李 香，刘宴兵

(重庆邮电大学网络与信息安全重庆市工程实验室，重庆400065)

0 引言

作为物联网［1］的主要实现手段，无线射频识别技术(radio frequency identification，RFID)在物联网时代从生产、零售、物流到医疗和国防等行业应用趋于广泛。尽管潜力巨大，RFID技术给人们带来方便的同时，也带来了严重的安全和隐私威胁，尤其是携带合法电子产品代码(electronic product code，EPC)的假冒产品注入合法供应链，同时影响供应链参与者和最终消费者，造成的经济损失和健康风险不可估量。在医疗产业中犯罪分子和恐怖分子携带克隆标签会危及人身安全［2］;在军事领域克隆标签的存在直接威胁国家安全［3］;在物流产业中克隆标签的存在会导致严重的经济损失［4-7］，其安全性直接关系人民的生命和财产安全。针对传统克隆检测方法面对供应链动态变化、标签误读的局限性，本文提出一种简单、有效的基于轨迹的克隆检测方法。

1 相关工作

现有的相关技术主要包括克隆攻击的预防和检测:基于密码学的预防技术，如加密、解密和认证。通常情况下，密码技术涉及密钥分发和密钥管理策略，而这些安全措施通常需要额外的存储空间，还需要进行额外的加密运算［8-9］。因此，不适用于存储和计算能力有限的低成本标签。因没有任何预防方案可以完全阻止克隆攻击，所以，检测技术并不是要取代安全功能，而是补其不足。在许多情况下，如果安全功能被攻破，假冒者可能注入无限个复制品到供应链中。在这方面，基于轨迹的克隆检测方法是一个安全基础设施的重要组成部分。由此可以看出，RFID系统中标签克隆检测方法的研究具有重大战略意义，也是对研究者提出的重大挑战。

文献［10］初步探讨了RFID供应链中基于轨迹和跟踪数据的防伪解决方案，突出了当合作伙伴不记录或共享轨迹数据时，不完全轨迹对克隆攻击检测的负面影响。文献［11］中Mirowski等应用统计异常检测来确定RFID标签所有权的变更，基于阅读器的操作，标签和阅读器的ID，以及事件的时间戳标记来检测克隆。在文献［12］和文献［13］中，Blass，Elkhiyaoui等利用标签的内存存储来核实标签路径(访问过的阅读器)。文献［14］提出了一种频繁模式挖掘算法，通过事件轨迹记录来挖掘合法的供应链模式，然后，提出对应的分类算法利用合法的供应链模式来区分假冒产品。这些机制都适合低成本(EPC Class1 Gen2，EPC C1G2［15］)标签，但是它们需要供应链结构和产品流动的相关信息，导致其面对供应链动态变化具有一定的脆弱性。文献［16］提出了一种基于轨迹能有效保护隐私的检测方法，通过验证2个时间连续事件序列的正确性来对供应链中假冒产品进行检测，该机制不依赖于全局供应链结构或产品流，对于产品召回和交付错误具有灵活性，但是，检测率并未得到提高。文献［9］中Kerschbaum和Oertel提出了一种模式匹配方法来检测非法供应链合作伙伴之间的交易。文献［17］中Zanetti等提出在每个EPC标签的用户定义块中写入一个随机尾部和尾指针，在每一次读取时，阅读器递增尾指针并覆盖指针所指的随机比特。通过检查事件序列尾和尾指针的一致性来发现克隆，这种方法具有相对较高的检测率，但是大大增加了通信和内存开销，严重降低了标签处理速度。因此，该机制不适宜普遍部署。文献［6］和［8］提出利用哈希函数，使得具有同一EPC的标签处于同一阅读器阅读范围时总是同时响应阅读器的查询，于是克隆和正品标签形成不可调解的碰撞从而发现克隆，但是该方法只能检测克隆和正版标签同时同地出现的情况，其适用范围具有局限性。

基于以上分析，本文提出了一种简单有效的检测方法，该方案命名为双轨迹检测法(double tracks detection，DTD)。由于事件轨迹由RFID标签生成，本方案将一个验证序列(verification sequence，VS)存储于RFID标签，每次标签被读取后更新验证序列值为VS=VS+1，然后，标签事件数据(更新后的VS)被存储在其本地数据库中。为了保护隐私，VS的初始值应该是随机的，如果攻击者修改了标签中的VS，可能会造成重复的VS出现，本方案依然可以检测。本文中假设标签EPC不可写，但是标签的内存可以读取和重新写入，使用8个比特位的验证序列，于是随着标签在供应链中随产品流通，标签中的验证序列会呈现一定的规律，形成一条序列轨迹，标签事件信息中接受动作的一致性形成另一条轨迹，即双轨迹。本方案根据特定标签事件中2条轨迹的正确性来检测克隆，由于本方案不依赖于任何预先定义的供应链结构或正确的产品信息流，使得其面对供应链的动态变化具有灵活性，同时适于普遍部署。

2 RFID供应链

通过研究，本文认为在基于RFID的供应链中，每个产品都配备一个RFID标签，产品及其标签被认为是不可分离的，同时，合法的供应链参与者是非恶意的(即他们不会包庇攻击者)。供应链参与者包括制造商，批发商和零售商。考虑RFID数据本身的特点，每个RFID标签具有唯一被附加到物品上的标识符，在不同的读取点被不同对象读取，并且相应的事件被存储在本地EPC信息服务(EPC in-formation services，EPCIS)存储库待处理，通过RFID基础设施，例如，EPCglobal网络，供应链合作伙伴可以记录、存储和共享与这些标识符相关的信息。

一个事件对应于RFID标签的一次读取。本地数据库中，一个事件是一个元组，它封装了6个属性(EPC，T，L，S，VS，SF)，其中，EPC表示物品的唯一编码;T(time)，L(location)和S(status)分别对应于特定标签(EPC)相关事件被记录的时间、位置和业务动作(例如，接收或运输);VS记录更新后的序列值;SF(sequence flag)为序列标志位，用来标识标签内存中序列值更新成功与否。在标签进入供应链(即在制造商处，标签和EPC被分配给某一产品)和离开链(即产品在零售商处被售出)时2个特殊的事件(分别是Ein和Eout)被创建，因此，克隆标签在正版标签之前，或正版标签离开供应链之后出现，很容易通过相应的事件进行检测。事件被认为是私有的机密信息，供应链参与者只知道他们的直接业务合作伙伴，并且可以随时加入和离开供应链，我们定义克隆为携带合法EPC的假冒产品，我们假设多次读取相同的标签在数据收集过程中处理。

3 克隆检测机制

本机制通过验证标签轨迹中验证序列的连续性和事件业务动作的一致性，即双轨迹来检测克隆，同时，验证序列是非随机的(除了制造商处初始分配的验证序列随机)，通过对相邻的2个时间序列进行验证，对不满足规则的事件数据做进一步排除来检测克隆。

3.1 修改验证序列

验证序列的修改是非交互式的，由参与克隆检测的RFID阅读器单独完成。修改过程是标签读取过程的一个扩展，作为事件属性(如事件，地点等)添加到相应的事件序列中。于是修改验证序列的过程包括:①从标签的存储区读取标签EPC和验证序列VS;②计算新的验证序列值，并将新的验证序列VS=VS+1写入标签存储区。标签误写通过一个额外的事件属性序列标志SF来报告，当阅读器没有接收到正确的写响应，或写操作失败时SF将被设置成false［17］;③创建包含属性(EPC，T，L，S，VS，SF)的事件，并将其添加到本地数据库。当然，供应链参与者必须同意上述设置规范。同时，阅读器可以在任何时间发出信号使SF标识为不可用。

3.2 事件收集

供应链参与者可以发布相关的事件信息(例如，EPC+合作伙伴的数据库地址)至发现服务，存储在合作伙伴和数据库(data base，DS)中的数据可以通过身份验证和访问控制机制进行访问，DS访问分布式的EPCIS存储库来创建产品历史路径。应供应链合作伙伴要求，本检测机制作为第三方服务，可以被授权访问、收集、并分析与特定EPC相关的所有事件来建立标签轨迹。

3.3 规则验证

将事件i记为Ei，假设Ei－1，Ei是2个时间连续的事件。标签轨迹按时间排序的事件集记为E。检测克隆的要素由(1)－(4)式表示为

(3)－(4)中:R1，R2分别表示验证规则Ⅰ和规则Ⅱ:①规则Ⅰ即对于一个给定的标签，当记录位置A的业务动作为接收(receive，RCV)时，与其时间连续的下一个事件是记录在同一位置的运输(shipping，SHP)事件，当记录位置A的业务动作为SHP时，与其时间连续的下一个事件是记录在不同位置B的RCV事件;②规则Ⅱ即Ei序列标志位有效时，Ei－1与Ei验证序列值是循环递增的，增量为1。若Ei序列标志位无效，忽略Ei－1与Ei验证序列的不连续性。当且仅当满足以上条件时，认为该序列正确。

3.4 克隆检测

理论上可以通过以上2个规则，对给定标签事件集(见(2)式)中所有序列进行判定，只包含正确序列时判定无克隆存在，否则相反，如图1所示。但是读写错误可能会掩盖克隆标签的存在，或使得所观察到的轨迹不一致从而导致错误的克隆评估(误报)。主要分为3种:事件丢失，误读和误写。

事件丢失不会影响验证序列的操作，但是事件未创建，使得2个本该连续的事件序列出现不连续，从而误报;误读是指标签没有被阅读器读取，因此验证序列无更新，事件无创建;误读会导致克隆被忽视，如图1c所示;误写是指标签写操作失败:①返回写失败的消息(验证序列未修改)，或者不报告写操作的结果，包括:②未修改;③正确修改;④不正确地修改。本文通过标志SF为不可用来报告一个误写操作，故情形③相当于事件丢失，而情形①及②相当于误读，而情形④可能会导致误报。

图1 不同情况下规则验证结果。P和F分别代表通过和失败。Fig.1 Rule verification results for different conditions.P and F stand for Pass and Fail respectively

综上所述，本文提出评估克隆的概率方法。具体步骤如下:①分别利用规则Ⅰ和规则Ⅱ对标签事件集中所有事件序列进行判定，任一规则下验证未通过即认为验证失败;②当且仅当标签事件轨迹中所有序列均无失败即认为无克隆。否则通过(5)式进一步判定验证失败是由读写错误引起或是克隆引起。

每个阅读器的误读率为Pmr，则标签读取服从失败率为Pmr的二项分布，如(6)式所示。Nm为重构正确轨迹需要增加的事件个数，N为总事件个数，验证失败与丢失事件关系如表1所示。例如Ei=(EPC，*，Li，RCV，100，1)同时Ei+1=(EPC，*，Li，SHP，102，1)时，丢失事件个数为4个，可能是(EPC，*，Li，SHP，100，0)，(EPC，*，Lj，RCV，100，0)，(EPC，*，Lj，SHP，100，0)，(EPC，*，Li，RCV，101，1)。当概率值超过一定值时认为验证失败由克隆引起，否则认为由读写错误引起。

表1 验证失败与丢失事件关系表Tab.1 Relations between failed rule verifications and misevent

(7)式中:R为评估参数;VRf为轨迹中规则验证失败总数;VR为总规则验证数。

(8)式中，该比值大于门限值β时认为存在克隆;否则相反。

4 性能评估

本节通过仿真评估所提出的克隆检测方案，使用Arena仿真软件建立一个有15个合作伙伴的4层供应链模型，产品流在供应链中从制造商流经一个或几个分销商，最后到达零售商。正品或者假冒产品离开供应链时(被售出)将会触发该检测机制。制造商每天生产1 000个正品，每天有10个克隆产品被随机地注入到供应链各层，具体参数如表2所示。

表2 供应链参数表Tab.2 Simulation parameters for the supply chain

在本节中，评估所提出的检测方案所花费的存储空间、计算量、通信量和检测率。假设使用EPC C1G2 RFID标签。

存储空间。由以上可知，本方案只需要很少的存储空间，即使是低成本的标签也可以满足，例如，8 bit的标准。本方案不会增加本地数据库中的事件数。每个事件的相关属性扩展为VS和SF，造成事件大小增加只有7%。

计算量。标签不执行任何计算，而阅读器只进行了轻量级的操作。

通信量。该检测机制需要阅读器执行额外的写操作，但本地数据库和探测器之间后端通信无需增加额外开销。与Tailing机制［17］进行对比，本方案无须生成并插入随机比特，只需更新VS，故而通信相对简单。

检测率。本方案与文献［16］中Zanetti方案进行概率法(概率法评估计算式如(5)－(6)式)评估对比，Zanetti方案仅通过验证事件业务动作的一致性来发现克隆，对于克隆事件与正品事件的业务接收动作保持一致时，克隆将被忽略，本方案很好地解决了这个问题，即使业务动作保持一致，可以通过验证序列的一致性来进一步发现潜在的克隆证据。本检测机制在Pmr和Pme分别为0.01和0.05，FDR=0.1%时，命中率高达91.3%，相比于Zanetti机制在同等误检率下提高了将近6%，FDR=0.04时，命中率高达98.3%，如表3所示。由表3可知，误读对本检测机制的影响大于事件丢失。同时，本方案与Zanetti方案进行比例法评估对比，同等误检率情况下，本方案检测率高于Zanetti方案，说明在同等读写错误概率情况下，本方案将呈现更多的克隆证据，本方案与文献［17］中Tailing机制进行比较，Tailing机制中当轨迹中60%包含至少一个不连续事件时，检测率高达80%，本检测机制在Pmr和Pme分别为0.05和0.05，FDR=0.1%时，命中率79%，在牺牲较少检测率的情况下，本机制在通信量方面消耗相对较低，因而更适于普遍部署。

表3 误检率与命中率关系表Tab.3 Relations between the false detection rate and hit rate

5 结束语

本文提出了一种简单有效的基于标签轨迹的克隆检测机制，该机制不依赖于全局供应链结构或产品流，适用于普遍部署，在评估克隆标签存在时考虑了读写错误以及事件丢失，本检测机制在Pmr和Pme分别为0.01和0.05，FDR=0.1%时，命中率高达91.3%，在Pmr和Pme分别为0和0.05，FDR=0.1%时，命中率高达逼近100%。未来的工作主要针对攻击者劫持阅读器以及合作伙伴的不合法行为等情形，并在隐私保护方面做更多考虑。

［1］邬贺铨.物联网的应用与挑战综述［J］.重庆邮电大学学报:自然科学版，2010，22(5):526-531.

WU Hequan.Review on Internet of Things:application and challenges［J］.Journal of Chong qing University of Posts and Telecommunications:Natural Science Edition，2010，22(5):526-531.

［2］JANZ B，PITTS M，OTONDO R.Information systems and health care II:back to the future with RFID:Lessons learned-some old，some new［J］.Communications of the AIS.2005，15(1):132-148.

［3］KOSCHER K，JUELS A，BRAJKOVIC V，et al.EPC RFID tag security weaknesses and defenses:Passport cards，enhanced drivers licenses，and beyond［C］//Conference on Computer Communications Security(CCS).Chicago，Illinois，USA:ACM Press，2009，38(3):33-42.

［4］KHOR J H，ISMAIL W，RAHMAN M G.Prevention and Detection Methods for Enhancing Security in an RFID System［J］.International Journal of Distributed Sensor Networks，2012(2012):1-8.

［5］SUN Jianli.Design and implementation of IOT-based logistics management system［J］.Symposium on Electrical＆Electronics Engineering，2012，5(3):386-390.

［6］BU Kai，LIU Xuan，LUO J，et al.Unreconciled collisions uncover cloning attacks in anonymous RFID systems［J］.IEEE Transactions on Information Forensics and Security，2013，8(3):429-439.

［7］LEHTNEN M，MICHAHWLLES F，FLEISCH E.How to detect cloned tags in a reliable way from incomplete RFID traces［J］.IEEE International Conference on RFID，2009(17):257-264.

［8］BU Kai，LIU Xuan，XIAO Bin.Fast Cloned-Tag Identification Protocols for Large-Scale RFID Systems［J］.2012 IEEE 20th International Workshop on Quality of Service(IWQoS)，2012(6):1-4.

［9］KERSCHBAUM F，OERTEL N.Radio Frequency Identification:Security and Privacy Issues［M］.Istanbul，Turkey:Springer Berlin Heidelberg，2010:124-137.

［10］STAAKE T，THIESSE F，FLEISCH E.Extending the EPC network:The potential of RFID in anti-counterfeiting［C］//Symposium on Applied Computing.New York:ACM Press，2005:1607-1612.

［11］MIROWSKI L，HARTNETT J.Deckard:A system to detect change of RFID tag ownership［J］.International Journal of Computer Science and Network Security(IJCSNS)，2007，7(7):89-98.

［12］BLASS E O，ELKHIYAOUI K，MOLVA R.Tracker:Security and privacy for RFID-based supply chains［J］.18th Annual Network＆Distributed System Security Symposiumn(NDSS)，2012(18):71-78.

［13］ELKHIYAOUI K，BLASS E O，MOLVA R.CHECKER:Onsite checking in RFID-based supply chains［C］//In Proceedings of the fifth conference on security and privacy in wireless and mobile networks.Tucson，AZ，USA:ACM Press，2012:173-184.

［14］LEE H S，BANG H C.Detecting counterfeit products using supply chain event mining［C］//2013 15th International Conference on Advanced Communication Technology(ICACT).Pyeong Chang:IEEE Press，2013(173):744-748.

［15］NOMAN A N M，RAHMAN M，ADAMS C.Improving security and usability of low cost RFID tags［C］//2011 Ninth Annual International Conference on Privacy，Security and Trust.Montreal:IEEE Press，2011，7:134－141.

［16］ZANETTI D，FELLMAN L，CAPKUN S.Privacy-preserving clone detection for RFID-enabled supply chains［C］//2010 IEEE International Conference on RFID.Orlando，Florida，USA:IEEE Press，2010:37-44.

［17］ZANETTI D，CAPKUN S，JUELS A.Tailing RFID tags for clone detection［C］//Network and Distributed System Security Symposium(NDSS).San Diego，California，USA:The Internet Society，2013:305-316.