摘要：从RFID空中接口面临的安全问题出发，分析现有RFID空中接口协议ISO／IEC 18000中的安全机制及不足，并在此基础上解析最新的RFID空中接口安全标准ISO／IEC 29167。讨论影响空中接口安全标准制定与推广的重要因素．为制定中国相关标准提供参考。

    概述

    RFID技术由于具有非可视识别、移动识别、多目标识别、定位及长期跟踪管理等优点，近年来在物流、制造、公共信息服务等行业得到了广泛应用。但由于RFID标签特别是应用最为广泛的无源标签具有一些局限性，如内存容量与处理器计算能力非常有限、标签供电依赖于读写器发射的无线信号等，这在很大程度上限制RFID标签采用复杂的安全机制，并制约空中接口安全标准的制定。RFID空中接口的安全级别较低，易受到窃听、信息截获、拒绝服务等恶意攻击，其安全问题已成为阻碍RFID技术进一步推广和应用的重要因素。

    近年来RFID相关的新技术不断涌现，其中有代表性的是带辅助电源及传感器的RFID技术。辅助电源及传感器的引人使得RFID标签的处理能力、内存容量及复杂度等大幅提高，因此在标签中能够应用一些复杂的安全机制。在RFID新技术变革及信息安全需求迫切的背景下，ISO／IEC JTCl／SC31最先于2008年10月在WG4工作组下成立新的子工作组SG7，并开始起草RFID空中接口安全标准ISO／IEC 291 67。考虑到信息安全标准制定的紧迫性，SC31于2009年6月进一步调整其工作组，将WG4／SG7独立出来，成立新的工作组WG7，负责RFID系统信息安全方面，特别是空中接口安全标准的制定工作。现阶段WG7的工作重点是制定和完善ISO／IEC 291 67，进而保证标签与读写器间通信的安全性，为RFID技术的进一步推广创造良好的条件。

    1 RFID空中接口的安全问题

    RFID系统中，读写器利用射频信号的空间耦合和传输特性，对标签中存储的标识信息、应用数据等进行访问、修改等操作，实现物品的自动识别与数据采集。空中接口协议规定了读写器与标签的交互过程、传输信号及命令响应。由于这种双向交互过程是通过无线信道来进行，对于周围的环境及设备是完全开放的。因此，非常容易受到非法用户的窃听、跟踪等威胁，进而导致空中接口的安全性较差。此外，由于RFID标签成本的限制，大多数标签的处理器性能及内存容量较低，无法将一些优秀的安全技术嵌人到标签硬件当中，这也是RFID空中接口存在安全隐患的重要原因。

    目前，RFID空中接口面临的主要威胁如图1所示，分为恶意搜集式威胁、伪装式威胁及拒绝服务威胁三大类。其中，恶意搜集式威胁主要包含窃听、数据篡改等，其主要特点是非法用户远距离监听读写器与标签通信内容，获取其中有用信息，进而导致标签内部重要数据泄漏或被篡改。伪装式威胁主要包括：电子欺骗、标签克隆及恶意代码攻击等，其主要特点是通过。伪造”RFID标签来欺骗读写器，进而使得非法用户成为合法用户。拒绝服务威胁主要包含末授权杀死标签、干扰或屏蔽标签等，其主要特点是非法用户通过干扰、屏蔽或杀死标签等手段，阻碍标签与读写器之间的通信，造成有用信息的丢失。

安全的RFID空中接口应该具备保密性、数据完整性、数据可用性及隐私性等特征。以上三类威胁由于其自身不同的特点，分别影响RFID空中接口安全特征的不同方面。恶意搜索式威胁主要影响空中接口安全的保密性，使得敏感或有用信息对外泄露。jE法用户可进一步利用泄露的信息，发起伪装式威胁，影晌空中接口传输数据的完整性。此外，非法用户还可以通过拒绝服务威胁，中断读写器与标签间的正常通信，影响空中接口传输数据的可用性。

    在RFID系统中，读写器到标签的蓟向链路信号功率大、传输距离远，而标签到读写器的后向链路由于电感耦合或反向散射原理，其信号强度较弱。RFID空中接口的非对称性使得前向链路通常更容易受到搜集式威胁及伪装式威胁；而后向链路由于信号强度弱，更容易受到拒绝服务威胁。通常情况下，非法用户会将这三类威胁结合，使得其对RI=ID空中接口安全的破坏性能够发挥到最大。

    2空中接口协议的安全机制

    ISO／IEC 1 8000是目前世界上应用最具影响力的空中接口协议，包含-1、-2、-3、-4、-6、-7六个部分，覆盖低频(<135 kHz)、高频(13．56 MHz)、超高频(433 MHz、860～960 MHz)和微波(2．45 GHz)四个频段。其中ISO／lEC 1 8000-2和一3分别针对低频和高频，通信原理采用电感耦合方式，读写距离较近，一般在1 m以下，这使得许多安全威胁如恶意搜集式威胁、拒绝服务威胁无法发挥作用。因此，这两个频段空中接口面临的安全威胁相比于超高频与微波频段而言要少很多，其安全需求不是很迫切，目前ISO／IEC 1 8000-2和一3没有考虑安全机制。ISO／IEC 1 8000-4和一7由于针对有源标签，标签的处理能力和内存容量相对较高，这允许协议中采用一些复杂的安全机制，如ISO／IEC 1 8000-7中规定了数据加密、读写器与标签的双向认证等方面内容。相比之下，ISo／IEC18000-6超高频段空中接口协议一方面由于无源标签的限制，无法采用复杂的安全机制，另一方面其读写距离较远(可达1 0 m)，面临的安全威胁很多。因此，ISo／lEC1 8000-6空中接口安全方面的需求最为迫切，以下重点分析其安全机制及面临的挑战。

    2．1 ISO／IEC 1 8000-6的安全机制

    ISO／IEC 1 8000-6正式发布的版本中包括三个类型：Type A、Type B、Type C，这三项协议相互独立，且彼此互不干扰。其中，TyPe A和Type B协议由于制定较早，标准中涉及的安全方面内容比较简单，仅仅是对标签部分内存进行锁定，如Type A中的Lock—blocks和Type B中的Lock命令，能够在～定程度上应对数据篡改的威胁。Type C协议的安全机制相列复杂，提供了三种简单、低成本的安全机制：Lock命令、安全状态、口令保护。在标签资源有限的情况下，尽可能保证读写器与标签的安全通信。具体而言：

    (1)Lock命令。该命令除了能够锁定标签内存，防止内存中数据被恶意篡改外，还提供了锁定标签杀死口令(KillDassword)和访问口令(Access Password)的功能，使得非法用户不能通过恶意访问标签的方式获得口令。
    (2)安全状态(Secured)。只有处在该状态的标签，才能够响应读写器Lock命令，减少标签内存被恶意锁定的可能性。
    (3)口令保护功能。读写器要杀死或访问标签，均需获得标签唯一的杀死或访问口令(32位)，防止标签被非法用户杀死或访问。

    2．2 ISO／IEC 18000-6安全机制面临的挑战

    表1中总结了ISO／IEC 18000—6中各种安全机制应对威胁的效果，分为四个等级：高、中、低、无效(其中，无效用“-”表示)。

可以看出，现有的安全机制仅能够应对部分威胁，对于窃听、拒绝服务威胁等完全不起作用，这给空中接口安全带来很大的潜在威胁。由于标签中重要、敏感的信息，如口令、标签ID及内存信息等，均没有经过加密处理，而直接在无线信道进行传播，任何符合协议的读写器均能够获得该信息。若非法用户通过窃听获得这些敏感信息，就能够绕开空中接口协议中现有的安全机制，进而发动新的信息攻击。

    除了空中接口的安全性外，隐私性也是决定未来RFID能否大规模推广的重要因素。ISO／IEC 1 8000-6的Type A和Type B中均未涉及隐私保护的相关规定，可能会造成用户信息如位置、购物喜好等泄露，进而影响用户对RFID应用的信任。Type C中规定杀死标签命令，考虑了标签信息隐私的保护，但这种方式会使得标签彻底灭活，不再响应任何读写器命令。如果被非法用户通过窃听获得杀死口令，非法杀死标签，将会使得标签拒绝所用正常服务，影响RFID标签的正常应用。

    3空中接口安全标准解析

    3．1 ISO／IEC 291 67标准定位

    ISO／IEC 291 67是ISO／IEC SC31／WG7目前正在制定和完善的空中接口安全标准。该标准在基本空中接口协议ISO／IEC 1 8000基础上，针对信息安全和隐私问题进行专门的规定，其定位是作为ISO／IEC 1 8000的可选、补充性标准。

    如上节分析，ISO／IEC 1 8000中已经包含了部分信息安全方面的规定，但这些规定远不能满足现阶段对安全性和隐私性的需求，因此需要增加相关的规定。将空中接口安全规定从ISO／IEC 1 8000中独立出来，制定新的标准ISO／IEC 291 67其主要原因包含两方面：第一，不同领域、不同应用的安全性和隐私性需求不同，如商品流通领域的安全性和隐私性要求较高，而仓库管理等闭环应用的要求相对较低。将ISO／IEC 291 67作为已有空中接口协议的可选、补充式标准，可以使得不同领域、应用根据自身的特点，选择合适的安全规定，满足了不同领域及行业安全和隐私需求的多样性。第二，近年来新的RFID技术及应用模式不断出现，其中带辅助电源和传感器的标签技术使得一些复杂安全机制，如高级密码标准(AES)等能够应用到标签当中，这导致空中接口安全方面的规定相比于之前复杂很多。将这部分内容独立出来，有利于保证ISO／IEC 1 8000与ISO／IEC 291 67的可维护性及易懂性。

    3．2 ISO／IEC 29167标准解析

    lS0／IEC 291 67由六个部分组成，分别对应ISO／IEC18000-1、-2、-3、-4、-6和-7。其中1SO／IEC 29167～1类似于ISO／IEC 1 8000-1的地位与作用，是RFID空中接口安全标准的框架，规定了RFID空中接口的信息安全和隐私性需求、所应提供的安全服务、相关命令及响应的格式等，为其他各部分标准的制定提供统一的模板。因此，ISO／IEC 291 67-1的制定工作最先进行，且已经取得了较大的进展，目前进人工作草案(WD)阶段。ISO／IEC 291 67-1为RFID空中接口提供可选的信息安全和隐私保护功能，在标签中分别规定了S-flag和U—flag。读写器可以根据这两个标志位，判断标签是否支持具有安全和隐私保护功能的空中接口协议，进而选择合适的方式访问标签。这使得ISO／IEC 291 67标准的引人不会对已有的ISO／IEC 1 8000产生影响，保证标准具有良好的后向兼容性。

    在空中接口的信息安全方面，ISO／IEC 29167-1引入三个命令来保证读写器与标签间的可靠通信：VerifYAuthentjcatjon、EstablishSecureChannel、Secu reCh a niqeIW r a DDer。其中，读写器通过VerifyAuthentication命令，能够鉴别与其通信的标签是否可信，防止非法用户通过未经授权的标签获取读写器的敏感信恩；通过EstablishSecureChannel命令，能够建立安全的通信信道，保证通信过程中数据的完整性；通过SecureChannelWraPDer命令，读写器对其发出的所有命令进行加密处理，使得非法用户即使窃听到读写器命令，也无法从中获取有用的信息。ISO／IEC 291 67-1中仅仅规定了以上三个命令的基本格式及功麓，命令的具体内容则由ISO／IEC 291 67-2—一7根据对应的空中接口协议进行规定。除了安全命令外，ISO／IEC 291 67-1中提供了两种加密机制：AES和口令保护，用于对读写器命令及标签响应信息进行加密，并规定了SuiteNegotiation命令，使得读写器能够根据实际情况，选择合适的加密机制。

    在隐私保护方面，ISO／IEC 1 8000中考虑的较少，仅ISO／IEC 1 8000-6 Type C中规定了杀死标签命令。为此，ISO／IEC 291 67-1引入了不可跟踪模式，并用U-flag来进行标识，读写器可以通过ToggleU ntraceab川tyMode命令来设定标签中的U-flag标识符。处在该模式的所有标签不再具有唯一识别的特性，因此非法用户无法通过标签获取使用者的相关信息，使得用户的隐私能够得到保护。ISO／IEC 291 67-1规定了三种方式来实现不可跟踪模式：标签不再响应任何读写器命令、所有标签发送相同的响应信息、所有标签发送随机但不具有任何意义的信息，ISO／IEC 291 67-2～一7根据对应空中接口协议的特点选择合适的实现方式。相比于杀死命令而言，不可跟踪模式不必使得标签彻底失活，解决了杀死命令带来的拒绝服务威胁。

    目前，ISO／IEC 29167-1仍在不断修订与完善之中。在其推动下，ISO／IEC 291 67-3和一6的标准制定工作也在逐步展开，其对应的空中接口协议应用最为广泛，安全需求也最为迫切。目前这两部分标准制定进人新立项(NP)阶段，工作组正在广泛征集相关技术提案，但尚未形成标准草案。

    4结语

    ISO／IEC 291 67在现有空中接口协议ISO／IEC 1 8000的基础上，针对信息安全和隐私保护进行规定，目前标准的制定工作MUMU起步。相比于翅他RFID技术标准而言，我国在RFID空中接口信息安全方面的标准制定工作起步较早，国家“863”计划已于2008年设立“超高频RFID空中接口安全机制及其应用”科研专项，研究超高频RFID标签读写过程的数据安全关键技术难题，并制定有自主知识产权的《RFID空中接口协议安全传输方法》国家标准草案。这使得我国空中接口安全标准的制定工作能够与国际同步，有机会参与并影响国际RFID安全标准的制定。