第7章物聯(lián)網(wǎng)安全

物聯(lián)網(wǎng)工程技術(shù)武漢理工大學(xué)物聯(lián)網(wǎng)工程系2011.9第7章物聯(lián)網(wǎng)安全7.1物聯(lián)網(wǎng)的安全問題7.1.1物聯(lián)網(wǎng)安全風(fēng)險來源7.1.2物聯(lián)網(wǎng)面對的特殊安全問題7.2網(wǎng)絡(luò)安全策略7.3RFID系統(tǒng)安全7.1.1物聯(lián)網(wǎng)安全風(fēng)險來源造成損失：互聯(lián)網(wǎng)-----信息資產(chǎn)領(lǐng)域物聯(lián)網(wǎng)-----現(xiàn)實社會物聯(lián)網(wǎng)導(dǎo)致安全問題的本質(zhì)特性：互聯(lián)網(wǎng)的脆弱性復(fù)雜的網(wǎng)絡(luò)環(huán)境無線信道的開放性物聯(lián)網(wǎng)終端的局限性虛擬世界物理世界7.1.2物聯(lián)網(wǎng)面對的特殊安全問題物聯(lián)網(wǎng)機器/感知節(jié)點的本地安全問題感知網(wǎng)絡(luò)的傳輸與信息安全問題感知節(jié)點通常情況下功能簡單、攜帶能量少，無法擁有復(fù)雜的安全保護能力感知網(wǎng)絡(luò)多種多樣，數(shù)據(jù)傳輸和消息也沒有特定的標(biāo)準(zhǔn)，所以沒法提供統(tǒng)一的安全保護體系。物聯(lián)網(wǎng)機器/感知節(jié)點多數(shù)部署在無人監(jiān)控的場地中。攻擊者就可以輕易地接觸到這些設(shè)備，從而造成破壞，甚至通過本地操作更換機器的軟硬件。核心網(wǎng)絡(luò)的傳輸與信息安全問題物聯(lián)網(wǎng)業(yè)務(wù)的安全問題在數(shù)據(jù)傳播時，由于大量機器的數(shù)據(jù)發(fā)送會使網(wǎng)絡(luò)擁塞，產(chǎn)生拒絕服務(wù)攻擊現(xiàn)有通信網(wǎng)絡(luò)的安全架構(gòu)不適用于機器的通信，使用現(xiàn)有安全機制會割裂物聯(lián)網(wǎng)機器間的邏輯關(guān)系。如何對物聯(lián)網(wǎng)設(shè)備進行遠(yuǎn)程簽約信息和業(yè)務(wù)信息配置龐大且多樣化的物聯(lián)網(wǎng)平臺必然需要一個強大而統(tǒng)一的安全管理平臺如何對物聯(lián)網(wǎng)機器的日志等安全信息進行管理可能割裂網(wǎng)絡(luò)與業(yè)務(wù)平臺之間的信任關(guān)系，導(dǎo)致新一輪安全問題的產(chǎn)生。第7章物聯(lián)網(wǎng)安全7.1物聯(lián)網(wǎng)的安全問題7.2網(wǎng)絡(luò)安全策略7.2.1網(wǎng)絡(luò)安全技術(shù)7.2.2物聯(lián)網(wǎng)安全框架7.3RFID系統(tǒng)安全7.2.1網(wǎng)絡(luò)安全技術(shù)保證網(wǎng)絡(luò)環(huán)境中傳輸、存儲與處理信息的安全性。計算機網(wǎng)絡(luò)安全主要包括密碼機制、安全協(xié)議以及訪問控制密碼機制除為用戶提供保密通信以外，也是許多其他安全機制的基礎(chǔ)。訪問控制（accesscontrol）也叫做存取控制或接入控制，必須對接入網(wǎng)絡(luò)的權(quán)限加以控制，并規(guī)定每個用戶的接入權(quán)限。網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全防護技術(shù)防火墻，入侵檢測技術(shù)，安全審計技術(shù)，網(wǎng)絡(luò)防病毒技術(shù)，計算機取證，網(wǎng)絡(luò)業(yè)務(wù)持續(xù)性規(guī)劃技術(shù)密碼學(xué)應(yīng)用技術(shù)密碼學(xué)基本概念，數(shù)字簽名，身份識別技術(shù)，公鑰基礎(chǔ)設(shè)施，信息隱藏技術(shù)網(wǎng)絡(luò)安全應(yīng)用技術(shù)IP安全體系，VPN技術(shù)，電子郵件安全技術(shù)，Web安全技術(shù)網(wǎng)絡(luò)安全防護技術(shù)—

防火墻防火墻是在網(wǎng)絡(luò)之間執(zhí)行控制策略的系統(tǒng)，包括硬件和軟件。設(shè)置防火墻的目的是保護內(nèi)部網(wǎng)絡(luò)資源不被外部非授權(quán)用戶使用，防止內(nèi)部受到外部非法用戶的攻擊。防火墻通過檢查所有進出內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包的合法性，判斷是否會對網(wǎng)絡(luò)安全構(gòu)成威脅，為內(nèi)部網(wǎng)絡(luò)建立安全邊界。構(gòu)成防火墻系統(tǒng)的兩個基本部件是包過濾路由器（pocketfilteringrouter）和應(yīng)用級網(wǎng)關(guān)（applicationgateway）?！肭謾z測技術(shù)入侵檢測系統(tǒng)的基本功能入侵檢測系統(tǒng)（IntrusionDetectionSystem，IDS）是對計算機和網(wǎng)絡(luò)資源的惡意使用行為進行識別的系統(tǒng)。目的是監(jiān)測和發(fā)現(xiàn)可能存在的攻擊行為，包括來自系統(tǒng)外部的入侵行為和來自內(nèi)部用戶的非授權(quán)行為，并采取相應(yīng)的防護手段。入侵檢測系統(tǒng)的功能主要有：監(jiān)控、分析用戶和系統(tǒng)的行為；檢查系統(tǒng)的配置和漏洞；評估重要的系統(tǒng)和數(shù)據(jù)文件的完整性；對異常行為的統(tǒng)計分析，識別攻擊類型，并向網(wǎng)絡(luò)管理人員報警；對操作系統(tǒng)進行審計、跟蹤管理，識別違反授權(quán)的用戶活動。入侵檢測系統(tǒng)的分類根據(jù)入侵檢測的體系結(jié)構(gòu)不同，IDS可以分為基于主機與基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)兩大類。前者是集中式的，后者是一種分布式的IDS。根據(jù)檢測的對象和基本方法的不同，入侵檢測系統(tǒng)又可分為基于目標(biāo)和基于應(yīng)用的入侵檢測系統(tǒng)。根據(jù)入侵檢測的工作方式不同又可分為離線檢測系統(tǒng)和在線檢測系統(tǒng)。離線檢測系統(tǒng)是非實時工作的系統(tǒng)，事后分析審計事件，從中檢測入侵活動；在線檢測系統(tǒng)是實時聯(lián)機的測試系統(tǒng)，包含實時網(wǎng)絡(luò)數(shù)據(jù)包的審計分析?！踩珜徲嫾夹g(shù)安全審計是一個安全的網(wǎng)絡(luò)必須支持的功能，是對用戶使用網(wǎng)絡(luò)和計算機所有活動記錄分析、審查和發(fā)現(xiàn)問題的重要手段。被廣泛地應(yīng)用于評價系統(tǒng)安全狀態(tài)、分析攻擊源、類型以及危害安全審計的基本要求：審計信息必須被有選擇地保留和保護，與安全有關(guān)的活動能夠被追溯到負(fù)責(zé)方，系統(tǒng)應(yīng)能夠選擇記錄那些與安全有關(guān)的信息，以便將審計的開銷減少到最小，這樣可以進行有效地分析網(wǎng)絡(luò)安全審計的功能：安全審計自動響應(yīng)、安全審計事件生成、安全審計分析、安全審計預(yù)覽、安全審計事件存儲、安全審計事件選擇等安全審計研究的內(nèi)容主要有：網(wǎng)絡(luò)設(shè)備、防火墻和操作系統(tǒng)的日志審計—網(wǎng)絡(luò)防病毒技術(shù)惡意傳播代碼（MaliciousMobileCode，MMC）是一種程序軟件，目的是在網(wǎng)絡(luò)和系統(tǒng)管理員不知情的情況下，對系統(tǒng)進行故意修改。惡意傳播代碼包括病毒、木馬、蠕蟲、腳本攻擊代碼，以及垃圾郵件、流氓軟件與惡意的互聯(lián)網(wǎng)代碼網(wǎng)絡(luò)防病毒技術(shù)主要指的是應(yīng)用各種病毒防治軟件、專殺工具、木馬掃描軟件等被動防御工具查殺病毒的技術(shù)—計算機取證計算機取證（computerforensics）在網(wǎng)絡(luò)安全中屬于主動防御技術(shù)，是應(yīng)用計算機辨析方法，對計算機犯罪的行為進行分析，以確定罪犯與犯罪的電子證據(jù)，并以此為重要依據(jù)提起訴訟。針對網(wǎng)絡(luò)入侵與犯罪，計算機取證技術(shù)是一個對受侵犯的計算機、網(wǎng)絡(luò)設(shè)備、系統(tǒng)進行掃描與破解，對入侵的過程進行重構(gòu)，完成有法律效力的電子證據(jù)的獲取、保存、分析、出示的全過程，是保護網(wǎng)絡(luò)系統(tǒng)的重要的技術(shù)手段。—網(wǎng)絡(luò)業(yè)務(wù)持續(xù)性規(guī)劃技術(shù)網(wǎng)絡(luò)文件的備份恢復(fù)屬于日常網(wǎng)絡(luò)與信息系統(tǒng)維護的范疇，而業(yè)務(wù)持續(xù)性規(guī)劃是一種消除突發(fā)事件對網(wǎng)絡(luò)與信息系統(tǒng)所造成的影響的預(yù)防技術(shù)。網(wǎng)絡(luò)文件備份要解決以下幾個基本問題：選擇備份設(shè)備、選擇備份程序與建立備份制度。業(yè)務(wù)持續(xù)性規(guī)劃技術(shù)的內(nèi)容包括：規(guī)劃的方法學(xué)問題、風(fēng)險分析方法、數(shù)據(jù)恢復(fù)規(guī)劃。密碼學(xué)應(yīng)用技術(shù)—密碼學(xué)基本概念密碼學(xué)（cryptography）包括密碼編碼學(xué)和密碼分析學(xué)，密碼體制的設(shè)計是密碼學(xué)研究的主要內(nèi)容。密碼體制是指一個系統(tǒng)所采用的基本工作方式以及它的兩個基本構(gòu)成要素，即加密/解密算法和密鑰。加密的基本思想是偽裝明文以隱藏它的真實內(nèi)容，將明文偽裝成密文。加密算法和解密算法的操作通常都是在一組密鑰控制下進行的。對稱密碼（symmetriccryptography）體制非對稱（公鑰）密碼（asymmetriccryptography）體制。對于同一種加密算法，密鑰的位數(shù)越長，密鑰空間（keyspace）越大。但是密鑰越長，進行加密和解密過程所需要的計算時間也將越長。公鑰密碼技術(shù)對信息的加密與解密使用不同的密鑰，因此又稱為公鑰加密（publickeyencryption）技術(shù)。公鑰加密技術(shù)的優(yōu)勢在于不需要共享通用的密鑰。主要缺點是加密算法復(fù)雜，加密與解密的速度比較慢?！獢?shù)字簽名數(shù)字簽名是附加在數(shù)據(jù)單元上的一些數(shù)據(jù)，或是對數(shù)據(jù)單元所作的密碼變換。這種數(shù)據(jù)或變換允許數(shù)據(jù)單元的接收者確認(rèn)數(shù)據(jù)單元來源和數(shù)據(jù)單元的完整性，保護數(shù)據(jù)防止被人（例如接收者）偽造。數(shù)字簽名機制包括兩個過程：對數(shù)據(jù)單元簽名和驗證簽過名的數(shù)據(jù)單元。簽名機制的本質(zhì)特征是該簽名只有使用簽名者的私有信息才能產(chǎn)生出來?！矸葑R別技術(shù)身份識別是指用戶向系統(tǒng)出示自己身份證明的過程，主要使用約定的口令、硬件設(shè)備（如智能卡）和人體生物特征（如用戶的指紋、視網(wǎng)膜、DNA和聲音等）。身份鑒別是系統(tǒng)查核用戶身份的證明過程，實質(zhì)上是查明用戶是否具有所請求資源的存儲和使用權(quán)。身份鑒別必須做到準(zhǔn)確無誤的將對方辨認(rèn)出來，同時還應(yīng)該提供雙向的鑒別，即相互證明自己的身份?！€基礎(chǔ)設(shè)施公鑰基礎(chǔ)設(shè)施（PublicKeyInfrastructure，PKI）是利用公鑰加密和數(shù)字簽名技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施。PKI為用戶建立一個安全的網(wǎng)絡(luò)運行環(huán)境，使用戶能夠在多種應(yīng)用環(huán)境之下方便地使用加密和數(shù)字簽名技術(shù)，從而保證網(wǎng)絡(luò)上數(shù)據(jù)的機密性、完整性與不可抵賴性。PKI的主要任務(wù)是確定可信任的數(shù)字身份，而這些身份可以與密碼機制相結(jié)合，提供認(rèn)證、授權(quán)或數(shù)字簽名驗證等服務(wù)。一個實用的公鑰基礎(chǔ)設(shè)施PKI包括：認(rèn)證中心（CertificateAuthority，CA）、注冊認(rèn)證（RegistrationAuthority，RA）中心、策略管理、密鑰與證書管理、密鑰的備份與恢復(fù)等。—信息隱藏技術(shù)信息隱藏（informationhiding）也稱為信息偽裝，是利用人類感覺器官對數(shù)字信號的感覺冗余，將一些秘密信息以偽裝的方式隱藏在非秘密信息之中，達到在網(wǎng)絡(luò)環(huán)境中的隱蔽通信和隱蔽標(biāo)識的目的。信息隱藏技術(shù)由兩個部分組成：信息嵌入算法、隱蔽信息檢測與提取算法。網(wǎng)絡(luò)安全應(yīng)用技術(shù)—IP安全體系安全體系IPSec（IPSecurityProtocol）具有以下特征：IPSec是IETF在開發(fā)IPv6時為保證IP數(shù)據(jù)包安全而設(shè)計的，是IPv6協(xié)議的一部分。IPSec可以向IPv4與IPv6提供互操作、高質(zhì)量與基于密碼的安全性。IPSec提供的安全服務(wù)包括訪問控制、完整性、數(shù)據(jù)原始認(rèn)證等。在網(wǎng)絡(luò)層提供，并向網(wǎng)絡(luò)層與更高層提供保護。IPSec協(xié)議由三個主要的協(xié)議以及加密與認(rèn)證算法組成，包括認(rèn)證頭（AuthenticationHeader，AH）協(xié)議、封裝安全載荷（EncapsulatingSecurityPayload，ESP）協(xié)議、互聯(lián)網(wǎng)安全關(guān)聯(lián)密鑰管理協(xié)議（InternetSecurityAssociationandKeyManagementProtocol，ISAKMP）、互聯(lián)網(wǎng)密鑰交換（InternetKeyExchange，IKE）協(xié)議。IPSec在IP層對數(shù)據(jù)分組進行高強度的加密與驗證服務(wù)，使安全服務(wù)獨立于應(yīng)用程序，各種應(yīng)用程序都可以共享IP層所提供的安全并服務(wù)于密鑰管理?！猇PN技術(shù)VPN是一種模擬“專用”廣域網(wǎng)，通過構(gòu)建安全的網(wǎng)絡(luò)平臺，在公共通信網(wǎng)絡(luò)的通信用戶之間建立一條安全、穩(wěn)定的通信隧道，為用戶提供安全通信服務(wù)?；贗P的VPN（VirtualPrivateNetwork，虛擬專用網(wǎng)絡(luò)）技術(shù)表現(xiàn)出費用低、組網(wǎng)靈活與具有很好的可擴展性的優(yōu)點VPN通過隧道技術(shù)、密碼技術(shù)、密鑰管理技術(shù)、用戶和設(shè)備認(rèn)證技術(shù)來保證安全通信服務(wù)—電子郵件安全技術(shù)目前有三種技術(shù)用于解決電子郵件的安全問題：端到端的安全電子郵件技術(shù)、傳輸層的安全電子郵件技術(shù)和郵件服務(wù)器安全技術(shù)?！猈eb安全技術(shù)對于攻擊者來說，Web服務(wù)器和數(shù)據(jù)庫服務(wù)器都有很多的弱點可以被利用，比較明顯的弱點在服務(wù)器的CGI程序與一些工具程序上。Web服務(wù)的內(nèi)容越豐富，應(yīng)用程序越大，則包含錯誤代碼的概率就越高。從網(wǎng)絡(luò)體系結(jié)構(gòu)的角度來看，Web安全技術(shù)涉及網(wǎng)絡(luò)層協(xié)議、傳輸層協(xié)議和應(yīng)用層協(xié)議。7.2.2物聯(lián)網(wǎng)安全架構(gòu)圖7-1物聯(lián)網(wǎng)安全架構(gòu)物聯(lián)網(wǎng)與幾個邏輯層所對應(yīng)的基礎(chǔ)設(shè)施之間存在的最基本的區(qū)別如下：已有的對傳感網(wǎng)（感知層）、互聯(lián)網(wǎng)（傳輸層）、移動網(wǎng)（傳輸層）、云計算（處理層）等的一些安全解決方案在物聯(lián)網(wǎng)環(huán)境可能不再適用物聯(lián)網(wǎng)對應(yīng)的傳感網(wǎng)數(shù)量和終端物體的規(guī)模是單個傳感網(wǎng)所無法相比的物聯(lián)網(wǎng)所聯(lián)接的終端設(shè)備或器件的處理能力將有很大差異，它們之間可能需要相互作用物聯(lián)網(wǎng)所處理的數(shù)據(jù)量將比現(xiàn)在的互聯(lián)網(wǎng)和移動網(wǎng)都要大得多，真正意義上的海量。即使分別保證感知層、傳輸層和處理層的安全，也不能保證物聯(lián)網(wǎng)的安全物聯(lián)網(wǎng)是融幾層于一體的大系統(tǒng)，許多安全問題來源于系統(tǒng)整合物聯(lián)網(wǎng)的數(shù)據(jù)共享對安全性提出了更高的要求物聯(lián)網(wǎng)的應(yīng)用將對安全提出新的要求1．感知層的安全—感知層的安全問題傳感網(wǎng)的網(wǎng)關(guān)節(jié)點被攻擊者控制，安全性全部丟失；傳感網(wǎng)的普通節(jié)點被攻擊者控制（攻擊者掌握節(jié)點密鑰）；傳感網(wǎng)的普通節(jié)點被攻擊者捕獲（但由于沒有得到節(jié)點密鑰，而沒有被控制）；傳感網(wǎng)的節(jié)點（普通節(jié)點或網(wǎng)關(guān)節(jié)點）受到來自網(wǎng)絡(luò)的DOS攻擊；接入到物聯(lián)網(wǎng)的超大量傳感節(jié)點的標(biāo)識、識別、認(rèn)證和控制問題?！兄獙拥陌踩枨髾C密性：多數(shù)傳感網(wǎng)內(nèi)部不需要認(rèn)證和密鑰管理，如統(tǒng)一部署的共享一個密鑰的傳感網(wǎng)；密鑰協(xié)商：部分傳感網(wǎng)內(nèi)部節(jié)點進行數(shù)據(jù)傳輸前需要預(yù)先協(xié)商會話密鑰；節(jié)點認(rèn)證：個別傳感網(wǎng)（特別當(dāng)傳感數(shù)據(jù)共享時）需要節(jié)點認(rèn)證，確保非法節(jié)點不能接入；信譽評估：一些重要傳感網(wǎng)需要對可能被攻擊者控制的節(jié)點行為進行評估，以降低攻擊者入侵后的危害（某種程度上相當(dāng)于入侵檢測）；安全路由：幾乎所有傳感網(wǎng)內(nèi)部都需要不同的安全路由技術(shù)?！兄獙拥陌踩軜?gòu)在傳感網(wǎng)內(nèi)部，需要有效的密鑰管理機制，用于保障傳感網(wǎng)內(nèi)部通信的安全。傳感網(wǎng)內(nèi)部的安全路由、連通性解決方案等都可以相對獨立地使用。由于傳感網(wǎng)類型的多樣性，很難統(tǒng)一要求有哪些安全服務(wù)，但機密性和認(rèn)證性都是必要的。機密性需要在通信時建立一個臨時會話密鑰，而認(rèn)證性可以通過對稱密碼或非對稱密碼方案解決。用于獨立傳感網(wǎng)的傳統(tǒng)安全解決方案需要提升安全等級后才能使用，也就是說在安全的要求上更高，這僅僅是量的要求，沒有質(zhì)的變化。相應(yīng)地，傳感網(wǎng)的安全需求所涉及的密碼技術(shù)包括輕量級密碼算法、輕量級密碼協(xié)議、可設(shè)定安全等級的密碼技術(shù)等。2．傳輸層的安全—傳輸層的安全問題DoS攻擊、DDoS（DistributedDenialofservice，分布式拒絕服務(wù)）攻擊；假冒攻擊、中間人攻擊等；跨異構(gòu)網(wǎng)絡(luò)的網(wǎng)絡(luò)攻擊?！獋鬏攲拥陌踩枨髷?shù)據(jù)機密性：需要保證數(shù)據(jù)在傳輸過程中不泄露其內(nèi)容；數(shù)據(jù)完整性：需要保證數(shù)據(jù)在傳輸過程中不被非法篡改，或非法篡改的數(shù)據(jù)容易被檢測出；數(shù)據(jù)流機密性：某些應(yīng)用場景需要對數(shù)據(jù)流量信息進行保密，目前只能提供有限的數(shù)據(jù)流機密性；DDoS攻擊的檢測與預(yù)防：DDoS攻擊在物聯(lián)網(wǎng)中將會更突出，物聯(lián)網(wǎng)中需要解決的問題還包括如何對脆弱節(jié)點的DDoS攻擊進行防護；移動網(wǎng)中認(rèn)證與密鑰協(xié)商（AuthenticationandKeyAgreement，AKA）機制的一致性或兼容性、跨域認(rèn)證和跨網(wǎng)絡(luò)認(rèn)證（基于IMSI的，InternationalMobileSubscriberIdentity國際移動用戶ID）問題，不同無線網(wǎng)絡(luò)所使用的不同AKA機制對跨網(wǎng)認(rèn)證帶來了不利，這一問題亟待解決?！獋鬏攲拥陌踩軜?gòu)節(jié)點認(rèn)證、數(shù)據(jù)機密性、完整性、數(shù)據(jù)流機密性、DDoS攻擊的檢測與預(yù)防；移動網(wǎng)中AKA機制的一致性或兼容性、跨域認(rèn)證和跨網(wǎng)絡(luò)認(rèn)證（基于IMSI）；相應(yīng)密碼技術(shù)，密鑰管理（密鑰基礎(chǔ)設(shè)施PKI和密鑰協(xié)商）、端對端加密和節(jié)點對節(jié)點加密、密碼算法和協(xié)議等；組播和廣播通信的認(rèn)證性、機密性和完整性安全機制。3．處理層的安全—處理層的安全問題及需求來自超大量終端的海量數(shù)據(jù)的識別和處理智能變?yōu)榈湍茏詣幼優(yōu)槭Э貫?zāi)難控制和恢復(fù)非法人為干預(yù)（內(nèi)部攻擊）設(shè)備（特別是移動設(shè)備）的丟失—處理層的安全架構(gòu)可靠的認(rèn)證機制和密鑰管理方案；高強度數(shù)據(jù)機密性和完整性服務(wù)；可靠的密鑰管理機制，包括PKI和對稱密鑰的有機結(jié)合機制；可靠的高智能處理手段；入侵檢測和病毒檢測；惡意指令分析和預(yù)防，訪問控制及災(zāi)難恢復(fù)機制；保密日志跟蹤和行為分析，惡意行為模型的建立；密文查詢、秘密數(shù)據(jù)挖掘、安全多方計算、安全云計算技術(shù)等；移動設(shè)備文件（包括秘密文件）的可備份和恢復(fù)；移動設(shè)備識別、定位和追蹤機制。4．應(yīng)用層的安全—應(yīng)用層的安全問題及需求如何根據(jù)不同訪問權(quán)限對同一數(shù)據(jù)庫內(nèi)容進行篩選如何提供用戶隱私信息保護，同時又能正確認(rèn)證移動用戶既需要知道其位置信息，又不愿意非法用戶獲取該信息；用戶既需要證明自己合法使用某種業(yè)務(wù)，又不想讓他人知道自己在使用某種業(yè)務(wù)，如在線游戲；病人急救時需要及時獲得該病人的電子病歷信息，但又要保護該病歷信息不被非法獲取，包括病歷數(shù)據(jù)管理員。事實上，電子病歷數(shù)據(jù)庫的管理人員可能有機會獲得電子病歷的內(nèi)容，但隱私保護采用某種管理和技術(shù)手段使病歷內(nèi)容與病人身份信息在電子病歷數(shù)據(jù)庫中無關(guān)聯(lián)；許多業(yè)務(wù)需要匿名性，如網(wǎng)絡(luò)投票。如何解決信息泄露追蹤問題如何進行計算機取證如何銷毀計算機數(shù)據(jù)如何保護電子產(chǎn)品和軟件的知識產(chǎn)權(quán)—應(yīng)用層的安全架構(gòu)有效的數(shù)據(jù)庫訪問控制和內(nèi)容篩選機制；不同場景的隱私信息保護技術(shù)；叛逆追蹤和其他信息泄露追蹤機制；有效的計算機取證技術(shù)；安全的計算機數(shù)據(jù)銷毀技術(shù)；安全的電子產(chǎn)品和軟件的知識產(chǎn)權(quán)保護技術(shù)。第7章物聯(lián)網(wǎng)安全7.1物聯(lián)網(wǎng)的安全問題7.2網(wǎng)絡(luò)安全策略7.3RFID系統(tǒng)安全7.3.1RFID系統(tǒng)的安全問題7.3.2RFID系統(tǒng)的安全風(fēng)險與需求7.3.3協(xié)議安全性7.3.4現(xiàn)有的RFID安全機制7.3.5RFID安全措施7.3RFID系統(tǒng)安全RFID射頻識別是通過射頻信號自動識別目標(biāo)對象并獲取相關(guān)數(shù)據(jù)，可識別高速運動物體并可同時識別多個標(biāo)簽，識別工作無需人工干預(yù)，操作也非常方便。RFID芯片如果設(shè)計不良或沒有受到保護，有很多手段可以獲取芯片的結(jié)構(gòu)和其中的數(shù)據(jù)，單純依賴RFID本身的技術(shù)特性將無法滿足RFID系統(tǒng)安全要求，RFID面臨的安全威脅愈加嚴(yán)重。RFID的安全風(fēng)險“系統(tǒng)開放”的設(shè)計思想7.3.1RFID系統(tǒng)的安全問題1．RFID系統(tǒng)面臨的安全威脅圖7-2EPCglobal整體系統(tǒng)結(jié)構(gòu)—標(biāo)簽和閱讀器組成的無線數(shù)據(jù)采集區(qū)域構(gòu)成的安全域RFID系統(tǒng)出現(xiàn)安全隱患的重要原因：對標(biāo)簽加解密需要耗用過多的處理器能力，會使標(biāo)簽增加額外的設(shè)計成本，使一些優(yōu)秀的安全工具或方法無法嵌入到標(biāo)簽的硬件中RFID安全認(rèn)證協(xié)議可能存在的安全威脅包括標(biāo)簽的偽造、對標(biāo)簽的非法接入和篡改、通過空中無線接口的竊聽、獲取標(biāo)簽的有關(guān)信息以及對標(biāo)簽進行跟蹤和監(jiān)控。圖7-3閱讀器與標(biāo)簽間基本的通信模型—企業(yè)內(nèi)部系統(tǒng)構(gòu)成的安全域企業(yè)內(nèi)部系統(tǒng)構(gòu)成的安全域存在的安全威脅與現(xiàn)有企業(yè)網(wǎng)一樣，在加強管理的同時，要防止內(nèi)部人員的非法或越權(quán)訪問與使用，還要防止非法閱讀器接入企業(yè)內(nèi)部網(wǎng)絡(luò)。—企業(yè)之間和企業(yè)與公共用戶之間供數(shù)據(jù)交換和查詢網(wǎng)絡(luò)構(gòu)成的安全區(qū)域ONS通過一種認(rèn)證和授權(quán)機制，以及根據(jù)有關(guān)的隱私法規(guī)，保證采集的數(shù)據(jù)不被用于其他非正常目的的商業(yè)應(yīng)用和泄露，并保證合法用戶對有關(guān)信息的查詢和監(jiān)控2．RFID系統(tǒng)通信中的安全問題圖7-4RFID系統(tǒng)通信模型—數(shù)據(jù)隱匿性問題RFID標(biāo)簽不應(yīng)當(dāng)向未經(jīng)授權(quán)的閱讀器泄漏任何敏感的信息，完備的RFID安全方案必須能夠保證標(biāo)簽中所包含的信息僅能被授權(quán)閱讀器識別。由于缺乏支持點對點加密和PKI密鑰交換的功能，在RFID系統(tǒng)應(yīng)用過程中，攻擊者能夠獲取并利用RFID標(biāo)簽上的內(nèi)容。由于從閱讀器到標(biāo)簽的前向信道具有較大的覆蓋范圍，比從標(biāo)簽到閱讀器的后向信道更加不安全。攻擊者可以通過采用竊聽技術(shù)，分析微處理器正常工作過程中產(chǎn)生的各種電磁特征，來獲得RFID標(biāo)簽和閱讀器之間或其他RFID通信設(shè)備之間的通信數(shù)據(jù)?！獢?shù)據(jù)完整性問題在RFID系統(tǒng)中，通常使用消息認(rèn)證碼來進行數(shù)據(jù)完整性的檢驗。它使用的是一種帶有共享密鑰的散列算法，即將共享密鑰和待檢驗的消息連接在一起進行散列運算，對數(shù)據(jù)的任何細(xì)微改動都會對消息認(rèn)證碼的值產(chǎn)生較大影響。在通信接口處使用校驗和的方法也僅僅能夠檢測隨機錯誤的發(fā)生。如果不采用數(shù)據(jù)完整性控制機制，可寫的標(biāo)簽存儲器有可能受到攻擊。攻擊者編寫軟件，利用計算機的通信接口，通過掃描RFID標(biāo)簽和響應(yīng)閱讀器的查詢，尋求安全協(xié)議、加密算法及其實現(xiàn)機制上的漏洞，進而刪除或篡改RFID標(biāo)簽內(nèi)的數(shù)據(jù)?！獢?shù)據(jù)真實性問題攻擊者可以從竊聽到的標(biāo)簽與閱讀器間的通信數(shù)據(jù)中獲取敏感信息，進而重構(gòu)RFID標(biāo)簽，達到偽造標(biāo)簽的目的。攻擊者可以利用偽造的標(biāo)簽代替實際物品，或通過重寫合法的RFID標(biāo)簽內(nèi)容，使用低價物品標(biāo)簽的內(nèi)容來替換高價物品標(biāo)簽的內(nèi)容從而獲取非法利益。攻擊者也可以通過某種方式隱藏標(biāo)簽，使閱讀器無法發(fā)現(xiàn)該標(biāo)簽，從而成功地實施物品轉(zhuǎn)移。閱讀器只有通過身份認(rèn)證才能確信消息是從正確的標(biāo)簽處發(fā)送過來的，反之亦然?！脩綦[私泄露問題在許多應(yīng)用中，RFID標(biāo)簽中所包含的信息關(guān)系到使用者的隱私。這些數(shù)據(jù)一旦被攻擊者獲取，使用者的隱私權(quán)將無法得到保障，因而安全的RFID系統(tǒng)應(yīng)當(dāng)能夠保護使用者的隱私信息或相關(guān)經(jīng)濟實體的商業(yè)利益。目前的RFID系統(tǒng)面臨著巨大的隱私安全風(fēng)險。通過閱讀器能夠跟蹤攜帶缺乏安全機制的RFID標(biāo)簽的個人，并將這些信息進行綜合和分析，就可以獲取使用者個人喜好和行蹤等隱私信息。3．針對RFID的攻擊手段—主動攻擊板圖重構(gòu)攻擊探測攻擊故障攻擊拒絕服務(wù)攻擊—被動攻擊電流分析攻擊跟蹤哄騙重放攻擊竊聽通過研究連接模式和跟蹤金屬連線，穿越可見模塊的邊界，從而使攻擊者能夠迅速識別芯片中某些基本結(jié)構(gòu)。攻擊者利用微探針監(jiān)聽總線上的信號從而獲取重要數(shù)據(jù)通過攻擊導(dǎo)致一個或多個觸發(fā)器處于病態(tài)，從而破壞傳輸?shù)郊拇嫫骱痛鎯ζ髦械臄?shù)據(jù)。通過某種手段使得標(biāo)簽與后端數(shù)據(jù)庫兩者或其中的一方處于忙狀態(tài)，從而達到阻止數(shù)據(jù)通信目的將電子標(biāo)簽置于由金屬網(wǎng)或金屬薄片制成的容器中，使其被屏蔽起來，從而阻止合法閱讀器對標(biāo)簽信息的正常掃描和數(shù)據(jù)通信使用極大的通信量沖擊RFID系統(tǒng)，使得后端數(shù)據(jù)庫處于阻塞狀態(tài)，或使標(biāo)簽所使用的頻段處于飽和狀態(tài)，從而使標(biāo)簽無法與閱讀器進行通信。攻擊者通過分析執(zhí)行命令時標(biāo)簽的電流損耗，從而推知標(biāo)簽所執(zhí)行的命令，甚至是所處理的數(shù)據(jù)。未經(jīng)授權(quán)的閱讀器可以在RFID標(biāo)簽所有者毫不知情的情況下，掃描到標(biāo)簽，甚至獲取標(biāo)簽中所附帶的信息。因此攻擊者可以利用閱讀器實現(xiàn)對攜帶不安全RFID標(biāo)簽者的跟蹤攻擊者在未經(jīng)授權(quán)的RFID標(biāo)簽上適當(dāng)?shù)貙懭胍恍?shù)據(jù)，冒充可信的RFID標(biāo)簽與閱讀器進行通信。復(fù)制標(biāo)簽就是一種哄騙攻擊的表現(xiàn)形式攻擊者將某個標(biāo)簽的回應(yīng)消息暫時保存起來，并在閱讀器訪問其他標(biāo)簽時，重新發(fā)送這個消息，從而達到騙取信任或獲取非法利益。這種攻擊主要針對的是協(xié)議攻擊對象是標(biāo)簽與閱讀器之間的無線通信信道，信道中傳輸?shù)臄?shù)據(jù)時時刻刻都有被竊取的危險7.3.2RFID系統(tǒng)的安全風(fēng)險與需求1．RFID系統(tǒng)的安全風(fēng)險—RFID自身脆弱性—RFID易受外部攻擊—隱私風(fēng)險—外部風(fēng)險任何不適當(dāng)?shù)南到y(tǒng)規(guī)劃或者系統(tǒng)的開放性都會導(dǎo)致RFID系統(tǒng)的安全風(fēng)險RFID系統(tǒng)中的任何組件或者子系統(tǒng)故障都會導(dǎo)致系統(tǒng)失效由于部分RFID部件部署于戶外，極易受到天災(zāi)人禍的影響由于RFID系統(tǒng)支持遠(yuǎn)程無線接入訪問系統(tǒng)資源，往往沒有部署足夠安全機制，很容易被第三方利用來進行非授權(quán)訪問，第三方有可能非授權(quán)訪問RFID信息并用來危害實施RFID系統(tǒng)單位的利益單位或者個人為自己利益非法收集RFID信息，包括交易信息或者授權(quán)信息，然后利用該信息進行非法活動；由于多數(shù)RFID信息未經(jīng)加密處理，RFID信息很容易被用于個人或者貨物的非法跟蹤。射頻干擾主要是電磁干擾，會導(dǎo)致系統(tǒng)工作異常；計算機網(wǎng)絡(luò)攻擊主要指對網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件的攻擊，會導(dǎo)致網(wǎng)絡(luò)癱瘓。2．RFID系統(tǒng)的安全需求—機密性—完整性—可用性—真實性—隱私性7.3.3協(xié)議安全性1．安全的協(xié)議安全協(xié)議是運行在計算機網(wǎng)絡(luò)或分布式系統(tǒng)中，借助密碼算法來達到密鑰分配、身份認(rèn)證以及公平交易等目的的一種高互通協(xié)議。安全認(rèn)證協(xié)議的主要目的是通過協(xié)議消息的傳遞來實現(xiàn)通信主體身份的認(rèn)證或確認(rèn)，并在此基礎(chǔ)上為下一步的秘密通信分配所使用的會話密鑰，因此對通信主體雙方身份的認(rèn)證是雙方進行通信的基礎(chǔ)和前提。在認(rèn)證的過程中，對關(guān)鍵信息的秘密性及完整性的要求也是十分必要的，評估安全協(xié)議的安全性就是檢查其安全特性在協(xié)議執(zhí)行時是否受到破壞?！J(rèn)證性認(rèn)證是網(wǎng)絡(luò)或分布式系統(tǒng)中的主體進行身份識別的過程，所有其他的安全性都依賴于它。安全協(xié)議認(rèn)證性的實現(xiàn)是基于密碼技術(shù)的，具體有以下幾種方法：聲稱者使用僅只有自己與驗證者知道的密鑰封裝消息，如果驗證者能夠成功地解密消息或驗證封裝是正確的，則聲稱者的身份得到證明；聲稱者使用其私鑰對消息簽名，驗證者使用聲稱者的公鑰檢查簽名，如正確，則聲稱者的身份得到證明；聲稱者通過可信第三方來證明自己。—秘密性秘密性的目的是保護協(xié)議消息不被泄漏給未授權(quán)擁有此消息的人。保證協(xié)議消息秘密性最直接的辦法是對消息進行加密，加密使得消息由明文變?yōu)槊芪?，并且任何人在不擁有密鑰的情況下是不能解密消息的?！暾酝暾缘哪康氖潜Ｗo協(xié)議消息不被非法篡改、刪除和替換。最為常用的方法是封裝和簽名，即用加密的辦法或者使用散列函數(shù)產(chǎn)生一個明文的摘要附在被傳送的消息上，作為驗證消息完整性的依據(jù)。關(guān)鍵問題是通信雙方必須事先達成采用何種算法的共識，被保護的消息應(yīng)該擁有一定的冗余，這種加密消息的冗余則能保證消息的完整性。—不可抵賴性

協(xié)議的主體可收集證據(jù)，以便事后能夠向可信仲裁方證明對方主體的確發(fā)送或接收了某條消息，以保證自身合法利益不受侵害。不可抵賴性使得協(xié)議主體必須對自己的行為負(fù)責(zé)，不能也無法事后否認(rèn)。要實現(xiàn)不可抵賴性，協(xié)議必須具有以下兩點：證據(jù)的有效性；交易的公平性。安全協(xié)議按照其目的可以分為以下三類：密鑰交換協(xié)議：這類協(xié)議用于完成會話密鑰的建立。一般情況下是參與協(xié)議的兩個或多個主體之間建立共享的密鑰，協(xié)議可采用對稱密碼體制，也可以采用非對稱密碼體制。認(rèn)證協(xié)議：認(rèn)證協(xié)議包括身份認(rèn)證協(xié)議，消息認(rèn)證協(xié)議、數(shù)據(jù)源認(rèn)證協(xié)議等，用來防止假冒、篡改和否認(rèn)等攻擊。認(rèn)證和密鑰交換協(xié)議：這類協(xié)議是認(rèn)證協(xié)議和密鑰交換協(xié)議的結(jié)合，是網(wǎng)絡(luò)通信中應(yīng)用最普遍的安全協(xié)議。安全協(xié)議設(shè)計與分析的困難性在于：安全目標(biāo)本身的微妙性，一個不經(jīng)意的漏洞也會導(dǎo)致安全隱患；協(xié)議運行環(huán)境的復(fù)雜性，當(dāng)安全協(xié)議運行在一個十分復(fù)雜的公開環(huán)境時，攻擊者處處存在，必須形式化地刻畫安全協(xié)議的運行環(huán)境，但是這是項艱巨的任務(wù)；攻擊者模型的復(fù)雜性，必須形式化地描述攻擊者的能力，對攻擊者和攻擊行為進行分類和形式化的分析；安全協(xié)議本身具有高并發(fā)性，因此對安全協(xié)議的分析變得更加復(fù)雜。2．EPC協(xié)議安全性RFID系統(tǒng)的安全性主要從以下三個環(huán)節(jié)來保障：電子標(biāo)簽芯片的物理安全技術(shù)、閱讀器與標(biāo)簽間的安全通信、數(shù)據(jù)系統(tǒng)中對標(biāo)簽信息的管理。在EPC協(xié)議中存在著若干安全問題，從標(biāo)簽中讀取的信息是以明文方式傳送的，會輕易向周圍的攻擊者泄漏標(biāo)簽中保存的信息。最易受攻擊圖7-5閱讀器與標(biāo)簽的通信7.3.4現(xiàn)有的RFID安全機制1．物理安全機制—Kill命令機制基本原理：從物理上銷毀RFID標(biāo)簽，一旦對標(biāo)簽實施了銷毀命令，標(biāo)簽將不可再用。該方法以犧牲RFID的性能為代價換取了隱私的保護，使得RFID的標(biāo)簽功能盡失，是不可逆的操作。同時，由于銷毀后的標(biāo)簽不再會有任何的應(yīng)答，系統(tǒng)不能知道標(biāo)簽是否真正銷毀掉了，仍可能危及消費者隱私?！眉魳?biāo)簽法IBM公司針對RFID的隱私問題，開發(fā)了一種“裁剪標(biāo)簽”技術(shù)，消費者能夠?qū)FID天線扯掉或者刮除，大大縮短了標(biāo)簽的可讀取范圍，使標(biāo)簽不能被遠(yuǎn)端的閱讀器隨意讀取。裁剪標(biāo)簽法，彌補了Kill命令機制的短處，使得標(biāo)簽的讀取距離縮短到1到2英寸，可以防止攻擊者在遠(yuǎn)處非法的監(jiān)聽和跟蹤標(biāo)簽?！o電屏蔽機制工作原理是使用FaradayCage（法拉第網(wǎng)罩）來屏蔽標(biāo)簽，使之不能接受來自任何閱讀器的信號，以此來保護消費者個人隱私。根據(jù)電磁波屏蔽原理，采用金屬絲網(wǎng)制成電磁波不能穿透的容器，用于放置帶有RFID標(biāo)簽的物品。為了要阻隔電波，袋子的形狀受到限制，采用法拉第網(wǎng)罩的方法也會提高袋子的制作成本。此方法是一種初級的物理方法，比較適用于體積小的RFID物品的隱私保護，但如果此方法被濫用，還有可能成為商場盜竊的另一種手段?！鲃痈蓴_基本原理是使用一個設(shè)備持續(xù)不斷的發(fā)送干擾信號，以干擾任何靠近標(biāo)簽的閱讀器所發(fā)出的信號。標(biāo)簽持有者需隨身攜帶一個可發(fā)出干擾信號的設(shè)備，進行主動干擾時打開設(shè)備。此方法除了要另外攜帶一個設(shè)備的不便之外，主動干擾時有可能在無意間破壞到其他正常合法的標(biāo)簽與閱讀器之間的通信，若主動干擾設(shè)備所發(fā)送的干擾信號超過規(guī)定的頻率使用范圍還會帶來法律上的問題?！枞麡?biāo)簽法阻塞標(biāo)簽法也稱RSA軟阻塞器，內(nèi)置在購物袋中的標(biāo)簽，在物品被購買后，禁止閱讀器讀取袋中所購貨物上的標(biāo)簽阻塞標(biāo)簽法基于二進制樹查詢算法，通過模擬標(biāo)簽ID的方式干擾算法的查詢過程通過這種方式一個選擇性阻塞標(biāo)簽可以用于阻止閱讀器查詢具有任意固定前綴的標(biāo)簽，可以有效的防止非法掃描，最大的優(yōu)點是RFID標(biāo)簽基本上不需要修改，也不要執(zhí)行加解密運算，減少了標(biāo)簽的成本缺點是阻塞標(biāo)簽可以模擬多個標(biāo)簽存在的情況，攻擊者可利用數(shù)量有限的阻塞標(biāo)簽向閱讀器發(fā)動拒絕服務(wù)攻擊，另外阻塞標(biāo)簽有其保護范圍，超出隱私保護范圍的標(biāo)簽不可能得到保護的。2．基于密碼技術(shù)的安全機制—重量級認(rèn)證協(xié)議（完善（full-fledged）的安全認(rèn)證協(xié)議）目前，很多RFID系統(tǒng)都采用國際標(biāo)準(zhǔn)的ISO9798-2“三通互相鑒別”協(xié)議，該協(xié)議采用對稱加密算法，閱讀器和標(biāo)簽在通信中互相鑒別對方的用密鑰保護的ID，屬于一種雙向認(rèn)證協(xié)議。圖7-6三通互相鑒別協(xié)議該協(xié)議簡單實用，可有效抵抗來自系統(tǒng)外部的偽造和攻擊，但由于系統(tǒng)內(nèi)所有閱讀器和標(biāo)簽共享相同的密鑰，所以對來自系統(tǒng)內(nèi)的威脅卻無能為力任意標(biāo)簽或閱讀器密鑰的泄漏，都可能造成整個RFID系統(tǒng)安全性的崩潰另一種具有代表性的是用于電子護照的基于ICAO（InternationalCivilAviationOrganization，國際民用航空組織）標(biāo)準(zhǔn)的ICAO認(rèn)證協(xié)議。該協(xié)議采用64位雙密鑰的3DES算法（two-keytriple-DES）和消息認(rèn)證碼（MAC），具有很高的安全強度。標(biāo)簽的成本是影響RFID系統(tǒng)發(fā)展和應(yīng)用的重要因素，所以低成本的RFID系統(tǒng)不太適宜采用重量級的安全認(rèn)證協(xié)議—中量級認(rèn)證協(xié)議Hash-Lock協(xié)議使用metaID來代替真實的標(biāo)簽ID，以避免信息泄漏和被追蹤，每個標(biāo)簽擁有自己的訪問密鑰key，且metaID=H(key)。圖7-7Hash-Lock協(xié)議從上述的協(xié)議執(zhí)行過程中可以看出，該協(xié)議能夠提供訪問控制和標(biāo)簽數(shù)據(jù)隱私保護。但是由于ID沒有使用動態(tài)刷新機制，metaID保持不變，標(biāo)簽易被跟蹤定位。Key、ID以明文形式發(fā)送，容易被竊聽者獲取。

隨機Hash-Lock協(xié)議該協(xié)議中，對于標(biāo)簽閱讀器的不同詢問，標(biāo)簽將回傳亂數(shù)形態(tài)的回傳值給閱讀器以避免追蹤。圖7-8隨機Hash-Lock協(xié)議此認(rèn)證協(xié)議解決了依據(jù)相同響應(yīng)對標(biāo)簽進行跟蹤定位的問題，但仍有缺陷，標(biāo)簽認(rèn)證后的標(biāo)識IDk還是以明文發(fā)送的，攻擊者可以根據(jù)IDk對標(biāo)簽進行追蹤定位和據(jù)此偽造標(biāo)簽。此協(xié)議不具有反向安全性，竊聽者根據(jù)IDk、R值計算出H(IDk||R)值，因此可追蹤到標(biāo)簽歷史位置信息。每次標(biāo)簽的認(rèn)證，后臺數(shù)據(jù)庫都需要將所有標(biāo)簽的標(biāo)識發(fā)送給標(biāo)簽閱讀器，兩者之間的數(shù)據(jù)通信量很大。Hash-Chain協(xié)議本質(zhì)上，此協(xié)議是基于共享秘密的詢問-應(yīng)答協(xié)議，但對使用兩個不同Hash函數(shù)的標(biāo)簽發(fā)起認(rèn)證時，標(biāo)簽總是發(fā)送不同的應(yīng)答。圖7-9Hash-Chain協(xié)議在Hash-Chain協(xié)議中，標(biāo)簽是具有自主ID更新能力的主動式標(biāo)簽，避免了標(biāo)簽定位隱私信息的泄漏。又由于單向的Hash函數(shù)，不可能從St,j+1獲得St,j，具有前向安全性。為了盡量降低標(biāo)簽的制作成本，該協(xié)議降低了標(biāo)簽的存儲空間和計算能力。從上述過程中可以看出，該協(xié)議只是一個單向的認(rèn)證協(xié)議，在協(xié)議的最后標(biāo)簽沒有實現(xiàn)對閱讀器的認(rèn)證，標(biāo)簽無法確認(rèn)閱讀器的合法性。Hash-Chain協(xié)議非常容易受到重傳和假冒攻擊。只要攻擊者截獲了at,j，它就可以進行重傳攻擊，偽裝標(biāo)簽通過認(rèn)證。圖7-10基于散列的ID變化協(xié)議此協(xié)議成功地完成一次認(rèn)證才會更改標(biāo)簽上的ID，以使標(biāo)簽的下次響應(yīng)值改變。該協(xié)議不適合于使用分布式數(shù)據(jù)庫的普適計算環(huán)境。此協(xié)議在標(biāo)簽和后臺數(shù)據(jù)庫中均使用了較多的存儲空間?；谏⒘械腎D變化協(xié)議表7-1基于散列的ID變化協(xié)議中各符號含義數(shù)字圖書館安全協(xié)議到目前為止，還沒有發(fā)現(xiàn)該協(xié)議具有明顯的安全漏洞。為了支持該協(xié)議，必需在Tag電路中包含實現(xiàn)隨機數(shù)生成以及安全偽隨機函數(shù)兩大功能模塊，故而該協(xié)議不適用于低成本的RFID系統(tǒng)。圖7-11David的數(shù)字圖書館安全協(xié)議分布式RFID詢問-應(yīng)答安全協(xié)議圖7-12分布式RFID詢問-應(yīng)答安全協(xié)議此協(xié)議應(yīng)用了兩個技巧：標(biāo)簽上自行產(chǎn)生一個隨機數(shù)RTag，這樣即使閱讀器每次傳來的RReader都是一個固定的值，標(biāo)簽的響應(yīng)值仍然是呈亂數(shù)狀態(tài)，以此解決位置隱私的問題；將閱讀器產(chǎn)生的隨機數(shù)RReader經(jīng)過安全信道傳至后臺數(shù)據(jù)庫，由于RReader每次都不一樣，所以可以避免replay攻擊，且只要將RReader應(yīng)用在所要傳送的信息上稍加設(shè)計，就可使信息不易偽造便可以避兔spoofing攻擊。到目前為止，還沒有發(fā)現(xiàn)該協(xié)議有明顯的安全漏洞或缺陷，但是在本協(xié)議中，執(zhí)行一次認(rèn)證協(xié)議需要標(biāo)簽進行兩次Hash運算。標(biāo)簽電路中自然也需要集成隨機數(shù)發(fā)生器和散列函數(shù)模塊，因此它也不適用于低成本RFID系統(tǒng)。LCAP協(xié)議LCAP協(xié)議也是詢問-應(yīng)答協(xié)議，但是與前面的同類其他協(xié)議不同，它每次執(zhí)行之后都要動態(tài)刷新標(biāo)簽的ID圖7-13LCAP協(xié)議LCAP協(xié)議也不適合于使用分布式數(shù)據(jù)庫的普適計算環(huán)境，同時亦存在數(shù)據(jù)庫同步的潛在安全隱患總體來說，現(xiàn)有的基于密碼技術(shù)的中量級RFID安全認(rèn)證機制大致可以分為兩大類：“靜態(tài)I