1引言
    无线射频识别(RadioFrequencyIdentificationRFID)系统是利用RFID技术对物体对象进行非接触式、即时自动识别的信息系统[l]。由于RFID系统具有可实现移动物体识别、多目标识别、非接触式识别以及抗干扰能力强等优点．已经被广泛应用到零售行业、物流供应链管理、图书馆管理和交通等领域。并视为实现普适计算环境的有效技术之一。然而。由于RFID系统涉及到标签、读写器、互联网、数据库系统等多个对象．其安全性问题也显得较为复杂，包括标签安全、网络安全、数据安全和保护隐私等方面。目前。RFID系统的安全问题已成为制约RFID技术推广应用的主要因素之一。

2RFID系统安全与隐私
    RFID系统包括RFID标签、RFID读写器和RFID数据处理系统三部分[2]RFID系统中安全和隐私问题存在于信息传输的各个环节。目前RFID系统的安全隐私问题主要集中在RFID标签与读写器之间电子标签比传统条形码来说安全性有了很大提高。但是RFID电子标签也面临着一些安全威胁。主要表现为标签信息的非法读取和标签数据的恶意篡改。

    电子标签所携带的标签信息也会涉及到物品所有者的隐私信息。电子标签的隐私威胁主要有跟踪隐私和信息隐私。

    RFID系统的数据安全威胁主要指在RFID标签数据在传递过程中受到攻击。被非法读取、克隆、篡改和破坏。这些将给RFID系统带来严重影响[2]。RFID与网络的结合是RFID技术发展的必然趋势。将现有的RFID技术与互联网融合。推动RFID技术在物流等领域的更广阔的应用。但随着RFID与网络的融合。网络中常见的信息截取和攻击手段都会给RFID系统带来潜在的安全威胁[4]。保障RFID系统安全需要有较为完备的RFID系统安全机制做支撑。现有RFID系统安全机制所采用的方法主要有三大类：物理安全机制、密码机制、物理安全机制与密码机制相结合。物理机制主要依靠外加设备或硬件功能解决RFID系统安全问题．而密码机制则是通过各种加密协议从软件方面解决RFID系统安全问题。

3一种基于攻击树的RFID系统安全策略
    RFID系统的物理安全机制和密码安全机制往往偏重于某个特定的场景或者特定的安全问题．并不能够有效地保证一个实际的RFID系统安全．在解决具体问题上也缺乏系统性的描述．为此，提出一种基于攻击树的复合型安全策略该策略通过分析RFID系统安全隐患．以攻击者的角度模拟各种攻击过程．并用攻击树的形式加以表现．针对不同的攻击隐患制定不同的安全策略．并最终形成一套复合型的安全策略。

    复合型安全策略的基础是RFID系统安全隐私攻击模型．该模型能够对整个的攻击过程进行结构化和形式化的描述．有助于深入分析和研究各种可能的攻击行为．并提出相应的解决策略．进一步提高系统的安全性攻击模型的研究是一门前沿学科．目前大都处于理论研究阶段．主要有适于安全知识共享的模型和适于攻击检测和安全预警的模型两种这里提出的RFID系统安全攻击模型是一种基于攻击树的RFID标签信息窃取攻击模型。[nextpage]

3．1RFID系统安全策略
(1)攻击树模型构建
    攻击树模型[5]是由BruceScheier提出的一种使用树型结构模拟攻击方法和攻击实例表示整个攻击过程的方法(如图1所示)。该模型使用树来表示攻击行为及步骤之间的相互依赖关系．每个节点代表一个攻击行为或子目标．根节点表示攻击的最终目标模型中用“与分解”和“或分解”表示两种不同的树结构．“与分解”树表示所有子目标实现父目标才能实现．“或分解”树表示子目标中任一目标的实现父目标就可实现.

    根据RFID系统的实际需要．以攻击者的角度模拟所有可能的攻击路径和方法．使用“与分解”和“或分解”描述全部攻击行为或子目标．并使用深度优先方式从攻击树中推导出实现最终目标的攻击路径。一般可以先采用原语描述整个攻击过程，在原语描述中AND和OR分别表示“与分解”树和“或分解”树，G表示攻击目标．通过原语的描述最终推导出攻击树模型。

(2)安全策略选择
    在RFID攻击树模型中．由于中间节点可以由其子节点描述(即父目标需要子目标实现才能实现)，因此攻击路径不含有中间节点．而只含有各层的叶子节点．不同的攻击路径对应着不同的子目标或攻击方式。目前RFID系统安全策略主要有物理安全机制和密码安全机制两大类．两类安全机制从不同的方面解决现有的RFID系统安全隐私问题．有针对性地选择不同的安全策略有助于更好地维护整个RFID系统安全。

(3)复合安全策略构成
    RFID系统复合安全策略应该根据标签的性能和应用场合灵活选择．一般由物理安全机制和密码安全机制整合而成对于不同的安全级别所需要的复合安全策略是不同的．一种攻击模型可能存在多种不同的复合安全策略．因此应该根据RFID系统实际要求选择最合适的复合安全策略。此外．在构成安全策略时应该考虑各安全机制之间兼容性问题，如静电屏蔽和阻塞标签．保证各安全机制能够正常执行。

3．2标签信息窃取的攻击树模型及策略
    假定标签信息窃取的攻击树模型场景：非授权读写器读取RFID标签或监听授权读写器与标签通信．其中标签与读写器通过一定的安全协议来保证传输过程中的安全。根据攻击者要获取标签信息和需要采取的各种可能攻击行为构建的攻击模型的原语描述.

    从中可以看出，达到目标必须经由4个分Go支，而每个分支都有各自的子分支该攻击树模型将标签信息窃取中的攻击行为具体和实例化．使得复杂的攻击行为分解成许多攻击分支。这样．研究安全攻击行为时只需要寻找一条可行的到达根节点路径即可，攻击树模型.

    由以上攻击模型可以得出．取得窃取RFID标签信息的最终目标可以由以下几种攻击路径达到：<G11，G21，G31，G32，G33，G41，G42>，<G11，G22，G31，G32，G33，G41，G42>，<G12，G21，G3l，G32，G33，G41，G42>，<G12，G22，G31，G32，G33，G4l，G42>o [nextpage]

针对各种攻击子目标的RFID系统安全机制如下：
(1)G11防止标签频率检测，如法拉第容器、主动干扰、频率更改：
(2)G21：防止标签识读范围和能量检测，如读写距离控制、频率更改；
(3)G31，G32，G33：防止安全协议的检测以及相关认证key的窃取，可采用ID可变．认证严谨的安全协议，如随机化Hash—Lock协议、基于杂凑的ID变更协议、分布式RFID询问一应答认证协议：
(4)G41：防止RFID读写器频率检测，如频率更改：
(5)G42：防止RFID读写器与后端系统接口假冒．主要是通过安全协议和网络部分的安全策略来解决．可采用认证等方式解决。
通过对上述系统攻击模型的研究和安全机制的选择．法拉第容器由于自身的屏蔽效应不能很好的和其他安全机制兼容．而主动干扰机制容易对正常的读写工作产生干扰．因此可以考虑使用频率更改机制预防G11对于G21，使用读写距离控制和频率更改机制可以共同提高安全性能．但此处应该注意频率和读写距离之间的关系；而对于G31，G32，G33可以根据实际的RFID系统要求选择相应级别的安全协议。
综上所述．RFID系统标签信息窃取的复合安全策略如下：
(1)频率更改、读写距离控制、随机化Hash—Lock协议．由于在最后的认证通过时采用明文形式．仍然存在不安全问题，主要适用于安全级别较低的情况：
(2)频率更改、读写距离控制、基于杂凑的ID变更协议，由于协议的性能，不适合于分布式数据库的普适计算环境，存在数据同步安全隐患；
(3)频率更改、读写距离控制、分布式RFID询问一应答认证协议，没有明显安全漏洞，仅适合高保密性能的高成本标签。

4结束语
    随着RFID技术在公共安全、生产管理与控制、现代物流与供应链管理、交通管理、军事应用等领域中优先投入应用．必将对RFID系统的安全在标签安全、数据安全和网络安全等方面提出更高的要求文中在分析RFID系统中现存的安全隐私威胁的基础上．列举了针对不同安全问题的RFID安全机制和安全协议．并提出基于攻击树的RFID系统攻击模型及复合安全策略．以攻击者的角度分析系统中存在的信息窃取隐患．对于深入研究更加合理的RFID安全机制和安全协议具有重要的现实意义。