462 计 算机 学报 2013年 制为进一步的研究工作提供了一个理论基础 而言，其安全问题是指存在伪造标签时，如何有效地 基于上述认识，文献[20]对面向大规模标签监 对标签进行认证；其隐私问题是指存在恶意阅读器 控应用中的一个重要问题进行了研究：如何在大量 时，如何防止阅读器对标签的非法访问，来有效地保 标签中快速定位出丢失的标签.该文利用时隙 护用户的隐私.在常用的网络安全解决方案中，已经 ALOHA协议的伪随机性，基于轮询机制提出了多 存在成熟的加解密算法如DES、AES、RSA、椭圆曲 种协议，能够快速有效地定位丢失的标签.针对由电 线密码等，这些算法构成了对称密钥加密以及公开 池供电的大规模主动标签实时信息收集的问题，文 密钥加密中的支撑技术，能够有效地实现加密与鉴 献[21]设计了一套高效节能的轮询协议.该协议基 别功能，抵制非法读取、伪装哄骗、重放攻击等安全 于标签排序(Tag-Ordering)的编码方式，使得所消 威胁，具有良好的安全性.但实现上述算法需要较多 耗的能量比通常的轮询协议下降一个数量级.该协 的逻辑处理单元，如AES需要大约20000~30000 议进一步采用基于分块的布鲁姆过滤器(Bloom 个逻辑门，RSA、椭圆曲线密码等公钥密码算法则需 Filter)来提高轮询机制的性能，在不影响整体扫描 要更多的逻辑门.而RFID标签受到低成本限制，通 时间的前提下显著降低了能耗.文猷[22]针对上述 常只能拥有大约5000~10000个逻辑门，并且这些 问题进一步提出了基于单级Hash与多级Hash的 逻辑门主要用于实现一些最基本的标签功能，仅剩 轮询机制，显著地降低了信息收集的时间.文献[23] 少许可用于实现安全功能.此外，RFID标签上的存 基于轮询协议提出了一套批处理的认证机制，无需 储资源也非常受限，通常标签的EPC区仅能存储 通过逐个识别的方式来认证标签，通常情况下，为了 96bit数据，用户区仅能存储512bit数据.RFID标 实现对大量标签的认证，阅读器需要对标签逐一识 签极其有限的计算资源难以支持上述复杂的加解密 别并认证，这种方式需要耗费大量的通信开销与扫 算法的实现.因此，对RFID系统而言，其安全与隐 描时间.基于轮询协议的伪随机性，该批处理认证 私保障机制所面临的最大挑战在于：如何以一种轻 机制提出了一套快速的认证算法，能够极大地降低 量级的方式在资源极其受限的RFD系统上实现认 认证的扫描时间与通信开销.由于该机制基于时隙 证与隐私保护协议.下面我们从基于物理方法的安 ALOHA的随机算法进行认证，因此存在假阳性误 全保护机制、基于对称密钥加密的协议以及基于 判，但是该机制能够以概率的形式确保未检测到的 Hash函数的协议等几个方面来具体阐述相关研究 伪造标签所占比例被控制在指定國值范围内.上述 成果 研究工作的轮询机制都对应于扫描范围内的所有标 3.2基于物理方法的安全保护机制 签，如果仅需要对扫描范围内标签的一个子集进行 RFID的隐私问题是由阅读器识别标签时无需 轮询，这些机制将很难适用.因此，针对大规模标签 认证引起的.在没有隐私保障机制的情况下，阅读器 部署情况下搜索特定标签集合的问题，文献[24]基 可以随意地对标签进行秘密扫描，获取标签信息；对 于布鲁姆过滤器提出了一套两阶段的快速搜索算 于无法直接获取信息的加密标签则可以根据反馈的 法，能够在指定的假阳性误判率的范围内有效降低 加密信息进行跟踪，获得用户的地点信息，综合整理 通信开销与时延.总体来说，RFID的轮询机制基于 就形成了对用户个人信息的盘点，为了保护RFID 时隙ALOHA协议中的伪随机操作来进行轮询，能 用户隐私，一种简单直接的手段便是基于物理方法 够有效避免对标签逐一识别带来的额外开销，但同 的安全保护机制，具体而言，主要包括灭活操作、静 时也存在假阳性误判的效应，系统可以借助相应的 电屏蔽、主动干扰以及阻塞法等. 优化机制来降低假阳性误判的概率 灭活(K1)操作是一种简单暴力的方法，阅读 器通过向标签发送一个指定的PIN码来执行杀死 3 RFID的认证与隐私保护机制 命令，命令执行完后标签就失效了，不再对阅读器的 查询做出回应.显然，完全地让标签失效并不是一个 3.1RFID的安全与隐私问题 合理的解决方案.文献[25]提出可以只让标签中唯 在物联网应用中，对RFID系统实现有效数据 一识别码失效而保留产品类型标识码的数据部分， 管理的前提在于保障RFID数据的安全性与私密 这样就可以避免标签被跟踪，但是该方案使标签失 性.RFD系统的安全威胁主要来自于阅读器对标 去了唯一标识物品的特性，文献[26]提出采用全新 签的非法访问以及伪造标签的存在.对RFID系统 的标识符重新对标签进行标识的方案，原有的标识462 计 算 机 学 报 制 为进 一 步 的研 究 工作 提供 了一 个 理论基 础 ． 基于上述认识 ，文献E203对 面向大规模标签监 控 应用 中的一 个 重要 问题 进 行 了研 究 ：如 何 在 大 量 标 签 中 快 速 定 位 出 丢 失 的 标 签 ．该 文 利 用 时 隙 ALoHA协议 的伪 随机 性 ，基 于 轮询 机 制 提 出 了多 种协议 ，能够快 速 有效 地定 位 丢失 的标签 ．针 对 由电 池供 电 的大规 模 主 动标 签 实 时 信 息 收 集 的 问 题 ，文 献[21]设 计 了一 套 高效 节 能 的轮 询 协 议．该 协 议 基 于标 签排 序 (Tag—Ordering)的编 码 方 式 ，使 得 所 消 耗 的能量 比通 常 的 轮 询协 议 下 降一 个 数 量 级 ．该 协 议进 一 步 采 用 基 于 分 块 的 布 鲁 姆 过 滤 器 (Bloom Filter)来 提高 轮 询机 制 的性 能 ，在 不 影 响 整 体 扫 描 时 间的前 提下 显 著 降低 了能 耗 ．文 献 [22]针 对 上 述 问题 进 一步 提 出了 基 于单 级 Hash与 多级 Hash的 轮询 机 制 ，显 著地 降低 了信 息 收集 的 时间．文献 [23] 基 于轮 询协议 提 出 了 一套 批 处 理 的认 证 机 制 ，无 需 通过 逐个 识别 的方式来 认 证标 签．通 常情况 下 ，为 了 实现 对 大量标 签 的 认证 ，阅 读 器 需 要对 标 签 逐 一 识 别并认 证 ，这 种 方 式需 要 耗 费 大 量 的通 信 开 销 与 扫 描 时 间．基 于 轮 询 协 议 的伪 随 机 性 ，该批 处 理 认 证 机制 提 出 了一套 快 速 的认 证 算 法 ，能 够极 大地 降低 认证 的扫描 时 间与 通 信 开销 ．由于 该 机制 基 于 时 隙 ALOHA 的 随机 算 法 进 行认 证 ，因此 存 在 假 阳性 误 判 ，但 是 该机 制 能够 以概 率 的形 式 确保 未检 测 到 的 伪造 标 签所 占比例 被 控 制 在指 定 阈值 范 围 内．上 述 研究 工 作 的轮询 机制 都对 应 于扫描 范 围 内的所 有标 签 ，如果 仅需 要对 扫描 范 围 内标 签 的 一个 子集 进 行 轮询 ，这 些机 制将 很 难 适 用 ．因 此 ，针 对 大规 模 标 签 部署 情 况下 搜索 特定 标 签 集 合 的 问题 ，文 献 [24]基 于 布鲁 姆 过 滤 器 提 出 了一 套 两 阶 段 的快 速 搜 索 算 法 ，能够 在 指定 的假 阳性 误 判 率 的范 围 内有 效 降低 通信 开 销 与时延 ．总体 来 说 ，RFID 的轮 询 机 制基 于 时 隙 ALOHA协 议 中 的伪随 机操 作 来 进 行 轮 询 ，能 够 有效 避免 对标 签 逐 一 识 别 带 来 的额 外 开 销 ，但 同 时也存 在假 阳性 误 判 的效 应 ，系 统 可 以借 助 相 应 的 优 化机 制来 降低 假 阳性误 判 的概 率． 3 RFID的认证 与隐私保 护机制 3．1 RFID的 安全 与 隐私 问题 在 物 联 网应 用 中 ，对 RFID 系 统 实 现有 效 数 据 管 理 的前 提 在 于 保 障 RFID 数 据 的 安 全 性 与 私 密 性 ．RFID系统 的 安 全 威 胁 主要 来 自于 阅 读 器 对 标 签 的非 法访 问 以及 伪 造 标 签 的存 在 ．对 RFID 系 统 而言 ，其安 全 问题是 指存 在 伪造标 签 时 ，如 何有 效地 对 标 签进 行认 证 ；其 隐 私 问题 是 指 存 在 恶 意 阅 读器 时 ，如 何 防止 阅读 器对标 签 的非 法访 问 ，来 有效 地保 护用 户 的隐私 ．在 常用 的 网络安 全解 决方 案 中 ，已经 存 在 成熟 的加 解 密 算法 如 DES、AES、RSA、椭 圆曲 线密 码等 ，这些 算 法 构 成 了对 称 密 钥 加 密 以及 公 开 密钥 加密 中的支撑 技 术 ，能够 有 效 地 实 现 加 密 与 鉴 别功 能 ，抵制 非法 读 取 、伪 装 哄 骗 、重 放 攻 击 等 安 全 威胁 ，具 有 良好 的安全 性．但 实 现上述 算 法需要 较 多 的逻 辑 处 理 单 元 ，如 AES需 要 大 约 20000～ 30000 个逻 辑 门 ，RSA、椭 圆 曲线 密码 等公 钥 密码算 法 则需 要更 多 的逻辑 门．而 RFID 标签受 到 低 成本 限制 ，通 常 只能 拥 有 大 约 5000～10000个 逻 辑 门 ，并 且 这 些 逻辑 门主要 用于 实 现 一些 最 基 本 的标 签 功 能 ，仅 剩 少许 可用 于实现 安 全 功 能．此 外 ，RFID标 签 上 的存 储 资源也 非 常 受 限 ，通 常 标 签 的 EPC 区 仅 能 存 储 96bit数 据 ，用户 区仅 能存 储 512bit数 据 ．RFID 标 签极 其有 限的计算 资源难 以支 持上 述 复杂 的加解 密 算法 的实现 ．因此 ，对 RFID 系 统 而 言 ，其 安 全 与 隐 私保 障机制 所 面临 的 最 大挑 战在 于 ：如何 以一 种 轻 量级 的方 式 在资 源极 其受 限 的 RFID 系统 上 实 现认 证 与 隐私保 护协 议 ．下 面 我 们从 基 于 物理 方 法 的安 全保 护 机 制 、基 于 对 称 密 钥 加 密 的协 议 以 及 基 于 Hash函数 的协 议 等几 个 方 面 来 具 体 阐述 相 关 研 究 成 果． 3．2 基 于 物理 方法 的安 全保 护机 制 RFID的 隐私 问题 是 由阅读 器 识别 标 签 时无 需 认 证 引起 的．在 没有 隐私保 障机制 的情 况下 ，阅读器 可 以随意地 对标 签进 行秘 密 扫描 ，获取 标 签信息 ；对 于无法 直接 获取 信 息 的加 密 标签则 可 以根 据反 馈 的 加 密信 息进 行跟 踪 ，获得 用户 的地 点信 息 ，综合 整理 就 形成 了对 用 户 个 人 信 息 的 盘 点．为 了保 护 RFID 用 户 隐私 ，一种 简单 直接 的手 段 便 是 基 于 物理 方 法 的安全 保 护机制 ，具 体 而 言 ，主要 包 括灭 活操 作 、静 电屏蔽 、主动 干扰 以及 阻塞法 等 ． 灭 活 (Kil1)操 作 是 一 种 简 单 暴 力 的方 法 ，阅读 器 通过 向标签 发送 一个 指 定 的 PIN 码 来 执 行 杀 死 命令 ，命令执行完后标签就失效了，不再对 阅读器的 查 询做 出回应 ．显然 ，完 全地 让标 签失 效并 不是 一 个 合理的解决方案．文献 E25]提 出可 以只让标签中唯 一 识别 码 失效 而保 留产 品类 型 标 识 码 的数 据 部 分 ， 这 样 就可 以避 免标 签 被 跟 踪 ，但 是 该 方 案 使 标 签 失 去 了唯一 标识 物 品的 特 性．文 献 E26]提 出采 用 全 新 的标识 符 重新 对标 签 进 行 标 识 的 方 案 ，原 有 的 标 识