第7章物聯(lián)網(wǎng)安全

物聯(lián)網(wǎng)工程技術(shù)武漢理工大學(xué)物聯(lián)網(wǎng)工程系2011.9第7章物聯(lián)網(wǎng)安全7.1物聯(lián)網(wǎng)的安全問(wèn)題7.1.1物聯(lián)網(wǎng)安全風(fēng)險(xiǎn)來(lái)源7.1.2物聯(lián)網(wǎng)面對(duì)的特殊安全問(wèn)題7.2網(wǎng)絡(luò)安全策略7.3RFID系統(tǒng)安全7.1.1物聯(lián)網(wǎng)安全風(fēng)險(xiǎn)來(lái)源造成損失：互聯(lián)網(wǎng)-----信息資產(chǎn)領(lǐng)域物聯(lián)網(wǎng)-----現(xiàn)實(shí)社會(huì)物聯(lián)網(wǎng)導(dǎo)致安全問(wèn)題的本質(zhì)特性：互聯(lián)網(wǎng)的脆弱性復(fù)雜的網(wǎng)絡(luò)環(huán)境無(wú)線信道的開(kāi)放性物聯(lián)網(wǎng)終端的局限性虛擬世界物理世界7.1.2物聯(lián)網(wǎng)面對(duì)的特殊安全問(wèn)題物聯(lián)網(wǎng)機(jī)器/感知節(jié)點(diǎn)的本地安全問(wèn)題感知網(wǎng)絡(luò)的傳輸與信息安全問(wèn)題感知節(jié)點(diǎn)通常情況下功能簡(jiǎn)單、攜帶能量少，無(wú)法擁有復(fù)雜的安全保護(hù)能力感知網(wǎng)絡(luò)多種多樣，數(shù)據(jù)傳輸和消息也沒(méi)有特定的標(biāo)準(zhǔn)，所以沒(méi)法提供統(tǒng)一的安全保護(hù)體系。物聯(lián)網(wǎng)機(jī)器/感知節(jié)點(diǎn)多數(shù)部署在無(wú)人監(jiān)控的場(chǎng)地中。攻擊者就可以輕易地接觸到這些設(shè)備，從而造成破壞，甚至通過(guò)本地操作更換機(jī)器的軟硬件。核心網(wǎng)絡(luò)的傳輸與信息安全問(wèn)題物聯(lián)網(wǎng)業(yè)務(wù)的安全問(wèn)題在數(shù)據(jù)傳播時(shí)，由于大量機(jī)器的數(shù)據(jù)發(fā)送會(huì)使網(wǎng)絡(luò)擁塞，產(chǎn)生拒絕服務(wù)攻擊現(xiàn)有通信網(wǎng)絡(luò)的安全架構(gòu)不適用于機(jī)器的通信，使用現(xiàn)有安全機(jī)制會(huì)割裂物聯(lián)網(wǎng)機(jī)器間的邏輯關(guān)系。如何對(duì)物聯(lián)網(wǎng)設(shè)備進(jìn)行遠(yuǎn)程簽約信息和業(yè)務(wù)信息配置龐大且多樣化的物聯(lián)網(wǎng)平臺(tái)必然需要一個(gè)強(qiáng)大而統(tǒng)一的安全管理平臺(tái)如何對(duì)物聯(lián)網(wǎng)機(jī)器的日志等安全信息進(jìn)行管理可能割裂網(wǎng)絡(luò)與業(yè)務(wù)平臺(tái)之間的信任關(guān)系，導(dǎo)致新一輪安全問(wèn)題的產(chǎn)生。第7章物聯(lián)網(wǎng)安全7.1物聯(lián)網(wǎng)的安全問(wèn)題7.2網(wǎng)絡(luò)安全策略7.2.1網(wǎng)絡(luò)安全技術(shù)7.2.2物聯(lián)網(wǎng)安全框架7.3RFID系統(tǒng)安全7.2.1網(wǎng)絡(luò)安全技術(shù)保證網(wǎng)絡(luò)環(huán)境中傳輸、存儲(chǔ)與處理信息的安全性。計(jì)算機(jī)網(wǎng)絡(luò)安全主要包括密碼機(jī)制、安全協(xié)議以及訪問(wèn)控制密碼機(jī)制除為用戶提供保密通信以外，也是許多其他安全機(jī)制的基礎(chǔ)。訪問(wèn)控制（accesscontrol）也叫做存取控制或接入控制，必須對(duì)接入網(wǎng)絡(luò)的權(quán)限加以控制，并規(guī)定每個(gè)用戶的接入權(quán)限。網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全防護(hù)技術(shù)防火墻，入侵檢測(cè)技術(shù)，安全審計(jì)技術(shù)，網(wǎng)絡(luò)防病毒技術(shù)，計(jì)算機(jī)取證，網(wǎng)絡(luò)業(yè)務(wù)持續(xù)性規(guī)劃技術(shù)密碼學(xué)應(yīng)用技術(shù)密碼學(xué)基本概念，數(shù)字簽名，身份識(shí)別技術(shù)，公鑰基礎(chǔ)設(shè)施，信息隱藏技術(shù)網(wǎng)絡(luò)安全應(yīng)用技術(shù)IP安全體系，VPN技術(shù)，電子郵件安全技術(shù)，Web安全技術(shù)網(wǎng)絡(luò)安全防護(hù)技術(shù)—

防火墻防火墻是在網(wǎng)絡(luò)之間執(zhí)行控制策略的系統(tǒng)，包括硬件和軟件。設(shè)置防火墻的目的是保護(hù)內(nèi)部網(wǎng)絡(luò)資源不被外部非授權(quán)用戶使用，防止內(nèi)部受到外部非法用戶的攻擊。防火墻通過(guò)檢查所有進(jìn)出內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包的合法性，判斷是否會(huì)對(duì)網(wǎng)絡(luò)安全構(gòu)成威脅，為內(nèi)部網(wǎng)絡(luò)建立安全邊界。構(gòu)成防火墻系統(tǒng)的兩個(gè)基本部件是包過(guò)濾路由器（pocketfilteringrouter）和應(yīng)用級(jí)網(wǎng)關(guān)（applicationgateway）?！肭謾z測(cè)技術(shù)入侵檢測(cè)系統(tǒng)的基本功能入侵檢測(cè)系統(tǒng)（IntrusionDetectionSystem，IDS）是對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為進(jìn)行識(shí)別的系統(tǒng)。目的是監(jiān)測(cè)和發(fā)現(xiàn)可能存在的攻擊行為，包括來(lái)自系統(tǒng)外部的入侵行為和來(lái)自內(nèi)部用戶的非授權(quán)行為，并采取相應(yīng)的防護(hù)手段。入侵檢測(cè)系統(tǒng)的功能主要有：監(jiān)控、分析用戶和系統(tǒng)的行為；檢查系統(tǒng)的配置和漏洞；評(píng)估重要的系統(tǒng)和數(shù)據(jù)文件的完整性；對(duì)異常行為的統(tǒng)計(jì)分析，識(shí)別攻擊類型，并向網(wǎng)絡(luò)管理人員報(bào)警；對(duì)操作系統(tǒng)進(jìn)行審計(jì)、跟蹤管理，識(shí)別違反授權(quán)的用戶活動(dòng)。入侵檢測(cè)系統(tǒng)的分類根據(jù)入侵檢測(cè)的體系結(jié)構(gòu)不同，IDS可以分為基于主機(jī)與基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)兩大類。前者是集中式的，后者是一種分布式的IDS。根據(jù)檢測(cè)的對(duì)象和基本方法的不同，入侵檢測(cè)系統(tǒng)又可分為基于目標(biāo)和基于應(yīng)用的入侵檢測(cè)系統(tǒng)。根據(jù)入侵檢測(cè)的工作方式不同又可分為離線檢測(cè)系統(tǒng)和在線檢測(cè)系統(tǒng)。離線檢測(cè)系統(tǒng)是非實(shí)時(shí)工作的系統(tǒng)，事后分析審計(jì)事件，從中檢測(cè)入侵活動(dòng)；在線檢測(cè)系統(tǒng)是實(shí)時(shí)聯(lián)機(jī)的測(cè)試系統(tǒng)，包含實(shí)時(shí)網(wǎng)絡(luò)數(shù)據(jù)包的審計(jì)分析?！踩珜徲?jì)技術(shù)安全審計(jì)是一個(gè)安全的網(wǎng)絡(luò)必須支持的功能，是對(duì)用戶使用網(wǎng)絡(luò)和計(jì)算機(jī)所有活動(dòng)記錄分析、審查和發(fā)現(xiàn)問(wèn)題的重要手段。被廣泛地應(yīng)用于評(píng)價(jià)系統(tǒng)安全狀態(tài)、分析攻擊源、類型以及危害安全審計(jì)的基本要求：審計(jì)信息必須被有選擇地保留和保護(hù)，與安全有關(guān)的活動(dòng)能夠被追溯到負(fù)責(zé)方，系統(tǒng)應(yīng)能夠選擇記錄那些與安全有關(guān)的信息，以便將審計(jì)的開(kāi)銷減少到最小，這樣可以進(jìn)行有效地分析網(wǎng)絡(luò)安全審計(jì)的功能：安全審計(jì)自動(dòng)響應(yīng)、安全審計(jì)事件生成、安全審計(jì)分析、安全審計(jì)預(yù)覽、安全審計(jì)事件存儲(chǔ)、安全審計(jì)事件選擇等安全審計(jì)研究的內(nèi)容主要有：網(wǎng)絡(luò)設(shè)備、防火墻和操作系統(tǒng)的日志審計(jì)—網(wǎng)絡(luò)防病毒技術(shù)惡意傳播代碼（MaliciousMobileCode，MMC）是一種程序軟件，目的是在網(wǎng)絡(luò)和系統(tǒng)管理員不知情的情況下，對(duì)系統(tǒng)進(jìn)行故意修改。惡意傳播代碼包括病毒、木馬、蠕蟲(chóng)、腳本攻擊代碼，以及垃圾郵件、流氓軟件與惡意的互聯(lián)網(wǎng)代碼網(wǎng)絡(luò)防病毒技術(shù)主要指的是應(yīng)用各種病毒防治軟件、專殺工具、木馬掃描軟件等被動(dòng)防御工具查殺病毒的技術(shù)—計(jì)算機(jī)取證計(jì)算機(jī)取證（computerforensics）在網(wǎng)絡(luò)安全中屬于主動(dòng)防御技術(shù)，是應(yīng)用計(jì)算機(jī)辨析方法，對(duì)計(jì)算機(jī)犯罪的行為進(jìn)行分析，以確定罪犯與犯罪的電子證據(jù)，并以此為重要依據(jù)提起訴訟。針對(duì)網(wǎng)絡(luò)入侵與犯罪，計(jì)算機(jī)取證技術(shù)是一個(gè)對(duì)受侵犯的計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備、系統(tǒng)進(jìn)行掃描與破解，對(duì)入侵的過(guò)程進(jìn)行重構(gòu)，完成有法律效力的電子證據(jù)的獲取、保存、分析、出示的全過(guò)程，是保護(hù)網(wǎng)絡(luò)系統(tǒng)的重要的技術(shù)手段?！W(wǎng)絡(luò)業(yè)務(wù)持續(xù)性規(guī)劃技術(shù)網(wǎng)絡(luò)文件的備份恢復(fù)屬于日常網(wǎng)絡(luò)與信息系統(tǒng)維護(hù)的范疇，而業(yè)務(wù)持續(xù)性規(guī)劃是一種消除突發(fā)事件對(duì)網(wǎng)絡(luò)與信息系統(tǒng)所造成的影響的預(yù)防技術(shù)。網(wǎng)絡(luò)文件備份要解決以下幾個(gè)基本問(wèn)題：選擇備份設(shè)備、選擇備份程序與建立備份制度。業(yè)務(wù)持續(xù)性規(guī)劃技術(shù)的內(nèi)容包括：規(guī)劃的方法學(xué)問(wèn)題、風(fēng)險(xiǎn)分析方法、數(shù)據(jù)恢復(fù)規(guī)劃。密碼學(xué)應(yīng)用技術(shù)—密碼學(xué)基本概念密碼學(xué)（cryptography）包括密碼編碼學(xué)和密碼分析學(xué)，密碼體制的設(shè)計(jì)是密碼學(xué)研究的主要內(nèi)容。密碼體制是指一個(gè)系統(tǒng)所采用的基本工作方式以及它的兩個(gè)基本構(gòu)成要素，即加密/解密算法和密鑰。加密的基本思想是偽裝明文以隱藏它的真實(shí)內(nèi)容，將明文偽裝成密文。加密算法和解密算法的操作通常都是在一組密鑰控制下進(jìn)行的。對(duì)稱密碼（symmetriccryptography）體制非對(duì)稱（公鑰）密碼（asymmetriccryptography）體制。對(duì)于同一種加密算法，密鑰的位數(shù)越長(zhǎng)，密鑰空間（keyspace）越大。但是密鑰越長(zhǎng)，進(jìn)行加密和解密過(guò)程所需要的計(jì)算時(shí)間也將越長(zhǎng)。公鑰密碼技術(shù)對(duì)信息的加密與解密使用不同的密鑰，因此又稱為公鑰加密（publickeyencryption）技術(shù)。公鑰加密技術(shù)的優(yōu)勢(shì)在于不需要共享通用的密鑰。主要缺點(diǎn)是加密算法復(fù)雜，加密與解密的速度比較慢?！獢?shù)字簽名數(shù)字簽名是附加在數(shù)據(jù)單元上的一些數(shù)據(jù)，或是對(duì)數(shù)據(jù)單元所作的密碼變換。這種數(shù)據(jù)或變換允許數(shù)據(jù)單元的接收者確認(rèn)數(shù)據(jù)單元來(lái)源和數(shù)據(jù)單元的完整性，保護(hù)數(shù)據(jù)防止被人（例如接收者）偽造。數(shù)字簽名機(jī)制包括兩個(gè)過(guò)程：對(duì)數(shù)據(jù)單元簽名和驗(yàn)證簽過(guò)名的數(shù)據(jù)單元。簽名機(jī)制的本質(zhì)特征是該簽名只有使用簽名者的私有信息才能產(chǎn)生出來(lái)?！矸葑R(shí)別技術(shù)身份識(shí)別是指用戶向系統(tǒng)出示自己身份證明的過(guò)程，主要使用約定的口令、硬件設(shè)備（如智能卡）和人體生物特征（如用戶的指紋、視網(wǎng)膜、DNA和聲音等）。身份鑒別是系統(tǒng)查核用戶身份的證明過(guò)程，實(shí)質(zhì)上是查明用戶是否具有所請(qǐng)求資源的存儲(chǔ)和使用權(quán)。身份鑒別必須做到準(zhǔn)確無(wú)誤的將對(duì)方辨認(rèn)出來(lái)，同時(shí)還應(yīng)該提供雙向的鑒別，即相互證明自己的身份?！€基礎(chǔ)設(shè)施公鑰基礎(chǔ)設(shè)施（PublicKeyInfrastructure，PKI）是利用公鑰加密和數(shù)字簽名技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施。PKI為用戶建立一個(gè)安全的網(wǎng)絡(luò)運(yùn)行環(huán)境，使用戶能夠在多種應(yīng)用環(huán)境之下方便地使用加密和數(shù)字簽名技術(shù)，從而保證網(wǎng)絡(luò)上數(shù)據(jù)的機(jī)密性、完整性與不可抵賴性。PKI的主要任務(wù)是確定可信任的數(shù)字身份，而這些身份可以與密碼機(jī)制相結(jié)合，提供認(rèn)證、授權(quán)或數(shù)字簽名驗(yàn)證等服務(wù)。一個(gè)實(shí)用的公鑰基礎(chǔ)設(shè)施PKI包括：認(rèn)證中心（CertificateAuthority，CA）、注冊(cè)認(rèn)證（RegistrationAuthority，RA）中心、策略管理、密鑰與證書(shū)管理、密鑰的備份與恢復(fù)等?！畔㈦[藏技術(shù)信息隱藏（informationhiding）也稱為信息偽裝，是利用人類感覺(jué)器官對(duì)數(shù)字信號(hào)的感覺(jué)冗余，將一些秘密信息以偽裝的方式隱藏在非秘密信息之中，達(dá)到在網(wǎng)絡(luò)環(huán)境中的隱蔽通信和隱蔽標(biāo)識(shí)的目的。信息隱藏技術(shù)由兩個(gè)部分組成：信息嵌入算法、隱蔽信息檢測(cè)與提取算法。網(wǎng)絡(luò)安全應(yīng)用技術(shù)—IP安全體系安全體系IPSec（IPSecurityProtocol）具有以下特征：IPSec是IETF在開(kāi)發(fā)IPv6時(shí)為保證IP數(shù)據(jù)包安全而設(shè)計(jì)的，是IPv6協(xié)議的一部分。IPSec可以向IPv4與IPv6提供互操作、高質(zhì)量與基于密碼的安全性。IPSec提供的安全服務(wù)包括訪問(wèn)控制、完整性、數(shù)據(jù)原始認(rèn)證等。在網(wǎng)絡(luò)層提供，并向網(wǎng)絡(luò)層與更高層提供保護(hù)。IPSec協(xié)議由三個(gè)主要的協(xié)議以及加密與認(rèn)證算法組成，包括認(rèn)證頭（AuthenticationHeader，AH）協(xié)議、封裝安全載荷（EncapsulatingSecurityPayload，ESP）協(xié)議、互聯(lián)網(wǎng)安全關(guān)聯(lián)密鑰管理協(xié)議（InternetSecurityAssociationandKeyManagementProtocol，ISAKMP）、互聯(lián)網(wǎng)密鑰交換（InternetKeyExchange，IKE）協(xié)議。IPSec在IP層對(duì)數(shù)據(jù)分組進(jìn)行高強(qiáng)度的加密與驗(yàn)證服務(wù)，使安全服務(wù)獨(dú)立于應(yīng)用程序，各種應(yīng)用程序都可以共享IP層所提供的安全并服務(wù)于密鑰管理?！猇PN技術(shù)VPN是一種模擬“專用”廣域網(wǎng)，通過(guò)構(gòu)建安全的網(wǎng)絡(luò)平臺(tái)，在公共通信網(wǎng)絡(luò)的通信用戶之間建立一條安全、穩(wěn)定的通信隧道，為用戶提供安全通信服務(wù)?；贗P的VPN（VirtualPrivateNetwork，虛擬專用網(wǎng)絡(luò)）技術(shù)表現(xiàn)出費(fèi)用低、組網(wǎng)靈活與具有很好的可擴(kuò)展性的優(yōu)點(diǎn)VPN通過(guò)隧道技術(shù)、密碼技術(shù)、密鑰管理技術(shù)、用戶和設(shè)備認(rèn)證技術(shù)來(lái)保證安全通信服務(wù)—電子郵件安全技術(shù)目前有三種技術(shù)用于解決電子郵件的安全問(wèn)題：端到端的安全電子郵件技術(shù)、傳輸層的安全電子郵件技術(shù)和郵件服務(wù)器安全技術(shù)?！猈eb安全技術(shù)對(duì)于攻擊者來(lái)說(shuō)，Web服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器都有很多的弱點(diǎn)可以被利用，比較明顯的弱點(diǎn)在服務(wù)器的CGI程序與一些工具程序上。Web服務(wù)的內(nèi)容越豐富，應(yīng)用程序越大，則包含錯(cuò)誤代碼的概率就越高。從網(wǎng)絡(luò)體系結(jié)構(gòu)的角度來(lái)看，Web安全技術(shù)涉及網(wǎng)絡(luò)層協(xié)議、傳輸層協(xié)議和應(yīng)用層協(xié)議。7.2.2物聯(lián)網(wǎng)安全架構(gòu)圖7-1物聯(lián)網(wǎng)安全架構(gòu)物聯(lián)網(wǎng)與幾個(gè)邏輯層所對(duì)應(yīng)的基礎(chǔ)設(shè)施之間存在的最基本的區(qū)別如下：已有的對(duì)傳感網(wǎng)（感知層）、互聯(lián)網(wǎng)（傳輸層）、移動(dòng)網(wǎng)（傳輸層）、云計(jì)算（處理層）等的一些安全解決方案在物聯(lián)網(wǎng)環(huán)境可能不再適用物聯(lián)網(wǎng)對(duì)應(yīng)的傳感網(wǎng)數(shù)量和終端物體的規(guī)模是單個(gè)傳感網(wǎng)所無(wú)法相比的物聯(lián)網(wǎng)所聯(lián)接的終端設(shè)備或器件的處理能力將有很大差異，它們之間可能需要相互作用物聯(lián)網(wǎng)所處理的數(shù)據(jù)量將比現(xiàn)在的互聯(lián)網(wǎng)和移動(dòng)網(wǎng)都要大得多，真正意義上的海量。即使分別保證感知層、傳輸層和處理層的安全，也不能保證物聯(lián)網(wǎng)的安全物聯(lián)網(wǎng)是融幾層于一體的大系統(tǒng)，許多安全問(wèn)題來(lái)源于系統(tǒng)整合物聯(lián)網(wǎng)的數(shù)據(jù)共享對(duì)安全性提出了更高的要求物聯(lián)網(wǎng)的應(yīng)用將對(duì)安全提出新的要求1．感知層的安全—感知層的安全問(wèn)題傳感網(wǎng)的網(wǎng)關(guān)節(jié)點(diǎn)被攻擊者控制，安全性全部丟失；傳感網(wǎng)的普通節(jié)點(diǎn)被攻擊者控制（攻擊者掌握節(jié)點(diǎn)密鑰）；傳感網(wǎng)的普通節(jié)點(diǎn)被攻擊者捕獲（但由于沒(méi)有得到節(jié)點(diǎn)密鑰，而沒(méi)有被控制）；傳感網(wǎng)的節(jié)點(diǎn)（普通節(jié)點(diǎn)或網(wǎng)關(guān)節(jié)點(diǎn)）受到來(lái)自網(wǎng)絡(luò)的DOS攻擊；接入到物聯(lián)網(wǎng)的超大量傳感節(jié)點(diǎn)的標(biāo)識(shí)、識(shí)別、認(rèn)證和控制問(wèn)題?！兄獙拥陌踩枨髾C(jī)密性：多數(shù)傳感網(wǎng)內(nèi)部不需要認(rèn)證和密鑰管理，如統(tǒng)一部署的共享一個(gè)密鑰的傳感網(wǎng)；密鑰協(xié)商：部分傳感網(wǎng)內(nèi)部節(jié)點(diǎn)進(jìn)行數(shù)據(jù)傳輸前需要預(yù)先協(xié)商會(huì)話密鑰；節(jié)點(diǎn)認(rèn)證：個(gè)別傳感網(wǎng)（特別當(dāng)傳感數(shù)據(jù)共享時(shí)）需要節(jié)點(diǎn)認(rèn)證，確保非法節(jié)點(diǎn)不能接入；信譽(yù)評(píng)估：一些重要傳感網(wǎng)需要對(duì)可能被攻擊者控制的節(jié)點(diǎn)行為進(jìn)行評(píng)估，以降低攻擊者入侵后的危害（某種程度上相當(dāng)于入侵檢測(cè)）；安全路由：幾乎所有傳感網(wǎng)內(nèi)部都需要不同的安全路由技術(shù)?！兄獙拥陌踩軜?gòu)在傳感網(wǎng)內(nèi)部，需要有效的密鑰管理機(jī)制，用于保障傳感網(wǎng)內(nèi)部通信的安全。傳感網(wǎng)內(nèi)部的安全路由、連通性解決方案等都可以相對(duì)獨(dú)立地使用。由于傳感網(wǎng)類型的多樣性，很難統(tǒng)一要求有哪些安全服務(wù)，但機(jī)密性和認(rèn)證性都是必要的。機(jī)密性需要在通信時(shí)建立一個(gè)臨時(shí)會(huì)話密鑰，而認(rèn)證性可以通過(guò)對(duì)稱密碼或非對(duì)稱密碼方案解決。用于獨(dú)立傳感網(wǎng)的傳統(tǒng)安全解決方案需要提升安全等級(jí)后才能使用，也就是說(shuō)在安全的要求上更高，這僅僅是量的要求，沒(méi)有質(zhì)的變化。相應(yīng)地，傳感網(wǎng)的安全需求所涉及的密碼技術(shù)包括輕量級(jí)密碼算法、輕量級(jí)密碼協(xié)議、可設(shè)定安全等級(jí)的密碼技術(shù)等。2．傳輸層的安全—傳輸層的安全問(wèn)題DoS攻擊、DDoS（DistributedDenialofservice，分布式拒絕服務(wù)）攻擊；假冒攻擊、中間人攻擊等；跨異構(gòu)網(wǎng)絡(luò)的網(wǎng)絡(luò)攻擊。—傳輸層的安全需求數(shù)據(jù)機(jī)密性：需要保證數(shù)據(jù)在傳輸過(guò)程中不泄露其內(nèi)容；數(shù)據(jù)完整性：需要保證數(shù)據(jù)在傳輸過(guò)程中不被非法篡改，或非法篡改的數(shù)據(jù)容易被檢測(cè)出；數(shù)據(jù)流機(jī)密性：某些應(yīng)用場(chǎng)景需要對(duì)數(shù)據(jù)流量信息進(jìn)行保密，目前只能提供有限的數(shù)據(jù)流機(jī)密性；DDoS攻擊的檢測(cè)與預(yù)防：DDoS攻擊在物聯(lián)網(wǎng)中將會(huì)更突出，物聯(lián)網(wǎng)中需要解決的問(wèn)題還包括如何對(duì)脆弱節(jié)點(diǎn)的DDoS攻擊進(jìn)行防護(hù)；移動(dòng)網(wǎng)中認(rèn)證與密鑰協(xié)商（AuthenticationandKeyAgreement，AKA）機(jī)制的一致性或兼容性、跨域認(rèn)證和跨網(wǎng)絡(luò)認(rèn)證（基于IMSI的，InternationalMobileSubscriberIdentity國(guó)際移動(dòng)用戶ID）問(wèn)題，不同無(wú)線網(wǎng)絡(luò)所使用的不同AKA機(jī)制對(duì)跨網(wǎng)認(rèn)證帶來(lái)了不利，這一問(wèn)題亟待解決。—傳輸層的安全架構(gòu)節(jié)點(diǎn)認(rèn)證、數(shù)據(jù)機(jī)密性、完整性、數(shù)據(jù)流機(jī)密性、DDoS攻擊的檢測(cè)與預(yù)防；移動(dòng)網(wǎng)中AKA機(jī)制的一致性或兼容性、跨域認(rèn)證和跨網(wǎng)絡(luò)認(rèn)證（基于IMSI）；相應(yīng)密碼技術(shù)，密鑰管理（密鑰基礎(chǔ)設(shè)施PKI和密鑰協(xié)商）、端對(duì)端加密和節(jié)點(diǎn)對(duì)節(jié)點(diǎn)加密、密碼算法和協(xié)議等；組播和廣播通信的認(rèn)證性、機(jī)密性和完整性安全機(jī)制。3．處理層的安全—處理層的安全問(wèn)題及需求來(lái)自超大量終端的海量數(shù)據(jù)的識(shí)別和處理智能變?yōu)榈湍茏詣?dòng)變?yōu)槭Э貫?zāi)難控制和恢復(fù)非法人為干預(yù)（內(nèi)部攻擊）設(shè)備（特別是移動(dòng)設(shè)備）的丟失—處理層的安全架構(gòu)可靠的認(rèn)證機(jī)制和密鑰管理方案；高強(qiáng)度數(shù)據(jù)機(jī)密性和完整性服務(wù)；可靠的密鑰管理機(jī)制，包括PKI和對(duì)稱密鑰的有機(jī)結(jié)合機(jī)制；可靠的高智能處理手段；入侵檢測(cè)和病毒檢測(cè)；惡意指令分析和預(yù)防，訪問(wèn)控制及災(zāi)難恢復(fù)機(jī)制；保密日志跟蹤和行為分析，惡意行為模型的建立；密文查詢、秘密數(shù)據(jù)挖掘、安全多方計(jì)算、安全云計(jì)算技術(shù)等；移動(dòng)設(shè)備文件（包括秘密文件）的可備份和恢復(fù)；移動(dòng)設(shè)備識(shí)別、定位和追蹤機(jī)制。4．應(yīng)用層的安全—應(yīng)用層的安全問(wèn)題及需求如何根據(jù)不同訪問(wèn)權(quán)限對(duì)同一數(shù)據(jù)庫(kù)內(nèi)容進(jìn)行篩選如何提供用戶隱私信息保護(hù)，同時(shí)又能正確認(rèn)證移動(dòng)用戶既需要知道其位置信息，又不愿意非法用戶獲取該信息；用戶既需要證明自己合法使用某種業(yè)務(wù)，又不想讓他人知道自己在使用某種業(yè)務(wù)，如在線游戲；病人急救時(shí)需要及時(shí)獲得該病人的電子病歷信息，但又要保護(hù)該病歷信息不被非法獲取，包括病歷數(shù)據(jù)管理員。事實(shí)上，電子病歷數(shù)據(jù)庫(kù)的管理人員可能有機(jī)會(huì)獲得電子病歷的內(nèi)容，但隱私保護(hù)采用某種管理和技術(shù)手段使病歷內(nèi)容與病人身份信息在電子病歷數(shù)據(jù)庫(kù)中無(wú)關(guān)聯(lián)；許多業(yè)務(wù)需要匿名性，如網(wǎng)絡(luò)投票。如何解決信息泄露追蹤問(wèn)題如何進(jìn)行計(jì)算機(jī)取證如何銷毀計(jì)算機(jī)數(shù)據(jù)如何保護(hù)電子產(chǎn)品和軟件的知識(shí)產(chǎn)權(quán)—應(yīng)用層的安全架構(gòu)有效的數(shù)據(jù)庫(kù)訪問(wèn)控制和內(nèi)容篩選機(jī)制；不同場(chǎng)景的隱私信息保護(hù)技術(shù)；叛逆追蹤和其他信息泄露追蹤機(jī)制；有效的計(jì)算機(jī)取證技術(shù)；安全的計(jì)算機(jī)數(shù)據(jù)銷毀技術(shù)；安全的電子產(chǎn)品和軟件的知識(shí)產(chǎn)權(quán)保護(hù)技術(shù)。第7章物聯(lián)網(wǎng)安全7.1物聯(lián)網(wǎng)的安全問(wèn)題7.2網(wǎng)絡(luò)安全策略7.3RFID系統(tǒng)安全7.3.1RFID系統(tǒng)的安全問(wèn)題7.3.2RFID系統(tǒng)的安全風(fēng)險(xiǎn)與需求7.3.3協(xié)議安全性7.3.4現(xiàn)有的RFID安全機(jī)制7.3.5RFID安全措施7.3RFID系統(tǒng)安全RFID射頻識(shí)別是通過(guò)射頻信號(hào)自動(dòng)識(shí)別目標(biāo)對(duì)象并獲取相關(guān)數(shù)據(jù)，可識(shí)別高速運(yùn)動(dòng)物體并可同時(shí)識(shí)別多個(gè)標(biāo)簽，識(shí)別工作無(wú)需人工干預(yù)，操作也非常方便。RFID芯片如果設(shè)計(jì)不良或沒(méi)有受到保護(hù)，有很多手段可以獲取芯片的結(jié)構(gòu)和其中的數(shù)據(jù)，單純依賴RFID本身的技術(shù)特性將無(wú)法滿足RFID系統(tǒng)安全要求，RFID面臨的安全威脅愈加嚴(yán)重。RFID的安全風(fēng)險(xiǎn)“系統(tǒng)開(kāi)放”的設(shè)計(jì)思想7.3.1RFID系統(tǒng)的安全問(wèn)題1．RFID系統(tǒng)面臨的安全威脅圖7-2EPCglobal整體系統(tǒng)結(jié)構(gòu)—標(biāo)簽和閱讀器組成的無(wú)線數(shù)據(jù)采集區(qū)域構(gòu)成的安全域RFID系統(tǒng)出現(xiàn)安全隱患的重要原因：對(duì)標(biāo)簽加解密需要耗用過(guò)多的處理器能力，會(huì)使標(biāo)簽增加額外的設(shè)計(jì)成本，使一些優(yōu)秀的安全工具或方法無(wú)法嵌入到標(biāo)簽的硬件中RFID安全認(rèn)證協(xié)議可能存在的安全威脅包括標(biāo)簽的偽造、對(duì)標(biāo)簽的非法接入和篡改、通過(guò)空中無(wú)線接口的竊聽(tīng)、獲取標(biāo)簽的有關(guān)信息以及對(duì)標(biāo)簽進(jìn)行跟蹤和監(jiān)控。圖7-3閱讀器與標(biāo)簽間基本的通信模型—企業(yè)內(nèi)部系統(tǒng)構(gòu)成的安全域企業(yè)內(nèi)部系統(tǒng)構(gòu)成的安全域存在的安全威脅與現(xiàn)有企業(yè)網(wǎng)一樣，在加強(qiáng)管理的同時(shí)，要防止內(nèi)部人員的非法或越權(quán)訪問(wèn)與使用，還要防止非法閱讀器接入企業(yè)內(nèi)部網(wǎng)絡(luò)?！髽I(yè)之間和企業(yè)與公共用戶之間供數(shù)據(jù)交換和查詢網(wǎng)絡(luò)構(gòu)成的安全區(qū)域ONS通過(guò)一種認(rèn)證和授權(quán)機(jī)制，以及根據(jù)有關(guān)的隱私法規(guī)，保證采集的數(shù)據(jù)不被用于其他非正常目的的商業(yè)應(yīng)用和泄露，并保證合法用戶對(duì)有關(guān)信息的查詢和監(jiān)控2．RFID系統(tǒng)通信中的安全問(wèn)題圖7-4RFID系統(tǒng)通信模型—數(shù)據(jù)隱匿性問(wèn)題RFID標(biāo)簽不應(yīng)當(dāng)向未經(jīng)授權(quán)的閱讀器泄漏任何敏感的信息，完備的RFID安全方案必須能夠保證標(biāo)簽中所包含的信息僅能被授權(quán)閱讀器識(shí)別。由于缺乏支持點(diǎn)對(duì)點(diǎn)加密和PKI密鑰交換的功能，在RFID系統(tǒng)應(yīng)用過(guò)程中，攻擊者能夠獲取并利用RFID標(biāo)簽上的內(nèi)容。由于從閱讀器到標(biāo)簽的前向信道具有較大的覆蓋范圍，比從標(biāo)簽到閱讀器的后向信道更加不安全。攻擊者可以通過(guò)采用竊聽(tīng)技術(shù)，分析微處理器正常工作過(guò)程中產(chǎn)生的各種電磁特征，來(lái)獲得RFID標(biāo)簽和閱讀器之間或其他RFID通信設(shè)備之間的通信數(shù)據(jù)?！獢?shù)據(jù)完整性問(wèn)題在RFID系統(tǒng)中，通常使用消息認(rèn)證碼來(lái)進(jìn)行數(shù)據(jù)完整性的檢驗(yàn)。它使用的是一種帶有共享密鑰的散列算法，即將共享密鑰和待檢驗(yàn)的消息連接在一起進(jìn)行散列運(yùn)算，對(duì)數(shù)據(jù)的任何細(xì)微改動(dòng)都會(huì)對(duì)消息認(rèn)證碼的值產(chǎn)生較大影響。在通信接口處使用校驗(yàn)和的方法也僅僅能夠檢測(cè)隨機(jī)錯(cuò)誤的發(fā)生。如果不采用數(shù)據(jù)完整性控制機(jī)制，可寫的標(biāo)簽存儲(chǔ)器有可能受到攻擊。攻擊者編寫軟件，利用計(jì)算機(jī)的通信接口，通過(guò)掃描RFID標(biāo)簽和響應(yīng)閱讀器的查詢，尋求安全協(xié)議、加密算法及其實(shí)現(xiàn)機(jī)制上的漏洞，進(jìn)而刪除或篡改RFID標(biāo)簽內(nèi)的數(shù)據(jù)?！獢?shù)據(jù)真實(shí)性問(wèn)題攻擊者可以從竊聽(tīng)到的標(biāo)簽與閱讀器間的通信數(shù)據(jù)中獲取敏感信息，進(jìn)而重構(gòu)RFID標(biāo)簽，達(dá)到偽造標(biāo)簽的目的。攻擊者可以利用偽造的標(biāo)簽代替實(shí)際物品，或通過(guò)重寫合法的RFID標(biāo)簽內(nèi)容，使用低價(jià)物品標(biāo)簽的內(nèi)容來(lái)替換高價(jià)物品標(biāo)簽的內(nèi)容從而獲取非法利益。攻擊者也可以通過(guò)某種方式隱藏標(biāo)簽，使閱讀器無(wú)法發(fā)現(xiàn)該標(biāo)簽，從而成功地實(shí)施物品轉(zhuǎn)移。閱讀器只有通過(guò)身份認(rèn)證才能確信消息是從正確的標(biāo)簽處發(fā)送過(guò)來(lái)的，反之亦然。—用戶隱私泄露問(wèn)題在許多應(yīng)用中，RFID標(biāo)簽中所包含的信息關(guān)系到使用者的隱私。這些數(shù)據(jù)一旦被攻擊者獲取，使用者的隱私權(quán)將無(wú)法得到保障，因而安全的RFID系統(tǒng)應(yīng)當(dāng)能夠保護(hù)使用者的隱私信息或相關(guān)經(jīng)濟(jì)實(shí)體的商業(yè)利益。目前的RFID系統(tǒng)面臨著巨大的隱私安全風(fēng)險(xiǎn)。通過(guò)閱讀器能夠跟蹤攜帶缺乏安全機(jī)制的RFID標(biāo)簽的個(gè)人，并將這些信息進(jìn)行綜合和分析，就可以獲取使用者個(gè)人喜好和行蹤等隱私信息。3．針對(duì)RFID的攻擊手段—主動(dòng)攻擊板圖重構(gòu)攻擊探測(cè)攻擊故障攻擊拒絕服務(wù)攻擊—被動(dòng)攻擊電流分析攻擊跟蹤哄騙重放攻擊竊聽(tīng)通過(guò)研究連接模式和跟蹤金屬連線，穿越可見(jiàn)模塊的邊界，從而使攻擊者能夠迅速識(shí)別芯片中某些基本結(jié)構(gòu)。攻擊者利用微探針監(jiān)聽(tīng)總線上的信號(hào)從而獲取重要數(shù)據(jù)通過(guò)攻擊導(dǎo)致一個(gè)或多個(gè)觸發(fā)器處于病態(tài)，從而破壞傳輸?shù)郊拇嫫骱痛鎯?chǔ)器中的數(shù)據(jù)。通過(guò)某種手段使得標(biāo)簽與后端數(shù)據(jù)庫(kù)兩者或其中的一方處于忙狀態(tài)，從而達(dá)到阻止數(shù)據(jù)通信目的將電子標(biāo)簽置于由金屬網(wǎng)或金屬薄片制成的容器中，使其被屏蔽起來(lái)，從而阻止合法閱讀器對(duì)標(biāo)簽信息的正常掃描和數(shù)據(jù)通信使用極大的通信量沖擊RFID系統(tǒng)，使得后端數(shù)據(jù)庫(kù)處于阻塞狀態(tài)，或使標(biāo)簽所使用的頻段處于飽和狀態(tài)，從而使標(biāo)簽無(wú)法與閱讀器進(jìn)行通信。攻擊者通過(guò)分析執(zhí)行命令時(shí)標(biāo)簽的電流損耗，從而推知標(biāo)簽所執(zhí)行的命令，甚至是所處理的數(shù)據(jù)。未經(jīng)授權(quán)的閱讀器可以在RFID標(biāo)簽所有者毫不知情的情況下，掃描到標(biāo)簽，甚至獲取標(biāo)簽中所附帶的信息。因此攻擊者可以利用閱讀器實(shí)現(xiàn)對(duì)攜帶不安全RFID標(biāo)簽者的跟蹤攻擊者在未經(jīng)授權(quán)的RFID標(biāo)簽上適當(dāng)?shù)貙懭胍恍?shù)據(jù)，冒充可信的RFID標(biāo)簽與閱讀器進(jìn)行通信。復(fù)制標(biāo)簽就是一種哄騙攻擊的表現(xiàn)形式攻擊者將某個(gè)標(biāo)簽的回應(yīng)消息暫時(shí)保存起來(lái)，并在閱讀器訪問(wèn)其他標(biāo)簽時(shí)，重新發(fā)送這個(gè)消息，從而達(dá)到騙取信任或獲取非法利益。這種攻擊主要針對(duì)的是協(xié)議攻擊對(duì)象是標(biāo)簽與閱讀器之間的無(wú)線通信信道，信道中傳輸?shù)臄?shù)據(jù)時(shí)時(shí)刻刻都有被竊取的危險(xiǎn)7.3.2RFID系統(tǒng)的安全風(fēng)險(xiǎn)與需求1．RFID系統(tǒng)的安全風(fēng)險(xiǎn)—RFID自身脆弱性—RFID易受外部攻擊—隱私風(fēng)險(xiǎn)—外部風(fēng)險(xiǎn)任何不適當(dāng)?shù)南到y(tǒng)規(guī)劃或者系統(tǒng)的開(kāi)放性都會(huì)導(dǎo)致RFID系統(tǒng)的安全風(fēng)險(xiǎn)RFID系統(tǒng)中的任何組件或者子系統(tǒng)故障都會(huì)導(dǎo)致系統(tǒng)失效由于部分RFID部件部署于戶外，極易受到天災(zāi)人禍的影響由于RFID系統(tǒng)支持遠(yuǎn)程無(wú)線接入訪問(wèn)系統(tǒng)資源，往往沒(méi)有部署足夠安全機(jī)制，很容易被第三方利用來(lái)進(jìn)行非授權(quán)訪問(wèn)，第三方有可能非授權(quán)訪問(wèn)RFID信息并用來(lái)危害實(shí)施RFID系統(tǒng)單位的利益單位或者個(gè)人為自己利益非法收集RFID信息，包括交易信息或者授權(quán)信息，然后利用該信息進(jìn)行非法活動(dòng)；由于多數(shù)RFID信息未經(jīng)加密處理，RFID信息很容易被用于個(gè)人或者貨物的非法跟蹤。射頻干擾主要是電磁干擾，會(huì)導(dǎo)致系統(tǒng)工作異常；計(jì)算機(jī)網(wǎng)絡(luò)攻擊主要指對(duì)網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件的攻擊，會(huì)導(dǎo)致網(wǎng)絡(luò)癱瘓。2．RFID系統(tǒng)的安全需求—機(jī)密性—完整性—可用性—真實(shí)性—隱私性7.3.3協(xié)議安全性1．安全的協(xié)議安全協(xié)議是運(yùn)行在計(jì)算機(jī)網(wǎng)絡(luò)或分布式系統(tǒng)中，借助密碼算法來(lái)達(dá)到密鑰分配、身份認(rèn)證以及公平交易等目的的一種高互通協(xié)議。安全認(rèn)證協(xié)議的主要目的是通過(guò)協(xié)議消息的傳遞來(lái)實(shí)現(xiàn)通信主體身份的認(rèn)證或確認(rèn)，并在此基礎(chǔ)上為下一步的秘密通信分配所使用的會(huì)話密鑰，因此對(duì)通信主體雙方身份的認(rèn)證是雙方進(jìn)行通信的基礎(chǔ)和前提。在認(rèn)證的過(guò)程中，對(duì)關(guān)鍵信息的秘密性及完整性的要求也是十分必要的，評(píng)估安全協(xié)議的安全性就是檢查其安全特性在協(xié)議執(zhí)行時(shí)是否受到破壞?！J(rèn)證性認(rèn)證是網(wǎng)絡(luò)或分布式系統(tǒng)中的主體進(jìn)行身份識(shí)別的過(guò)程，所有其他的安全性都依賴于它。安全協(xié)議認(rèn)證性的實(shí)現(xiàn)是基于密碼技術(shù)的，具體有以下幾種方法：聲稱者使用僅只有自己與驗(yàn)證者知道的密鑰封裝消息，如果驗(yàn)證者能夠成功地解密消息或驗(yàn)證封裝是正確的，則聲稱者的身份得到證明；聲稱者使用其私鑰對(duì)消息簽名，驗(yàn)證者使用聲稱者的公鑰檢查簽名，如正確，則聲稱者的身份得到證明；聲稱者通過(guò)可信第三方來(lái)證明自己?！孛苄悦孛苄缘哪康氖潜Ｗo(hù)協(xié)議消息不被泄漏給未授權(quán)擁有此消息的人。保證協(xié)議消息秘密性最直接的辦法是對(duì)消息進(jìn)行加密，加密使得消息由明文變?yōu)槊芪?，并且任何人在不擁有密鑰的情況下是不能解密消息的?！暾酝暾缘哪康氖潜Ｗo(hù)協(xié)議消息不被非法篡改、刪除和替換。最為常用的方法是封裝和簽名，即用加密的辦法或者使用散列函數(shù)產(chǎn)生一個(gè)明文的摘要附在被傳送的消息上，作為驗(yàn)證消息完整性的依據(jù)。關(guān)鍵問(wèn)題是通信雙方必須事先達(dá)成采用何種算法的共識(shí)，被保護(hù)的消息應(yīng)該擁有一定的冗余，這種加密消息的冗余則能保證消息的完整性?！豢傻仲囆?/p>

協(xié)議的主體可收集證據(jù)，以便事后能夠向可信仲裁方證明對(duì)方主體的確發(fā)送或接收了某條消息，以保證自身合法利益不受侵害。不可抵賴性使得協(xié)議主體必須對(duì)自己的行為負(fù)責(zé)，不能也無(wú)法事后否認(rèn)。要實(shí)現(xiàn)不可抵賴性，協(xié)議必須具有以下兩點(diǎn)：證據(jù)的有效性；交易的公平性。安全協(xié)議按照其目的可以分為以下三類：密鑰交換協(xié)議：這類協(xié)議用于完成會(huì)話密鑰的建立。一般情況下是參與協(xié)議的兩個(gè)或多個(gè)主體之間建立共享的密鑰，協(xié)議可采用對(duì)稱密碼體制，也可以采用非對(duì)稱密碼體制。認(rèn)證協(xié)議：認(rèn)證協(xié)議包括身份認(rèn)證協(xié)議，消息認(rèn)證協(xié)議、數(shù)據(jù)源認(rèn)證協(xié)議等，用來(lái)防止假冒、篡改和否認(rèn)等攻擊。認(rèn)證和密鑰交換協(xié)議：這類協(xié)議是認(rèn)證協(xié)議和密鑰交換協(xié)議的結(jié)合，是網(wǎng)絡(luò)通信中應(yīng)用最普遍的安全協(xié)議。安全協(xié)議設(shè)計(jì)與分析的困難性在于：安全目標(biāo)本身的微妙性，一個(gè)不經(jīng)意的漏洞也會(huì)導(dǎo)致安全隱患；協(xié)議運(yùn)行環(huán)境的復(fù)雜性，當(dāng)安全協(xié)議運(yùn)行在一個(gè)十分復(fù)雜的公開(kāi)環(huán)境時(shí)，攻擊者處處存在，必須形式化地刻畫(huà)安全協(xié)議的運(yùn)行環(huán)境，但是這是項(xiàng)艱巨的任務(wù)；攻擊者模型的復(fù)雜性，必須形式化地描述攻擊者的能力，對(duì)攻擊者和攻擊行為進(jìn)行分類和形式化的分析；安全協(xié)議本身具有高并發(fā)性，因此對(duì)安全協(xié)議的分析變得更加復(fù)雜。2．EPC協(xié)議安全性RFID系統(tǒng)的安全性主要從以下三個(gè)環(huán)節(jié)來(lái)保障：電子標(biāo)簽芯片的物理安全技術(shù)、閱讀器與標(biāo)簽間的安全通信、數(shù)據(jù)系統(tǒng)中對(duì)標(biāo)簽信息的管理。在EPC協(xié)議中存在著若干安全問(wèn)題，從標(biāo)簽中讀取的信息是以明文方式傳送的，會(huì)輕易向周圍的攻擊者泄漏標(biāo)簽中保存的信息。最易受攻擊圖7-5閱讀器與標(biāo)簽的通信7.3.4現(xiàn)有的RFID安全機(jī)制1．物理安全機(jī)制—Kill命令機(jī)制基本原理：從物理上銷毀RFID標(biāo)簽，一旦對(duì)標(biāo)簽實(shí)施了銷毀命令，標(biāo)簽將不可再用。該方法以犧牲RFID的性能為代價(jià)換取了隱私的保護(hù)，使得RFID的標(biāo)簽功能盡失，是不可逆的操作。同時(shí)，由于銷毀后的標(biāo)簽不再會(huì)有任何的應(yīng)答，系統(tǒng)不能知道標(biāo)簽是否真正銷毀掉了，仍可能危及消費(fèi)者隱私?！眉魳?biāo)簽法IBM公司針對(duì)RFID的隱私問(wèn)題，開(kāi)發(fā)了一種“裁剪標(biāo)簽”技術(shù)，消費(fèi)者能夠?qū)FID天線扯掉或者刮除，大大縮短了標(biāo)簽的可讀取范圍，使標(biāo)簽不能被遠(yuǎn)端的閱讀器隨意讀取。裁剪標(biāo)簽法，彌補(bǔ)了Kill命令機(jī)制的短處，使得標(biāo)簽的讀取距離縮短到1到2英寸，可以防止攻擊者在遠(yuǎn)處非法的監(jiān)聽(tīng)和跟蹤標(biāo)簽?！o電屏蔽機(jī)制工作原理是使用FaradayCage（法拉第網(wǎng)罩）來(lái)屏蔽標(biāo)簽，使之不能接受來(lái)自任何閱讀器的信號(hào)，以此來(lái)保護(hù)消費(fèi)者個(gè)人隱私。根據(jù)電磁波屏蔽原理，采用金屬絲網(wǎng)制成電磁波不能穿透的容器，用于放置帶有RFID標(biāo)簽的物品。為了要阻隔電波，袋子的形狀受到限制，采用法拉第網(wǎng)罩的方法也會(huì)提高袋子的制作成本。此方法是一種初級(jí)的物理方法，比較適用于體積小的RFID物品的隱私保護(hù)，但如果此方法被濫用，還有可能成為商場(chǎng)盜竊的另一種手段?！鲃?dòng)干擾基本原理是使用一個(gè)設(shè)備持續(xù)不斷的發(fā)送干擾信號(hào)，以干擾任何靠近標(biāo)簽的閱讀器所發(fā)出的信號(hào)。標(biāo)簽持有者需隨身攜帶一個(gè)可發(fā)出干擾信號(hào)的設(shè)備，進(jìn)行主動(dòng)干擾時(shí)打開(kāi)設(shè)備。此方法除了要另外攜帶一個(gè)設(shè)備的不便之外，主動(dòng)干擾時(shí)有可能在無(wú)意間破壞到其他正常合法的標(biāo)簽與閱讀器之間的通信，若主動(dòng)干擾設(shè)備所發(fā)送的干擾信號(hào)超過(guò)規(guī)定的頻率使用范圍還會(huì)帶來(lái)法律上的問(wèn)題。—阻塞標(biāo)簽法阻塞標(biāo)簽法也稱RSA軟阻塞器，內(nèi)置在購(gòu)物袋中的標(biāo)簽，在物品被購(gòu)買后，禁止閱讀器讀取袋中所購(gòu)貨物上的標(biāo)簽阻塞標(biāo)簽法基于二進(jìn)制樹(shù)查詢算法，通過(guò)模擬標(biāo)簽ID的方式干擾算法的查詢過(guò)程通過(guò)這種方式一個(gè)選擇性阻塞標(biāo)簽可以用于阻止閱讀器查詢具有任意固定前綴的標(biāo)簽，可以有效的防止非法掃描，最大的優(yōu)點(diǎn)是RFID標(biāo)簽基本上不需要修改，也不要執(zhí)行加解密運(yùn)算，減少了標(biāo)簽的成本缺點(diǎn)是阻塞標(biāo)簽可以模擬多個(gè)標(biāo)簽存在的情況，攻擊者可利用數(shù)量有限的阻塞標(biāo)簽向閱讀器發(fā)動(dòng)拒絕服務(wù)攻擊，另外阻塞標(biāo)簽有其保護(hù)范圍，超出隱私保護(hù)范圍的標(biāo)簽不可能得到保護(hù)的。2．基于密碼技術(shù)的安全機(jī)制—重量級(jí)認(rèn)證協(xié)議（完善（full-fledged）的安全認(rèn)證協(xié)議）目前，很多RFID系統(tǒng)都采用國(guó)際標(biāo)準(zhǔn)的ISO9798-2“三通互相鑒別”協(xié)議，該協(xié)議采用對(duì)稱加密算法，閱讀器和標(biāo)簽在通信中互相鑒別對(duì)方的用密鑰保護(hù)的ID，屬于一種雙向認(rèn)證協(xié)議。圖7-6三通互相鑒別協(xié)議該協(xié)議簡(jiǎn)單實(shí)用，可有效抵抗來(lái)自系統(tǒng)外部的偽造和攻擊，但由于系統(tǒng)內(nèi)所有閱讀器和標(biāo)簽共享相同的密鑰，所以對(duì)來(lái)自系統(tǒng)內(nèi)的威脅卻無(wú)能為力任意標(biāo)簽或閱讀器密鑰的泄漏，都可能造成整個(gè)RFID系統(tǒng)安全性的崩潰另一種具有代表性的是用于電子護(hù)照的基于ICAO（InternationalCivilAviationOrganization，國(guó)際民用航空組織）標(biāo)準(zhǔn)的ICAO認(rèn)證協(xié)議。該協(xié)議采用64位雙密鑰的3DES算法（two-keytriple-DES）和消息認(rèn)證碼（MAC），具有很高的安全強(qiáng)度。標(biāo)簽的成本是影響RFID系統(tǒng)發(fā)展和應(yīng)用的重要因素，所以低成本的RFID系統(tǒng)不太適宜采用重量級(jí)的安全認(rèn)證協(xié)議—中量級(jí)認(rèn)證協(xié)議Hash-Lock協(xié)議使用metaID來(lái)代替真實(shí)的標(biāo)簽ID，以避免信息泄漏和被追蹤，每個(gè)標(biāo)簽擁有自己的訪問(wèn)密鑰key，且metaID=H(key)。圖7-7Hash-Lock協(xié)議從上述的協(xié)議執(zhí)行過(guò)程中可以看出，該協(xié)議能夠提供訪問(wèn)控制和標(biāo)簽數(shù)據(jù)隱私保護(hù)。但是由于ID沒(méi)有使用動(dòng)態(tài)刷新機(jī)制，metaID保持不變，標(biāo)簽易被跟蹤定位。Key、ID以明文形式發(fā)送，容易被竊聽(tīng)者獲取。

隨機(jī)Hash-Lock協(xié)議該協(xié)議中，對(duì)于標(biāo)簽閱讀器的不同詢問(wèn)，標(biāo)簽將回傳亂數(shù)形態(tài)的回傳值給閱讀器以避免追蹤。圖7-8隨機(jī)Hash-Lock協(xié)議此認(rèn)證協(xié)議解決了依據(jù)相同響應(yīng)對(duì)標(biāo)簽進(jìn)行跟蹤定位的問(wèn)題，但仍有缺陷，標(biāo)簽認(rèn)證后的標(biāo)識(shí)IDk還是以明文發(fā)送的，攻擊者可以根據(jù)IDk對(duì)標(biāo)簽進(jìn)行追蹤定位和據(jù)此偽造標(biāo)簽。此協(xié)議不具有反向安全性，竊聽(tīng)者根據(jù)IDk、R值計(jì)算出H(IDk||R)值，因此可追蹤到標(biāo)簽歷史位置信息。每次標(biāo)簽的認(rèn)證，后臺(tái)數(shù)據(jù)庫(kù)都需要將所有標(biāo)簽的標(biāo)識(shí)發(fā)送給標(biāo)簽閱讀器，兩者之間的數(shù)據(jù)通信量很大。Hash-Chain協(xié)議本質(zhì)上，此協(xié)議是基于共享秘密的詢問(wèn)-應(yīng)答協(xié)議，但對(duì)使用兩個(gè)不同Hash函數(shù)的標(biāo)簽發(fā)起認(rèn)證時(shí)，標(biāo)簽總是發(fā)送不同的應(yīng)答。圖7-9Hash-Chain協(xié)議在Hash-Chain協(xié)議中，標(biāo)簽是具有自主ID更新能力的主動(dòng)式標(biāo)簽，避免了標(biāo)簽定位隱私信息的泄漏。又由于單向的Hash函數(shù)，不可能從St,j+1獲得St,j，具有前向安全性。為了盡量降低標(biāo)簽的制作成本，該協(xié)議降低了標(biāo)簽的存儲(chǔ)空間和計(jì)算能力。從上述過(guò)程中可以看出，該協(xié)議只是一個(gè)單向的認(rèn)證協(xié)議，在協(xié)議的最后標(biāo)簽沒(méi)有實(shí)現(xiàn)對(duì)閱讀器的認(rèn)證，標(biāo)簽無(wú)法確認(rèn)閱讀器的合法性。Hash-Chain協(xié)議非常容易受到重傳和假冒攻擊。只要攻擊者截獲了at,j，它就可以進(jìn)行重傳攻擊，偽裝標(biāo)簽通過(guò)認(rèn)證。圖7-10基于散列的ID變化協(xié)議此協(xié)議成功地完成一次認(rèn)證才會(huì)更改標(biāo)簽上的ID，以使標(biāo)簽的下次響應(yīng)值改變。該協(xié)議不適合于使用分布式數(shù)據(jù)庫(kù)的普適計(jì)算環(huán)境。此協(xié)議在標(biāo)簽和后臺(tái)數(shù)據(jù)庫(kù)中均使用了較多的存儲(chǔ)空間。基于散列的ID變化協(xié)議表7-1基于散列的ID變化協(xié)議中各符號(hào)含義數(shù)字圖書(shū)館安全協(xié)議到目前為止，還沒(méi)有發(fā)現(xiàn)該協(xié)議具有明顯的安全漏洞。為了支持該協(xié)議，必需在Tag電路中包含實(shí)現(xiàn)隨機(jī)數(shù)生成以及安全偽隨機(jī)函數(shù)兩大功能模塊，故而該協(xié)議不適用于低成本的RFID系統(tǒng)。圖7-11David的數(shù)字圖書(shū)館安全協(xié)議分布式RFID詢問(wèn)-應(yīng)答安全協(xié)議圖7-12分布式RFID詢問(wèn)-應(yīng)答安全協(xié)議此協(xié)議應(yīng)用了兩個(gè)技巧：標(biāo)簽上自行產(chǎn)生一個(gè)隨機(jī)數(shù)RTag，這樣即使閱讀器每次傳來(lái)的RReader都是一個(gè)固定的值，標(biāo)簽的響應(yīng)值仍然是呈亂數(shù)狀態(tài)，以此解決位置隱私的問(wèn)題；將閱讀器產(chǎn)生的隨機(jī)數(shù)RReader經(jīng)過(guò)安全信道傳至后臺(tái)數(shù)據(jù)庫(kù)，由于RReader每次都不一樣，所以可以避免replay攻擊，且只要將RReader應(yīng)用在所要傳送的信息上稍加設(shè)計(jì)，就可使信息不易偽造便可以避兔spoofing攻擊。到目前為止，還沒(méi)有發(fā)現(xiàn)該協(xié)議有明顯的安全漏洞或缺陷，但是在本協(xié)議中，執(zhí)行一次認(rèn)證協(xié)議需要標(biāo)簽進(jìn)行兩次Hash運(yùn)算。標(biāo)簽電路中自然也需要集成隨機(jī)數(shù)發(fā)生器和散列函數(shù)模塊，因此它也不適用于低成本RFID系統(tǒng)。LCAP協(xié)議LCAP協(xié)議也是詢問(wèn)-應(yīng)答協(xié)議，但是與前面的同類其他協(xié)議不同，它每次執(zhí)行之后都要?jiǎng)討B(tài)刷新標(biāo)簽的ID圖7-13LCAP協(xié)議LCAP協(xié)議也不適合于使用分布式數(shù)據(jù)庫(kù)的普適計(jì)算環(huán)境，同時(shí)亦存在數(shù)據(jù)庫(kù)同步的潛在安全隱患總體來(lái)說(shuō)，現(xiàn)有的基于密碼技術(shù)的中量級(jí)RFID安全認(rèn)證機(jī)制大致可以分為兩大類：“靜態(tài)I