图书馆应用RFID的安全防护技术研究

　　摘要：随着信息技术和物联网技术的发展，很多图书馆采用了RFID技术来管理图书和读者以及其它设备。RFID给图书馆的使用带来了非常好的体验，管理者和读者都享受到了益处。但RFID标签和阅读器本身的一些缺陷，给图书馆图书等财产的安全和读者的隐私保护带来了很多隐患。文章结合前人的研究和图书馆RFID系统的实践，总结了图书馆应用RFID的安全防护技术，以期给同行带来借鉴。
　　
　　关键词：射频识别；智慧图书馆；安全；隐私；防护
　　
　　随着信息技术的快速发展，物联网进入了各行各业，已经在很多行业取得了成功。图书馆有很多的图书、期刊和其它资源，已经有不少图书馆使用RFID标签代替了原来的条码，在智慧图书馆的建设上取得了突破性的进展。RFID给图书馆的管理和使用带来了很大的便利之，但是问题也随之而来，由于RFID标签的传输和加密机制在有的应用场景中安全性不是特别可靠，带来了数据安全和隐私泄露问题。现从安全管理角度出发，来探讨图书馆应用RFID的安全防护问题。
　　
　　1RFID在图书馆的应用安全现状
　　
　　1.1图书馆应用RFID的安全现状文献分析
　　
　　RFID在图书馆的应用有十几年的时间了，安全问题始终是图书馆和用户都在关注的话题。以“图书馆and RFID and‘安全or隐私’”在CNKI中检索，得到131篇相关文献，这些文献从不同方面对这个领域进行了研究，可见这个话题比较受关注。洪亮[1]研究了RFID特点和工作原理，探讨应用过程中存在的安全与隐私问题。刘广普[2]对RFID在图书馆应用中存在的文献安全隐患、人体安全隐患和信息安全隐患进行了探讨分析。张剑锋[3]对射频识别系统的风险、安全需求、遭受攻击的类型、安全机制和策略进行了探讨。甘勇[4]等人对RFID系统的组成、工作原理、所受到的安全威胁以及相关的解决方案进行了详细的描述和分析。黄琦[5]认为应从这几个方面来保护读者的隐私权：RFID隐私立法、图书馆自律建设、制定图书馆行业RFID利用指南、研制新的隐私安全技术、加强对图书馆从业者的培训。田燕[6]通过调查，发现美国图书馆界解决RFID隐私问题的主要策略包括推动立法完善、制定图书馆行业政策、加强图书馆自律建设、应用隐私保护技术等。尹玲敏[7]调查到美国政府、图书馆和社会各界对此高度重视，采取了积极的应对策略，美国的做法与经验对中国图书馆的RFID实践具有指导与借鉴作用。石长琼[8]等人利用Hash函数加密的方法，提出了一种能抵抗拒绝服务攻击且高效的RFID安全认证协议，适用于大规模使用标签的RFID系统。周朝阳[9]分析了RFID安全问题，构建了系统安全模型，设计了一个确保图书馆RFID系统安全性的认证协议PA-Lock协议。吴福生[10]提出了用APF认证处理架构来加固RFID系统的安全。董嘉维[12]从技术角度分析RFID侵犯读者个人隐私的途径和危害，提出应从法律手段、技术方案、图书馆行业服务规范3个方面解决读者个人隐私的保护。郑巧英和陈嘉懿[13]等人认为需要建立一个规范的数据交换机制，保证数据的安全性和可迁移性，以实现不同厂商RFID系统平台与前端接入设备的通用性、互换性。
　　
　　从大量的文献中可以看出，图书馆应用RFID存在多个方面的隐患，这些文献从理论到实践都做了有益的研究，但都没有根本上解决问题。
　　
　　1.2RFID技术存在的安全隐患
　　
　　总结前人文献中提出的RFID安全问题、隐私问题，结合相关研究，笔者认为，目前RFID存在的安全隐患如下：
　　
　　（1）RFID伪造。修改标签中的数据让一张无效标签变为有效或者相反；或者替换标签内容，比如一本很贵的图书标签置换为一本很便宜的图书。
　　
　　（2）RFID嗅探。RFID阅读器验证标签信息时，它会利用后端数据库验证标签认证信息的合法性。但一般来说RFID标签并不辨识阅读器的合法性，这样攻击者就会用自己的阅读器去套取标签的内容。
　　
　　（3）追踪标签。如果能读到标签的内容，可以跟踪对象或人的轨迹。当标签进入到阅读器可读范围时，阅读器能识别标签并记录下标签位置。
　　
　　（4）DOS攻击。阅读器收到标签认证信息时，会与后端数据库内的信息比对。阅读器、数据库都很容易遭受DOS（拒绝服务）攻击，出现这种情况，阅读器和标签无法认证，还会导致其它服务的中断。所以，一定要在阅读器和数据库之间有防范拒绝服务攻击的机制。
　　
　　（5）欺骗攻击。一般是伪造自己为合法用户。如果伪造成后端数据库的管理员，那么更改RFID标识，拒绝正常的服务或者在系统中植入代码都变得很容易。
　　
　　（6）否认或拒绝承认。如果攻击者不承认自己所做，系统无法验证该用户究竟有没有进行这项操作。在使用RFID中，发送者或接收者可能否认进行过一项操作，另外数据库主人可能否认给予过某件物品或人任何标签。
　　
　　（7）插入攻击。主动向RFID系统发送操控命令而不是正常数据内容。比如攻击命令、拒绝服务命令或者木马类指令。
　　
　　（8）物理攻击。最简单的就是除去RFID标签。攻击者可以接触到标签、篡改标签信息。比如用微探针修改标签内容，用某种射线去破坏标签内容，用电磁干扰破坏标签与阅读器之间的通信。
　　
　　（9）病毒攻击。病毒的目标一般是后端数据库。
　　
　　2RFID安全问题的分析与需求
　　
　　要在图书馆应用RFID的系统中保护数据安全、保护读者信息不被泄露、尽量减少RFID被撕除的可能性，就要从分析RFID本身的构造、阅读器和标签传送信息时进行加密，安装数据库防火墙等方面来着手。
　　
　　2.1图书馆RFID应用安全的需求分析
　　
　　图书馆采用RFID管理图书、一卡通、IT设备和其它资源。图书RFID本身的信息、后端数据库中图书和读者数据以及其它相关系统的存储信息是最重要的保护对象。
　　
　　RFID所面临的安全问题主要是标签的安全和无线通信线路的安全风险。RFID系统实质上是一个计算机网络应用系统，因此它的安全性类似网络和计算机的安全需要，主要目的是保证数据存储安全和数据传输的安全。一个安全的RFID系统，应当具备机密性、完整性、可用性、真实性和隐私性[14].
　　
　　（1）实体物理安全，包括RFID读写设备的合法性、用户的合法性、网络设备和通信线路的安全性。
　　
　　（2）RFID标签数据安全，保证不被非法访问、篡改和伪造等。
　　
　　（3）网络通信安全，标签和阅读器之间、中间件和数据库之间。
　　
　　（4）系统运行安全，考虑运行状态、日志、灾难恢复机制等，使得RFID系统可以7×24小时稳定服务。
　　
　　2.2安全问题解决思路
　　
　　一般RFID系统由阅读器、电子标签、数据管理系统3部分组成。标签是数据载体，标签含天线和专用芯片，具有唯一的硬件编码，附着在图书或其它设备上。
　　
　　按标签供电方式可以分为有源电子标签和无源电子标签。按功能可分为4种：只读标签、可重写标签、带微处理器标签和配有传感器的标签。按调制方式分，还可分为主动式标签和被动式标签。主动式标签用自身的射频能量主动地发送能量给阅读器；被动式标签使用调制散射方式发射数据，它必须利用阅读器的载波来调制自己的信号。
　　
　　数据管理系统负责数据存储、管理、读写控制卡，这个系统可以是各种软件平台。
　　
　　阅读器负责读取、写入标签信息，阅读器能单独使用，具有读写、显示、数据处理等功能，也可作为其它系统的一部分，完成对射频标签的操作[15].
　　
　　正是由于RFID的这些特性，所以RFID防护技术主要考虑以下途径：（1）密码技术，主要加密体制有对称密钥、非对称密钥、单向哈希函数；（2）公钥基础设施，公钥基础设施（简称PKI）是一套通过公钥密码算法原理与技术提供安全服务的、具有通用性的安全基础设施，能够为电子商务提供一套安全基础平台的技术规范。数字证书管理公钥通过CA把用户的公钥与其它标识信息捆绑在一起，实现互联网上的用户身份验证。PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等[16].
　　
　　3RFID的安全防护
　　
　　3.1安全防护策略
　　
　　3.1.1数据采集的安全
　　
　　（1）标签销毁命令，利用阅读器发出kill指令，这种一般用来保护读者隐私。
　　
　　（2）静电屏蔽机制，可以避免未经授权的读写器读取标签，不过鉴于成本和图书的特殊性，这个用来保护非图书资产比较适用。
　　
　　（3）主动干扰方式。使用一种设备不断发送干扰信号，以干扰非法阅读器读写书籍或读者信息。
　　
　　（4）BlokeTag机制，这种方法局限性大，成本高，只适合特定场景使用；安全防护方法：阻塞标签法、杀死标签法、睡眠标签法和裁剪标签法，主要是从确保标签安全方面入手来确保RFID信息系统数据采集的安全。
　　
　　3.1.2中间件的安全
　　
　　中间件是个软件系统，用来处理一个或多个阅读器的数据流，它将数据提交给应用系统前，对标签数据进行过滤、汇总与分发。
　　
　　（1）鉴别交换机制，是以交换信息的方式来确认实体身份的机制。一般用口令和密码技术实现。
　　
　　（2）业务流量填充机制，主要防止非法者在线路上监听数据并对其进行分析。
　　
　　（3）加密机制，这是保护数据最常用的方法。
　　
　　（4）全防护方法：加密机制加强中间件安全；中间件授权策略，是基于ALE（EPC Global Application Level Event Standard）规范建立的；在应用层网关使用状态检查来监视RFID数据流。
　　
　　3.1.3后端系统的安全
　　
　　后端系统存在很多比较容易受到攻击的地方，必须从网络层面和数据层面来保护。网络防护相对容易，数据保护难度大一些，如果后段数据库被控制或破坏，问题就比较严重。
　　
　　（1）数据安全机制。数据安全是RFID系统的关键性指标。解决办法是确保网络上所有的阅读器在传送信息给中间件之前必须通过验证，阅读器和后端系统之间的数据是加密的。
　　
　　（2）数据完整性机制，指的是信息的准确性和完全性。一般方法有：限制在内部使用；VPN或SSL专用通道；DNS安全性扩展（DNSSEC），通过事务签名（TSIG）或非对称加密算法来确保DNS的真实性和完整性。
　　
　　（3）访问控制机制，比如基于角色、基于口令和基于安全令牌方式。
　　
　　（4）安全防护方法。数据溢出的防护，将标签存放在一个无线电屏蔽的环境里；虚假事件的处理，根据图书馆特定使用场景来判断是否数据是真实可靠的；缓冲区溢出防护，采用数据校验技术来检验所读取的标签数据的大小，并验证其合法性和有效性；SQL注入的防护。服务端处理之前对提交的数据进行合法性检查、封装客户端提交信息、替换或删除敏感字符、屏蔽出错信息、不要用字串连接建立SQL查询而是用SQL变量、目录给予详细的权限设置、修改或去掉web服务器上默认的危险命令；使用安全网关防护后端通信的攻击，比如MIM攻击、应用层攻击和TCP重播攻击。
　　
　　3.2安全协议
　　
　　RFID标签的安全解决方案可以分为硬件和软件两个方面。硬件方面一般需要特殊的硬件，例如“KillerTag”和“Blocker Tag”.软件方面一般用到的是密码协议。包括Hash锁协议、随机访问控制协议、Hash链协议、Universal Re-encryption协议、对称加密协议、阅读器认证协议、改进的Ohkuho协议等。关于这些密码协议，具体可参考文献《RFID安全协议的设计与分析》[17].
　　
　　3.3分级保护设计
　　
　　3.3.1安全分级保护
　　
　　分级保护是指对RFID信息系统按照重要程度和实际安全需求，合理投入，分级进行保护，保障系统正常运行和信息安全，提高综合防护能力。按照系统的CIA三性（机密性、完整性、可用性）给系统定级，然后按等级保护原则进行实施流程，对计算区域、区域边界、网络基础设施等进行保护。
　　
　　3.3.2隐私分级保护
　　
　　根据RFID系统的结构，按照标签、阅读器、中间件、数据处理中心，把隐私进行分级，按不同的等级实施不同的保护策略和保护强度。
　　
　　3.4存储与检索
　　
　　3.4.1数据安全存储技术
　　
　　数字图书馆的快速发展，图书馆存储的电子资源越来越多，对数据的存储量的需求也越来越大，对数据的有效管理也提出了更高的要求。各种应用场景都需要存储支持各种平台、通用访问、无缝扩展、集中管理、较低成本等。这就给存储的安全提出了更高的要求，目前存储方式有ES（内嵌式）、DAS（直接存储系统）、NAS（网络连接存储）、SAN（存储区域网络），这部分的安全属于存储这一大分支，这里不再赘述[18].
　　
　　3.4.2数据检索技术
　　
　　在RFID系统的检索应用中，一般采取分布式数据检索方式，这样当面对大量用户的频繁访问时，搜索引擎能够有效地响应需求。
　　
　　4结语
　　
　　南京大学图书馆联合南京大学计算机系，共同研制了基于超高频RFID的智慧图书馆应用，在实践上取得了一定的效果。在实施过程中遇到了安全和隐私方面的困扰，南京大学图书馆采取的做法是在硬件、软件上采取防护措施，还利用了第三方的数据库防火墙来保护数据安全。
　　
　　RFID标签上资源有限，容易遭遇攻击。为确保系统安全性，研制团体设计了轻量级安全加密算法，设计了有效的访问控制协议和防篡改算法对标签进行加密，防止标签被非法读取和篡改，保护读者的隐私，降低图书馆的安全风险。然后利用手机等干扰器，识别并干扰非法阅读器，从而实现反跟踪的目标。在门禁方面，设计更加人性化的开放式门禁系统，对安全门禁系统进行研究，对门禁中天线的数量、天线的排列进行优化，并结合阅读器的发射功率，提高门禁的读取率。
　　
　　参考文献：
　　
　　[1]洪亮。RFID技术在国内图书馆中应用的隐私与安全问题探讨[J].内蒙古科技与经济，2013,（2）：154-155.
　　[2]刘广普。RFID技术在图书馆应用中安全问题探析[J].农业图书情报学刊，2012,24（1）：86-89.
　　[3]张剑锋。RFID射频识别系统的隐私和安全研究[J].赤峰学：学报（自然科学版），2015,31（1）：62-64.
　　[4]甘勇，等。RFID系统的安全及隐私综述[J].网络安全技术与应用，2015,（12）69-71.
　　[5]黄琦。论图书馆应用无线射频识别技术中的隐私权保护[J].图书馆建设，2014,（7）：90-93.
　　[6]田燕。美国图书馆界解决RFID技术涉及读者隐私保护问题的策略分析[J].河北科技图苑，2015,28（1）：9-12.
　　[7]尹玲敏。谈RFID应用与图书馆读者的隐私权保护问题基于美国的做法和经验[J].图书馆工作与研究，2015,（2）：44-47.
　　[8]石长琼，吴丹，肖瑞强。能抵抗拒绝服务攻击且高效的RFID安全认证协议[J].计算机工程与应用，2016,52（2）：105-111.
　　[9]周朝阳。图书馆RFID安全认证协议[J].计算机系统应用，2010,19（9）：110-114.
　　[11]吴福生。图书馆RFID安全隐私问题及对策[J].中国科技信息，2016,（2）：46-48.
　　[12]董嘉维。图书馆应用RFID的读者隐私问题研究[J].图书情报工作，2015,59（Z1）：12-14.
　　[13]郑巧英，陈嘉懿，张洁。图书馆RFID应用中建立数据交换规范的思考与实践[J].图书情报工作，2014,58（23）：91-96.
　　[14]电子天下。RFID系统的通信模型和安全需求[EB/OL].[2016-06-27].http://www.dianzitx.com/articlescn/com/74692.htm.
　　[15]孙海霞，薛茹。RFID系统的组成及工作原理[J].西藏科技，2005,（9）：59-60.
　　[16]智库百科。公钥基础设施[EB/OL].[2016-06-26].http://wiki.mbalib.com/wiki/PKI.
　　[17]周永彬，冯登国。RFID安全协议的设计与分析[J].计算机学报，2006,29（4）：581-588.
　　[18]中关村在线。技术解析：DAS、SAN和NAS三种存储方式[EB/OL].[2016-06-28].http://stor.zol.com.cn/387/3876012.html.