻擊者可以讓物品所附著的標簽傳達想要的信息。比如名為“RF垃圾”的程序，能改寫商店里標簽數據，25美金的牛肉變為0.5美金的口香糖，很難被發現。

（6）拒絕服務攻擊。

主要是通過發送不完整的交互請求來消耗系統資源。例如當系統內多個標簽發生通信沖突，或者一個特別設計的用于消耗閱讀器資源的標簽發送數據時，拒絕服務攻擊就發生了。另外，如果標簽內部數據的狀態是有限的，也可能受到拒絕服務攻擊影響。特別設計的標簽可以打亂識別過程，使閱讀器無法正確識別所有標簽。

（7）RFID病毒。

RFID標簽本身不能檢測所存儲的數據是否有病毒或者蠕蟲。攻擊者可以事先把病毒代碼寫入標簽中，然后讓合法的閱讀器讀取其數據，病毒就可能被注入到整個系統中。當病毒、蠕蟲或者惡意程序入侵數據庫，還有可能摧毀整個系統。

（8）其他。

攻擊者可以用物理或者電子的方法，未經授權的破壞一個標簽，導致無法為用戶服務。攻擊者還能通過電子設備去干擾或者機械方法去屏蔽來破壞標簽的正常訪問。還有，攻擊者還可拆除標簽，帶走物品從而不被閱讀器發現。

2.主要隱私問題

（1）隱私信息泄露。

RFID技術不僅要面對傳統的安全問題，還要面臨上述的安全隱患。如果RFID系統未經良好設計，更容易受到攻擊，并泄露隱私信息。近年來發現，使用RFID技術的新一代信用卡有安全和隱私漏洞。只需要一臺計算機和一些無線電零件，即可讀取并存儲持卡人數據。并且竊取設備低廉不易被發現，雖然只能在近距離使用，但增大射頻作用范圍，就能收集用戶的隱私資料。

（2）跟蹤。

通過獲取RFID標簽上的信息，攻擊者可以標注標簽攜帶人或者物體，進而跟蹤標簽攜帶者，對其監控，掌握用戶的行為規律和喜好信息，把用戶的身份與其關聯，推測用戶的位置和行為，并有可能實施進一步的犯罪行為。

因此，在低成本的約束下，如何平衡安全、隱私和系統可用性，是所有RFID系統都必須考慮的問題。

參考文獻

[1]游戰清，李蘇劍.無線射頻識別（RFID）技術理論與應用[M].電子工業出版社m2004.

[2]郎為民.下一代網絡技術原理與應用[M].機械工業出版社，2006.